Genişletilebilir Anahtar Yönetimi (ekm) Anlama
SQL Serververi şifreleme yetenekleri ile birlikte sağlar Genişletilebilir Key Management (ekm) kullanarak Microsoft şifreleme API (MSCAPI) sağlayıcı için şifreleme ve anahtar oluşturma.Geçici Anahtar kapsayıcılarını veri ve anahtar şifreleme için şifreleme anahtarları oluşturulur ve gelen verilmelidir bir sağlayıcı veritabanında depolanmadan önce.Bu yaklaşım, bir şifreleme anahtar hiyerarşisi ve anahtar yedek tarafından işlenecek içeren anahtar yönetimi sağlayan SQL Server.
Yasal uyumluluğu için artan talep ve veri gizliliği konusunda endişe ile kuruluşlar şifreleme kapsamlı bir "savunma" sağlamanın bir yolu olarak yararlanarak çözüm.Bu genellikle yalnızca veritabanı şifreleme yönetim araçlarını kullanarak pratik yaklaşımdır.Donanım satıcıları sağlayan ürünler o adresi Kurumsal anahtar yönetimi kullanarak Donanım güvenlik modülleri (hsm).hsm aygıtları, donanım veya yazılım modülleri üzerinde şifreleme anahtarlarını saklamak.Şifreleme ile veri şifreleme anahtarları bulunmaması nedeniyle daha güvenli bir çözümdür.
Çok sayıda satıcı, anahtar yönetimi ve şifreleme hızlandırması için hsm sunar.hsm aygıtlar, uygulama ve hsm arasında bir aracı gibi bir sunucu işlemi ile donanım arabirimleri kullanır.Satıcılar, donanım veya yazılım olabilir kendi modülleri MSCAPI sağlayıcıları da uygular.MSCAPI genellikle yalnızca alt küme küme küme kümesini hsm tarafından sunulan işlevselliği sunar.Satıcılar da yönetim yazılımı hsm, anahtar yapılandırma ve anahtar erişim sağlar.
Satıcı ve onlarla birlikte kullanmak için satıcıdan hsm uygulamaları farklılık SQL Server gerektirir ortak bir arabirim.MSCAPI bu arabirim sağlasa da, hsm özellikleri yalnızca alt küme küme küme kümesini destekler.Ayrıca, özgün olarak simetrik anahtarlar ve oturum yönelik destek eksikliği kalıcı yüklenememesi gibi başka sınırlamalar da vardır.
The SQL Server 2008 Extensible Key Management enables third-party EKM/HSM vendors to register their modules in SQL Server.Kaydolurken, SQL Server kullanıcılar saklı şifreleme anahtarlarını kullanabilirsinizekm modülleri. Böylece SQL Server Bu modülleri destekleyecek toplu şifreleme ve şifre çözme ve anahtar yönetimi gibi Gelişmiş Şifreleme özelliklerine erişmek için İşlevler gibi anahtar eskime ve anahtar döndürme.
ekm yapılandırma
Genişletilebilir Key Management yalnızca kuruluş, Developer ve değerlendirme sürümlerini üzerinde SQL Server.
Varsayılan olarak Genişletilebilir Key Management kapalıdır.Bu özelliği etkinleştirmek için sp_configure aşağıdaki seçenek ve aşağıdaki örnekte olduğu gibi değer olan komut:
sp_configure 'show advanced', 1
GO
RECONFIGURE
GO
sp_configure 'EKM provider enabled', 1
GO
RECONFIGURE
GO
Not
Kullanırsanız, sp_configure komutu için Enterprise ve Developer değerlendirme sürümleri farklı sürümleri üzerinde bu seçenek alırsınız bir hata.
Özelliği devre dışı bırakmak için küme değeri 0.Sunucu seçeneklerini küme hakkında daha fazla bilgi için bkz: sp_configure (Transact-sql).
ekm nasıl kullanılır?
SQL Server 2008Genişletilebilir anahtar yönetimi bir devre dışı aygıt akıllı kart, usb aygıtı veya ekm/hsm modülü gibi depolanması için veritabanı dosyaları koruyan şifreleme anahtarları sağlar.Bu veri koruma veritabanı yöneticileri de sağlar (üyeleri hariç sysadmin grubu).Veri şifreleme anahtarları dış ekm/hsm modülü, yalnızca veritabanı kullanıcı erişimi olduğunu kullanılarak şifrelenebilir.
Genişletilebilir anahtar yönetimi ayrıca aşağıdaki yararları sağlar:
Ek yetkilendirme onay (harçlar ayrılmasını etkinleştirme).
Donanım tabanlı şifreleme/şifre çözme için daha yüksek performans.
Dış şifreleme anahtar oluşturma.
Dış şifreleme anahtar depolama (veri ve anahtarların fiziksel ayrımı).
Şifreleme anahtar alma.
Dış şifreleme anahtar saklama (şifreleme anahtar döndürme etkinleştirir).
Daha kolay şifreleme anahtar kurtarma.
Yönetilebilir şifreleme anahtar dağıtımı.
Güvenli şifreleme anahtar elden çıkarma.
Genişletilebilir Key Management, bir kullanıcı adı ve parola birleşimi veya ekm sürücü tarafından tanımlanan diğer yöntemleri kullanabilirsiniz.
.gif "Dikkat notu") Dikkat |
|---|
Sorun giderme, Microsoft Teknik Destek şifreleme gerektir anahtar ekm sağlayıcı.Satıcı araçları veya bir sorunu gidermek için işlemleri erişmek gerekebilir. |
ekm aygıt ile kimlik doğrulaması
ekm modülü birden fazla kimlik doğrulaması türünü destekler.Her sağlayıcı kimlik doğrulaması için yalnızca bir tür sergiler SQL Server, yani modülü Basic veya diğer kimlik doğrulaması türleri destekliyorsa, bir sergiler veya diğer, ancak her ikisini birden değil.
Kullanıcı adı/parola ekm aygıt özgü temel kimlik doğrulaması kullanma
Temel kimlik doğrulaması kullanarak destekleyen bu ekm modülleri için bir kullanıcı adı/parola çifti, SQL Server Saydam kimlik doğrulama kimlik bilgilerini kullanarak sağlar. Kimlik bilgileri hakkında daha fazla bilgi için bkz: Kimlik bilgileri (veritabanı altyapısı).
Bir kimlik bilgisi bir ekm sağlayıcı için oluşturulan ve bir oturum açma eşlenen (hem Windows ve SQL Server hesapları) oturum başına temelinde bir ekm modülü erişmek için. Identify alan ; Kullanıcı adı kimlik bilgisi içeren secret alan içeren bir parola bağlanmak için bir ekm modülü.
Hiçbir eşlenen oturum açma kimlik bilgisi ekm sağlayıcı ise, kimlik bilgisi için eşlenen SQL Server hizmet hesabı kullanılır.
Ayırıcı ekm sağlayıcı için kullanılan sürece bir oturum için eşlenen birden çok kimlik bilgileri olabilir.ekm sağlayıcı oturum açma başına başına yalnızca bir eşleştirilmiş kimlik bilgisi olması gerekir.Diğer oturumları için aynı kimlik bilgisi eşlenebilir.
Diğer aygıt ekm özel kimlik doğrulama türleri
Dışındaki Windows kimlik doğrulamasına sahip ekm modülleri için ya da kullanıcı/parola kombinasyonları, kimlik doğrulaması gerçekleştirilmesi gerekir bağımsız olarak gelen SQL Server.
Şifreleme ve şifre çözme ekm aygıt tarafından
Şifrelemek ve simetrik ve asimetrik anahtarları kullanarak verilerin şifresini çözmek için aşağıdaki özellikleri ve işlevleri kullanabilirsiniz:
İşlev veya özelliği |
Başvuru |
|---|---|
Simetrik anahtar şifreleme |
|
Asimetrik anahtarşifreleme |
|
EncryptByKey (key_guid, 'düz metin', …) |
|
DecryptByKey (haline, …) |
|
EncryptByAsmKey (key_guid, 'düz metin') |
|
DecryptByAsmKey(ciphertext) |
Veritabanı anahtar şifreleme tarafından ekm tuşları
SQL Serverbir veritabanındaki diğer anahtarları şifrelemek için ekm tuşları kullanabilirsiniz.Oluşturmak ve bir ekm aygıt üzerinde simetrik ve asimetrik anahtarları kullanır.Yerel (ekm olmayan) simetrik anahtarlar ekm asimetrik anahtarları ile şifreleyebilirsiniz.
Aşağıdaki örnek, bir veritabanı oluşturur simetrik anahtar ve bir ekm modülü, bir anahtar kullanarak şifreler.
CREATE SYMMETRIC KEY Key1
WITH ALGORITHM = AES_256
ENCRYPTION BY EKM_AKey1;
GO
--Open database key
OPEN SYMMETRIC KEY Key1
DECRYPTION BY EKM_AKey1
Veritabanı ve sunucu anahtarları hakkında daha fazla bilgi için SQL Server, bkz: SQL Server ve veritabanı şifreleme anahtarları (veritabanı altyapısı).
Not
ekm ekm anahtar başka bir anahtarla bir şifreleyemezsiniz.
Ayrıca bkz.