SQL Server 2008中的代码安全(六):对称密钥加密

最新推荐文章于 2023-02-22 21:58:34 发布
最新推荐文章于 2023-02-22 21:58:34 发布
阅读量309 收藏 4
点赞数 1
文章标签: 数据库 大数据
原文链接:http://www.cnblogs.com/downmoon/archive/2011/03/15/1984352.html
版权

 SQL Server 2008中SQL应用系列--目录索引

证书和非对称密钥使用数据库级的内部公钥加密数据,并且使用数据库级内部私钥解密数据。而对称密钥相对简单,它们包含一个同时用来加密和解密的密钥。困此,使用对称密钥加密数据更快,并且用在大数据时更加合适。尽管复杂度是考虑使用它的因素,但它仍然是一个很好的加密数据的选择。

 我们看一组例子:

示例一、创建对称密钥

对称密钥的特性是:在数据库会话中使用它对数据进行加密和解密前必须首先打开。

创建对称密钥使用如下命令:CREATE SYMMETRIC KEY  创建对称密钥。(http://msdn.microsoft.com/en-us/library/ms188357.aspx

use DB_Encrypt_Demo
 go

-- 创建一个用于加密对称密钥的非对称密钥
CREATE ASYMMETRIC KEY symDemoKey -- 名称
WITH ALGORITHM = RSA_512 -- 加密算法
ENCRYPTION BY PASSWORD = ' TestSYM456! ' -- 密码

-- 创建一个对称密钥
CREATE SYMMETRIC KEY sym_Demo
 WITH ALGORITHM = TRIPLE_DES
ENCRYPTION BY ASYMMETRIC KEY symDemoKey

示例二、查看当前数据库中的对称密钥

使用目录视图sys.symmetric_keys(http://msdn.microsoft.com/en-us/library/ms189446.aspx)来查看。

-- 查看当前数据库中的非对称密钥
use DB_Encrypt_Demo
 go
SELECT name, algorithm_desc FROM sys.symmetric_keys
 -- --结果返回
/*
name algorithm_desc
sym_Demo TRIPLE_DES
 */

示例三、修改非对称密钥的加密方式

你可以使用ALTER SYMMETRIC KEY(http://technet.microsoft.com/en-us/library/ms189440.aspx)命令修改对称密钥的加密方式。但执行前必须使用OPEN SYMMETRIC KEY(http://msdn.microsoft.com/en-us/library/ms190499.aspx)命令打开它。

use DB_Encrypt_Demo
 go

-- 先用私钥密码打开对称密钥
OPEN SYMMETRIC KEY sym_Demo
DECRYPTION BY ASYMMETRIC KEY symDemoKey
 WITH PASSWORD = ' TestSYM456! '

-- 打开之后,先增加密码加密,取代原密钥
ALTER SYMMETRIC KEY sym_Demo
 ADD ENCRYPTION BY PASSWORD = ' newnew!456 '
-- 再删除非对称密钥加密
ALTER SYMMETRIC KEY sym_Demo
 DROP ENCRYPTION BY ASYMMETRIC KEY symDemoKey
 -- 完成操作后,关闭对称密钥
CLOSE SYMMETRIC KEY sym_Demo

 

示例四、使用对称密钥对数据进行加密和解密

1、为了使用对称密钥对数据进行加密,必须首先打开它,然后使用函数EncryptByKey 加密数据。(http://msdn.microsoft.com/zh-cn/library/ms174361.aspx)

2、使用DecryptByKey来解密使用对称密钥加密的数据。注意DecryptByKey不像甩EncryptByKey,无须使用对称密钥GUID。因此,为了解密,必须打开正确的对称密钥会话,否则会显示null。

下面是一个例子:

/* ***************************3w@live.cn********************** */
USE DB_Encrypt_Demo
 GO
-- 创建测试数据表,用于对称加密
CREATE TABLE dbo.PWDQuestion
(CustomerID int NOT NULL PRIMARY KEY ,
PasswordHintQuestion nvarchar ( 300 ) NOT NULL ,
PasswordHintAnswer varbinary ( 200 ) NOT NULL )
 GO
-- 插入加密数据
OPEN SYMMETRIC KEY sym_Demo
DECRYPTION BY PASSWORD = ' newnew!456 '
INSERT dbo.PWDQuestion
(CustomerID, PasswordHintQuestion, PasswordHintAnswer)
 VALUES
( 12 , ' 您出生的医院名称? ' ,
EncryptByKey(Key_GUID( ' sym_Demo ' ), ' 杭州市一 ' ))
 CLOSE SYMMETRIC KEY sym_Demo

查看未加密的数据:

-- 解密数据
OPEN SYMMETRIC KEY sym_Demo
DECRYPTION BY PASSWORD = ' newnew!456 '
SELECT CustomerID,PasswordHintQuestion,
 CAST (DecryptByKey(PasswordHintAnswer) as varchar ( 200 )) PasswordHintAnswer
 FROM dbo.PWDQuestion
 WHERE CustomerID = 12
-- 打开后切记关闭!!!3w@live.cn
CLOSE SYMMETRIC KEY sym_Demo

邀月工作室

-- 不打开直接读取
SELECT CustomerID,PasswordHintQuestion,
 CAST (DecryptByKey(PasswordHintAnswer) as varchar ( 200 )) PasswordHintAnswer
 FROM dbo.PWDQuestion
 WHERE CustomerID = 12

邀月工作室

至此,好像已经大功告成了,别,千万别高兴得太早!

这里有个问题,如果恶意用户不知道CustomerID=13的PasswordHintAnswer列的真实值,但知道CustomerID=14的PasswordHintAnswer列的真实值,则完全可以通过恶意替换PasswordHintAnswer列而绕过加密!!3w@live.cn此时,我们索性连CustomerID列作为验证列也一起加密,以绝后患 !

注意:加密的验证列也可以由另一个相关表的列作为参数传入。

看一个完整的例子:

truncate table dbo.PWDQuestion
 go

-- 添加两个未加密的行
INSERT dbo.PWDQuestion
(CustomerID, PasswordHintQuestion, PasswordHintAnswer)
 select 13 , ' 您出生的医院名称? ' , cast ( ' 浙江妇保院 ' as varbinary )
 union all
select 14 , ' 您出生的医院名称? ' , cast ( ' 浙江妇保二院 ' as varbinary )


 -- 打开对称密钥,连CustomerID列一起加密
OPEN SYMMETRIC KEY sym_Demo
DECRYPTION BY PASSWORD = ' newnew!456 '
UPDATE dbo.PWDQuestion
 SET PasswordHintAnswer =
EncryptByKey(Key_GUID( ' sym_Demo ' ),
PasswordHintAnswer, 1 , -- 1表示使用验证器值
CAST (CustomerID as varbinary ))
 WHERE CustomerID in ( 13 , 14 )
 -- 打开后切记关闭!!!3w@live.cn
CLOSE SYMMETRIC KEY sym_Demo


 -- 此时必须这样查看原数据
OPEN SYMMETRIC KEY sym_Demo
DECRYPTION BY PASSWORD = ' newnew!456 '
SELECT CustomerID,PasswordHintQuestion,
 CAST (DecryptByKey(PasswordHintAnswer, 1 , -- 1表示使用验证器值
CAST (CustomerID as varbinary )) as varchar ( 200 )) PasswordHintAnswer
 FROM dbo.PWDQuestion
 WHERE CustomerID = 13
-- 打开后切记关闭!!!3w@live.cn
CLOSE SYMMETRIC KEY sym_Demo

恶意替换开始:

/* *********************************************************
--我们用刚才的CustomerID = 13的PasswordHintAnswer列值
--替换CustomerID = 14的PasswordHintAnswer列值,
--再用刚才读取14的方法读取真实值
********************************************************* */

update dbo.PWDQuestion set PasswordHintAnswer =
( select PasswordHintAnswer from dbo.PWDQuestion where CustomerID = 14 )
 where CustomerID = 13

此时,我们再查看:

OPEN SYMMETRIC KEY sym_Demo
DECRYPTION BY PASSWORD = ' newnew!456 '
SELECT CustomerID,PasswordHintQuestion,
 CAST (DecryptByKey(PasswordHintAnswer, 1 , -- 1表示使用验证器值
CAST (CustomerID as varbinary )) as varchar ( 200 )) PasswordHintAnswer,
PasswordHintAnswer as binaryValue
 FROM dbo.PWDQuestion
 WHERE CustomerID in ( 13 , 14 )
 -- 打开后切记关闭!!!3w@live.cn
CLOSE SYMMETRIC KEY sym_Demo

邀月工作室

郎勒个郎!爽吧!虽然复制了相同的二进制数据,可是读取结果令攻击者大失所望啊!

示例五、删除对称密钥

命令:DROP SYMMETRIC KEY 删除指定的对称密钥( http://technet.microsoft.com/en-us/library/ms182698.aspx)

例子:

DROP SYMMETRIC KEY symDemoKey

注意:如果加密密钥打开没有关闭,则drop失败。

小结:

1、本文主要介绍对称密钥的创建、删除、查看以及用它来修改加密方式、进行数据的加密和解密。

2、对称密钥的特性是:在数据库会话中使用它对数据进行加密和解密前必须首先打开。

3、对称密钥可用于大数据的加密。

下文将主要介绍证书加密(Certificate Encryption)

转载于:https://www.cnblogs.com/downmoon/archive/2011/03/15/1984352.html

dfdfadsf3443
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL Server 2008代码安全对称密钥加密
12-15
证书和非对称密钥使用数据库级的内部公钥加密数据,并且使用数据库级内部私钥解密数据。而对称密钥相对简单,它们包含一个同时用来加密和解密的密钥。困此,使用对称密钥加密数据更快,并且用在大数据时更加合适。尽管复杂度是考虑使用它的因素,但它仍然是一个很好的加密数据的选择。  我们看一组例子: 示例一、创建对称密钥 对称密钥的特性是:在数据库会话使用它对数据进行加密和解密前必须首先打开。 创建对称密钥使用如下命令:CREATE SYMMETRIC KEY  创建对称密钥。(http://msdn.microsoft.com/en-us/library/ms188357.aspx) 代码如下: use
SQLServer 2008代码安全(五) 非对称密钥加密
12-15
不同于对称密钥,非对称密钥不能简单地备份到文件,因此一旦在SQL Server创建,就难以在其他数据库复用相同的密钥,这在一定程度上增加了管理的复杂性。 创建对称密钥是通过`CREATE ASYMMETRIC KEY`命令实现...
sqlserver 对称加密
09-04 331
CREATE SYMMETRIC KEY ZXC WITH ALGORITHM = AES_256 ENCRYPTION BY PASSWORD = 'ZXC123456' --创建秘钥 OPEN SYMMETRIC KEY ZXC DECRYPTION BY PASSWORD = 'ZXC123456' --打开秘钥 SELECT CONVERT(VARCHA...
Sql Server数据库实现表字段的列加密研究
最新发布
weixin_42032770的博客
02-22 3816
​去年6月份的时候做过一个系统,要对里面的一些敏感字段进行一下加密Sqlserver加密可以参考官方文档:SQL Server 技术文档 - SQL Server | Microsoft Learn。主要看下来有三种加密方法:1、利用证书对数据进行加密和解密。2、利用非对称密钥对数据进行加密和解密。3、利用对称密钥对数据进行加密和解密。 ​
sqlserver对数据进行加密、解密
记事本
06-27 3251
sqlserver对数据进行加密、解密
SQLServer 数据加密解密:常用的加密解密(一)
zz_strive_2012的专栏
12-05 8191
都是基本示例,更多参考官方文档: 1. Transact-SQL 函数 2. 数据库密钥 3. 证书 4. 非对称密钥 5. 对称密钥 [sql] view plain copy   --  drop table EnryptTest   create table EnryptTest   (       id
SQLServer 2008代码安全(七) 证书加密
12-15
因为可以备份然后从文件载入它们,证书比非对称密钥更易于移植,而非对称密钥却做不到。这意味着可以在数据库方便地重用同一个证书。 注意:证书和非对称密钥同样的消耗资源。 我们看一组例子: 示例一、创建...
SQLSERVER加密解密函数(非对称密钥 证书加密 对称密钥)使用方法代码
09-10
以下是一个使用非对称密钥加密和解密数据的例子: ```sql -- 创建需要加密的数据 CREATE TABLE BankUser ( PKID int PRIMARY KEY IDENTITY(1,1), UserNo varbinary(1000) NULL, CurState datetime NOT NULL ) --...
SQLServer 2008代码安全(四) 主密钥
12-15
如果必须改变SQL Server服务账号,微软建议使用SQL Server配置管理器,因为这个工具将执行生成新服务主密钥需要的合适的解密和加密方法,而且可以使加密层次结构保持完整。服务主密钥也用于加密其下的数据库密钥。...
SQL Server 对称密钥在数据加密的应用
三空道人的博客
05-20 1976
3月19日,网上爆出微博数据泄露。 微博方亦迅速回应,表示数据泄露属实。 微博表示一直有提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务。 但微博不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。 因此这起数据泄露不涉及身份证、密码,对微博服务没有影响。 目前微博已经及时强化安全策略,并将不断强化。 相对来说此次数据泄露引起的危险性不大,不过又引起了我们对数据安全和隐私的关注,且近几年重大的数据泄露事件不断,数据泄露带来的影响也是不可估量的,这足以引起我们
mssql对称加密以及对存储过程加密
03-10
sql2005 sql2008 数据库 使用证书和不使用证书进行对称加密 以及对存储过程加密
sql 2005数据库加密 示例
happydreamer的专栏
10-11 1794
转贴自teched讲师:  牛可  基本概念:第一层 服务主密钥 备份服务主密钥backup service master key to file=c:/smk.bakencryption by password=P@ssw0rd restore service master key from file=c:/smk.bakdecryption by p
SQL Server 2008代码安全(七):证书加密
邀月周记
03-16 4177
SQL Server 2008SQL应用系列--目录索引证书可以在数据库加密和解密数据。证书包含密钥对、关于证书拥有者的信息、证书可用的开始和结束过期日期。证书同时包含公钥和密钥,前者用来加密,后者解密。SQL Server可以生成它自己的证书,也可以从外部文件或程序集载入。因为可以备份然后从文件载入它们,证书比非对称密钥更易于移植,而非对称密钥却做不到。这意味着可以在数据库方便地重用同一
细说SQL Server加密
weixin_33893473的博客
04-01 1063
简介     加密是指通过使用密钥或密码对数据进行模糊处理的过程。在SQL Server加密并不能替代其他的安全设置,比如防止未被授权的人访问数据库或是数据库实例所在的Windows系统,甚至是数据库所在的机房,而是作为当数据库被破解或是备份被窃取后的最后一道防线。通过加密,使得未被授权的人在没有密钥或密码的情况下所窃取的数据变得毫无意义。这种做法不仅仅是为了你的数据安全,有时甚至是法律所要...
Sql Server数据的加密与解密
weixin_30802171的博客
08-10 352
Sql Server数据的加密与解密 在sqlserver,我们如何为数据进行加密与解密,避免使用者窃取机密数据?对于一些敏感数据,如密码、卡号,一般不能使用正常数值来存储。否则会有安全隐患。以往的加密解密都有前端应用程序来辅助完成。而数据库一般只能加密不能解密。从2005开始提供了数据库层面的数据加密与解密。其实现方式主要有以下:1、利用CONVERT改变编码方式:利用该函数把文字或数据转...
SQL Server 对称秘钥的管理
三空道人的博客
06-01 1475
对称秘钥,加密和解密使用相同的秘钥。 对称秘钥的应用:《SQL Server 对称密钥在数据加密的应用》 对称秘钥的管理包括创建、打开、修改、关闭和删除,本文将逐一使用实例进行介绍。 创建对称秘钥 创建对称秘钥必定要指定一种加密方式,而对称秘钥有五种加密方式,分别为证书、密码、对称秘钥、非对称秘钥和PROVIDER。我们将按照对称秘钥的加密方式给出创建秘钥的样例。 为了演示创建过程,我们先创建一个测试数据库: --创建测试数据库 CREATE DATABASE SymmetricKeyAdm
(转)笔记320 SQLSERVER加密函数 2013-7-11
weixin_34248023的博客
03-27 332
  1 --SQLSERVER加密函数 2013-7-11 2 ENCRYPTBYASYMKEY() --非对称密钥 3 ENCRYPTBYCERT() --证书加密 4 ENCRYPTBYKEY() --对称密钥 5 ENCRYPTBYPASSPHRASE() --通行短语(PassPhrase)加密 6 7 8 ----------...
T-SQL问题解决集锦——数据加解密
www.v5qq.com的技术博客
06-18 121
以下代码已经在SQLServer2008上的示例数据库测试通过 问题一:如何为数据进行加密与解密,避免使用者窃取机密数据? 对于一些敏感数据,如密码、卡号,一般不能使用正常数值来存储。否则会有安全隐患。以往的加密解密都有前端应用程序来辅助完成。而数据库一般只能加密不能解密。 从2005开始提供了数据库层面的数据加密与解密。其实现方式主要有以下: 1、利用CONVERT改变编码方式: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值