基于SQL Server 2008中的加密和密鑰管理探析

75706部隊16分隊傳輸室 雷治安

75660部隊軍事指揮教研室 陳騰楠

基于SQL Server 2008中的加密和密鑰管理探析

75706部隊16分隊傳輸室 雷治安

75660部隊軍事指揮教研室 陳騰楠

以SQL Server 2008為例，對加密和密鑰管理作簡要探討分析，啟發搞好網絡和數據的安全維護，加強保密性。

SQL Server 2008；加密；密鑰管理；探析

網絡時代，數據保密是個棘手問題，這就要求系統提供大量確保數據庫安全的功能，方能適應發展需要。譬如，SQL Server 2008中的加密和密鑰管理就是這樣。

一、數據加密

（一）數據安全防護

首先加強立法保護數據。如今，無論軍民用信息都有相對的私密性，在信息技術迅猛發展和充滿隱私的大環境中，數據需要用法規形式保護。其次把數據加密存儲在安全性良好的數據庫中。良好的數據庫具備良好的安全規范，如SQL Server就有一個叫defense in depth重要的安全規范。Defense in depth意味著分層防御，即使攻擊者成功打破最外層防御，仍需突破一層接一層的防御才能獲得成功。這意味著攻擊者通過防火墻和從服務器到數據庫的Windows安全后，仍需進行一些惡劣、野蠻和強制的黑客攻擊才能解碼數據庫中的數據。

（二）SQL Server 2008加密密鑰層次結構

SQL Server 2008使用對稱密鑰、非對稱密鑰和數字證書，為各種類型的數據加密提供豐富的支持。最出色的是，它可為您管理密鑰，而密鑰管理是加密中最難的部分。

管理員可能至少需要管理圖1所示層次結構中的上級密鑰。數據庫管理員需要理解服務器級的服務主密鑰和數據庫級的數據庫主密鑰。每個密鑰都保護其子密鑰，子密鑰又保護其子密鑰，從樹形結構圖依次向下。密碼保護對稱密鑰或證書時例外，這是SQL Server用戶管理自己的密鑰，以及負責保密密鑰的方法。

注意：Microsoft不推薦直接使用證書或非對稱密鑰加密數據。非對稱密鑰加密速度慢且使用此機制保護的數據量有限(這取決于密鑰模數大小)。可使用密碼，而不是數據庫主密鑰保護證書和非對稱密鑰。

1.服務主密鑰

服務主密鑰是規定SQL Server中所有密鑰和證書的密鑰。它是SQL Server在安裝期間自動創建的對稱密鑰，是個至關重要的密鑰。如此密鑰泄露，那么攻擊者最終將解碼服務器中由SQL Server管理的每個密鑰。Windows中的數據保護API(Data Protection API，DPAPI)為服務主密鑰提供保護。

SQL Server可管理服務主密鑰。雖然您可對其執行維護任務，將其轉存到一個文件中，重新生成它，以及從文件中將其還原。但大多數情況下，無需對密鑰做任何更改。備份服務主密鑰以防止密鑰損壞對管理員來說是明智的選擇。

2.數據庫主密鑰

數據庫范圍內，數據庫主密鑰是數據庫中所有密鑰、證書和數據的根加密對象。每個數據庫都有唯一的主密鑰；嘗試創建第二個密鑰時，會出現錯誤提示。必須在使用前通過CREATE MASTER KEY Transact-SQL語句和用戶提供的密碼創建一個數據庫主密鑰：

CREATE MASTER KEY ENCRYPTION BY PASSWORD='EOhnDGS6!7JKv'

3.層次結構密鑰保護的特點

SQL Server使用由密碼和服務主密鑰派生出來的三重DES密鑰加密密鑰。第一個副本存儲在數據庫中，第二個存儲在主數據庫中。由于服務主密鑰保護數據庫主密鑰，因此可能在需要時由SQL Server自動加密數據庫主密鑰。最終應用程序或用戶無需用密碼顯式打開主密鑰，這是層次結構保護密鑰的主要優勢。

（三）數據庫移動加密

分離一個存有主密鑰的數據庫，并將其移動到另一個服務器上是一個難題。問題在于新服務器的服務主密鑰與舊服務器的服務主密鑰不同。因此，服務器不能自動解密數據庫主密鑰。可通過使用加密密碼打開數據庫主密鑰，然后使用ALTER MASTER KEY語句用新的服務主密鑰對其加密避開這個問題。否則，總需顯式打開數據庫主密鑰后才能使用。

如存在數據庫主密鑰，開發人員可用它創建三種類型中的任何一種密鑰，具體取決于加密所需類型：非對稱密鑰，使用公鑰/私鑰對進行公鑰加密；對稱密鑰，用于在同一個密鑰分別加密和解密數據的方面共享秘密；證書，實質上用于包裝公鑰。

因所有加密選項及其已深層集成于服務器和數據庫中，所以現行加密必須將防御的最終層添加到數據上。然而，需明智使用工具，因為加密給服務器增加了大量的處理開銷。

二、透明數據加密

SQL Server 2005中，可使用數據庫引擎加密功能，通過編寫自定義Transact-SQL加密數據庫中的數據。SQL Server 2008引入透明數據加密，改進了這種狀況。

透明數據加密在數據庫級執行所有加密操作，這消除應用程序開發人員創建自定義代碼來加密和解密數據的需要。數據在寫入磁盤時被加密，從磁盤讀取時解密。通過使用SQL Server透明地管理加密和解密，就可在不改變現有應用程序的情況下確保數據庫中業務數據的安全，如圖2所示。

數據庫加密密鑰(Database Encryption Key，DEK)用于執行加密和解密操作，該DEK存儲在數據庫啟動記錄中，以便恢復過程中使用。可使用服務主密鑰(Service Master Key)或硬件安全模塊(Hardware Security Module，HSM)保護DEK。HSM通常是USB設備或智能卡，因為不易被盜或丟失。

三、擴展的密鑰管理

隨著法規遵從性需求的增長以及對數據隱私的整體關注，越來越多的組織將加密用作解決深層防御方案的手段。隨著大規模使用加密和密鑰來保護數據，密鑰管理變得更復雜。一些高安全性數據庫要使用數千個密鑰且必須部署一個系統來存儲、注銷和重新生成這些密鑰。而且，還應將這些密鑰與數據分開存儲以增強安全性。

SQL Server 2008為第三方使用公開加密功能。這些解決方案可與SQL Server 2005和SQL Server 2008數據庫無縫地工作并提供企業級專用密鑰管理。這將密鑰管理工作負載從SQL Server轉移到專用密鑰管理系統。

SQL Server 2008中擴展的密鑰管理還支持使用HSM提供密鑰與數據的物理分離。

四、代碼模塊簽名

SQL Server中提供加密的好處就是它提供使用證書對代碼模塊(存儲過程、函數、觸發器和事件通知)進行數字簽名的能力。這提供了訪問數據庫表比其他對象訪問更細粒度的控制。像加密數據一樣，使用證書中的私鑰簽名代碼，其結果是使用代碼模塊簽名的表只能通過該代碼訪問且不允許使用在代碼模塊之外。換言之，只能使用已經簽名該模塊的證書，才能獲得對該表的訪問。

對存儲過程而言，效果是一樣的。例如，如有完整的所有權鏈，您可謹慎控制哪些用戶獲得該過程的EXECUTE權限，并可拒絕他們對基礎表的直接訪問。但這在過程的所有權鏈被破壞或執行動態SQL時不起作用，此時要求執行該過程的用戶擁有對基礎表的權限。實現同樣效果的另一種方式是使用EXECUTE AS，但改變了過程執行的安全上下文，這不是理想的情況。

簽名代碼模塊的另一好處就是防止對代碼模塊做出未授權的更改。像其他經過數字簽名的文檔一樣，在代碼改變時，證書將失效。代碼不在證書上下文中執行，因此任何被提供證書訪問權限的對象都將不可訪問。要繼續訪問它們，需要創建一個證書，將該證書與新用戶關聯并使用該證書簽名過程，授予該用戶執行該存儲過程必要的權限。實質上，已經將該用戶作為次級身份標識添加到存儲過程安全上下文中。然后，授予需要執行該過程的任何用戶或角色執行權限。以下代碼展示了這些步驟。假設您想要簽名my Schema.Get Secret Stuff過程，并且所有引用的對象已經存在數據庫中：

現只有明確授予對該存儲過程具EXECUT權限的用戶能訪問該表的數據。