Redis（94）如何启用Redis的数据加密？

启用Redis的数据加密通常涉及两个主要方面：传输层加密（TLS/SSL）和存储层加密。以下是详细的步骤和代码示例，以帮助您在Redis中实现数据加密。

1. 传输层加密（TLS/SSL）

传输层加密确保在客户端和Redis服务器之间传输的数据是加密的。Redis 6.0及以上版本支持TLS/SSL。

步骤 1: 生成证书和密钥

可以使用OpenSSL生成自签名证书和密钥：

# 生成CA私钥
openssl genpkey -out ca.key -algorithm RSA -pkeyopt rsa_keygen_bits:2048

# 生成CA证书
openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt -subj '/CN=MyRedisCA'

# 生成Redis服务器私钥
openssl genpkey -out redis.key -algorithm RSA -pkeyopt rsa_keygen_bits:2048

# 生成CSR（证书签名请求）
openssl req -new -key redis.key -out redis.csr -subj '/CN=MyRedisServer'

# 使用CA签署Redis服务器证书
openssl x509 -req -in redis.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out redis.crt -days 3650 -sha256

步骤 2: 配置Redis服务器

修改 redis.conf 文件以启用TLS：

# redis.conf

# 启用TLS
tls-port 6379
port 0

# 证书和密钥文件
tls-cert-file /path/to/redis.crt
tls-key-file /path/to/redis.key
tls-ca-cert-file /path/to/ca.crt

# 可选：要求客户端证书验证
# tls-auth-clients yes

步骤 3: 配置客户端

使用 redis-cli 连接启用了TLS的Redis服务器：

redis-cli --tls --cert /path/to/redis.crt --key /path/to/redis.key --cacert /path/to/ca.crt -h redis-server-host -p 6379

使用 Jedis Java 客户端连接启用了TLS的Redis服务器：

import redis.clients.jedis.Jedis;
import redis.clients.jedis.JedisShardInfo;

public class RedisTLSDemo {
    public static void main(String[] args) {
        // 配置JedisShardInfo以使用TLS
        JedisShardInfo shardInfo = new JedisShardInfo("rediss://redis-server-host:6379");
        shardInfo.setTls(true);
        shardInfo.setSslSocketFactory(SSLSocketFactory.getDefault());
        shardInfo.setPassword("yourpassword"); // 如果有密码保护

        try (Jedis jedis = new Jedis(shardInfo)) {
            // 测试连接
            String response = jedis.ping();
            System.out.println(response);  // 应该输出 "PONG"
        }
    }
}

2. 应用层加密

应用层加密是在将数据存储到Redis之前，在应用程序中对数据进行加密和解密。

Java示例：加密和解密

import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import javax.crypto.spec.GCMParameterSpec;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;

public class AESEncryption {
    private static final String AES = "AES";
    private static final String AES_GCM_NO_PADDING = "AES/GCM/NoPadding";
    private static final int GCM_TAG_LENGTH = 16;
    private static final int GCM_IV_LENGTH = 12;
    private static final int AES_KEY_SIZE = 256;

    public static SecretKey generateKey() throws Exception {
        KeyGenerator keyGen = KeyGenerator.getInstance(AES);
        keyGen.init(AES_KEY_SIZE);
        return keyGen.generateKey();
    }

    public static String encrypt(String plainText, SecretKey key, byte[] iv) throws Exception {
        Cipher cipher = Cipher.getInstance(AES_GCM_NO_PADDING);
        GCMParameterSpec parameterSpec = new GCMParameterSpec(GCM_TAG_LENGTH * 8, iv);
        cipher.init(Cipher.ENCRYPT_MODE, key, parameterSpec);
        byte[] cipherText = cipher.doFinal(plainText.getBytes());
        return Base64.getEncoder().encodeToString(cipherText);
    }

    public static String decrypt(String cipherText, SecretKey key, byte[] iv) throws Exception {
        Cipher cipher = Cipher.getInstance(AES_GCM_NO_PADDING);
        GCMParameterSpec parameterSpec = new GCMParameterSpec(GCM_TAG_LENGTH * 8, iv);
        cipher.init(Cipher.DECRYPT_MODE, key, parameterSpec);
        byte[] plainText = cipher.doFinal(Base64.getDecoder().decode(cipherText));
        return new String(plainText);
    }

    public static void main(String[] args) {
        try {
            SecretKey key = generateKey();
            byte[] iv = new byte[GCM_IV_LENGTH];
            // 初始化IV（可以使用随机生成的IV）

            String originalData = "Sensitive data";

            // 加密
            String encryptedData = encrypt(originalData, key, iv);
            System.out.println("Encrypted Data: " + encryptedData);

            // 解密
            String decryptedData = decrypt(encryptedData, key, iv);
            System.out.println("Decrypted Data: " + decryptedData);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

使用加密数据与Redis交互

import redis.clients.jedis.Jedis;

public class RedisEncryptedDemo {
    public static void main(String[] args) {
        try (Jedis jedis = new Jedis("localhost", 6379)) {
            // 生成密钥和IV
            SecretKey key = AESEncryption.generateKey();
            byte[] iv = new byte[12]; // 示例IV

            // 加密数据
            String originalData = "Sensitive data";
            String encryptedData = AESEncryption.encrypt(originalData, key, iv);

            // 存储加密数据到Redis
            jedis.set("encrypted_key", encryptedData);

            // 从Redis读取加密数据
            String retrievedEncryptedData = jedis.get("encrypted_key");

            // 解密数据
            String decryptedData = AESEncryption.decrypt(retrievedEncryptedData, key, iv);
            System.out.println("Decrypted Data: " + decryptedData);  // 应该输出 "Sensitive data"
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

总结

通过以下步骤可以启用Redis的数据加密：

1. 传输层加密（TLS/SSL）：

   • 生成证书和密钥
   • 配置redis.conf文件
   • 配置客户端

2. 应用层加密：

   • 在客户端应用程序中实现数据的加密和解密
   • 将加密后的数据存储到Redis中，并在读取数据时进行解密

通过结合传输层加密和应用层加密，可以有效地提高Redis中数据的安全性。上述示例代码展示了如何实现这些加密技术，并将其应用于实际的Redis交互中。