MongoDB可查詢加密(Queryable Encryption)由MongoDB加密研究小組(Cyptography Research Group)開發(fā)，是具有突破性意義的業(yè)界首創(chuàng)技術。該技術允許客戶對應用中的敏感數(shù)據(jù)進行加密，不但可以將其以加密狀態(tài)安全地存儲在MongoDB數(shù)據(jù)庫中，還可直接在加密數(shù)據(jù)上執(zhí)行等值查詢和范圍查詢，且無需具備加密專業(yè)知識。在原有可查詢加密技術中增加了范圍查詢，進一步增強了數(shù)據(jù)檢索功能，使搜索更加靈活和強大。目前，可查詢加密在MongoDB Atlas、企業(yè)高級版（Enterprise Advanced）和社區(qū)版（Community Edition）中均可用。

覆蓋數(shù)據(jù)安全全生命周期的加密技術

企業(yè)要確保對于敏感數(shù)據(jù)的保護并符合各種相關法律法規(guī)，如歐盟的《通用數(shù)據(jù)保護條例》(GDPR)等，加密技術至關重要。這涉及將數(shù)據(jù)轉換為任何沒有解密密鑰的人都無法讀取的形式。加密可以通過三種方式保護數(shù)據(jù)：傳輸中（通過網(wǎng)絡時）、靜態(tài)（存儲時）、使用中（處理期間）。傳輸中和靜態(tài)數(shù)據(jù)的加密是所有數(shù)據(jù)庫的標配(MongoDB也不例外)，但使用中的數(shù)據(jù)加密卻帶來了獨特的挑戰(zhàn)。

對于使用中數(shù)據(jù)的加密之所以困難，是因為加密后的數(shù)據(jù)不可讀，看起來像是一串隨機的字符和符號。傳統(tǒng)上，數(shù)據(jù)庫無法直接對加密數(shù)據(jù)進行查詢，而必須先將其解密為可讀形式。然而，如果數(shù)據(jù)庫沒有解密密鑰，它就必須將加密數(shù)據(jù)發(fā)送回擁有密鑰的應用程序或系統(tǒng)（如客戶端），以便在查詢之前進行解密。很顯然，這種模式在實際應用中不具備擴展性。

這使企業(yè)陷入兩難境地：對使用中數(shù)據(jù)的加密在數(shù)據(jù)隱私保護和法規(guī)合規(guī)性方面至關重要，但卻難以實現(xiàn)。過去，公司要么選擇不對使用中的敏感數(shù)據(jù)進行加密，要么采用安全性較低的變通方法，而后者會導致操作變得更加復雜。

MongoDB可查詢加密：保護使用中的數(shù)據(jù)，且不影響效率

MongoDB可查詢加密解決了這一難題。它允許組織對敏感數(shù)據(jù)（如個人身份、醫(yī)療信息等）進行加密，并能夠在不解密的情況下直接對這些數(shù)據(jù)執(zhí)行等值查詢和范圍查詢。

可查詢加密由MongoDB加密研究小組(Cyptography Research Group)開發(fā)，得益于團隊成員所具備的密碼學和加密搜索領域領先的專業(yè)知識，已經(jīng)通過了全球頂尖密碼學專家的同行評審。讓MongoDB獨特于業(yè)界其他廠商的是，MongoDB是目前唯一一個允許客戶直接在非確定性加密數(shù)據(jù)上運行復雜查詢的數(shù)據(jù)平臺?？蛻艨梢砸虼双@得突破性的優(yōu)勢，能夠?qū)γ舾袛?shù)據(jù)進行表達式查詢，在不犧牲運營效率或開發(fā)者生產(chǎn)力的同時，為敏感數(shù)據(jù)提供強大的保護。

各行各業(yè)、各種規(guī)模的組織都能從可查詢加密帶來的顯著成果中受益，例如：

·數(shù)據(jù)保護更強：數(shù)據(jù)在傳輸、存儲和使用中的每個階段都保持加密狀態(tài)，從而降低了敏感數(shù)據(jù)泄露或被攻破的風險。

·增強法規(guī)合規(guī)性：通過確保數(shù)據(jù)在每個階段都進行加密，為客戶提供遵守如GDPR等數(shù)據(jù)保護法規(guī)所需的工具。

·簡化操作：無需昂貴的定制解決方案、專業(yè)的加密團隊或復雜的第三方工具，即可簡化加密過程。

·明確的職責分離：支持更嚴格的訪問控制，甚至MongoDB和客戶自身的數(shù)據(jù)庫管理員（DBA）都無法訪問敏感數(shù)據(jù)。

MongoDB可查詢加密的使用場景

MongoDB可查詢加密可廣泛用于各類需要對敏感數(shù)據(jù)進行保護的組織，不論其所在行業(yè)和規(guī)模大小。而且，可查詢加密新增了對范圍查詢的支持，這進一步擴大了使用場景。以下為部分示例，用以說明可以如何使用可查詢加密來保護和查詢敏感數(shù)據(jù)：

·金融服務

o信用評分：通過查詢加密數(shù)據(jù)（如信用評分和收入水平）來評估信用度。例如，根據(jù)信用評分在某個分數(shù)范圍內(nèi)的客戶來進行客戶細分。

o欺詐檢測：通過查詢加密的交易金額，查找超越一般消費模式的異常值，如交易金額超過10萬元的交易，以此來檢測欺詐行為。

·保險

o風險評估：通過查詢加密的客戶數(shù)據(jù)，在指定范圍內(nèi)查找風險等級，從而個性化提供保險建議，提升客戶服務質(zhì)量，同時不披露敏感信息。

o理賠處理：通過查詢加密的理賠數(shù)據(jù)，查找金額在特定范圍內(nèi)或特定時間段內(nèi)的理賠案件，實現(xiàn)理賠處理自動化，在簡化操作流程的同時保護信息安全。

·醫(yī)療健康

o醫(yī)學研究：對加密的醫(yī)療記錄執(zhí)行基于范圍的搜索，例如查詢特定年齡段內(nèi)的患者或醫(yī)學研究中異常的實驗室結果的加密數(shù)據(jù)集。

o賬單和保險處理：對加密的賬單數(shù)據(jù)執(zhí)行安全的范圍查詢，以處理保險索賠和支付，同時保護患者的財務信息。

·教育

o評分系統(tǒng)：處理加密的學生分數(shù)，以在特定范圍內(nèi)評定分數(shù)等級，保護學生隱私并維護數(shù)據(jù)安全。

o經(jīng)濟資助分配：分析特定范圍內(nèi)的加密收入數(shù)據(jù)，以確定學生是否符合獎學金、助學金的資格。

保護數(shù)據(jù)安全生命周期的每一個環(huán)節(jié)

MongoDB可查詢加密技術，可以為敏感數(shù)據(jù)在其整個生命周期內(nèi)（無論是在傳輸、靜態(tài)還是使用中）提供無與倫比的保護?，F(xiàn)在，通過增加對范圍查詢的支持，MongoDB可查詢加密技術更好地滿足了現(xiàn)代應用程序的需求，并解鎖了新的使用場景。如需了解更多信息，可登錄查閱MongoDB可查詢加密網(wǎng)頁。