LLM 和向量数据库管道的上下文加密

我们实施了一种上下文加密架构，它在存储前选择性地加密敏感字段，并通过分层方法保留语义可搜索性——在元数据中加密 PII，同时保持经过清洗的非敏感内容可用于嵌入。

架构

• 加密引擎：采用 AES-256-GCM，每个租户拥有独立的加密密钥
• 密钥管理：使用 AWS KMS 进行密钥生成、轮换和访问控制
• PII 检测：基于 NER（命名实体识别）的 PII 分类器
• 向量数据库：使用 Milvus 对清洗后的嵌入进行相似性搜索
• LLM 层：将清洗后的上下文发送到 LLM，生成后重新注入敏感字段
• 审计系统：记录每次解密事件，包括用户、时间戳和目的
• 数据库：使用 PostgreSQL 存储加密元数据

上下文加密策略

数据分类

在任何数据进入管道之前，PII 分类器会根据敏感度级别对每个字段进行分类：

• 高度敏感（例如，政府 ID、金融账号、医疗 ID）— 加密，从不嵌入，从不发送给 LLM
• 敏感 PII（例如，全名、电子邮件地址、电话号码）— 静态加密，在嵌入前替换为占位符
• 上下文相关（例如，职位、公司名称）— 静态加密，经同意后可用于嵌入
• 非敏感（例如，产品描述、公开信息）— 按原样存储和嵌入

加密层

层 1：静态字段级加密

敏感字段在存储前使用 AES-256-GCM 进行加密。每个租户都通过 AWS KMS 的密钥层次结构获得一个专用数据加密密钥（DEK）。影子字段存储可搜索的哈希值，用于精确匹配查找，而无需解密。

层 2：嵌入前的清洗

在文本发送到嵌入模型之前，PII 会被检测并替换为保留类型的占位符。这在移除可识别信息的同时，保留了相似性搜索的语义。原始值到占位符的映射与向量记录一起加密存储。

层 3：LLM 生成后的上下文注入

LLM 接收带有占位符的清洗过的上下文以生成响应。生成后，系统将加密存储中的实际值重新注入到响应中。这可以防止敏感数据进入 LLM 训练数据或被提供商缓存。

向量数据库安全

集合设计

向量集合存储清洗后的嵌入以及加密的原始元数据。通过分区键实现租户隔离，每个租户的元数据都使用自己的密钥加密。在任何解密操作之前，API 层会验证租户所有权。

密钥管理与轮换

密钥层次结构

采用多级密钥层次结构：AWS KMS 中的主密钥封装每个租户的密钥加密密钥，后者又封装用于字段级加密的每个租户的数据加密密钥。这使得密钥轮换效率高，而无需重新加密整个密钥链。

密钥轮换流程

1. 生成新 DEK — 在现有密钥加密密钥下创建新的数据加密密钥
2. 新写入 — 所有新数据都用新密钥加密；旧密钥仍可用于读取
3. 后台重新加密 — 批量作业使用新密钥重新加密现有记录
4. 旧 DEK 退役 — 一旦所有记录迁移完毕，旧密钥标记为非活动状态
5. 审计日志 — 轮换事件记录时间戳和受影响的记录数

审计与合规性

解密审计日志

每次解密事件都会捕获请求者、解密内容、时间、原因（请求上下文）以及使用的密钥——提供完整的合规性追踪。

GDPR 删除权

系统支持在关系数据库和向量数据库中进行完整数据删除，并可选地进行密钥轮换，以密码学方式确保没有残留访问。所有删除操作都记录在 GDPR 审计追踪中。

主要功能

1. 字段级加密 — 对敏感字段使用 AES-256-GCM，而非整条记录
2. PII 清洗 — 占位符保留嵌入的语义
3. LLM 后注入 — 敏感数据绝不发送给 LLM 提供商
4. 每个租户独立密钥 — 具有 AWS KMS 管理的独立加密密钥
5. 密钥轮换 — 零停机轮换，带后台重新加密
6. 嵌入安全 — 清洗后的嵌入防止对 PII 的反演攻击
7. 审计追踪 — 每次解密都记录以用于合规性报告
8. GDPR 合规性 — 跨加密存储和向量 DB 的自动删除