SQL Server 2008改进的加密功能

  防止数据库和日志文件被无权限的人访问或黑客攻击，加密是一种很重要的手段。SQL Server自带的数据加密功能可以加密文件，并将密钥存储在SQL Server中。不过，SQL Server 2005并不允许在本地SQL Server 2005加密环境中使用第三方的密钥或密钥管理程序。因此，如果你的公司在其它应用中使用第三方加密产品对数据进行加密，你也不能用这个产品对SQL Server的数据进行加密或管理SQL Server的密钥。
  SQL Server 2008 中的一个新功能，扩展密码管理（Extensible Key Management，EKM），弥补了这个弱点，它允许密钥存储在数据库之外，包括特殊的硬件（例如智能卡、USB设备）或被称为硬件安全模块（Hardware SecurityModules，HSM）的软件模块中。本文旨在介绍EKM，我会为大家说明这个功能的工作原理，还有一些新的元数据视图和函数，利用它们可以从SQL Server中获取关于EKM使用情况的信息。

  EKM和HSM
  EKM功能在SQL Server 2008的企业版、开发版、评估版中都可用，它允许密钥存储在数据库之外的HSM中，与加密数据分开存储。把密钥存储在HSM中可以防止它们被数据库所有者和其他高级别数据库用户访问，因为这些用户没有权限访问存储密钥的HSM。只有那些在加密解密过程中拥有HSM设备权限的最终用户，才能用这些密钥加密新数据或查看现有已加密数据。（注意，如果HSM 设备没有使用过，sysadmin用户组的成员仍然可以访问密钥。）如果要让用户可以使用第三方的HSM，你需要在SQL Server 2008的EKM中将这些第三方厂商的EKM/HSM模块注册到SQL Server 2008中。

TAG: Server SQL