浅析SQLServer2008中的代码安全之八:透明加密(TDE)

SQL Server 2008引入透明数据加密(Transparent Data Encryption),即TDE,它允许你完全无需修改应用程序代码而对整个数据库加密。当一个用户数据库可用且已启用TDE时,在写入到磁盘时在页级实现加密。在数据页读入内存时解密。如果数据库文件或数据库备份被盗,没有用来加密的原始证书将无法访问。这几乎是SQL Server2008安全选项中最激动人心的功能了,有了它,我们至少可以将一些初级的恶意窥视拒之见外。

成都创新互联公司是一家集网站建设,三元企业网站建设,三元品牌网站建设,网站定制,三元网站建设报价,网络营销,网络优化,三元网站推广为一体的创新建站企业,帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿,时刻以成就客户成长自我,坚持不断学习、思考、沉淀、净化自己,让我们为更多的企业打造出实用型网站。

下面的两个例子将展示如何启用和维护透明数据加密。

示例一、启用透明加密(TDE)

 
 
 
 
    
  
  
  
  
  1. /********************TDE****************  ****************/ 
    2. 
  
  
  
  
  2. USE Master 
    3. 
  
  
  
  
  3. GO 
    4. 
  
  
  
  
  4. --------删除旧主密钥********************** 
    5. 
  
  
  
  
  5. --------Drop master Key  
    6. 
  
  
  
  
  6. --------go 
    7. 
  
  
  
  
  7. --创建主密钥********************** 
    8. 
  
  
  
  
  8. Create MASTER KEY ENCRYPTION 
    9. 
  
  
  
  
  9. BY PASSWORD = 'B19ACE32-AB68-4589-81AE-010E9092FC6B'
    10. 
  
  
  
  
  10. GO 
    11. 
  
  
  
  
  11. --创建证书,用于透明数据加密********************** 
    12. 
  
  
  
  
  12. CREATE CERTIFICATE TDE_Server_Certificate 
    13. 
  
  
  
  
  13. WITH SUBJECT = 'Server-level cert for TDE'
    14. 
  
  
  
  
  14. GO 
    15. 
  
  
  
  
  15. 
  
  
  
  
  16. USE DB_Encrypt_Demo 
    17. 
  
  
  
  
  17. GO 
    18. 
  
  
  
  
  18. --第一步:现在开始透明加密********************** 
    19. 
  
  
  
  
  19. CREATE DATABASE ENCRYPTION KEY--创建数据库加密密钥 
    20. 
  
  
  
  
  20. WITH ALGORITHM = TRIPLE_DES_3KEY--加密方式 
    21. 
  
  
  
  
  21. ENCRYPTION BY SERVER CERTIFICATE TDE_Server_Certificate--使用服务器级证书加密 
    22. 
  
  
  
  
  22. GO 
    23. 
  
  
  
  
  23. /* 
    24. 
  
  
  
  
  24. Warning: The certificate used for encrypting the database encryption key
    25. 
  
  
  
  
  25. has not been backed up. 
    26. 
  
  
  
  
  26. You should immediately back up the certificate and the private key
    27. 
  
  
  
  
  27. associated with the certificate. 
    28. 
  
  
  
  
  28. If the certificate ever becomes unavailable or
    29. 
  
  
  
  
  29. if you must restore or attach the database on another server, 
    30. 
  
  
  
  
  30. you must have backups of both the certificate and the private key
    31. 
  
  
  
  
  31. or you will not be able to open the database. 
    32. 
  
  
  
  
  32. */ 
    33. 
  
  
  
  
  33. 
  
  
  
  
  34. --第二步:打开加密开关********************** 
    35. 
  
  
  
  
  35. ALTER DATABASE DB_Encrypt_Demo 
    36. 
  
  
  
  
  36. SET ENCRYPTION ON
    37. 
  
  
  
  
  37. GO 
    38. 
  
  
  
  
  38. 
  
  
  
  
  39. --查看数据库是否加密 
    40. 
  
  
  
  
  40. SELECT is_encrypted 
    41. 
  
  
  
  
  41. FROM sys.databases 
    42. 
  
  
  
  
  42. WHERE name = 'DB_Encrypt_Demo'
    43.

注意:一旦在数据库应用了加密,应该立刻备份服务器级证书!

没有加密DEK的证书,该数据库将无法打开,附加到别的服务器也无法使用,数据库文件亦不会被Hack。如果一个DBA想要合法地将数据库从一个SQL Server实例移动到另一个SQL Server实例,那么她应该首先备份服务器级证书,然后在新的SQL Server实例中创建证书。此时可以合法地备份、还原数据库或附加数据及日志文件。

示例二、管理和移除透明加密(TDE)

 
 
 
 
    
  
  
  
  
  1. USE DB_Encrypt_Demo 
    2. 
  
  
  
  
  2. GO 
    3. 
  
  
  
  
  3. --修改加密算法 
    4. 
  
  
  
  
  4. ALTER DATABASE ENCRYPTION KEY
    5. 
  
  
  
  
  5. REGENERATE WITH ALGORITHM = AES_128 
    6. 
  
  
  
  
  6. Go 
    7. 
  
  
  
  
  7. 
  
  
  
  
  8. SELECT DB_NAME(database_id) databasenm, 
    9. 
  
  
  
  
  9. CASE encryption_state 
    10. 
  
  
  
  
  10. WHEN 0 THEN 'No encryption'
    11. 
  
  
  
  
  11. WHEN 1 THEN 'Unencrypted'
    12. 
  
  
  
  
  12. WHEN 2 THEN 'Encryption in progress'
    13. 
  
  
  
  
  13. WHEN 3 THEN 'Encrypted'
    14. 
  
  
  
  
  14. WHEN 4 THEN 'Key change in progress'
    15. 
  
  
  
  
  15. WHEN 5 THEN 'Decryption in progress'
    16. 
  
  
  
  
  16. END encryption_state, 
    17. 
  
  
  
  
  17. key_algorithm, 
    18. 
  
  
  
  
  18. key_length 
    19. 
  
  
  
  
  19. FROM sys.dm_database_encryption_keys 
    20. 
  
  
  
  
  20. 
  
  
  
  
  21. /* 
    22. 
  
  
  
  
  22. 对所有用户数据库的加密处理也包含对tempdb的处理 
    23. 
  
  
  
  
  23. databasenm encryption_state key_algorithm key_length 
    24. 
  
  
  
  
  24. tempdb Encrypted AES 256 
    25. 
  
  
  
  
  25. DB_Encrypt_Demo Encrypted AES 128 
    26. 
  
  
  
  
  26. */
    27.

注意:对所有用户数据库的加密处理也包含对tempdb的处理

除了更改DEK的算法,我们也可以更改用来加密DEK的服务器级证书(该证书应该定期更改)

 
 
 
 
    
  
  
  
  
  1. USE master 
    2. 
  
  
  
  
  2. GO 
    3. 
  
  
  
  
  3. CREATE CERTIFICATE TDE_Server_Certificate_V2 
    4. 
  
  
  
  
  4. WITH SUBJECT = 'Server-level cert for TDE V2'
    5. 
  
  
  
  
  5. GO 
    6. 
  
  
  
  
  6. USE DB_Encrypt_Demo 
    7. 
  
  
  
  
  7. GO 
    8. 
  
  
  
  
  8. ALTER DATABASE ENCRYPTION KEY
    9. 
  
  
  
  
  9. ENCRYPTION BY SERVER CERTIFICATE TDE_Server_Certificate_V2--用新证书修改DEK 
    10. 
  
  
  
  
  10. 
  
  
  
  
  11. --移除数据库透明加密 
    12. 
  
  
  
  
  12. ALTER DATABASE DB_Encrypt_Demo 
    13. 
  
  
  
  
  13. SET ENCRYPTION OFF
    14. 
  
  
  
  
  14. GO 
    15. 
  
  
  
  
  15. 
  
  
  
  
  16. --移除TDE后,可以删除DEK 
    17. 
  
  
  
  
  17. USE DB_Encrypt_Demo 
    18. 
  
  
  
  
  18. GO 
    19. 
  
  
  
  
  19. Drop DATABASE ENCRYPTION KEY
    20. 
  
  
  
  
  20. Go 
    21. 
  
  
  
  
  21.

注意:如果删除DEK是SQL Server实例中最后一个使用TDE的用户定义数据库,在SQL Server实例重启后,tempdb也将变为不加密的状态。

小结:

1、本文主要介绍透明数据加密(TDE)的使用。

2、对DEK的修改同时影响到tempdb数据库的加密状态。

SQL Server安全系列至此暂告一段落。谢谢各位耐心看完,欢迎对邀月提出指正。

新闻标题:浅析SQLServer2008中的代码安全之八:透明加密(TDE)
标题URL:http://www.shufengxianlan.com/qtweb/news47/220497.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

猜你还喜欢下面的内容

关键词优化知识

同城分类信息

南充主机托管    成都学生服定制    都江堰网站建设    成都棕数机房    南充护栏钻孔机    联通机柜租用    光华村机房    网站优化公司    成都app制作    眉山电信机房    达州做网站    专业网站设计    南充网站制作    成都网站建设    校园网站建设方案    注册域名    成都网站制作    重庆服务器托管    成都定制网站建设    重庆机房托管