SQL Server2016 数据库透明加密TDE、解密、加密备份数据还原

已于 2023-10-20 17:27:18 修改
阅读量693 收藏 1
点赞数 2
文章标签: 数据库 sqlserver sql
于 2023-10-20 11:29:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40344051/article/details/133942126
版权

官方文档描述:数据库文件加密在页面级执行。 已加密数据库中的页在写入磁盘之前会进行加密,在读入内存时会进行解密。 TDE 不会增加已加密数据库的大小。会增加CPU3%-5%的消耗

为SQL Server数据库启用TDE加密的过程:

1、创建主密钥。
2、创建或获取由主密钥保护的证书。
3、备份密钥,证书和证书的私钥,为了在别的机器上还原加密后的数据库,必须要有证书以及证书的私钥
4、创建数据库加密密钥并使用此证书保护该密钥。
5、将数据库设置为使用加密。
USE master;
GO
-- 查询证书:
select * from sys.certificates
-- 查询主密钥:
SELECT * FROM sys.symmetric_keys

-- 查看日志文件加密的状态
select * from sys.dm_database_encryption_keys

-- 查询数据库是否加密
SELECT database_id,name,is_encrypted FROM sys.databases WHERE name = 'icon_ods'

/**************************开始进行TED加密*****************/

USE master;
GO

-- 创建主密钥
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'TianQi#aasskdhh!';
GO

-- 创建证书
CREATE CERTIFICATE MyServerCert WITH SUBJECT = 'MyDEKCertificate2023', START_DATE = '2023-10-19',EXPIRY_DATE = '2099-12-31';  --证书的有效时间;
GO
--备份数据库主密钥MASTER KEY
BACKUP MASTER KEY TO FILE = 'D:\DataBaseBak\DataBaseEnc\masterkey' ENCRYPTION BY PASSWORD = 'TianQi#aasskdhh!'
GO

--备份数据库证书和证书的私钥
USE master;
GO
BACKUP CERTIFICATE MyServerCert TO FILE = 'D:\DataBaseBak\DataBaseEnc\MyServerCert.cer'
    WITH PRIVATE KEY ( FILE = 'D:\DataBaseBak\DataBaseEnc\MyServerCert.pvk' , 
    ENCRYPTION BY PASSWORD = 'TianQi#123456' );
GO

USE [icon_ods];
GO
-- 创建一个数据库加密密钥
CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM = AES_256
ENCRYPTION BY SERVER CERTIFICATE MyServerCert;
GO

-- 开启加密
ALTER DATABASE icon_ods SET ENCRYPTION ON;
GO

-- 在进行正常的数据库备份,全备.bak文件


/**************************结束TED加密*****************/

-----------------------对已开启TED加密数据库备份还原需要的操作------------------------------------


-- 还原数据库主密钥
USE master;  
GO  
RESTORE MASTER KEY   
    FROM FILE = 'D:\DataBaseBak\DataBaseEnc\masterkey'   
    DECRYPTION BY PASSWORD = 'TianQi#aasskdhh!'   
    ENCRYPTION BY PASSWORD = 'TianQi#aasskdhh!';  
GO  

-- 如果报错消息 15581,在执行此操作之前,请在数据库中创建一个主密钥或在会话中打开该主密钥。可执行以下语句
-- 开启数据库主密钥的服务器主密钥加密方式:
Use master
go
OPEN MASTER KEY DECRYPTION BY PASSWORD='TianQi#aasskdhh!'
ALTER MASTER KEY ADD ENCRYPTION BY SERVICE MASTER KEY
-- 使用以下查询来确定是否已为 master 数据库禁用服务主密钥对主密钥的自动解密:
-- 如果此查询返回的值为 0,则禁用了服务主密钥对主密钥的自动解密。
select is_master_key_encrypted_by_server from sys.databases where name = 'master'


-- 在通过备份的证书和证书的私钥进行还原证书
CREATE CERTIFICATE MyServerCert
  FROM FILE = 'D:\DataBaseBak\DataBaseEnc\MyServerCert.cer'
  WITH PRIVATE KEY ( 
    FILE = N'D:\DataBaseBak\DataBaseEnc\MyServerCert.pvk',
 DECRYPTION BY PASSWORD = 'TianQi#123456'
  );
GO

-- 正常进行数据库.bak文件还原

-----------------------对已开启TED加密数据库备份还原结束------------------------------------

--     --- 额外知识补充关闭加密,删除证书,删除主密钥

-- 查看当前端点
SELECT * FROM sys.endpoints
-- 删除证书使用的端点
USE [master]
GO
DROP ENDPOINT SQLAG_Endpoint -- 端点名称
GO

-- 从数据库中删除TED加密,类似解密
ALTER DATABASE icon_ods SET ENCRYPTION OFF;
-- 删除透明数据库加密使用的数据库加密密钥,必须先解密完成,再删除数据库加密密钥
USE icon_ods;  
GO  
DROP DATABASE ENCRYPTION KEY;  
GO  
-- 查看日志文件加密的状态
USE icon_ods;
GO
SELECT * FROM sys.dm_database_encryption_keys WHERE encryption_state = 3;
GO
--删除原有的证书和密钥
USE MASTER;
GO
DROP CERTIFICATE MyServerCert
GO
DROP MASTER KEY 
GO

--     --- 额外知识补充关闭加密,删除证书,删除主密钥

-- SQL Server 2019 (15.x) 引入了 TDE 扫描,其中包含暂停和恢复语法
-- 暂停 TDE 加密扫描:
ALTER DATABASE icon_ods SET ENCRYPTION SUSPEND;
-- 恢复 TDE 加密扫描:
ALTER DATABASE icon_ods SET ENCRYPTION RESUME;

-- 还原证书,将导出的证书导入:
USE master;
GO
CREATE CERTIFICATE MyServerCer
FROM FILE = 'D:\DataBaseBak\DataBaseEnc\MyServerCert.cer';
GO
 

-- 备份服务主密钥

USE MASTER;
GO
-- 备份服务主密钥MASTER KE
BACKUP SERVICE MASTER KEY TO FILE = 'D:\DataBaseBak\DataBaseEnc\masterkey' ENCRYPTION BY PASSWORD = 'TianQi#aasskdhh!'
GO
-- 重新生成服务主密钥,类似于回收删除
ALTER SERVICE MASTER KEY REGENERATE;  
--  还原服务主密钥
USE MASTER;
GO
RESTORE SERVICE MASTER KEY   
    FROM FILE = 'D:\DataBaseBak\DataBaseEnc\masterkey'   
    DECRYPTION BY PASSWORD = 'TianQi#aasskdhh!';  
GO  

-- 数据库加密备份和还原,是通过证书进行加密备份,也就是说做这个操作需要创建主密钥和证书,还原的时候需要还原主密钥和证书
BACKUP DATABASE  List
TO DISK = N'D:\DataBaseBak\List\List_Q_202310201544.bak'  
WITH  
  COMPRESSION,  
  ENCRYPTION   
   (  
   ALGORITHM = AES_256,  
   SERVER CERTIFICATE = MyServerCert 
   ),  
  STATS = 10  
GO  

-- 数据库加密后还原,还原主密钥和证书后,正常数据还原即可
RESTORE DATABASE [List] FROM  DISK = N'D:\DataBaseBak\DataBaseEnc\list_Q_202310201431.bak' WITH  FILE = 1,  MOVE N'list' TO N'D:\DataBaseBak\DataBaseEnc\list.mdf',  MOVE N'list_log' TO N'D:\DataBaseBak\DataBaseEnc\list_log.ldf',  NOUNLOAD,  REPLACE,  STATS = 5

  1. 直接进行数据库还原操作

        还原不了,找不到还原的备份集

  1. 创建新的主密钥和用没有私密密钥的证书还原

        还原不了,报错

  1. 创建新的主密钥和用有私密密钥的证书还原        
  2. 可以还原
  3. 还原原备份的主密钥和用没有私密密钥的证书还原
  4. 还原不了,报错
  5. 还原原备份的主密钥和用有私密密钥的证书还原
  6. 可以还原

总结:还原必须要用有私密密钥的证书还原
 

天一道长--玄彬
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL Server 安全篇——SQL Server加密(3)——透明数据加密TDE
MVP黄钊吉(發糞塗牆)
02-27 3607
本文属于SQL Server安全专题系列    前面讲到的很多内容都是对数据加密和权限控制,这些主要在SQL Server内部,但是还有一种情况就是文件的安全性,除了在操作系统层面对文件进行访问控制之外,还要确保服务器被攻击之后文件被窃取的情况。为了避免文件被窃取后通过特权方式获得数据,有必要对文件也进行数据安全加密,在SQL Server中提供了一种叫透明数据加密(Transparent Dat...
tde数据库加密_在其他服务器上还原启用了透明数据加密TDE)的数据库
culuo4781的博客
07-19 868
tde数据库加密 In this article, we will review how to enable Transparent Data Encryption (TDE) on a database in SQL Server and move the Transparent Data Encryption (TDE) enabled databases to a different ...
SQL Server 2008中的代码安全(八)透明加密(TDE)
12-15
当一个用户数据库可用且已启用TDE时,在写入到磁盘时在页级实现加密。在数据页读入内存时解密。如果数据库文件或数据库备份被盗,没有用来加密的原始证书将无法访问。这几乎是SQL Server2008安全选项中最激动人心的功能了,有了它,我们至少可以将一些初级的恶意窥视拒之见外。 下面的两个例子将展示如何启用和维护透明数据加密。 示例一、启用透明加密(TDE)/********************TDE**************** 3w@live.cn ****************/ USE Master GO ——–删除旧主密钥**********************3w@live
SQL Server数据库透明加密解决方案
最新发布
www.andang.cn
05-21 439
安当TDE透明加密组件为SQLServer数据库提供了一种有效的透明加密解决方案,可以保护企业数据库中的敏感数据。通过使用安当TDE,企业可以提高数据安全性,降低数据泄露风险,同时满足合规性要求,从而为企业的可持续发展提供有力支持。
SQLServerTDE加密
01-17 559
TDE的主要作用是防止数据库备份数据文件被偷了以后,偷数据库备份或文件的人在没有数据加密密钥的情况下是无法恢复或附加数据库的。 首先创建SQL Server中master系统数据库的MASTER KEY和CERTIFICATE: USE [master]; GO --查看master数据库是否被加密 SELECT name,is_master_key_enc...
tde数据库加密_如何在TDE加密数据库上配置SQL Server镜像
culuo4781的博客
07-21 431
tde数据库加密 Securing and encrypting sensitive data stored in your production databases is a big concern, especially the databases storing the organization’s financial data and customers’ confidential ...
TDE与列级数据加密
a86793222的博客
11-20 338
一、测试TDE此部分内容扩展SQL Server安全系列的第九篇:SQL Server安全透明数据加密的测试TDE章节。启用TDE的详细步骤请参考原文。 -- Create a test database CREATE DATABASE UestDB GO -- Create a certificate in master to use with TDE USE mas...
Oracle透明数据加密 (TDE)常见问题解答
夜未眠风已息
11-27 676
Oracle透明数据加密 (TDE)常见问题解答
SQLSERVER加密的存储过程、视图、触发器进行解密(推荐)
09-08
请注意,这个解密过程并不适用于所有情况,特别是当加密涉及到SQL Server的高级安全特性时,如透明数据加密TDE)。此外,解密可能违反了数据库的安全策略,因此在实际操作前应确保有充分的理由和授权。 总结来说...
腾讯QQ IP数据库 Build 0320 纯真版
03-22
收集了包括中国电信、中国网通、长城宽带、网通宽带、聚友宽带等 ISP 的最新准确 IP 地址数据。包括最全的网吧数据。希望能够通过大家的共同努力打造一个没有未知数据,没有错误数据的QQ IP。IP数据库每5天更新一次,请大家定期更新最新的IP数据库
浅谈SQL Server透明数据加密 (TDE)
07-29
一篇关于TDE使用介绍的文章,原本是繁体字的。比SQLServer2008中的联机丛书介绍的要详细。
ORACLE 透明数据加密技术(TDE
04-08
在Oracle的最新版本10g R2中,出现最及时的技术应该是透明数据加密技术(Transparent Data Encryption,TDE)。  TDE用来对数据加密,通常 SQL 执行的应用程序逻辑不需要进行更改,仍能正常运行。 换言之,应用程序...
SQL Server 2008中的代码安全(三) 通过PassPhrase加密
09-11
SQL Server 2008中,还引入了透明数据加密(Transparent Data Encryption, TDE)和可扩展密钥管理(Extensible Key Management, EKM),以支持对整个数据库加密以及使用硬件安全模块(Hardware Security Module,...
Oracle 11g新特性 表空间级数据透明加密.docx
02-27
Oracle 11g引入了一项重要的新特性,即表空间级数据透明加密(Transparent Data Encryption,简称TDE),这是Oracle Advanced Security的一部分,旨在加强数据库中敏感数据的安全性。TDE是一种自动化的过程,它在...
SQL Server 2016 Always Encrypted(始终加密
10-11 4279
Always Encrypted 功能旨在保护 Azure SQL Database 或 SQL Server 数据库中存储的敏感数据,如信用卡号或身份证号(例如美国社会安全号码)。 始终加密允许客户端对客户端应用程序内的敏感数据进行加密,并且永远不向 数据库引擎 ( SQL Database 或 SQL Server)显示加密密钥。 因此,始终加密分隔了拥有数据(且可以查看它)的人员与管理数据(...
SQL Server Always Encrypted加密使用
排长性感的小屁屁
01-27 1038
SQL Server 2016新引入了Always Encrypted 功能,其设计的目的即时保护敏感数据,如手机号、身份证、银行卡号等等,可以同时加密静态和动态数据(内存中的数据也会被加密)。因此,这可以保护数据免受流氓管理员、备份窃贼和中间人攻击。和TDE不同,即Always Encrypted 允许你仅仅加密某些列,而不是整个数据库。 基本使用: 一、新建密钥和表 1.新建列主密钥,密钥存储应选择‘Windows 证书存储 - 本地计算机’,需要用Administrator账户登陆,名称为:FHR_C
sql server2016还原数据库
博主很懒,没有简介~
03-27 5086
在使用sql server数据库时,一般还原数据库都是用.bak文件进行还原,下面是还原数据库的步骤。 点击数据库,右键“任务”——>“还原”——>“数据库” 选择“设备”——>点击右边“…”选择文件 备份介质类型选择默认“文件”——>点击“添加” 选择你要备份数据库文件,点击确定即可,接着点确定 5.然后点击“选项”——>勾选“覆盖现有数据库”——&gt...
数据库安全之TDE加密
weixin_34250709的博客
01-09 565
透明数据加密(Transparent Data Encryption)   TDE - 基于列的加密 由于有了Oracle的TDE-基于列的加密,你所要做的只是定义需要加密的列,Oracle将为包含加密列的表创建一个私密的安全加密密钥,然后采用你指定的加密算法加密指定列的明文数据。  这个加密,不需要我们写特殊的代码,只要我们制定“需要加密的列”,当用户插入下一行数据的时候,数据库透明加密数据...
sql server 数据库用什么方法加密 防止被黑客加密
06-03
SQL Server 提供了多种加密方式来保护数据库中的数据,以下是一些加密方法: 1. Always Encrypted:通过将数据加密,使得即使在数据库被黑客攻击的情况下,也无法获取到加密后的数据,从而保证数据的安全性。 2. 数据库透明数据加密 (TDE):对数据库中的所有数据进行加密,保护数据在磁盘上的存储安全。 3. 动态数据屏蔽:可以通过该功能控制用户对数据库中的数据的可见性,从而保护数据隐私。 4. 加密存储过程:将存储过程中的敏感数据进行加密,防止黑客通过攻击存储过程获取敏感信息。 此外,SQL Server 还提供了其他一些安全措施,如访问控制、审计等,以提高数据库的安全性。但是需要注意的是,任何一种安全措施都不能完全保证数据库的安全,建议定期备份数据库,以便在发生安全事故时快速恢复数据

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值