51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程软考华为认证厂商认证IT技术PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

浅析SQL Server 2008中的代码安全之六:对称密钥加密

作者:邀月
数据库 SQL Server
证书和非对称密钥使用数据库级的内部公钥加密数据,并且使用数据库级内部私钥解密数据。而对称密钥相对简单,它们包含一个同时用来加密和解密的密钥。困此,使用对称密钥加密数据更快,并且用在大数据时更加合适。尽管复杂度是考虑使用它的因素,但它仍然是一个很好的加密数据的选择。

证书和非对称密钥使用数据库级的内部公钥加密数据,并且使用数据库级内部私钥解密数据。而对称密钥相对简单,它们包含一个同时用来加密和解密的密钥。困此,使用对称密钥加密数据更快,并且用在大数据时更加合适。尽管复杂度是考虑使用它的因素,但它仍然是一个很好的加密数据的选择。

 我们看一组例子:

示例一、创建对称密钥

对称密钥的特性是:在数据库会话中使用它对数据进行加密和解密前必须首先打开。

创建对称密钥使用如下命令:CREATE SYMMETRIC KEY  创建对称密钥。(http://msdn.microsoft.com/en-us/library/ms188357.aspx)

use DB_Encrypt_Demo  
go  
-- 创建一个用于加密对称密钥的非对称密钥  
CREATE ASYMMETRIC KEY symDemoKey --名称  
WITH ALGORITHM = RSA_512     --加密算法  
ENCRYPTION BY PASSWORD = 'TestSYM456!'--密码  
-- 创建一个对称密钥  
CREATE SYMMETRIC KEY sym_Demo  
WITH ALGORITHM = TRIPLE_DES  
ENCRYPTION BY ASYMMETRIC KEY symDemoKey  
 

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.

示例二、查看当前数据库中的对称密钥

使用目录视图sys.symmetric_keys(http://msdn.microsoft.com/en-us/library/ms189446.aspx)来查看。

--查看当前数据库中的非对称密钥  
use DB_Encrypt_Demo  
go  
SELECT name, algorithm_desc FROM sys.symmetric_keys  
----结果返回  
/*  
name    algorithm_desc  
sym_Demo    TRIPLE_DES  
*/  
 

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.

示例三、修改非对称密钥的加密方式

你可以使用ALTER SYMMETRIC KEY(http://technet.microsoft.com/en-us/library/ms189440.aspx)命令修改对称密钥的加密方式。但执行前必须使用OPEN SYMMETRIC KEY(http://msdn.microsoft.com/en-us/library/ms190499.aspx)命令打开它。

use DB_Encrypt_Demo  
go  
--先用私钥密码打开对称密钥  
OPEN SYMMETRIC KEY sym_Demo  
DECRYPTION BY ASYMMETRIC KEY symDemoKey  
WITH PASSWORD = 'TestSYM456!' 
--打开之后,先增加密码加密,取代原密钥  
ALTER SYMMETRIC KEY sym_Demo  
ADD ENCRYPTION BY PASSWORD = 'newnew!456' 
--再删除非对称密钥加密  
ALTER SYMMETRIC KEY sym_Demo  
DROP ENCRYPTION BY ASYMMETRIC KEY symDemoKey  
--完成操作后,关闭对称密钥  
CLOSE SYMMETRIC KEY sym_Demo    

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.

示例四、使用对称密钥对数据进行加密和解密。

1、为了使用对称密钥对数据进行加密,必须首先打开它,然后使用函数EncryptByKey 加密数据。(http://msdn.microsoft.com/zh-cn/library/ms174361.aspx)

2、使用DecryptByKey来解密使用对称密钥加密的数据。注意DecryptByKey不像甩EncryptByKey,无须使用对称密钥GUID。因此,为了解密,必须打开正确的对称密钥会话,否则会显示null。

下面是一个例子:

/***************************************************/  
USE DB_Encrypt_Demo  
GO  
--创建测试数据表,用于对称加密  
CREATE TABLE dbo.PWDQuestion  
(CustomerID int NOT NULL PRIMARY KEY,  
PasswordHintQuestion nvarchar(300) NOT NULL,  
PasswordHintAnswer varbinary(200) NOT NULL)  
GO  
--插入加密数据  
OPEN SYMMETRIC KEY sym_Demo  
DECRYPTION BY PASSWORD = 'newnew!456' 
INSERT dbo.PWDQuestion  
(CustomerID, PasswordHintQuestion, PasswordHintAnswer)  
VALUES 
(12, '您出生的医院名称?',  
EncryptByKey(Key_GUID('sym_Demo '), '杭州市一'))  
CLOSE SYMMETRIC KEY sym_Demo  
 

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.

查看未加密的数据:
--解密数据

OPEN SYMMETRIC KEY sym_Demo  
DECRYPTION BY PASSWORD = 'newnew!456' 
SELECT CustomerID,PasswordHintQuestion,  
CAST(DecryptByKey(PasswordHintAnswer) as varchar(200)) PasswordHintAnswer  
FROM dbo.PWDQuestion  
WHERE CustomerID = 12  
--打开后切记关闭!!!  
CLOSE SYMMETRIC KEY sym_Demo   

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.

--不打开直接读取  
SELECT CustomerID,PasswordHintQuestion,  
CAST(DecryptByKey(PasswordHintAnswer) as varchar(200)) PasswordHintAnswer  
FROM dbo.PWDQuestion  
WHERE CustomerID = 12   
 

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.

 

 至此,好像已经大功告成了,别,千万别高兴得太早!

这里有个问题,如果恶意用户不知道CustomerID=13的PasswordHintAnswer列的真实值,但知道CustomerID=14的PasswordHintAnswer列的真实值,则完全可以通过恶意替换PasswordHintAnswer列而绕过加密!!此时,我们索性连CustomerID列作为验证列也一起加密,以绝后患 !

注意:加密的验证列也可以由另一个相关表的列作为参数传入。

看一个完整的例子:

truncate table dbo.PWDQuestion  
go  
--添加两个未加密的行  
INSERT dbo.PWDQuestion  
(CustomerID, PasswordHintQuestion, PasswordHintAnswer)  
select 13, '您出生的医院名称?',cast('浙江妇保院' as varbinary)  
union all 
select  14, '您出生的医院名称?',cast('浙江妇保二院' as varbinary)  
--打开对称密钥,连CustomerID列一起加密  
OPEN SYMMETRIC KEY sym_Demo  
DECRYPTION BY PASSWORD = 'newnew!456' 
UPDATE dbo.PWDQuestion  
SET PasswordHintAnswer =  
EncryptByKey(Key_GUID('sym_Demo'),  
PasswordHintAnswer,1,--1表示使用验证器值  
CAST(CustomerID as varbinary))  
WHERE CustomerID in (13,14)  
--打开后切记关闭!!!  
CLOSE SYMMETRIC KEY sym_Demo  
--此时必须这样查看原数据  
OPEN SYMMETRIC KEY sym_Demo  
DECRYPTION BY PASSWORD = 'newnew!456' 
SELECT CustomerID,PasswordHintQuestion,  
CAST(DecryptByKey(PasswordHintAnswer, 1,--1表示使用验证器值  
CAST(CustomerID as varbinary)) as varchar(200)) PasswordHintAnswer  
FROM dbo.PWDQuestion  
WHERE CustomerID = 13  
--打开后切记关闭!!!  
CLOSE SYMMETRIC KEY sym_Demo   
 

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.

恶意替换开始:

/**********************************************************  
--我们用刚才的CustomerID = 13的PasswordHintAnswer列值  
--替换CustomerID = 14的PasswordHintAnswer列值,  
--再用刚才读取14的方法读取真实值**********************************************************/  
update dbo.PWDQuestion set PasswordHintAnswer=  
(select PasswordHintAnswer from   dbo.PWDQuestion where CustomerID = 14)  
where CustomerID = 13  

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.


此时,我们再查看:

OPEN SYMMETRIC KEY sym_Demo  
DECRYPTION BY PASSWORD = 'newnew!456' 
SELECT CustomerID,PasswordHintQuestion,  
CAST(DecryptByKey(PasswordHintAnswer, 1,--1表示使用验证器值  
CAST(CustomerID as varbinary)) as varchar(200))   
PasswordHintAnswer,PasswordHintAnswer as binaryValue  
FROM dbo.PWDQuestion  
WHERE CustomerID in(13,14)  
--打开后切记关闭!!!  
CLOSE SYMMETRIC KEY sym_Demo   

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.

郎勒个郎!爽吧!虽然复制了相同的二进制数据,可是读取结果令攻击者大失所望啊!

示例五、删除对称密钥

命令:DROP SYMMETRIC KEY 删除指定的对称密钥( http://technet.microsoft.com/en-us/library/ms182698.aspx)

例子:

DROP SYMMETRIC KEY symDemoKey  

  • 1.

注意:如果加密密钥打开没有关闭,则drop失败。

小结:

1、本文主要介绍对称密钥的创建、删除、查看以及用它来修改加密方式、进行数据的加密和解密。

2、对称密钥的特性是:在数据库会话中使用它对数据进行加密和解密前必须首先打开。

3、对称密钥可用于大数据的加密。

下文将主要介绍证书加密(Certificate Encryption)

 原文链接:http://www.cnblogs.com/downmoon/archive/2011/03/15/1984352.html

【编辑推荐】

  1. 浅析SQL Server 2008中的代码安全之一:存储过程加密与安全上下文
  2. 浅析SQL Server 2008中的代码安全之二:DDL触发器与登录触发器
  3. 浅析SQL Server 2008中的代码安全之三:通过PassPhrase加密
  4. 浅析SQL Server 2008中的代码安全之四:主密钥
  5. 浅析SQL Server 2008中的代码安全之五:非对称密钥加密
责任编辑:艾婧 来源: 博客园
对称密钥加密
相关推荐
浅析SQL Server 2008代码安全五:非对称密钥加密
非对称密钥包含数据库级的内部公钥和私钥,它可以用来加密和解密SQLServer数据库中的数据,它可以从外部文件或程序集中导入,也可以在SQLServer数据库中生成。非对称密钥对于数据库加密属于高安全选项,因而需要更多的SQLServer资源。

2011-03-14 10:38:10

SQL Server非对称密钥加密
SQL Server 2008代码安全:非对称密钥加密
一提到SQLServer2008数据库,安全问题就不得不说说,现在的数据库安全防护工作都做的非常好,就是对数据库进行加密,下面为大家介绍非对称密钥加密。

2011-03-14 15:06:49

SQL Server 安全
浅析SQL Server 2008代码安全四:主密钥
本文主要介绍服务主密钥的备份与还原,数据库的主密钥的创建、重新生成、删除和备份、还原。

2011-03-10 15:03:40

SQL Server主密钥
浅析SQL Server 2008代码安全七:证书加密
证书可以在数据库中加密和解密数据。SQLServer可以生成它自己的证书,也可以从外部文件或程序集载入。因为可以备份然后从文件中载入它们,证书比非对称密钥更易于移植,而非对称密钥却做不到。这意味着可以在数据库中方便地重用同一个证书。

2011-03-16 08:42:22

SQL Server证书加密
浅析SQL Server 2008代码安全八:透明加密(TDE)
SQLServer2008引入透明数据加密(TransparentDataEncryption),即TDE,它允许你完全无需修改应用程序代码而对整个数据库加密。

2011-03-18 09:11:14

SQL Server透明加密
浅析SQL Server 2008代码安全之三:通过PassPhrase加密
本文主要涉及EncryptByPassPhrase和DecryptByPassPhrase函数进行通行短语(PassPhrase)加密。

2011-03-03 10:45:51

SQL Server 2008代码安全之主密钥详解
本文我们主要介绍了SQLServer2008中的代码安全之主密钥的相关知识,包括:服务器主密钥和数据库主密钥,并给出了四个示例加以说明,希望能够对您有所帮助。

2011-08-19 11:26:41

SQL Server 主密钥
SQL Server 2008加密密钥管理
服务器级安全可能是系统管理员最关心的问题,而对于数据库来说,所有操作都是在生产环境中完成的。在大多数情况下,数据库管理员会将数据库细节的问题留给数据库开发人员处理,只要开发人员在环境的限制内工作。SQLServer2008提供了大量确保数据库安全的功能。

2009-04-16 18:07:39

浅析SQL Server 2008代码安全之一:存储过程加密安全上下文
编者最近对SQLServer2008的安全入门略作小结,以作备忘。本文主要是针对存储过程加密与安全上下文来作分析。

2011-02-28 15:46:22

SQLSQL ServerSQL Server
通信安全基础:哈希、对称加密、非对称加密密钥协商
本篇文章介绍一下程序员都应该了解的网络通信相关的安全基础知识。下面,我们一起来看。

2019-09-23 12:16:02

通信安全加密哈希
SQL Server 2008代码安全目录索引
之前我们跟随笔者探讨了SQLServer2008中的代码安全,笔者一共介绍了八种方法,现在对这八类做一个总结,做出一个目录索引。

2011-03-18 10:27:00

SQL Server目录索引
SQL Server 2008安全配置
随着越来越多的网络相互连接,安全性也变得日益重要。公司的资产必须受到保护,尤其是数据库,它们存储着公司的宝贵信息。安全是数据引擎的关键特性之一,保护企业免受各种威胁。

2009-04-16 17:34:19

浅析SQL Server 2008代码安全之二:DDL触发器与登录触发器
笔者之前介绍了代码安全之一:存储过程加密与安全上下文,这次为我们介绍了涉及DDL触发器和登录触发器的应用实例。

2011-03-03 09:30:24

downmoonsql登录触发器
SQL Server 2008安装安全审计
SQLServer2008引进了一种新的审计性能,它能使DBA追踪数据库的使用并进行详细审计。我们能在服务器和数据库上安装审计,在单独的数据库对象上激活并用各种不同的格式保存,如二进制文件或WindowsApplication日志。本文主要讲述的是在SQLServer2008中如何安装安全审计。

2009-02-16 16:10:49

安全审计安装SQL Server
详解SQL Server加密功能:数据加密密钥管理
今天主要介绍SQLServer加密功能,比较特殊,跟其他数据库的设计还是有些不太一样的。下面一起来看看吧

2019-08-27 15:29:11

SQL Server 2008SQL增强Merge命令详解
本文我们主要介绍了SQLServer2008中SQL增强之Merge命令,并通过一个例子详细地对Merge的用法进行了介绍,希望能够对您有所帮助。

2011-08-19 10:40:27

SQL Server Merge命令
SQL Server 2008元数据安全
SQLServer2008仔细检查数据库中主体所拥有的各种权限,仅当主体具有所有者身份或拥有对象的某些权限时,才会显示该对象的元数据。还有一种VIEWDEFINITION权限,即使没有该对象的其他权限,利用它也能查看元数据信息。

2009-04-16 18:25:55

使用Python进行对称和非对称密钥加密和解密
加密涉及将明文数据转换为密文,使未经授权的个人或实体无法理解。这一过程是通过使用加密算法和加密密钥来实现的。其目的是确保即使加密数据被未授权方截获或访问,他们也无法在没有解密密钥的情况下理解其内容。

2023-09-04 14:00:28

加密密钥私钥
SQL Server 2008SQL增强Values新用途
本文我们主要介绍了SQLServer2008中SQL增强之Values新用途的知识,并以详细的代码示例加以说明,希望能够对您有所帮助。

2011-08-19 10:13:34

SQL Server Values新用途
SQL Server 2008SQL增强Top新用途
本文我们主要介绍了SQLServer2008中SQL增强之Top新用途的知识,包括用Top代替SetRowCount和Top分块修改数据等内容,希望能够对您有所帮助。

2011-08-19 10:24:46

SQL Server Top新用途
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服