防止数据库和日志文件被无权限的人访问或黑客攻击，加密是一种很重要的手段。SQL Server自带的数据加密功能可以加密文件，并将密钥存储在SQL Server中。不过，SQL Server 2005并不允许在本地SQL Server 2005加密环境中使用第三方的密钥或密钥管理程序。因此，如果你的公司在其它应用中使用第三方加密产品对数据进行加密，你也不能用这个产品对SQL Server的数据进行加密或管理SQL Server的密钥。

      SQL Server 2008 中的一个新功能，扩展密码管理（Extensible Key Management，EKM），弥补了这个弱点，它允许密钥存储在数据库之外，包括特殊的硬件（例如智能卡、USB设备）或被称为硬件安全模块（Hardware SecurityModules，HSM）的软件模块中。本文旨在介绍EKM，我会为大家说明这个功能的工作原理，还有一些新的元数据视图和函数，利用它们可以从SQL Server中获取关于EKM使用情况的信息。

      EKM和HSM
      EKM功能在SQL Server 2008的企业版、开发版、评估版中都可用，它允许密钥存储在数据库之外的HSM中，与加密数据分开存储。把密钥存储在HSM中可以防止它们被数据库所有者和其他高级别数据库用户访问，因为这些用户没有权限访问存储密钥的HSM。只有那些在加密解密过程中拥有HSM设备权限的最终用户，才能用这些密钥加密新数据或查看现有已加密数据。（注意，如果HSM 设备没有使用过，sysadmin用户组的成员仍然可以访问密钥。）如果要让用户可以使用第三方的HSM，你需要在SQL Server 2008的EKM中将这些第三方厂商的EKM/HSM模块注册到SQL Server 2008中。

…
     上述内容选自《Windows IT Pro Magazine国际中文版》2008年第8期，更多精彩内容，敬请参阅这儿，订阅《Windows IT Pro Magazine国际中文版》，请点击这儿。

      关于我们
      Windows ITPro是业界提供“IT技术信息＂与“IT专业咨询服务＂的知名品牌，其杂志、社区及Newsletter等服务信息覆盖IT领域内各大企业及相关行业，包括业务决策者、企业技术专家以及各类IT专业人士，200 多个Club，1000多名VIP，影响人群超过30万。无论是平面及电子杂志、线上线下社区、竞赛调查平台、市场活动、圆桌会议、技术培训还是创新产品，Windows ITPro必定是全方位服务信息的最佳提供者。

全文共1582字节