IoTDB 通过内置的透明加密引擎支持对数据文件 TsFile 的加密防护。启用加密功能后,即可实现数据在写入时实时加密、读取时无缝解密的全流程自动化处理,保证落盘文件数据安全。该过程完全融入数据库内核,业务应用无感知且无需进行任何代码改造或查询逻辑调整。
IoTDB 配置文件 ${IOTDB_HOME}/${IOTDB_CONF}/iotdb-system.properties中数据加密相关的参数如下所示:
| 参数 | 注释 |
|---|---|
encrypt flag | true为开启加密 |
encrypt_key_path | 文件导入的主密钥文件路径 |
encrypt type | 加密方式,例如"org.apache.tsfile.encrypt.UNENCRYPTED"。目前包括AES128和UNENCRYPTED(SM4128)。 |
${IOTDB_HOME}/lib ${IOTDB_HOME}/${IOTDB_CONF}/iotdb-system.propertiesencrypt_flag=true encrypt_type=org.example.encrypt.AES128.AES128 # encrypt_type=org.example.encrypt.SM4128.5M41283 encrypt_key_path=......
在某些客户的生产环境中,对于数据传输的安全性要求更高,希望有更安全的传输方式,因此扩展了 Datanode 的 Client RPC 以支持数据传输加密。以下是支持数据传输加密的方式:
iotdb-datanode.properties 的默认配置,默认 ssl 是关闭状态。
#iotdb-datanode.properties的默认配置 ....... # is SSL enabled #enable_thrift_ssl=false # SSL key store path #key_store_path= # SSL key store password #key_store_pwd= .......
启用 ssl 配置后,需重启 iotdb 服务。同时,对应的使用到 dn_rpc_port 接口的客户端都需要使用 ssl 方式访问,否则不能访问。
# is SSL enabled enable_thrift_ssl=true # SSL key store path key_store_path=/Users/keystore/.keystore # SSL key store password key_store_pwd=123456
SessionPool 客户端配置ssl 需要配置useSSL、trustStore、trustStorePwd。
sessionPool = new SessionPool.Builder() .nodeUrls(nodeUrls) .user("root") .password("root") .maxSize(3) .useSSL(true) .trustStore("/Users/key/.truststore") .trustStorePwd("123456") .build();
Session 客户端配置ssl 需要配置useSSL、trustStore、trustStorePwd 代码示例
session = new Session.Builder() .host(LOCAL_HOST) .port(6667) .username("root") .password("root") .version(Version.V_1_0) .useSSL(true) .trustStore("/Users/key/.truststore") .trustStorePwd("123456") .build();
jdbc 支持两种方式的ssl 配置,需要配置use_ssl、trust_store、trust_store_pwd。
方式一、在jdbc 的url 中配置使用
jdbc:iotdb://ip:port?use_ssl=true&trust_store_pwd=123456&trust_store=/Users/keystore/.truststore
try (Connection connection = DriverManager.getConnection( "jdbc:iotdb://127.0.0.1:6667?version=V_1_0&use_ssl=true&trust_store_pwd=123456&trust_store=/Users/keystore/.truststore", "root", "root");Statement statement = connection.createStatement(){ // 代码逻辑 }catch (IoTDBSQLException e) { logger.error("IoTDB Jdbc example error", e); }
方式二、使用Properties 来配置使用
java.util.Properties info = new Properties(); info.setProperty("use_ssl", "true"); info.setProperty("user", "root"); info.setProperty("password", "root"); info.setProperty("trust_store", "/Users/keystore/.truststore"); info.setProperty("trust_store_pwd","123456"); try (Connection connection = DriverManager.getConnection("jdbc:iotdb://127.0.0.1:6667?version=V_1_0", info); Statement statement = connection.createStatement()) { // 代码逻辑 }catch (IoTDBSQLException e) { logger.error("IoTDB Jdbc example error", e); }
# Linux / MacOS ./start-cli.sh -h 127.0.0.1 -p 6667 -u root -pw root -usessl true -ts /Users/keystore/.truststore -tpw 123456 # Windows # V2.0.4.x 版本之前 .\sbin\start-cli.bat -h 127.0.0.1 -p 6667 -u root -pw root -usessl true -ts C:\Users\keystore\.truststore -tpw 123456 # V2.0.4.x 版本及之后 .\sbin\windows\start-cli.bat -h 127.0.0.1 -p 6667 -u root -pw root -usessl true -ts C:\Users\keystore\.truststore -tpw 123456
需安装 JDK、测试jdk8和jdk11生成证书未发现问题
keytool -genkeypair -alias mykey -keyalg RSA -validity 7 -keystore .keystore
keytool -export -alias mykey -keystore .keystore -rfc -file certificate.cer
keytool -import -alias mykey -file certificate.cer -keystore .truststore
提示:FIPS标准规定使用 RSA、ECDSA 或 EdDSA(23年刚支持)
keytool -genkeypair -alias mykey -keyalg EC -validity 7 -keystore aa.keystore keytool -export -alias mykey -keystore aa.keystore -rfc -file certificate.cer keytool -import -alias mykey -file certificate.cer -keystore aa.truststore
使用session 的inserttablet方法,使用100 设备*100测点,每批 100 行 loop 100 次,测试3遍,三次插入使用不同的设备名字,测试环境:1c1d,mac 16G,Intel Core i5。
代码示例:
for(int i=0;i<100;i++){ insertTablet(i+""); } private static void insertTablet(String d) throws IoTDBConnectionException, StatementExecutionException { List<MeasurementSchema> schemaList = new ArrayList<>(); for(int i=1;i<=100;i++){ schemaList.add(new MeasurementSchema("s"+i, TSDataType.INT64)); } Tablet tablet = new Tablet(ROOT_SG1_D1+d, schemaList, 100); long timestamp = System.currentTimeMillis(); for (long row = 0; row < 100; row++) { int rowIndex = tablet.rowSize++; tablet.addTimestamp(rowIndex, timestamp); for (int s = 0; s < 100; s++) { long value = random.nextLong(); tablet.addValue(schemaList.get(s).getMeasurementId(), rowIndex, value); } if (tablet.rowSize == tablet.getMaxRowNumber()) { session.insertTablet(tablet, true); tablet.reset(); } timestamp++; } if (tablet.rowSize != 0) { session.insertTablet(tablet); tablet.reset(); } }
插入测试结果:
| ssl(单位ms) | 非ssl(单位ms) | |
|---|---|---|
| 第一次 | 13611 | 14099 |
| 第二次 | 11938 | 10236 |
| 第三次 | 13801 | 13663 |
测试结论:
根据ssl 三次取平均值为13117ms、非ssl取平均值12666ms,综合测试结果可以看出非ssl 插入速度略快ssl(3.5%)
使用session 的executeQueryStatement方法、循环100次查询不同设备的测点,测试3遍,查询完后修改ssl重启iotdb,三次查询使用不同的设备名字,测试环境:1c1d,mac 16G,Intel Core i5
代码示例:
private static void query(String d) throws IoTDBConnectionException, StatementExecutionException { try (SessionDataSet dataSet = session.executeQueryStatement("select * from root.sg1.d9"+d)) { System.out.println(dataSet.getColumnNames()); dataSet.setFetchSize(1024); // default is 10000 while (dataSet.hasNext()) { System.out.println(dataSet.next()); } } }
查询测试结果:
| ssl(单位ms) | 非ssl(单位ms) | |
|---|---|---|
| 第一次 | 7101 | 6111 |
| 第二次 | 3109 | 2162 |
| 第三次 | 3594 | 3032 |
测试结论:
根据ssl 三次取平均值为4601ms、非ssl取平均值3768ms,综合测试结果可以看出非ssl 插入速度略快ssl(22%)