SQL Server 2005: 如何让用户只能加密数据却不能解密数据

最新推荐文章于 2024-07-12 14:26:59 发布
最新推荐文章于 2024-07-12 14:26:59 发布
阅读量111 收藏
点赞数
文章标签: 数据库

我经常被问及这样的问题,能否让一个用户有加密数据的能力却不能解密数据呢? 答案是:可以。但在我展示这个方法之前,我们先稍微讨论一下对称密钥(symmetric key)。 用户能否加密或解密数据取决于用户能否够打开这个密钥。 如果用户可以打开密钥,那么他既能加密也能解密。 要想限制用户去使用密钥,需要删除用户打开密钥的能力。我们可以创建一个存储过程,将加密和打开密钥的过程封装进去,并让这个存储过程有权限执行这些操作(通过签名),然后赋予用户执行存储过程的权限。这样用户就可以通过存储过程访问密钥,但不能直接方法问密钥。注意,如果用户可以在并行操作中调用这个存储过程,可能会导致密钥被用户直接使用(用户没有打开密钥的权限,却能执行加密/解密操作。译者注)。虽然我不认为这会被利用,但仍存在这种可能性。

下面是示例代码


 


 --
--  这个demo演示让用户可以加密数据而不能解密数据
create   database  test
 use  test
 --  创建数据库主密钥
create  master  key  encryption  by  password  =   ' Avcptnwgu@)!) '
--  创建一个证书,该证书用于加密下面的对称密钥
create  certificate cert_protect_skey_data  with  subject  =   ' Certificate for encrypting 
symmetric key '
--  创建对称密钥,用于加密数据
create  symmetric  key  skey_data  with  algorithm  =  triple_des encryption  by  certificate 
cert_protect_skey_data
 -- 创建存储过程,使用对称密钥加密数据
create   procedure  sp_encrypt_with_skey_data
  @plaintext    varbinary ( 8000 ),
  @ciphertext    varbinary ( 8000 ) output
 as
begin
  open  symmetric  key  skey_data decryption  by  certificate cert_protect_skey_data
  set   @ciphertext   =  encryptbykey(key_guid( ' skey_data ' ),  @plaintext )
  close  symmetric  key  skey_data
 end
--  验证该存储过程, 在一个batch内执行下代码
declare   @plaintext   varbinary ( 200 )
 set   @plaintext   =   convert ( varbinary ( 200 ),  ' Plaintext ' )
 declare   @ciphertext   varbinary ( 200 )
 exec  sp_encrypt_with_skey_data  @plaintext @ciphertext  output
 print   ' Ciphertext:  '
print   @ciphertext
print   ' Plaintext:  '
open  symmetric  key  skey_data decryption  by  certificate cert_protect_skey_data
 print   convert ( varchar ( 200 ), decryptbykey( @ciphertext ))
 close  symmetric  key  skey_data
 go
--  创建一个不能访问密钥的主体
create  login alice  with  password  =   ' TiA '' ssptncgt#))) '
create   user  alice
 --  允许Alice执行该存储过程
--  我们希望她能够使用密钥加密
--  但不能解密
grant   execute   on  sp_encrypt_with_skey_data  to  alice
 --  验证Alice可以加密
execute   as  login  =   ' Alice '
select   suser_name ()
 --  Alice可以执行存储过程,但他不能访问密钥
--  密钥并没有所有权链的机制
declare   @plaintext   varbinary ( 200 )
 set   @plaintext   =   convert ( varbinary ( 200 ),  ' Plaintext ' )
 declare   @ciphertext   varbinary ( 200 )
 exec  sp_encrypt_with_skey_data  @plaintext @ciphertext  output
 print   ' Ciphertext:  '
print   @ciphertext
--  Alice明显无法直接访问密钥
open  symmetric  key  skey_data decryption  by  certificate cert_protect_skey_data
 --  revert context
revert
 --  现在对存储过程进行签名,使Alice能够访问密钥
--  创建用于签名的证书
create  certificate cert_sign2use_skey_data  with  subject  =   ' Certificate for signing code that 
will use the symmetric key '
--  创建一个映射到证书的用户
create   user  u_cert_sign2use_skey_data  for  certificate cert_sign2use_skey_data
 --  授权
grant   view  definition  on  symmetric  key ::skey_data  to  u_cert_sign2use_skey_data
 grant  control  on  certificate::cert_protect_skey_data  to  u_cert_sign2use_skey_data
 --  签名
add  signature  to  sp_encrypt_with_skey_data  by  certificate cert_sign2use_skey_data
 --  现在Alice可以真正地使用这个存储过程了
execute   as  login  =   ' alice '
select   suser_name ()
 --  注意,现在Alice仍然不能直接访问密钥
open  symmetric  key  skey_data decryption  by  certificate cert_protect_skey_data
 --  现在在一个batch执行一下代码,验证加密
--  注意加密会成功,但解密会失败
declare   @plaintext   varbinary ( 200 )
 set   @plaintext   =   convert ( varbinary ( 200 ),  ' Plaintext ' )
 declare   @ciphertext   varbinary ( 200 )
 exec  sp_encrypt_with_skey_data  @plaintext @ciphertext  output
 print   ' Ciphertext:  '
print   @ciphertext
print   ' Plaintext:  '
print   convert ( varchar ( 200 ), decryptbykey( @ciphertext ))
 go
revert
 --  cleanup
use  master
 drop   database  test
 drop  login alice
 --  EOD

 

 

原文地址:http://blogs.msdn.com/lcris/archive/2006/01/13/sql-server-2005-example-for-how-to-allow-a-user-to-encrypt-but-not-decrypt.aspx

 

weixin_34345753
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL Server数据加密功能解析
12-14
SQL Server数据加密相较于其他数据库,功能相对完善,加密方法较多。通常来讲,数据加密分为对称加密和非对称加密。对称加密加密解密使用同一密钥,密钥需要传输,安全性较弱,但性能较非对称要好。非对称...
SQLSERVER加密解密函数(非对称密钥 证书加密 对称密钥)使用方法代码
09-10
本篇文章将详细探讨SQL Server中的加密解密函数,包括非对称密钥、证书加密、对称密钥以及通行短语(PassPhrase)加密。 非对称密钥是一种双钥加密技术,它包含一对公钥和私钥。公钥用于加密数据,而私钥用于解密。...
SQL Server防破解,相对于SQL Server数据库密码的潜威胁判断
tianlianchao1982的专栏
04-11 1036
本文给出了六条相对于 SQL Server 密码的潜在威胁,提出来,希望能够引起大家的重视……   密码测试无需计划    当进行测试时,直接就开始尝试破解密码将是一个很大的错误。无论你是在本地还是通过互联网进行测试,我都强烈建议你获得权限,并建议一个帐户被锁定后的 回滚方案。最后你要做的就是确保在账户被锁定时,数据库用户无法进行操作,而且与之相连的应用程序也将无法正常运行。   通过互联网
T-SQL问题解决集锦——数据解密
looksun
11-12 859
问题一:如何为数据进行加密解密,避免使用者窃取机密数据?        对于一些敏感数据,如密码、卡号,一般不能使用正常数值来存储。否则会有安全隐患。以往的加密解密都有前端应用程序来辅助完成。而数据库一般只能加密不能解密。        从2005开始提供了数据库层面的数据加密解密。其实现方式主要有以下: 1、 利用CONVERT改变编码方式: 利用该函数把文字或数据转换成VARBIN
SQL Server数据的Aes加密存入与解密取出
key_149的博客
03-22 3237
SQL Server解密存取会遇到的问题笔记与心得
SQLServer 数据加密解密:常用的加密解密
书写人生
12-14 8260
都是基本示例,更多参考官方文档: 1. Transact-SQL 函数 2. 数据库密钥 3. 证书 4. 非对称密钥 5. 对称密钥 --    drop table EnryptTest create table EnryptTest (     id int not null primary key,     EnryptData nvarchar(20), )   insert int...
SQL 敏感数据加密解密
06-09 1887
SQL 2012 敏感数据使用 1. PassPhrase加密解密 2. 证书进行加密解密.
SQL Server存储过程文本加密解密过程详解 2019版可用
数据科学汇集
08-28 5924
SQL Server存储过程加密解密过程详解 加密概述 SQL Server的存储过程支持对其创建脚本的加密,即即便是数据库管理员也无法查看其脚本内容。本文即介绍一种方法对存储过程的加密解密加密实例 加密存储过程 创建示例加密存储过程见下(即加了WITH ENCRYPTION选项,脚本内容不可见): Create PROCEDURE usp_inlight WITH ENCRYPTION AS BEGIN print 'Can not see me! 1 ' print 'Can
SQL Server 2005数据加密技术浅析.pdf
09-19
SQL Server 2005是微软推出的一款关系型数据库管理系统,其在数据安全方面引入了重要的新特性——数据加密技术。这项技术对于保障企业数据安全,满足法规要求以及商业需求具有重要意义。本文主要探讨SQL Server 2005...
SQL Server 2005数据加密及VB程序实现.pdf
09-19
SQL Server 2005 数据加密SQL Server 2005 提供了一套完善的数据加密机制,旨在增强数据库中的数据安全性。该系统内置多种加密算法,支持不同层次的加密,以保护存储在数据库中的敏感信息。数据加密是确保数据...
SQL Server 2005数据加密技术的研究与应用.pdf
09-19
SQL Server 2005是微软推出的一款关系型数据库管理系统,它在数据安全方面引入了新的加密技术,为用户提供了更高级别的数据保护。本文主要从数据库开发人员的角度出发,探讨了SQL Server 2005数据加密特性及其在...
SQL Server 对称密钥在数据加密中的应用
三空道人的博客
05-20 1952
3月19日,网上爆出微博数据泄露。 微博方亦迅速回应,表示数据泄露属实。 微博表示一直有提供根据通讯录手机号查询微博好友昵称的服务,用户授权后可以使用该服务。 但微博不提供用户性别和身份证号等信息,也没有“根据用户昵称查手机号”的服务。 因此这起数据泄露不涉及身份证、密码,对微博服务没有影响。 目前微博已经及时强化安全策略,并将不断强化。 相对来说此次数据泄露引起的危险性不大,不过又引起了我们对数据安全和隐私的关注,且近几年重大的数据泄露事件不断,数据泄露带来的影响也是不可估量的,这足以引起我们
JavaFx+MySql学生管理系统
2301_81253185的博客
07-11 1094
上个月学习了javafx和mysql数据库,于是写了一个学生管理系统,因为上个月在复习并且有一些事情,比较忙,所以没有更新博客了,这个项目页面虽然看着有点简陋了,但是大致内容还是比较简单的,于是现在跟大家分享一下我的学生管理系统,希望对这方面有兴趣的同学提供一些帮助。
set user & password for database 设置数据库 用户和密码
最新发布
DavidsonGong的博客
07-12 144
USE sbms;
解密SqlServer数据库引擎
01-19
解密SqlServer数据库引擎是指破解SqlServer数据库引擎的加密算法,以获取数据库中的加密数据SqlServer是一种关系型数据库管理系统,它使用数据库引擎来存储和管理数据。 内容概述: 解密SqlServer数据库引擎的过程主要包括破解加密算法、获取数据库引擎的配置信息和密钥、解密加密数据三个主要步骤。 使用场景: 解密SqlServer数据库引擎可以应用于以下场景: 数据库备份和恢复:当数据库备份文件被加密,使用解密工具可以还原备份文件中的数据数据库迁移:在将数据库从一个服务器迁移到另一个服务器时,如果数据库引擎配置了加密措施,解密工具可以帮助将加密数据迁移并解密数据库故障排除:当数据库引擎发生故障时,使用解密工具可以帮助恢复被加密数据。 目标人群: 解密SqlServer数据库引擎主要面向数据库管理员、数据分析师和数据库开发人员等具有一定数据库操作经验和知识的人群。这些人群通常需要解密SqlServer数据库引擎来处理数据库中的加密数据数据库引擎是指负责管理和操作数据库的软件模块或系统。它负责存储、检索和管理数据,提供数据的可靠性、一致性和安全性,

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值