加密集合管理

Overview

Queryable Encryption引入了使用随机加密对文档中的敏感字段进行加密的能力，同时仍然能够查询加密的字段。

使用 Queryable Encryption，给定的明文值始终会加密为不同的密文，同时仍然可查询。为了启用此功能，Queryable Encryption使用三种数据结构：

• 两个元数据集合

• 在加密collection中每个文档的字段叫做 __safeContent__

元数据集合

创建加密集合时，MongoDB 会创建两个元数据集合：

• enxcol_.<collectionName>.esc，称为 ESC

• enxcol_.<collectionName>.ecoc，称为 ECOC

当您插入具有可查询加密字段的文档时，MongoDB 会更新元数据集合以维护支持查询的索引。该字段将成为“索引字段”。 这是以每个此类字段的存储和写入速度为代价的。

删除加密collection

删除加密集合后，请立即删除关联的元数据集合enxcol_.<collectionName>.esc和enxcol_.<collectionName>.ecoc 。 否则，重新创建具有相同名称的集合会使元数据集合处于冲突状态，从而消耗过多的存储空间并降低 CRUD 性能。

存储成本

存储和写入成本根据每个文档的索引字段数量而增加。

写入成本

元数据集合压实

当您插入或更新文档时，元数据集合会发生变化和增长。 元数据集合压实会修剪元数据集合并减小其大小。

当ECOC的大小超过 1 GB 时运行压实。

您可以使用 mongosh并发出db.collection.totalSize()命令来检查集合的大小。

db.enxcol_.patients.ecoc.totalSize()

1407960328

要运行元数据集合压实，请使用mongosh并运行db.collection.compactStructuredEncryptionData()命令以减小元数据集合的大小。

const eDB = "encryption"
const eKV = "__keyVault"
const secretDB = "records"
const secretCollection = "patients"
const localKey = fs.readFileSync("master-key.txt")
const localKeyProvider = { key: localKey }
const queryableEncryptionOpts = {
  kmsProviders: { local: localKeyProvider },
  keyVaultNamespace: `${eDB}.${eKV}`,
}
const encryptedClient = Mongo("localhost:27017", queryableEncryptionOpts)
const encryptedDB = encryptedClient.getDB(secretDB)
const encryptedCollection = encryptedDB.getCollection(secretCollection)
encryptedCollection.compactStructuredEncryptionData()

{
  "stats": {
     ...
  },
  "ok": 1,
  ...
}