5.2.1 端到端加密：TDE、客户端加密

文档摘要

5.2.1 端到端加密：TDE、客户端加密在数据库安全的纵深防御体系中，端到端加密（End-to-End Encryption, E2EE）不是一句口号，而是一道必须亲手锻造、逐层校验、持续演进的技术防线。它拒绝信任中间环节——不信任存储引擎、不信任操作系统内核、不信任云服务商的虚拟化层，甚至不信任DBA本人。当数据离开应用内存的那一刻，它就必须是密文；直到它被授权客户端解密并载入业务逻辑上下文的那一刻，它才重获明文形态。这种“数据主权始终归属应用层”的哲学，催生出两种主流落地范式：透明数据加密（Transparent Data Encryption, TDE）与客户端加密（Client-Side Encryption, CSE）。