客户端字段级加密 (Client-Side Field Level Encryption)

简介

客户端字段级加密 (CSFLE) 功能允许您通过网络将应用程序中的数据发送到 MongoDB 之前对数据进行加密。启用 CSFLE 后，任何 MongoDB 产品都无法访问未加密形式的数据。

您可以使用以下机制设置 CSFLE：

• 自动加密：使您能够执行加密的读取和写入操作，而无需添加对加密和解密字段的显式调用。

• 显式加密：让您能够通过 MongoDB 驱动程序的加密库执行加密读写操作。您必须在整个应用程序中指定使用此库进行加密的逻辑。

Considerations

在实现使用客户端字段级加密的应用程序时，请考虑 安全注意事项中列出的几点。

有关限制，请参阅 CSFLE 限制。

功能

要了解 CSFLE 为应用程序带来的安全优势，请参阅功能页面。

安装

要了解使用 CSFLE 必须安装的内容，请参阅安装要求页面。

快速入门

要开始使用 CSFLE，请参阅快速入门。

在本指南中，代码示例使用占位符文本。在运行示例之前，请用您自己的值替换这些占位符。

例如：

dek_id := "<Your Base64 DEK ID>"

您可以将引号之间的内容替换为您的 DEK ID。

dek_id := "abc123"

Fundamentals

要了解 CSFLE 的工作原理以及设置方式，请参阅基础部分。

基础部分包含以下页面：

• 自动加密

• 显式加密

• 加密模式

• 加密密钥管理

• 字段和加密类型

Tutorials

要了解如何使用 CSFLE 执行特定任务，请参阅教程部分。

参考

如需了解加密密钥管理，请参阅加密密钥和密钥保管库。

有关开发支持 CSFLE 的应用程序的更多信息，请参阅包含以下页面的参考资料部分：

• CSFLE 加密模式

• CSFLE 服务器端模式执行

• 自动加密支持的操作

• CSFLE 的 MongoClient 选项

• CSFLE 加密组件

• CSFLE 如何解密文档

• CSFLE 密码学原语

• 为 CSFLE 安装和配置 mongocryptd

• 为 CSFLE 安装 libmongocrypt