SQL Server 2008中的代碼平安（八）通明加密(TDE)

SQL Server 2008中的代碼平安（八）通明加密(TDE)。本站提示廣大學習愛好者：（SQL Server 2008中的代碼平安（八）通明加密(TDE)）文章只能為提供參考，不一定能成為您想要的結果。以下是SQL Server 2008中的代碼平安（八）通明加密(TDE)正文

---

當一個用戶數據庫可用且已啟用TDE時，在寫入到磁盤時在頁級完成加密。在數據頁讀入內存時解密。假如數據庫文件或數據庫備份被盜，沒有效來加密的原始證書將沒法拜訪。這簡直是SQL Server2008平安選項中最沖動人心的功效了，有了它，我們至多可以將一些低級的歹意窺視拒之見外。
上面的兩個例子將展現若何啟用和保護通明數據加密。

示例1、啟用通明加密(TDE)

/********************TDE**************** [email protected] ****************/
USE Master
GO
--------刪除舊主密鑰**********************[email protected]
--------Drop master Key
--------go
--創立主密鑰**********************[email protected]
Create MASTER KEY ENCRYPTION
BY PASSWORD = 'B19ACE32-AB68-4589-81AE-010E9092FC6B'
GO
--創立證書,用於通明數據加密**********************[email protected]
CREATE CERTIFICATE TDE_Server_Certificate
WITH SUBJECT = 'Server-level cert for TDE'
GO

USE DB_Encrypt_Demo
GO
--第一步：如今開端通明加密**********************[email protected]
CREATE DATABASE ENCRYPTION KEY--創立數據庫加密密鑰
WITH ALGORITHM = TRIPLE_DES_3KEY--加密方法
ENCRYPTION BY SERVER CERTIFICATE TDE_Server_Certificate--應用辦事器級證書加密
GO
/*
Warning: The certificate used for encrypting the database encryption key
has not been backed up.
You should immediately back up the certificate and the private key
associated with the certificate.
If the certificate ever becomes unavailable or
if you must restore or attach the database on another server,
you must have backups of both the certificate and the private key
or you will not be able to open the database.
*/

--第二步：翻開加密開關**********************[email protected]
ALTER DATABASE DB_Encrypt_Demo
SET ENCRYPTION ON
GO

--檢查數據庫能否加密
SELECT is_encrypted
FROM sys.databases
WHERE name = 'DB_Encrypt_Demo'

留意：一旦在數據庫運用了加密，應當連忙備份辦事器級證書！

沒有加密DEK的證書，該數據庫將沒法翻開，附加到其余辦事器也沒法應用，數據庫文件亦不會被Hack。假如一個DBA想要正當地將數據庫從一個SQL Server實例挪動到另外一個SQL Server實例，那末她應當起首備份辦事器級證書，然後在新的SQL Server實例中創立證書。此時可以正當地備份、復原數據庫或附加數據及日記文件。

示例2、治理和移除通明加密(TDE)

USE DB_Encrypt_Demo
GO
--修正加密算法
ALTER DATABASE ENCRYPTION KEY
REGENERATE WITH ALGORITHM = AES_128
Go

SELECT DB_NAME(database_id) databasenm,
CASE encryption_state
WHEN 0 THEN 'No encryption'
WHEN 1 THEN 'Unencrypted'
WHEN 2 THEN 'Encryption in progress'
WHEN 3 THEN 'Encrypted'
WHEN 4 THEN 'Key change in progress'
WHEN 5 THEN 'Decryption in progress'
END encryption_state,
key_algorithm,
key_length
FROM sys.dm_database_encryption_keys

/*
對一切用戶數據庫的加密處置也包括對tempdb的處置
databasenm encryption_state key_algorithm key_length
tempdb Encrypted AES 256
DB_Encrypt_Demo Encrypted AES 128
*/

留意：對一切用戶數據庫的加密處置也包括對tempdb的處置

除更改DEK的算法，我們也能夠更改用來加密DEK的辦事器級證書（該證書應當按期更改）

USE master
GO
CREATE CERTIFICATE TDE_Server_Certificate_V2
WITH SUBJECT = 'Server-level cert for TDE V2'
GO
USE DB_Encrypt_Demo
GO
ALTER DATABASE ENCRYPTION KEY
ENCRYPTION BY SERVER CERTIFICATE TDE_Server_Certificate_V2--用新證書修正DEK

--移除數據庫通明加密
ALTER DATABASE DB_Encrypt_Demo
SET ENCRYPTION OFF
GO

--移除TDE後，可以刪除DEK
USE DB_Encrypt_Demo
GO
Drop DATABASE ENCRYPTION KEY
Go

留意：假如刪除DEK是SQL Server實例中最初一個應用TDE的用戶界說數據庫，在SQL Server實例重啟後，tempdb也將變成不加密的狀況。

小結：

1、本文重要引見通明數據加密(TDE)的應用。

2、對DEK的修正同時影響到tempdb數據庫的加密狀況。

SQL Server平安系列至此暫告一段落。感謝列位耐煩看完，迎接對邀月提出斧正。[email protected]