国密与密码设备
DBNginx 支持在网关侧完成透明加解密、搜索改写、脱敏输出、密码设备调用和审计留痕,帮助业务系统在保持原有 SQL 调用习惯的前提下完成安全改造。
典型需求
- 手机号、证件号、合同号、账户号、余额等字段需要国密保护。
- 业务系统不希望逐个改代码调用加解密 SDK。
- 企业已有密码卡、密码机、HSM、KMS 或国密基础设施。
- 安全团队希望统一管理密钥引用、调用策略和设备审计。
支持方向
- 国密算法加密、解密。
- 透明加解密策略。
- 搜索改写。
- 密钥引用和权限判断。
- 密码卡、密码机、HSM、KMS 对接。
- 三未信安、渔翁信息等主流国密生态适配。
- 设备调用审计和失败降级。
策略链位置
透明加解密处理通常位于:
- 主体识别之后。
- 权限判断之后。
- SQL 重写和敏感字段命中之后。
- 结果输出之前。
- 审计事件写入之前。
这样可以确保加解密动作和设备调用都能进入审计证据链。
验收用例
- 有权限主体可看到解密或授权后的结果。
- 无权限主体只能看到脱敏结果或被拒绝。
- 搜索场景能按策略完成查询改写。
- 密码设备调用成功或失败都有审计记录。
- 设备异常时能按策略降级或回滚。