透明数据加密(TDE)是在Microsoft SQL Server 2008中推出的一个新的加密功能。它旨在为整个数据库提供静态保护而不影响现有的应用程序。对数据库进行加密,传统上都会涉及复杂的应用程序改动,例如修改表schemas、删除函数和明显的性能下降。举例来说,要在Microsoft SQL Server 2005中使用加密,字段数据类型必须改为varbinary;不允许进行范围和相等搜索;并且应用程序必须调用内置函数(或自动使用这些内置函数的存储过程或视图)来处理加密和解密,这些都会降低查询性能。这些问题不是只存在于SQL Server的;其它数据库管理系统也受到相似的限制。定制schemes经常用来解决根本不能使用的相等搜索和范围搜索。即使是像创建一个索引或使用外键等的基本数据库元素也通常不能与单元级或字段级加密schemes一起使用,因为这些特性的使用会泄漏信息。TDE简单地加密了所有东西,从而解决了这些问题。因此,所有的数据类型、键、索引,等等这些可以完全使用而不必牺牲安全或泄漏磁盘上的信息。而单元级加密不能提供这些功能、两个Windows特性:文件加密系统(EFS)和BitLocker™ Drive Encryption,它通常用于和TDE同样的原因——它们提供相同范围的保护并对于用户来说是透明的。 2、Microsoft SQL Server加密
Microsoft SQL Server提供两个级别的加密:数据库级别和单元级别。两个都使用密钥管理层次结构。
2.1、密码密钥层次结构
在加密树的根部是Windows Data Protection API(DPAPI ),它在机器级别保护密钥层次,并用来保护数据库服务器实例的服务主键(SMK)。SMK保护数据库主键(DMK),它存储在用户数据库级别并反过来保护证书和非对称密钥。这些反过来保护对称密钥,对称密钥保护数据。TDE使用相似的层级到证书。注意区别是当你使用TDE时,DMK和证书必须存储在主数据库上而不是用户数据库中。一个只用于TDE并作为数据库加密密钥(DEK)的新密钥,被创建和存储在用户数据库中。
这个层次结构使得服务器可以自动地打开单元级和数据库级加密的密钥和解译数据。主要区别在于当使用单元级加密时,所有从DMK来的密钥都可以用一个密码来保护,而不是另一个密钥。这破坏了解密链并强迫用户输入一个密码来访问数据。在TDE中,必须维护从DPAPI到DEK的整个链以便服务器可以自动地提供对TDE所保护的文件访问。在单元级加密和TDE中,通过这些密钥的加密和解密是由Windows Cryptographic API(CAPI)提供的。
下面的图片显示了完整的加密层次结构。虚线显示了TDE所使用的加密层次结构。
|
图1:使用TDE和EKM的SQL Server加密密钥层级 |
|
2.2、TDE
透明数据加密是SQL Server 2008推出的新的数据库级加密特性。
2.3、怎么使TDE可用
为了使TDE可用,你必须具有和在主数据库中创建数据库主键和证书相关的一般权限。你还必须具有对用户数据库的CONTROL权限。
使TDE可用
在主数据库中执行下面的步骤:
1、为主数据库创建一个数据库主键(DMK),如果它还不存在的话。确保数据库主键是用服务主键(SMK)加密的。
CREATE MASTER KEY ENCRYPTION BY PASSWORD = ‘some password’; |
|
2、创建或指派一个现有的证书作为数据库加密密钥(DEK)保护者来使用。为了获得最好的安全保护,推荐你创建一个新的证书,它的唯一作用就是保护DEK。确保这个证书是由DMK保护。
CREATE CERTIFICATE tdeCert WITH SUBJECT = ‘TDE Certificate’; |
|
3、用私钥创建一个证书备份并将它存储在一个安全的地方。(注意私钥存储在一个单独的文件中——确保保存好这两个文件)。确保维护证书的备份,因为有可能发生数据丢失。
BACKUP CERTIFICATE tdeCert TO FILE = ‘path_to_file’ WITH PRIVATE KEY ( FILE = ‘path_to_private_key_file’, ENCRYPTION BY PASSWORD = ‘cert password’); |
|
4、可选的,使服务器上SSL可用,以在传输过程中保护数据。
在用户数据库中执行下面的步骤。这些要求在数据库上具有CONTROL权限。
5、创建由上面第二步所指派的证书加密的数据库加密密钥(DEK)。这个证书作为服务器证书以和其它可能存储在用户数据库中的证书相区别。
CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_256 ENCRYPTION BY SERVER CERTIFICATE tdeCert |
|
6、使TDE可用。这个命令开启了一个后台进程(加密扫描),它以异步方式运行。
ALTER DATABASE myDatabase SET ENCRYPTION ON |
|
为了监控进程,查询sys.dm_database_encryption_keys 视图(要求具有VIEW SERVER S
TATE权限),如下面例子所示:
SELECT db_name(database_id), encryption_state FROM sys.dm_database_encryption_keys |
|
当TDE可用(或不可用),数据库标识为在sys.databases范畴视图加密,并且DEK状态设置为Encryption In Progress。服务器开启一个后台进程(叫做加密扫描或扫描),它扫描所有的数据库文件并加密它们(或解密它们,如果你设置TDE不可用)。当DDL执行时,对数据库施加了一个更新锁。加密扫描是和DDL异步的,它使用了一个共享锁。所有不和这些锁冲突的一般操作都可以执行。不能执行的操作包括修改文件结构和分离数据库。如果一般的从缓冲池到磁盘的数据库写被加密了,那么日志文件写可能没有加密。扫描还使得在虚拟日志文件上执行了一个rollover以确保未来的写日志是被加密的。这在本篇文章的后面将会详细描述。
当加密扫描完成时,DEK状态被设置为Encrypted(已加密)。这时磁盘上的所有数据库文件
都加密了,并且数据库和日志文件到磁盘的写也将进行加密。支持的加密算法有128位、192位或256位密钥的AES或3 Key Triple DES。数据是以密码块链接(CBC)加密模式加密的。写到磁盘的已加密数据库文件和没有加密的文件是一样大小的,因为没有要求添加额外的东西,并且初始化向量(IV)和加密的DEK存储在已有的空间内。因为日志是添加到下一个VLF边界,所以日志的大小增加了。注意当数据库状态标识为可加密的时候,加密的实际状态应该通过DEK状态来进行监控。当后台扫描完成时,DEK状态设置为Encrypted。这时,未来的到日志和磁盘的写操作会受到保护。这在这篇文章的后面进行了详细描述。
2.5、什么是已加密
TDE通过缓冲池在I/O 级别操作。所以,任何写到数据库文件(*.mdf)中的数据都被加密。快照和备份也被设计成会利用TDE所提供的加密,因此它们也在磁盘上被加密。但是在使用的数据却没有进行加密,因为TDE不提供内存或传输级别的保护。事务日志也受到保护,但是需要需要额外的申请。
对于在使用中的数据,当它们被读取和存储到缓冲池中时所有的页面都被解密,在内存中
是清楚的文本形式。操作系统可能将数据内存溢出看作是内存管理的一部分。在这个过程中,解密的数据可能会写到磁盘上。Windows和SQL Server可以配置为防止内存写到磁盘,不过这样的性能成本会很高。其它操作系统动作例如休眠和崩溃转储还会使得从内存写到磁盘上。传输中的数据没有受到保护,因为这个信息在到达以前已经是解密的了;应该使得SSL可以保护服务器和任何客户端之间的通信。
当数据库页面文件写到磁盘上时,文件头并没有和其它数据一起加密,因为这个信息对于页面来说是需要重新加载的。头包含了状态细节,例如数据库兼容性级别、数据库版本、镜像状态,等等。任何重要的数据(例如DEK)在它插入到头之前都进行了加密。头还包括了一个数据损坏校验(CRC)。用户可以拥有一个对纯文本的校验和一个对加密文本的校验。这不是一个密码校验;它只监测数据损坏(检查看看数据是否是可读的),而不是数据完整性(检查看看数据是否被修改了)。所有的其它用户数据都是存储在加密的数据库页面上,包括所有未被使用的(或之前删除的)数据,以避免信息泄漏。当TDE在任何用户数据库上都可用时,加密还自动地可用于临时数据库(tempdb)。这避免了用户数据库使用的临时对象泄漏到磁盘上。除了tempdb之外系统数据库现在还不能使用TDE加密。
I/O 级的加密还允许快照和备份被加密。因此数据库创建的所有快照和备份都将通过TDE进行加密。当写文件时用来保护DEK的证书必须存储在服务器上用于那些文件进行恢复或重新加载。因此,你必须维护所有证书使用的备份,而不仅仅是最新的证书。
事务日志更加复杂。因为事务日志是旨在保证一次性失败安全的,TDE不对已经写到磁盘的日志进行加密。类似的,由于这个一次性写原则日志头不能被重写,因此写到日志的数据不会受到保护,即使是在TDE可用之后进行加密了的数据。TDE后台扫描使得日志前进到下一个VLF边界,这使得密钥可以存储在头里面。这时,如果文件扫描也完成了,那么DEK状态改变为Encrypted并且所有后来的写日志都会被加密。
2.6、对数据库的影响
TDE旨在尽可能的透明。不需要任何应用程序改动,对于用户来说使用一个TDE加密的数据库和一个非加密的数据库是觉察不出区别的。
如果数据库有任何只读的文件组,那么TDE操作是不被允许的,但是TDE可以用于只读文件组。为了使TDE在具有只读文件组的数据库上可用,首先文件组必须设置为允许写。在加密扫描完成之后,文件组可以设置回只读的。密钥改变或解密必须以相同的方式执行。
TDE产生的性能影响是较小的。因为加密发生在数据库级别,数据库可以平衡索引和密钥以做到查询最优化。这使得可以进行全范围和相等扫描。在使用样例数据和TPC-C运行测试时,整个性能影响估计为3-5%,并且如果访问的数据大多存储在内存中的话还可能低很多。加密是CPU进行的在I/O执行的。因此,具有较低I/O和一个较低CPU负载的服务器的性能影响是最小的。CPU占有率高的应用程序将导致性能大大下降,估计大约为28%。主要成本是在CPU利用方面,所以如果CPU占有量足够低的话,即使应用程序或服务器占有较高的I/O也不会受到太大的影响。而且,因为初始加密扫描启动了一个新的线程,这时性能会受到极大的影响;可能查看查询执行会差几个数量级。对于磁盘空间问题,TDE没有将数据库文件放到磁盘上,尽管它将在之前数据是怎样加密的中提到的事务日志放到磁盘上。
TDE不是一种访问控制。所有具有访问数据库权限的用户仍然可以访问;他们不需要被赋予权限或提供一个密码来使用DEK。
