数据库在国密改造中遇到的一些问题?
在密评中,要求数据库必须
1.使用国密算法对身份鉴别信息进行存储机密性保护
2.使用国密密码技术实现用户敏感信息、关键业务数据的存储机密性保护
想要了解
1.目前有多少国产数据库已经实现了上述两点的功能。
2.使用国密算法对用户敏感数据加密,在实际使用中,会影响多少性能
2同行回答
有两条路线,透明存储加密TDE 和 中间件上对数据进行加密和解密。
- 透明存储加密TDE 代表产品OceanBase,天然支持国密,性能损耗5% 远低于 传统数据库的50%,优势是对应用透明无感,对数据库上下游无感,比如对数据库下游的数据仓库无感。
原理很好理解,因为有每日合并,每天在低峰期进行加密;基于LSM架构下进行了精细化的内核设计。 - 中间件上对数据进行加密和解密,性能损失50%以上,对应用和上下游有感。数据使用时需要解密。
其原理: 在SQL代理上进行加密和解密,性能逐笔受损。 典型的代表,国内基于MySQL和PostgreSQL的产品。
总结,国密的支持,选头部公司的产品,尤其是数据库层的国密对产品能力要求是极高的,一个国密的功能没有3年以上的打磨是不适合给金融机构使用的。
数据加密中使用国密,需考虑的问题
- 应用无感
应用无改造即可满足加密要求,需要加密平台提供与原生数据库等同的访问能力,包括算子支持(如排序、Like难点)。 - 业务无感
可提供业务的无感迁移,即需满足数据从明文到密文的在线迁移能力 - 厂商绑定
避免被某些数据库或云厂商的绑定,或选择时谨慎选择特有能力。 - 扩展支持
对反洗数、密钥轮转、明文消费等场景的支持
浏览800
ChatGPT 回答
- 目前已经有多个国产数据库实现了使用国密算法对身份鉴别信息进行存储机密性保护和使用国密密码技术实现用户敏感信息、关键业务数据的存储机密性保护。例如,华为云数据库、中兴通讯数据库、神州数码数据库等都已经实现了这些功能。
- 在使用国密算法对用户敏感数据加密时,会对性能产生一定影响。具体影响取决于加密算法的复杂度、数据量的大小以及硬件设备的性能等因素。但是,目前的国密算法已经经过了多年的优化和改进,加密效率已经得到了大幅提升,因此影响不会太大。同时,也可以通过优化硬件设备和算法实现来进一步提高性能。因此,在实际使用中,性能影响可以控制在可接受的范围内。