没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
浅谈 SQL Server 的透明数据加密 (TDE)
身为一个优秀的 DBA,数据库的信息安全是责无旁贷的责任,所以这
篇我们就跟大家介绍 SQL Server 2008 新增的功能透明数据加密
(TDE)。
对于数据库的安全性,最常被遗漏的部分,就是数据库的实体档案或是备份文件,在没有加密
的情况下,只要取得数据库实体档案或是备份文件,将数据库附加(SQL Server 无敌手册第六
篇)或还原(SQL Server 无敌手册第十八篇),就可以取得数据库中的重要机密数据。
SQL Server 提供了透明数据加密(Transparent Data Encryption:TDE)的方法,运用此方
法,您无须修改应用程序,也可以加密保护整个数据库,透明数据加密会在进行数据文件和记
录文件的 I/O 时执行实时的加密和解密,它所保护的加密单位是用户的数据库。在数据库层级
它会使用数据库加密密钥 (DEK)对数据文件跟交易纪录文件进行写入加密跟读出解密的动作,
而密钥会被储存于数据库启动记录中,以便在复原期间可供使用。所谓的 DEK(Database
Encryption Key) 是数据库加密密钥。透过这样的方式 TDE 就可以保护数据文件和记录文件。
它可让软件开发人员选择使用 AES 和 3DES 加密算法加密数据,而不需要变更现有的应用程
序。
当您启用 TDE 时,建议您应该立即备份凭证以及与此凭证有关的私钥。您必须同时拥有此凭
证和私钥的备份您才可以在另一部服务器上还原或附加数据库,否则将无法开启数据库。即使
数据库上不再启用 TDE,还是应该保留加密凭证或非对称密钥。即使数据库并未加密,数据库
加密密钥还是可能会保留在数据库内,而且可能必须针对某些作业来存取。
虽然在进行数据透明加密的时候,会增加 CPU 的 loading,不过对于实际使用的效能上冲击不
大,也不会增加数据库的使用空间,当然执行数据库备份时无须另外处理,透明数据加密的运
作方式如下所示:
1.当存放在内存中的数据页面(Page)要进行磁盘写入的动作时,先进行加密后才写入磁盘。
2.在执行加密作业完成后,会使用 Checksum(总和检查码)进行分页保护的机制。
3.先使用总和检查码确认分页数据没有受损后,才进行数据解密。
4.数据解密之后才加载到内存中。
架构图如下:
特别要注意的是,如果您要使用前几篇中所提到的数据库镜像,您不需将 [凭证]复制到主体服
务器与镜像服务器上。如果使用纪录传送一样需要将[凭证]复制到主服务器与每一台辅助服务
器中。
如果任何其他数据库是使用 TDE 进行加密,则 SQL Server 实例上的 tempdb 系统数据库也
将会加密。这可能会对于相同 SQL Server 实例上未加密的数据库造成效能上的影响。
另外如果您使用了 SQL Server 2008 的新功能 FILESTREAM DATA,就算您已经启用了
TDE, FILESTREAM DATA 还是不会被加密。
现在相信您已经了解了 SQL Server 的透明数据加密。
上一篇介绍了 SQL Server 的的透明数据加密(Transparent Data
Encryption:TDE)的观念,接下来这篇跟大家介绍如何利实作透明
数据加密。
要在 SQL Server 实作透明数据加密,需要的步骤如下列所示:
1.建立主要密钥
2.建立或取得受到主要密钥保护的凭证
3.建立数据库加密密钥,并使用凭证保护它
4.设定数据库使用加密
[建立主要密钥]
要使用透明数据加密的第一步,就是要先建立主要密钥,这里指的主要密钥是指
DMK(Database Master Key),我们建立 DMK 的时候,会利用三重 DES 算法和用户提供的
密码来加密主要密钥,主要密钥是用来保护凭证私钥和数据库中非对称密钥的对称密钥。
请执行下列范例,用来产生主要密钥:
检视原始档复制到剪贴簿打印关于
1. USEmaster;
2. GO
3. CREATEMASTERKEYENCRYPTIONBYPASSWORD='<UseStrongPasswordHere>';
4. GO
在上列范例中,您可以将<UseStrongPasswordHere>替换为您所要设定的密码,如下列执
行结果,就是将密码设定为!kk667jj578。
[建立主要凭证]
建立了主要密钥之后,我们接着要建立受到主要密钥保护的凭证,请执行下列范例,用来产生
凭证:
检视原始档复制到剪贴簿打印关于
剩余10页未读,继续阅读
资源评论
- seaskycheng2014-11-24谢谢分享,以后慢慢理解
harry960
- 粉丝: 3
- 资源: 17
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功