介绍

    SQL Server 2005一个令人激动的特性是内置了加密的功能。在这个新版的SQL Server中，开发团队直接在T-SQL中加入了加密工具、证书创建和密钥管理的功能。对于因为法律要求或商业需求而需要加密表中的数据的人来说，这是一个好礼物。对于犹豫是否用加密来保证数据安全的人来说，做决定也更容易了。这篇文章介绍新的加密功能是怎么工作，怎么使用。

    TSQL现在支持使用对称密钥和非对称密钥，证书和密码。本文介绍如何创建、管理和使用对称密钥和证书。

    根据涉及的内容，我决定把本文分为三节：

    第一部分：服务主密钥和数据库主密钥
    第二部分：证书
    第三部分：对称密钥

    1. 服务主密钥和数据库主密钥

　　

图：SQL Server 2005加密层次结构

    1.1 服务主密钥

    当第一次需要使用服务主密钥对链接服务器密码、凭据或数据库主密钥进行加密时，便会自动生成服务主密钥。服务主密钥为 SQL Server 加密层次结构的根。服务主密钥直接或间接地保护树中的所有其他密钥和机密内容。使用本地计算机密钥和 Windows 数据保护 API 对服务主密钥进行加密。该 API 使用从 SQL Server 服务帐户的 Windows 凭据中派生出来的密钥。

    因为服务主密钥是自动生成且由系统管理的，它只需要很少的管理。服务主密钥可以通过BACKUP SERVICE MASTER KEY语句来备份，格式为：

BACKUP SERVICE MASTER KEY TO FILE = ‘path_to_file’ ENCRYPTION BY PASSWORD = ‘password’

    ‘path_to_file’ 指定要将服务主密钥导出到的文件的完整路径（包括文件名）。此路径可以是本地路径，也可以是网络位置的 UNC 路径。

    ‘password’ 用于对备份文件中的服务主密钥进行加密的密码。此密码应通过复杂性检查。

    应当对服务主密钥进行备份，并将其存储在另外一个单独的安全位置。创建该备份应该是首先在服务器中执行的管理操作之一。

    如果需要从备份文件中恢复服务主密钥，使用RESTORE SERVICE MASTER KEY语句。

RESTORE SERVICE MASTER KEY FROM FILE = ‘path_to_file’ DECRYPTION BY PASSWORD = ‘password’ [FORCE]

    ‘path_to_file’ 指定存储服务主密钥的完整路径（包括文件名）。path_to_file 可以是本地路径，也可以是网络位置的 UNC 路径。

    PASSWORD = ‘password’ 指定对从文件中导入的服务主密钥进行解密时所需的密码。

    FORCE 即使存在数据丢失的风险，也要强制替换服务主密钥。

    注：如果你在使用RESTORE SERVICE MASTER KEY时不得不使用FORCE选项，你可能会遇到部分或全部加密数据丢失的情况。

    如果你的服务主密钥泄露了，或者你想更改SQL Server服务帐户，你可以通过ALTERSERVICE MASTER KEY语句重新生成或者恢复服务主密钥。它的用法请参考联机丛书。

    因为服务主密钥是SQL Server自动生成的，所以，它没有对应的CREATE和DROP语句。

    1.2 数据库主密钥

    正如每个SQL Server有一个服务主密钥，每个数据库有自己的数据库主密钥。数据库主密钥通过CREATE MASTER KEY语句生成：

CREATE MASTER KEY ENCRYPTION BY PASSWORD = ‘password’

    这个语句创建数据库主密钥，使用指定的密码加密它，并保存在数据库中。同时，数据库主密钥也被使用服务主密钥加密之后保存在master数据库中，这就是所谓的“自动密钥管理”。这个特性我们待会再讲。

    象服务主密钥一样，你可以备份和恢复数据库主密钥。使用BACKUP MASTER KEY备份数据库主密钥。语法类似于备份服务主密钥： 

BACKUP MASTER KEY TO FILE = ‘path_to_file’     ENCRYPTION BY PASSWORD = ‘password’

    恢复数据库主密钥使用RESTORE MASTER KEY语句，它需要使用DECRYPTION BY PASSWORD子句提供备份时指定的加密密码，还要使用ENCRYPTION BY PASSWORD子句，SQL Server使用它提供的密码来加密数据库主密钥之后保存在数据库中。

RESTORE MASTER KEY FROM FILE = ‘path_to_file’     DECRYPTION BY PASSWORD = ‘password’     ENCRYPTION BY PASSWORD = ‘password’     [ FORCE ]

    同样，FORCE表示你将忽略在解密过程中的错误。

    建议你在创建了数据库主密钥之后立即备份数据库主密钥，并把它保存到一个安全的地方。同样，使用FORCE语句可能导致已加密数据的丢失。

    要删除数据库主密钥，使用DROP MASTER KEY语句，它删除当前数据库的主密钥。在执行之前，确定你在正确的数据库上下文中。

    1.3 自动密钥管理

    当创建数据库主密钥时，它被使用提供的密码加密然后被保存到当前数据库中。同时，它被使用服务主密钥加密并保存到master数据库中。这份保存的数据库主密钥允许服务器在需要的时候解密数据库主密钥，这就是自动密钥管理。没有自动密钥管理的话，你必须在每次使用证书或密钥加密或解密数据（它需要使用数据库主密钥）时使用OPEN MASTER KEY语句同时提供加密的密码。使用自动密钥管理，你不需要执行OPEN MASTER KEY语句，也不需要提供密码。

    自动密钥管理的缺点就是每个sysadmin角色的成员都能够解密数据库主密钥。你可以通过ALTER MASTER KEY语句的DROP ENCRYPTION BY SERVICE MASTER KEY子句，从而不使用自动密钥管理。ALTER MASTER KEY的使用方法参见联机丛书。