安永数据库加密系统——基于TEE的新一代数据库加密产品

基于TEE的新一代数据库加密产品

TEE级安全，可搜索加密，防“拖库”

产品简介

安永数据库加密系统是基于芯片级密钥安全、可搜索加密(Searchable Encryption)、硬件可信执行环境 (Trusted Execution Environment) 等实现敏感数据加密存储的数据库防泄漏产品。系统支持使用国产加密算法SM4对敏感数据加密，支持列/表/库等不同细粒度的加密配置，可应用于关系型数据库的结构化数据加密，支持国产信创环境，有效满足各类用户的等保、分保测评、数据安全防护需求。

安永数据库加密系统，是业内领先基于TEE的数据加密产品，从密钥安全性、数据保密性两个层面大幅提升系统数据的安全性。一是通过芯片级硬件安全技术，对密钥生产、使用、保存进行全生命周期保护，避免明文暴露；二是基于信创底座安全优势，构建“密钥+数据”双重加密保护机制；三是基于自研工程化可搜索加密技术，创新解决数据全量加密后的索引难题。做到密钥不出安全域、无明文暴露、数据硬件隔离级安全，创新解决“拖库”难题。已被认定为安徽省新产品。

面向数据资产保护需求，解决加密痛点，预防拖库难题

三大痛点

密钥本身不安全

作为加密安全的核心，密钥自身安全至关重要，但传统数据库加密产品对密钥安全防护不足。

内部人攻击防不住

大量数据泄露与内部人相关，内部高权限用户的管控是安全难题。

加密索引难度大

数据加密后会导致索引发生变化，如何构建可搜索加密，是行业难题。

解决方案

信创+TEE

利用信创安全和TEE技术，为密钥提供芯片级安全防护，密钥内置于TEE中。

权控+密文存储

结合权限控制，密钥无明文暴露，内部人也无法获取明文密钥。

新一代可搜索加密

自研新一代可搜索加密（专利技术），可实现加密后模糊查找。

方案效果

密钥不出安全域，无明文暴露

密钥及加密过程均内置于TEE中，密钥无明文暴露，实现密钥高安全。

数据硬件隔离级安全

通过高安全密钥，为数据提供加密，实现硬件隔离级安全。

安全性和可用性平衡

基于可搜索加密技术，性能优化，实现加密性能损失可控。

技术架构

产品优势

基于TEE技术
密钥管理及使用限定TEE内部，密钥不明文存在于内存中，确保密钥安全。
芯片级密钥安全
基于信创底层安全能力，研发芯片级的密钥保护技术，保证密钥安全。
高效加密索引
独有且经过工程化验证的可搜索加密技术，确保加密后的高效索引，解决行业痛点。
独立密钥管理
支持软件、密码机、加密卡等多种密钥生成方式，加密密钥独立生成、独立管理。
适配信创环境
产品可支持信创环境运行，可在龙芯、飞腾、海光、兆芯、鲲鹏等各类国产化环境高效运行。

部署方式

环境支持

数据库

可支持Oracle、 MySQL、PostgrelSQL、达梦、人大金仓、高斯DB、神舟通用、南大通用等多种数据库类型

操作系统

支持 Linux 操作系统，麒麟、统信UOS、龙芯等

处理器

可支持Intel SGX、AMD SEV、TrustZone、龙芯、飞腾、海光、鲲鹏等主流处理器的版本产品

云环境

支持微软云Azure，AWS，阿里云，腾讯云，京东云，华为云等

场景案例

医院（医疗）数据保护

为医疗行业患者信息、处方信息、病历数据、院内各类数据提供安全防护。已在多家三甲医院应用。

高校（教育）学生数据保护

为高校师生人员信息库级其他敏感数据库提供加密，确保学生信息安全。已在某985高校上线运行。

政务数据防护

针对政务数据授权运营场景，依托机密计算，提供底层安全防护，确保数据“可用不可见”，已在多个高敏感数据防护场景应用。

汽车（车联网）数据安全

在车端，基于TEE提供车辆数据安全防护，在车联网平台侧，为数据提供加密防护。已在某头部车厂某高端车型落地。

联系我们获取更多产品信息

咨询合作与试用