通过对SQL Server 2008中的透明数据加密(TDE)的介绍,现在用户可以选择如同在SQL Server 2005中一样使用单元级的加密,或者是使用TDE进行完全数据库级加密、或者是由Windows提供的文件级加密。TDE对于大量加密是最佳的选择,它可以满足调整遵从性或公共数据安全标准。TDE是文件级的,它和两个Windows®特性类似:文件加密系统(EFS)和BitLocker™ Drive Encryption(驱动盘加密),在Windows Vista®中新推出的空间级加密,也都是在硬盘上加密数据。TDE没有替代单元级加密、EFS或BitLocker。这篇文章比较了TDE和其它供应用程序开发人员和数据库管理员使用的加密方法。这不是一篇描述TDE技术、深入概述的文章,它是一篇假设你熟悉像虚拟日志文件和缓冲池之类的概念,探究技术执行的文章。它假设用户熟悉一般的单元级加密和密码术。它描述进行数据库加密所做的工作,而不是加密数据库的基本原理。
1. 导言:进行数据库级别的加密
透明数据加密(TDE)是在Microsoft® SQL Server™ 2008中推出的一个新的加密功能。它旨在为整个数据库提供静态保护而不影响现有的应用程序。对数据库进行加密,传统上都会涉及复杂的应用程序改动,例如修改表schemas、删除函数和明显的性能下降。举例来说,要在Microsoft SQL Server 2005中使用加密,字段数据类型必须改为varbinary;不允许进行范围和相等搜索;并且应用程序必须调用内置函数(或自动使用这些内置函数的存储过程或视图)来处理加密和解密,这些都会降低查询性能。这些问题不是只存在于SQL Server的;其它数据库管理系统也受到相似的限制。定制schemes经常用来解决根本不能使用的相等搜索和范围搜索。即使是像创建一个索引或使用外键等的基本数据库元素也通常不能与单元级或字段级加密schemes一起使用,因为这些特性的使用会泄漏信息。TDE简单地加密了所有东西,从而解决了这些问题。因此,所有的数据类型、键、索引,等等这些可以完全使用而不必牺牲安全或泄漏磁盘上的信息。而单元级加密不能提供这些功能、两个Windows®特性:文件加密系统(EFS)和BitLocker™ Drive Encryption,它通常用于和TDE同样的原因——它们提供相同范围的保护并对于用户来说是透明的。