淺析SQL Server 2008中的代碼安全之四:主密鑰
在SQL Server中的加密由層次結(jié)構(gòu)形式進(jìn)行處理以提供多級別的安全。SQL Server包含兩個用于加密數(shù)據(jù)的密鑰類型。如下圖:
1、服務(wù)器主密鑰(Service Master Key),位于層次結(jié)構(gòu)的最頂端,并且在安裝SQL Server時自動創(chuàng)建,用于加密系統(tǒng)數(shù)據(jù)、鏈接的服務(wù)器登錄名以及數(shù)據(jù)庫主密鑰。在***次通過SQL Server使用服務(wù)主密鑰來加密證書、數(shù)據(jù)庫主密鑰或鏈接的服務(wù)器主密碼時,服務(wù)主密鑰會自動生成,并且使用SQL Server服務(wù)賬戶的Windows證書來生成它。如果必須改變SQL Server服務(wù)賬號,微軟建議使用SQL Server配置管理器,因為這個工具將執(zhí)行生成新服務(wù)主密鑰需要的合適的解密和加密方法,而且可以使加密層次結(jié)構(gòu)保持完整。服務(wù)主密鑰也用于加密其下的數(shù)據(jù)庫主密鑰。
2、數(shù)據(jù)庫主密鑰(Database Master Key),用于加密證書,以及非對稱密鑰和對稱密鑰。所有數(shù)據(jù)庫都可以只包含一個數(shù)據(jù)庫主密鑰,在創(chuàng)建它時,通過服務(wù)主密鑰對其加密。創(chuàng)建非對稱密鑰時,可以決定在加密非對稱密鑰對應(yīng)的私鑰是否包含密碼。如果示包含密碼,將使用數(shù)據(jù)庫主密鑰來加密私鑰。
我們看一組例子:
示例一、備份及還原服務(wù)主密鑰
用到以下兩個sql命令:
BACKUP SERVICE MASTER KEY 導(dǎo)出服務(wù)主密鑰。(http://msdn.microsoft.com/zh-cn/library/ms190337.aspx)
RESTORE SERVICE MASTER KEY從備份文件中導(dǎo)入服務(wù)主密鑰。(http://msdn.microsoft.com/zh-cn/library/ms187972.aspx)
- --以下語句備份服務(wù)主密鑰到C:\SqlBackup\SMK.bak
- BACKUP SERVICE MASTER KEY
- TO FILE = 'C:\SqlBackup\SMK.bak'
- ENCRYPTION BY PASSWORD = 'MakeItAGoodOne!1AB'----注意該密碼可以使用單引號
- go
- --恢復(fù)服務(wù)主密鑰
- RESTORE SERVICE MASTER KEY
- FROM FILE = 'H:\SqlBackup\SMK.bak'
- DECRYPTION BY PASSWORD = 'MakeItAGoodOne!1AB'
- go
如果該密鑰沒有實際變化,而執(zhí)行密鑰恢復(fù)時,會收到提示:
--The old and new master keys are identical. No data re-encryption is required.
示例二、創(chuàng)建、再生成和刪除數(shù)據(jù)庫主密鑰
用到以下兩個sql命令:
CREATE MASTER KEY 創(chuàng)建數(shù)據(jù)庫主密鑰(http://technet.microsoft.com/zh-cn/library/ms174382.aspx)
ALTER MASTER KEY 重新生成數(shù)據(jù)庫主密鑰(http://msdn.microsoft.com/en-us/library/ms186937%28SQL.90%29.aspx)DROP MASTER KEY 刪除數(shù)據(jù)庫主密鑰(http://msdn.microsoft.com/en-us/library/ms180071.aspx)
當(dāng)數(shù)據(jù)庫主密鑰被顯式創(chuàng)建時,會同時自動生成一個額外生成的安全層,用于加密數(shù)據(jù)庫中的新證書和非對稱密鑰,更進(jìn)一步保護(hù)已加密的數(shù)據(jù)。
- IF NOT EXISTS (SELECT name
- FROM sys.databases
- WHERE name = 'BookStore')
- BEGIN
- CREATE DATABASE BookStore
- END
- GO
- USE BookStore
- GO
- --創(chuàng)建數(shù)據(jù)庫主密鑰
- CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'password'
- go
- USE BookStore
- GO
- --重新生成數(shù)據(jù)庫主密鑰
- ALTER MASTER KEY
- [FORCE] REGENERATE WITH ENCRYPTION BY PASSWORD = 'password'
- --刪除數(shù)據(jù)庫主密鑰
- USE BookStore
- GO
- DROP MASTER KEY
同時一旦創(chuàng)建數(shù)據(jù)庫主密鑰,就立刻備份它是一個好的習(xí)慣。
示例三、備份、恢復(fù)一個數(shù)據(jù)庫主密鑰
語法:
BACKUP MASTER KEY導(dǎo)出服務(wù)主密鑰。(http://technet.microsoft.com/en-us/library/ms174387.aspx)
RESTORE MASTER KEY從備份文件中導(dǎo)入數(shù)據(jù)庫主密鑰。(http://msdn.microsoft.com/en-us/library/ms186336.aspx)
下面是一個完整示例:
- --備份數(shù)據(jù)庫主密鑰
- USE BookStore
- GO
- CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'MagneticFields!'
- GO
- BACKUP MASTER KEY TO FILE = 'H:\SqlBackup\BookStore_Master_Key.BAK'
- ENCRYPTION BY PASSWORD = '4D280837!!!'
- --恢復(fù)數(shù)據(jù)庫主密鑰
- RESTORE MASTER KEY FROM FILE = 'H:\SqlBackup\BookStore_Master_Key.BAK'
- DECRYPTION BY PASSWORD = '4D280837!!!'
- ENCRYPTION BY PASSWORD = 'MagneticFields!'
The old and new master keys are identical. No data re-encryption is required.
示例三、從數(shù)據(jù)庫主密鑰刪除服務(wù)主密鑰
當(dāng)一個數(shù)據(jù)庫主密鑰被創(chuàng)建時,它被默認(rèn)使用兩種方式加密:服務(wù)主密鑰和被使用CREATE MASTER KEY 命令中使用的密碼。如果你不想使用服務(wù)主密碼加密數(shù)據(jù)庫主密鑰(這種情況下,擁有sysadmin特權(quán)的login在不知道數(shù)據(jù)庫主密鑰的前提下將不能訪問加密數(shù)據(jù)),你可以使用ALTER MASTER KEY 命令刪除服務(wù)主密鑰。
簡略語法如下:
- ALTER MASTER KEY
- ADD ENCRYPTION BY SERVICE MASTER KEY |
- DROP ENCRYPTION BY SERVICE MASTER KEY
由于服務(wù)主密鑰允許擁有足夠許可(如sysadmin)的用戶自動使用數(shù)據(jù)庫加密,因此,一旦刪除了服務(wù)主密鑰的加密,而再想修改數(shù)據(jù)庫主密鑰時,你必須使用一個新的命令訪問它。OPEN MASTER KEY, 語法如下:
- OPEN MASTER KEY DECRYPTION BY PASSWORD = 'password'
下面是一個例子:
- ALTER MASTER KEY DROP ENCRYPTION BY SERVICE MASTER KEY
- --一旦執(zhí)行,任何數(shù)據(jù)庫主密鑰的修改需要使用OPEN MASTER KEY的口令訪問,這樣是為了重新應(yīng)用服務(wù)主密鑰的加密
- OPEN MASTER KEY DECRYPTION BY PASSWORD = 'MagneticFieldS!'
- --一旦服務(wù)主密鑰被用于加密數(shù)據(jù)庫主密鑰,數(shù)據(jù)庫主密鑰不再需要被顯式打開或關(guān)閉。
- ALTER MASTER KEY ADD ENCRYPTION BY SERVICE MASTER KEY
- --關(guān)閉數(shù)據(jù)庫主密鑰
- CLOSE MASTER KEY
小結(jié):
1、本文主要介紹服務(wù)主密鑰的備份與還原,數(shù)據(jù)庫的主密鑰的創(chuàng)建、重新生成、刪除和備份、還原。
2、一旦創(chuàng)建主密鑰,立刻備份它是一個很好的習(xí)慣。
下文將主要介紹非對稱密鑰加密(Asymmetric Key Encryption)
原文出處:http://www.cnblogs.com/downmoon/archive/2011/03/10/1979786.html
【編輯推薦】
