SQL Server 2008中SQL應(yīng)用系列--目錄索引
在SQL Server中的加密由層次結(jié)構(gòu)形式進(jìn)行處理以提供多級(jí)別的安全。SQL Server包含兩個(gè)用于加密數(shù)據(jù)的密鑰類型。如下圖:
1、服務(wù)器主密鑰(Service Master Key),位于層次結(jié)構(gòu)的最頂端,并且在安裝SQL Server時(shí)自動(dòng)創(chuàng)建,用于加密系統(tǒng)數(shù)據(jù)、鏈接的服務(wù)器登錄名以及數(shù)據(jù)庫(kù)主密鑰。在第一次通過SQL Server使用服務(wù)主密鑰來(lái)加密證書、數(shù)據(jù)庫(kù)主密鑰或鏈接的服務(wù)器主密碼時(shí),服務(wù)主密鑰會(huì)自動(dòng)生成,并且使用SQL Server服務(wù)賬戶的Windows證書來(lái)生成它。如果必須改變SQL Server服務(wù)賬號(hào),微軟建議使用SQL Server配置管理器,因?yàn)檫@個(gè)工具將執(zhí)行生成新服務(wù)主密鑰需要的合適的解密和加密方法,而且可以使加密層次結(jié)構(gòu)保持完整。服務(wù)主密鑰也用于加密其下的數(shù)據(jù)庫(kù)主密鑰。
2、數(shù)據(jù)庫(kù)主密鑰(Database Master Key),用于加密證書,以及非對(duì)稱密鑰和對(duì)稱密鑰。所有數(shù)據(jù)庫(kù)都可以只包含一個(gè)數(shù)據(jù)庫(kù)主密鑰,在創(chuàng)建它時(shí),通過服務(wù)主密鑰對(duì)其加密。創(chuàng)建非對(duì)稱密鑰時(shí),可以決定在加密非對(duì)稱密鑰對(duì)應(yīng)的私鑰是否包含密碼。如果示包含密碼,將使用數(shù)據(jù)庫(kù)主密鑰來(lái)加密私鑰。
我們看一組例子:
示例一、備份及還原服務(wù)主密鑰
用到以下兩個(gè)sql命令:
BACKUP SERVICE MASTER KEY 導(dǎo)出服務(wù)主密鑰。( http://msdn.microsoft.com/zh-cn/library/ms190337.aspx )
RESTORE SERVICE MASTER KEY從備份文件中導(dǎo)入服務(wù)主密鑰。( http://msdn.microsoft.com/zh-cn/library/ms187972.aspx )
如果該密鑰沒有實(shí)際變化,而執(zhí)行密鑰恢復(fù)時(shí),會(huì)收到提示:
--The old and new master keys are identical. No data re-encryption is required.
示例二、創(chuàng)建、再生成和刪除數(shù)據(jù)庫(kù)主密鑰
用到以下兩個(gè)sql命令:
CREATE MASTER KEY 創(chuàng)建數(shù)據(jù)庫(kù)主密鑰( http://technet.microsoft.com/zh-cn/library/ms174382.aspx )
ALTER MASTER KEY 重新生成數(shù)據(jù)庫(kù)主密鑰( http://msdn.microsoft.com/en-us/library/ms186937%28SQL.90%29.aspx )
DROP MASTER KEY 刪除數(shù)據(jù)庫(kù)主密鑰( http://msdn.microsoft.com/en-us/library/ms180071.aspx )
當(dāng)數(shù)據(jù)庫(kù)主密鑰被顯式創(chuàng)建時(shí),會(huì)同時(shí)自動(dòng)生成一個(gè)額外生成的安全層,用于加密數(shù)據(jù)庫(kù)中的新證書和非對(duì)稱密鑰,更進(jìn)一步保護(hù)已加密的數(shù)據(jù)。
注意:如果該數(shù)據(jù)庫(kù)主密鑰仍然被其他數(shù)據(jù)庫(kù)對(duì)象使用,則不能被刪除,這點(diǎn)與架構(gòu)類似。
同時(shí)一旦創(chuàng)建數(shù)據(jù)庫(kù)主密鑰,就立刻備份它是一個(gè)好的習(xí)慣。
示例三、備份、恢復(fù)一個(gè)數(shù)據(jù)庫(kù)主密鑰
語(yǔ)法:
BACKUP MASTER KEY導(dǎo)出服務(wù)主密鑰。( http://technet.microsoft.com/en-us/library/ms174387.aspx )
RESTORE MASTER KEY從備份文件中導(dǎo)入數(shù)據(jù)庫(kù)主密鑰。( http://msdn.microsoft.com/en-us/library/ms186336.aspx )
下面是一個(gè)完整示例:
與服務(wù)主密鑰類似,如果沒有修改,則會(huì)收到如下提示:
The old and new master keys are identical. No data re-encryption is required.
示例三、從數(shù)據(jù)庫(kù)主密鑰刪除服務(wù)主密鑰
當(dāng)一個(gè)數(shù)據(jù)庫(kù)主密鑰被創(chuàng)建時(shí),它被默認(rèn)使用兩種方式加密:服務(wù)主密鑰和被使用CREATE MASTER KEY 命令中使用的密碼。如果你不想使用服務(wù)主密碼加密數(shù)據(jù)庫(kù)主密鑰( 這種情況下,擁有sysadmin特權(quán)的login在不知道數(shù)據(jù)庫(kù)主密鑰的前提下將不能訪問加密數(shù)據(jù) ),你可以使用ALTER MASTER KEY 命令刪除服務(wù)主密鑰。
簡(jiǎn)略語(yǔ)法如下:
ALTER MASTER KEY
ADD ENCRYPTION BY SERVICE MASTER KEY |
DROP ENCRYPTION BY SERVICE MASTER KEY
由于服務(wù)主密鑰允許擁有足夠許可(如sysadmin)的用戶自動(dòng)使用數(shù)據(jù)庫(kù)主密鑰解密,因此,一旦刪除了服務(wù)主密鑰的加密,而再想修改數(shù)據(jù)庫(kù)主密鑰時(shí),你必須使用一個(gè)新的命令訪問它。OPEN MASTER KEY, 語(yǔ)法如下:
OPEN MASTER KEY DECRYPTION BY PASSWORD = 'password'
下面是一個(gè)例子:
小結(jié):
1、本文主要介紹服務(wù)主密鑰的備份與還原,數(shù)據(jù)庫(kù)的主密鑰的創(chuàng)建、重新生成、刪除和備份、還原。
2、一旦創(chuàng)建主密鑰,立刻備份它是一個(gè)很好的習(xí)慣。
下文將主要介紹非對(duì)稱密鑰加密(Asymmetric Key Encryption)
助人等于自助! 3w@live.cn
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號(hào)聯(lián)系: 360901061
您的支持是博主寫作最大的動(dòng)力,如果您喜歡我的文章,感覺我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對(duì)您有幫助就好】元
