浅谈SQL Server的透明数据加密 (TDE)
2星 需积分: 50 107 浏览量
2010-07-29
21:34:39
上传
评论
收藏 509KB DOCX 举报 
浅谈 SQL Server 的透明数据加密 (TDE)
身为一个优秀的 DBA,数据库的信息安全是责无旁贷的责任,所以这
篇我们就跟大家介绍 SQL Server 2008 新增的功能透明数据加密
(TDE)。
对于数据库的安全性,最常被遗漏的部分,就是数据库的实体档案或是备份文件,在没有加密
的情况下,只要取得数据库实体档案或是备份文件,将数据库附加(SQL Server 无敌手册第六
篇)或还原(SQL Server 无敌手册第十八篇),就可以取得数据库中的重要机密数据。
SQL Server 提供了透明数据加密(Transparent Data Encryption:TDE)的方法,运用此方
法,您无须修改应用程序,也可以加密保护整个数据库,透明数据加密会在进行数据文件和记
录文件的 I/O 时执行实时的加密和解密,它所保护的加密单位是用户的数据库。在数据库层级
它会使用数据库加密密钥 (DEK)对数据文件跟交易纪录文件进行写入加密跟读出解密的动作,
而密钥会被储存于数据库启动记录中,以便在复原期间可供使用。所谓的 DEK(Database
Encryption Key) 是数据库加密密钥。透过这样的方式 TDE 就可以保护数据文件和记录文件。
它可让软件开发人员选择使用 AES 和 3DES 加密算法加密数据,而不需要变更现有的应用程
序。
当您启用 TDE 时,建议您应该立即备份凭证以及与此凭证有关的私钥。您必须同时拥有此凭
证和私钥的备份您才可以在另一部服务器上还原或附加数据库,否则将无法开启数据库。即使
数据库上不再启用 TDE,还是应该保留加密凭证或非对称密钥。即使数据库并未加密,数据库
加密密钥还是可能会保留在数据库内,而且可能必须针对某些作业来存取。
虽然在进行数据透明加密的时候,会增加 CPU 的 loading,不过对于实际使用的效能上冲击不
大,也不会增加数据库的使用空间,当然执行数据库备份时无须另外处理,透明数据加密的运
作方式如下所示:
1.当存放在内存中的数据页面(Page)要进行磁盘写入的动作时,先进行加密后才写入磁盘。
2.在执行加密作业完成后,会使用 Checksum(总和检查码)进行分页保护的机制。
3.先使用总和检查码确认分页数据没有受损后,才进行数据解密。
4.数据解密之后才加载到内存中。
架构图如下:
剩余10页未读,继续阅读
资源评论
seaskycheng2014-11-24谢谢分享,以后慢慢理解
