Queryable Encryption 的支持操作

操作使用 BinData

MongoDB将可Queryable Encryption加密字段存储为 BinData blob。 与对解密值发出相同操作相比，对加密BinData值发出读取和写入操作可能会出现意外或不正确的行为。 某些操作具有严格的BSON类型支持，如果针对BinData值发出这些操作会返回错误。

与可Queryable Encryption兼容的官方驱动程序会解析不支持BinData值的运算符或表达式的写入操作。

支持和不支持的BSON types

可查询Queryable Encryption支持对所有BSON types进行相等查询，但以下类型除外：

• double

• decimal128

• object

• array

Queryable Encryption可查询 支持针对以下BSON types 的范围查询：

• int： 32位整数

• long： 64位整数

• double： double （IEEE 754二进制64）

• decimal：十进制（IEEE 754十进制128 ）

• date：UTC DateTime (Int 64 )

CRUD

• Queryable Encryption不支持多文档更新或删除操作。 不支持执行多个更新或删除操作的db.collection.updateMany()和db.collection.bulkWrite() 。

• Queryable Encryption限制db.collection.findAndModify()参数。

  • fields 不允许

  • new 必须为 false

• 执行更新或插入操作时，过滤器中的任何加密字段都将从插入中排除。

支持的读取和写入命令

Queryable Encryption兼容的驱动程序支持使用以下命令进行自动加密：

• aggregate

• count

• delete

• explain

• find

• findAndModify

• insert

• update

对于任何受支持的命令，如果该命令使用了不支持的操作符、聚合阶段或聚合表达式，驱动程序都会返回错误。 有关支持的操作符、阶段和表达式的完整列表，请参阅以下部分：

• 支持的查询操作符

• 支持的更新操作符

• 支持的聚合阶段

• 支持的聚合表达式

以下命令不需要自动加密。 配置为自动加密的官方驱动程序会将这些命令直接传递给mongod ：

• getMore [1]

• authenticate

• hello

• logout

• abortTransaction

• commitTransaction

• endSessions

• startSession

• create

• createIndexes

• drop

• dropDatabase

• dropIndexes

• killCursors

• listCollections

• listDatabases

• listIndexes

• renameCollection

• ping

通过配置为自动加密的兼容驱动程序发出任何其他命令都会返回错误。

支持的查询操作符

配置为自动加密的驱动程序在针对加密的可查询字段发布时，支持一设立有限的查询运算符。

使用受支持的查询类型查询非加密字段或加密字段会返回加密数据，然后在客户端对这些数据进行解密。

Queryable Encryption目前支持none 、 equality和range查询类型。 如果未指定查询类型，则默认为none 。 如果查询类型为none ，则该字段已加密，客户端无法对其进行查询。

{$expr: {$eq: ["$encrypted1", "plaintext_value"]}}

{$expr: {$eq: ["$encrypted1", "$encrypted2"]}}

为queryType: "equality"配置的字段支持以下表达式：

• $eq

• $ne

• $in

• $nin

• $and

• $or

• $not

• $nor

• $expr

• $exists

为queryType: "range"配置的字段支持以下表达式：

• $lt

• $lte

• $gt

• $gte

• $and

• $exists

针对加密字段指定任何其他查询操作符的查询将会返回错误。

支持的更新操作符

配置为自动加密的驱动程序在针对加密字段发布时支持以下更新操作符：

• $set

• $unset

针对加密字段指定任何其他更新操作符的更新会返回错误。

即使使用支持的操作符，具有以下行为的更新操作也会引发错误：

• 更新操作在加密路径内生成一个数组。

• 更新操作使用聚合表达式语法。

对于在加密字段上指定查询筛选器的更新操作，查询筛选器必须仅使用这些字段支持的操作符。

替换式更新

支持替换式更新，但如果替换文档的顶级加密字段中包含Timestamp(0,0) ，Queryable Encryption 将出错。 (0,0)值指示mongod应生成时间戳。 mongod无法生成加密字段。

不支持的插入操作

配置为自动加密的兼容驱动程序不支持具有以下行为的插入命令：

• 插入具有与加密字段关联的Timestamp(0,0)的文档。 (0,0)值指示mongod应生成时间戳。 由于mongod无法生成加密字段，因此生成的时间戳将是未加密的。

不支持的聚合阶段

自动加密不支持读取或写入其他collection的聚合阶段。这些阶段是：

• $out

• $merge

支持的聚合阶段

为自动加密配置的兼容驱动程序支持以下聚合管道阶段：

• $addFields

• $bucket

• $bucketAuto

• $collStats

• $count

• $geoNear

• $group 在未加密字段上

• $indexStats

• $limit

• $lookup和$graphLookup （有关使用要求，请参阅$lookup和$graphLookup行为）

• $match

• $project

• $redact

• $replaceRoot

• $sample

• $skip

• $sort

• $sortByCount

• $unwind

对配置为自动加密的collection进行操作，如果指定任何其他阶段，则管道会返回错误。

对于每个支持的管道阶段，MongoDB 都会在字段通过支持的管道时对必须加密的字段进行追踪，并标记为加密字段。

每个受支持的阶段必须只指定受支持的查询操作符和聚合表达式。

支持的聚合表达式

配置为自动加密的兼容驱动程序支持针对任何相等查询类型加密字段的以下表达式：

• $cond

• $eq

• $ifNull

• $in

• $let

• $literal

• $ne

• $switch

如果对加密字段执行操作，则所有其他聚合表达式都会返回错误。

即使使用支持的聚合表达式，具有以下行为的聚合阶段也会返回错误：

$addFields : {
  "valueWithUnknownEncryption" : {
    $cond : {
      if : { "$encryptedField" : "value" },
      then : "$encryptedField",
      else: "unencryptedValue"
    }
  }
},
{
  $match : {
    "valueWithUnknownEncryption" : "someNewValue"
  }
}

{
  $eq : [
    {"newField" : "$encryptedField"},
    {"newField" : "value"
  ]
}

{ $eq : [ "$prefixOfEncryptedField" , "value"] }

{
  $eq : [
      "$encryptedField" ,
      { $ne : [ "field", "value" ] }
  ]
}

{
  $let: {
    "vars" : {
      "newVariable" : "$encryptedField"
    }
  }
}

{
  $in : [
    "$encryptedField" ,
    "$otherEncryptedField"
  ]
}

不支持的字段类型

配置为自动加密的驱动程序不支持任何需要加密以下值类型的读取或写入操作：

• MaxKey

• MinKey

• null

• undefined

Queryable Encryption无法充分隐藏这些值的类型信息。

Queryable Encryption不支持对文档大量中的字段进行自动加密。

Queryable Encryption 不支持对加密字段执行将加密字段与以下值类型进行比较的读取或写入操作：

• array

• decimal128

• double

• object