文档章节

SQL Server 数据加密功能解析

偶素浅小浅
 偶素浅小浅
发布于 2016/11/11 13:53
字数 1574
阅读 7
收藏 0

版权声明:本文由王甲坤原创文章,转载请注明出处: 
文章原文链接:https://www.qcloud.com/community/article/194

来源:腾云阁 https://www.qcloud.com/community

 

数据加密是数据库被破解、物理介质被盗、备份被窃取的最后一道防线,数据加密,一方面解决数据被窃取安全问题,另一方面有关法律要求强制加密数据。SQL Server 的数据加密相较于其他数据库,功能相对完善,加密方法较多。通常来讲,数据加密分为对称加密和非对称加密。对称加密:加密与解密使用同一密钥,密钥需要传输,安全性较弱,但性能较非对称要好。非对称加密:加密与解密使用不同密钥(公钥和私钥),较对称密钥安全性较好,但是算法较复杂,带来性能上的损失。因此,折中的方法是使用对称密钥加密数据,使用非对称密钥加密对称密钥。这样既保证高性能,又提高密钥的可靠性。

同样,SQL Server 就使用了折中的方法,所以SQL Server 加密功能包含2个部分:数据加密和密钥管理

一.数据加密

说道数据加密,我们不得不说下加密算法,SQL Server支持多种加密算法:

二.密钥管理:

1.SQL Server加密层次结构


由图可以看出,加密是分层级的。每一个数据库实例都拥有一个服务主密钥(Service Master Key),这个密钥是实例的根密钥,在实例安装的时候自动生成,其本身由Windows提供的数据保护API进行保护(Data Pertection API),服务主密钥除了为其子节点提供加密服务之外,还用于加密一些实例级别的信息,比如实例的登录名密码或者链接服务器的信息。

在服务主密钥之下的是数据库主密钥(Database Master Key),这个密钥由服务主密钥进行加密。这是一个数据库级别的密钥,可以用于为创建数据库级别的证书或非对称密钥提供加密,每一个数据库只能有一个数据库主密钥。

EKM模块,这个比较特别,全称可扩展密钥管理模块,该功能增强sqlserver密钥管理的能力,允许将密钥存储到数据库之外,包括一些硬件,如智能卡、USB设备或硬件安全模块(HSM);并且允许使用第三方产品来管理密钥和进行加密;另外,有条件的可以使用更高性能的HSM模块来加解密,减少加解密上性能的损失。

2.SQL Server加密方式

对象定义加密

未保证触发器、存储过程、视图等定义信息,我们可以在定义sqlserver对象的时候添加WITH ENCRYPTION字段来加密对象。

列数据加密

通过函数加密表中的某一列数据。可以通过密码、对称密钥、非对称密钥、证书等4中方式加密。其中,还包括 带有验证器的加密函数,验证器用来解决密文替换问题,验证器一般选用不更改独一无二的id,这样就算密文替换,验证器不对,一样失败。

连接加密

通过证书的方式对ssl连接加密,一般用于镜像,主从机器之前的连接就是通过这种方式。

TDE(透明数据加密)

透明数据加密,顾名思义,是在用户不感知的情况下完成加解密操作。
它的加密是在页级别进行,是在写入磁盘前加密,读入内存时解密,针对数据和日志文件,做到实时I/O加密,并且备份文件也会一同加密。
密钥存在数据库引导记录中,收到证书或者非对称密钥的保护,也可以与EKM模块一同使用。官方说法,额外占用3%-5%的cpu资源。
TDE也有一些缺点:
压缩率小,由于它是先加密再压缩的,所以无法显著压缩备份。
备份同样是加密的,所有恢复的时候要小心,注意备份证书和密钥,才能在另个实例中还原数据库
性能有一定损耗

备份加密(2014)

支持备份的过程中进行加密,并且支持先压缩在加密,保持高压缩比,打破了使用透明数据加密后几乎没有压缩率的窘境。
因此,使用原生备份加密无论在将数据备份到异地数据中心,还是将数据备份到云端,都能够以非常低的成本对数据提供额外的安全保障。

全程加密(2016)

全程加密,数据永远是加密状态,你可以在加密数据上执行操作,无需先对它们解密,也就是说加密的敏感信息不会有机会变为明文。
全程加密针对列做处理,在创建列主密钥,列加密密钥后,可以在创建表的时候设置列加密。
加密模式分为两种:确定型加密与随机型加密。
确定型加密能够确保对某个值加密后的结果是始终相同的,这就允许使用者对该数据列进行等值比较、连接及分组操作。确定型加密的缺点在于有可能揣测出原文,而随机型加密能够保证某个给定值在任意两次加密后的结果总是不同的,从而杜绝了猜出原值的可能性。官方建议需要搜索和分组的列使用确定性加密,而注释和其他敏感不会进行搜索分组的信息使用随机性加密。
最后附上TDE开通示例:

参考链接:
sqlserver加密:https://msdn.microsoft.com/zh-cn/library/bb510663(v=sql.120).aspx
可扩展密钥管理模块EKM :https://msdn.microsoft.com/zh-CN/library/bb895340(v=sql.120).aspx
透明数据加密TDE:https://msdn.microsoft.com/zh-cn/library/bb934049(v=sql.120).aspx

本文转载自:

偶素浅小浅
粉丝 8
博文 202
码字总数 0
作品 0
信阳
私信 提问
SQL Server 2016 第一个公众预览版发布

在三周前的Microsoft Ignite大会上,该公司宣布了SQL Server 2016,而紧接着的下一代微软旗舰级数据库和分析平台的主要版本于今天发布——SQL Server 2016第一个公众预览版(Community Techn...

oschina
2015/05/29
4.5K
9
SQL Server 2014新特性:原生备份加密

  【IT168 专稿】SQL Server 2014 CTP2之后公布了一项针对备份的特性,那就是原生备份加密。考虑到之前网络上造成很大影响的数据库泄漏事件,本质上都是由于数据库备份泄漏给第三方导致的。...

it168网站
2014/06/11
0
0
SQL Server 2016正式版将于6月1日发布

  【IT168 资讯】4月2日,微软宣布SQL Server 2016完成测试,准备6月1日正式发布。   这个消息意味着企业使用SQL Server2016指日可待了。   SQL Server 2016超越旧版本的一个功能是Str...

it168网站
2016/05/04
0
0
sql server 通过sql server 协议进行登录的解析

为了在oneproxy-monitor中实现sql server的前后端登录分离,经过一段时间的研究终于把sql server的登录搞定了。目前可以做到前端通过一个密码连接到中间件oneproxy-for-sqlserver(oneproxy-m...

harris2016
2016/10/19
411
0
[SQL Server]: 比较各个SQL Server 版本

https://www.microsoft.com/zh-cn/server-cloud/products/sql-server/comparison.aspx 比较各个 SQL Server 版本 *仅限 SQL Server 企业版和开发人员版本。有关更多信息,请参见 SQL Server...

chenhao_asd
2016/11/23
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Spring使用ThreadPoolTaskExecutor自定义线程池及实现异步调用

多线程一直是工作或面试过程中的高频知识点,今天给大家分享一下使用 ThreadPoolTaskExecutor 来自定义线程池和实现异步调用多线程。 一、ThreadPoolTaskExecutor 本文采用 Executors 的工厂...

CREATE_17
今天
6
0
CSS盒子模型

CSS盒子模型 组成: content --> padding --> border --> margin 像现实生活中的快递: 物品 --> 填充物 --> 包装盒 --> 盒子与盒子之间的间距 content :width、height组成的 内容区域 padd......

studywin
今天
7
0
修复Win10下开始菜单、设置等系统软件无法打开的问题

因为各种各样的原因导致系统文件丢失、损坏、被修改,而造成win10的开始菜单、设置等系统软件无法打开的情况,可以尝试如下方法解决 此方法只在部分情况下有效,但值得一试 用Windows键+R打开...

locbytes
昨天
8
0
jquery 添加和删除节点

本文转载于:专业的前端网站➺jquery 添加和删除节点 // 增加一个三和一节点function addPanel() { // var newPanel = $('.my-panel').clone(true) var newPanel = $(".triple-panel-con......

前端老手
昨天
8
0
一、Django基础

一、web框架分类和wsgiref模块使用介绍 web框架的本质 socket服务端 与 浏览器的通信 socket服务端功能划分: 负责与浏览器收发消息(socket通信) --> wsgiref/uWsgi/gunicorn... 根据用户访问...

ZeroBit
昨天
10
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部