華為云GaussDB支持軟硬兩種密態(tài)模式，并具備軟硬融合全密態(tài)處理能力。結合了密態(tài)查詢與TEE機密計算各自的優(yōu)缺點，能夠支持多場景下的應用，包括公有云、混合云等模式，并實現(xiàn)數(shù)據(jù)全流程加密對開發(fā)者接入的透明無感知。

在硬件模式下，GaussDB支持多硬件平臺能力，且針對華為創(chuàng)新研發(fā)的鯤鵬TEE進行了深度優(yōu)化；實現(xiàn)了最小粒度的隔離級別，將攻擊面最小化，并通過一系列的密鑰安全保障機制，包括密鑰管理體系、可信傳輸通道、會話級密鑰管理機制，提升了硬件環(huán)境中的數(shù)據(jù)及密鑰安全。

在無法進行TEE解密的場景下，GaussDB也能夠支持軟件模式的密態(tài)查詢能力，通過對多種密碼學算法的深度性能優(yōu)化，構建出不同的密態(tài)查詢引擎，以完成不同的檢索和計算功能，實現(xiàn)數(shù)據(jù)等值查詢、范圍查詢、模糊查詢等能力。

高度安全：高強度的密鑰體系，保障用戶密鑰安全

整個密態(tài)數(shù)據(jù)庫解決方案中除數(shù)據(jù)本身具有敏感性質外，最為敏感的信息就是數(shù)據(jù)加解密密鑰，一旦密鑰泄露，將給用戶數(shù)據(jù)帶來嚴重風險。特別是在硬件模式下，密鑰需離開用戶側，傳輸?shù)皆苽瓤尚庞布h(huán)境中，其安全保護至關重要。GaussDB通過實現(xiàn)三層密鑰體系，讓各層密鑰各司其職，真正做到密鑰高強度的安全保護。

GaussDB三層高強度密鑰體系，第一層數(shù)據(jù)密鑰，可以針對不同的字段將采用不同的密鑰；第二層用戶密鑰，實現(xiàn)了用戶之間的加密隔離，用戶密鑰永遠不會離開用戶可信環(huán)境，因而包括管理員在內的其他用戶，都無法解密明文數(shù)據(jù)。第三層設備密鑰，實現(xiàn)了設備之間的加密隔離，大大提升整體安全性。

不僅如此，在硬件模式下，需要將字段級密鑰傳輸給硬件TEE使用。GaussDB在該場景下采取了更高強度的保護措施：采用了基于TEE內置密鑰的高安全協(xié)議，可以構建用戶側與TEE之間的可信通道，保證密鑰安全可信的加密傳輸，防止中間人攻擊；其次，密鑰不會以任何形式離開TEE，會話結束將立刻刪除，以最小化數(shù)據(jù)密鑰生命周期，防止因硬件漏洞或異常情況引起的密鑰泄露。

關于華為云GaussDB

GaussDB融合了華為在數(shù)據(jù)庫領域16年多的耕耘經(jīng)驗與戰(zhàn)略投入成果，是基于分布式理論打造的行業(yè)領先的原生分布式關系型數(shù)據(jù)庫，采用行業(yè)先進的全并行分布式架構，有應對海量并發(fā)事務處理與復雜查詢混合負載的能力；還有同城跨AZ、兩地三中心、數(shù)據(jù)0丟失等多種高可用方案，出色的金融級高可用商用能力全方面滿足金融級監(jiān)管要求。

當前，華為云GaussDB已在2500+大客戶中規(guī)模商用，覆蓋金融、政府、電信、能源、交通、物流、電商等各行各業(yè)。隨著企業(yè)數(shù)字化轉型進入深水區(qū)，未來企業(yè)對數(shù)據(jù)庫的要求會不斷增長，華為云數(shù)據(jù)庫將矢志創(chuàng)新，歷久彌堅，匯聚更多數(shù)據(jù)庫產業(yè)力量，持續(xù)打造企業(yè)核心業(yè)務云化的智能數(shù)據(jù)底座，助推更多企業(yè)數(shù)字化升級。