近日,在中国信通院组织的2025下半年批次“可信数据库”测试中,武汉达梦数据库股份有限公司的达梦数据库管理系统V8产品顺利完成了全密态数据库基础能力测试项目,这标志着达梦数据库在数据全生命周期安全领域已达到国内先进水平,可以为用户数据提供全生命周期的安全能力。
本次测试依据《全密态数据库技术要求》(T/CCSA 571-2024)进行,对标准中四个能力域进行了测试,涵盖了全周期数据密态、密态数据处理、加密算法与密钥管理以及数据库基本能力等。
参与测试的达梦数据库管理系统V8产品在传统企业级安全能力基础上,针对用户隐私数据在云服务器端存储的机密性保护方面,突破了软硬融合密态数据计算处理、保序加密等前沿尖端技术,成为一款高性能、高可用、高安全的全密态数据库。
《全密态数据库技术要求》(T/CCSA 571-2024)标准包含数据库基本能力、全周期数据密态、密态数据处理以及加密算法与密钥管理四大能力域,共计30个测试项,为全密态数据库产品的研发、测试以及选型提供了有力参考。本标准也是业内首个全密态数据库产品标准。
达梦全密态技术是一种先进的安全加密技术,它最大的特点是能够保护数据在服务器端的存储、计算、通信等全生命周期的隐私安全。与传统的数据库相比,全密态数据库能够在密文状态下支持各种CRUD(创建、读取、更新、删除)操作,并在密文状态下完成数据的存储、计算、检索、传输和管理。除此之外,全密态和透明数据加密(TDE)一样,对数据库应用及用户完全透明,能够将传统非密态数据库上的应用及业务数据直接迁移至全密态数据库之中。达梦全密态数据库系统架构图如图所示。
达梦全密态数据库系统架构图
加密组件负责对用户发出的SQL语句访问请求中的数据及服务端所反馈的查询结果集中的数据进行本地化的加解密处理,支持保序加密、传统对称加密等;密态计算引擎负责在不解密数据的前提下完成复杂SQL查询和分析任务;可信执行环境(简称:TEE)负责处理多表连接、字符串函数等复杂逻辑封装、数据运算执行。
达梦全密态数据库具备更强的数据安全防护能力,并且在功能、性能、可移植性等方面均具备明显优势:
功能:达梦全密态数据库的功能保持和传统数据库一致,全密态功能对应用程序和应用用户完全透明,用户可以无差别的访问全密态数据库,全密态数据库支持数据的增删改查,支持条件查询、排序查询、集函数查询、连接查询、组合查询等,全密态数据库中所有的SQL语句访问请求同传统数据库一致,无需任何改造。
性能:达梦全密态数据库能够在密文上基于明文语义构建有效的检索索引,提高密文上的查询性能,应用程序只需专注在业务功能的逻辑,不需要耗费精力对明文和密文进行区分处理,密文索引使得达梦全密态数据库的性能和传统数据库的性能在一些场景中基本保持在同一水平。
可移植性:达梦全密态数据库和传统数据库之间具有可移植性,传统数据库的存量数据可通过达梦的配套迁移工具直接迁移到全密态数据库上来,全密态数据库上的存量数据也可通过达梦的配套迁移工具直接迁移到传统数据库上来,接入传统数据库的应用程序也只需少量改造,甚至零改造,就可以接入全密态数据库,研发投入成本低。
高安全性:数据离开客户端后全程以密文形态存在,除在硬件形式的可信执行环境(TEE)外始终以密文形态存在,全链路无法触及密钥和数据明文,确保了业务敏感数据在数据库服务端的安全。
达梦全密态数据库可应用于各个行业领域的各种应用场景,如金融机构、医疗保健、电子商务和政府部门等,确保用户数据的安全性和隐私性。随着数据要素价值的日益凸显,全密态技术在守护各行业数据资产上必将发挥更重要的作用。
未来,达梦数据库将继续深耕数据库领域关键核心技术、坚持自主创新,以优质的产品和服务持续为千行百业的数字化转型筑牢数据安全底座。
中国信通院“可信数据库”工作联系人
姓名:刘思源
联系方式:13691032906(同微信)
