SQL Server數(shù)據(jù)庫(kù)作為目前行業(yè)應(yīng)用最為廣泛的數(shù)據(jù)庫(kù)之一，其安全性也越來(lái)越受到行業(yè)重視。中培偉業(yè)《SQL Server2014數(shù)據(jù)庫(kù)管理與性能調(diào)優(yōu)》 培訓(xùn)專家臧老師在這里詳細(xì)介紹了SQL Server數(shù)據(jù)庫(kù)的加密功能。

臧老師指出，數(shù)據(jù)加密是數(shù)據(jù)庫(kù)被破解、物理介質(zhì)被盜、備份被竊取的最后一道防線，數(shù)據(jù)加密，一方面解決數(shù)據(jù)被竊取安全問(wèn)題，另一方面有關(guān)法律要求強(qiáng)制加密數(shù)據(jù)。SQL Server 的數(shù)據(jù)加密相較于其他數(shù)據(jù)庫(kù)，功能相對(duì)完善，加密方法較多。通常來(lái)講，數(shù)據(jù)加密分為對(duì)稱加密和非對(duì)稱加密。對(duì)稱加密：加密與解密使用同一密鑰，密鑰需要傳輸，安全性較弱，但性能較非對(duì)稱要好。非對(duì)稱加密：加密與解密使用不同密鑰（公鑰和私鑰），較對(duì)稱密鑰安全性較好，但是算法較復(fù)雜，帶來(lái)性能上的損失。因此，折中的方法是使用對(duì)稱密鑰加密數(shù)據(jù)，使用非對(duì)稱密鑰加密對(duì)稱密鑰。這樣既保證高性能，又提高密鑰的可靠性。

同樣，SQL Server 就使用了折中的方法，所以SQL Server 加密功能包含2個(gè)部分：數(shù)據(jù)加密和密鑰管理

一.數(shù)據(jù)加密

說(shuō)道數(shù)據(jù)加密，我們不得不說(shuō)下加密算法，SQL Server支持多種加密算法：

二.密鑰管理：

1.SQL Server加密層次結(jié)構(gòu)

由圖可以看出，加密是分層級(jí)的。每一個(gè)數(shù)據(jù)庫(kù)實(shí)例都擁有一個(gè)服務(wù)主密鑰(Service Master Key),這個(gè)密鑰是實(shí)例的根密鑰，在實(shí)例安裝的時(shí)候自動(dòng)生成,其本身由Windows提供的數(shù)據(jù)保護(hù)API進(jìn)行保護(hù)(Data Pertection API)，服務(wù)主密鑰除了為其子節(jié)點(diǎn)提供加密服務(wù)之外，還用于加密一些實(shí)例級(jí)別的信息，比如實(shí)例的登錄名密碼或者鏈接服務(wù)器的信息。

在服務(wù)主密鑰之下的是數(shù)據(jù)庫(kù)主密鑰（Database Master Key），這個(gè)密鑰由服務(wù)主密鑰進(jìn)行加密。這是一個(gè)數(shù)據(jù)庫(kù)級(jí)別的密鑰，可以用于為創(chuàng)建數(shù)據(jù)庫(kù)級(jí)別的證書(shū)或非對(duì)稱密鑰提供加密，每一個(gè)數(shù)據(jù)庫(kù)只能有一個(gè)數(shù)據(jù)庫(kù)主密鑰。

EKM模塊，這個(gè)比較特別，全稱可擴(kuò)展密鑰管理模塊，該功能增強(qiáng)sqlserver密鑰管理的能力，允許將密鑰存儲(chǔ)到數(shù)據(jù)庫(kù)之外，包括一些硬件，如智能卡、USB設(shè)備或硬件安全模塊（HSM）；并且允許使用第三方產(chǎn)品來(lái)管理密鑰和進(jìn)行加密；另外，有條件的可以使用更高性能的HSM模塊來(lái)加解密，減少加解密上性能的損失。

2.SQL Server加密方式

對(duì)象定義加密

未保證觸發(fā)器、存儲(chǔ)過(guò)程、視圖等定義信息，我們可以在定義sqlserver對(duì)象的時(shí)候添加WITH ENCRYPTION字段來(lái)加密對(duì)象。

列數(shù)據(jù)加密

通過(guò)函數(shù)加密表中的某一列數(shù)據(jù)?？梢酝ㄟ^(guò)密碼、對(duì)稱密鑰、非對(duì)稱密鑰、證書(shū)等4中方式加密。其中，還包括 帶有驗(yàn)證器的加密函數(shù)，驗(yàn)證器用來(lái)解決密文替換問(wèn)題，驗(yàn)證器一般選用不更改獨(dú)一無(wú)二的id，這樣就算密文替換，驗(yàn)證器不對(duì)，一樣失敗。

連接加密

通過(guò)證書(shū)的方式對(duì)ssl連接加密，一般用于鏡像，主從機(jī)器之前的連接就是通過(guò)這種方式。

TDE(透明數(shù)據(jù)加密)

透明數(shù)據(jù)加密，顧名思義，是在用戶不感知的情況下完成加解密操作。

它的加密是在頁(yè)級(jí)別進(jìn)行，是在寫入磁盤前加密，讀入內(nèi)存時(shí)解密，針對(duì)數(shù)據(jù)和日志文件，做到實(shí)時(shí)I/O加密，并且備份文件也會(huì)一同加密。

密鑰存在數(shù)據(jù)庫(kù)引導(dǎo)記錄中，收到證書(shū)或者非對(duì)稱密鑰的保護(hù)，也可以與EKM模塊一同使用。官方說(shuō)法，額外占用3%-5%的cpu資源。

TDE也有一些缺點(diǎn)：

壓縮率小，由于它是先加密再壓縮的，所以無(wú)法顯著壓縮備份。

備份同樣是加密的，所有恢復(fù)的時(shí)候要小心，注意備份證書(shū)和密鑰，才能在另個(gè)實(shí)例中還原數(shù)據(jù)庫(kù)

性能有一定損耗

備份加密(2014)

支持備份的過(guò)程中進(jìn)行加密，并且支持先壓縮在加密，保持高壓縮比，打破了使用透明數(shù)據(jù)加密后幾乎沒(méi)有壓縮率的窘境。

因此，使用原生備份加密無(wú)論在將數(shù)據(jù)備份到異地?cái)?shù)據(jù)中心，還是將數(shù)據(jù)備份到云端，都能夠以非常低的成本對(duì)數(shù)據(jù)提供額外的安全保障。

全程加密（2016）

全程加密，數(shù)據(jù)永遠(yuǎn)是加密狀態(tài)，你可以在加密數(shù)據(jù)上執(zhí)行操作，無(wú)需先對(duì)它們解密，也就是說(shuō)加密的敏感信息不會(huì)有機(jī)會(huì)變?yōu)槊魑摹?/p>

全程加密針對(duì)列做處理，在創(chuàng)建列主密鑰，列加密密鑰后，可以在創(chuàng)建表的時(shí)候設(shè)置列加密。

加密模式分為兩種：確定型加密與隨機(jī)型加密。

確定型加密能夠確保對(duì)某個(gè)值加密后的結(jié)果是始終相同的，這就允許使用者對(duì)該數(shù)據(jù)列進(jìn)行等值比較、連接及分組操作。確定型加密的缺點(diǎn)在于有可能揣測(cè)出原文，而隨機(jī)型加密能夠保證某個(gè)給定值在任意兩次加密后的結(jié)果總是不同的，從而杜絕了猜出原值的可能性。官方建議需要搜索和分組的列使用確定性加密，而注釋和其他敏感不會(huì)進(jìn)行搜索分組的信息使用隨機(jī)性加密。