如何使用Entity Framework在Always Encrypted列上模拟通配符搜索

最新推荐文章于 2022-06-23 15:22:30 发布
最新推荐文章于 2022-06-23 15:22:30 发布
阅读量1.1k 收藏
点赞数
文章标签: 数据库 java python mysql c#
原文链接:https://www.sqlshack.com/how-to-mimic-a-wildcard-search-on-always-encrypted-columns-with-entity-framework/
版权
本文介绍了如何在使用SQL Server的Always Encrypted功能时,通过添加额外的搜索列来模拟通配符搜索,同时保持安全性。文章详细展示了如何创建数据库、使用Entity Framework Core和.NET Console应用程序进行交互,以及处理确定性加密的安全性问题。
摘要由CSDN通过智能技术生成

介绍 (Introduction)

The title of this post should have been “How to implement wildcard search functionality with Always Encrypted, make deterministic encryption safer, and load initial data using SqlBulkInsert”, but as you understand, that’s just too long for a title.

这篇文章的标题应该是“如何使用Always Encrypted实现通配符搜索功能,使确定性加密更安全,以及使用SqlBulkInsert加载初始数据” ,但正如您所了解的那样,标题太长了。

A number of years ago I built a web application with “Always Encrypted” as VARBINARY columns, before Microsoft offered this feature out of the SQL Server Box. So in case the database server would be compromised by hackers, no client details could be revealed.

几年前,在Microsoft从SQL Server Box中提供此功能之前,我用“始终加密”作为VARBINARY列构建了一个Web应用程序。 因此,如果数据库服务器受到黑客的威胁,则不会透露任何客户端详细信息。

Just like Microsoft my Data Access Layer, built in .NET did the encryption and decryption, transparent for other code that accessed it. And I had the same challenge how to search on encrypted columns.

就像Microsoft一样,我的内置于.NET的数据访问层也进行了加密和解密,对于访问它的其他代码而言是透明的。 对于如何搜索加密列,我也遇到了同样的挑战。

So with (maybe more than average) interest I was looking forward to know how the Always Encrypted feature of SQL Server 2016 works.

因此,以(也许超过平均水平)的兴趣,我很想知道SQL Server 2016的始终加密功能是如何工作的。

And I noticed that Microsoft implements the searching differently from what I did at the time. What I did different (using randomized encryption and search columns) was my inspiration for this article.

而且我注意到Microsoft实施搜索的方式与当时不同。 我所做的不同(使用随机加密和搜索列)是本文的灵感。

But first a little introduction on the feature itself.

但是首先对功能本身进行一些介绍。

Always Encrypted is a client-side encryption technology in which data is automatically encrypted not only when it is written but also when it is read by an approved application. It’s an end-to-end encryption, therefore SQL server only sees (and stores) the encrypted version of the data.

Always Encrypted始终加密)是一种客户端加密技术,其中,不仅在写入数据时,而且在批准的应用程序读取数据时,都会自动对数据进行加密。 这是一种端到端加密 ,因此SQL Server仅查看(并存储)数据的加密版本。

This means that your client application needs to use an Always Encrypted enabled driver to communicate with the database.

这意味着您的客户端应用程序需要使用启用始终加密的驱动程序来与数据库进行通信。

At this time, the available Always Encrypted enabled-drivers are:

目前,可用的始终加密启用驱动程序是:

  • the .NET Framework Data Provider for SQL Server, which requires installation of .NET Framework version 4.6 on the client computer

    SQL Server的.NET Framework数据提供程序,需要在客户端计算机上安装.NET Framework 4.6版
  • the JDBC 6.0 driver

    JDBC 6.0驱动程序
  • the Windows ODBC driver

    Windows ODBC驱动程序

For more information and to download the drivers see Always Encrypted client development (on MSDN).

有关更多信息和下载驱动程序,请参阅Always Encrypted客户端开发(在MSDN上)

To be honest I hate to replicate MSDN or other sites or blog posts when I do not have to. So as an introduction I kindly refer to:

老实说,我讨厌在不需要时复制MSDN或其他站点或博客文章。 因此,作为介绍,我谨提及:

如何使用Entity Framework在Always Encrypted列上模拟通配符搜索 (How to mimic a wildcard search on Always Encrypted columns with Entity Framework)

The challenges with searching on a column that is Always Encrypted are twofold:

在始终加密的列上进行搜索面临的挑战是双重的:

  • can only search on an exact value, you cannot do a wildcard search. 只能搜索精确值 ,而不能进行通配符搜索。
  • you have to do a sacrifice in the area of security: you have to use deterministic encryption, which always produces the same encrypted value for a given input value. When the number of distinct values in a column is low (for instance true/false or a domain value with a limited number of values), you can imagine this can be dangerous: you could guess values by comparing the same encrypted value of other rows. Also brute force to encrypt all possible values so you can compare the encrypted values with the ones in the database is a possible threat. So you do not really want that. 您必须在安全性方面做出牺牲 :必须使用确定性加密,该加密对于给定的输入值始终会产生相同的加密值。 当一列中不同值的数量较少(例如,真/假或值的数量有限的域值)时,您可以想象这很危险:您可以通过比较其他行的相同加密值来猜测值。 同样,强行加密所有可能的值,以便将加密后的值与数据库中的值进行比较也是一种潜在的威胁。 因此,您并不是真的想要那个。

Coping with these limitations is not ‘easy’. For instance to implement wildcard search functionality you have to to find out how the business users would like to search.

应对这些局限并非易事。 例如,要实现通配符搜索功能,您必须找出业务用户希望如何搜索。

So if you have encrypted credit card numbers in your database, and the business users want to be able to search on the last 4 digits, you have to “do something” for that.

因此,如果您在数据库中已加密了信用卡号,并且业务用户希望能够搜索最后4位数字 ,则必须为此“做些事情”

If the business users want to be able to search on expiration month and year of a credit card, but a security requirement is to avoid deterministic encryption because of the limited number of distinct values for those two columns (only 12 month numbers, maybe only 5 to 10 years that are still relevant), the same counts: you have to “do something” for that.

如果业务用户希望能够搜索信用卡的到期月份和年份 ,但是安全要求是避免确定性加密,因为这两个列的不同值的数量有限(只有12个月的数字,也许只有5个月的数字)到10年仍然有意义),同样的道理:您必须为此“做某事”

But what is “something”? Okay, to be straight with you, you will need an extra search column to implement each of these search requirements.

但是什么是“东西”? 好的,为了与您保持直接联系, 您将需要一个额外的搜索列来实现所有这些搜索要求。

Follow the demo and I can show you how this works.

跟随演示,我可以向您展示其工作原理。

为演示准备数据库 (Preparing a database for the demo)

First here are my preparation scripts to set up a demo using a CreditCard table.

首先,这里是我的准备脚本,用于使用CreditCard表设置演示。

If you have read the other resources mentioned above you should be able to understand what these scripts do. Also there is some comment in the scripts.

如果您已经阅读了上面提到的其他资源,那么您应该能够理解这些脚本的作用。 脚本中也有一些注释。

010_create_column_master_key.sql:

010_create_column_master_key.sql: 

 
--\
---) Use a separate database [MSSQL_E12_AlwaysEncryptedDemo] for the demo,
---) create this database if it does not exist yet.
--/
IF NOT EXISTS
    (
    SELECT 1 FROM sys.databases WHERE name = 'MSSQL_E12_AlwaysEncryptedDemo'
    )
    EXEC('CREATE DATABASE [MSSQL_E12_AlwaysEncryptedDemo]');
GO
 
USE [MSSQL_E12_AlwaysEncryptedDemo]
GO
 
--\
---) Create a column master key, if it does not exist yet.
---) Do not use this script for your production environment! This is unsafe, as these keys are now public.
---) Generate your keys yourself, e.g. with SQL Server Management Studio.
--/
IF NOT EXISTS ( 
    SELECT 1 FROM sys.column_master_keys
    WHERE name = 'CMK_AlwaysEncrypted'
    )
BEGIN
    CREATE COLUMN MASTER KEY [CMK_AlwaysEncrypted]
    WITH
    (
	    KEY_STORE_PROVIDER_NAME = N'MSSQL_CERTIFICATE_STORE',
	    KEY_PATH = N'CurrentUser/My/ECF3CBAA957FEA693002BE905768C39E65CDE7D0'
    )
END
GO
 

020_create_column_encryption_keys.sql:

020_create_column_encryption_keys.sql: 

 
USE [MSSQL_E12_AlwaysEncryptedDemo]
GO
 
--\
---) Create a column encryption keys, 
---) for each column that needs to be encrypted a separate key.
---) Do not use this script for your production environment! This is unsafe, as these keys are now public.
---) Generate your keys yourself, e.g. with SQL Server Management Studio.
--/
IF NOT EXISTS ( 
    SELECT 1 FROM sys.column_encryption_keys
    WHERE name = 'CEK_CreditCard_CardNumber'
    )
BEGIN
    CREATE COLUMN ENCRYPTION KEY [CEK_CreditCard_CardNumber]
    WITH VALUES
    (
	    COLUMN_MASTER_KEY = [CMK_AlwaysEncrypted],
	    ALGORITHM = 'RSA_OAEP',
    	ENCRYPTED_VALUE = 0x016E000001630075007200720065006E00740075007300650072002F006D0079002F006500630066003300630062006100610039003500370066006500610036003900330030003000320062006500390030003500370036003800630033003900650036003500630064006500370064003000BB08A0C879710C99104A22D20A3E6554260C06C0D1449ECB71780B1D98B98CDD1281576E9A274F46765243182EEB343E96AF31D081E64D5687FE99A7C29F606D8C48CAB5CB8974BD4DEB13160F267C18B809888E6951650313208E4FAB2966B281295A6A64E59EEB4C9D00E9EFF842CFC353D0AB63613248F431A9F781F70CCCD6158D1F7D775ECED7F5532ED51B91D9741B0707BF402E13C6092278F85D6DDB35E052EB93C34654E0C67E62176CFEB9DE4C4E9B1B1A781D811DD5FA062327808E3E9E419290B801A5C63AC5BCC6DD45C5DFEEF8696379824362A90321A6063E4074B0F1533A5CEA4C53A730BD1B43C919DBCB4B8767C470E526CD83B0DE2DFF2FA5DD5923D2D177CB86431DE425384F5533425BCF6E1D72562588380E464CE349611187313D426DEACD81C1B24C7844F82DE5CC9A7C70A45CC97871972B2A44EBCD2DC384517CA
最低0.47元/天 解锁文章
culuo4781
关注
c#winform使用EntityFramework导入数据库
qq_51553982的博客
03-11 1335
c#winform使用EntityFramework导入数据库Step1. make a new project2. add the ADO.NET3. wait and you will get a Model.edmx4. use entity Step 1. make a new project 2. add the ADO.NET 3. wait and you will get a Model.edmx 4. use entity Session1Entities session
c#使用EntityFrameworkCore
dap769815768的博客
03-02 1565
IDE:VS2019 .Net版本:.Net Core3.1 数据库:Sqlite 1.创建一个.net core控制台的项目,并创建两个model,TeacherModel和StudentModel,其中主程序集引用Models程序集: 2.两个model都有名字和id等信息: public class TeacherModel { pub...
项目开发中的一些注意事项以及技巧总结 基于Repository模式设计项目架构—你可以参考的项目架构设计 Asp.Net Core中使用RSA加密 EF Core中的多对多映射如何实现? a...
07-14 288
项目开发中的一些注意事项以及技巧总结 1、jquery采用ajax向后端请求时,MVC框架并不能返回View的数据,也就是一般我们使用View()、PartialView()等,只能返回json以及content等,但是一般我们在开发的时候也是使用json返回的,此时如果需要渲染界面或者是加载局部视图,我们可以在ajax的success的事件中使用$.html()来渲染后...
暴库也不怕!EF Core加密存储数据
寒冰屋的专栏
08-11 369
针对某些数据字段要保存敏感数据的情况,比如银行卡号,我们需要使用一种机制保证存储到数据库的数据是加密的,避免数据泄露风险,但是又能够正常读取出来显示。 下面我们用MySql演示如何操作。 Demo 创建一个ConsoleApp1,然后引用下列NuGet包: EntityFrameworkCore.DataEncryption Pomelo.EntityFrameworkCore.MySql 假设数据表User已创建好,包含3个字段: Id 主键 Name 姓名
EF Core加密存储数据
fei飞来了
08-08 628
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
SQL Server 2016 Always Encrypted(始终加密)
10-11 4409
Always Encrypted 功能旨在保护 Azure SQL Database 或 SQL Server 数据库中存储的敏感数据,如信用卡号或身份证号(例如美国社会安全号码)。 始终加密允许客户端对客户端应用程序内的敏感数据进行加密,并且永远不向 数据库引擎 ( SQL Database 或 SQL Server)显示加密密钥。 因此,始终加密分隔了拥有数据(且可以查看它)的人员与管理数据(...
EntityFramework.MoqHelper:与Entity Framework 6. *和Moq库一起使用的辅助方法,模拟访问数据库Entity Framework主要方法
04-28
EntityFramework.MoqHelper是一个简单的库,但是在使用实体框架进行模拟时有很多帮助。 要通过模拟创建对象,它需要执行许多设置,尤其是对于进行查询的测试方案。 这些所需的许多代码都封装在该库中,并创建了...
entity mysql_在Entity Framework使用MySQL
weixin_34270705的博客
01-20 1310
之前编写有关数据库的项目时,都是通过ADO.NET使用原始的SQL语句进行数据的读写的,个人觉得这种方式对数据的操作更能够“随心所欲”,而且很容易切换不同的数据库,所以对Entity Framework不感兴趣。近期看了以下EF相关的东西,发现之前写的所有内容都能够使用EF,而且更简单、快捷,甚至根本不用去百度一些很复杂的SQL语句了,所以在现在的一个测试项目中,果断的采用了Visual Stud...
Entity Framework Core Cookbook - Second Edition 2016
11-13
Entity Framework Core Cookbook - Second Edition by Ricardo Peres English | 9 Nov. 2016 | ISBN: 1785883305 | 340 Pages | MOBI/EPUB/PDF+Code Files | 6.2 MB Entity Framework is a highly recommended ...
SQL Server 2016新特性: Always Encrypted (始终加密)
Burgess_Liu的专栏
06-02 8122
数据,尤其是机密数据的安全性,是我们设计和开发系统所要考虑的。SQL Server 2016引入了加密数据列的新方式,即始终加密(Always Encrypted)。有了始终加密,数据就可以通过ADO.NET在应用层进行加密,这意味着,在数据通过网络发送到SQL Server之前,你可以通过.NET应用程序来加密你的机密数据。这个过程中,网络传输的是密文,存储在DB里的数据
openGauss数据库源码解析系列文章—— 密态等值查询技术详解(下)
Gauss松鼠会
06-23 3393
上期我们介绍了密态等值查询技术及如何创建客户端密钥CMK,本期继续讲解如何创建列加密密钥CEK和创建加密表。
zabbix监控平台安装
weixin_39345915的博客
05-30 919
文章目录Linux监控平台介绍zabbix监控介绍安装zabbix安装zabbix忘记Admin密码如何做安装zabbix Linux监控平台介绍 cacti、nagios、zabbix、smokeping、open-falcon等等 cacti、smokeping偏向于基础监控,成图非常漂亮 cacti、nagios、zabbix服务端监控中心,需要php环境支持,其中zabbix和cacti都需要mysql作为数据存储,nagios不用存储历史数据,注重服务或者监控项的状态,zabbix会获取服务或者
SQL Server 2016 Always Encrypted 解析
rav009的专栏
07-11 1123
首先最好的文档在微软的网站:https://docs.microsoft.com/en-us/sql/relational-databases/security/encryption/always-encrypted-database-engine?view=sql-server-2017always encrypted 有两种方式, 一种是deterministic 和 randomized. ...
SQL Server Always Encrypted加密使用
排长性感的小屁屁
01-27 1141
SQL Server 2016新引入了Always Encrypted 功能,其设计的目的即时保护敏感数据,如手机号、身份证、银行卡号等等,可以同时加密静态和动态数据(内存中的数据也会被加密)。因此,这可以保护数据免受流氓管理员、备份窃贼和中间人攻击。和TDE不同,即Always Encrypted 允许你仅仅加密某些列,而不是整个数据库。 基本使用: 一、新建密钥和表 1.新建列主密钥,密钥存储应选择‘Windows 证书存储 - 本地计算机’,需要用Administrator账户登陆,名称为:FHR_C
signature=f9667ae3a5dc60103aa3485a3a871a35,mind-map/yarn.lock at master · moruoshuang/mind-map · Git...
weixin_29164497的博客
05-29 4万+
# THIS IS AN AUTOGENERATED FILE. DO NOT EDIT THIS FILE DIRECTLY.# yarn lockfile v1"@babel/code-frame@^7.0.0", "@babel/code-frame@^7.5.5":version "7.5.5"resolved "https://registry.yarnpkg.com/@babel/co...
密集人群检测与计数论文与开源数据
shuijinghua的博客
12-24 4532
参考资料: http://www.sohu.com/a/338406719_823210 https://blog.csdn.net/wgc0802402/article/details/97293852 https://zhuanlan.zhihu.com/p/65650998 参考代码: https://github.com/gjy3035/C-3-Framework 论文 1。...
signature=0e9644081df9c741a9fc4bb881df7a21,pic-gather/yarn.lock at master · JavDriver/pic-gather · G...
热门推荐
weixin_35830723的博客
05-29 8万+
# THIS IS AN AUTOGENERATED FILE. DO NOT EDIT THIS FILE DIRECTLY.# yarn lockfile v1"7zip-bin@~5.0.3":version "5.0.3"resolved "https://registry.yarnpkg.com/7zip-bin/-/7zip-bin-5.0.3.tgz#bc5b5532ecafd923...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值