SQL中数据的加密技巧.docVIP

数据用数字方式存储在服务器中并非万无一失。实践证明有太多的方法可以智取SQL Server认证保护，最简单的是通过使用没有口令的sa账号。尽管SQL Server远比它以前的版本安全，但攻击者还是有可能获得存储的数据。因此，数据加密成为更彻底的数据保护战略，即使攻击者得以存取数据，还不得不解密，因而对数据增加了一层保护。 SQL Server通过将数据加密作为数据库的内在特性解决了这个问题。它除了提供多层次的密钥和丰富的加密算法外，最大的好处是用户可以选择数据服务器管理密钥。SQL Server服务器支持的加密算法如下： ⑴ 对称式密钥加密（Symmetric Key Encryption）： 对称式加密方式对加密和解密使用相同的密钥。通常，这种加密方式在应用中难以实施，因为用同一种安全方式共享密钥很难。但当数据储存在SQL Server中时，这种方式很理想，你可以让服务器管理它。SQL Server提供RC4、RC2、DES和AES系列加密算法。 ⑵ 非对称密钥加密（Asymmetric Key Encryption）： 非对称密钥加密使用一组公共/私人密钥系统，加密时使用一种密钥，解密时使用另一种密钥。公共密钥可以广泛的共享和透露。当需要用加密方式向服务器外部传送数据时，这种加密方式更方便。SQL Server支持RSA加密算法的512位、1,024位和2,048位密钥强度。 ⑶ 数字证书（Certificate）： 数字证书是一种非对称密钥加密，但是，一个组织可以使用证书并通过数字签名将一组公钥和私钥与其拥有者相关联。SQL Server支持“因特网工程工作组”(IETF) X.509 版本 3 (X.509v3) 规范。一个组织可以SQL Server 使用外部生成的证书，或者可以使用 SQL Server 生成证书。 (4) pwdencrypt,pwdcompare加密(SQL SERVER本身提供的加密函数) SQL Server 采用多级密钥来保护它内部的密钥和数据，如下图所示： 图1 SQL Server采用多级密钥保护它内部的密钥和数据 图中顶层的服务主密钥，安装SQL Server新实例时自动产生和安装，用户不能删除此密钥，但数据库管理员能对它进行基本的维护，如备份该密钥到一个加密文件，当其危及到安全时更新它，恢复它。 服务主密钥由DPAPI（Data Protection API）管理。DPAPI在Windows 2000 中引入，建立于Windows的Crypt32 API之上。SQL Server 管理与DPAPI的接口。服务主密钥本身是对称式加密，用来加密服务器中的数据库主密钥。 图中引出箭头的密钥或服务用于保护箭头所指的密钥。所以分服务主密钥（service master key）数据库主密钥（database master keys），而数据库主密钥又保护证书（certificates）和非对称密钥（asymmetric keys）。而最底层的对称性密钥（symmetric keys）被证书、非对称密钥或其他的对称性密钥保护。用户只需通过提供密码来保护这一系列的密钥。 加密实战 --示例一,使用证书加密数据. --准备工作, 创建测试数据库TestDB use master IF EXISTS (SELECT name FROM sys.databases WHERE name = NTestDB) drop database TestDB CREATE DATABASE [TestDB] ON PRIMARY ( NAME = NTestDB, FILENAME = NC:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\DATA\TestDB.mdf , SIZE = 3072KB , MAXSIZE = UNLIMITED, FILEGROWTH = 1024KB ) LOG ON ( NAME = NTestDB_log, FILENAME = NC:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\DATA\TestDB_log.ldf , SIZE = 1024KB , MAXSIZE = 2048GB , FILEGROWTH = 10%) go use TestDB --建立测试数据表 CREATE TABLE tb(ID int IDENTITY(1,1),data varbinary(8000)); GO --数据库主密钥 --1)必须先在该数据库上创建数据库主密钥才能使用 create master key encryption by