MongoDB 7.0Queryable Encryption配置中，如何实现搜索索引的隐私保护？

本文共计666个文字，预计阅读时间需要3分钟。

MongoDB 7.0 的 Queryable Encryption 仅支持 equal 和 range 查询，且加密字段上 不能创建传统的 BSON 索引（如 createIndex({ field: 1 })）。所谓搜索索引是一个常见误解——实际上，它依赖于加密引擎自动生成的、与加密模式绑定的加密索引（encrypted index）。由于驱动和自动加密库的管理，数据库服务器无法识别或优化这类索引。

配置前必须确认的三个硬性条件

缺一不可，否则 autoEncryption 启动即失败：

• MongoDB Server 必须是 Atlas 7.0+ 或 Enterprise 7.0+；Community Server 完全不支持自动加密
• 必须下载并指定有效的 crypt_shared 动态库路径（如 /usr/lib/libcrypt_shared.so），不能用 mongocryptd
• 连接 URI 必须启用 TLS（?tls=true），且密钥管理服务（如 AWS KMS、Azure Key Vault）需已正确配置凭证与权限

加密字段定义与模式注册的关键写法

错误常出在 encryptedFieldsMap 结构或字段路径拼写上。它不是直接写进 collection schema，而是通过驱动传给客户端加密库的 JSON Schema：

{ "escCollection": "__keyVault", "ecocCollection": "__encryptedDataKeys", "fields": [ { "path": "ssn", "bsonType": "string", "queries": { "queryType": "equality" } } ] }

注意：path 必须严格匹配文档中字段名（区分大小写）；escCollection 和 ecocCollection 名称不能修改；queries 块只在需要相等查询时才加，范围查询需额外声明 "queryType": "range" 并指定 "min"/"max" 类型。

为什么 find({ ssn: "123-45-6789" }) 查不到数据

最常见原因有三个：

• 应用未启用 autoEncryption 配置（漏掉 extraOptions: { cryptSharedLibPath: "<code>SHARED_LIB_PATH" }）
• 字段值在插入时未走加密路径（比如用 Compass 手动插入明文，或绕过 Mongoose 中间件直连 driver）
• 密钥未在 __keyVault 中正确生成：必须调用 clientEncryption.createDataKey() 显式创建，不能依赖 Atlas UI 自动勾选生成（UI 仅设置元信息，不触发密钥落地）

加密后的字段在 shell 或 Compass 里显示为乱码二进制，这是正常现象；解密只发生在客户端驱动层，服务器永远看不到明文。