## 深度揭秘Greenplum开源数据库 透明加密 Greenplum 研发工程师 王湯舟 1. 我们所面临的问题 2. 基于pgcrypto的数据加密方案 3. GPDB数据透明加密方案设计 4. GPDB数据透明加解密流程 5. 总结 ## 我们所面临的问题 ## 什么是Greenplum数据库 GPDB 一款开源的HTAP数据库： • MPP架构 完整的事务+ACID+标准SQL支持 GPDB的数据安全 用户的问题 数据需要加密 • 机密数据 • 知识产权保护 • 审计要求 用户数据存在直接暴露的风险 • 非部门员工运维（原厂，主机厂或者合作伙伴） • 事后审计难度很大 • 服务器数据被盗（托管或云部署） ## 现有解决方案 基于操作的系统的硬盘加密 • 只能防范服务器硬盘被盗 • 对运维安全无能为力 基于pgcrypto的加密 • 可以满足数据安全要求 • • 非原生方案 • 问题很多 ## 基于pgcrypto的数据加密方案 ## pgcrypto Postgresql社区提供的一款简单加密插件 https://www.postgresql.org/docs/13/pgcrypto.html https://github.com/greenplum-db/gpdb/tree/master/contrib/pgcrypto 现有解决方案 数据加载

可以方便选择适合自己业务场景的解决方案，通过独有的XuperBridge技术，可插拔多语言虚拟机，从而支持丰富的合约开发语言。 在网络能力方面，XuperChain具备全球化部署能力，节点通信基于加密的P2P网络，支持广域网超大规模节点，且底层账本支持分叉管理，自动收敛一致性，TDPOS算法确保了大规模节点下的快速共识。在账号安全方面，XuperChain内置了多私钥保护的账号体系，支持权重累计、集合运算等灵活的策略。 现全分布式结构化拓扑网络结构，数据传输全程加密。局域网穿透技术采用NAT方案，同一条流保持长连接且复用。多条链复用同一个p2p网络| |共识|共识模块用于解决交易上链顺序问题，过滤无效交易并达成全网一致。XuperChain实现了更加高效的DPOS共识算法。支持可插拔，从而可以支持不同的业务场景| |密码学|用于构造和验证区块、交易的完整性，采用非对称加密算法生成公私钥、地址。匿名性较好。支持可插拔，从而可以支持不同的业务场景| 隐私和保密 XuperChain支持多种隐私保护和保密机制，包括但不限于： 1. 数据在p2p网络中采用ECDH加密传输，保障区块链数据的安全性； 2. 通过助记词技术，在用户私钥丢失的情况下可以恢复； 3. 多私钥保护的账号体系； 4. 基于椭圆曲线算法的公私钥加密和签名体系； ### 7. 性能 交易处理速度：达到9万TPS 1. 默认采用DPOS作为共识算法； 2. 交易处理充分利用计算机多核，支持并发执行；

可以方便选择适合自己业务场景的解决方案，通过独有的XuperBridge技术，可插拔多语言虚拟机，从而支持丰富的合约开发语言。 在网络能力方面，XuperChain具备全球化部署能力，节点通信基于加密的P2P网络，支持广域网超大规模节点，且底层账本支持分叉管理，自动收敛一致性，TDPOS算法确保了大规模节点下的快速共识。在账号安全方面，XuperChain内置了多私钥保护的账号体系，支持权重累计、集合运算等灵活的策略。 现全分布式结构化拓扑网络结构，数据传输全程加密。局域网穿透技术采用NAT方案，同一条流保持长连接且复用。多条链复用同一个p2p网络| |共识|共识模块用于解决交易上链顺序问题，过滤无效交易并达成全网一致。XuperChain实现了更加高效的DPOS共识算法。支持可插拔，从而可以支持不同的业务场景| |密码学|用于构造和验证区块、交易的完整性，采用非对称加密算法生成公私钥、地址。匿名性较好。支持可插拔，从而可以支持不同的业务场景| 持权重累计、集合运算等灵活的策略，可以满足不同的业务场景| 可信账本 超级链可信账本基于超级链和百度Mesatee技术，实现了合约数据加密存储及链上密文运算等功能。具备性能高、编程复杂度低等特点。 1. 密文存储：可信账本提供数据加解密功能，用户可将数据加密存储在合约中。 2. 权限管理：支持数据拥有者对数据所属权和使用权的细粒度管理。 3. 基本运算：支持密文加法，减法以及乘法，比较运算

可以方便选择适合自己业务场景的解决方案，通过独有的XuperBridge技术，可插拔多语言虚拟机，从而支持丰富的合约开发语言。 在网络能力方面，XuperChain具备全球化部署能力，节点通信基于加密的P2P网络，支持广域网超大规模节点，且底层账本支持分叉管理，自动收敛一致性，TDPOS算法确保了大规模节点下的快速共识。在账号安全方面，XuperChain内置了多私钥保护的账号体系，支持权重累计、集合运算等灵活的策略。 现全分布式结构化拓扑网络结构，数据传输全程加密。局域网穿透技术采用NAT方案，同一条流保持长连接且复用。多条链复用同一个p2p网络| |共识|共识模块用于解决交易上链顺序问题，过滤无效交易并达成全网一致。XuperChain实现了更加高效的DPOS共识算法。支持可插拔，从而可以支持不同的业务场景| |密码学|用于构造和验证区块、交易的完整性，采用非对称加密算法生成公私钥、地址。匿名性较好。支持可插拔，从而可以支持不同的业务场景| 持权重累计、集合运算等灵活的策略，可以满足不同的业务场景| 可信账本 超级链可信账本基于超级链和百度Mesatee技术，实现了合约数据加密存储及链上密文运算等功能。具备性能高、编程复杂度低等特点。 1. 密文存储：可信账本提供数据加解密功能，用户可将数据加密存储在合约中。 2. 权限管理：支持数据拥有者对数据所属权和使用权的细粒度管理。 3. 基本运算：支持密文加法，减法以及乘法，比较运算

可以方便选择适合自己业务场景的解决方案，通过独有的XuperBridge技术，可插拔多语言虚拟机，从而支持丰富的合约开发语言。 在网络能力方面，XuperChain具备全球化部署能力，节点通信基于加密的P2P网络，支持广域网超大规模节点，且底层账本支持分叉管理，自动收敛一致性，TDPOS算法确保了大规模节点下的快速共识。在账号安全方面，XuperChain内置了多私钥保护的账号体系，支持权重累计、集合运算等灵活的策略。 现全分布式结构化拓扑网络结构，数据传输全程加密。局域网穿透技术采用NAT方案，同一条流保持长连接且复用。多条链复用同一个p2p网络| |共识|共识模块用于解决交易上链顺序问题，过滤无效交易并达成全网一致。XuperChain实现了更加高效的DPOS共识算法。支持可插拔，从而可以支持不同的业务场景| |密码学|用于构造和验证区块、交易的完整性，采用非对称加密算法生成公私钥、地址。匿名性较好。支持可插拔，从而可以支持不同的业务场景| 持权重累计、集合运算等灵活的策略，可以满足不同的业务场景| 可信账本 超级链可信账本基于超级链和百度Mesatee技术，实现了合约数据加密存储及链上密文运算等功能。具备性能高、编程复杂度低等特点。 1. 密文存储：可信账本提供数据加解密功能，用户可将数据加密存储在合约中。 2. 权限管理：支持数据拥有者对数据所属权和使用权的细粒度管理。 3. 基本运算：支持密文加法，减法以及乘法，比较运算

可以方便选择适合自己业务场景的解决方案，通过独有的XuperBridge技术，可插拔多语言虚拟机，从而支持丰富的合约开发语言。 在网络能力方面，XuperChain具备全球化部署能力，节点通信基于加密的P2P网络，支持广域网超大规模节点，且底层账本支持分叉管理，自动收敛一致性，TDPOS算法确保了大规模节点下的快速共识。在账号安全方面，XuperChain内置了多私钥保护的账号体系，支持权重累计、集合运算等灵活的策略。 现全分布式结构化拓扑网络结构，数据传输全程加密。局域网穿透技术采用NAT方案，同一条流保持长连接且复用。多条链复用同一个p2p网络| |共识|共识模块用于解决交易上链顺序问题，过滤无效交易并达成全网一致。XuperChain实现了更加高效的DPOS共识算法。支持可插拔，从而可以支持不同的业务场景| |密码学|用于构造和验证区块、交易的完整性，采用非对称加密算法生成公私钥、地址。匿名性较好。支持可插拔，从而可以支持不同的业务场景| 隐私和保密 XuperChain支持多种隐私保护和保密机制，包括但不限于： 1. 数据在p2p网络中采用ECDH加密传输，保障区块链数据的安全性； 2. 通过助记词技术，在用户私钥丢失的情况下可以恢复； 3. 多私钥保护的账号体系； 4. 基于椭圆曲线算法的公私钥加密和签名体系； ### 7. 性能 交易处理速度：达到9万TPS 1. 默认采用DPOS作为共识算法； 2. 交易处理充分利用计算机多核，支持并发执行；

可以方便选择适合自己业务场景的解决方案，通过独有的XuperBridge技术，可插拔多语言虚拟机，从而支持丰富的合约开发语言。 在网络能力方面，XuperChain具备全球化部署能力，节点通信基于加密的P2P网络，支持广域网超大规模节点，且底层账本支持分叉管理，自动收敛一致性，TDPOS算法确保了大规模节点下的快速共识。在账号安全方面，XuperChain内置了多私钥保护的账号体系，支持权重累计、集合运算等灵活的策略。 现全分布式结构化拓扑网络结构，数据传输全程加密。局域网穿透技术采用NAT方案，同一条流保持长连接且复用。多条链复用同一个p2p网络| |共识|共识模块用于解决交易上链顺序问题，过滤无效交易并达成全网一致。XuperChain实现了更加高效的DPOS共识算法。支持可插拔，从而可以支持不同的业务场景| |密码学|用于构造和验证区块、交易的完整性，采用非对称加密算法生成公私钥、地址。匿名性较好。支持可插拔，从而可以支持不同的业务场景| 持权重累计、集合运算等灵活的策略，可以满足不同的业务场景| 可信账本 超级链可信账本基于超级链和百度Mesatee技术，实现了合约数据加密存储及链上密文运算等功能。具备性能高、编程复杂度低等特点。 1. 密文存储：可信账本提供数据加解密功能，用户可将数据加密存储在合约中。 2. 权限管理：支持数据拥有者对数据所属权和使用权的细粒度管理。 3. 基本运算：支持密文加法，减法以及乘法，比较运算

可以方便选择适合自己业务场景的解决方案，通过独有的XuperBridge技术，可插拔多语言虚拟机，从而支持丰富的合约开发语言。 在网络能力方面，XuperChain具备全球化部署能力，节点通信基于加密的P2P网络，支持广域网超大规模节点，且底层账本支持分叉管理，自动收敛一致性，TDPOS算法确保了大规模节点下的快速共识。在账号安全方面，XuperChain内置了多私钥保护的账号体系，支持权重累计、集合运算等灵活的策略。 现全分布式结构化拓扑网络结构，数据传输全程加密。局域网穿透技术采用NAT方案，同一条流保持长连接且复用。多条链复用同一个p2p网络| |共识|共识模块用于解决交易上链顺序问题，过滤无效交易并达成全网一致。XuperChain实现了更加高效的DPOS共识算法。支持可插拔，从而可以支持不同的业务场景| |密码学|用于构造和验证区块、交易的完整性，采用非对称加密算法生成公私钥、地址。匿名性较好。支持可插拔，从而可以支持不同的业务场景| 隐私和保密 XuperChain支持多种隐私保护和保密机制，包括但不限于： 1. 数据在p2p网络中采用ECDH加密传输，保障区块链数据的安全性； 2. 通过助记词技术，在用户私钥丢失的情况下可以恢复； 3. 多私钥保护的账号体系； 4. 基于椭圆曲线算法的公私钥加密和签名体系； ### 7. 性能 交易处理速度：达到9万TPS 1. 默认采用DPOS作为共识算法； 2. 交易处理充分利用计算机多核，支持并发执行；

可以方便选择适合自己业务场景的解决方案，通过独有的XuperBridge技术，可插拔多语言虚拟机，从而支持丰富的合约开发语言。 在网络能力方面，XuperChain具备全球化部署能力，节点通信基于加密的P2P网络，支持广域网超大规模节点，且底层账本支持分叉管理，自动收敛一致性，TDPOS算法确保了大规模节点下的快速共识。在账号安全方面，XuperChain内置了多私钥保护的账号体系，支持权重累计、集合运算等灵活的策略。 现全分布式结构化拓扑网络结构，数据传输全程加密。局域网穿透技术采用NAT方案，同一条流保持长连接且复用。多条链复用同一个p2p网络| |共识|共识模块用于解决交易上链顺序问题，过滤无效交易并达成全网一致。XuperChain实现了更加高效的DPOS共识算法。支持可插拔，从而可以支持不同的业务场景| |密码学|用于构造和验证区块、交易的完整性，采用非对称加密算法生成公私钥、地址。匿名性较好。支持可插拔，从而可以支持不同的业务场景| 隐私和保密 XuperChain支持多种隐私保护和保密机制，包括但不限于： 1. 数据在p2p网络中采用ECDH加密传输，保障区块链数据的安全性； 2. 通过助记词技术，在用户私钥丢失的情况下可以恢复； 3. 多私钥保护的账号体系； 4. 基于椭圆曲线算法的公私钥加密和签名体系； ### 7. 性能 交易处理速度：达到9万TPS 1. 默认采用DPOS作为共识算法； 2. 交易处理充分利用计算机多核，支持并发执行；