引言

近日，创邻科技入选与英特尔合作，在基于第四代英特尔至强处理器的支持下，利用软件防护扩展（Software Guard Extension,SGX） 技术，打造出了具备可信执行环境的图数据库产品，保护企业释放关联数据价值。

正文

当前，随着数智化发展成为行业趋势，企业面临的环境变得多元化，需要引入多源、异构、优质的数据，通过多方协同打破关联数据间的信息茧房、孤岛的问题，深度挖掘数据价值。但在这之前，如何保证企业数据和隐私安全，是数据库和硬件厂商共同面临的难题。

传统的数据加密技术都只对硬盘存储、网络传输等加密，其有效性是建立在服务器操控权限未被泄露的前提下。一旦服务器的控制权被截取，系统进程运行时的信息将被第三方窃取或修改，导致企业关键数据安全性降低。针对此情形，英特尔独创性地推出软件防护扩展 (SGX) 隐私计算解决方案,旨在解决数据要素市场化环境下，动态应用中的数据隐私和数据安全问题，对系统运行时内存进行加密，牢牢锁住关键信息，实现数据的可用而不可窃。英特尔®SGX将信任边界缩小到仅包括安全区的内容和处理器本身，使系统内部的受攻击面最小化，从而更好地保护数据。 在今天这个以云为中心的世界里，这一点尤为重要，甚至连云软件堆栈和云管理员也不得进入可信执行环境(TEE)。通过与英特尔®SGX技术结合,客户可以在金融、医疗保健和公共部门在内的广泛行业中实施机密计算，在保证工作负载效率的同时，确保应用及数据安全，杜绝将数据暴露给任何未经授权访问的人。

创邻科技作为国内成熟的商业图数据库供应商，其自主研发的Galaxybase原生高性能图数据库是国内首个成熟、通用、全自主知识产权的原生分布式数据库，性能国际领先，已服务了政务、金融、能源等行业包含五大行、头部股份制银行、城商行、农商行、电网、腾讯等在内的头部客户。保障数据安全是上述行业的核心需求，也是创邻图数据库重点开发的核心产品能力。

创邻一直与英特尔保持良好的合作关系，2022年6月的LDBC-SNB测试上，Galaxybase图数据库打破上一世界纪录，性能平均提升6倍，最高提升近百倍，其测试的硬件环境搭载的就是英特尔至强系列处理器。此次，创邻科技和英特尔合作，联合推出图数据库数据加密解决方案，依次在C程序模块可信环境实现、用户管理模块可信计算实现、GalaxyProxy-SGX安全环境运行上完成了Galaxybase的技术性验证，利用英特尔SGX内存加密技术为Galaxybase发挥极致性能保驾护航，从而打造出新一代内存安全级图数据库产品。

针对搭载SGX内存加密技术的新一代图数据库Galaxybase，创邻科技通过技术性验证保证产品功能完整性和性能稳定性。下图为进行技术性验证时的环境配置要求，在本次测试中使用了5台机器，其中3台（VM03~VM05）用于部署图服务，模拟图库在内网的环境。另外2台分别作为搭载SGX环境的GalaxyProxy代理服务器和本次测试的发压机。发压机通过Jmeter工具进行高并发的CRUD请求压测，通过搭载SGX的代理服务器中的GalaxyProxy反向代理服务将请求转发到内网的图服务集群，并负责将响应的数据转发回对应客户端。
在这里插入图片描述
技术性验证包含功能测试和性能测试两部分，功能测试主要针对两部分内容进行实现： Cypher-REST-ci（基于HTTP请求执行Cypher的rest请求功能测试，旨在测试RSET接口通过SGX环境下的代理是否功能正常）、bolt-CRUD-ci（基于bolt协议的CRUD功能测试，旨在测试bolt协议通过SGX环境下的代理功能是否正常，保证接口调用结果的正确性），旨在评估Galaxybase在SGX环境下的代理功能是否正常，结果均已通过正确性验证。性能测试通过控制变量的方法，验证Galaxybase在不同模式下的性能损失程度，性能测试内容包括K 跳邻居查询、最短路径查询、其他典型算法、CRUD压力测试，并提供多项测试组进行横向数据对比。在本文中，将截选K跳邻居查询测试项进行简单说明。

在这里插入图片描述
四项测试组说明：

SGX： gramine-sgx模式，使用Gramine启动代理，开启SGX加密
Direct：gramine-direct模式，使用Gramine启动代理，不开启SGX加密
Native：原生JDK模式，直接用java启动代理
Control：不走代理直接测试的对照组

以Control为基准的K跳邻居测试为例，从结果对比折线图可以看到：在1跳查询时，SGX的代理损耗明显，代理服务带来的性能损耗时长占比较大，但随着跳数增加至6跳，查询的整体响应时间线被拉长，代理服务带来的性能损耗时长占比变小，在折线对比图上几乎看不出性能损耗。在使用图数据库的落地案例中，面对的均为复杂多源数据的深链查询，与使用SGX加密技术带来的安全性提升相比，代理所造成的性能损耗可以忽略不计。接下来，创邻科技将在TLS通信功能、jar包和配置文件加密、端口安全性等功能方面进行测试，并将性能深度优化，进一步释放Galaxybase能力。

数据时代下，伴随移动端应用的快速普及，企业面临的数据泄露、数据隐私保护、假数据攻击等数据安全问题愈发严峻。对企业来说，数据安全的意义在于保证商业机密、客户数据等敏感信息不被未经授权的访问、窃取或滥用，辅助企业赢得客户信任和忠诚度。在此背景下，企业只有依靠更开创性的数据加密技术，才能构建足够可靠的安全防护策略，解决数据在存储、传输、处理、运算等状态下存在的风险问题。相信在英特尔SGX内存加密技术的帮助下，创邻科技打造的新一代图数据库Galaxybase，能够为客户提供高质量、更安全的数据服务，高效实现数据互联，赋能企业数据资产价值稳健变现。