详解SQL Server 2014的数据库加密特性

由于敏感数据丢失和未授权的泄露事件越来越多，所以SQL Server安全性成为许多企业越来越关注的一个重要问题。通常，监管机构也要求给一些数据施加可靠的SQL Server加密，如信用卡和社交安全数据等，而SQL Server 2014的特性可以帮助我们解决这个问题。

SQL Server给DBA提供了几种加密数据并通过网络传输数据的方法，同时它还支持备份或将其存储在服务器或网络上。这些加密方法包括：透明数据加密、字段级加密、SQL Server对象定义加密、备份加密、SQL Server连接加密、通过Windows EFS实现的数据文件级加密和BitLocket驱动器加密。在本文中，我将逐一介绍SQL Server支持的几种在SQL Server数据库中对数据执行加密的方法。

透明数据加密

透明数据加密(TDE)首次在SQL Server 2008中引入。TDE是SQL Server中防御绕过数据安全和从磁盘读取敏感数据的潜在攻击者的主要加密方法。它支持数据库层空闲数据的实时I/O加密和解密。TDE可以给数据库的每一个页加密，然后在需要访问时自动解密每一个页。TDE不需要额外的存储空间，也不需要修改底层的数据库模式、应用程序代码或过程。而且，用户或应用程序完全感觉不到它的存在(透明)，因为它运行在SQL Server服务层。

TDE加密使用一个数据库加密密钥(Database Encryption Key, DEK)，这是一个非对称密钥，它使用存储在主数据库的服务器证书进行加密。DEK存储在数据库的启动记录中，因此可以在数据库恢复过程中使用。服务器证书则使用数据库主密钥(Database_master Key, DMK)，而DMK本身又使用服务器主密钥(Server_master Key, SMK)加密。DMK和SMK都属于非对称密钥。当我们在SQL Server上加密数据时，SMK会自动创建，然后绑定到SQL Server Service帐号上。此外，SMK还由Windows Data Protection API加密。

另外，TDE还可以加密数据库备份和快照，从而使它成为兼容管理规范和企业数据保密法律的最佳选择。

字段级加密

字段级加密(也称为单元格级加密)可以加密和解密数据库中的保密数据。我们可以使用以下方法加密或解密数据：

·通行码(Passphrase)：通行码是最低要求的安全方法。它要求在加密和解密数据的过程中使用相同的通行码。如果存储过程和函数没有加密，那么通行码就可以通过元数据访问。

·非对称密钥：它使用不同的密钥去加密和解密数据，从而提供强力的保护。然而，它的性能较差，而且不适合用于加密大数据值。它可以由数据库主密钥(DMK)签名，也可以用密码创建。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友