GaussDB数据库数据加密方式介绍

函数加密：字段级，通过调用函数，如md5()等函数对传入参数进行加密，业务感知加密，不支持密文条件安全，数据在会话中临时解密，数据库无法自动解密，防止高权限账户窃取数；

透明加密：表级，数据在文件落盘时加密，对用户及上层使用SQL的应用不感知，对于需要加密的表创建时通过TDE参数指定加密算法，数据库无感知，内存明文处理，防止基于物理磁盘的数据窃取，TDE秘钥管理分为三层，分别是根秘钥，主秘钥，数据加密秘钥。

全密态：字段级，支持密态等值查询，数据库无法解密，防止运维、管理、高权限账户窃取隐私数据，在业务中仅在DDL层做了扩展，在create table或者alter table新增列时可以将列设置为加密列，给需要的列绑定列加密密钥即可，如果DML操作于其他表一致，但需要以密态方式（-C）创建客户端连接才可以，如果是非密态模式，那么查看到的数据是密文，未指定加密的列数据均已明文处理，密钥管理分为三层，分别根密钥，主密钥，列加密密钥，密钥均存储于GaussDB client，减少攻击面；

总结来说，函数加密，是用客户把密钥给到数据库，数据库在执行函数时做一个加密动作，是在数据库里加密。透明加密是在数据库自己找一个密钥，在磁盘落盘时做加密。全密态等值是客户找到密钥之后先把数据加密，再交给数据库，全生命周期都是密文的。
客户端和服务端SSL通信加密，SSL加密支持对称加密、非对称加密，对称加密算法指的是加密和解密使用相同的秘钥，特点是算法公开，加解密速度快、效率高；非对称加密算法包含两个秘钥：公钥和私钥，公钥和私钥是一对，加密和解密使用不同的秘钥，特点是算法复杂度高、安全性更强、性能较对称加密差。
常见算法为AES、DES、MD5、SM4。

透明加密和全密态区别：

• 加密位置不同：透明加密在数据库存储模块后加密，全密态在数据库驱动中加密。
• 加密对象不同：透明加密数据页中的全部数据，全密态加密SQL语句中的某几列数据。
• 加密性能不同：透明加密一次可以处理8k的数据页，全密态一次仅可以处理SQL语句中的一条数据，透明加密性能高于全密态。
• 安全性不同：全密态安全性高于透明加密。