100%全量通過！基于全棧創新計算架構的全密態數據庫華為云 GaussDB，完成了中國信通院組織的首批“全密態數據庫”產品能力評測，標志著 GaussDB 可以為用戶數據提供全生命周期的安全能力，突破數據庫密態計算領域挑戰，實現全面創新。

該評測依據《大數據全密態數據庫技術要求》進行，對標準中所有的四個能力域共計三十個能力項進行測試，全周期數據密態、密態數據處理、加密算法與密鑰管理、以及數據庫基本能力等。

此次參與評測的 GaussDB是華為重磅打造的企業級原生分布式關系型數據庫，在傳統企業級安全能力基礎上開拓進取，針對價值數據的機密性保護這一挑戰，不斷突破軟硬融合密態數據處理、可搜索加密等根技術，成為一款易開發、全功能、高性能的全密態數據庫。

結合全棧創新計算架構的優勢，實現數據加密場景下的全 SQL 功能支持；

突破硬件可信計算資源調度技術，實現基于可信執行區算子級隔離防護技術；

深度打磨端側驅動密文處理引擎，實現全流程加密的業務“零”改造；

基于高強度密碼學防護，實現數據網絡傳輸、查詢處理、云上存儲全流程安全。

架構創新：全棧創新計算架構

華為云 GaussDB 基于鯤鵬芯片，EulerOS（歐拉服務器操作系統）和iTrustee（華為可信執行環境操作系統）安全系統等全棧創新計算架構，構建了全密態數據庫能力。通過軟硬件的垂直整合，GaussDB 全密態已經具備良好的功能、性能、安全等表現。基于鯤鵬芯片提供的安全執行環境，可以讓任何第三方都看不到明文數據，讓用戶真正放心的將數據存放在數據庫中；通過與 EurlerOS、iTrustee 協同構建的內存零切換技術，實現了數據庫與 TEE 的快速交互，可以大幅提升數據在密文狀態下的處理性能。

軟硬融合全密態解決方案

華為云 GaussDB 支持軟硬兩種密態模式，并具備軟硬融合全密態處理能力。結合了密態查詢與 TEE 機密計算各自的優缺點，能夠支持多場景下的應用，包括公有云、混合云等模式，并實現數據全流程加密對開發者接入的透明無感知。

在硬件模式下，GaussDB 支持多硬件平臺能力，且針對華為創新研發的鯤鵬 TEE 進行了深度優化；實現了最小粒度的隔離級別，將攻擊面最小化，并通過一系列的密鑰安全保障機制，包括密鑰管理體系、可信傳輸通道、會話級密鑰管理機制，提升了硬件環境中的數據及密鑰安全。

在無法進行 TEE 解密的場景下，GaussDB 也能夠支持軟件模式的密態查詢能力，通過對多種密碼學算法的深度性能優化，構建出不同的密態查詢引擎，以完成不同的檢索和計算功能，實現數據等值查詢、范圍查詢、模糊查詢等能力。

高度安全：高強度的密鑰體系，保障用戶密鑰安全

整個密態數據庫解決方案中除數據本身具有敏感性質外，最為敏感的信息就是數據加解密密鑰，一旦密鑰泄露，將給用戶數據帶來嚴重風險。特別是在硬件模式下，密鑰需離開用戶側，傳輸到云側可信硬件環境中，其安全保護至關重要。GaussDB 通過實現三層密鑰體系，讓各層密鑰各司其職，真正做到密鑰高強度的安全保護。

GaussDB三層高強度密鑰體系，第一層數據密鑰，可以針對不同的字段將采用不同的密鑰；第二層用戶密鑰，實現了用戶之間的加密隔離，用戶密鑰永遠不會離開用戶可信環境，因而包括管理員在內的其他用戶，都無法解密明文數據。第三層設備密鑰，實現了設備之間的加密隔離，大大提升整體安全性。

不僅如此，在硬件模式下，需要將字段級密鑰傳輸給硬件 TEE 使用。GaussDB 在該場景下采取了更高強度的保護措施：采用了基于 TEE 內置密鑰的高安全協議，可以構建用戶側與 TEE 之間的可信通道，保證密鑰安全可信的加密傳輸，防止中間人攻擊；其次，密鑰不會以任何形式離開 TEE，會話結束將立刻刪除，以最小化數據密鑰生命周期，防止因硬件漏洞或異常情況引起的密鑰泄露。

關于華為云 GaussDB

GaussDB 融合了華為在數據庫領域 16 年多的耕耘經驗與戰略投入成果，是基于分布式理論打造的行業領先的原生分布式關系型數據庫，采用行業先進的全并行分布式架構，有應對海量并發事務處理與復雜查詢混合負載的能力；還有同城跨 AZ、兩地三中心、數據 0 丟失等多種高可用方案，出色的金融級高可用商用能力全方面滿足金融級監管要求。

當前，華為云 GaussDB 已在 2500+大客戶中規模商用，覆蓋金融、政府、電信、能源、交通、物流、電商等各行各業。隨著企業數字化轉型進入深水區，未來企業對數據庫的要求會不斷增長，華為云數據庫將矢志創新，歷久彌堅，匯聚更多數據庫產業力量，持續打造企業核心業務云化的智能數據底座，助推更多企業數字化升級。

審核編輯黃宇