1、服務(wù)器主密鑰（Service Master Key）,位于層次結(jié)構(gòu)的最頂端，并且在安裝SQL Server時(shí)自動(dòng)創(chuàng)建，用于加密系統(tǒng)數(shù)據(jù)、鏈接的服務(wù)器登錄名以及數(shù)據(jù)庫(kù)主密鑰。在第一次通過(guò)SQL Server使用服務(wù)主密鑰來(lái)加密證書、數(shù)據(jù)庫(kù)主密鑰或鏈接的服務(wù)器主密碼時(shí)，服務(wù)主密鑰會(huì)自動(dòng)生成，并且使用SQL Server服務(wù)賬戶的Windows證書來(lái)生成它。如果必須改變SQL Server服務(wù)賬號(hào)，微軟建議使用SQL Server配置管理器，因?yàn)檫@個(gè)工具將執(zhí)行生成新服務(wù)主密鑰需要的合適的解密和加密方法，而且可以使加密層次結(jié)構(gòu)保持完整。服務(wù)主密鑰也用于加密其下的數(shù)據(jù)庫(kù)主密鑰。

2、數(shù)據(jù)庫(kù)主密鑰（Database Master Key）,用于加密證書，以及非對(duì)稱密鑰和對(duì)稱密鑰。所有數(shù)據(jù)庫(kù)都可以只包含一個(gè)數(shù)據(jù)庫(kù)主密鑰，在創(chuàng)建它時(shí)，通過(guò)服務(wù)主密鑰對(duì)其加密。創(chuàng)建非對(duì)稱密鑰時(shí)，可以決定在加密非對(duì)稱密鑰對(duì)應(yīng)的私鑰是否包含密碼。如果示包含密碼，將使用數(shù)據(jù)庫(kù)主密鑰來(lái)加密私鑰。

我們看一組例子：

示例一、備份及還原服務(wù)主密鑰

用到以下兩個(gè)sql命令:

BACKUP SERVICE MASTER KEY  導(dǎo)出服務(wù)主密鑰。（http://msdn.microsoft.com/zh-cn/library/ms190337.aspx）

RESTORE SERVICE MASTER KEY從備份文件中導(dǎo)入服務(wù)主密鑰。（http://msdn.microsoft.com/zh-cn/library/ms187972.aspx）

如果該密鑰沒(méi)有實(shí)際變化，而執(zhí)行密鑰恢復(fù)時(shí)，會(huì)收到提示：

--The old and new master keys are identical. No data re-encryption is required.

示例二、創(chuàng)建、再生成和刪除數(shù)據(jù)庫(kù)主密鑰

用到以下兩個(gè)sql命令:

CREATE MASTER KEY 創(chuàng)建數(shù)據(jù)庫(kù)主密鑰（http://technet.microsoft.com/zh-cn/library/ms174382.aspx）

ALTER MASTER KEY 重新生成數(shù)據(jù)庫(kù)主密鑰（http://msdn.microsoft.com/en-us/library/ms186937%28SQL.90%29.aspx）

DROP MASTER KEY 刪除數(shù)據(jù)庫(kù)主密鑰（http://msdn.microsoft.com/en-us/library/ms180071.aspx）

當(dāng)數(shù)據(jù)庫(kù)主密鑰被顯式創(chuàng)建時(shí)，會(huì)同時(shí)自動(dòng)生成一個(gè)額外生成的安全層，用于加密數(shù)據(jù)庫(kù)中的新證書和非對(duì)稱密鑰，更進(jìn)一步保護(hù)已加密的數(shù)據(jù)。

注意：如果該數(shù)據(jù)庫(kù)主密鑰仍然被其他數(shù)據(jù)庫(kù)對(duì)象使用，則不能被刪除，這點(diǎn)與架構(gòu)類似。

同時(shí)一旦創(chuàng)建數(shù)據(jù)庫(kù)主密鑰，就立刻備份它是一個(gè)好的習(xí)慣。

示例三、備份、恢復(fù)一個(gè)數(shù)據(jù)庫(kù)主密鑰

語(yǔ)法：

BACKUP MASTER KEY導(dǎo)出服務(wù)主密鑰。（http://technet.microsoft.com/en-us/library/ms174387.aspx）

RESTORE MASTER KEY從備份文件中導(dǎo)入數(shù)據(jù)庫(kù)主密鑰。（http://msdn.microsoft.com/en-us/library/ms186336.aspx）

下面是一個(gè)完整示例：

與服務(wù)主密鑰類似，如果沒(méi)有修改，則會(huì)收到如下提示：

The old and new master keys are identical. No data re-encryption is required.

示例三、從數(shù)據(jù)庫(kù)主密鑰刪除服務(wù)主密鑰

當(dāng)一個(gè)數(shù)據(jù)庫(kù)主密鑰被創(chuàng)建時(shí)，它被默認(rèn)使用兩種方式加密：服務(wù)主密鑰和被使用CREATE MASTER KEY 命令中使用的密碼。如果你不想使用服務(wù)主密碼加密數(shù)據(jù)庫(kù)主密鑰（這種情況下，擁有sysadmin特權(quán)的login在不知道數(shù)據(jù)庫(kù)主密鑰的前提下將不能訪問(wèn)加密數(shù)據(jù)），你可以使用ALTER MASTER KEY 命令刪除服務(wù)主密鑰。

簡(jiǎn)略語(yǔ)法如下：

ALTER MASTER KEY

ADD ENCRYPTION BY SERVICE MASTER KEY |

DROP ENCRYPTION BY SERVICE MASTER KEY

由于服務(wù)主密鑰允許擁有足夠許可（如sysadmin）的用戶自動(dòng)使用數(shù)據(jù)庫(kù)主密鑰解密，因此，一旦刪除了服務(wù)主密鑰的加密，而再想修改數(shù)據(jù)庫(kù)主密鑰時(shí)，你必須使用一個(gè)新的命令訪問(wèn)它。OPEN MASTER KEY, 語(yǔ)法如下：

OPEN MASTER KEY DECRYPTION BY PASSWORD = 'password'

下面是一個(gè)例子：

小結(jié)：

1、本文主要介紹服務(wù)主密鑰的備份與還原，數(shù)據(jù)庫(kù)的主密鑰的創(chuàng)建、重新生成、刪除和備份、還原。

2、一旦創(chuàng)建主密鑰，立刻備份它是一個(gè)很好的習(xí)慣。

下文將主要介紹非對(duì)稱密鑰加密(Asymmetric Key Encryption)

最新評(píng)論