SQL Server 2008的加密层次结构

最新推荐文章于 2024-07-07 13:00:43 发布
最新推荐文章于 2024-07-07 13:00:43 发布
阅读量149 收藏
点赞数
文章标签: 数据库

SQL Server 用分层加密和密钥管理基础结构来加密数据。每一层都使用证书、非对称密钥和对称密钥的组合对它下面的一层进行加密。非对称密钥和对称密钥可以存储在 SQL Server 之外的可扩展密钥管理 (EKM) 模块中。

下图说明了加密层次结构的每一层是如何对它下面的一层进行加密的,并且显示了最常用的加密配置。对层次结构的开始进行的访问通常受密码保护。


请记住以下概念:

为了获得最佳性能,使用对称密钥(而不是证书或非对称密钥)加密数据。

数据库主密钥受服务主密钥保护。服务主密钥由 SQL Server 安装程序创建,并且使用 Windows 数据保护 API (DPAPI) 进行加密。

堆叠其他层的其他加密层次结构是可能的。

可扩展密钥管理 (EKM) 模块将对称密钥或非对称密钥保存在 SQL Server 的外部。

透明数据加密 (TDE) 必须使用称为数据库加密密钥的对称密钥,该密钥受由 master 数据库的数据库主密钥保护的证书保护,或者受存储在 EKM 中的非对称密钥保护。

服务主密钥和所有数据库主密钥是对称密钥。

下图以另一种方式显示了相同的信息。


此图说明了以下其他概念:

在此图中,箭头表示常用的加密层次结构。

EKM 中的对称密钥和非对称密钥可以保护对存储在 SQL Server 中的对称密钥和非对称密钥进行的访问。与 EKM 有关的虚线表示 EKM 中的密钥可以替换存储在 SQL Server 中的对称密钥和非对称密钥。

 加密机制
SQL Server 提供了下列加密机制:

Transact-SQL 函数

非对称密钥

对称密钥

证书

透明数据加密

Transact-SQL 函数
插入或更新项时可使用 Transact-SQL 函数对各个项进行加密。有关详细信息,请参阅 ENCRYPTBYPASSPHRASE (Transact-SQL) 和 DECRYPTBYPASSPHRASE (Transact-SQL)。

证书
公钥证书(通常只称为证书)是一个数字签名语句,它将公钥的值绑定到拥有对应私钥的人员、设备或服务的标识上。证书是由证书颁发机构 (CA) 颁发和签名的。从 CA 接收证书的实体是该证书的主体。证书中通常包含下列信息。

主题的公钥。

主题的标识符信息,如姓名和电子邮件地址。

有效期。这是指证书被认为有效的时间长度。
证书只有在指定的有效期内有效,每个证书都包含一个“有效期始于”和“有效期至”日期。这两个日期设置了有效期的界限。证书超过有效期后,必须由已过期证书的主题请求一个新证书。

颁发者标识符信息。

颁发者的数字签名。
此签名用于证明主题的公钥和标识符信息之间的绑定的有效性。(在对信息进行数字签名的过程中,信息以及发件人拥有的一些秘密信息将被转换成一个称为“签名”的标记。)

证书的主要好处是使主机不再需要为每个主题维护一组密码。相反,主机只需要与证书颁发者建立信任关系,然后证书颁发者就可以签名无限数量的证书。

当主机(如安全 Web 服务器)将某个颁发者指定为受信任的根颁发机构时,主机将隐式信任该颁发者用来建立它所发出的证书绑定的策略。也就是说,主机将相信该颁发者已经验证了证书主题的标识。主机可以通过将颁发者自签名的证书(其中包含颁发者的公钥)放入主机的受信任根证书颁发机构证书存储区,将此颁发者指定为受信任的根颁发机构。对于中间证书颁发机构或从属证书颁发机构,只有当它们具有受信任根证书颁发机构的合法路径时才会受到信任。

颁发者可以在证书到期之前便撤消该证书。撤消后,将解除公钥与证书中声明的标识之间的绑定。每个颁发者都维护一个证书撤消列表,此列表可由程序在检查任何给定证书的有效性时使用。

由 SQL Server 创建的自签名证书遵循 X.509 标准并支持 X.509 v1 字段。

非对称密钥
非对称密钥由私钥和对应的公钥组成。每个密钥都可以解密另一个密钥加密的数据。非对称加密和解密相对来说会消耗大量资源,但它们比对称加密提供了更高的安全级别。非对称密钥可用于加密对称密钥,以便存储在数据库中。

对称密钥
对称密钥是加密和解密都使用的一个密钥。使用对称密钥进行加密和解密非常快,适用于对数据库中敏感数据的日常使用。

透明数据加密
透明数据加密 (TDE) 是使用对称密钥进行加密的一种特殊情况。TDE 使用称为数据库加密密钥的对称密钥加密整个数据库。数据库加密密钥受由数据库主密钥或存储在 EKM 模块中的非对称密钥保护的其他密钥或证书保护。有关详细信息,请参阅了解透明数据加密 (TDE)。

 

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/16436858/viewspace-503167/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/16436858/viewspace-503167/

cuanji3287
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql server 加密_SQL Server机密–第一部分–加密基础知识和SQL Server加密功能
culuo4781的博客
07-19 954
sql server 加密 介绍 (Intro) We use cryptography every day: on the internet, mobile devices, ATM machines, and in almost every aspects of our digital life. In a nutshell, cryptography is about data scram...
sql server 加密_列级SQL Server加密概述
culuo4781的博客
07-23 1782
sql server 加密 This article gives an overview of column level SQL Server encryption using examples. 本文使用示例概述列级SQL Server加密。 介绍 (Introduction) Data security is a critical task for any org...
SQL Server 加密层级
weixin_33922670的博客
10-16 140
---------------------------------------------------------------------------------------------------------------------------------------------------------   第一层:          服务主密钥、它在有需要的时候自动生成、比如说要加密...
DBA必读:SQL Server 2008安全概述
07-21 657
作者:戴羽 来源:互联网   酷勤网收集 2008-01-091.导言   随着网络越来越多的连接到一起,安全就变得更为重要。必须保护你的公司的设备,特别是它的数据库,它包含了你公司的非常重要的信息。安全是一个数据库引擎的重要特性之一,它保护企业免受众多威胁。Microsoft®
SQL Server 2008安全概述
cizhen4018的博客
01-16 97
1.导言   随着网络越来越多的连接到一起,安全就变得更为重要。必须保护你的公司的设备,特别是它的数据库,它包含了你公司的非常重要的信息。安全是一个数据库引擎的重要特性之一,它保护企业免受众多威胁。Microsoft® SQ...
细说SQL Server中的加密
weixin_33893473的博客
04-01 1054
简介     加密是指通过使用密钥或密码对数据进行模糊处理的过程。在SQL Server中,加密并不能替代其他的安全设置,比如防止未被授权的人访问数据库或是数据库实例所在的Windows系统,甚至是数据库所在的机房,而是作为当数据库被破解或是备份被窃取后的最后一道防线。通过加密,使得未被授权的人在没有密钥或密码的情况下所窃取的数据变得毫无意义。这种做法不仅仅是为了你的数据安全,有时甚至是法律所要...
SQL Server 2008中的加密和密钥管理
cailinsun666的专栏
10-17 1684
服务器级安全可能是系统管理员最关心的问题,而对于数据库来说,所有操作都是在生产环境中完成的。在大多数情况下,数据库管理员会将数据库细节的问题留给数据库开发人员处理,只要开发人员在环境的限制内工作。SQL Server 2008提供了大量确保数据库安全的功能。  数据加密  SQL Server 2000 及其早期版本不支持加密存储在数据库中的数据。为什么需要加密存储在安全性良好的数据库(位于安全地
SQL Server 安全篇——SQL Server加密(1)——加密概念
MVP黄钊吉(發糞塗牆)
02-12 4374
本文属于SQL Server安全专题系列    加密是一种使用密钥和证书的算法来混淆数据的过程。如果没有密钥和证书,即使得到了数据,也无法得知数据的本来面貌,数据就没有价值了。但是由于加解密本身就是一种非常耗资源(特别是CPU跟I/O )的计算操作,同时加密后的数据本质上会增大,所以也往往会带来性能的下降。所以一般都只能按需使用。    SQL Server到2016为止,加入了很多种加密技术,比...
SQL Server数据库备份加密方案
Do_GH的博客
08-04 1318
目录透明数据加密(TDE)工作原理加密层次结构开启TDE秘钥操作目录视图和动态管理视图对备份文件进行压缩加密xp_cmdshell服务器配置选项xp_cmdshell 透明数据加密(TDE) 透明数据加密 (TDE) 技术可以加密 SQL Server、Azure SQL 数据库和 Azure Synapse Analytics(SQL 数据仓库) 数据文件。 这种加密方式称为静态数据加密。 为了帮助保护数据库的安全,可以采取以下预防措施: 设计安全的系统。 对机密资产加密。 在数据库服务器外围构建防火
sql server 加密_列级SQL Server加密
qq1507171150的博客
03-18 872
sql server 加密_列级SQL Server加密
实例讲解SQL Server加密功能
09-10
本文将通过实例深入解析SQL Server加密层次结构和具体操作。 首先,SQL Server加密体系分为多个层级,从顶层的Service Master Key(SMK)开始。SMK在SQL Server安装时自动生成,并由Windows Data Protection ...
SQLServer 2008中的代码安全(四) 主密钥
12-15
如果必须改变SQL Server服务账号,微软建议使用SQL Server配置管理器,因为这个工具将执行生成新服务主密钥需要的合适的解密和加密方法,而且可以使加密层次结构保持完整。服务主密钥也用于加密其下的数据库主密钥。...
SQL Server 2008高级程序设计 2/6
03-03
 本书首先介绍SQL Server 2008的新功能,然后在更详实的示例代码的引导下全面深入地展开论述,讨论了如何编写复杂查询、构建各种数据结构以及提高应用程序性能,还讲述了如何管理高级脚本和数据库以及如何确定和...
SQL Server 2008高级程序设计 4/6
03-03
 本书首先介绍SQL Server 2008的新功能,然后在更详实的示例代码的引导下全面深入地展开论述,讨论了如何编写复杂查询、构建各种数据结构以及提高应用程序性能,还讲述了如何管理高级脚本和数据库以及如何确定和...
SQL Server 2008高级程序设计 1/6
03-03
 本书首先介绍SQL Server 2008的新功能,然后在更详实的示例代码的引导下全面深入地展开论述,讨论了如何编写复杂查询、构建各种数据结构以及提高应用程序性能,还讲述了如何管理高级脚本和数据库以及如何确定和...
流式数据库 RisingWave「Demo」:直播指标实时分析
https://risingwave.com/
07-04 805
直播是目前最为流行的娱乐形式之一,本教程将分享如何使用开源流式数据库 RisingWave 监控直播指标。我们为本教程设置了一个演示集群,以便大家可以轻松尝试。
JDBC (基础)
最新发布
weixin_51644244的博客
07-07 358
思考: java和sql是两种不同的编程语言。翻译程序---每个数据库厂商都提高了翻译软件-- -打包jar。---我们的java代码引入jar就可完成与数据库的沟通。Java :OOP 面向对象的编程对象。SQL: 结构化查询语言。
数据库原理之并发控制的基本概念
m0_75262255的博客
07-06 1099
并发控制的简单介绍。
短链接学习day2
weixin_63374588的博客
07-05 871
需要注意的是,转换过程中,BeanUtil.toBean()方法通过反射机制创建了目标类型的实例,并将数据源对象的属性值复制到目标对象中。但是为了防止redis的主节点挂掉后,从节点变成主节点时,有些数据还没复制,就会导致脏数据,就会可能导致用户名重复,所以为了防止这个情况,我们需要将username设置为唯一索引,让数据库兜底。因为用户名不是特别重要的数据,如果说我设置用户名为 aaa,系统返回我不可用,那我大可以在 aaa 的基础上再加一个a,也就是 aaaa。一定要记得写枚举的时候是用逗号分割。
基于jsp和sqlserver2008的物流信息网络系统-毕业设计方案方案论文.doc
07-09
本文是一篇关于基于Java Server Pages (JSP) 和 Microsoft SQL Server 2008 的物流信息网络系统的设计方案论文,由信息工程系于2013年6月14日完成。作者针对当前物流信息管理的需求,对物流行业的现状进行了深入研究...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值