SQL Server 2008中的代碼安全之主密鑰詳解
SQL Server 2008中的代碼安全之主密鑰的相關(guān)知識(shí)是本文我們主要要介紹的內(nèi)容,在SQL Server中的加密由層次結(jié)構(gòu)形式進(jìn)行處理以提供多級(jí)別的安全。SQL Server包含兩個(gè)用于加密數(shù)據(jù)的密鑰類型。如下圖:
1、服務(wù)器主密鑰(Service Master Key):位于層次結(jié)構(gòu)的最頂端,并且在安裝SQL Server時(shí)自動(dòng)創(chuàng)建,用于加密系統(tǒng)數(shù)據(jù)、鏈接的服務(wù)器登錄名以及數(shù)據(jù)庫(kù)主密鑰。在***次通過SQL Server使用服務(wù)主密鑰來(lái)加密證書、數(shù)據(jù)庫(kù)主密鑰或鏈接的服務(wù)器主密碼時(shí),服務(wù)主密鑰會(huì)自動(dòng)生成,并且使用SQL Server服務(wù)賬戶的Windows證書來(lái)生成它。如果必須改變SQL Server服務(wù)賬號(hào),微軟建議使用SQL Server配置管理器,因?yàn)檫@個(gè)工具將執(zhí)行生成新服務(wù)主密鑰需要的合適的解密和加密方法,而且可以使加密層次結(jié)構(gòu)保持完整。服務(wù)主密鑰也用于加密其下的數(shù)據(jù)庫(kù)主密鑰。
2、數(shù)據(jù)庫(kù)主密鑰(Database Master Key):用于加密證書,以及非對(duì)稱密鑰和對(duì)稱密鑰。所有數(shù)據(jù)庫(kù)都可以只包含一個(gè)數(shù)據(jù)庫(kù)主密鑰,在創(chuàng)建它時(shí),通過服務(wù)主密鑰對(duì)其加密。創(chuàng)建非對(duì)稱密鑰時(shí),可以決定在加密非對(duì)稱密鑰對(duì)應(yīng)的私鑰是否包含密碼。如果示包含密碼,將使用數(shù)據(jù)庫(kù)主密鑰來(lái)加密私鑰。
我們看一組例子:
示例一、備份及還原服務(wù)主密鑰
用到以下兩個(gè)sql命令:
BACKUP SERVICE MASTER KEY 導(dǎo)出服務(wù)主密鑰。(http://msdn.microsoft.com/zh-cn/library/ms190337.aspx)
RESTORE SERVICE MASTER KEY從備份文件中導(dǎo)入服務(wù)主密鑰。(http://msdn.microsoft.com/zh-cn/library/ms187972.aspx)
--以下語(yǔ)句備份服務(wù)主密鑰到C:\SqlBackup\SMK.bak.
- BACKUP SERVICE MASTER KEY
- TO FILE = 'C:\SqlBackup\SMK.bak'
- ENCRYPTION BY PASSWORD = 'MakeItAGoodOne!1AB'----注意該密碼可以使用單引號(hào)
- go
--恢復(fù)服務(wù)主密鑰
- RESTORE SERVICE MASTER KEY
- FROM FILE = 'H:\SqlBackup\SMK.bak'
- DECRYPTION BY PASSWORD = 'MakeItAGoodOne!1AB'
- go
如果該密鑰沒有實(shí)際變化,而執(zhí)行密鑰恢復(fù)時(shí),會(huì)收到提示:--The old and new master keys are identical. No data re-encryption is required.
示例二、創(chuàng)建、再生成和刪除數(shù)據(jù)庫(kù)主密鑰
用到以下兩個(gè)sql命令:
CREATE MASTER KEY 創(chuàng)建數(shù)據(jù)庫(kù)主密鑰(http://technet.microsoft.com/zh-cn/library/ms174382.aspx)
ALTER MASTER KEY 重新生成數(shù)據(jù)庫(kù)主密鑰(http://msdn.microsoft.com/en-us/library/ms186937%28SQL.90%29.aspx)
DROP MASTER KEY 刪除數(shù)據(jù)庫(kù)主密鑰(http://msdn.microsoft.com/en-us/library/ms180071.aspx)
當(dāng)數(shù)據(jù)庫(kù)主密鑰被顯式創(chuàng)建時(shí),會(huì)同時(shí)自動(dòng)生成一個(gè)額外生成的安全層,用于加密數(shù)據(jù)庫(kù)中的新證書和非對(duì)稱密鑰,更進(jìn)一步保護(hù)已加密的數(shù)據(jù)。
- IF NOT EXISTS (SELECT name
- FROM sys.databases
- WHERE name = 'BookStore')
- BEGIN
- CREATE DATABASE BookStore
- END
- GO
- USE BookStore
- GO
--創(chuàng)建數(shù)據(jù)庫(kù)主密鑰
- CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'password'
- go
- USE BookStore
- GO
--重新生成數(shù)據(jù)庫(kù)主密鑰
- ALTER MASTER KEY
- [FORCE] REGENERATE WITH ENCRYPTION BY PASSWORD = 'password'
--刪除數(shù)據(jù)庫(kù)主密鑰
- USE BookStore
- GO
- DROP MASTER KEY
注意:如果該數(shù)據(jù)庫(kù)主密鑰仍然被其他數(shù)據(jù)庫(kù)對(duì)象使用,則不能被刪除,這點(diǎn)與架構(gòu)類似。同時(shí)一旦創(chuàng)建數(shù)據(jù)庫(kù)主密鑰,就立刻備份它是一個(gè)好的習(xí)慣。
示例三、備份、恢復(fù)一個(gè)數(shù)據(jù)庫(kù)主密鑰
語(yǔ)法:
BACKUP MASTER KEY導(dǎo)出服務(wù)主密鑰。(http://technet.microsoft.com/en-us/library/ms174387.aspx)
RESTORE MASTER KEY從備份文件中導(dǎo)入數(shù)據(jù)庫(kù)主密鑰。(http://msdn.microsoft.com/en-us/library/ms186336.aspx)
下面是一個(gè)完整示例:
--備份數(shù)據(jù)庫(kù)主密鑰
- USE BookStore
- GO
- CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'MagneticFields!'
- GO
- BACKUP MASTER KEY TO FILE = 'H:\SqlBackup\BookStore_Master_Key.BAK'
- ENCRYPTION BY PASSWORD = '4D280837!!!'
--恢復(fù)數(shù)據(jù)庫(kù)主密鑰
- RESTORE MASTER KEY FROM FILE = 'H:\SqlBackup\BookStore_Master_Key.BAK'
- DECRYPTION BY PASSWORD = '4D280837!!!'
- ENCRYPTION BY PASSWORD = 'MagneticFields!'
與服務(wù)主密鑰類似,如果沒有修改,則會(huì)收到如下提示:The old and new master keys are identical. No data re-encryption is required.
示例四、從數(shù)據(jù)庫(kù)主密鑰刪除服務(wù)主密鑰
當(dāng)一個(gè)數(shù)據(jù)庫(kù)主密鑰被創(chuàng)建時(shí),它被默認(rèn)使用兩種方式加密:服務(wù)主密鑰和被使用CREATE MASTER KEY 命令中使用的密碼。如果你不想使用服務(wù)主密碼加密數(shù)據(jù)庫(kù)主密鑰(這種情況下,擁有sysadmin特權(quán)的login在不知道數(shù)據(jù)庫(kù)主密鑰的前提下將不能訪問加密數(shù)據(jù)),你可以使用ALTER MASTER KEY 命令刪除服務(wù)主密鑰。
簡(jiǎn)略語(yǔ)法如下:
- ALTER MASTER KEY
- ADD ENCRYPTION BY SERVICE MASTER KEY |
- DROP ENCRYPTION BY SERVICE MASTER KEY
由于服務(wù)主密鑰允許擁有足夠許可(如sysadmin)的用戶自動(dòng)使用數(shù)據(jù)庫(kù)主密鑰解密,因此,一旦刪除了服務(wù)主密鑰的加密,而再想修改數(shù)據(jù)庫(kù)主密鑰時(shí),你必須使用一個(gè)新的命令訪問它。OPEN MASTER KEY, 語(yǔ)法如下:OPEN MASTER KEY DECRYPTION BY PASSWORD = 'password'
下面是一個(gè)例子:
ALTER MASTER KEY DROP ENCRYPTION BY SERVICE MASTER KEY一旦執(zhí)行,任何數(shù)據(jù)庫(kù)主密鑰的修改需要使用OPEN MASTER KEY的口令訪問,這樣是為了重新應(yīng)用服務(wù)主密鑰的加密.
OPEN MASTER KEY DECRYPTION BY PASSWORD = 'MagneticFieldS!'一旦服務(wù)主密鑰被用于加密數(shù)據(jù)庫(kù)主密鑰,數(shù)據(jù)庫(kù)主密鑰不再需要被顯式打開或關(guān)閉。
ALTER MASTER KEY ADD ENCRYPTION BY SERVICE MASTER KEY關(guān)閉數(shù)據(jù)庫(kù)主密鑰CLOSE MASTER KEY.
小結(jié):
1、本文主要介紹服務(wù)主密鑰的備份與還原,數(shù)據(jù)庫(kù)的主密鑰的創(chuàng)建、重新生成、刪除和備份、還原。
2、一旦創(chuàng)建主密鑰,立刻備份它是一個(gè)很好的習(xí)慣。
關(guān)于SQL Server 2008中的代碼安全之主密鑰的知識(shí)就介紹到這里了,希望本次的介紹能夠?qū)δ兴斋@!
【編輯推薦】
分享到微信 
分享到微博
