日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
淺析SQLServer2008中的代碼安全之八:透明加密(TDE)

SQL Server 2008引入透明數(shù)據(jù)加密(Transparent Data Encryption),即TDE,它允許你完全無需修改應(yīng)用程序代碼而對(duì)整個(gè)數(shù)據(jù)庫加密。當(dāng)一個(gè)用戶數(shù)據(jù)庫可用且已啟用TDE時(shí),在寫入到磁盤時(shí)在頁級(jí)實(shí)現(xiàn)加密。在數(shù)據(jù)頁讀入內(nèi)存時(shí)解密。如果數(shù)據(jù)庫文件或數(shù)據(jù)庫備份被盜,沒有用來加密的原始證書將無法訪問。這幾乎是SQL Server2008安全選項(xiàng)中最激動(dòng)人心的功能了,有了它,我們至少可以將一些初級(jí)的惡意窺視拒之見外。

成都創(chuàng)新互聯(lián)公司是一家集網(wǎng)站建設(shè),三元企業(yè)網(wǎng)站建設(shè),三元品牌網(wǎng)站建設(shè),網(wǎng)站定制,三元網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營(yíng)銷,網(wǎng)絡(luò)優(yōu)化,三元網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè),幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競(jìng)爭(zhēng)力??沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿,時(shí)刻以成就客戶成長(zhǎng)自我,堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己,讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

下面的兩個(gè)例子將展示如何啟用和維護(hù)透明數(shù)據(jù)加密。

示例一、啟用透明加密(TDE)

 
 
 
 
    
  
  
  
  
  1. /********************TDE****************  ****************/ 
    2. 
  
  
  
  
  2. USE Master 
    3. 
  
  
  
  
  3. GO 
    4. 
  
  
  
  
  4. --------刪除舊主密鑰********************** 
    5. 
  
  
  
  
  5. --------Drop master Key  
    6. 
  
  
  
  
  6. --------go 
    7. 
  
  
  
  
  7. --創(chuàng)建主密鑰********************** 
    8. 
  
  
  
  
  8. Create MASTER KEY ENCRYPTION 
    9. 
  
  
  
  
  9. BY PASSWORD = 'B19ACE32-AB68-4589-81AE-010E9092FC6B'
    10. 
  
  
  
  
  10. GO 
    11. 
  
  
  
  
  11. --創(chuàng)建證書,用于透明數(shù)據(jù)加密********************** 
    12. 
  
  
  
  
  12. CREATE CERTIFICATE TDE_Server_Certificate 
    13. 
  
  
  
  
  13. WITH SUBJECT = 'Server-level cert for TDE'
    14. 
  
  
  
  
  14. GO 
    15. 
  
  
  
  
  15. 
  
  
  
  
  16. USE DB_Encrypt_Demo 
    17. 
  
  
  
  
  17. GO 
    18. 
  
  
  
  
  18. --第一步:現(xiàn)在開始透明加密********************** 
    19. 
  
  
  
  
  19. CREATE DATABASE ENCRYPTION KEY--創(chuàng)建數(shù)據(jù)庫加密密鑰 
    20. 
  
  
  
  
  20. WITH ALGORITHM = TRIPLE_DES_3KEY--加密方式 
    21. 
  
  
  
  
  21. ENCRYPTION BY SERVER CERTIFICATE TDE_Server_Certificate--使用服務(wù)器級(jí)證書加密 
    22. 
  
  
  
  
  22. GO 
    23. 
  
  
  
  
  23. /* 
    24. 
  
  
  
  
  24. Warning: The certificate used for encrypting the database encryption key
    25. 
  
  
  
  
  25. has not been backed up. 
    26. 
  
  
  
  
  26. You should immediately back up the certificate and the private key
    27. 
  
  
  
  
  27. associated with the certificate. 
    28. 
  
  
  
  
  28. If the certificate ever becomes unavailable or
    29. 
  
  
  
  
  29. if you must restore or attach the database on another server, 
    30. 
  
  
  
  
  30. you must have backups of both the certificate and the private key
    31. 
  
  
  
  
  31. or you will not be able to open the database. 
    32. 
  
  
  
  
  32. */ 
    33. 
  
  
  
  
  33. 
  
  
  
  
  34. --第二步:打開加密開關(guān)********************** 
    35. 
  
  
  
  
  35. ALTER DATABASE DB_Encrypt_Demo 
    36. 
  
  
  
  
  36. SET ENCRYPTION ON
    37. 
  
  
  
  
  37. GO 
    38. 
  
  
  
  
  38. 
  
  
  
  
  39. --查看數(shù)據(jù)庫是否加密 
    40. 
  
  
  
  
  40. SELECT is_encrypted 
    41. 
  
  
  
  
  41. FROM sys.databases 
    42. 
  
  
  
  
  42. WHERE name = 'DB_Encrypt_Demo'
    43.

注意:一旦在數(shù)據(jù)庫應(yīng)用了加密,應(yīng)該立刻備份服務(wù)器級(jí)證書!

沒有加密DEK的證書,該數(shù)據(jù)庫將無法打開,附加到別的服務(wù)器也無法使用,數(shù)據(jù)庫文件亦不會(huì)被Hack。如果一個(gè)DBA想要合法地將數(shù)據(jù)庫從一個(gè)SQL Server實(shí)例移動(dòng)到另一個(gè)SQL Server實(shí)例,那么她應(yīng)該首先備份服務(wù)器級(jí)證書,然后在新的SQL Server實(shí)例中創(chuàng)建證書。此時(shí)可以合法地備份、還原數(shù)據(jù)庫或附加數(shù)據(jù)及日志文件。

示例二、管理和移除透明加密(TDE)

 
 
 
 
    
  
  
  
  
  1. USE DB_Encrypt_Demo 
    2. 
  
  
  
  
  2. GO 
    3. 
  
  
  
  
  3. --修改加密算法 
    4. 
  
  
  
  
  4. ALTER DATABASE ENCRYPTION KEY
    5. 
  
  
  
  
  5. REGENERATE WITH ALGORITHM = AES_128 
    6. 
  
  
  
  
  6. Go 
    7. 
  
  
  
  
  7. 
  
  
  
  
  8. SELECT DB_NAME(database_id) databasenm, 
    9. 
  
  
  
  
  9. CASE encryption_state 
    10. 
  
  
  
  
  10. WHEN 0 THEN 'No encryption'
    11. 
  
  
  
  
  11. WHEN 1 THEN 'Unencrypted'
    12. 
  
  
  
  
  12. WHEN 2 THEN 'Encryption in progress'
    13. 
  
  
  
  
  13. WHEN 3 THEN 'Encrypted'
    14. 
  
  
  
  
  14. WHEN 4 THEN 'Key change in progress'
    15. 
  
  
  
  
  15. WHEN 5 THEN 'Decryption in progress'
    16. 
  
  
  
  
  16. END encryption_state, 
    17. 
  
  
  
  
  17. key_algorithm, 
    18. 
  
  
  
  
  18. key_length 
    19. 
  
  
  
  
  19. FROM sys.dm_database_encryption_keys 
    20. 
  
  
  
  
  20. 
  
  
  
  
  21. /* 
    22. 
  
  
  
  
  22. 對(duì)所有用戶數(shù)據(jù)庫的加密處理也包含對(duì)tempdb的處理 
    23. 
  
  
  
  
  23. databasenm encryption_state key_algorithm key_length 
    24. 
  
  
  
  
  24. tempdb Encrypted AES 256 
    25. 
  
  
  
  
  25. DB_Encrypt_Demo Encrypted AES 128 
    26. 
  
  
  
  
  26. */
    27.

注意:對(duì)所有用戶數(shù)據(jù)庫的加密處理也包含對(duì)tempdb的處理

除了更改DEK的算法,我們也可以更改用來加密DEK的服務(wù)器級(jí)證書(該證書應(yīng)該定期更改)

 
 
 
 
    
  
  
  
  
  1. USE master 
    2. 
  
  
  
  
  2. GO 
    3. 
  
  
  
  
  3. CREATE CERTIFICATE TDE_Server_Certificate_V2 
    4. 
  
  
  
  
  4. WITH SUBJECT = 'Server-level cert for TDE V2'
    5. 
  
  
  
  
  5. GO 
    6. 
  
  
  
  
  6. USE DB_Encrypt_Demo 
    7. 
  
  
  
  
  7. GO 
    8. 
  
  
  
  
  8. ALTER DATABASE ENCRYPTION KEY
    9. 
  
  
  
  
  9. ENCRYPTION BY SERVER CERTIFICATE TDE_Server_Certificate_V2--用新證書修改DEK 
    10. 
  
  
  
  
  10. 
  
  
  
  
  11. --移除數(shù)據(jù)庫透明加密 
    12. 
  
  
  
  
  12. ALTER DATABASE DB_Encrypt_Demo 
    13. 
  
  
  
  
  13. SET ENCRYPTION OFF
    14. 
  
  
  
  
  14. GO 
    15. 
  
  
  
  
  15. 
  
  
  
  
  16. --移除TDE后,可以刪除DEK 
    17. 
  
  
  
  
  17. USE DB_Encrypt_Demo 
    18. 
  
  
  
  
  18. GO 
    19. 
  
  
  
  
  19. Drop DATABASE ENCRYPTION KEY
    20. 
  
  
  
  
  20. Go 
    21. 
  
  
  
  
  21.

注意:如果刪除DEK是SQL Server實(shí)例中最后一個(gè)使用TDE的用戶定義數(shù)據(jù)庫,在SQL Server實(shí)例重啟后,tempdb也將變?yōu)椴患用艿臓顟B(tài)。

小結(jié):

1、本文主要介紹透明數(shù)據(jù)加密(TDE)的使用。

2、對(duì)DEK的修改同時(shí)影響到tempdb數(shù)據(jù)庫的加密狀態(tài)。

SQL Server安全系列至此暫告一段落。謝謝各位耐心看完,歡迎對(duì)邀月提出指正。


當(dāng)前題目:淺析SQLServer2008中的代碼安全之八:透明加密(TDE)
網(wǎng)頁路徑:http://www.dlmjj.cn/article/dpdosgo.html