1、可信密态数据库研究进展与应用实践汪晟Research Scientist/资深技术专家阿里巴巴达摩院-数据库与存储实验室|1|下一代数据库安全可信体系012数据库:云上应用关键一环|3The real battle will be in databasesSource:How Amazon Web Services aims to win cloud computings next big battle-SiliconANGLEAWS to Oracle:Now its our turn and we got next-ZDNet数据的产生，存储，处理和消费Oracle、Google、Amaz

2、on、Apple、Microsoft、IBM、Facebook、SAP|阿里巴巴、华为、腾讯、百度IaaS数据库智能化应用数据库安全的内部挑战：系统可信任的假设被颠覆|核心问题传统数据库系统默认在可信任环境、由可信任的人员管理云 数 据 库 服 务 平 台单次数据泄露事件平均损失386万美元（2020年全球数据泄露事件：3932起；记录370亿条；波及美国财政部、商务部、500强企业）【优势】管控/DBA专家团队配置错误【挑战】（个体）租户&运维人员越权（平台）云服务接触明文数据越权访问【优势】云安全专家团队黑客攻击如何保障在不可信环境下的数据安全数据库仅提供计算/存储/网络等资源和数据管理能

3、力挑战数据归属：使数据成为拥有者的私有财产数据流通：使数据可以安全上云、安全流通价值4数据库安全的外部挑战：既要加快利用，也要加强监管|【发展视角】“十四五”规划内容节选【监管视角】中华人民共和国数据安全法5企业面临的数据资产安全若干疑问|机密性系统运维人员与服务商是否会越权窃取企业数据？真实性第三方管理的数据与日志是否会被恶意篡改而失真？流通性与外部合作伙伴共享数据时是否存在数据泄露风险？合规性现有数据管理体系的安全性是否达到国家及行业要求？6下一代数据库安全可信体系（云计算+安全可信+隐私保护）|安全上云：为用户数据提供安全可信、隐私保护基础能力（保证用户云上数据的机密性、完整性、真实性、

4、审计性）数据流通：提供符合隐私保护要求的跨实体数据联合分析能力（e.g.信贷风控、联合诊断、智慧城市、联合运营、精准获客等）云原生安全可信数据库-数据全程加密（机密性）-数据不可篡改（完整性）-操作不可否认（审计性）隐私增强数据联合计算-原始数据不暴露（隐私性）-计算结果可验证（真实性）-计算任务可追溯（可控性）第三方数据库云下第三方数据库云原生数据库平台2.0：一站式全链路数据管理与服务-全生命周期风险检测与修复（合规性）-数据库安全能力一站式管理（全局性）企业级安全能力：为各行业提供满足等保合规的数据库安全解决方案（保证企业接入平台后，其数据库自动满足所在行业的数据安全标准）企业内部&云服

5、务商管理员/平台越权合作第三方数据出域&泄露外部黑客攻击国家&行业法规违规处罚7数据全程加密（机密性）-全密态数据库|SELECT Name,Balance,AddrFROM AccountWHERE Balance BETWEEN 180,000.00 AND 190,000.00SELECT Name,Balance,AddrFROM AccountWHERE Balance BETWEEN DA6859D786 AND 80EC4071D9Name:AliceBalance:183,746.00Address:969 West Wen YiRoad,HangzhouName:FF01AC

6、Balance:BA695A798BAddress:ACCA00CFE0DAA04AEBB1312624C6用户终端&应用服务端AccountIDNameBalanceResidentialAddress6C26AB73B7257F632FD017200CFE0DAA0A5AEBB1312AC2D4AC703FDDDE9C1F5680E4ABB033A0FD9547B425A79BA695DCDF1DEFE6A32AE0A0490C526DA3885FC1942D2EDAFC46BA14D22F48BC15354DF60B9304C6314D38B2DEF5745DA7D7BED9DA9DD0

7、CEA4392C6C0CA25DDBFF01A41AD8EBA183EA1数据库服务器端PC终端&移动终端云端应用服务&数据库服务数据库服务器（明文密文转换）?8数据不可篡改（完整性）-Lindorm可信存储|业务场景Lindorm 多模数据库多模引擎宽表引擎时序引擎计算引擎可信存储可信三方锚定数据校验区块链Lindorm可信存储功能架构示意三方可信授时中心（TSA）可信存储能力防篡改：校验数据是否存在且未被篡改可追溯：校验数据更新删除的完整过程不可抵赖：校验数据操作的用户与时间法律效力：国家级三方可信机构锚定 应用场景证明数据库存储内容真实可信例：交易记录,合同档案的可信存储与举证证明数据的

8、变更过程真实可信例：物/车联网设备数据的可信分析与举证证明操作的用户与时间真实可信例：供应链,物流配送的可信追溯与举证提供单一可信数据源服务例：多方融合计算,数据流转政企金融物联网供应链Lindorm 客户端三方可信认证中心（CFCA）9|全密态数据库研究进展0210全密态与现有数据库加密技术的差异|现有技术不考虑数据库内核中数据（data in use）的数据安全TDESSL/TLS全密态数据库加密场景数据落盘时加密（data at rest）网络传输时加密(data in transit)端到端全程加密(always encrypted)明文可见性加载到数据库后解密可见到达服务器后解密可见

9、服务器端完全不可见密钥管理方式云服务管理用户密钥（包括BYOK）双方协商会话密钥云服务不接触用户密钥安全性防止拖库、网络监听不考虑OS、特权软件、DBA等内部威胁内部+外部威胁全面防护11挑战与技术路线|挑战：（在数据外包服务中）如何在密文状态下进行数据查询、计算应用端独立加密定制化加密算法可信硬件安全假设标准加密方案(AES/国密)依赖密码学理论与软件实现的安全性(对密码学原理的信任)依赖TEE原理与软硬件实现的安全性(对第三方TEE厂商的信任)技术方案写入DB前对字段加密DB当作raw bytes处理FHE/PHE：密文数值计算OPE/ORE：密文数值比较SSE：密文数据检索Intel S

10、GX：提供Enclave环境，可进行安全隔离的明文计算其他：AMD SEV/ARM TrustZone/RISC-V Keystone等优势方案简单，无侵入性无硬件依赖，跨平台支持任意计算逻辑劣势1.无法支持任何计算2.不安全的等值比较（确定性加密）1.支持操作有限（定制化，安全强度各异）2.计算量大，性能较差1.侧信道攻击2.硬件资源&功能受限12密码学方案与技术局限|密码学方案 同态加密(Homophonic Encryption)支持密文上的数值计算（加法/乘法）HE(x)HE(y)=HE(x+y)HE(x)HE(y)=HE(x y)保序加密(Order Preserving Encry

11、ption)支持密文上的数值比较 OPE(x)OPE(y)iff x?);ps.set(1,sdk.encryptInteger(2000,provile,SALARY);/加密ResultSet rs=ps.executeQuery();for(Result&r:rs)String name=sdk.decryptString(r.get(NAME);/解密/使用 EncJDBC，传递主密钥Connection conn=DriverManager.getConnection(encjdbc:XXX&mek=MEK,user1,user1);PreparedStatement ps=conn

12、.prepareStatement(SELECT NAME FROM profile WHERE SALARY?);ps.set(1,2000);/自动加密，无需修改ResultSet rs=ps.executeQuery();for(Result&r:rs)String name=r.get(“NAME”);/自动解密，无需修改22|全密态数据库应用实践0423典型业务场景|应用服务数据库服务平台安全运维（数据库上云&第三方托管）-案例：数据洞察服务-痛点：数据库在客户私域部署，管理员越权访问数据多源数据融合(数据合规&合作竞争限制)-案例：隐私计算平台-痛点：企业与合作伙伴进行联合分析时，

13、存在数据泄露风险数据库服务应用服务/用户应用服务/用户敏感数据合规(商业秘密&个人隐私保护)-案例：财报系统-痛点：企业敏感数据被系统研发及运维人员访问应用服务数据库服务终端用户-可信任-不可信任24客户案例1 财报系统|业务诉求 数据安全等级高 数据泄露将对业务产生巨大影响，需要尽量避免处理明文 敏感信息不收敛 敏感数据列较多，应用端自行对数据加解密的处理成本高 依赖DB计算能力 对敏感信息有复杂计算需求(如检索、报表等)，密文上无法支持 现有方案存在多处需求痛点 全密态数据库均可解决 数据写入时 客户端加密数据后上传，可保证数据安全 数据查询时 涉及密文数据计算时，需将密钥传递给数据库，不

14、安全 应用服务器数据库服务器攻击者明文查询请求+查询数据库查询操作明文数据写入数据库写入操作数据密文痛点1【安全】攻击者可窃取数据库端密钥痛点2【性能】无法构建有效索引加速查询痛点4【运维】开发者无权访问调试线上环境痛点3【功能】需要手动管理加解密及密钥25客户案例2 隐私增强计算平台|业务诉求 新业务场景 内容媒体种草，电商平台拔草已经成为新消费的趋势 跨组织数据联动 需要用到双方数据对品牌、人群联合洞察来进行商业行为决策 数据安全顾虑 由于商业数据较为敏感，无法直接明文共享给外部合作方 全加密数据库方案可以支持大规模跨组织联合分析ID安全匹配联合分析企业A权限设置机密计算隐私增强计算全密态数据库机密计算企业B权限设置全密态数据库26总结|大数据与云计算时代，数据库面临前所未有的数据安全挑战 全密态数据库将成为保护数据安全的“利器”以技术手段保障了数据库端到端的数据机密性 保障数据安全前提下的数据库运维、敏感数据管理、数据流通等 技术标准化与广泛应用仍需要更多时间的沉淀27非常感谢您的观看|28