全量通过！华为云 GaussDB 首批完成信通院全密态数据库评测

100%全量通过！基于全栈创新计算架构的全密态数据库华为云 GaussDB，完成了中国信通院组织的首批“全密态数据库”产品能力评测，标志着 GaussDB 可以为用户数据提供全生命周期的安全能力，突破数据库密态计算领域挑战，实现全面创新。

该评测依据《大数据全密态数据库技术要求》进行，对标准中所有的四个能力域共计三十个能力项进行测试，全周期数据密态、密态数据处理、加密算法与密钥管理、以及数据库基本能力等。

此次参与评测的 GaussDB是华为重磅打造的企业级原生分布式关系型数据库，在传统企业级安全能力基础上开拓进取，针对价值数据的机密性保护这一挑战，不断突破软硬融合密态数据处理、可搜索加密等根技术，成为一款易开发、全功能、高性能的全密态数据库。

结合全栈创新计算架构的优势，实现数据加密场景下的全 SQL 功能支持；

突破硬件可信计算资源调度技术，实现基于可信执行区算子级隔离防护技术；

深度打磨端侧驱动密文处理引擎，实现全流程加密的业务“零”改造；

基于高强度密码学防护，实现数据网络传输、查询处理、云上存储全流程安全。

架构创新：全栈创新计算架构

华为云 GaussDB 基于鲲鹏芯片，EulerOS（欧拉服务器操作系统）和iTrustee（华为可信执行环境操作系统）安全系统等全栈创新计算架构，构建了全密态数据库能力。通过软硬件的垂直整合，GaussDB 全密态已经具备良好的功能、性能、安全等表现。基于鲲鹏芯片提供的安全执行环境，可以让任何第三方都看不到明文数据，让用户真正放心的将数据存放在数据库中；通过与 EurlerOS、iTrustee 协同构建的内存零切换技术，实现了数据库与 TEE 的快速交互，可以大幅提升数据在密文状态下的处理性能。

软硬融合全密态解决方案

华为云 GaussDB 支持软硬两种密态模式，并具备软硬融合全密态处理能力。结合了密态查询与 TEE 机密计算各自的优缺点，能够支持多场景下的应用，包括公有云、混合云等模式，并实现数据全流程加密对开发者接入的透明无感知。

在硬件模式下，GaussDB 支持多硬件平台能力，且针对华为创新研发的鲲鹏 TEE 进行了深度优化；实现了最小粒度的隔离级别，将攻击面最小化，并通过一系列的密钥安全保障机制，包括密钥管理体系、可信传输通道、会话级密钥管理机制，提升了硬件环境中的数据及密钥安全。

在无法进行 TEE 解密的场景下，GaussDB 也能够支持软件模式的密态查询能力，通过对多种密码学算法的深度性能优化，构建出不同的密态查询引擎，以完成不同的检索和计算功能，实现数据等值查询、范围查询、模糊查询等能力。

高度安全：高强度的密钥体系，保障用户密钥安全

整个密态数据库解决方案中除数据本身具有敏感性质外，最为敏感的信息就是数据加解密密钥，一旦密钥泄露，将给用户数据带来严重风险。特别是在硬件模式下，密钥需离开用户侧，传输到云侧可信硬件环境中，其安全保护至关重要。GaussDB 通过实现三层密钥体系，让各层密钥各司其职，真正做到密钥高强度的安全保护。

GaussDB三层高强度密钥体系，第一层数据密钥，可以针对不同的字段将采用不同的密钥；第二层用户密钥，实现了用户之间的加密隔离，用户密钥永远不会离开用户可信环境，因而包括管理员在内的其他用户，都无法解密明文数据。第三层设备密钥，实现了设备之间的加密隔离，大大提升整体安全性。

不仅如此，在硬件模式下，需要将字段级密钥传输给硬件 TEE 使用。GaussDB 在该场景下采取了更高强度的保护措施：采用了基于 TEE 内置密钥的高安全协议，可以构建用户侧与 TEE 之间的可信通道，保证密钥安全可信的加密传输，防止中间人攻击；其次，密钥不会以任何形式离开 TEE，会话结束将立刻删除，以最小化数据密钥生命周期，防止因硬件漏洞或异常情况引起的密钥泄露。

关于华为云 GaussDB

GaussDB 融合了华为在数据库领域 16 年多的耕耘经验与战略投入成果，是基于分布式理论打造的行业领先的原生分布式关系型数据库，采用行业先进的全并行分布式架构，有应对海量并发事务处理与复杂查询混合负载的能力；还有同城跨 AZ、两地三中心、数据 0 丢失等多种高可用方案，出色的金融级高可用商用能力全方面满足金融级监管要求。

当前，华为云 GaussDB 已在 2500+大客户中规模商用，覆盖金融、政府、电信、能源、交通、物流、电商等各行各业。随着企业数字化转型进入深水区，未来企业对数据库的要求会不断增长，华为云数据库将矢志创新，历久弥坚，汇聚更多数据库产业力量，持续打造企业核心业务云化的智能数据底座，助推更多企业数字化升级。

审核编辑黄宇