2. 程式人生 > >SQL Server 2016 Always Encrypted 解析

SQL Server 2016 Always Encrypted 解析

阿新 發佈:2019-01-28

首先最好的文件在微軟的網站:

https://docs.microsoft.com/en-us/sql/relational-databases/security/encryption/always-encrypted-database-engine?view=sql-server-2017

always encrypted 有兩種方式, 一種是deterministic 和 randomized. 兩者的區別:

  • Deterministic encryption always generates the same encrypted value for any given plain text value. Using deterministic encryption allows point lookups, equality joins, grouping and indexing on encrypted columns. However, but may also allow unauthorized users to guess information about encrypted values by examining patterns in the encrypted column, especially if there is a small set of possible encrypted values, such as True/False, or North/South/East/West region. Deterministic encryption must use a column collation with a binary2 sort order for character columns.

  • Randomized encryption uses a method that encrypts data in a less predictable manner. Randomized encryption is more secure, but prevents searching, grouping, indexing, and joining on encrypted columns.

如果說要在某加密列上filter 或 join 建議使用Deterministic模式

Develop using Always Encrypted with .NET Framework Data Provider

Query characteristicAlways Encrypted is enabled and application can access the keys and key metadataAlways Encrypted is enabled and application cannot access the keys or key metadataAlways Encrypted is disabled
Queries with parameters targeting encrypted columns.Parameter values are transparently encrypted.
ErrorError
Queries retrieving data from encrypted columns, without parameters targeting encrypted columns.Results from encrypted columns are transparently decrypted. The application receives plaintext values of the .NET datatypes corresponding to the SQL Server types configured for the encrypted columns.ErrorResults from encrypted columns are not decrypted. The application receives encrypted values as byte arrays (byte[]).

所以對於Always Encrypted來說
有兩個開關:
一個是所謂的"Always Encrypted is disabled" , 指的是是否在連結字串里加上圖中的這句話


如果開啟的話, 當查詢加密的欄位時, 如果查詢者有許可權, 會自動解密, 透明傳輸.

另一個是Queries with parameters targeting encrypted columns.

指的是查詢會不會對加密的列進行 where 這樣的操作

declare @a char(10) ='str       '
select * from [dbo].[ttt] where [str] = @a

假設上面的str欄位有使用always encrypted加密的話, 就必須在SSMS中開啟一個選項, 見下圖:


然後查詢才能成功.

在dotnet程式設計時, 可以參考這個連結: 

https://docs.microsoft.com/en-us/sql/relational-databases/security/encryption/develop-using-always-encrypted-with-net-framework-data-provider?view=sql-server-2017

在加密列上進行操作.

補記:

在使用Azure SQL Database時, 可以用Azure Key Vault來來儲存使用者加密的master key(普通sqlserver使用證書)

Deterministic encryption must use a column collation with a binary2 sort order for character columns.

相關推薦

SQL Server 2016 Always Encrypted 解析

首先最好的文件在微軟的網站:https://docs.microsoft.com/en-us/sql/relational-databases/security/encryption/always-encrypted-database-engine?view=sql-serv

SQL Server 2016 Always Encrypted(始終加密)

Always Encrypted 功能旨在保護 Azure SQL Database 或 SQL Server 資料庫中儲存的敏感資料,如信用卡號或身份證號(例如美國社會安全號碼)。 始終加密允許客戶端對客戶端應用程式內的敏感資料進行加密,並且永遠不向 資料庫引擎 ( SQL

SQL Server 2016 發送郵件功能

logs server img 註意 http 基本 3.5 net .net 3.5 --1 安裝好SQL Server 2016 --2 安裝.Net 3.5 由於SQL Server 2016 安裝不提示強制安裝.NET 3.5 但是還是需要安裝,數據庫發送郵件會使用

數據庫原理及應用(SQL Server 2016數據處理)【上海精品視頻課程】

應用 原理 sql 信息無處不在,數據處理無處不用。物質、信息、能源已經成為人類生存和發展的重要保障。數據庫的應用廣度深度及建設規模已經成為衡量一個國家信息化程度的一項重要標誌。數據庫技術是計算機學科的一個重要分支,反映了數據管理的最新技術。數據庫技術與計算機網絡、人工智能一起被稱為計算機三大

SQL Server 2016 共享功能目錄 不可修改

技術分享 麻煩 ima ·· log class 個人電腦 ... png x 個人電腦上沒有安裝MSSQL,以前需要鏈接數據庫寫SQL,都是在{VS ->>視圖->>SQL Server對象資源管理器}直接鏈接數據庫進行訪問操作的... 但是確實有

JSON in SQL Server 2016

sum finall exec log msdn eve har ctu type JSON functions in SQL Server enable you to analyze and query JSON data, transform JSON to relat

Saturday SQL Server 2016 初體驗

主界面 cbt 啟動界面 公眾號 微軟官網 .com 截圖 控制臺 euc 最近在開發一個有關數據庫的項目,我想用SQLite,但是SQLite的設計器不是特別友好,然後據說VS有一個集成的SQLite設計器,但是我用的VS2017親測並沒有,用戶體驗不佳,所以安裝一個SQ

SQL Server 2016新特性:Temporal Table

clu let tween 事務 之間 small 激活 設置 版本 什麽是系統版本的Temporal Table 系統版本的Temporal Table是可以保存歷史修改數據並且可以簡單的指定時間分析的用戶表。 這個Temporal Table就是系統版本的Tempora

SQL Server 2016授權說明-備望

sql server 2016授權說明SQL 2016授權方式有點復雜,說明如下:1、 版本:標準版本和企業版,軟件功能沒有差別,只是標準版有如下限制 :a) 內存最大識別64Gb) CPU最大識別4顆,且最多只能識別16個核心c) 集群只支持2臺主機而企業版則沒有上面的限

SQL Server 2016 Failover + ALwaysOn

所有者 檢測 禁用 ger sha 上進 定義 ecb cef 我們前面寫了很多關於SQL Server相關的文章,近期公司為了提高服務的可用性,就想到了部署AlwaysOn,之前的環境只是部署了SQL Server Failover Cluster,所以決定將雲端放一臺S

SQL Server 2016 Failover Cluster+ ALwaysOn--增多個偵聽器

always nag db4 ger img 51cto roc 今天 配置 我們前面3片文章介紹了SQL Server 2016 Failover Cluster+ ALwaysOn的完整配置,今天我們介紹一下如果給ALwaysOn增加多個客戶端訪問點,常規情況下,每個可

SQL Server 2016 Failover +AlwaysOn 增加數據庫到可用性組

服務器 water path eba dfa instance logback 個數 ilove SQL Server Failover +AlwaysOn 增加數據庫到可用性組前面幾篇文章都已經詳細介紹了SQL Server Failover +AlwaysOn 的配置,

SQL Server 2016新特性:DROP IF EXISTS

obj 宋體 fff article 特性 這一 ble family base 原文:SQL Server 2016新特性:DROP IF EXISTS ?? 在我們寫T-SQL要刪除某個對象(表、存儲過程等)時,一

FineReport9.0定義數據連接(創建與SQL Server 2016數據庫的連接)

數據連接 選擇 用戶 wid jdbc blog ros conf 驗證 1、下載並安裝好FineReport9.0和SQL Server 2016 2、開始——>所有應用——>Microsoft SQL Ser

安裝好SQL Server 2016,沒有自帶SSMS 工具

sqlhttps://docs.microsoft.com/zh-cn/sql/ssms/sql-server-management-studio-changelog-ssms?view=sql-server-2016#previous-ssms-releases 安裝:SQL Server Manageme

配置SQL Server 2016無域AlwaysOn(轉)

命令 火墻 地址 ons 五步 red 圖形 ssp 故障轉移群集 Windows Server 2016 以及 SQL Server 2016出來已有一段時間了,因為Windows Server 2016可以配置無域的Windows群集,因此也能夠以此來配置無域的SQL

SQL server 2016 安裝步驟

1.進入安裝中心:可以參考硬體和軟體要求、可以看到一些說明文件 2.選擇全新安裝模式繼續安裝 3.輸入產品祕鑰:這裡使用演示祕鑰進行 4.在協議中,點選同意,並點選下一步按鈕,繼續安裝 5.進入全域性規則檢查項,這裡可能要花費幾秒鐘,試具體情況而定

sql server 2016新特性 查詢儲存(Query Store)的效能影響

前段時間給客戶處理效能問題,遇到一個新問題, 客戶的架構用的是 alwayson ,並且硬體用的是4路96核心,記憶體1T ,全固態快閃記憶體盤,sql server 2016 。 問題  描述        客戶經常出現系統卡住的現象,從當時跟蹤的語句執行情況看  是補卡住了,但每次的阻塞源頭都不一樣,當

執行登入觸發器(sql server 2016限制IP訪問)後,登入sql server報錯: 由於執行觸發器,登入失敗已將資料庫上下文更改為master。解決方法:用cmd執行刪除登入觸發器

背景: 在cmd中執行osql命令: osql -S 【資料庫伺服器】 -E  -i  mysql.sql 其中mysql.sql內容如下: CREATE LOGIN test WITH PASSWORD = '輸入密碼' GO

SQL Server 2016 AlwaysOn 安裝及配置注意事項

參考部落格: 此部落格寫已經很詳細了,我只是為了記錄一下在實際操作過程中遇到的問題。 1.叢集管理配置 仲裁見證注意:這個路徑的許可權必須everyone角色具有讀寫許可權,否則叢集會出現以下錯誤提示,如果AlwasyOn的網路共享路徑也配置在域伺服器應該避免檔案見