写点什么

SQL Server 2016:全程加密

2015 年 7 月 12 日

关于数据库的安全性,或者说关于安全性的缺失问题时常见诸报端。几乎每个月都不只一次看到关于大企业或政府机构由于数据库安全性问题而捅出大娄子的报道。这些问题中的一部分是可以通过加密与散列技术得到缓解的,但由于这一过程很乏味,因此开发者通常只会对最敏感的数据应用这种技术,例如密码等等。

SQL Server 2016 将通过新的全程加密(Always Encrypted)特性让加密工作变得更简单,这项特性提供了某种方式,以确保在数据库中不会看到敏感列中的未加密值,并且无需对应用进行重写。为了维持合理的性能,非敏感的列 —— 例如主键列仍将保持未加密。

实际的数据加密与解密过程是由数据库 driver 这一层处理的,数据库本身只能看到加密后的值,而应用程序代码仅仅是与未加密的数据打交道。在执行某个查询时,driver 会自动在 Windows Certificate Store(或其它取决于操作系统中的位置)中查找主密钥。该主密钥将用于将对应于某一列的密钥进行解密,随后再用解密后的密钥对字段及参数进行加密与解密。

场景

微软给出了使用全程加密的三种场景。

本地客户端与数据

某客户的客户端应用与 SQL Server 都运行于本地的自有企业场所,他打算雇用一位外部人士进行 SQL Server 的管理。为了保护 SQL Server 中所存储的机密数据,该客户应用了全程加密这一特性,以确保数据库管理员与应用程序管理员的职责分离。客户将全程加密的密钥以明文值的方式存储在某个可信的密钥存储系统中,这个系统是客户端应用程序能够访问的,而 SQL Server 的管理员无法访问这些密钥,因此也无法解密存储在 SQL Server 中的机密数据。

本地客户端与 Azure**** 平台中的数据

某客户的客户端应用运行在本地的自有企业场所中,该应用需要操作运行于 Azure 平台上的某个数据库(例如在 Microsoft Azure 的虚拟机中运行的 SQL Server 实例)中的机密数据。客户利用了全程加密特性,将全程加密的密钥存储在一个可信的本地存储系统中,以保证微软云管理员无法访问机密数据。

客户端与数据都运行在 Azure**** 平台

某客户的客户端应用运行在 Microsoft Azure 平台上(例如某个在 worker role 或 web role 中运行),它需要操作同样存储在 Microsoft Azure 平台上的机密数据。客户利用全程加密特性以减少遭受安全攻击的表面面积(机密数据在数据库与运行该数据库的机器中都保持全程加密)。

加密类型

SQL Server 提供了两种加密模式:确定型加密与随机型加密。确定型加密能够确保对某个值加密后的结果是始终相同的,这就允许使用者对该数据列进行等值比较、连接及分组操作。

确定型加密的缺点在于,它“允许未授权的用户通过对加密列的模式进行分析,从而猜测加密值的相关信息”。在取值范围较小的情况下,这一点会体现得尤为明显。

为了提高安全性,应当使用随机型加密。就像对密码进行 salt 操作一样,它能够保证某个给定值在任意两次加密后的结果总是不同的,从而杜绝了猜出原值的可能性。微软进一步说明道:

对于会被当作搜索或分组参数的列应使用确定型加密,例如某个行政机构的 ID 值。而对于诸如机密研究的注解等数据应使用随机型加密,这种数据不会用于与其它记录进行分组,也不会用于表的连接。

通用的限制

如果某个列被加密,那么所有的范围型操作都会被禁止,例如大于 / 小于或使用 LIKE 进行模式匹配等等。此外,你无法将加密的值传递给用户自定义函数或其它函数,因为数据库无法访问未加密的值。

只有使用确定型加密的列才能够进行等值比较。

只有使用确定型加密的列才能够应用索引。

如果要对两个列进行连接操作,那么这两个列必须使用相同的列加密密钥。

对应加密列的常量表达式是不允许的,打个比方,不可以编写 WHERE SSN = '111-11-1111’这样的语句,但可以写成 WHERE SSN = @SSN。这是因为 SQL Server 驱动需要与 SqlParameter 类配合,才能够处理加密方面的需求。

不支持加密的数据类型包括:xml、rowversion、image、ntext、text、sql_variant、hierarchyid、geography、geometry 以及用户自定义类型。

截至目前,.NET 4.6 是唯一一个支持该特性的 SQL Server driver。

查看英文原文: SQL Server 2016: Always Encrypted

2015 年 7 月 12 日 08:314630
用户头像

发布了 428 篇内容, 共 150.6 次阅读, 收获喜欢 22 次。

关注

评论

发布
暂无评论
发现更多内容

SpringBoot代码生成器

Kerwin

Java 开源

疫情年逆风翻盘

Kerwin

程序员

日记一则

progyoung

【计算机网络】你需要知道的链路层知识

烫烫烫个喵啊

计算机网络 链路层 交换机

图解Windows Server 2008 R2安装

JackWangGeek

windows-server

没内鬼,来点干货!SQL优化和诊断

Kerwin

MySQL

Hello!GitHub 好用好玩值得收藏的开源项目集合~

Kerwin

开源

有朋自远方来 不亦说乎,请多关照哈

InfoQ_353bc6b96230

Markdown工具Typora结合gitee码云图床自动上传云端图片

Flychen

Typora markdown gitee

练习 6-1

闷骚程序员

ARTS - Week 5

Khirye

ARTS 打卡计划

Mybatis执行流程浅析(附深度文章推荐&面试题集锦)

Kerwin

Java mybatis

程序员的时间管理

Kerwin

程序员

快来!我从源码中学习到了一招Dubbo的骚操作!

why技术

源码 面试 dubbo 动态代理

nginx在重定向时端口出错的问题

烫烫烫个喵啊

nginx

SharePoint 部署架构

JackWangGeek

架构 BI SharePoint

设计模式总篇:从为什么需要原则到实际落地(附知识图谱)

Kerwin

Java 设计模式

支付公司如何赚钱?支付网关如何设计?

诸葛小猿

微信 支付宝 聚合支付 第三方支付 支付网关

ServerlessDays China:无服务器的未来

Michael Yuan

云计算 Serverless 容器 虚拟机 webassembly

week6

Geek_2e7dd7

week6 学习总结

Geek_2e7dd7

redis系列之——一致性hash算法

诸葛小猿

redis 一致性hash redis集群

Elasticsearch从入门到放弃:再聊搜索

Jackey

elasticsearch

数据加工

阡陌r

没内鬼,来点干货!volatile和synchronized

Kerwin

Java volatile synchronized

6 个珍藏已久 IDEA 小技巧,这一波全部分享给你!

楼下小黑哥

Java IDEA

java 后端博客系统文章系统——No4

猿灯塔

第六周作业

赵龙

架构师训练营 - 第六周 - 学习总结

韩挺

架构师训练营 - 第六周 - 作业

韩挺

因为 Django ORM update,我今天差点「从删库到跑路」

AlwaysBeta

数据库 django 编程 程序员

演讲经验交流会|ArchSummit 上海站

演讲经验交流会|ArchSummit 上海站

SQL Server 2016:全程加密-InfoQ