文档介绍:SQL Server透明数据加密方法分析
摘要:本文介绍了透明数据加密方法的理论知识和实现方法,分析 了该加密方法的缺点和限制,并为方法的使用给出了一些建议。
关键词:透明数据加密性能SQL Server
中图分类号:TP311. 13文献标识码:A文章编号:1007-9416 (2013) 03-0237-02
1引言
数据库的安全性对数据库的管理工作是非常重要的内容,通过网络防 护,设置身份验证和授权机制,可以防止外界对数据库的攻击。但是,在 设计某些应用系统时,并不希望数据库的合法用户甚至数据库管理员能够 看到所有的数据内容,这就需要我们应用数据库的加密技术。加密可以放 在前台应用程序,也可以放置于后台数据库。目前,SQL Server数据库提 供了多种层次的加密方式供选择,在SQL Server2008之后引入的透明加 密技术,能够防止恶意破坏方对数据库文件的直接访问,对于之前数据加 密方式进行了有效补充,可以更好的满足程序开发和数据库管理的需求。
2透明数据加密技术
透明数据加密(TDE)是对整个数据库文件进行保护,不局限于数据 库表的字段和记录,而是整个数据库和日志文件。它是应用于页面级别的, 数据在从磁盘上写入之前和读取之后分别进行加密和解密。这些加解密操
作,对于数据库应用程序来说是完全透明的,不需要对应用程序进行升级。
SQL Server的加密是基于密钥层次的。在结构的顶部是一个唯一的服 务主密钥,对于TDE所使用的加密密钥采用如下的层次进行保护的,服务 主密钥f数据库主密钥一证书f数据加密密钥。SQL Server提供以下几 种加密算法:DES、RC、AES以及其加强算法。它们在速度和强度上都不一 样。
3实现
数据库加密密钥受主密钥和证书的保护,如果要使用透明数据加密, 首先需要确定已创建了主密钥和受主密钥保护的证书,接着才能生成受证 书保护的数据库加密密钥,然后使用加密密钥保护数据库。
下面以加密MyDatabase数据库为例。
—创建主密钥和证书。
USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD =,pwd#$12345,;
GO
CREATE CERTIFICATE MyServerCert WITH SUBJECT = 'DEK
Certificate';
GO
—生成数据库加密密钥。
USE MyDatabase;
GO
CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES 128
ENCRYPTION BY SERVER CERTIFICATE MyServerCert;
GO
创建密钥后,使用alter命令或者数据库属性来设置数据库加密或解 宓
T「[ O
—加密数据库。
ALTER DATABASE MyDatabase SET ENCRYPTION ON;
GO
如果尝试在另一个SQL Server上还原或者附加该数据库时,会出现 以下错误,这说明数据库的保护是有效的。
Msg 33111, Level 16, State 3, Line 1
在正常备份或者还原数据库的同时,就需要附带生成的证书。
—备份证书。
BA