首批通过分布式安全可靠测评,为关键业务系统打造
数据加密概述
更新时间:2026-04-07 20:57:20
OceanBase 数据库提供多层次的数据加密能力,保护数据在不同阶段的安全性。根据加密的位置和阶段,OceanBase 数据库支持以下几种数据加密方式:
| 加密方式 | 保护阶段 | 加密对象 | 密钥体系 |
|---|---|---|---|
| 数据传输加密 | 数据传输中 | 网络通信数据 | SSL/TLS 证书 |
| 数据透明加密(TDE) | 数据存储时 | 磁盘上的宏块/clog | 租户主密钥、数据密钥两级密钥体系 |
| 列加密 | 查询返回时 | 敏感列数据 | 租户主密钥 |
| 函数加密 | 数据处理时 | 敏感列数据 | 租户主密钥 |
数据传输加密
传输加密用于保护客户端与数据库服务器之间、以及服务器节点之间传输的数据。OceanBase 数据库通过 SSL/TLS 协议实现传输加密,依赖 OpenSSL 或第三方 SSL 库提供的证书体系。
数据透明加密(TDE)
透明数据加密(Transparent Data Encryption,简称 TDE)用于保护存储在磁盘上的数据。开启 TDE 后,数据在写入磁盘前自动加密,读取时自动解密,该过程对用户透明。TDE 采用两级密钥体系,使用租户主密钥保护数据密钥。
列加密
列加密用于保护查询结果中的敏感数据。通过创建敏感规则指定需要保护的列,当用户查询这些列时,系统根据加密规则决定返回明文或密文。列加密与 TDE 功能共用租户主密钥。
函数加密
函数加密用于保护敏感函数数据。通过调用 ENHANCED_AES_ENCRYPT 和 ENHANCED_AES_DECRYPT 加解密函数,可以对数据进行 AES 加密/解密。函数加密与 TDE 功能共用租户主密钥。
租户主密钥
透明数据加密(TDE)和列加密功能共用租户主密钥作为加密基础设施。在使用这两个功能之前,需要先生成租户主密钥。
详细信息请参见 租户主密钥管理。
说明
传输加密使用 SSL/TLS 证书体系,与租户主密钥无关。