SQLServer2005数据加密技巧利用研究

数据加密是SQL Server 2005新增的数据安全特征，这对利用程序开发者来说是非常重要的改良。本文从程序开发者角度，探讨SQL Server 2005数据加密特征以及如何应用该特征保证系统的数据安全。

SQL Server 2005是微软开端实行其“可信任盘算” 打算以来的第一个重要的产品，它供给了丰富的安全特征，为企业数据供给安全保障。对开发职员来说，最关注的是如何在程序设计过程中利用这些特征来保护数据库中的数据安全。本文将从利用程序开发者角度探讨基于SQL Server 2005数据加密特征的利用。

SQL Server 2005数据加密技巧

数据用数字方法存储在服务器中并非万无一失。实践证实有太多的方法可以智取SQL Server 2000认证保护，最简略的是通过应用没有口令的sa账号。尽管SQL Server 2005远比它以前的版本安全，但攻击者还是有可能获得存储的数据。因此，数据加密成为更彻底的数据保护战略，即使攻击者得以存取数据，还不得不解密，因而对数据增加了一层保护。

SQL Server 2000以前的版本没有内置数据加密功效，若要在SQL Server 2000中进行数据加密，不得不买第三家产品，然后在服务器外部作COM调用或者是在数据送服务器之前在客户真个利用中履行加密。这意味着加密的密钥或证书不得不由加密者自己负责保护，而保护密钥是数据加密中最难的事，所以即使很多利用中数据已被很强的加密过，数据保护仍然很弱。

SQL Server 2005通过将数据加密作为数据库的内在特征解决了这个标题。它除了供给多层次的密钥和丰富的加密算法外，最大的利益是用户可以选择数据服务器治理密钥。SQL Server 2005服务器支撑的加密算法如下：

⑴ 对称式加密（Symmetric Key Encryption）：

对称式加密方法对加密和解密应用雷同的密钥。通常，这种加密方法在利用中难以实行，由于用同一种安全方法共享密钥很难。但当数据储存在SQL Server中时，这种方法很幻想，你可以让服务器治理它。SQL Server 2005 供给RC4、RC2、DES 和 AES 系列加密算法。

⑵ 非对称密钥加密（Asymmetric Key Encryption）：

非对称密钥加密应用一组公共/私人密钥系统，加密时应用一种密钥，解密时应用另一种密钥。公共密钥可以广泛的共享和流露。当需要用加密方法向服务器外部传送数据时，这种加密方法更方便。SQL Server 2005 支撑 RSA 加密算法以及 512 位、1,024 位和 2,048 位的密钥强度。

⑶ 数字证书（Certificate）：

数字证书是一种非对称密钥加密，但是，一个组织可以应用证书并通过数字签名将一组公钥和私钥与其拥有者相干联。SQL Server 2005 支撑“因特网工程工作组”(IETF) X.509 版本 3 (X.509v3) 规范。一个组织可以对 SQL Server 2005 应用外部天生的证书，或者可以应用 SQL Server 2005 天生证书。

SQL Server 2005 采用多级密钥来保护它内部的密钥和数据，如下图所示：

图1 SQL Server 2005采用多级密钥保护它内部的密钥和数据

图中引出箭头的密钥或服务用于保护箭头所指的密钥。所以服务主密钥（service master key）保护数据库主密钥（database master keys），而数据库主密钥又保护证书（certificates）和非对称密钥（asymmetric keys）。而最底层的对称性密钥（symmetric keys）被证书、非对称密钥或其他的对称性密钥保护（箭头又指回它本身）。用户只需通过供给密码来保护这一系列的密钥。

图中顶层的服务主密钥，安装SQL Server 2005新实例时主动产生和安装，用户不能删除此密钥，但数据库治理员能对它进行基础的保护，如备份该密钥到一个加密文件，当其危及到安全时更新它，恢复它。

服务主密钥由DPAPI（Data Protection API）治理。DPAPI在Windows 2000 中引进，建立于Windows的Crypt32 API之上。SQL Server 2005 治理与DPAPI的接口。服务主密钥本身是对称式加密，用来加密服务器中的数据库主密钥。

数据库主密钥与服务主密钥不同，在加密数据库中数据之前，必需由数据库治理员创立数据库主密钥。通常治理员在产生该密钥时，供给一个口令，所以它用口令和服务主密钥来加密。假如有足够的权限，用户可以在需要时显式地或主动地打开该密钥。下面是产生数据库主密钥的T-SQL代码示例：

以下为引用的内容：
USE EncryptionDB
CREATE MASTER KEY
ENCRYPTION BY PASSWORD = 'UTY6%djzZ8S7RyL'

每个数据库只有一个数据库主密钥。可以用ALTER MASTR KEY语句来删除加密，更改口令或删除数据库主密钥。通常这由数据库治理员来负责做这些。

有了数据库主密钥，就可以着手加密数据。T-SQL有置于其内的加密支撑。应用CREATE语句创立各种密码，ALTER语句修正他们。例如要创立对称式加密，可以通过一对函数EncryptByKey 和 DecryptByKey来完成。

数据加密技巧利用解析

下面通过实例来探讨SQL Server 2005数据加密与解密技巧的实现。

假设有一张Customer 表，表中有字段 customer ID、 name、 city 和各种信用卡细节。其中信用卡细节需要加密而其他数据不需要。假设User1有对称式密钥，并用该密钥登录，运行相应的代码加密数据。

⑴ 数据加密

① 产生密钥：在含有Customers 表的数据库中应用Triple DES作为加密算法，天生对称式密钥。本例中，密钥本身由已经存在在数据库中的证书保护，如图一所示，对称密码受非对称密码和存在的其他对称式密钥保护。

以下为引用的内容：
CREATE SYMMETRIC KEY User1SymmetricKeyCert
AUTHORIZATION User1
WITH ALGORITHM = TRIPLE_DES
ENCRYPTION BY CERTIFICATE User1Certificate

② 打开密钥：对称式密钥应用前必需显式打开，所以接下来打开它，重新找回密码，解密它，并放它在受保护的服务器内存中，准备应用。

以下为引用的内容：
OPEN SYMMETRIC KEY User1SymmetricKeyCert
DECRYPTION BY CERTIFICATE User1Certificate

③ 加密数据：在下面的代码中，应用正常的T-SQL INSERT语句将一行数据插进表中，id、name和city 用明文保留，信用卡类型、号码以及有埋伏机密的客户注释用加密方法储存，用Triple DES加密算法加密数据。

以下为引用的内容：
INSERT INTO Customer
VALUES (4, 'John Doe', 'Fairbanks',
EncryptByKey(Key_GUID(
'User1SymmetricKeyCert'), 'Amex'),
EncryptByKey(Key_GUID(
'User1SymmetricKeyCert'),
'1234-5678-9009-8765'),
EncryptByKey(Key_GUID(
'User1SymmetricKeyCert'),
'Window shopper. Spends $5 at most.'))

加密完成后，封闭它，开释内存，以防它被误用。

CLOSE SYMMETRIC KEY User1SymmetricKeyCert

以上是全部的数据加密的把持过程。它没有混乱的密码治理，也不用调用特别的算法。储存加密数据的字段是varbinary类型数据，其长度足以储存扩大的数据（加密数据比明文需要更多的空间，有时候多很多）。

⑵ 数据解密

要解密已加密的数据，你需要重新打开对称式加密。应用DecryptByKey函数读数据，然后封闭对称式加密。成果及相应的代码如下。