51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

浅析SQL Server 2008中的代码安全之八:透明加密(TDE)

作者:邀月
数据库 SQL Server
SQL Server 2008引入透明数据加密(Transparent Data Encryption),即TDE,它允许你完全无需修改应用程序代码而对整个数据库加密。

SQL Server 2008引入透明数据加密(Transparent Data Encryption),即TDE,它允许你完全无需修改应用程序代码而对整个数据库加密。当一个用户数据库可用且已启用TDE时,在写入到磁盘时在页级实现加密。在数据页读入内存时解密。如果数据库文件或数据库备份被盗,没有用来加密的原始证书将无法访问。这几乎是SQL Server2008安全选项中最激动人心的功能了,有了它,我们至少可以将一些初级的恶意窥视拒之见外。

下面的两个例子将展示如何启用和维护透明数据加密。

示例一、启用透明加密(TDE)

  1. /********************TDE****************  ****************/  
  2. USE Master  
  3. GO  
  4. --------删除旧主密钥**********************  
  5. --------Drop master Key   
  6. --------go  
  7. --创建主密钥**********************  
  8. Create MASTER KEY ENCRYPTION  
  9. BY PASSWORD = 'B19ACE32-AB68-4589-81AE-010E9092FC6B' 
  10. GO  
  11. --创建证书,用于透明数据加密**********************  
  12. CREATE CERTIFICATE TDE_Server_Certificate  
  13. WITH SUBJECT = 'Server-level cert for TDE' 
  14. GO  
  15.  
  16. USE DB_Encrypt_Demo  
  17. GO  
  18. --第一步:现在开始透明加密**********************  
  19. CREATE DATABASE ENCRYPTION KEY--创建数据库加密密钥  
  20. WITH ALGORITHM = TRIPLE_DES_3KEY--加密方式  
  21. ENCRYPTION BY SERVER CERTIFICATE TDE_Server_Certificate--使用服务器级证书加密  
  22. GO  
  23. /*  
  24. Warning: The certificate used for encrypting the database encryption key 
  25. has not been backed up.  
  26. You should immediately back up the certificate and the private key 
  27. associated with the certificate.  
  28. If the certificate ever becomes unavailable or 
  29. if you must restore or attach the database on another server,  
  30. you must have backups of both the certificate and the private key 
  31. or you will not be able to open the database.  
  32. */  
  33.  
  34. --第二步:打开加密开关**********************  
  35. ALTER DATABASE DB_Encrypt_Demo  
  36. SET ENCRYPTION ON 
  37. GO  
  38.  
  39. --查看数据库是否加密  
  40. SELECT is_encrypted  
  41. FROM sys.databases  
  42. WHERE name = 'DB_Encrypt_Demo' 

注意:一旦在数据库应用了加密,应该立刻备份服务器级证书!

没有加密DEK的证书,该数据库将无法打开,附加到别的服务器也无法使用,数据库文件亦不会被Hack。如果一个DBA想要合法地将数据库从一个SQL Server实例移动到另一个SQL Server实例,那么她应该首先备份服务器级证书,然后在新的SQL Server实例中创建证书。此时可以合法地备份、还原数据库或附加数据及日志文件。

  

示例二、管理和移除透明加密(TDE) 

  1. USE DB_Encrypt_Demo  
  2. GO  
  3. --修改加密算法  
  4. ALTER DATABASE ENCRYPTION KEY 
  5. REGENERATE WITH ALGORITHM = AES_128  
  6. Go  
  7.  
  8. SELECT DB_NAME(database_id) databasenm,  
  9. CASE encryption_state  
  10. WHEN 0 THEN 'No encryption' 
  11. WHEN 1 THEN 'Unencrypted' 
  12. WHEN 2 THEN 'Encryption in progress' 
  13. WHEN 3 THEN 'Encrypted' 
  14. WHEN 4 THEN 'Key change in progress' 
  15. WHEN 5 THEN 'Decryption in progress' 
  16. END encryption_state,  
  17. key_algorithm,  
  18. key_length  
  19. FROM sys.dm_database_encryption_keys  
  20.  
  21. /*  
  22. 对所有用户数据库的加密处理也包含对tempdb的处理  
  23. databasenm encryption_state key_algorithm key_length  
  24. tempdb Encrypted AES 256  
  25. DB_Encrypt_Demo Encrypted AES 128  
  26. */ 

注意:对所有用户数据库的加密处理也包含对tempdb的处理 

除了更改DEK的算法,我们也可以更改用来加密DEK的服务器级证书(该证书应该定期更改)

  1. USE master  
  2. GO  
  3. CREATE CERTIFICATE TDE_Server_Certificate_V2  
  4. WITH SUBJECT = 'Server-level cert for TDE V2' 
  5. GO  
  6. USE DB_Encrypt_Demo  
  7. GO  
  8. ALTER DATABASE ENCRYPTION KEY 
  9. ENCRYPTION BY SERVER CERTIFICATE TDE_Server_Certificate_V2--用新证书修改DEK  
  10.  
  11. --移除数据库透明加密  
  12. ALTER DATABASE DB_Encrypt_Demo  
  13. SET ENCRYPTION OFF 
  14. GO  
  15.  
  16. --移除TDE后,可以删除DEK  
  17. USE DB_Encrypt_Demo  
  18. GO  
  19. Drop DATABASE ENCRYPTION KEY 
  20. Go  
  21.  

注意:如果删除DEK是SQL Server实例中最后一个使用TDE的用户定义数据库,在SQL Server实例重启后,tempdb也将变为不加密的状态。

小结:

1、本文主要介绍透明数据加密(TDE)的使用。

2、对DEK的修改同时影响到tempdb数据库的加密状态。

SQL Server安全系列至此暂告一段落。谢谢各位耐心看完,欢迎对邀月提出指正。

 原文链接:http://www.cnblogs.com/downmoon/archive/2011/03/17/1986383.html

【编辑推荐】

  1. 浅析SQL Server 2008中的代码安全之三:通过PassPhrase加密
  2. 浅析SQL Server 2008中的代码安全之四:主密钥
  3. 浅析SQL Server 2008中的代码安全之五:非对称密钥加密
  4. 浅析SQL Server 2008中的代码安全之六:对称密钥加密
  5. 浅析SQL Server 2008中的代码安全之七:证书加密
责任编辑:艾婧 来源: 博客园
SQL Server透明加密
相关推荐
浅析SQL Server 2008代码安全七:证书加密
证书可以在数据库中加密和解密数据。SQLServer可以生成它自己的证书,也可以从外部文件或程序集载入。因为可以备份然后从文件中载入它们,证书比非对称密钥更易于移植,而非对称密钥却做不到。这意味着可以在数据库中方便地重用同一个证书。

2011-03-16 08:42:22

SQL Server证书加密
浅析SQL Server 2008代码安全六:对称密钥加密
证书和非对称密钥使用数据库级的内部公钥加密数据,并且使用数据库级内部私钥解密数据。而对称密钥相对简单,它们包含一个同时用来加密和解密的密钥。困此,使用对称密钥加密数据更快,并且用在大数据时更加合适。尽管复杂度是考虑使用它的因素,但它仍然是一个很好的加密数据的选择。

2011-03-15 09:51:09

浅析SQL Server 2008代码安全五:非对称密钥加密
非对称密钥包含数据库级的内部公钥和私钥,它可以用来加密和解密SQLServer数据库中的数据,它可以从外部文件或程序集中导入,也可以在SQLServer数据库中生成。非对称密钥对于数据库加密属于高安全选项,因而需要更多的SQLServer资源。

2011-03-14 10:38:10

SQL Server非对称密钥加密
浅析SQL Server 2008代码安全之三:通过PassPhrase加密
本文主要涉及EncryptByPassPhrase和DecryptByPassPhrase函数进行通行短语(PassPhrase)加密。

2011-03-03 10:45:51

浅析SQL Server 2008代码安全四:主密钥
本文主要介绍服务主密钥的备份与还原,数据库的主密钥的创建、重新生成、删除和备份、还原。

2011-03-10 15:03:40

SQL Server主密钥
SQL Server 2008代码安全:非对称密钥加密
一提到SQLServer2008数据库,安全问题就不得不说说,现在的数据库安全防护工作都做的非常好,就是对数据库进行加密,下面为大家介绍非对称密钥加密。

2011-03-14 15:06:49

SQL Server 安全
浅析SQL Server 2008代码安全之一:存储过程加密安全上下文
编者最近对SQLServer2008的安全入门略作小结,以作备忘。本文主要是针对存储过程加密与安全上下文来作分析。

2011-02-28 15:46:22

SQLSQL ServerSQL Server
浅谈数据库透明加密TDE
透明数据加密(TDE)是一种数据库端存储加密技术,全称为TransparentDataEncryption。这种技术对应用系统完全透明,通常由数据库厂商在数据库引擎中实现。在数据库引擎的存储管理层中增加一个数据处理过程,当数据由数据库共享内存写入到数据文件时对其进行加密,而当数据由数据文件读取到数据库共享内存时则对其进行解密。

2023-09-01 07:30:59

SQL Server 2008代码安全目录索引
之前我们跟随笔者探讨了SQLServer2008中的代码安全,笔者一共介绍了八种方法,现在对这八类做一个总结,做出一个目录索引。

2011-03-18 10:27:00

SQL Server目录索引
SQL Server 2008代码安全之主密钥详解
本文我们主要介绍了SQLServer2008中的代码安全之主密钥的相关知识,包括:服务器主密钥和数据库主密钥,并给出了四个示例加以说明,希望能够对您有所帮助。

2011-08-19 11:26:41

SQL Server 主密钥
SQL Server 2008加密和密钥管理
服务器级安全可能是系统管理员最关心的问题,而对于数据库来说,所有操作都是在生产环境中完成的。在大多数情况下,数据库管理员会将数据库细节的问题留给数据库开发人员处理,只要开发人员在环境的限制内工作。SQLServer2008提供了大量确保数据库安全的功能。

2009-04-16 18:07:39

SQL Server 2008透明加密是如何助力中小企业?
如果你是SQLServer2008透明加密方面的新手,对SQLServer2008透明加密的相关实际应用不是很了解的话,以下的文章会给你提供更全面的知识。

2010-07-26 09:43:21

SQL Server
SQL Server 2008透明加密助中小企业实施方案
以下的文章主要介绍的是SQLServer2008透明加密助力中小企业的实际实行方案,以下就是对其具体操作方案的详细解析。

2010-07-23 16:16:26

SQL Server
如何实现存储层数据加密,不妨试试透明加密TDE
数据库透明加密(TransparentDataEncryption,简称TDE)是一种用于加密数据库存储的数据的技术,它可以在数据库系统的文件或磁盘层面对数据进行加密,而不需要修改应用程序代码。TDE主要用于保护数据静态时的安全,即数据在硬盘上或备份介质中时的安全。

2023-12-01 16:30:12

浅析SQL Server 2008代码安全之二:DDL触发器与登录触发器
笔者之前介绍了代码安全之一:存储过程加密与安全上下文,这次为我们介绍了涉及DDL触发器和登录触发器的应用实例。

2011-03-03 09:30:24

downmoonsql登录触发器
SQL Server 2008安全配置
随着越来越多的网络相互连接,安全性也变得日益重要。公司的资产必须受到保护,尤其是数据库,它们存储着公司的宝贵信息。安全是数据引擎的关键特性之一,保护企业免受各种威胁。

2009-04-16 17:34:19

SQL Server 2008安装安全审计
SQLServer2008引进了一种新的审计性能,它能使DBA追踪数据库的使用并进行详细审计。我们能在服务器和数据库上安装审计,在单独的数据库对象上激活并用各种不同的格式保存,如二进制文件或WindowsApplication日志。本文主要讲述的是在SQLServer2008中如何安装安全审计。

2009-02-16 16:10:49

安全审计安装SQL Server
SQL Server 2008SQL增强Merge命令详解
本文我们主要介绍了SQLServer2008中SQL增强之Merge命令,并通过一个例子详细地对Merge的用法进行了介绍,希望能够对您有所帮助。

2011-08-19 10:40:27

SQL Server Merge命令
SQL Server 2008元数据安全
SQLServer2008仔细检查数据库中主体所拥有的各种权限,仅当主体具有所有者身份或拥有对象的某些权限时,才会显示该对象的元数据。还有一种VIEWDEFINITION权限,即使没有该对象的其他权限,利用它也能查看元数据信息。

2009-04-16 18:25:55

SQL Server 2008SQL增强Values新用途
本文我们主要介绍了SQLServer2008中SQL增强之Values新用途的知识,并以详细的代码示例加以说明,希望能够对您有所帮助。

2011-08-19 10:13:34

SQL Server Values新用途
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服