OceanBase数据存储加密概述

数据存储加密是指对数据和 Clog 等保存在磁盘中的数据进行无感知的加密，即透明加密（简称 TDE）。数据在写入存储设备前自动进行加密，读取时自动解密，该过程对用户是透明的，黑客和恶意用户无法从数据文件、数据库备份或磁盘中读取到敏感数据。

概述

OceanBase 数据库的用户数据和备份最终都是以二进制的形式，存储在磁盘或其它形式的永久存储上。无数据访问权限的用户可能会接触到这些存储，再通过外部操作对数据存储进行读取和解读，从而导致数据泄露。

虽然 OceanBase 数据库的数据以压缩形式保存，具备一定的保密性，但仍旧有被破解的风险。为了保护存储在内存和硬盘中数据的安全，OceanBase 数据库现阶段支持国际上主流的加密算法 AES，与此同时，还支持国密算法 SM4。

在密钥管理方面，OceanBase 数据库利用 Keystore 提供两层密钥管理。为了保证数据的安全性，用户无法使用 Keystore 直接查看主密钥和加密密钥信息，也无法指定主密钥和加密密钥，主密钥和加密密钥由系统生成，并且不会直接通过明文存储到磁盘上，大大提高了系统的安全性。

Keystore 是管理主密钥的模块，提供密钥管理服务。Keystore 的功能包括：

• 主密钥的生成：主密钥由 Keystore 根据加密算法生成，用户无法指定，这样也更加的安全。

• 主密钥相关信息存储：根据主密钥相关信息 Keystore 可以获取得到主密钥，Keystore 需要保证相关信息的多副本特性，一致性特性和故障处理。

• 主密钥管理和多版本控制：Keystore 负责主密钥的修改和多版本控制，多版本机制允许新生成的主密钥无需立即生效，可以逐步完成主密钥的替换。

• 获取主密钥的高可用服务。

• 处理 Keystore 的操作指令。