数据加密 第六篇:透明文件加密

CSDN0BLOG 2020-06-07

对于数据的加密,可以使用证书、对称密钥和非对称密钥,这三种加密机制用于保护数据,SQL Server还提供一种加密功能,透明数据加密(Transparent Data Encryption,TDE),用于对数据库的文件(数据文件和日志文件)进行加密。除了在操作系统层面对文件进行访问控制(权限控制)之外,还要确保服务器被攻击之后文件被窃取的情况。为了避免文件被窃取后通过特权方式获得数据,有必要对文件也进行数据安全加密,即使文件被窃取,如果不能对文件进行解密,那么数据也是安全的。

TDE对数据和日志文件进行实时IO加密和解密。加密过程使用的是数据库加密密钥(Database Encryption Key,DEK),DEK是对称密钥,存储在数据库的启动记录(boot record)中。DEK由证书来保护,该证书存在服务器的主数据库中;DEK也可以由EKM模块保护的非对称密钥来保护。也就是说,如果数据库文件(mdf、ndf、ldf或bak)被窃取,由于没有完整的解密密钥,数据库不可使用。不过如果连master库或者这个服务器证书也一并被窃取,那么还是可以解密的。

TDE在Page级别对数据库文件进行加密,Page在被写入硬盘之前被加密,并在读入内存之前被解密。也就是说,当启用数据库的TDE功能之后,数据和日志会在写入磁盘前被加密,然后在加载到内存时被解密。这个过程对于用户、应用程序都是透明的。

除了透明之外,TDE不会增加加密数据库的大小,加解密之前数据库的大小是相同的。并且对数据库的性能影响较小,TDE对加解密的开销都有很大的调整,相对于很多加密技术而言,性能影响更加小。

一,TDE的层次结构

TDE使用master数据库中的证书来保护DEK,使用DEK来加密和解密数据。

数据加密 第六篇:透明文件加密

启用数据库的TDE:

USE master;
GO
CREATE MASTER KEY ENCRYPTION BY PASSWORD = ‘<UseStrongPasswordHere>‘;
go
CREATE CERTIFICATE MyServerCert WITH SUBJECT = ‘My DEK Certificate‘;
go
USE AdventureWorks2012;
GO
CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM = AES_128
ENCRYPTION BY SERVER CERTIFICATE MyServerCert;
GO
ALTER DATABASE AdventureWorks2012
SET ENCRYPTION ON;
GO

二,数据库加密密钥

数据库加密密钥(Database Encryption Key,DEK)是对称密钥,由证书(存储在master数据库中)或非对称密钥(存储在EKM中)来保护。在启用TDE之前,必须创建DEK。DEK不能导出,只在当前的系统有效。

CREATE DATABASE ENCRYPTION KEY  
   WITH ALGORITHM = { AES_128 | AES_192 | AES_256 | TRIPLE_DES_3KEY }  
   ENCRYPTION BY SERVER   
    {  
        CERTIFICATE Encryptor_Name |  
        ASYMMETRIC KEY Encryptor_Name  
    }

参数注释: WITH ALGORITHM = { AES_128 | AES_192 | AES_256 | TRIPLE_DES_3KEY }:指定DEK用于加密数据的算法,从SQL Server 2017开始,除了TRIPLE_DES_3KEY之外,AES_128 | AES_192 | AES_256 都已经过时。

用户可以从 sys.dm_database_encryption_keys 的 字段 encryption_state 查看数据库加密的状态:

0 = No database encryption key present, no encryption
1 = Unencrypted
2 = Encryption in progress
3 = Encrypted
4 = Key change in progress
5 = Decryption in progress
6 = Protection change in progress (The certificate or asymmetric key that is encrypting the database encryption key is being changed.)

三,TDE数据扫描

为了启用数据库的TDE,SQL Server必须做一个加密扫描,把数据文件中的每个页面读入缓冲池,然后把加密后的页面写回磁盘。为了让您更好地控制加密扫描,SQL Server 2019(15.x)引入了TDE扫描,该扫描具有暂停和恢复语法。 您可以在系统的工作负载很重时或在关键业务时间内暂停扫描,然后稍后再恢复扫描。

使用以下语法开始扫描:

ALTER DATABASE <db_name> SET ENCRYPTION ON;

使用以下语法暂停扫描;

ALTER DATABASE <db_name> SET ENCRYPTION SUSPEND;

使用以下语法继续扫描:

ALTER DATABASE <db_name> SET ENCRYPTION RESUME;

参考文档:

Transparent Data Encryption (TDE)

CSDN0BLOG

CSDN0BLOG

相关推荐

数据加密 第五篇:非对称密钥

非对称密钥跟对称密钥相对,它使用一对密钥(算法),一个密钥用于加密,另一个密钥用于解密,加密的密钥称为私钥,解密的密钥称为公钥。私钥由一方安全保管,不能外泄,而公钥则可以发给任何请求它的人。与对称加密不同的是,银行不需要将私钥通过网络发送出去,因此安全性大

yishujixiaoxiao / 0评论 2020-06-03

Mac数据加密工具——Data Guardian for Mac

Data Guardian for Mac请添加链接描述是一款运行在MacOS平台上专业实用的数据加密工具。Data Guardian采用多达448位的Blowfish加密保护数据,可以对电脑中的各类文档或者分区进行加密操作,拥有性能稳定、安全性高的特点,

wyzxzws / 0评论 2020-05-26

Linux学习68 运维安全-openssl原理与实战

    b、公钥加密:身份认证,密钥交换,数据加密,常用的算法为RSA,DSA.     d、密钥交换:RSA,DH,ECDH,ECDHE.     e、然后Alice收到Bob发送过来的数据后首先用自己的私钥去解密这段密码,然后我们的对称密钥的密码就被解

ahnuzfm / 0评论 2020-04-19

基于python3和Vue实现AES数据加密

**高级加密标准为最常见的对称加密算法。对称加密算法也就是加密和解密用相同的密钥,具有以下几个特点:

jling / 0评论 2020-03-28

python3 + Vue 应用 AES 数据加密

高级加密标准为最常见的对称加密算法。对称加密算法也就是加密和解密用相同的密钥,具有以下几个特点:。self.aes = AES.new # 创建一个aes对象。data = {"unit": 1, "theme":

wordmhg / 0评论 2020-03-27

MySQL数据库对敏感数据加密及解密的实现方式

大数据时代的到来,数据成为企业最重要的资产之一,数据加密的也是保护数据资产的重要手段。本文主要在结合学习通过MySQL函数及Python加密方法来演示数据加密的一些简单方式。准备工作为了便于后面对比,将各种方式的数据集存放在不同的表中。1CREATE TA

hitxueliang / 0评论 2020-03-23

Python爬虫进阶 | 某监测平台数据加密逆向分析

调试过程就不一步一步分析了, 最终定位到, 感觉像我们想要的数据, 进入Console打印一下 t 和 e. pg=0&pgsz=15 所返回的加密后数据。我们将函数 m 的代码复制出来, data是加密后返回的数据,我们先复制出来用一下,在这

hilary0 / 0评论 2020-03-01

python爬虫之数据加密解密

  数据加密是指利用加密算法和秘钥将明文转变为密文的过程。  指只能加密数据而不能解密数据,这种加密方式主要是为了保证数据的完整性,常见的加密算法有MD5、sha系列等。  也叫公钥加密,指数据加密和解密使用不同的密钥,这种加密方式基本不可能被破解,主要用

txlCandy / 0评论 2020-01-31

如何保障云上数据安全?一文详解云原生全链路加密

数据安全在云上的要求,可以用信息安全基本三要素 "CIA"来概括,即机密性、完整性和可用性。机密性专指受保护数据只可以被合法的用户可访问,其主要实现手段包括数据的访问控制、数据防泄露、数据加密和密钥管理等手段;数据的可用性主要体现在云

cczsmile / 0评论 2019-12-16

沃通专家解读《密码法》,数据加密保护将是我国网络安全工作的重点

“《密码法》的正式颁布和明年1月1日正式生效,这是密码界的一件大事和盛事,标志着密码将成为保障我国网络空间安全的核心技术和位于网络安全的核心地位。”从事密码工作十五年的沃通CA创始人和CEO王高华先生非常兴奋地说,“同时,这也标志着数据加密保护已经有法可依

LSurking / 0评论 2019-10-27

聊聊灾备业务中的数据加密

  数据灾备往往依托于多部门、多单位甚至是跨系统的综合平台,因此数据在传输过程或存储介质上的安全性问题也会格外突出。在灾备工作的具体实践中,我们主要采用的是基于端的以及基于传输通道的加密方式进行数据的安全保护,但以往的数据灾备更多的企业自主行为,不管是源端

IT互联网技术学习 / 0评论 2016-04-20

3DES 数据加密(3DES/ECB/zeroPadding)PHP &lt;= 7.0.x

3DES是DES向AES过渡的加密算法,加密算法,其具体实现如下:设Ek()和Dk()代表DES算法的加密和解密过程,K代表DES算法使用的密钥,M代表明文,C代表密文,这样:。常见的“对称密钥”加密算法主要有DES、3DES、AES、RC2、RC4、RC

xianzhe / 0评论 2019-09-07

产品推介 | 担心数据“裸奔”?数据加密服务帮你上一把安全锁

根据国家《信息安全技术网络安全等级保护基本要求》云计算安全扩展要求中对于数据完整性和保密性相关规定,应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。京东云为用户提供数据加密服务,保障用户数据保密性和完整性的同时,为用户数据访问

讨厌什么变成什么 / 0评论 2019-08-31

加密与数字签名

公开密钥PK和秘密密钥SK,因此,这种体制又称为双钥或非对称密钥密码体制。   4、从已知的PK实际上不可能推导出SK。它已被ISO/TC97的数据加密技术分委员会SC20推荐为公开密钥数据加密标准。   以往的书信或文件是根据亲笔签名或印章来证明其真实性

zhuyonge / 0评论 2013-11-21

常见的加密算法有哪些?

RSA是目前最有影响力的公钥加密算法,它能够抵抗到目前为止已知的绝大多数密码攻击,已被ISO推荐为公钥数据加密标准。AES加密算法又称Rijndael加密法,目前已经被多方分析且广为全世界所使用。PKCS是由美国RSA数据安全公司及其合作伙伴制定的一组公钥

微分 / 0评论 2017-01-06

Apache + Tomcat + SSL 负载均衡及数据加密

要想同时实现负载均衡及加密,需要对两个文件进行配置,一个是Apache的/conf/httpd.conf文件,还有一个是SSL的/conf.d/ssl.conf文件。BalancerMember https://IP2(域名) loadfactor=1 r

bxqybxqy / 0评论 2016-11-02

对话阿里云Alex Chen:下一代存储应如何面对云转型?

在阿里云智能存储产品资深总监Alex Chen看来,其本质必须具备以下四个特性:安全稳定、优化、无缝上云、智能。数字经济"乘云而上"。十年前,阿里云开始自主研发云计算操作系统飞天之路,开启了中国云时代;十年后,阿里云在中国市场份额超过2

zxshen / 0评论 2019-07-01

AWS实战 - 对S3数据加密方式的总结

名词解释KMS: AWS Key Management Service,AWS的密钥托管服务;数据加密密钥: 用于对S3对象进行加密的密钥;主密钥: 也叫客户主密钥或CMK,根据不同的加密方式,主密钥有可能直接用于加密S3对象,也有可能用于加密数据加密密钥

XuYongshi0 / 0评论 2019-06-29

阿里云周源:一篇文章读懂四代视频加密技术演进

周源,有十多年音视频研发经验,之前在淘宝视频负责开放平台,目前在阿里云视频云部门负责媒体处理,在大规模系统建设和云计算方面都有非常丰富的实战经验。会从数据加密、全链路保护、数字版权管理、内容识别四个方面来介绍。接着把加密后的对称钥匙传递给服务端,服务端使用

dushine00 / 0评论 2019-06-28

JQuery 数据加密

最近一直在做网站的搜索,在搜索的list页面需要通过get方式提交系统的一些核心数据,进行页面的刷新在网站找了几种加密的方式,在这分享给大家。</html> 对比以上三种,建议选择第三种,第一种已经开源数据会背恶意破解,第二种加密方式数据是不可

scjcjlu / 0评论 2015-01-27

WiFi网络WPA2 KRACK漏洞分析报告

0x00 漏洞概述安全研究员Mathy Vanhoef发现的WPA2协议的KRA漏洞,利用WPA2协议标准加密密钥生成机制上的设计缺陷,四次握手协商加密密钥过程中第三个消息报文可被篡改重放,导致在用密钥被重新安装。WiFi网络通过WPA2 handshak

AquariusYuxin / 0评论 2019-06-25

.net客户端调用java服务端,通讯数据加密解密思路及过程

目前系统客户端用.net实现,java服务端采用了webservice的方式向客户端提供服务。用户从客户端登陆,需要调用java接口验证用户信息的合法性。原java系统中采用了MD5的方式对用户的某些数据进行加密,加密后的数据保存到了DB中。解决办法:MD

wangxiaohua / 0评论 2008-03-08

专家剖析内网安全数据及加密技术

  内网安全技术早期仅限于终端的监控审计技术,对终端的外设、应用程序和网络资源等进行简单控制和监视,从目前看来,是治标不治本的方法。  2)由于采用了文件重定向的临时缓存文件技术,造成了安全漏洞和效率下降。  3)辅助其他系统控制技术,实现对涉密数据的加密

woshilikuo / 0评论 2008-10-07

动态加解密技术详解(图)

信息保密的理论基础是密码学,根据现代密码学的理论,一个好的加密算法的安全性只依赖于密钥,加密算法的公开与否不影响其安全性。现代密码学经过几十年的研究和发展,已经发明了许多安全性很高的加密算法,并且被广泛地应用在各种信息安全产品中,其中数据加密技术是密码学的

kldy00 / 0评论 2008-10-07

详解SQL Server加密功能--数据加密和密钥管理

概述今天主要介绍SQL Server加密功能,比较特殊,跟其他数据库的设计还是有些不太一样的。SQL Server 加密功能数据加密是数据库被破解、物理介质被盗、备份被窃取的最后一道防线,数据加密,一方面解决数据被窃取安全问题,另一方面有关法律要求强制加密

zhuzhufxz / 0评论 2019-06-08

对称加密和非对称加密

从保护数据的角度讲,对数据安全这个广义概念,可以细分为三部分:数据加密、数据传输安全和身份认证管理。l数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,通过使用不同的密钥,可用同一加密算法将同一明文加密成不同的密文。数据加密被公认为是

ibinbinb / 0评论 2014-06-27

秘钥、公钥匙、认证之间的关系 DES、RSA、AES 数据加密传输

对称加密有很多种算法,由于它效率很高,所以被广泛使用在很多加密协议的核心当中。对称加密通常使用的是相对较小的密钥,一般小于256 bit。现实中通常的做法是将对称加密的密钥进行非对称加密,然后传送给需要它的人。与对称加密不同的是,银行不需要将私钥通过网络发

wuyindengliu / 0评论 2014-02-28

浅谈android数据存储加密

在移动端的开发中,数据安全的问题一直是大家备受关注的,数据加密技术也受到了大家的青睐。项目中也用到了一些,在这里学习总结下,完善下自己的知识,也分享给大家,一起交流!Base64编码算法 (可逆)-MD5加密 (不可逆)。最近使用时却出现了“不正确的长度”

RobinHu / 0评论 2018-10-15

对话阿里云Alex Chen:下一代存储应如何面对云转型?

数字经济"乘云而上"。十年前,阿里云开始自主研发云计算操作系统飞天之路,开启了中国云时代;十年后,阿里云在中国市场份额超过2-8名总和,培育了整个中国云计算市场,数字经济在云上蓬勃发展。十年前,EMC、NetApp、IBM等国际独立存储

luozc / 0评论 2019-04-16

MySQL数据加密以及安全维护

数据库可谓公司核心了,你是否对公司的数据有有效的安全措施呢?你是如何有效管理你的MySQL呢?这里不探讨其它数据库和云数据库,博主只分享自己一些生产经验,热爱开源热爱分享,感谢支持和指正!MySQL的binlog要合理管理,配置好权限。MySQL实际上是使

carrot / 0评论 2017-02-17

Oracle TDE 透明数据加密技术

从ORALE 10GR2开始出现透明数据加密技术。TDE用来对数据加密,通常 SQL 执行的应用程序逻辑不需要进行更改,仍能正常运行。换言之,应用程序可以使用同一语法将数据插入到应用程序表中,并且 Oracle 数据库在将信息写入磁盘之前将自动对数据进行加

smartzhaomin / 0评论 2015-07-20

Wi-Fi安全漏洞:WPA2安全协议遭破解的影响分析

背景介绍10月16日研究员Mathy Vanhoef公布了对WPA2的秘钥重放重装攻击KRACK ,攻破了十几年没有安全问题的WPA2协议。WPA2协议WAP2是 Wi-Fi 联盟对采用 IEEE 802.11i 安全增强功能的产品的认证计划,协议分为3个

yutian0 / 0评论 2017-10-22

防止数据加密劫持网络:这四大策略你需要get起来

加密能保护网络流量免遭黑客与网络罪犯侵害,却阻止了安全及监测工具探知网络中传递的数据包的内部情况。事实上,许多企业机构都未对加密流量进行全面检查就任其流经自己的网络,黑客往往会利用加密来隐藏恶意软件并发起攻击,从而劫持用户网络。为了保持强健的防御能力以及降

crazyyangrong / 0评论 2017-09-07

无线安全设置之入门浅析

对于网络高手而言,进行一些无线安全设置并不困难,但对于绝大多数用户来说,其对这些设置并不是很了解,所以我们先从基础讲起。首先,要保证你的无线局域网安全就必需更改你的无线AP或无线宽带路由器的默认设置密码。所以,最好将默认的登陆密码改为你自己易记的密码,以访

piayong / 0评论 2011-11-01

Java常用数据加密算法

Java的数据加密算法,HmacSHA1,MD5等。java自带了加密的方法类SecretKey。

qizongshuai / 0评论 2014-05-20

无线局域网的网络安全

本文从无线网络的安全定义,扩展频谱技术,用户认证的口令控制,数据加密和其他网络方面对网络的安全性进行了全面的介绍。无线局域网还有些其他好的安全特性。首先无线接人点会过滤那些对相关无线站点而言毫无用处的网络数据,这就意味着大部分有线网络数据根本不会以电波的形

gangmae / 0评论 2010-09-02

对称加密算法实现C#数据加密

以下是关于对称加密算法的C#数据加密实现代码,大家可以根据需要更改不同的算法,文中以Rijndael算法为例:

韦一笑 / 0评论 2009-08-13

一种通过SSH协议构造隧道达成数据加密传输的方法

OpenSSH在实现时,给我们提供一个简单好用的Geek功能――端口转发。说是一个功能,其实是两个用法,一称之为本地端口转发,一称之为远程端口转发。SSH端口转发其实就是类似iptables的端口数据转发功能,也即是将请求在某一个指定端口的数据,转发到另外

IndexMan / 0评论 2019-04-11

如何看待AWS中的数据加密?

AWS在其S3服务中提供了256位高级加密标准,但是AWS其它的产品也支持加密。在AWS中使用加密时,要注意区分数据是忙还是闲的状态。在S3中,政策控制是一种加密;在RDS中是配置控制加密。例如,S3保护政策可以通过非加密渠道重用连接。数据存储在S3中,关

大白大白 / 0评论 2016-06-21

捍卫WIFI信息安全需限制无线传输数据

前文介绍了无线节点,网卡设备的限制,可以提高WIFI网络信息的保密性。那么,本文接下来介绍的是,通过对无线传输数据进行限制,也可以提高信息安全。下面就为大家详细介绍一下。目前,我们最常使用的数据加密限制方式为WEP加密技术,这种加密技术能够对每一个连接无线

安全小站 / 0评论 2010-03-24

云计算环境下企业数据加密的注意事项

云计算带给企业诸多利好,但实施云计算必然会加剧信息泄露风险。当企业打算把所有数据传输云端的时候,首先要考虑的就是数据保护的问题。虽然云计算的背景下,云计算安全与传统信息安全的目标仍是相同的:保护信息资产的保密性、完整性、可用性,但云计算安全的保护核心正逐步

dzyj / 0评论 2015-08-20

揭秘SQL Server 2014有哪些新特性(4)-原生备份加密

SQL Server 2014 CTP2之后公布了一项针对备份的特性,那就是原生备份加密。考虑到之前网络上影响很坏的数据库泄漏事件,本质上都是数据库备份泄漏给第三方导致,SQL Server的原声数据备份可以使得即使备份本身被盗,在没有加密证书的情况下也无

daoge00 / 0评论 2019-04-07

云计算安全之数据加密

云计算、大数据等信息技术正在深刻改变着人们的思维、生产、生活和学习方式,并延深进入人们的日常生活。数据信息在很多环节暴露出的大数据安全问题日益突出,成为了制约大数据应用发展的瓶颈。今儿想聊聊云安全的云数据安全,毕竟云计算技术的发展导致大数据在收集、存储、共

MEdwardM / 0评论 2018-09-12

云安全有哪些发展趋势

如今,确保存储在云端的客户数据的安全性对组织来说是一个不断增长的挑战。网络威胁的数量在不断增长,其质量和复杂程度也在不断提高。根据调研机构Gartner公司的调查,在云端发生的所有数据泄漏中,80%是由于IT部门的错误配置、账户管理和其他错误造成的,而不是

yiyierer0 / 0评论 2018-03-01

集中云数据加密能否填补安全漏洞?

大多数云提供商都提供数据加密的服务,但是对某些用户来说,这些服务还不足以完全的保护云里的企业数据。数据加密,不管是静态还是动态数据,在云计算中都应该采用标准的做法。无论是企业内部还是通过各种云服务提供商,加密几乎无处不在,但常见的加密技术并不总能满足所有组

weisl / 0评论 2015-08-07

集中式云数据加密服务填补安全漏洞

大多数云服务提供商提供数据加密服务,但是对一些用户来说,这种服务还不足以全面保护云端的企业数据。针对静态数据和传输中数据采取的数据加密应该是云计算界的一种标准做法。但是尽管加密技术在企业内部和云服务提供商当中几乎司空见惯,但是常见的加密技术对一些企业组织来

UcloudTShare / 0评论 2015-07-28

云端数据加密的七大标准

由于可以通过前所未有的众多方式接入企业领域,这使得信息安全专业人员求助于众多数据保护方法。几十年来,加密一向是信息安全工具库当中的主要武器,但是面对我们如今亲眼目睹的数字化转变,加密需要重新评估。为了做到这一点,必须考虑下列七大加密标准。用户们在访问传统企

老陈小安 / 0评论 2015-06-10

云加密:云端使用数据加密技术

随着商业监管和信息安全以不对称的步伐扩展,企业主管常常到头来面临隐私和安全方面的挑战,他们缺乏相应的知识或经验来应对这些挑战。虽然加密是隐私专家们一致认为是安全基石的基本技术,但云端加密可能困难重重。由于有那么多不同类型的加密技术可供使用,中小型企业发觉这

UcloudTShare / 0评论 2015-05-13

Web数据库安全防护小技巧

  到现在,针对Web数据库的应用级入侵已经变得越来越猖獗,如SQL注入、跨站点脚本攻击和未经授权的用户访问等。如何保证Web数据库的安全性已成为新的课题。系统权限由DBA授予某些数据库用户,只有得到系统权限,才能成为数据库用户。对象权限是授予数据库用户对

amienshxq / 0评论 2007-03-25