encryption - 用户如何证明特定帐户有权访问 BigQuery?(AEAD 加密和授权视图)
问题描述
我正在举办一个多人需要访问 BigQuery 的活动,我希望他们向我发送他们有权访问的证明:
- 我想收集可以访问 BigQuery 的参与者的电子邮件地址。
- 我想要证明他们使用过 BigQuery。
用户如何证明他们的特定电子邮件帐户有权访问 BigQuery?
我想知道我们是否可以构建具有授权视图和加密功能的解决方案。
解决方案
我们将使用授权视图和新的 AEAD 加密功能s。
首先,让我们创建一个只有我可以在我的一个私有数据集中看到的密钥:
CREATE TABLE `secrets.keys`
AS
SELECT KEYS.NEW_KEYSET('AEAD_AES_GCM_256') key, CURRENT_TIMESTAMP() ts, 'for_a_view' label
现在我可以在公共数据集中创建一个视图,该视图利用SESSION_USER()
和AEAD.ENCRYPT()
:
SELECT SESSION_USER() user, ts, key_ts, key_label
, AEAD.ENCRYPT(key, FORMAT('%s|%t', SESSION_USER(), ts), '') enc_user_ts
, AEAD.ENCRYPT(key, SESSION_USER(), '') enc_user
, AEAD.ENCRYPT(key, CAST(ts AS STRING), '') enc_ts
FROM (SELECT CURRENT_TIMESTAMP() ts)
, (SELECT ts key_ts, key, label key_label FROM `fh-bigquery.secrets.keys` WHERE label='for_a_view')
为了保持我的视图公开和密钥的秘密,我可以在我的秘密数据集中设置对这个新的授权视图的访问以读取密钥:
现在任何人都可以运行以下查询:
SELECT enc_user_ts
FROM `fh-bigquery.public_dump.encrypting_user_view`
返回:
AQElE+8cn+uHouGhZO7895UNjVs3/k05ZJLkEceQ8kszHJjQkbvuB6Vx/miDi3DhFTty7ZifXps1VKWC5OtTrQOkCQqoFFQu+VkDfz9F65R5f3PGPA==
我可以要求用户与我共享该值,我也可以与您共享该值 - 但只有我可以使用我的密钥对其进行解密。
用我的密钥解密:
SELECT AEAD.DECRYPT_STRING(key, FROM_BASE64('AQElE+8cn+uHouGhZO7895UNjVs3/k05ZJLkEceQ8kszHJjQkbvuB6Vx/miDi3DhFTty7ZifXps1VKWC5OtTrQOkCQqoFFQu+VkDfz9F65R5f3PGPA=='), '')
FROM (SELECT key FROM `fh-bigquery.secrets.keys` WHERE label='for_a_view' LIMIT 1)
返回:
⬛⬛⬛⬛⬛⬛⬛⬛e@gmail.com|2019-05-14 03:51:15.047791+00
请注意,这是他们用来运行查询的确切帐户和时间戳!
这就是如何 - 如果我需要证明您告诉我您用于使用 BigQuery 的帐户确实是该帐户,我会要求您运行以下查询并与我分享其结果:
SELECT enc_user_ts
FROM `fh-bigquery.public_dump.encrypting_user_view`
推荐阅读
- c++ - ld:警告:找不到入口符号_start;未设置起始地址
- optimization - 如何在 CP-SAT 中建模条件求和(如 Excel 中的 sumif)?
- python - 日期时间拆分
- dataframe - Pyspark 中的任何函数是否生成相同的连续唯一值集?
- python - Scrapy 结果重复,for 循环有问题
- hybris - FlexibleSearch 查询以获取一天前的记录
- android - Android Studio 数据库检查器不显示任何数据库
- python - 如何编写命令以生成特定格式的 canbus 数据?
- flutter - 关于支付方式 Flutter
- android - 如何实现嵌套的 RecycleView?