Şifreleme hiyerarşisi
SQL ServerVerileri hiyerarşik şifreleme ve anahtar yönetim altyapısı ile şifreler. Her katmanın altındaki katmanı sertifikaları ve asimetrik anahtarları simetrik anahtar birleşimi kullanarak şifreler. Dışında asimetrik anahtarları ve simetrik anahtarlar saklanabilir SQL Serverbir Genişletilebilir anahtar yönetimi (ekm) modülünde.
Her katmanı şifreleme hiyerarşisi altındaki katmanı şifreler ve en yaygın kullanılan şifreleme yapılandırmalarını görüntüler aşağıda gösterilmiştir. Hiyerarşi başlatmak için erişim genellikle parola ile korunmaktadır.
Aşağıdaki kavramları aklınızda bulundurun:
En iyi performans için sertifikalar veya asimetrik anahtarlar yerine simetrik anahtar kullanarak verileri şifreleme.
Veritabanı ana anahtarlar, hizmet ana anahtar tarafından korunur. Hizmet ana anahtar tarafından oluşturulan SQL ServerKurulum ve Windows veri koruma API (DPAPI) ile şifrelenir.
Diğer şifreleme hiyerarşileri ek Katmanlar yığınlama mümkün.
Genişletilebilir anahtar yönetimi (ekm) modülü simetrik veya asimetrik anahtarları SQL Server dışında tutar.
Saydam veri şifrelemesi (tde) ana veritabanında veritabanı ana anahtar veya bir ekm depolanan bir asimetrik anahtar tarafından korunan bir sertifika ile korunan veritabanı şifreleme anahtarı olarak adlandırılan bir simetrik anahtar kullanmanız gerekir.
Hizmet ana anahtar ve tüm veritabanı ana anahtarlar, simetrik anahtar vardır.
Aşağıdaki resimde, alternatif bir tarzda için aynı bilgileri gösterir.
Bu diyagramda, aşağıdaki ek kavramları gösterilmektedir:
Bu resimde, ortak şifreleme hiyerarşileri okları gösterir.
Simetrik ve asimetrik anahtarları ekm depolanan simetrik ve asimetrik anahtarlarına erişimi koruyabileceğiniz SQL Server. Noktalı çizgi ekm ile ilişkili anahtarları ekm depolanan simetrik ve asimetrik anahtarları değiştirmek gösterir SQL Server.
Şifreleme mekanizmaları
SQL Serveraşağıdaki şifreleme mekanizmaları sağlar:
Transact-SQLişlevleri
Asimetrik anahtarları
Simetrik anahtarlar
Sertifikalar
Saydam veri şifrelemesi
Transact-sql işlevleri
Tek tek öğeler şifreli olarak eklenir ya da kullanılarak güncellenebilir Transact-SQLişlevleri. Daha fazla bilgi için encryptbypassphrase (Transact-sql)ve decryptbypassphrase (Transact-sql).
Sertifikalar
Genellikle yalnızca sertifika olarak adlandırılan ortak anahtar sertifikası, bir ortak anahtar değerini kişi, aygıt veya ilişkili özel anahtarı bulunduran hizmetin kimliğine bağlayan, dijital olarak imzalanmış bir açıklamadır. Sertifikalar yayımlanır ve sertifika yetkilisi (ca) tarafından imzalanmıştır. Bir CA'dan sertifika alan kişi veya nesneden sertifikanın konusu olduğunu. Genellikle, sertifikaları aşağıdaki bilgileri içerir.
Konunun ortak anahtarı.
Konu, ad ve e-posta adresi gibi tanımlayıcı bilgiler.
Geçerlilik süresi. Bu sertifikanın geçerli kabul zaman uzunluğudur.
Bir sertifikayı yalnızca içeriğinde belirtilen süre için geçerlidir. her sertifika içerir Geçerli dan ve Geçerlilik tarihler. Bu tarihler, geçerlilik süresinin sınırlarını ayarlayın. Bir sertifikanın geçerlilik süresi geçtikten sonra sertifikanın öznesi yeni bir sertifika istemek zorundadır.
Verenin tanımlayıcı bilgiler.
Sertifikayı verenin sayısal imzası.
Ortak anahtarı ile tanımlayıcı bilgileri konu arasındaki bu imzanın geçerliliğini. (Bilgileri dijital olarak imzalama işlemi, bilgilerin yanı sıra gönderenin sahip olduğu bazı gizli bilgilerle birlikte imza denen bir dönüşüm kapsamaktadır.)
Sertifikaların bir yararı, bunlar ayrı konular için bir dizi parola korumak gerek ana rahatlatmak kullanılabilmesidir. Bunun yerine, ana sadece ardından Sertifikalar sınırsız sayıda oturum bir sertifikayı veren güven oluşturur.
Güvenli Web sunucusu gibi bir ana bilgisayar sertifika veren kuruluşu güvenilen kök yetkilisi atar, ana örtülü olarak dağıttığı sertifikalarla bağlantıları oluşturmak için kullandığı ilkelere koşulsuz güvenir. Gerçekte ana veren sertifika öznesinin kimliğini doğruladığına güvenir. Bir ana bilgisayar sertifika veren kuruluşu güvenilen kök yetkilisi güvenilen kök sertifika yetkilisi sertifika deposuna ana bilgisayarın otomatik olarak imzalanan sertifikayı verenin ortak anahtarı içeren sertifikayı veren koyarak belirler. Geçerli bir sertifika yolu güvenilen kök sertifika yetkilisinden varsa ara veya yan sertifika yetkililerinin güvenilir.
Süresi dolmadan önce sertifikayı veren sertifika iptal edebilirsiniz. İptal ortak anahtarı sertifikaya iddia bir kimlik bağlantısını iptal eder. Her veren herhangi bir belirli sertifika geçerliliği denetlenirken, programları tarafından kullanılabilecek bir sertifika iptal listesi tutar.
Otomatik olarak imzalanan sertifikalar tarafından oluşturulan SQL Serverx.509 standart izleyin ve x.509 v1 alanları desteği.
Asimetrik anahtarları
Asimetrik anahtar, karşılık gelen genel anahtar ve özel anahtar yapılır. Her anahtar, diğer tarafından şifrelenmiş verilerin şifresini çözebilir. Asimetrik şifreleme ve şifre çözme nispeten yoğun kaynak, ama onlar daha yüksek bir güvenlik düzeyi daha simetrik şifreleme sağlar. Asimetrik anahtar veritabanında depolamak için bir simetrik anahtarı şifrelemek için kullanılır.
Simetrik anahtarlar
Bir simetrik anahtar şifreleme ve şifre çözme için kullanılan bir anahtardır. Şifreleme ve şifre çözme bir simetrik anahtar kullanarak hızlı ve hassas verilerin veritabanında rutin kullanıma uygun.
Saydam veri şifrelemesi
Saydam veri şifrelemesi (tde) kullanarak bir simetrik anahtar şifreleme özel bir durumdur. tde tüm veritabanı veritabanı şifreleme anahtarı olarak adlandırılan bu simetrik anahtar kullanarak şifreler. Veritabanı şifreleme anahtarı diğer tuşları veya veritabanı ana anahtar veya korumalı sertifikalar bir ekm modülü içinde saklanan bir asimetrik anahtar tarafından korunur. Daha fazla bilgi için, bkz. Saydam veri şifrelemesi (tde).
ilişkili Görevler
SQL Server and Database Encryption Keys How-to Topics
İlişkili İçerik
SQL Server güvenliğini sağlama
Güvenlik işlevler (Transact-sql)