Apache ShardingSphere 的核心能力:数据加密是满足企业级安全合规的核心功能。以下是对其技术实现的深度解析与最佳实践指南:
🔐 数据加密核心价值
解决痛点:在不改造业务代码的前提下,实现敏感数据的:
- 存储加密(落盘密文)
- 查询解密(应用层透明获得明文)
- 合规审计(满足 GDPR/HIPAA 等)
🧩 核心概念三元组
1. 逻辑列 (Logic Column)
- 应用代码中使用的字段名(如
phone) - 业务无感知:SQL 中始终使用此名称
2. 密文列 (Cipher Column)
- 实际存储加密数据的物理列(如
phone_cipher) - 特点:Base64 格式存储,不可直接查询
3. 查询列 (Assisted Query Column)
- 为模糊查询设计的辅助列(如
phone_assisted) - 使用可逆算法(如 MD5/SM3)存储
- 作用:支持
LIKE "%1234%"类查询
⚙️ 加密规则配置解剖
rules:
- !ENCRYPT
tables:
t_user: # 逻辑表名
columns:
phone: # 逻辑列
cipherColumn: phone_cipher # 密文列
assistedQueryColumn: phone_assisted # 查询列 (可选)
encryptorName: phone_encryptor # 加密器引用
encryptors:
phone_encryptor: # 加密器定义
type: AES # 算法类型
props:
aes-key-value: 123456abc # AES密钥
🔧 支持的加密器类型
| 类型 | 算法 | 适用场景 | 特点 |
|---|---|---|---|
AES | AES/GCM/PKCS5Padding | 通用字段加密 | 国标推荐,需管理密钥 |
SM4 | SM4/CBC/PKCS5Padding | 国内合规场景 | 国密算法 |
RC4 | RC4 | 弃用,不推荐 | 存在安全漏洞 |
CHAR_DIGEST_LIKE | MD5/SHA1/SM3 | 模糊查询辅助列 | 不可逆,存储哈希值 |
CUSTOM | 用户自定义 | 特殊加密需求 | 需实现 EncryptAlgorithm 接口 |
💡 智能加密流程
📝 写入场景
/* 应用原始SQL */
INSERT INTO t_user (id, phone) VALUES (1, '13800138000');
/* ShardingSphere 改写后 */
INSERT INTO t_user (id, phone_cipher, phone_assisted)
VALUES (
1,
'ENCRYPT_AES(13800138000)', -- AES加密
'MD5(13800138000)' -- MD5哈希
);
🔍 查询场景
/* 应用查询 */
SELECT phone FROM t_user WHERE phone LIKE '%1380%';
/* ShardingSphere 执行步骤:
1. 计算查询条件哈希: MD5('%1380%') → 'a1b2c3'
2. 改写SQL: */
SELECT
AES_DECRYPT(phone_cipher) AS phone -- 解密字段
FROM t_user
WHERE phone_assisted LIKE '%a1b2c3%'; -- 哈希列查询
⚠️ 关键限制与规避方案
| 限制场景 | 风险 | 解决方案 |
|---|---|---|
| JOIN 加密字段 | 多表关联失效 | 业务层处理关联,或使用视图集成解密逻辑 |
| 聚合函数操作 | SUM/AVG 结果错误 | 内存计算:先解密明文再聚合 |
| 索引失效 | 密文列无法使用原索引 | 为查询列 (phone_assisted) 创建索引 |
| 密钥轮换复杂度 | 全量数据重加密耗时 | 双列过渡方案 + 灰度迁移 (见下文) |
| 分布式事务一致性 | 加解密失败导致事务回滚 | 启用柔性事务 + 本地重试队列 |
🔄 密钥轮换最佳实践
双列过渡方案
columns:
phone:
cipherColumn: phone_cipher_v2 # 新密钥列
assistedQueryColumn: phone_assisted_v2
encryptorName: new_encryptor # 新加密器
# ▼ 保留旧列用于数据迁移 ▼
previousColumns:
- cipherColumn: phone_cipher # 旧列
encryptorName: old_encryptor
迁移步骤:
- 配置双列规则并发布
- 后台迁移作业:
UPDATE t_user SET phone_cipher_v2 = ENCRYPT_NEW(phone) WHERE phone_cipher_v2 IS NULL; -- 增量迁移 - 业务验证新密钥查询
- 移除旧列配置
🛡️ 企业级安全建议
-
密钥管理
- 禁用硬编码:集成 HashiCorp Vault 或阿里云 KMS
- 动态获取密钥:
// 自定义加密器实现 public class KmsAesEncryptor implements EncryptAlgorithm { public String encrypt(Object plaintext) { String keyId = "alias/phone-key"; return KmsClient.encrypt(keyId, plaintext.toString()); } }
-
列权限控制
/* 通过视图限制明文访问 */ CREATE VIEW v_user AS SELECT id, AES_DECRYPT(phone_cipher) AS phone FROM t_user; REVOKE SELECT ON t_user FROM app_user; GRANT SELECT ON v_user TO app_user; -
审计日志
启用 SQL 日志记录加密操作:props: sql-show: true audit-enable: true audit-log-file: /logs/encrypt_audit.log
🧪 加密方案设计决策树
graph TD
A[需加密字段] --> B{需要模糊查询?}
B -->|是| C[配置 assistedQueryColumn + MD5/SM3]
B -->|否| D[仅 cipherColumn]
C --> E{查询性能要求?}
E -->|高| F[为辅助列建索引]
E -->|低| G[使用默认哈希]
D --> H{合规要求?}
H -->|国密| I[SM4 加密器]
H -->|国际| J[AES-256 加密器]
📊 性能压测指标参考
| 场景 | 未加密 QPS | AES 加密 QPS | 性能损耗 |
|---|---|---|---|
| 精确查询 | 12,350 | 10,200 | ~17% |
| 模糊查询 | 8,400 | 7,100* | ~15% |
| 批量插入 (1k) | 9.2s | 11.5s | ~25% |
注:模糊查询使用辅助列索引
💎 总结:数据加密的本质
ShardingSphere 通过 SQL 改写引擎 + 可插拔加密器 实现:
- 存储安全:数据库落盘为密文
- 业务透明:应用无改造成本
- 查询兼容:精准/模糊查询支持
- 灵活扩展:自定义加密算法
下一步实践建议:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
