在初始化Reporting Service时,SSRS会自动创建数据库[ReportServer],用于存储报表元数据,报表订阅,以及凭证(Credential)和连接信息等身份验证信息,身份验证数据非常重要,为了保护敏感数据,Reporting Service支持对称性密钥(Symmetric keys)加密算法。对称性密钥在报表服务器初始化时生成,用于保护敏感数据,而公有(Public)和私有(Private)密钥对是操作系统生成的,成对出现,每个报表服务器实例都有一对,用于保护对称性密钥。
报表服务器的加密管理,主要是对称性密钥的管理,打开Reporting Service配置管理器(Reporting Service Configuration Manager,简称RSCM),切换到Encryption Keys选项卡,能够看到对称性密钥管理的界面,主要是密钥的备份,还原,更新和删除。
很久之前,写过一篇不成熟的文章《SSRS配置1:凭证和邮件》,分享的内容是如何配置报表服务器的凭证和邮件,现在很少在项目中用到SSRS,为了和遗忘做抗争,遂有此续文。
一,报表服务器加密的流程
报表服务器首先通过System.Data.SqlClient 访问ReportServer数据库,以获取跟报表服务有关的数据,此时,报表服务器需要对连接到ReportServer数据库的信息进行加密;ReportServer数据库和对称性密钥是一一对应的,
在连接到ReportServer数据库之后,报表服务执行报表文件,报表文件需要访问外部数据源去获取业务数据,所谓外部数据源,是指除了ReportServer数据库之外的数据,此时,报表服务器需要连接到外部数据源,该连接信息是非常敏感的,必须加密;
然后,连接信息的加密需要使用对称性密钥,而这个密钥是非常重要的,必须保护对称性密钥,此时,报表服务器需要加密对称性密钥;
最后,为了避免密钥丢失,或密钥恢复,必须对密钥进行备份,报表服务器要求在读取密钥的备份文件时,必须输入密码才能访问。WOW,保护的太多了吧。
二,加密的数据
报表服务把加密之后数据存储到ReportServer数据库和配置文件中,大部分的加密数据是凭证和连接信息,用于访问报表服务器之外的数据。
1,连接到ReportServer数据库
每个报表服务器实例都需要访问ReportServer数据库,获取报表元数据,订阅等数据,报表服务器连接到ReportServer数据库需要连接信息和凭证,这些数据在报表服务的配置阶段加密存储。报表服务器把连接信息加密存储在配置文件 rsreportserver.config 中,配置文件存储的路径是固定的,例如,在SQL Server 2012版本中,配置文件存放在:
C:\Program Files\Microsoft SQL Server\MSRS11.MSSQLSERVER\Reporting Services\ReportServer
报表服务器使用5个配置选项来存储加密的连接数据:
<Dsn></Dsn> <ConnectionType></ConnectionType> <LogonUser></LogonUser> <LogonDomain></LogonDomain> <LogonCred></LogonCred>
用户必须使用RSCM为这些配置信息创建加密数据,在RSCM中,通过点击“Change Credentials”按钮修改连接凭证,凭证类型共有三种:Service,Windows,SQL Server,最简单的凭证类型是Service,这是说,Service Account和连接ReportServer数据库的凭证是同一个Windows域账户。
2,报表服务器访问外部资源的凭证
报表服务器必须模拟凭证才能访问外部数据,外部数据大多数是为数据驱动(Data-Driven)式订阅提供报表数据,例如,在报表中需要访问其他数据源,以执行查询,连接外部数据源的连接信息是在创建报表时指定,例如,通过Report Builder创建报表,在报表文件中指定数据源的连接信息;在报表文件发布(Publish)到报表服务器之后,用户可以修改数据源的连接信息。当通过网络发送连接请求时,报表服务器将会模拟数据源指定的身份验证信息,去访问外部数据源,以执行查询语句,获取所需数据。
报表服务器把外部数据源的连接信息加密存储到ReportServer数据库,加密算法使用对称性密钥(Symmetric Key)实现。
3,对称性密钥
对称性密钥是在报表服务器配置期间生成的,报表服务器使用该密钥对ReportServer数据库中的数据进行加密和解密。为了安全,在管理上,有时需要修改Service Account的密码,由于对称性密钥跟Service Account有关系,在修改Service Acount时,需要注意密钥失效的问题。当通过Windows Services修改报表服务的Service Account时,对称性密钥会失效,进而影响数据的加密和解密。为了避免这个问题,请使用RSCM修改Service账户,这样,密钥会自动更新。
三,对称性密钥的保护
存储在ReportServer中的数据使用对称性密钥加密,而对称性密钥被Windows 操作系统使用另外一种加密算法保护起来:Windows操作系统持有Public密钥,用于对对称性密钥进行加密,报表服务器的Windows Service持有Private密钥,用于对对称性密钥进行解密,SSRS通过这种双重加密机制,保护用户的报表数据。
在对报表服务器进行横向扩展(Scale-Out)部署时,多台报表服务器实例使用相同的ReportServer数据库,一个对称性密钥用于多个报表服务器节点。为了加入到横向部署模式中,每个节点都必须创建一个对称性密钥的副本,并把该副本存储到共享的ReportServer数据库中。虽然一个对称性密钥被多个服务器节点使用,但是每个报表服务器的密钥都是不同的,这是因为,每台服务器持有的Public密钥是不同的。
四,对称性密钥的管理
1,密钥的备份和还原
备份对称性密钥,实际上是把密钥写入到你指定的文件中,并指定读取备份文件的密码。报表服务器强制要求用户必须输入密码才能把密钥备份到Disk文件中。用户最好把密钥备份文件存放到安全的地方,在使用备份文件时,必须输入密码才能解锁文件。
备份对称性密钥是为了以后的还原使用,在遇到以下事件发生时,用户需要还原对称性密钥:
- 变更报表服务器的Service的用户名,或重置账户密码;
- 重命名SQL Server实例的名称,报表服务器的实例名是基于SQL Server实例名;
- 把报表服务器转移到其他SQL Server实例上,或使用不同的ReportServer数据库;
- 还原报表服务器;
2,密钥的删除和重建
当不能还原对称性密钥时,报表服务器将不能解密和使用ReportServer数据库中存储的加密数据,为了尽快使报表服务器恢复到正常的工作状态,必须把已经加密的数据删除,然后重新创建新的对称性密钥,重新指定需要的数据(连接信息和凭证)。删除对称性密钥意味着,报表服务器必须删除存储在ReportServer数据库中跟报表服务器有关的对称性密钥信息,以及所有的加密数据,但是,未加密的数据不会被删除,完整保留下来,只有使用对称性密钥加密的数据(Content)才会被删除。当删除密钥时,报表服务器自动初始化,增加一个新的对称性密钥。
在删除对称性密钥时,报表服务器删除的数据主要是:
- Connection strings in shared data sources are deleted.
- Stored credentials are deleted.
- Subscriptions are deactivated.
在删除对称性密钥之后,为了恢复报表数据,必须重新指定新的数据,使用新的密钥加密:
- For each shared data source, you must retype the connection string.
- For each report and shared data source that uses stored credentials, you must retype the user name and password, and then save.
- For each data-driven subscription, open each subscription and retype the credentials to the subscription database.
- For subscriptions that use encrypted data, open each subscription and retype credentials. Subscriptions that use Report Server e-mail delivery do not use encrypted data and are unaffected by the key change.
补充说明:执行账户(Execution Account)一般不需要配置,该账户用于没有凭证的连接,当需要连接远程物理机时,报表没有没有凭证可用,此时,报表服务器会使用执行账户访问数据源。
This account is used when a connection to a remote computer is required and no other credentials are available to make the connection. This account is primarily used to support unattended report processing for reports that do not use credentials to access a data source. If you create reports based on data sources that do not require or use credentials when accessing data, you must configure this account for the report server to use.
参考文档:
SSRS Encryption Keys - Manage Encryption Keys