SQLServer 数据加密解密:将 TDE 保护的数据库移到其他实例(二)

最新推荐文章于 2024-04-18 21:50:07 发布
最新推荐文章于 2024-04-18 21:50:07 发布
阅读量5.4k 收藏 2
点赞数
分类专栏: SQLServer SQLServer 文件迁移 SQLServer 安全访问
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kk185800961/article/details/44919061
版权 

--	了解透明数据加密 (TDE)
--	https://technet.microsoft.com/zh-cn/library/bb934049(v=sql.105).aspx

“透明数据加密”(TDE) 可对数据和日志文件执行实时 I/O 加密和解密。
这种加密使用数据库加密密钥 (DEK),该密钥存储在数据库引导记录中以供恢复时使用。
数据库文件的加密在页级执行。已加密数据库中的页在写入磁盘之前会进行加密,在读入内存时会进行解密。

使用TDE操作步骤:
1. 创建主密钥
2. 创建或获取由主密钥保护的证书
3. 创建数据库加密密钥并通过此证书保护该密钥
4. 将数据库设置为使用加密


--	查询相关信息
select * from master.sys.key_encryptions
select * from master.sys.certificates
select * from sys.dm_database_encryption_keys where database_id=DB_ID('Temp')
select name,is_master_key_encrypted_by_server from sys.databases where is_master_key_encrypted_by_server=1

【测试一:分离和附加迁移】 

use master;
go

--将相关信息删除
drop certificate  Mycertificate;
go  
drop master key;
go  

--	创建数据库主密钥
create master key encryption by password = N'Hello@MasterKey';
go

--	创建以数据库主密钥加密的证书
create certificate Mycertificate with subject = 'Certificate to protect TDE key';
go

--	备份证书
backup certificate Mycertificate   
to file = N'D:\mycertificate.cer'  
with private key (   
    file = N'D:\mycertificate_saleskey.pvk' , 
    encryption by password = N'Hello@Mycertificate' );
go  


use [Temp];
go

--	创建用于以透明方式加密数据库的加密密钥
--	https://msdn.microsoft.com/zh-cn/library/bb677241(v=sql.105).aspx
create database encryption key
	with 
	algorithm = aes_128
	encryption by server certificate Mycertificate;
go

--	启用数据库加密
--	https://msdn.microsoft.com/zh-cn/library/bb522682.aspx
alter database [Temp] set encryption on;
go


use master;
go

--	分离数据库
exec master.dbo.sp_detach_db @dbname = N'Temp';
go


--	移动数据文件到另一台服务器中:
--	另一台服务器实例中:
use master;
go

--	附加数据库(失败)
create database [Temp] on 
( filename = N'C:\Database\Temp.mdf' ),
( filename = N'C:\Database\Temp_log.ldf' )
for attach ;
go


--	创建新的数据库主密钥
create master key encryption by password = N'Hello@MasterKey';
go

--	还原证书
create certificate Mycertificate 
from file = N'C:\Software\mycertificate.cer'
with private key 
(
    file = N'C:\Software\mycertificate_saleskey.pvk' , 
    decryption by password = N'Hello@Mycertificate'
);
go

--	附加数据库(成功)
create database [Temp] on 
( filename = N'C:\Database\Temp.mdf' ),
( filename = N'C:\Database\Temp_log.ldf' )
for attach ;
go

--	删除测试信息
use master;
go
drop certificate  Mycertificate;
go  
drop master key;
go

【测试二:备份和恢复迁移】 

--	删除上次测试信息
use [Temp]
go
alter database [Temp] set encryption off;
go
drop database encryption key
go

use master;
go
drop certificate  Mycertificate;
go  
drop master key;
go  

--	创建数据库主密钥
create master key encryption by password = N'Hello@MasterKey';
go

--	创建以数据库主密钥加密的证书
create certificate Mycertificate with subject = 'Certificate to protect TDE key';
go

--	备份证书
backup certificate Mycertificate   
to file = N'D:\mycertificate.cer'  
with private key (   
    file = N'D:\mycertificate_saleskey.pvk' , 
    encryption by password = N'Hello@Mycertificate' );
go  


use [Temp];
go

--	创建用于以透明方式加密数据库的加密密钥
create database encryption key
	with 
	algorithm = aes_128
	encryption by server certificate Mycertificate;
go

--	启用数据库加密
alter database [Temp] set encryption on;
go


--	备份数据库
backup database [Temp] to disk = N'D:\Temp.bak'

--	拷贝mycertificate.cer、mycertificate_saleskey.pvk、Temp.bak到另一服务器
--	在另一台服务器实例中:

use master;
go

--	还原数据库(失败!)
RESTORE DATABASE [Temp] 
FROM  DISK = N'C:\Software\Temp.bak' 
WITH  FILE = 1,  
MOVE N'Temp' TO N'C:\Database\Temp.mdf',  
MOVE N'Temp_log' TO N'C:\Database\Temp_log.ldf',  
NOUNLOAD,  STATS = 10
/*
消息 33111,级别 16,状态 3,第 1 行
找不到指纹为 '0xC1E2F607576904047A0D739588B65B27D8878B92' 的服务器 证书。
消息 3013,级别 16,状态 1,第 1 行
RESTORE DATABASE 正在异常终止。
*/

--	创建新的数据库主密钥
create master key encryption by password = N'Hello@MasterKey';
go

--	还原证书
create certificate Mycertificate 
from file = N'C:\Software\mycertificate.cer'
with private key 
(
    file = N'C:\Software\mycertificate_saleskey.pvk' , 
    decryption by password = N'Hello@Mycertificate'
);
go

--	还原数据库(成功)
RESTORE DATABASE [Temp] 
FROM  DISK = N'C:\Software\Temp.bak' 
WITH  FILE = 1,  
MOVE N'Temp' TO N'C:\Database\Temp.mdf',  
MOVE N'Temp_log' TO N'C:\Database\Temp_log.ldf',  
NOUNLOAD,  STATS = 10

--	删除数据库加密
use [Temp];
go
alter database [Temp] set encryption off;
go
drop database encryption key
go


更多参考:将 TDE 保护的数据库移到其他 SQL Server



薛定谔的DBA
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
浅谈SQL Server的透明数据加密 (TDE)
07-29
一篇关于TDE使用介绍的文章,原本是繁体字的。比SQLServer2008中的联机丛书介绍的要详细。
SQL SERVER 2008 使用TDE加密和解密
weixin_30883777的博客
04-14 290
SQL SERVER 2008 加密和解密,这样的文件在互联网上不胜枚举,本文的寓意还是一样,一为记录,可以为开发者提供在实现过程中的注意事项。 TDE: Transparent data encryption is the new database-level encryption feature introduced in SQL Server2008 加密(详细点击) ...
Oracle-TDE数据加密功能
最新发布
sinat_36757755的博客
04-18 1136
Oracle-TDE数据加密功能
SQL Server安全(9/11):透明数据加密(Transparent Data Encryption
weixin_34104341的博客
04-06 265
在保密你的服务器和数据,防备当前复杂的攻击,SQL Server有你需要的一切。但在你能有效使用这些安全功能前,你需要理解你面对的威胁和一些基本的安全概念。这篇文章提供了基础,因此你可以对SQL Server里的安全功能充分利用,不用在面对特定威胁,不能保护数据的功能上浪费时间。 从让人眼花缭乱的客户端使用连接,通过到处分布的网络,尤其是互联网,关系数据库在各种应用程序里广泛使用。这使数据...
SQLServer · 最佳实践 · 透明数据加密TDESQLServer的应用
weixin_34329187的博客
05-11 150
title: SQLServer · 最佳实践 · 透明数据加密TDESQLServer的应用 author: 石沫 背景 作为云计算的服务提供者,我们在向用户提供优秀的服务能力时会遇到一个合规的问题。在数据库领域,数据是极其敏感和珍贵的,保护数据,就如保护好企业的生命线。因此,需要采取一些预防措施来帮助保护数据库的安全,如设计一个安全系统、加密机...
SQLServer2008的透明数据加密
04-26
对一个数据库管理员来说,当要保护你所支持的数据库时,安全是要考虑的最重要方面之一。我们使用多种机制和技术来保护我们的数据数据库,例如防火墙、认证和数据加密。不过尽管我们为我们的环境设置了安全,但是关于数据库安全还总是有问题出现。尽管我们在保护我们的数据库,但是如果有人窃取mdf 文件或备份文件那么会怎么样呢?但是在SQL Server 2008之前没有什么方法来使用第三方解决方案控制这种场景也没有什么本地方法来处理这个问题。SQL Server 2008推出了一个新的特性来保护数据库,它叫做透明数据加密(Transparent Data Encryption)——TDE,它对整个数据库提供了保护
加密数据库中的所有存储过程
04-07
在Visual Studio中,我们可以创建一个C#项目,导入Microsoft.SqlServer.Smo和其他相关引用,编写代码遍历数据库中的所有存储过程,并使用上述加密方法对它们进行加密。 以下是使用SMO进行加密的步骤概览: 1. 连接...
SQL Server 2008 面向数据库管理员的安全性概述白皮书
12-30
SQL Server 2008 面向数据库管理员的安全性概述》白皮书是针对SQL Server 2008数据库管理系统中安全性的详细指南,旨在帮助数据库管理员(DBA)理解和实施有效的安全策略,以保护数据资产免受未经授权的访问、修改...
SQL加密.docx
06-15
SQL Server 2008 时代,则引入的了透明数据加密(TDE),所谓的透明数据加密,就是加密在数据库中进行,但从程序的角度来看就好像没有加密一样,和列级加密不同的是,TDE 加密的级别是整个数据库。 加密的一些基础...
C#一键AES加密数据库需要的列
10-05
最后,对于大型系统,可以考虑将加密逻辑集成到数据库层,例如使用SQL Server的透明数据加密(TDE),或者在业务层实现,根据实际情况选择合适的方法。无论选择哪种方式,重要的是确保数据的完整性和安全性,避免因...
SQL Server 2008开发新特性系列课程(4):SQL Server可管理性
09-29
SQL Server 2008引入了透明数据加密(Transparent Data Encryption, TDE)功能,允许对整个数据库或特定文件进行实时加密,以增强数据安全性。TDE不改变应用程序的逻辑,因为加密和解密过程对应用程序透明,从而简化...
关于SQLServer2012或2014实现TDE加密的实战演练.pdf
08-02
注意:Sql server 2008以上的并且是企业版或开发版才支持TDE加密,注意数据库要打最新的版本补丁,此文档所述操作步骤基于企业版Sql Server 2014+Sp1补丁实现。
SQL Server 透明数据加密(TDE)的影响
三空道人的博客
04-09 1649
在开启透明数据加密之前,严谨的管理者脑中会出现一些疑问:开启TDE会有哪些影响?会不会造成数据库性能严重下降?哪些影响可以避免、如何避免?本文将一一给出解答。 本文采取试验的方式来确认TDE的影响,因为试验步骤比较冗长,这里我们先将结果告知读者。值得注意的是,这里我们只做了简单的测试,其结论只可当做参考。因为您所在的环境包括物理环境(硬盘、CPU、内存)、生产环境(数据库结构、逻辑复杂度等)的不...
SQL Server 安全篇——SQL Server加密(3)——透明数据加密(TDE
MVP黄钊吉(發糞塗牆)
02-27 3618
本文属于SQL Server安全专题系列    前面讲到的很多内容都是对数据加密和权限控制,这些主要在SQL Server内部,但是还有一种情况就是文件的安全性,除了在操作系统层面对文件进行访问控制之外,还要确保服务器被攻击之后文件被窃取的情况。为了避免文件被窃取后通过特权方式获得数据,有必要对文件也进行数据安全加密,在SQL Server中提供了一种叫透明数据加密(Transparent Dat...
Sqlserver关于TDE透明数据加密的使用总结
lusklusklusk的博客
05-05 1553
官方文档 https://docs.microsoft.com/zh-cn/sql/relational-databases/security/encryption/encryption-hierarchy?view=sql-server-ver15, https://docs.microsoft.com/zh-cn/sql/relational-databases/security/encryption/transparent-data-encryption?view=sql-server-ver15 h
SQLSERVER2008 彻底删除透明加密
XIANHUAFANG的博客
02-21 462
一般看到的状态为5的比较多。或者重启SQLSERVER服务即可,一般该操作在访问比较少的情况下操作。这个时候,可能会报在使用中。检查状态,状态要为1才行。重启数据库,会自动重建tempdb,之后,再看,就没有了。除MASTER为1外,其他都为0。检查发现 tempdb 还加密中。2.关闭TDE(透明数据加密)4.从主数据库中删除TDE证书。0=没有数据库加密密钥。1.检查当前是否有透明加密。3.删除数据库加密密钥。
SQL SERVER开启数据库TDE(透明数据加密)的详细操作步骤
Bruccce的博客
08-21 2944
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、TDE是什么?、使用步骤 前言 公司要求对SQL SERVER数据库,在每天备份时,可以自动进行TDE加密,经过查询文档,与面向百度,找到一篇文章可以很好的完成TDE加密的功能。 一、TDE是什么? 简单的说,就是通过本文章的步骤,将SQL SERVER上的某个数据库进行透明数据加密,之后在每天的自动备份全量数据时,数据库的备份文件都是加密后的文件,在另外一台机器上进行还原数据库或者附加数据库时,必须配合使用证书和密钥
tde数据库加密_在其他服务器上还原启用了透明数据加密(TDE)的数据库
culuo4781的博客
07-19 874
tde数据库加密 In this article, we will review how to enable Transparent Data Encryption (TDE) on a database in SQL Server and move the Transparent Data Encryption (TDE) enabled databases to a different ...
SQLSERVER还原失败的处理
mystonelxj的博客
08-05 3219
一台服务器上部署有一个基于SQLSERVER 2008R2的数据库,近期为了做个测试,需要将这个库复制到一台PC机上。于是我找了个SQLSERVER 2008R2 的安装包,在PC上安装,安装过程中建立了一个Demo的实例。在以sa登录数据库后,在还原数据库时,发生如下错误: 核查了下,原有服务器上的数据库版本为10.50.1617,而PC上的数据库版本为10.50.1600,没有显示...
数据安全】Oracle 透明数据加密(TDE) 完整操作手册
03-17
Oracle 透明数据加密 (TDE) 能够加密存储在表和表空间中的敏感数据,例如手机号码,身份证号等,对于有权访问数据数据库用户或应用程序,加密数据将被透明地解密。 TDE 可在存储介质或数据文件被盗时保护存储在介质上的数据,无需在程序代码层面做任何改动。 在操作过程中遇到的常见问题均可参照此文档解决,例如: ORA -28330:此数据类型不允许加密 ORA -28331:加密列的大小对于其数据类型来说太长 ORA -28332:加密密钥不能有多个密码 ORA -28333:列未加密 ORA -28334:列已加密 ORA -28335:无法加加密引用或引用的外键约束列

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值