實(shí)現(xiàn)SQL Server多層面加密機(jī)制

■ 河南 郭建偉

SQL Server作為常用的數(shù)據(jù)庫，在實(shí)際工作中應(yīng)用的極為廣泛。如何提高SQL Server的安全性，防止其中的數(shù)據(jù)被盜取或者篡改，是管理員必須面對的重要問題。使用加密技術(shù)，可以有效保護(hù)SQL Server數(shù)據(jù)庫的安全。隨著SQL Server版本的演進(jìn)，其中不斷添加了各種加密機(jī)制，能夠有力的保護(hù)數(shù)據(jù)的安全。這里就以SQL Server 2016為例，從加密傳輸、加密數(shù)據(jù)庫、加密字段等多個(gè)層面，來說明具體的實(shí)現(xiàn)方法。

創(chuàng)建所需的的證書

對于數(shù)字證書來說，可以從網(wǎng)上購買公網(wǎng)證書，也可以生成企業(yè)私有證書，對于后者來說，最好在客戶端安裝根證書，來信任證書鏈。證書準(zhǔn)備好之后，接下來在SQL Server服務(wù)器上上啟用傳輸加密功能，在客戶端進(jìn)行連接時(shí)，需要指定傳輸加密的連接，例如在相關(guān)的客戶端程序中添加諸如“Encrypt=True”，“TrustServerCertificate=Ture”等參數(shù)。

在SQL Server服務(wù)器上點(diǎn)擊“Windows+R”鍵，運(yùn)行“mmc”程序，在管理控制臺上點(diǎn)擊菜單“文件”→“添加/刪除管理單元”項(xiàng)，在打開窗口左側(cè)選擇“證書”項(xiàng)，點(diǎn)擊“添加”按鈕按鈕將其添加進(jìn)來。

點(diǎn)擊“確定”按鈕，選擇“計(jì)算機(jī)賬戶”項(xiàng)，點(diǎn)擊“完成”按鈕，在控制臺左側(cè)選擇“個(gè)人”→“證書”項(xiàng)，在右側(cè)可以看到在域環(huán)境中由企業(yè)CA頒發(fā)的證書。

如果沒有的話，可以在右鍵菜單上點(diǎn)擊“所有任務(wù)”→“申請新證書”項(xiàng)，在向?qū)Ы缑嬷羞x擇“Active Directory注冊策略”項(xiàng)，點(diǎn)擊“下一步”按鈕，選擇所需的證書。

這些證書是由CA服務(wù)器發(fā)布出來的。例如選擇“Web服務(wù)器”項(xiàng)，點(diǎn)擊“注冊此證書需要詳細(xì)信息，單擊這里以配置設(shè)置”鏈接，在證書屬性窗口中的“使用者”面板的“類型”列表中選擇“公用名”項(xiàng)，在“值”欄中輸入本機(jī)的FQDN計(jì)算機(jī)全名。

點(diǎn)擊“添加”按鈕，將其添加進(jìn)來。在“常規(guī)”面板中輸入輸入其友好名稱，在“私鑰”面板中的“密鑰選項(xiàng)”欄中選擇“使私鑰可以導(dǎo)出”項(xiàng)，便于導(dǎo)出私鑰。保存配置信息后，點(diǎn)擊“注冊”按鈕，可以申請到所需的證書。

對于該證書來說，默認(rèn)只能由管理員和系統(tǒng)來訪問其私鑰，并利用該證書加密數(shù)據(jù)，對于其他用戶是不允許的。

管理SQL Server服務(wù)賬戶

打開SQL Server 2016配置管理器，在左側(cè)選擇“SQL Server服務(wù)”項(xiàng)，在右側(cè)顯示所有的服務(wù)和實(shí)例，選擇所需的實(shí)例（例如，“SQL Server(MSSQLSERVER)”等），在“登錄身份為”列中查看其使用的服務(wù)賬戶信息。一般來說，該賬戶都不是特權(quán)賬戶。在上述控制臺上選擇證書，在其右鍵菜單中選擇“所有任務(wù)”→“管理私鑰”項(xiàng)，在打開窗口中點(diǎn)擊“添加”按鈕，輸入上述服務(wù)賬戶名稱，將其添加到“組或用戶名”列表中。選擇該賬戶，在權(quán)限列表中的“允許”列中選擇“讀取”項(xiàng)，即賦予其讀取私鑰的權(quán)限。

注意，還需要添加SQL Server默認(rèn)的內(nèi)置服務(wù)賬戶，但是該賬戶是無法直接顯示的。

點(diǎn)擊“添加”按鈕，在打開窗口中點(diǎn)擊“位置”按鈕，選擇本機(jī)名稱。之后輸入“nt servicemssqlserver”，將其該賬戶添加進(jìn)來，按照同樣的方法，賦予其讀取私鑰的權(quán)限。

在SQL Server 2016配置管理器左側(cè)選擇“SQL Ser ver網(wǎng)絡(luò)配置”→“MSSQLSER VER的協(xié)議”項(xiàng)，在其右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在打開窗口中的“標(biāo)志”面板中的“Force Envryption”欄中選擇“是”項(xiàng)，啟用強(qiáng)制加密功能。在“證書”面板中的“證書”列表中選擇上述證書，點(diǎn)擊“確定”按鈕保存配置信息。

在左側(cè)選擇“SQL Serve r”項(xiàng)，在右側(cè)選擇“SQL Ser ver(MSSQLSERVER)”服務(wù)，在其右鍵菜單上點(diǎn)擊“重新啟動”項(xiàng)，重啟該服務(wù)使上述配置生效。

激活加密傳輸功能

之后在本機(jī)上運(yùn)行Micr osoft SQL Server Managem ent Studio（簡稱MSSMS）進(jìn)行連接測試，在連接到服務(wù)器窗口中的“選項(xiàng)”按鈕，在“連接屬性”面板中選擇“加密連接”和“信任服務(wù)器證書”項(xiàng)。

在連接窗口中的“服務(wù)器名稱”欄中輸入上述證書中指定的計(jì)算機(jī)全名，點(diǎn)擊“連接”按鈕，才可以順利連接SQL Server服務(wù)器，否則系統(tǒng)會出現(xiàn)“目標(biāo)主要名稱不正確”的錯(cuò)誤提示。

對于加密的連接來說，可以打開“數(shù)據(jù)庫”→“master”→“視圖”→“系統(tǒng)視圖”項(xiàng)，在其中選擇“sys.dm_exec_connections”或者“sys.dm_exec_sessions”視圖，根據(jù)顯示信息，可以觀察到當(dāng)前連接是否加密狀態(tài)。

為了便于客戶端訪問，需要在防火墻上放行TCP 1433，UDP1434端口，后者是被SQL Server Browser服務(wù)器使用，其主要用于管理多個(gè)SQL Server實(shí)例。

在MSSMS中選擇“實(shí)例名稱”→“安全性”→“登錄名”項(xiàng)，在其右鍵菜單上點(diǎn)擊“新建登錄名”項(xiàng)，創(chuàng)建新用戶（例如“user1”等），使用SQL Server身份驗(yàn)證方式。

在左側(cè)選擇“用戶映射”項(xiàng)，在右側(cè)的“映射到此登錄名的用戶”欄選擇合適的數(shù)據(jù)庫名稱，在“數(shù)據(jù)庫角色成員身份”列表中選擇“db_datareader”項(xiàng)，使其針對該數(shù)據(jù)庫擁有讀取權(quán)限。

注意，對于沒有加入域的客戶端來說，只能使用SQL Server賬戶進(jìn)行連接。

在客戶端上可以打開CMD窗口，執(zhí)行“psping xxx:1433”命令，使用psping工具，對目標(biāo)SQL Server服務(wù)器進(jìn)行探測，其中的“xxx”為具體的域名。之后運(yùn)行MSSMS等工具，使用上述SQL Server賬戶進(jìn)行連接，輸入密碼后，可以順利連接到目標(biāo)服務(wù)器上，并且只能對指定的數(shù)據(jù)庫有讀取權(quán)限。

SQL Server數(shù)據(jù)庫的加密架構(gòu)

對數(shù)據(jù)庫加密來說，加密的對象是存儲在磁盤上的數(shù)據(jù)庫文件。出于性能和安全性的考慮，SQL Server使用的是對稱密鑰加密方式。為了保護(hù)密鑰的安全，還可以使用非對稱加密技術(shù)，對該對稱密鑰進(jìn)行保護(hù)。對于非對稱密鑰（例如證書等）來說，則使用數(shù)據(jù)庫主密鑰進(jìn)行保護(hù)。對于整個(gè)SQL Server加密體系來說，最外層的是Windows系統(tǒng)，其依靠Data Protection API組件來保護(hù)服務(wù)主密鑰。

可以看出，對于SQL Server加密體系來說，其并不是獨(dú)立存在的，其最終是依靠操作系統(tǒng)層面提供保護(hù)的。當(dāng)SQL Server安裝完成后，會自動生成服務(wù)主密鑰，用來保護(hù)數(shù)據(jù)庫主密鑰。對于數(shù)據(jù)庫文件加密來說，主要使用SQL Server內(nèi)置的透明數(shù)據(jù)加密TDE技術(shù)來實(shí)現(xiàn)。當(dāng)然，也可以使用EFS和BitLocker來加密數(shù)據(jù)。對于TDE來說，最外層是依靠Windows的DPAPI組件。

在此基礎(chǔ)上，可以創(chuàng)建數(shù)據(jù)庫主密鑰，其存在于Master數(shù)據(jù)庫中。在該數(shù)據(jù)庫中創(chuàng)建一張證書，該證書用來保護(hù)最終加密數(shù)據(jù)使用到的Database Encryption Key對稱密鑰。注意，該密鑰是存放在需要加密的目標(biāo)數(shù)據(jù)庫中的。這樣，就形成為完整的保護(hù)鏈。除了數(shù)據(jù)庫證書外，其余的密鑰都是對稱密鑰。從整體上來說，TDE需要使用到數(shù)據(jù)庫證書，其加密對象是存儲到磁盤的數(shù)據(jù)文件，可以防止數(shù)據(jù)文件的物理竊取，同時(shí)將加密日志和備份文件，采用的是后臺加密方式。

在實(shí)際使用SQL Server過程中，有時(shí)需要更改其服務(wù)賬戶，其方法是打開SQL Server配置管理器，在其中雙擊SQL Server服務(wù)，在其屬性窗口中打開“登錄”面板，在其中選擇“本賬戶”項(xiàng)，設(shè)置新的賬戶和密碼信息。在此過程中，服務(wù)主密鑰也需要對更換后賬戶進(jìn)行保護(hù)，即服務(wù)主密鑰是通過該服務(wù)的密碼來實(shí)現(xiàn)實(shí)現(xiàn)保護(hù)的。如果直接在系統(tǒng)內(nèi)置的服務(wù)器管理器打開SQL Server服務(wù)屬性窗口，在其中更改服務(wù)賬戶的話，就容易造成服務(wù)主密鑰異常，導(dǎo)致數(shù)據(jù)加密失敗的情況發(fā)生。

生成TDE加密證書

當(dāng)然，也可以在MSSMS查詢窗口中執(zhí)行“backup service master key to fil e='f:akfileServiceMas terKey.bak ENCRYPTION NY PASSWORD='xxxxxx'”，“Go”語句，來備份服務(wù)主密鑰。對應(yīng)的執(zhí)行“restore service master key from file='f:akfileServiceMasterKey.bak DECRYPTION NY PASSWORD='xxxxxx'”，“Go”語句，來恢復(fù)服務(wù)主密鑰，其中的“xxxxxx”為具體的密碼。執(zhí)行“Select * From sys.symmetric_keys”命令，來查看數(shù)據(jù)庫主密鑰的信息和狀態(tài)。

執(zhí)行“SELECT name,IS_MASTER_KEY_ENCRYPTED_BY_SERVER FROM sys.databases”命令，可以查看是否被服務(wù)主密鑰加密。

執(zhí)行“backup master key to file='f:akfileD BMasterKey.bak ENCRYPTION BY PASSWORD='xxxxxx'”命令，備份數(shù)據(jù)庫數(shù)據(jù)庫主密鑰到指定的文件。

執(zhí)行“restore master key from file='f:akfileDBMasterKey.bak DECRYPTION NY PASSWORD='x xxxxx' ENCRYPTION BY PASS WORD='xxxxxx'”命令，從指定的備份文件恢復(fù)數(shù)據(jù)庫主密鑰。”執(zhí)行“USE master;”，“Go”，“CREATE MASTER KEY ENCRYPTION BY PASSWORD='xxxxxx'”，“Go”，“CREATE CERTIFICATE TDECert WITH SUBJECT='MY TDE CERT'”，“Go”語句，來創(chuàng)建TDE使用的加密證書。

使用TDE加密數(shù)據(jù)庫

其中的“xxxxxx”為具體的密鑰，即數(shù)據(jù)庫主密鑰即通過服務(wù)主密鑰進(jìn)行保護(hù)，也通過該密碼進(jìn)行保護(hù)，實(shí)現(xiàn)雙重保護(hù)效果。

打開“數(shù)據(jù)庫”→“系統(tǒng)數(shù)據(jù)庫”→“master”→“安全性”→“證書”項(xiàng)，在其下可以看到名為“TDECert”的證書。

在MSSMS左側(cè)的“對象資源管理器”列表中選擇目標(biāo)數(shù)據(jù)庫（例如“TDE_DB”），在其右鍵菜單上點(diǎn)擊“任務(wù)”→“管理數(shù)據(jù)庫加密”項(xiàng)，在打開窗口（如圖1）中的“加密算法”列表中選擇合適的加密算法。

選擇“使用服務(wù)器證書”項(xiàng)，在列表中選擇“TDECert”證書，選擇“將數(shù)據(jù)庫加密設(shè)置為ON”項(xiàng)，點(diǎn)擊“確定”按鈕，激活加密功能。

注意，在執(zhí)行加密設(shè)置時(shí)，該數(shù)據(jù)庫必須處于獨(dú)占訪問狀態(tài)。

圖1 配置字段加密功能

其方式是執(zhí)行“ALTER DATABASE TPE_DB 4 SET SINGLE_USER WITH ROLLBACK IMMEDIATE”命令，即可將目標(biāo)數(shù)據(jù)庫設(shè)置為獨(dú)占狀態(tài)。

這樣，即使別人將該數(shù)據(jù)庫文件竊取，當(dāng)在其他的SQL Server數(shù)據(jù)庫實(shí)例中附加該數(shù)據(jù)庫文件時(shí)，會出現(xiàn)“無法為該請求檢索數(shù)據(jù)”的提示，使其無法訪問該加密的數(shù)據(jù)庫文件。因?yàn)樽C書實(shí)際上是保存在Master數(shù)據(jù)庫中的，因此只要備份了Master數(shù)據(jù)庫，就相當(dāng)于備份了證書信息，當(dāng)對其進(jìn)行恢復(fù)后，就可以恢復(fù)TDE證書了。

由于服務(wù)主密鑰和數(shù)據(jù)庫主密鑰極為重要，所以一定要對其進(jìn)行備份。

常用字段加密類型

對于SQL Server數(shù)據(jù)庫中的某些字段來說，可能包含了一些敏感的信息，為了防止別人隨意查看，需要對目標(biāo)字段進(jìn)行加密。利用加密方式，可以加密字段的所有內(nèi)容。在字段數(shù)據(jù)存儲之前就進(jìn)行了加密處理，當(dāng)數(shù)據(jù)存儲之后，自然就處于加密狀態(tài)了。針對字段加密，在SQL Server中提供了兩種實(shí)現(xiàn)方法，其一是使用加解密函數(shù)和密鑰，其二是利用Always Encrypted總是加密技術(shù)來實(shí)現(xiàn)。

對于前者來說，是先生成數(shù)據(jù)庫主密鑰，并據(jù)此來生成證書，利用該證書創(chuàng)建對稱密鑰，最后利用該對稱密鑰對數(shù)據(jù)進(jìn)行加解密，其特點(diǎn)是實(shí)現(xiàn)了存儲前加密，加密技術(shù)比較陳舊，具有很好的兼容性，但是缺點(diǎn)是管理者角色不分離，即不能防范管理人員查看加密數(shù)據(jù)。因?yàn)楣芾韱T可以讀取證書，這樣就可以得到密鑰，所以其可以很輕松的解密數(shù)據(jù)。對于SQL Server 2016來說，可以使用總是加密這一技術(shù)，來避開上述問題。

該技術(shù)的實(shí)現(xiàn)需要一些前提條件，例如需要證書的存儲（包括Windows或者云端的證書存儲），需要.Net Framework 4.6組件的支持，查詢語句需要實(shí)現(xiàn)參數(shù)化的設(shè)置等。其也可以實(shí)現(xiàn)存儲前加密，配置簡單技術(shù)新穎，可以實(shí)現(xiàn)管理角色分離，大大提高了數(shù)據(jù)的安全性。這對于云計(jì)算云存儲等場景來說，顯得極為重要，用戶可以將數(shù)據(jù)存放在任何位置，而不必?fù)?dān)心其安全性。

創(chuàng)建證書和對稱密鑰

在MSSMS中選擇目標(biāo)數(shù)據(jù)庫，在查詢窗口中執(zhí)行“CREATE MASTER KEY ENCRYPTION BY PASSWORD='p@ssw0rd!'”命令，創(chuàng)建所需的主密鑰，這里為“p@ssw0rd!”。

執(zhí)行“OPEN MASTER KEY DECRYPTION BY PASSWORD='p@ssw0rd!'”命令，打開數(shù)據(jù)庫主密鑰。

注意，字段加密和TDE加密不同，TDE加密需要將主密鑰放置到目標(biāo)數(shù)據(jù)庫之外的地方。

執(zhí)行“CREATE CERTIFIC ATE cert_zs -ENCRYPTION BY PASSWORD=' p@ssw0rd!' WITH SUBJECT='New ce rt01',START_DATE='1/1/20 18',EXPIRY_DATE='1/1/20 80';”命令，創(chuàng)建名為“cert_zs”的證書，設(shè)置其有效期等參數(shù)。如果僅僅使用數(shù)據(jù)庫主密鑰創(chuàng)建證書，則可以不指定具體的密碼，當(dāng)然，如果指定了密碼，則可以對證書進(jìn)行備份。

為了保護(hù)證書的安全，可以執(zhí)行“BACKUP CERTIFICATE cert_zs TO FILE='f:certbakcert_zs.bak' WITH PRIVATE KEY”命令，可以將證書備份到指定的文件。

如果指定了加密密碼，可以執(zhí)行“BACKUP CERTIFICATE -DECRYPTION BY PASSWORD='p@ssw0rd!',F ILE='f:certbakcert_zs.bak',ENCRYPTION BY PAS SWORD='pASSword00!'”之類的語句，將證書備份到指定的文件中，當(dāng)然，該備份文件是處于加密狀態(tài)的。

執(zhí)行“SELECT * FROM sys.certificates”命令，可以查看證書信息。對應(yīng)的，執(zhí)行“CREATE CERTIFICATE cert_zs FROM FILE=f:c ertbakcert_zs1.bak'WITH PRIVATE KEY”命令，可以使用數(shù)據(jù)庫主密鑰來恢復(fù)證書。

如果為證書指定了密碼，則需要執(zhí)行“CREATE CERTIFICATE cert_zs FROM FILE=f:certbakcert_zs1.bak' DECRYPTION BY PASSWORD='@ssw0rd!'”之類的語句，從備份文件恢復(fù)證書。

執(zhí)行“CREATE SYMMETRI C KEY newkey1 WITH ALGOR ITHM=AES_256 ENCRYPTION BY CERTIFICATE cert_zs”命令，使用上述證書，利用指定的加密算法，來產(chǎn)生名為“newkey1”的對稱密鑰，該對稱密鑰是受到證書保護(hù)的。

執(zhí)行“SELECT * FROM sys.symmetric_keys”，“SELECT * FROM sys.openkeys”命令，可以查看對稱密鑰信息。

使用函數(shù)加解密字段

準(zhǔn)備好了對稱密鑰后，就可以對字段進(jìn)行加密了。

例如，執(zhí)行“CREATE TABLE Table1 (zduan1 INT PRIMARY KEY,zuduan2 NVARCHAR(20) NOT NULL,ziduan3 MONEY NOT NULL,ziduan9 VARBINARY(MAX) NULL)”語句，在當(dāng)前的數(shù)據(jù)庫中創(chuàng)建名為“Table1”的表，執(zhí)行“INSERT Table1 VALUES(1,'a100',9000,null)”，“INSERT Table1 VALUES(1,'a200',8 000,null)”等語句，向該表中插入一些數(shù)據(jù)。執(zhí)行“OPEN SYMMETRIC KEY newkey1 DECRYPTION BY CERTIFICATE cert_zs”命令，打開上述名為“newkey1”的對稱密鑰。

執(zhí)行“UPDATE Table1 S ET ziduan9=ENCRYPTBYKEY(K EYGUID('newkey1'),CAST(z iduan3 AS VARCHAR(20)))”命令，使用名為“ENCRYPTBYK EY”的函數(shù)，對“ziduan9”字段進(jìn)行加密，并將加密后的內(nèi)容存儲到“ziduan3”字段中，這樣便于查看加密效果。

執(zhí)行“Select * from Table1”命令，可以看到實(shí)際的加密效果。

執(zhí)行“CLOSE SYMMETRIC KEY newkey1”，“Go”語句，關(guān)閉對稱密鑰。

在執(zhí)行解密操作時(shí)，先執(zhí)行“OPEN SYMMETRIC KEY newkey1 DECRYPTION BY CERTIFICATE cert_zs”命令，打開上述對稱密鑰。

執(zhí)行“SELECT ziduan 1,ziduan2,ziduan3,CONVE RT(VARCHAR(20),DECRYPTB YKEY(zuduan9)) AS PAY_DEC FROM Table1”命令，使用“DECRYPTBYKEY”函數(shù)對加密的“ziduan9”字段進(jìn)行解密，顯示真實(shí)的數(shù)據(jù)內(nèi)容。執(zhí)行“CLOSE SYMMETRIC KEY newkey1”命令，關(guān)閉對稱密鑰。

使用Always Encrypted加密

同上述字段加密方法相比，使用總是加密技術(shù)可以更加有效提高安全性。但是，這要求使用的MSSMS的版本是17.6及其以上方可。總是加密技術(shù)將密鑰和數(shù)據(jù)庫進(jìn)行了分離，在目標(biāo)數(shù)據(jù)庫中選擇需要加密的表，在其右鍵菜單上選擇“加密列”項(xiàng)，在向?qū)Ы缑嬷羞x擇需要加密的列，在“加密類型”列中提供了“確定性密鑰”和“隨機(jī)密鑰”兩種類型，前者性能較好，后者加密強(qiáng)度較高。一般來說選擇確定性密碼即可。

點(diǎn)擊“下一步”按鈕，在打開窗口（如圖2）中的“選擇列主密鑰”列表中選擇“自動生成列主密鑰”項(xiàng)，在“選擇密鑰存儲提供程序”欄中可以選擇證書存儲類型，包括WIndows證書存儲和Azure Key Vault類型。在“選擇主密鑰源”列表中選擇“當(dāng)前用戶”項(xiàng)，表示不管采用哪一種類型，必須針對當(dāng)前用戶有效，即將權(quán)限和角色進(jìn)行了分離，只有掌握主密鑰的用戶才可以擁有對加密數(shù)據(jù)的控制權(quán)。

注意，操作向?qū)н\(yùn)行在哪臺主機(jī)上，主密鑰就保存在該機(jī)上。

圖2 配置字段加密功能

點(diǎn)擊“完成”按鈕，可以生成主密鑰，并據(jù)此生成列加密密鑰。對于列加密密鑰來說，是存儲在數(shù)據(jù)庫中的。但是，該密鑰必須必須通過主密鑰才能發(fā)揮作用。主密鑰是保存在指定的證書存儲中的。即其和數(shù)據(jù)庫服務(wù)器是分開存儲的。

當(dāng)加密完成后，打開該數(shù)據(jù)表，可以看到指定的列已經(jīng)處于加密狀態(tài)了。在MSSMS中選擇目標(biāo)數(shù)據(jù)庫，選擇“安全性”→“Always Encrypted密鑰”項(xiàng)，在其下可以顯示列主密鑰和列加密密鑰信息。對于后者來說，需要使用前者進(jìn)行加密。因此，只要掌控了列主密鑰，就可以對數(shù)據(jù)進(jìn)行解密。當(dāng)然，列主密鑰并不會存儲到數(shù)據(jù)庫中的，其保存在指定的證書存儲中。