用EKM提升SQL Server 2008数据库安全。-onlyzq-ChinaUnix博客

相濡以沫onlyzq.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

onlyzq

博客访问： 2343103
博文数量： 2110
博客积分： 18861
博客等级：上将
技术积分： 24420
用户组：普通用户
注册时间： 2008-04-05 18:23

文章分类

全部博文（2110）

DataBase（345）

PostgreSQL（4）

Oracle（271）

MySQL（62）
DataBase（0）

PostgreSQL（0）

Oracle（0）

MySQL（0）
七七八八（667）

健康百年（155）

家长里短（12）

人在职场（209）

社会百态（222）

历史疑云（26）

体育人间（4）

时尚天地（7）

娱乐星空（32）
七七八八（80）

健康百年（0）

家长里短（0）

人在职场（0）

社会百态（0）

历史疑云（0）

体育人间（0）

时尚天地（0）

娱乐星空（0）
其它技术（363）

Cloud Computing（0）

Java（98）

Storage（75）

Script（0）

JavaScript（31）

Html/Css（36）

ProjectManager（2）

Hareware（10）

Network（18）
其它技术（0）

Cloud Computing（0）

Java（0）

Storage（0）

Script（0）

JavaScript（0）

Html/Css（0）

ProjectManager（0）

Hareware（0）

Network（0）
Microsoft（176）

PowerShell（0）

Office System（28）

ISA/Forefront（4）

SCCM/SMS/BDD/MDT（0）

Exchange（22）

SQL Server（34）

Windows Client（56）

Windows Server（12）
Microsoft（0）

PowerShell（0）

Office System（0）

ISA/Forefront（0）

SCCM/SMS/BDD/MDT（0）

Exchange（0）

SQL Server（0）

Windows Client（0）

Windows Server（0）
Linux/Unit/BSD（211）

IDS（0）

SELinux（0）

Squid（0）

FTP（0）

Nagios/Cacti/MRT（0）

Virtualization（0）

Nginx（0）

VPN（0）

System（0）

Shell（0）

PAM（0）

OpenLDAP（0）

Mail（0）

IPTables（0）

Cluster（0）

Bind（0）

Kernel（0）

Samba（0）

Apache（0）
Linux/Unit/BSD（262）

IDS（3）

SELinux（2）

Squid（6）

FTP（8）

Nagios/Cacti/MRT（18）

Virtualization（27）

Nginx（14）

VPN（2）

System（24）

Shell（90）

PAM（0）

OpenLDAP（0）

Mail（12）

IPTables（6）

Cluster（4）

Bind（0）

Kernel（18）

Samba（2）

Apache（26）
未分配的博文（6）

文章存档

2011年（139）

2010年（1971）

我的朋友

相关博文

用EKM提升SQL Server 2008数据库安全。

分类：数据库开发技术

2010-02-03 10:33:49

　　1、为什么要增加EKM功能?

　　我们知道，为防止数据库和日志文件被无权限的人访问或黑客攻击，加密是一种很重要的手段。此前的SQL Server自带的数据加密功能可以加密文件，但它将密钥存储在SQL Server中，这带来了安全隐患。

用EKM提升SQL Server 2008数据库<a class= 安全" src="" border=1>

　　SQL Server 2005并不允许在本地SQL Server 2005加密环境中使用第三方的密钥或密钥管理程序。这样，如果公司在其它应用中使用第三方加密产品对数据进行了加密，而你却不能用这个产品对SOL Server的数据进行加密或管理SQL Server的密钥，这是相当麻烦的。

　　EKM弥补了这个弱点，它允许密钥存储在数据库之外，包括特殊的硬件(例如智能卡、USB设备)或被称为硬件安全模块(Hardware Security Modules，HSM)的软件模块中。因此，在SQL Server 2008中引入EKM是非常实用的。

　　2、将密钥存储在HSM中

　　EKM功能在SQL Server 2008的企业版、开发版、评估版中都可用，它允许密钥存储在数据库之外的HSM中，与加密数据分开存储。

　　把密钥存储在HSM中可以防止它们被数据库所有者和其他高级别数据库用户访问，因为这些用户没有权限访问存储密钥的HSM。只有那些在加密解密过程中拥有HSM设备权限的最终用户，才能用这些密钥加密新数据或查看现有巳加密数据(需要注意的是：如果HSM 设备没有使用过，sysadmin用户组的成员仍然可以访问密钥)。如果要让用户可以使用第三方的HSM，需要在SQL Server 2008的EKM中将这些第三方厂商的EKM/HSM模块注册到SOL Server 2008中。

　　3、如何启用/禁用EKM?

　　(1).启用EKM

　　要在数据库中使用EKM，必须先用系统存储过程sp_configure来启用SOL Server实例的EKM功能。

　　启用EKM提供程序高级选项

sp_configure 'show advanced options',1;
GO
RECONFIGURE;
GO

　　启用EKM提供程序

sp_configure 'EKM provider enabled',1;
GO
RECONFIGURE;
GO

　　启用EKM之后，要创建一个EKM Provider(或者更多，你可能用到了多个HSM )，使用新的CREATE CRYPTOGRAPHIC PROVIDER的DDL(Data Definition Language，数据定义语言)语句。

CREATE CRYPTOGRAPHIC PROVIDER EKM_Prov
FROM FILE = 'C:\EKM_Files\KeyProvFile.dll';
GO

　　启用了EKM并创建了Provider之后，就可以用这个Provider作为密钥。而如果要用EKM Provider模块进行安全登录，我们也可以用它来进行认证。

　　(2).禁用EKM

　　在某些情况下，我们可能需要在数据库中禁用一个Provider并启用新的Provider。例如，如果公司选择了另外一个第三方密钥提供商作为标准。在SOL Server 2008中，我们可以禁用Provider，但仍然把它保留在数据库中，在准备好之后再永久删除它，这样就可以从容地找出使用到旧Provider的对象，把它们修改为使用新的Provider。不过，笔者建议最好保留旧的Provider，以防出错。要禁用一个Provider，使用ALTER CRYPTOGRAPHIC PROVIDER语句，可执行如下命令：

　　ALTER CRYPTOGRAPHIC PROVIDER pEKM_Prov_ModuIe
　　FROM FILE=''DISABLE

　　4、如何获知EKM使用情况?

　　部署和实施EKM的数据库管理员和开发人员还需要对存储EKM Provider的元数据视图及相关的信息有一定的认识。SQL Server 2008提供了一系列新的目录视图、动态管理视图和动态管理函数，数据库管理员们可以用它们检查EKM Provider和EKM的使用情况。

　　利用这些视图和函数我们可获取与EKM相关的信息，例如SQL Sewer实例中正在使用的Provider列表、使用EKM 的认证信息列表、数据库中每个Provider ID的密钥列表、rovider的属性，以及每个Provider ID使用的加密算法等。

　　总结：通过以上对EKM相对比较简单的解析，我们看到SQL Server的加密功能在SQL Server 2008中有了很大的提升。很多数据库管理员为是否要使用加密而犹豫不决，这是因为他们担心密钥的存储问题，以往密钥和加密数据是存储在一起的，而现在SQL Sewer 2008中有了一个新的工具，它可以消除管理员们的这个担心，EKM功能值得一用。

阅读(287) | 评论(0) | 转发(0) |

上一篇：SQL Server 2008 数据压缩功能解析。

下一篇：用EKM提升SQL Server 2008数据库安全。

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6