对 sql server 数据库的备份进行加密

嗯，最近在研究数据库备份相关的东西，考虑到应该为数据库备份加个密，就准备从网上搜索一下看看有什么好办法，没想到还挺乱。。。

首先，我从网上搜到的，对数据库备份加密的方法，主要有三种：

 

一、在使用 BACKUP 语句时，添加 PASSWORD 参数【此方法适用于 sql server 2012 之前的版本（不包含 2012）】

不过呢，其实这个 PASSWORD 参数的加密，并非咱们想象中的对数据完整的加密。

根据 MSDN 中的介绍：https://msdn.microsoft.com/zh-cn/library/ms186865(v=sql.100).aspx

貌似此密码仅仅是给备份附加了一个密码，并无对备份数据加密，若是该密码直接被修改替换，备份中的数据仍然能够被正确的读取，因此，其实加密的意义不是很大。

 

二、对数据库启用 透明数据加密（TDE）【此方法适用于 sql server 2008 及之后的版本（含2008）】

注：仅 sql server enterprise（企业版）支持此功能。

这个TDE吧，嗯，很是的好，由于它不只仅是对备份加密，它是对整个数据库进行了加密，并且既然是“透明”，也就是说不会影响到任何对数据库的操做，正常的对数据库操做（增删改查什么的），还有备份恢复什么的，都不须要特别的考虑加密问题。只有离开了当前的数据库服务器，就会发现，什么都作不了。须要在新的服务器中导入原来的加密证书便可正常使用。

MSDN 相关文档：https://msdn.microsoft.com/zh-cn/library/bb934049.aspx

 

要启用透明加密，须要如下几个步骤：

一、在 master 数据库中，添加 数据库主密钥：

更多：https://msdn.microsoft.com/zh-cn/library/ms174382.aspx

USE master;
CREATE MASTER KEY ENCRYPTION BY PASSWORD = '$$test$$';

其中，Password = '' 这里就是在设置主密钥，请根据须要设置高强度密码。

修改主密钥可使用：

更多：https://msdn.microsoft.com/zh-cn/library/ms186937.aspx

use master;
ALTER MASTER KEY REGENERATE WITH ENCRYPTION BY PASSWORD = '$$123123$$';

二、在 master 数据库中，添加 加密数据库用的证书：

更多：https://msdn.microsoft.com/zh-cn/library/ms187798(v=sql.120).aspx

USE master;
CREATE CERTIFICATE TestCert WITH SUBJECT = '测试证书';

其中，TestCert 是证书名称，能够根据须要随便起名，可是要记住！Subject 是主题貌似，随便写就能够了，长度最好不要超过128字节。

三、在 要加密的数据库 中，设置 证书以及加密算法：

更多：https://msdn.microsoft.com/zh-cn/library/bb677241.aspx

USE TestDB
CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_128
ENCRYPTION BY SERVER CERTIFICATE TestCert;

其中，TestCert 就是上一步中添加的证书名称，Algorithm 是加密算法，有：AES_128 | AES_192 | AES_256 | TRIPLE_DES_3KEY ，请根据须要选择强度适合的加密算法。

四、对 要加密的数据库 启用加密：

ALTER DATABASE TestDB SET ENCRYPTION ON;

嗯，通过以上步骤，对数据库的加密就完成了。

想要查看当前数据库服务器中有哪些数据库已被加密，可执行如下语句：

SELECT DB_NAME(database_id) AS DatabaseName, * FROM sys.dm_database_encryption_keys;

 

不过，还得考虑后续恢复数据库或者转移到其它服务器的问题。

五、首先要从 master 数据库中，备份加密证书：

更多：https://msdn.microsoft.com/zh-cn/library/ms178578.aspx

USE master;
BACKUP CERTIFICATE TestCert TO FILE = 'D:\TestCert.cer'  
WITH PRIVATE KEY ( FILE = 'D:\TestCert.pkey', ENCRYPTION BY PASSWORD = '$$certpwd$$' );

嗯，证书名称，保存的文件名，同时保存一下私钥，私钥的文件名，以及加密私钥的密码（此密码用于保护私钥，恢复时使用）。

六、在其余数据库服务器中，仍然首先创建 数据库主密钥，同第1步操做；

七、而后，开始从文件中恢复证书：

USE master;
CREATE CERTIFICATE TestCert FROM FILE = 'D:\TestCert.cer'
WITH PRIVATE KEY ( FILE = 'D:\TestCert.pkey', DECRYPTION BY PASSWORD = '$$certpwd$$');

是的，恢复证书其实就是从文件建立证书，证书名称、文件路径、私钥文件路径、以及解密私钥的密码（备份加密时设置的）。

八、而后你就能够附加数据库、恢复数据库什么的了~

须要注意的是，数据库加密的关键是 那个证书，数据库主密钥 是用来保护数据库信息的，好比证书的存放什么的，并不直接关系到数据库的加密。

因此，必定要备份好证书！！！否则别到时候哭着解密不了数据库。

这个部分的参考文章：http://blog.csdn.net/ws_hgo/article/details/6927152

 

最后呢，说说这个方法的很差，那就是这个方法是对整个数据库的数据加密，包括日志什么的，可能会为cpu带来必定的负担。

并且在备份的时候由于此时数据库已经处于加密状态，因此没法进行太多的压缩了，可能备份文件体积较大。

其实我比较关心的一点是，这个 透明数据加密（TDE） 只有 Enterprise （企业版）拥有，其它版本是木有的~

 

三、直接对备份进行加密【此方法适用于 sql server 2014 及之后的版本（应该？）】

这个方法和第一种比较像，直接在备份时加参数，仅仅对备份加密，不会加密数据库，可是呢，也须要跟第二种方法同样，须要先建立证书。

一、算了，要不我就不重复写了，请看第二种方法的第1步。。。

二、请参见第二种方法的第2步。。。

三、恩恩，此时就能够开始备份数据库了！

BACKUP DATABASE TestDB TO DISK ='D:\TestDB.bak' WITH COMPRESSION,
ENCRYPTION (ALGORITHM = AES_256, SERVER CERTIFICATE = TestCert);

其中，前半句应该很熟悉，就是备份数据库的语句，Compression 是压缩选项

后半句就是加密，Algorithm 是加密算法，TestCert 就是咱们添加的证书了。

 

备份就这样建完了。固然也得涉及到在其它服务器上的恢复问题。

四、好吧，我又懒了，其实就是第二种方法中的第 五、六、7 步，备份证书，恢复证书。。。

五、嗯，又能够愉快的恢复备份了~

这个部分的参考文章：http://www.cnblogs.com/CareySon/p/3853016.html

 

呵呵，前面说了这么多，其实直接说这个多好，是吧，首先在版本方面，比TDE多了两个版本，可是仍是没有我想要的。。。

其次呢，压缩也能够用的上了，不过备份压缩与备份加密支持的版本是同样的。。。

还有呢，只支持 2014（和之后的版本？），想必如今应该有很多数据库仍是 2008 甚至 2005。。。

 

总结

因此说呢，其实这几个方法都不是太满意。。。你们就根据本身的状况使用吧，至于我呢。。。根据个人需求，我准备仍是用zip压缩加密一下吧。。。

哎，浪费了一个上午研究数据库备份加密，又浪费了一个中午写这篇文章，算是一个上午没白浪费吧，没准之后用上呢。。。