背景

随着《个保法》《数安法》的发布，法律对企业的数据安全使用和管理提出了更高的要求。数据集成是数据业务中的一个重要场景，不仅可能涉及到多方数据，并且一般集成数据体量巨大。不论是基于法律的要求还是对业务数据的保护，集成过程中的数据安全都是十分重要的。

Dataphin提供基于数据集成的数据加解密服务，提供常用的商密和国密算法，并支持密钥的权限管理和使用审计，确保客户数据集成链路上的数据安全。

加解密功能介绍

Dataphin的集成加解密的整体方案，主要包括以下功能：

1、密钥管理。支持密钥生成、外部密钥注册、密钥权限管理、密钥使用审计等。

2、数据集成加密。数据集成过程中，支持调用加密算法和密钥对数据进行加密。

3、数据集成解密。数据集成过程中，支持调用解密算法和密钥对数据进行脱敏。

4、完整加解密算法库。支持常用商密（对称加解密：AES、DES；非对称加解密：RSA）、国密（对称加解密：SM2；非对称加解密：SM4）算法。

加解密使用场景

数据加解密的使用场景很多，可以根据需要灵活选择，以下是几种典型场景：

1、上游数据库加密，数据上云的时候需要统一恢复为明文。需要和之前加密的参数一致进行解密。

2、上游数据库是明文，数据上云的时候需要对敏感字段进行解密。

3、下游数据库需要进行权限管控，需要输出加密后的数据，下游数据库自己进行解密

4、下游数据库是受信任数据库，需要输出解密后的明文到下游。

Dataphin加解密使用流程

1、密钥注册

1.1、进入密钥管理页面，查找已有密钥或者注册新密钥

1.2、注册一个给固定业务使用的新密钥。

注册一个密钥本质上可以在很多业务场景下使用。不过为了数据安全考虑，建议一个特定的场景下就一个密钥，不同的业务使用不同的密钥。

密钥支持系统生成和自定义两种注册方式。如果需要和外部进行数据交换，双方协商密钥的场景下，可以使用自定义注册密钥功能。

2、数据集成加密

在数据集成中调用加密组件对数据进行加密，配置完成后的完整链路如下：

2.1、配置明文数据输入

2.2、进行加密组件配置

加密配置步骤1：选择加密字段

加密配置步骤2：配置加密方式

需要注意一下两点：

1、加解密过程中的配置需要对齐，如加解密算法、密钥（对称加密是同一个密钥、非对称加密是同一个密钥对）、高级配置

2、涉及到数据交换的场景，一定要仔细确认下双方的高级配置是否一致。因为不同平台的默认配置（如密钥长度填充）可能规则不一致，导致加密数据最终无法解密。

*高级配置主要涉及到加密模式、密钥填充等参数，正常情况下使用默认值即可，内外部数据交换的场景需要仔细核对高级配置是否一致。

2.3、配置加密数据输出

2.4、查询加密后的结果数据，可以看到数据已经成功加密

3、数据集成解密

数据解密的整体配置与加密相同，配置完成后效果如下：

3.1、进行解密组件配置

解密配置步骤1：选择要解密的字段

解密配置步骤2：配置解密方式

*需要注意和加密的算法、密钥、高级配置（本案例未开启）一致

3.2、查看解密后的明文数据

可以看到本来加密的total_pay数据已经被解密为明文

结语

本期我们介绍了Dataphin提供的基于数据集成的数据加解密功能，确保客户数据集成链路上的数据安全。结合之前的如何基于Dataphin实现敏感数据保护（以消费者隐私保护为例）中介绍的敏感数据识别 + 动态脱敏功能，可以覆盖从数据上云、数据研发、数据应用的完整的敏感数据保护功能，确保全链路的数据安全。