SQL Server 2008企业版中的数据库加密(2)

2.2、TDE

透明数据加密是SQL Server 2008推出的新的数据库级加密特性。

2.3、怎么使TDE可用

为了使TDE可用，你必须具有和在主数据库中创建数据库主键和证书相关的一般权限。你还必须具有对用户数据库的CONTROL权限。

使TDE可用

在主数据库中执行下面的步骤：

1、为主数据库创建一个数据库主键(DMK)，如果它还不存在的话。确保数据库主键是用服务主键(SMK)加密的。

CREATE MASTER KEY ENCRYPTION BY PASSWORD = ‘some password’;

2、创建或指派一个现有的证书作为数据库加密密钥(DEK)保护者来使用。为了获得最好的安全保护，推荐你创建一个新的证书，它的唯一作用就是保护DEK。确保这个证书是由DMK保护。

CREATE CERTIFICATE tdeCert WITH SUBJECT = ‘TDE Certificate’;

3、用私钥创建一个证书备份并将它存储在一个安全的地方。(注意私钥存储在一个单独的文件中——确保保存好这两个文件)。确保维护证书的备份，因为有可能发生数据丢失。

BACKUP CERTIFICATE tdeCert TO FILE = ‘path_to_file’
WITH PRIVATE KEY (
FILE = ‘path_to_private_key_file’,
ENCRYPTION BY PASSWORD = ‘cert password’);

4、可选的，使服务器上SSL可用，以在传输过程中保护数据。

在用户数据库中执行下面的步骤。这些要求在数据库上具有CONTROL权限。

5、创建由上面第二步所指派的证书加密的数据库加密密钥(DEK)。这个证书作为服务器证书以和其它可能存储在用户数据库中的证书相区别。

CREATE DATABASE ENCRYPTION KEY
WITH ALGORITHM = AES_256
ENCRYPTION BY SERVER CERTIFICATE tdeCert

6、使TDE可用。这个命令开启了一个后台进程(加密扫描)，它以异步方式运行。

ALTER DATABASE myDatabase SET ENCRYPTION ON

为了监控进程，查询sys.dm_database_encryption_keys 视图(要求具有VIEW SERVER STATE权限)，如下面例子所示：

SELECT db_name(database_id), encryption_state
FROM sys.dm_database_encryption_keys

当TDE可用(或不可用)，数据库标识为在sys.databases范畴视图加密，并且DEK状态设置为Encryption In Progress。服务器开启一个后台进程(叫做加密扫描或扫描)，它扫描所有的数据库文件并加密它们(或解密它们，如果你设置TDE不可用)。当DDL执行时，对数据库施加了一个更新锁。加密扫描是和DDL异步的，它使用了一个共享锁。所有不和这些锁冲突的一般操作都可以执行。不能执行的操作包括修改文件结构和分离数据库。如果一般的从缓冲池到磁盘的数据库写被加密了，那么日志文件写可能没有加密。扫描还使得在虚拟日志文件上执行了一个rollover以确保未来的写日志是被加密的。这在本篇文章的后面将会详细描述。

当加密扫描完成时，DEK状态被设置为Encrypted(已加密)。这时磁盘上的所有数据库文件都加密了，并且数据库和日志文件到磁盘的写也将进行加密。支持的加密算法有128位、192位或256位密钥的AES或3 Key Triple DES。数据是以密码块链接(CBC)加密模式加密的。写到磁盘的已加密数据库文件和没有加密的文件是一样大小的，因为没有要求添加额外的东西，并且初始化向量(IV)和加密的DEK存储在已有的空间内。因为日志是添加到下一个VLF边界，所以日志的大小增加了。注意当数据库状态标识为可加密的时候，加密的实际状态应该通过DEK状态来进行监控。当后台扫描完成时，DEK状态设置为Encrypted。这时，未来的到日志和磁盘的写操作会受到保护。这在这篇文章的后面进行了详细描述。