企业级 **向量数据库** 与 LLM 大模型的权限隔离架构,通过 **embedding** 数据加密与细粒度访问控制,为 **RAG** 应用提供安全保障。向量数据库实现多租户数据隔离,确保大模型仅能访问授权范围内的 embedding,满足金融、政务等场景的合规要求。

权限隔离的技术架构

向量数据库支持:

· 租户级隔离:不同租户的 embedding 存储在独立 Collection,禁止跨租户访问;

· 字段级权限:控制大模型对文本 / 图像 embedding 字段的调用权限;

· 行级过滤:基于元数据标签(如部门、密级)自动过滤非授权数据。某银行借此实现不同业务线的风控知识隔离,保障 **RAG** 应用安全。

embedding 数据加密策略

· 存储加密:AES-256 加密 embedding 向量,防止数据泄露;

· 传输加密:TLS 协议保护向量在大模型与数据库间的传输;

· 计算加密:同态加密下的向量相似度计算,实现 “数据可用不可见”。某政务云平台采用国密 SM4 算法加密 embedding,满足等保 2.0 要求。

RAG 场景中的权限闭环

在权限隔离架构下,RAG 流程为:

1. 用户请求携带身份凭证,向量数据库过滤非授权 embedding;

2. 加密的检索结果经解密后输入大模型;

3. 权限系统限制大模型仅使用授权知识生成回答。某保险企业借此实现客户隐私数据的安全应用,同时确保 RAG 检索效率不受影响。