基于国密算法的数据库敏感字段加密设计

2.1  加解密SDK及加解密服务平台

2.3  历史数据加密清洗平台

加密数据查询系统（DBSearch）的目标用户是运维和研发，当运维和研发遇到生成故障需要进行排查时使用。隐藏分为2种查询权限，脱敏查询和明文查询，在两种权限模式下，会根据数据库内不同的数据有不同的处理策略。

DBSearch判断何种情况下要对数据进行脱敏，依赖的是敏感数据管理平台对于敏感数据的识别结果和检测能力，判断哪些数据要进行解密，依赖的是加解密平台的加密策略（哪些库表列有配置是加密的）以及密文的标准识别策略。

针对每个待加密的表敏感字段，都会新增2列密文字段。分别是摘要索引字段，用于存储SM3（敏感信息+盐），密文字段，用于存储SM4（敏感数据）字段，密钥的最小颗粒度到列级。其中密文是用密钥进行对称加密的部分，未来在业务需要使用明文的时候（例如业务场景需要再前端给用户展示这个手机号），就需要利用加解密SDK完成解密成明文。而摘要索引是通过杂凑算法（也就是我们通常理解的不可逆哈希值）对明文+盐进行计算得出，这个值主要是为了在关联计算和对比值是否相等的时候可以直接使用。最常用的场景就是多表的关联查询。因为不同的业务表即便同一类型敏感数据字段也可能采取不同密钥。如果只有密文字段，就无法实现多表关联查询。而通过新增摘要索引字段，通过采用统一的盐进行摘要信息。在抵御彩虹表攻击的同时，也完美的解决了无法关联查询的弊端。

有意思的是在系统上线后，公司也启动了国密改造（密评）项目。在差距分析中，发现密评有2项分值占比非常高的测评项，分别是敏感数据国密算法加密存储和数据完整性校验。我们的加解密解决方案中已实现了这2个基本功能。只是在完整性校验上，需要略作调整，即把SM3加密的摘要字段，作为校验值比对，即可完成完整性校验功能。

3.1.2　密钥替换机制的设计

按照信息安全技术相关标准规范，密钥的有效期一般在3年左右。所以加密方案也要能支持密钥的更替。而密钥的更替，也直接导致了密文和摘要信息的重新生成。通过在密文和摘要字段的前5个字节设置版本信息，我们可以很好的解决这一个难题。

这5个字段分别是1～3位标识的加密方案，通过这3位，加解密SDK可以识别数据采用第几套加密方案，做到新老方案的兼容。第4位是加密算法标识位，可以区分数据加密是通过何种加密算法加密的，保证未来可以可以对算法进行识别和更换。而第5位则是密钥版本标识。当数据切换密钥的情况下，用于区分采用那个密钥进行解密，如图2所示。

最后，在新老密钥共存期间，可以继续利用历史数据加密清洗平台，对老版本密钥的对应的密文字段和摘要字段采用新密钥重新加密。完成密钥升级过程。

3.2　基于5步放量法的加解密SDK放量开关设计

由于改造目标存在上下游依赖关系，同时整个系统中是存在有大量历史数据的，因此在改造顺序上需要考虑几个点：第一，改造应该从源头开始，这样能够保证下游填了不存在涉敏明文数据，但要考虑过渡；第二，改造优先处理增量数据，再处理历史数据。

整个过程可分为5个阶段，以处理增量明文数据为最优先，为的是确保整个体系中涉敏明文数量不再持续增加，最终的目标是在确认从数据源头开始向后的所有系统都已经在使用了密文后，使涉敏明文存在无意义后，再清除掉所有的明文信息。对此，特地设计了一套放量开关置于加解密SDK，通过对3个放量开关逐步打开，顺利完成整个敏感数据加密的过程。这3个开关分别是开关1、开关2和开关3。开关1，三写开关，即打开后明文，密文，摘要索引字段都写入。读取时仍读取明文字段提供给应用使用。开关2，密文读取开关。当打开第2个开关后，仍然对明文、密文、摘要索引三个字段进行写入，但是读取时候不读取明文字段，而是通过读取密文字段后，通过解密算法还原成明文后，返回给应用使用。开关3，明文不保存开关。打开最后一个强制覆盖开关后。读取方式不变，同开关2一致，但是写入时候，会对明文字段置空，起到清理明文敏感数据的作用。

本文所设计的基于国密算法的数据库敏感字段加密系统，可以快速实现全库敏感字段100%加密存储，有效降低了数据库被拖库后代理的数据泄漏风险。同时也很好兼顾了加密后敏感数据的查询以及后续的密钥可替换。

本文所设计的基于国密算法的数据库敏感字段加密方案，实现了敏感数据的识别、敏感数据加解密基础服务的提供以及加密后敏感数据的查询功能。其创新设计的hash摘要字段和密文字段版本前缀，使其数据加密和数据查询之间找到了平衡，同时也对未来密钥的更替提供了便捷性，增加了敏感数据的安全保障。

参考文献

[1] GB/T 32918.1-2016,信息安全技术 SM2椭圆曲线公钥密码算法 第1部分：总则[S]

[2] GB/T 32905-2016,信息安全技术 SM3密码杂凑算法[S]

[3] GB/T 32907-2016,信息安全技术 SM4分组密码算法[S]