【SQL Server 2016数据加密新功能实战】三步配置Always Encrypted安全功能

【*** 2016数据加密新功能实战】三步配置Always Encrypted安全功能

无论是公司政策，还是行业或政府规定，都有可能要求使用加密措施来保护存储于数据库中的敏感数据。为了帮助满足这些法规需求，SQL Server数据加密功能提供了几种可选方案，当数据在网络传输时，或进行备份时，或把数据保存到服务器或网络时，对数据进行加密。

***数据加密功能可选方案包括：透明数据加密(transparent data encryption)、列级别加密(column-level encryption)、***对象定义加密、备份加密、SQL Server连接加密，以及通过Windows EFS和BitLocker驱动加密实现的数据库文件级加密。这些数据加密方案为数据库和操作系统级别的数据提供了强大的安全支持，有效防止未经授权泄露保密信息的可能性，即使SQL Server基础设施和数据库本身遭到破坏。

使用以上这些SQL Server数据加密方法的缺点是，不能直接访问加密数据或者修改这些数据。要在加密数据上执行操作，必须首先对它们做解密操作，这也就意味着数据在其整个生命周期中不能一直保持加密状态。

为了解决这个问题，微软公司在*** 2016中引入了Always Encrypted(全程加密技术)。

什么是Always Encrypted?

Always Encrypted选项使用了增强的ADO.NET客户端库和密文来加密和解密数据。使用Always Encrypted，数据永远是加密状态，你可以在加密数据上执行操作，无需先对它们解密。这就意味着如果使用了这个特性，加密的敏感信息就不会有机会变为明文。显然，这一功能与SQL Server的其它数据加密功能不同，它可以确保你的数据永远保持加密状态，不管数据是在用还是闲置都是如此。

此外，数据加密和解密是在幕后的应用中实现的，减少了对现有应用的变更工作量。其它关系型数据库管理系统没有哪一款可以提供Always Encrypted类似的功能。

Always Encrypted使用两种类型密钥：列加密密钥(CEKs)和列主密钥(CMKS)。列加密密钥用来加密存储在数据库列中的敏感数据，列主密钥用来存储列加密密钥。我们在创建CEKs之前应该先创建CMKs。我们可以使用一个CEK加密所有列值。关于CMK和CEK的信息存储在数据库系统的分类视图中。你应该在网络中安全可靠的位置备份CEK。

如何配置Always Encrypted安全功能?

为演示方便，我这里使用了我本机***实例中的“OUTLANDER”数据库。

***步：创建列主密钥(column master key)

图1：新建列主密钥定义对话框

第二步：创建列加密密钥(column encryption key)

图2：新建列加密密钥对话框

第三步：创建包含加密列的表

在SSMS 2014的查询编辑器中，输入建表脚本“CREATE TABLE”T-SQL语句，如图3所示。该语句将创建“dbo.Contact_AlwaysEncryptedDemo ”表，其中包含有加密列。

需要注意的是，使用确定性加密的列支持等号查找、连接和分组操作，而使用随机加密的列不支持这些操作。

图3：T-SQL建表语句

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。