透明数据加密
(TDE ) )。
是
MicrosoftSQLServer2008
中选择新的扶手类型,来修改默认的扶手。 那是
它旨在静态保护整个数据库,而不影响现有的APP应用程序。 加密数据库传统上是
包含复杂的APP更改,如表更改
方案
、函数的删除和明显的性能下降。 举个例子
是的,我在
MicrosoftSQLServer2005
要在中使用加密,必须将字段数据类型更改为
虚拟
;
不允许等效于范围的搜索。APP应用程序必须调用内置函数
(
或者自动使用这些内置函数
存储过程或视图
)
处理加密和解密。 这些会降低查询的性能。 这些问题
SQL
服务器
的; 其他数据库管理系统也同样受到限制。 定制
方案
常用是不能从根本上解决的
使用的等效搜索和范围搜索。 这在创建索引和使用外键等基本数据库元素中也是通用的
经常无法在单元级别或字段级别加密
方案
一起用。 因为使用这些特性会泄露信息。
TDE
简单地加密了所有的东西,解决了这些问题。 因此,所有数据类型、键、索引等
它们可以完全使用,而不会牺牲安全或泄露磁盘上的信息。 设备级加密无法提供这些功能
是的,两个
Windows
特性:文件加密系统
(EFS )
和
BitLockerD
生命加密
那个通常被使用
于和
TDE
由于同样的理由,——提供了相同范围的保护,对用户来说是透明的。
2
在、
MicrosoftSQL服务器
加密
MicrosoftSQL服务器
提供两个级别的加密:数据库级别和设备级别。 哪个都用秘密
密钥管理层次结构。
2.1
、密码密钥层
在加密的树根上
windowsdataprotectionapi(DPAPI )。
在计算机级别保护密钥
阶层。 保护数据库服务器实例的服务主键
(SMK )。
SMK
保护数据库主键
(DMK )
保存
在用户数据库级别进行保存,反向保护证书和非对称密钥。 它们反过来保护对称密钥、对称密
用密钥保护数据。
TDE
从类似的级别使用证书。 不同之处在于dydzfj的使用
TDE
时、
DMK
和证明书必须保存
它存储在主数据库而不是用户数据库中。 一个是
TDE
作为数据库加密密钥
(DEK )
的新
钥匙。 在用户数据库中创建并保存。
此分层结构允许服务器自动打开在设备和数据库级别加密的密钥和解密数据。
主要区别在于,使用单元级加密时,所有从站都是
DMK
来的钥匙都可以用密码保护。 不
是另一把钥匙。 这将破坏解密链,用户必须输入密码才能访问数据。 在
TDE
中,必需维
服从
DPAPI
到达
DEK
的整个链允许服务器自动提供对
TDE
受保护的文件访问。 在单元中
级别加密和
TDE
那么,用这些密钥加密和解密
这是windowscryptographicapi(capi )
提
好的,请讲。
以下图像显示了完整的加密层。 将显示虚线
TDE
要使用的加密层。