100%全量通過！基于全棧創(chuàng)新計算架構(gòu)的全密態(tài)數(shù)據(jù)庫華為云 GaussDB，完成了中國信通院組織的首批“全密態(tài)數(shù)據(jù)庫”產(chǎn)品能力評測，標志著 GaussDB 可以為用戶數(shù)據(jù)提供全生命周期的安全能力，突破數(shù)據(jù)庫密態(tài)計算領(lǐng)域挑戰(zhàn)，實現(xiàn)全面創(chuàng)新。

該評測依據(jù)《大數(shù)據(jù)全密態(tài)數(shù)據(jù)庫技術(shù)要求》進行，對標準中所有的四個能力域共計三十個能力項進行測試，全周期數(shù)據(jù)密態(tài)、密態(tài)數(shù)據(jù)處理、加密算法與密鑰管理、以及數(shù)據(jù)庫基本能力等。

此次參與評測的 GaussDB是華為重磅打造的企業(yè)級原生分布式關(guān)系型數(shù)據(jù)庫，在傳統(tǒng)企業(yè)級安全能力基礎(chǔ)上開拓進取，針對價值數(shù)據(jù)的機密性保護這一挑戰(zhàn)，不斷突破軟硬融合密態(tài)數(shù)據(jù)處理、可搜索加密等根技術(shù)，成為一款易開發(fā)、全功能、高性能的全密態(tài)數(shù)據(jù)庫。

結(jié)合全棧創(chuàng)新計算架構(gòu)的優(yōu)勢，實現(xiàn)數(shù)據(jù)加密場景下的全 SQL 功能支持；

突破硬件可信計算資源調(diào)度技術(shù)，實現(xiàn)基于可信執(zhí)行區(qū)算子級隔離防護技術(shù)；

深度打磨端側(cè)驅(qū)動密文處理引擎，實現(xiàn)全流程加密的業(yè)務(wù)“零”改造；

基于高強度密碼學防護，實現(xiàn)數(shù)據(jù)網(wǎng)絡(luò)傳輸、查詢處理、云上存儲全流程安全。

架構(gòu)創(chuàng)新：全棧創(chuàng)新計算架構(gòu)

華為云 GaussDB 基于鯤鵬芯片，EulerOS（歐拉服務(wù)器操作系統(tǒng)）和iTrustee（華為可信執(zhí)行環(huán)境操作系統(tǒng)）安全系統(tǒng)等全棧創(chuàng)新計算架構(gòu)，構(gòu)建了全密態(tài)數(shù)據(jù)庫能力。通過軟硬件的垂直整合，GaussDB 全密態(tài)已經(jīng)具備良好的功能、性能、安全等表現(xiàn)。基于鯤鵬芯片提供的安全執(zhí)行環(huán)境，可以讓任何第三方都看不到明文數(shù)據(jù)，讓用戶真正放心的將數(shù)據(jù)存放在數(shù)據(jù)庫中；通過與 EurlerOS、iTrustee 協(xié)同構(gòu)建的內(nèi)存零切換技術(shù)，實現(xiàn)了數(shù)據(jù)庫與 TEE 的快速交互，可以大幅提升數(shù)據(jù)在密文狀態(tài)下的處理性能。

軟硬融合全密態(tài)解決方案

華為云 GaussDB 支持軟硬兩種密態(tài)模式，并具備軟硬融合全密態(tài)處理能力。結(jié)合了密態(tài)查詢與 TEE 機密計算各自的優(yōu)缺點，能夠支持多場景下的應(yīng)用，包括公有云、混合云等模式，并實現(xiàn)數(shù)據(jù)全流程加密對開發(fā)者接入的透明無感知。

在硬件模式下，GaussDB 支持多硬件平臺能力，且針對華為創(chuàng)新研發(fā)的鯤鵬 TEE 進行了深度優(yōu)化；實現(xiàn)了最小粒度的隔離級別，將攻擊面最小化，并通過一系列的密鑰安全保障機制，包括密鑰管理體系、可信傳輸通道、會話級密鑰管理機制，提升了硬件環(huán)境中的數(shù)據(jù)及密鑰安全。

在無法進行 TEE 解密的場景下，GaussDB 也能夠支持軟件模式的密態(tài)查詢能力，通過對多種密碼學算法的深度性能優(yōu)化，構(gòu)建出不同的密態(tài)查詢引擎，以完成不同的檢索和計算功能，實現(xiàn)數(shù)據(jù)等值查詢、范圍查詢、模糊查詢等能力。

高度安全：高強度的密鑰體系，保障用戶密鑰安全

整個密態(tài)數(shù)據(jù)庫解決方案中除數(shù)據(jù)本身具有敏感性質(zhì)外，最為敏感的信息就是數(shù)據(jù)加解密密鑰，一旦密鑰泄露，將給用戶數(shù)據(jù)帶來嚴重風險。特別是在硬件模式下，密鑰需離開用戶側(cè)，傳輸?shù)皆苽?cè)可信硬件環(huán)境中，其安全保護至關(guān)重要。GaussDB 通過實現(xiàn)三層密鑰體系，讓各層密鑰各司其職，真正做到密鑰高強度的安全保護。

GaussDB三層高強度密鑰體系，第一層數(shù)據(jù)密鑰，可以針對不同的字段將采用不同的密鑰；第二層用戶密鑰，實現(xiàn)了用戶之間的加密隔離，用戶密鑰永遠不會離開用戶可信環(huán)境，因而包括管理員在內(nèi)的其他用戶，都無法解密明文數(shù)據(jù)。第三層設(shè)備密鑰，實現(xiàn)了設(shè)備之間的加密隔離，大大提升整體安全性。

不僅如此，在硬件模式下，需要將字段級密鑰傳輸給硬件 TEE 使用。GaussDB 在該場景下采取了更高強度的保護措施：采用了基于 TEE 內(nèi)置密鑰的高安全協(xié)議，可以構(gòu)建用戶側(cè)與 TEE 之間的可信通道，保證密鑰安全可信的加密傳輸，防止中間人攻擊；其次，密鑰不會以任何形式離開 TEE，會話結(jié)束將立刻刪除，以最小化數(shù)據(jù)密鑰生命周期，防止因硬件漏洞或異常情況引起的密鑰泄露。

關(guān)于華為云 GaussDB

GaussDB 融合了華為在數(shù)據(jù)庫領(lǐng)域 16 年多的耕耘經(jīng)驗與戰(zhàn)略投入成果，是基于分布式理論打造的行業(yè)領(lǐng)先的原生分布式關(guān)系型數(shù)據(jù)庫，采用行業(yè)先進的全并行分布式架構(gòu)，有應(yīng)對海量并發(fā)事務(wù)處理與復(fù)雜查詢混合負載的能力；還有同城跨 AZ、兩地三中心、數(shù)據(jù) 0 丟失等多種高可用方案，出色的金融級高可用商用能力全方面滿足金融級監(jiān)管要求。

當前，華為云 GaussDB 已在 2500+大客戶中規(guī)模商用，覆蓋金融、政府、電信、能源、交通、物流、電商等各行各業(yè)。隨著企業(yè)數(shù)字化轉(zhuǎn)型進入深水區(qū)，未來企業(yè)對數(shù)據(jù)庫的要求會不斷增長，華為云數(shù)據(jù)庫將矢志創(chuàng)新，歷久彌堅，匯聚更多數(shù)據(jù)庫產(chǎn)業(yè)力量，持續(xù)打造企業(yè)核心業(yè)務(wù)云化的智能數(shù)據(jù)底座，助推更多企業(yè)數(shù)字化升級。

審核編輯黃宇