无论是公司政策,还是行业或政府规定,都有可能要求使用加密措施来保护存储于数据库中的敏感数据。为了帮助满足这些法规需求,SQL Server数据加密功能提供了几种可选方案,当数据在网络传输时,或进行备份时,或把数据保存到服务器或网络时,对数据进行加密。
SQL Server数据加密功能可选方案包括:透明数据加密(transparent data encryption)、列级别加密(column-level encryption)、SQL Server对象定义加密、备份加密、SQL Server连接加密,以及通过Windows EFS和BitLocker驱动加密实现的数据库文件级加密。这些数据加密方案为数据库和操作系统级别的数据提供了强大的安全支持,有效防止未经授权泄露保密信息的可能性,即使SQL Server基础设施和数据库本身遭到破坏。
使用以上这些SQL Server数据加密方法的缺点是,不能直接访问加密数据或者修改这些数据。要在加密数据上执行操作,必须首先对它们做解密操作,这也就意味着数据在其整个生命周期中不能一直保持加密状态。
为了解决这个问题,微软公司在SQL Server 2016中引入了Always Encrypted(全程加密技术)。
什么是Always Encrypted?
Always Encrypted选项使用了增强的ADO.NET客户端库和密文来加密和解密数据。使用Always Encrypted,数据永远是加密状态,你可以在加密数据上执行操作,无需先对它们解密。这就意味着如果使用了这个特性,加密的敏感信息就不会有机会变为明文。显然,这一功能与SQL Server的其它数据加密功能不同,它可以确保你的数据永远保持加密状态,不管数据是在用还是闲置都是如此。
此外,数据加密和解密是在幕后的应用中实现的,减少了对现有应用的变更工作量。其它关系型数据库管理系统没有哪一款可以提供Always Encrypted类似的功能。
Always Encrypted使用两种类型密钥:列加密密钥(CEKs)和列主密钥(CMKS)。列加密密钥用来加密存储在数据库列中的敏感数据,列主密钥用来存储列加密密钥。我们在创建CEKs之前应该先创建CMKs。我们可以使用一个CEK加密所有列值。关于CMK和CEK的信息存储在数据库系统的分类视图中。你应该在网络中安全可靠的位置备份CEK。
如何配置Always Encrypted安全功能?
为演示方便,我这里使用了我本机SQL Server实例中的“OUTLANDER”数据库。
第一步:创建列主密钥(column master key)
使用SQL Server 2016 对象管理器,打开数据库文件夹,选择你想配置Always Encrypted的数据库。然后,打开“安全”文件夹,找到“全程加密密钥”(Always Encrypted Keys)文件夹。右击“列主密钥定义”(Column Master Key Definitions)文件夹,然后点击“新建列主密钥定义”(New Column Master Key Definition),打开“新建列主密钥定义”对话框(见图1)。
图1:新建列主密钥定义对话框
在“名称”文本框中,输入新建CMK的名称。然后为包含CMK的密钥存储指定密钥存储提供器,如图1所示。对于CMK,最好的选择是使用存储在本机证书存储中的证书。例如,我点击“生成自签名证书”按钮生成了自签名证书,然后把生成的证书放到了我的个人存储中。最后点击“确定”按钮,就在数据库中创建了CMK。
第二步:创建列加密密钥(column encryption key)
在“全程加密密钥”(Always Encrypted Keys)文件夹中,右击“列加密密钥”(Column Encryption Keys)文件夹,然后点击“新建列加密密钥”(New Column Encryption Key)。这时会弹出“新建列加密密钥”对话框。
图2:新建列加密密钥对话框
在“名称”文本框中,输入新建CEK的名称,并定义其相应的CMK,如图2所示。点击“确定”按钮就创建了新的CEK。
第三步:创建包含加密列的表
在SSMS 2014的查询编辑器中,输入建表脚本“CREATE TABLE”T-SQL语句,如图3所示。该语句将创建“dbo.Contact_AlwaysEncryptedDemo ”表,其中包含有加密列。
需要注意的是,使用确定性加密的列支持等号查找、连接和分组操作,而使用随机加密的列不支持这些操作。
图3:T-SQL建表语句
接下来,我们将继续介绍如何测试Always Encrypted安全特性。