100%全量通過(guò)?。。?br/>

基于全棧國(guó)產(chǎn)自主計(jì)算架構(gòu)的全密態(tài)數(shù)據(jù)庫(kù)華為云GaussDB，完成了中國(guó)信通院組織的首批“全密態(tài)數(shù)據(jù)庫(kù)”產(chǎn)品能力評(píng)測(cè)，標(biāo)志著GaussDB可以為用戶(hù)數(shù)據(jù)提供全生命周期的安全能力，突破數(shù)據(jù)庫(kù)密態(tài)計(jì)算領(lǐng)域挑戰(zhàn)，實(shí)現(xiàn)國(guó)產(chǎn)自研。

該測(cè)評(píng)依據(jù)《大數(shù)據(jù) 全密態(tài)數(shù)據(jù)庫(kù)技術(shù)要求》進(jìn)行，對(duì)標(biāo)準(zhǔn)中所有的四個(gè)能力域共計(jì)三十個(gè)能力項(xiàng)進(jìn)行測(cè)試，全周期數(shù)據(jù)密態(tài)、密態(tài)數(shù)據(jù)處理、加密算法與密鑰管理、以及數(shù)據(jù)庫(kù)基本能力等。

此次參與評(píng)測(cè)的GaussDB是華為自研的企業(yè)級(jí)原生分布式關(guān)系型數(shù)據(jù)庫(kù)，在傳統(tǒng)企業(yè)級(jí)安全能力基礎(chǔ)上開(kāi)拓進(jìn)取，針對(duì)價(jià)值數(shù)據(jù)的機(jī)密性保護(hù)這一挑戰(zhàn)，不斷突破軟硬融合密態(tài)數(shù)據(jù)處理、可搜索加密等根技術(shù)，成為一款易開(kāi)發(fā)、全功能、高性能的全密態(tài)數(shù)據(jù)庫(kù)。

結(jié)合全棧國(guó)產(chǎn)自主創(chuàng)新計(jì)算架構(gòu)的優(yōu)勢(shì)，實(shí)現(xiàn)數(shù)據(jù)加密場(chǎng)景下的全SQL功能支持；

突破硬件可信計(jì)算資源調(diào)度技術(shù)，實(shí)現(xiàn)基于可信執(zhí)行區(qū)算子級(jí)隔離防護(hù)技術(shù)；

深度打磨端側(cè)驅(qū)動(dòng)密文處理引擎，實(shí)現(xiàn)全流程加密的業(yè)務(wù)“零”改造；

基于高強(qiáng)度密碼學(xué)防護(hù)，實(shí)現(xiàn)數(shù)據(jù)網(wǎng)絡(luò)傳輸、查詢(xún)處理、云上存儲(chǔ)全流程安全。

架構(gòu)創(chuàng)新

全棧國(guó)產(chǎn)自主創(chuàng)新計(jì)算架構(gòu)

華為云GaussDB基于鯤鵬芯片，EulerOS（歐拉服務(wù)器操作系統(tǒng)）和 iTrustee （華為可信執(zhí)行環(huán)境操作系統(tǒng)）安全系統(tǒng)等全棧國(guó)產(chǎn)自主創(chuàng)新計(jì)算架構(gòu)，構(gòu)建了全密態(tài)數(shù)據(jù)庫(kù)能力。通過(guò)軟硬件的垂直整合，GaussDB全密態(tài)已經(jīng)具備良好的功能、性能、安全等能力。基于國(guó)產(chǎn)自主的鯤鵬芯片提供的安全執(zhí)行環(huán)境，可以讓任何第三方都看不到明文數(shù)據(jù)，讓用戶(hù)真正放心地將數(shù)據(jù)存放在數(shù)據(jù)庫(kù)中；通過(guò)與iTrustee協(xié)同構(gòu)建的內(nèi)存零切換技術(shù)，實(shí)現(xiàn)了數(shù)據(jù)庫(kù)與TEE環(huán)境的快速交互，可以大幅提升數(shù)據(jù)在密文狀態(tài)下的處理性能。

軟硬融合全密態(tài)解決方案

華為云GaussDB支持軟硬兩種密態(tài)模式，并具備軟硬融合全密態(tài)處理能力。結(jié)合了密態(tài)查詢(xún)與TEE機(jī)密計(jì)算各自的優(yōu)缺點(diǎn)，能夠支持多場(chǎng)景下的應(yīng)用，包括公有云、混合云等模式，并實(shí)現(xiàn)數(shù)據(jù)全流程加密對(duì)開(kāi)發(fā)者接入的透明無(wú)感知。

在硬件模式下，GaussDB支持多硬件平臺(tái)能力，且針對(duì)華為自主研發(fā)的鯤鵬TEE進(jìn)行了深度優(yōu)化；實(shí)現(xiàn)了最小粒度的隔離級(jí)別，將攻擊面最小化，并通過(guò)一系列的密鑰安全保障機(jī)制，包括密鑰管理體系、可信傳輸通道、會(huì)話級(jí)密鑰管理機(jī)制，提升了硬件環(huán)境中的數(shù)據(jù)及密鑰安全。

在無(wú)法進(jìn)行TEE解密的場(chǎng)景下，GaussDB也能夠支持軟件模式的密態(tài)查詢(xún)能力，通過(guò)對(duì)多種密碼學(xué)算法的深度性能優(yōu)化，構(gòu)建出不同的密態(tài)查詢(xún)引擎，以完成不同的檢索和計(jì)算功能，實(shí)現(xiàn)數(shù)據(jù)等值查詢(xún)、范圍查詢(xún)、模糊查詢(xún)等能力。

高度安全

高強(qiáng)度的密鑰體系，保障用戶(hù)密鑰安全

整個(gè)密態(tài)數(shù)據(jù)庫(kù)解決方案中除數(shù)據(jù)本身具有敏感性質(zhì)外，最為敏感的信息就是數(shù)據(jù)加解密密鑰，一旦密鑰泄露，將給用戶(hù)數(shù)據(jù)帶來(lái)嚴(yán)重風(fēng)險(xiǎn)。特別是在硬件模式下，密鑰需離開(kāi)用戶(hù)側(cè)，傳輸?shù)皆苽?cè)可信硬件環(huán)境中，其安全保護(hù)至關(guān)重要。GaussDB通過(guò)三層密鑰體系，讓各層密鑰各司其職，真正做到密鑰高強(qiáng)度的安全保護(hù)。

GaussDB 三層高強(qiáng)度密鑰體系，第一層：數(shù)據(jù)密鑰，可以針對(duì)不同的字段采用不同的密鑰；第二層：用戶(hù)密鑰，實(shí)現(xiàn)了用戶(hù)之間的加密隔離，用戶(hù)密鑰永遠(yuǎn)不會(huì)離開(kāi)用戶(hù)可信環(huán)境，因此包括管理員在內(nèi)的其他用戶(hù)，都無(wú)法解密明文數(shù)據(jù)。第三層：設(shè)備密鑰，實(shí)現(xiàn)了設(shè)備之間的加密隔離，大大提升整體安全性。

不僅如此，在硬件模式下，需要將字段級(jí)密鑰傳輸給硬件TEE環(huán)境使用。GaussDB在該場(chǎng)景下采取了更高強(qiáng)度的保護(hù)措施：采用了基于TEE內(nèi)置密鑰的高安全協(xié)議，可以構(gòu)建用戶(hù)側(cè)與TEE之間的可信通道，保證密鑰安全可信的加密傳輸，防止中間人攻擊；其次，密鑰不會(huì)以任何形式離開(kāi)TEE，會(huì)話結(jié)束將立刻刪除，以最小化數(shù)據(jù)密鑰生命周期，防止因硬件漏洞或異常情況引起的密鑰泄露。

華為云GaussDB融合了華為在數(shù)據(jù)庫(kù)領(lǐng)域16年多的耕耘經(jīng)驗(yàn)與戰(zhàn)略投入成果，是基于分布式理論打造的行業(yè)領(lǐng)先的國(guó)產(chǎn)原生分布式關(guān)系型數(shù)據(jù)庫(kù)，采用行業(yè)先進(jìn)的全并行分布式架構(gòu)，有應(yīng)對(duì)海量并發(fā)事務(wù)處理與復(fù)雜查詢(xún)混合負(fù)載的能力；還有同城跨AZ、兩地三中心、數(shù)據(jù)0丟失等多種高可用方案，出色的金融級(jí)高可用商用能力全方位滿(mǎn)足金融級(jí)監(jiān)管要求。

當(dāng)前，華為云GaussDB已在2500+大客戶(hù)中規(guī)模商用，覆蓋金融、政府、電信、能源、交通、物流、電商等各行各業(yè)。隨著企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)入深水區(qū)，未來(lái)企業(yè)對(duì)數(shù)據(jù)庫(kù)的要求會(huì)不斷增長(zhǎng)，華為云數(shù)據(jù)庫(kù)將矢志創(chuàng)新，歷久彌堅(jiān)，匯聚更多數(shù)據(jù)庫(kù)產(chǎn)業(yè)力量，持續(xù)打造企業(yè)核心業(yè)務(wù)云化的智能數(shù)據(jù)底座，助推更多企業(yè)數(shù)字化升級(jí)。

標(biāo)簽：華為云