SQL Server 2008引入透明數(shù)據(jù)加密（Transparent Data Encryption），即TDE，它允許你完全無需修改應用程序代碼而對整個數(shù)據(jù)庫加密。當一個用戶數(shù)據(jù)庫可用且已啟用TDE時，在寫入到磁盤時在頁級實現(xiàn)加密。在數(shù)據(jù)頁讀入內(nèi)存時解密。如果數(shù)據(jù)庫文件或數(shù)據(jù)庫備份被盜，沒有用來加密的原始證書將無法訪問。這幾乎是SQL Server2008安全選項中最激動人心的功能了，有了它，我們至少可以將一些初級的惡意窺視拒之見外。

下面的兩個例子將展示如何啟用和維護透明數(shù)據(jù)加密。

示例一、啟用透明加密(TDE)

/********************TDE****************  ****************/  
USE Master  
GO  
--------刪除舊主密鑰**********************  
--------Drop master Key   
--------go  
--創(chuàng)建主密鑰**********************  
Create MASTER KEY ENCRYPTION  
BY PASSWORD = 'B19ACE32-AB68-4589-81AE-010E9092FC6B' 
GO  
--創(chuàng)建證書,用于透明數(shù)據(jù)加密**********************  
CREATE CERTIFICATE TDE_Server_Certificate  
WITH SUBJECT = 'Server-level cert for TDE' 
GO  
 
USE DB_Encrypt_Demo  
GO  
--第一步：現(xiàn)在開始透明加密**********************  
CREATE DATABASE ENCRYPTION KEY--創(chuàng)建數(shù)據(jù)庫加密密鑰  
WITH ALGORITHM = TRIPLE_DES_3KEY--加密方式  
ENCRYPTION BY SERVER CERTIFICATE TDE_Server_Certificate--使用服務器級證書加密  
GO  
/*  
Warning: The certificate used for encrypting the database encryption key 
has not been backed up.  
You should immediately back up the certificate and the private key 
associated with the certificate.  
If the certificate ever becomes unavailable or 
if you must restore or attach the database on another server,  
you must have backups of both the certificate and the private key 
or you will not be able to open the database.  
*/  
 
--第二步：打開加密開關**********************  
ALTER DATABASE DB_Encrypt_Demo  
SET ENCRYPTION ON 
GO  
 
--查看數(shù)據(jù)庫是否加密  
SELECT is_encrypted  
FROM sys.databases  
WHERE name = 'DB_Encrypt_Demo' 

注意：一旦在數(shù)據(jù)庫應用了加密，應該立刻備份服務器級證書！

沒有加密DEK的證書，該數(shù)據(jù)庫將無法打開，附加到別的服務器也無法使用，數(shù)據(jù)庫文件亦不會被Hack。如果一個DBA想要合法地將數(shù)據(jù)庫從一個SQL Server實例移動到另一個SQL Server實例，那么她應該首先備份服務器級證書，然后在新的SQL Server實例中創(chuàng)建證書。此時可以合法地備份、還原數(shù)據(jù)庫或附加數(shù)據(jù)及日志文件。

示例二、管理和移除透明加密(TDE)

USE DB_Encrypt_Demo  
GO  
--修改加密算法  
ALTER DATABASE ENCRYPTION KEY 
REGENERATE WITH ALGORITHM = AES_128  
Go  
 
SELECT DB_NAME(database_id) databasenm,  
CASE encryption_state  
WHEN 0 THEN 'No encryption' 
WHEN 1 THEN 'Unencrypted' 
WHEN 2 THEN 'Encryption in progress' 
WHEN 3 THEN 'Encrypted' 
WHEN 4 THEN 'Key change in progress' 
WHEN 5 THEN 'Decryption in progress' 
END encryption_state,  
key_algorithm,  
key_length  
FROM sys.dm_database_encryption_keys  
 
/*  
對所有用戶數(shù)據(jù)庫的加密處理也包含對tempdb的處理  
databasenm encryption_state key_algorithm key_length  
tempdb Encrypted AES 256  
DB_Encrypt_Demo Encrypted AES 128  
*/ 

注意：對所有用戶數(shù)據(jù)庫的加密處理也包含對tempdb的處理 

除了更改DEK的算法，我們也可以更改用來加密DEK的服務器級證書（該證書應該定期更改）

USE master  
GO  
CREATE CERTIFICATE TDE_Server_Certificate_V2  
WITH SUBJECT = 'Server-level cert for TDE V2' 
GO  
USE DB_Encrypt_Demo  
GO  
ALTER DATABASE ENCRYPTION KEY 
ENCRYPTION BY SERVER CERTIFICATE TDE_Server_Certificate_V2--用新證書修改DEK  
 
--移除數(shù)據(jù)庫透明加密  
ALTER DATABASE DB_Encrypt_Demo  
SET ENCRYPTION OFF 
GO  
 
--移除TDE后，可以刪除DEK  
USE DB_Encrypt_Demo  
GO  
Drop DATABASE ENCRYPTION KEY 
Go  
 

注意：如果刪除DEK是SQL Server實例中最后一個使用TDE的用戶定義數(shù)據(jù)庫，在SQL Server實例重啟后，tempdb也將變?yōu)椴患用艿臓顟B(tài)。

小結(jié)：

1、本文主要介紹透明數(shù)據(jù)加密(TDE)的使用。

2、對DEK的修改同時影響到tempdb數(shù)據(jù)庫的加密狀態(tài)。

SQL Server安全系列至此暫告一段落。謝謝各位耐心看完，歡迎對邀月提出指正。

 原文鏈接：http://www.cnblogs.com/downmoon/archive/2011/03/17/1986383.html

【編輯推薦】

1. 淺析SQL Server 2008中的代碼安全之三：通過PassPhrase加密
2. 淺析SQL Server 2008中的代碼安全之四：主密鑰
3. 淺析SQL Server 2008中的代碼安全之五：非對稱密鑰加密
4. 淺析SQL Server 2008中的代碼安全之六：對稱密鑰加密
5. 淺析SQL Server 2008中的代碼安全之七：證書加密