SQLServer企业版中的数据库加密

《SQLServer企业版中的数据库加密》由会员分享，可在线阅读，更多相关《SQLServer企业版中的数据库加密（11页珍藏版）》请在金锄头文库上搜索。

1、透明数据加密 (TDE) 是在 Microsoft SQL Server 2008 中推出的一个新的加密功能。它 旨在为整个数据库提供静态保护而不影响现有的应用程序。 对数据库进行加密， 传统上都会 涉及复杂的应用程序改动，例如修改表schemas、删除函数和明显的性能下降。举例来说，要在 Microsoft SQL Server 2005 中使用加密，字段数据类型必须改为 varbinary ；不允许 进行范围和相等搜索；并且应用程序必须调用内置函数 ( 或自动使用这些内置函数的存储过 程或视图 ) 来处理加密和解密，这些都会降低查询性能。这些问题不是只存在于SQLServer的；其它数据库

2、管理系统也受到相似的限制。定制schemes经常用来解决根本不能使用的相等搜索和范围搜索。 即使是像创建一个索引或使用外键等的基本数据库元素也通常不能与单 元级或字段级加密 schemes 一起使用，因为这些特性的使用会泄漏信息。TDE简单地加密了所有东西，从而解决了这些问题。因此，所有的数据类型、键、索引，等等这些可以完全使 用而不必牺牲安全或泄漏磁盘上的信息。而单元级加密不能提供这些功能、两个Windows特性：文件加密系统 (EFS)和BitLocker? D rive Encryption，它通常用于和 TDE同样的原因它们提供相同范围的保护并对于用户来说是透明的。2、Microsof

3、t SQL Server 加密Microsoft SQL Server 提供两个级别的加密：数据库级别和单元级别。两个都使用密 钥管理层次结构。2.1 、密码密钥层次结构在加密树的根部是 Windows Data Protection API(DPAPI ) ，它在机器级别保护密钥层 次，并用来保护数据库服务器实例的服务主键(SMK)。SMK保护数据库主键(DMK)，它存储在用户数据库级别并反过来保护证书和非对称密钥。 这些反过来保护对称密钥， 对称密钥保护 数据。TDE使用相似的层级到证书。注意区别是当你使用TDE时，DMK和证书必须存储在主数据库上而不是用户数据库中。一个只用于TDE并作为

4、数据库加密密钥(DEK)的新密钥，被创建和存储在用户数据库中。这个层次结构使得服务器可以自动地打开单元级和数据库级加密的密钥和解译数据。主要区别在于当使用单元级加密时，所有从DMK来的密钥都可以用一个密码来保护，而不是另一个密钥。这破坏了解密链并强迫用户输入一个密码来访问数据。在TDE中，必须维护从DPAPI到DEK的整个链以便服务器可以自动地提供对TDE所保护的文件访问。 在单元级加密和TDE中，通过这些密钥的加密和解密是由Windows Cryptographic API(CAPI)提供的。面的图片显示了完整的加密层次结构。虚线显示了TDE所使用的加密层次结构。LKMModuleBtati

5、du Master KtyEncrypts OarAMynwnetric wPassiflord氐翹网图1 :使用TDE和EKM的SQL Server加密密钥层级disymmciric Rcv* iiLitsidc of 5QJ ServBfLnTtbt1 linFh 中h门沾 rirrhirT ru尸 that xllo* Trans口DitaMinclow OperAtln System Levet gt占 Pro ti tort API : DPAi) prasrrts the SWK.TIP： Tu infill re good pcifoFndince.r avokl em_i pt

6、inq data using cerflftcMes w asymnwhc keyi.Arrows show thf1 rrnnt common encryption conllgniraUOA&. Other cxmiiWnditbQHnft are ponibk.DMK is proterted by tue Service Master Key vrbKh 唔 created by SQL Server M-tup,以MflstprKeys are treated uiumg both the serviceK*呻 孙诩 d |M*许iXfl DP K may b altrwl tn u

7、 only 廿 piAword.22 、 TDE透明数据加密是 SQL Server 2008推出的新的数据库级加密特性。2.3、怎么使 TDE可用为了使TDE可用，你必须具有和在主数据库中创建数据库主键和证书相关的一般权限。使TDE可用在主数据库中执行下面的步骤：1、为主数据库创建一个数据库主键(DMK),如果它还不存在的话。确保数据库主键是用服务主键(SMK)加密的。rCREATE MASTER KEY ENCRYPTION BY PASSWOROJmepassword；2、创建或指派一个现有的证书作为数据库加密密钥(DEK)保护者来使用。为了获得最好的安全保护，推荐你创建一个新的证书，它

8、的唯一作用就是保护 DEK确保这个证书是由 DMK保护。CREATE CERTIFICATE tdeCert WITH SUBJECT TDE Certificate ;3、 用私钥创建一个证书备份并将它存储在一个安全的地方。(注意私钥存储在一个单独的文件中确保保存好这两个文件)。确保维护证书的备份，因为有可能发生数据丢失。BACKUP CERTIFICATE tdeCert TO FILE = path_to_file WITH PRIVATE KEY (FILE =path_to_private_key_file ,ENCRYPTION BY PASSWORDeert password )

9、;4、 可选的，使服务器上SSL可用，以在传输过程中保护数据。在用户数据库中执行下面的步骤。这些要求在数据库上具有CONTROLS限。5、 创建由上面第二步所指派的证书加密的数据库加密密钥(DEK)。这个证书作为服务器 证书以和其它可能存储在用户数据库中的证书相区别。CREATE DATABASE ENCRYPTION KEYWITH ALGORITHM = AES_256ENCRYPTION BY SERVER CERTIFICATE tdeCert6、使TDE可用。这个命令开启了一个后台进程 (加密扫描)，它以异步方式运行。ALTER DATABASE myDatabase SET ENC

10、RYPTION ON为了监控进程，查询 sys.dm_database_encryption_keys 视图(要求具有 VIEW SERVERSTATE权限)，如下面例子所示：SELECT db_name(database_id), encryption_stateFROM sys.dm_database_encryption_keys当TDE可用（或不可用），数据库标识为在sys.databases 范畴视图加密，并且DEK犬态 设置为Encryption In Progress。服务器开启一个后台进程 （叫做加密扫描或扫描），它扫描所有的数据库文件并加密它们（或解密它们，如果你设置TDE不

11、可用）。当DDL执行时，对数据库施加了一个更新锁。加密扫描是和DDL异步的，它使用了一个共享锁。所有不和这些 锁冲突的一般操作都可以执行。不能执行的操作包括修改文件结构和分离数据库。如果一般的从缓冲池到磁盘的数据库写被加密了，那么日志文件写可能没有加密。扫描还使得在虚拟日志文件上执行了一个 rollover 以确保未来的写日志是被加密的。这在本篇文章的后面将 会详细描述。当加密扫描完成时，DEK犬态被设置为Encrypted（已加密）。这时磁盘上的所有数据库文件都加密了，并且数据库和日志文件到磁盘的写也将进行加密。支持的加密算法有128位、192位或256位密钥的AES或 3 Key Trip

12、le DES 。数据是以密码块链接（CBC）加密模式 加密的。写到磁盘的已加密数据库文件和没有加密的文件是一样大小的，因为没有要求添加额外的东西，并且初始化向量（IV）和加密的DEK存储在已有的空间内。因为日志是添加到下一个VLF边界，所以日志的大小增加了。注意当数据库状态标识为可加密的时候，加密的实际状态应该通过 DEK状态来进行监控。当后台扫描完成时，DEK状态设置为Encrypted。这时，未来的到日志和磁盘的写操作会受到保护。这在这篇文章的后面进行了详细描述。2.5、什么是已加密TDE通过缓冲池在I/O级别操作。所以，任何写到数据库文件（*.mdf）中的数据都被加密。快照和备份也被设计

13、成会利用TDE所提供的加密，因此它们也在磁盘上被加密。但是在使用的数据却没有进行加密，因为TDE不提供内存或传输级别的保护。事务日志也受到保护，但是需要需要额外的申请。对于在使用中的数据，当它们被读取和存储到缓冲池中时所有的页面都被解密，在内存中是清楚的文本形式。 操作系统可能将数据内存溢出看作是内存管理的一部分。在这个过程中，解密的数据可能会写到磁盘上。Windows和SQLServer可以配置为防止内存写到磁盘，不过这样的性能成本会很高。其它操作系统动作例如休眠和崩溃转储还会使得从内存写到磁盘上。传输中的数据没有受到保护， 因为这个信息在到达以前已经是解密的了 ; 应该使得 SSL 可以保

14、护服务器和任何客户端之间的通信。当数据库页面文件写到磁盘上时， 文件头并没有和其它数据一起加密， 因为这个信息对 于页面来说是需要重新加载的。头包含了状态细节，例如数据库兼容性级别、数据库版本、 镜像状态，等等。任何重要的数据 （例如DEK）在它插入到头之前都进行了加密。头还包括了 一个数据损坏校验（CRC）。用户可以拥有一个对纯文本的校验和一个对加密文本的校验。这 不是一个密码校验； 它只监测数据损坏 （检查看看数据是否是可读的 ） ，而不是数据完整性 （检 查看看数据是否被修改了 ） 。所有的其它用户数据都是存储在加密的数据库页面上，包括所 有未被使用的（或之前删除的）数据，以避免信息泄漏

15、。当TDE在任何用户数据库上都可用时， 加密还自动地可用于临时数据库 （tempdb） 。这避免了用户数据库使用的临时对象泄漏到磁盘 上。除了 tempdb之外系统数据库现在还不能使用TDE加密。I/O 级的加密还允许快照和备份被加密。因此数据库创建的所有快照和备份都将通过TDE进行加密。当写文件时用来保护 DEK的证书必须存储在服务器上用于那些文件进行恢复 或重新加载。因此，你必须维护所有证书使用的备份，而不仅仅是最新的证书。事务日志更加复杂。因为事务日志是旨在保证一次性失败安全的，TDE不对已经写到磁盘的日志进行加密。 类似的， 由于这个一次性写原则日志头不能被重写， 因此写到日志的数 据不会受到保护，即使是在 TDE可用之后进行加密了的数据。TDE后台扫描使得日志前进到下一个VLF边界，这使得密钥可以存储在头里面。这时，如果文件扫描也完成了，那么DEK状态改变为 Encrypted 并且所有后来的写日志都会被加密。2.6 、对数据库的影响TDE旨在尽可能的透明。不需要任何应用程序改动，对于用户来说使用一个TDE加密的数据库和一个非加密的数据库是觉察不出区