深度揭秘Greenplum开源数据库 透明加密 Greenplum 研发工程师 王淏舟 1. 我们所面临的问题 2. 基于pgcypto的数据加密方案 3. GPDB数据透明加密方案设计 4. GPDB数据透明加解密流程 5. 总结 我们所面临的问题 什么是Greenplum数据库 一款开源的HTAP数据库: • MPP架构 • 完整的事务+ACID+标准SQL支持 • 支持上千个节点的部署 GPDB的数据安全 数据需要加密 • 机密数据 • 知识产权保护 • 审计要求 用户数据存在直接暴露的风险 • 非部门员工运维（原厂，主机厂或者合作伙伴） • 事后审计难度很大 • 服务器数据被盗（托管或云部署） 用户的问题 现有解决方案 基于操作的系统的硬盘加密 • 只能防范服务器硬盘被盗 • 对运维安全无能为力 基于pgcypto的加密 • 可以满足数据安全要求 • 非原生方案 • 问题很多 基于pgcypto的数据加密方案 pgcypto Postgresql社区提供的一款简单加密插件 • https://www.postgresql.org/docs/13/pgcrypto.html • https://github.com/greenplum-db/gpdb/tree/master/contrib/pgcrypto 现有解决方案 数据加载

56 不支持项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 4.7 数据加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 4.7.1 背景 6.5.1 ReplicaLoadBalanceAlgorithm . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 6.6 数据加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 6.6.1 EncryptAlgorithm . 255 规则切换阶段 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 7.4 数据加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 7.4.1 处理流程详解

39 不支持项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 3.8 数据加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 3.8.1 背景 . . . . 259 负载均衡算法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 加密算法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264 影子算法 . . . 11.3 已知实现 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 5.12 数据加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 5.12.1 EncryptAlgorithm

55 不支持项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 4.8 数据加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 4.8.1 背景 . . . . 119 负载均衡算法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 加密算法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 影子算法 . . . 1 SQLChecker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 6.13 数据加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 6.13.1 EncryptAlgorithm

54 不支持项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 4.8 数据加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 4.8.1 背景 . . . . 118 负载均衡算法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 加密算法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 影子算法 . . . 1 SQLChecker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 6.13 数据加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 6.13.1 EncryptAlgorithm

75 不支持项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 3.6 数据加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 iii 3.6 . . . . . . . . . . . . . . . . . . . . . . . . . . 80 中间件加密服务优势 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 加密算法解析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.5.1 ReplicaLoadBalanceAlgorithm . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 5.6 数据加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 5.6.1 EncryptAlgorithm

56 不支持项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 4.8 数据加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 4.8.1 背景 . . . . 122 负载均衡算法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 加密算法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 影子算法 . . . 1 SQLChecker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 6.13 数据加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 6.13.1 EncryptAlgorithm

41 不支持项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 8.7 数据加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 8.7.1 背景 . . . . 371 负载均衡算法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 加密算法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373 影子算法 . . . 403 已知实现 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 10.6 数据加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 10.6.1 EncryptAlgorithm

41 不支持项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 8.7 数据加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 8.7.1 背景 . . . . 389 负载均衡算法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 加密算法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 影子算法 . . . 424 已知实现 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 10.6 数据加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 10.6.1 EncryptAlgorithm

• 密码算法分类 • 国密套件总览 密码算法安全目标 Security Goals Rust China Conf 2022 – 2023, Shanghai, China • 通常来说，通过加密方式，对于信息的传输，我们希望达成以下五个目标： • 不同的攻击方式可能针对于不同的目标进行攻击。比如DoS（拒绝服务Denial of Service） 攻击就是针对可获性进行的攻击，使计算机或网络无法提供正常的服务。 国密算法与协议介绍 Introduction to Shangmi Algorithms and Protocols Section #2 • 国密套件算法简介 • 国密 TLS 简介 来源：国密算法加密芯片，支持国密全套件等安全算法，http://www.bjlcs- tech.com/article/95.html 国密套件总览 List of Shangmi Cryptography Rust 分组加解密 对称加 密 128 AES128 否，仅以 IP 核的形 式存在于芯片中 智能 IC 卡、智能密码钥匙、加 密卡、加密机等 Sm2 GB/T 32918-2016 ISO/IEC 10118-3:2018 ECC加解密，签名验 签，密钥交换 非对称 加密 128 ECC 是 TLCP、区块链等场景，用于签名 验签等 Sm3 GM/T 0004-2012 ISO/IEC 10118-3:2018