而这个服务主密钥又用于对第三个级别:数据库主密钥进行加密。也就是说上层必须为下层服务。 第三个级别:数据库级别:存在一个数据库主密钥。它可以加密数据库中的其他对象(如非对称,证书进行保护,但不保护对称密钥), 对称密钥不使用数据……
【it168 应用】下午听到同事说,csdn600万用户的信息被黑客窃取,这其实并没有让我感到吃惊,真正让我感觉可悲的是,用户的密码竟然是明文存放在数据库中的,这太让用户寒心了。csdn这么一个专业的网站,这事做的太不专业,大家纷纷去下载csdn600万.rar数据库文件,当然,我也不例外!事故已经发生了,多说不益,关键是寻找应对的方法。治标的方法是,注册用户及时更改自己的密码!治本的方法是csdn立即改变数据存放策略,使用数据库加密功能对密码等敏感信息加密,这个功能很多数据库都支持,不知道csdn为什么就没用!这太要命了!这事也给其他网站一个警示,不要再愚弄用户了,数据库加密刻不容缓,在此我以sql server 2008为例,介绍一个sql server中的透明数据加密功能!
早在sql server 2005中就已经实现了完整的加密基础结构,不需要再借此其他工具就可以实现完整的加密,解密操作!而sql server2000的时候需要自己编写存储过程或是函数,而这些现在2005都已经内置了。
支持的加密类型:
对称加密: 算法简单,速度较快,占用资源较少
非对称加密:公钥/私钥对
混合加密:包含对称和非对称
而且这三种加密只需要使用t-sql语句就可以实现,下面看一下数据库加密体系结构,也就是sql server的加密层次:
▲ sql server 透明加密体系结构
大家看一个图,大家乍一看这个图还是挺复杂的,但其实很简单,这个加密体系分为三个级别,
第一个级别是windows级别:主要使用的是windows的dpapi或是其他密钥(如其他的对称密钥)保护,那么证书又由谁来进行保护呢,那么证书的公钥不需要进行保护,那么私钥由谁来进行保护呢,在此也可以指定一个密钥,或者是使用数据库主密钥来进行保护。而数据库主密钥又由谁进行保护呢,也可以指定一个密钥,或者是服务主密钥,那么服务主密钥又由谁来进行保护呢,又由dpapi来进行保护。就是这么一个逻辑的关系。
下面咱们来逐个看一下各种密钥:
服务主密钥:在安装sql server时自动生成的一个密钥,是128bit的3des密钥。作用:直接或者是间接地保护体系中的其他密钥。
使用sql server 的配置管理器更改服务帐户,能够自动完成加密和解密的过程。服务主密钥是安装时自动生成的,所以我们不能创建,但是我们可备份和还原服务主密钥。
backup service master key to file=’c:\bak\smk.bak’ encryption by password=’dufei2008’
备份的时候必须使用一个强密码,因为如果要是没有密码保护的话,那么其他人很容易进行还原,得到你的服务主密钥。