SQLServer2008透明加密(TDE) sql server 加密

SQL Server 2008引入透明数据加密(Transparent DataEncryption),即TDE,它允许你完全无需修改应用程序代码而对整个数据库加密。当一个用户数据库可用且已启用TDE时,在写入到磁盘时在页级实现加密。在数据页读入内存时解密。如果数据库文件或数据库备份被盗,没有用来加密的原始证书将无法访问。这几乎是SQLServer2008安全选项中最激动人心的功能了,有了它,我们至少可以将一些初级的恶意窥视拒之见外。

  下面的两个例子将展示如何启用和维护透明数据加密。

  示例一、启用透明加密(TDE)


USE Master
GO
--------删除旧主密钥**********************3w@live.cn
--------Drop master Key
--------go
--创建主密钥**********************3w@live.cn
Create MASTER KEY ENCRYPTION
BY PASSWORD = 'B19ACE32-AB68-4589-81AE-010E9092FC6B'
GO
--创建证书,用于透明数据加密**********************3w@live.cn
CREATE CERTIFICATETDE_Server_Certificate
WITH SUBJECT = 'Server-levelcert for TDE'
GO

USE DB_Encrypt_Demo
GO
--第一步:现在开始透明加密**********************3w@live.cn
CREATE DATABASE ENCRYPTION KEY--创建数据库加密密钥
WITH ALGORITHM = TRIPLE_DES_3KEY--加密方式
ENCRYPTION BY SERVERCERTIFICATE TDE_Server_Certificate--使用服务器级证书加密
GO


--第二步:打开加密开关**********************3w@live.cn
ALTER DATABASE DB_Encrypt_Demo
SET ENCRYPTION ON
GO

--查看数据库是否加密
SELECT is_encrypted
FROM sys.databases
WHERE name ='DB_Encrypt_Demo'

  注意:一旦在数据库应用了加密,应该立刻备份服务器级证书!

  没有加密DEK的证书,该数据库将无法打开,附加到别的服务器也无法使用,数据库文件亦不会被Hack。如果一个DBA想要合法地将数据库从一个SQLServer实例移动到另一个SQL Server实例,那么她应该首先备份服务器级证书,然后在新的SQLServer实例中创建证书。此时可以合法地备份、还原数据库或附加数据及日志文件。

  示例二、管理和移除透明加密(TDE)

USE DB_Encrypt_Demo
GO
--修改加密算法
ALTER DATABASE ENCRYPTION KEY
REGENERATE WITHALGORITHM = AES_128
Go

SELECTDB_NAME(database_id) databasenm,
CASE encryption_state
WHEN 0 THEN 'Noencryption'
WHEN 1 THEN 'Unencrypted'
WHEN 2 THEN 'Encryption inprogress'
SQLServer2008透明加密(TDE) sql server 加密
WHEN 3 THEN 'Encrypted'
WHEN 4 THEN 'Key change inprogress'
WHEN 5 THEN 'Decryption inprogress'
END encryption_state,
key_algorithm,
key_length
FROMsys.dm_database_encryption_keys

  注意:对所有用户数据库的加密处理也包含对tempdb的处理

  除了更改DEK的算法,我们也可以更改用来加密DEK的服务器级证书(该证书应该定期更改)

USE master
GO
CREATE CERTIFICATETDE_Server_Certificate_V2
WITH SUBJECT = 'Server-levelcert for TDE V2'
GO
USE DB_Encrypt_Demo
GO
ALTER DATABASE ENCRYPTION KEY
ENCRYPTION BYSERVER CERTIFICATETDE_Server_Certificate_V2--用新证书修改DEK

--移除数据库透明加密
ALTER DATABASE DB_Encrypt_Demo
SET ENCRYPTION OFF
GO

--移除TDE后,可以删除DEK
USE DB_Encrypt_Demo
GO
Drop DATABASE ENCRYPTION KEY
Go

  注意:如果删除DEK是SQL Server实例中最后一个使用TDE的用户定义数据库,在SQLServer实例重启后,tempdb也将变为不加密的状态。

  小结:

  1、本文主要介绍透明数据加密(TDE)的使用

  2、对DEK的修改同时影响到tempdb数据库的加密状态。

  

爱华网本文地址 » http://www.413yy.cn/a/25101011/79778.html

更多阅读

如何配置SQL Server 2008管理器 sqlserver2008配置

如何配置SQL Server 2008管理器——简介SQl Server 配置管理器(简称为配置管理器)包含了SQL Server 2008服务、SQL Server 2008网络配置和SQL Native Client配置3个工具,供数据库管理人员做服务器启动停止与监控、服务器端支持的网络协

sql server 2008 r2安装详解 sqlserver2008r2 64位

sql server 2008 r2安装详解——简介本篇文章为大家介绍了安装sql server 2008 安装图解,里面有详细步骤,以及需要注意的事项,希望能帮助有需要的朋友。一、进入安装程序插入SQL Server 2008 R2安装光盘,自动运行后出现“SQL Server

SQL Server SQL触发器经验详解 sqlserver 触发器调试

【SQL Server】SQL触发器经验详解——简介自从上次在经验中使用了触发器,有读者询问我一些关于触发器的相关信息,个人推荐首先你需要先去把触发器最基础的东西了解清楚,然后通过这次的经验,希望能在你理解的基础上,加深你对触发器的了解,

SQL Server如何导入mdf,ldf文件 mdf导入sql server

SQL Server如何导入mdf,ldf文件——简介在平时开发中,经常会遇到数据库SQL Server如导入mdf,ldf文件的问题,下面给你介绍一下怎么做,希望能够帮到你。SQL Server如何导入mdf,ldf文件——工具/原料SQL Servermdf,ldf文件SQL Server如何导

SQL Server游标语句 声明/打开/循环 sqlserver 循环语句

网上搜到一篇介绍SqlServer数据库游标的用法,感觉言简意赅,粘过来跟大家分享一下:SQL Server游标语句使用方法:1 1 --声明一个游标2 2 DECLARE MyCursor CURSOR3 3 FOR SELECT TOP 5 FBookName,FBookCoding FROM TBookInfo//定义一个叫M

声明:《SQLServer2008透明加密(TDE) sql server 加密》为网友忽如远行客分享!如侵犯到您的合法权益请联系我们删除