強(qiáng)化SQL Server數(shù)據(jù)庫安全（下）

SQL Server的常規(guī)數(shù)據(jù)加密

為了保護(hù)數(shù)據(jù)的安全，僅僅依靠權(quán)限控制是不夠的，通過對數(shù)據(jù)進(jìn)行加密，可以有效保護(hù)SQL Servr數(shù)據(jù)庫的安全。在SQL Server中，加密是分層級的，根層級的加密保護(hù)其下子層級的加密。每一個SQL Server實(shí)例都擁有服務(wù)主密鑰，這是整個實(shí)例的根密鑰。

數(shù)據(jù)庫主密鑰工作在數(shù)據(jù)庫級別，每一個數(shù)據(jù)庫只能存在一個主密鑰，可以使用T-SQL語句來創(chuàng)建數(shù)據(jù)庫主密鑰，例如執(zhí)行“CREATE MASTER KEY ENCRYPTION BY PASSWORD ='key123456'”語句，來創(chuàng)建數(shù)據(jù)庫主密鑰，這里的密碼為“key123456”。當(dāng)創(chuàng)建完畢后，可以使用其創(chuàng)建數(shù)據(jù)庫級別的證書和和非對稱密鑰。通過證書和非對稱密碼，可以保護(hù)對稱密鑰。使用證書、非對稱密鑰以及對稱密鑰，可以對數(shù)據(jù)進(jìn)行保護(hù)。例如，可以對數(shù)據(jù)表中特定的列進(jìn)行加密。

例 如， 執(zhí) 行“CREATE CERTIFICATE Certauser with SUBJECT = 'Test zhengshu'”語句，可以創(chuàng)建名為“Certauser”的證書，執(zhí) 行“CREATE ASYMMETRIC KEY CeshiAsymmetric WITH ALGORITHM = RSA_2048 ENCRYPTION BY PASSWORD ='password'”語句，可以創(chuàng)建 名 為“CeshiAsymmetric”的非對稱密鑰。執(zhí)行“CREATE SYMMETRIC KEY CeshiSymme tric WITH ALGORITHM = AES_256 ENCRYPTION BY PASSWORD= 'password'” 語 句，可以創(chuàng)建名為“CeshiSymme tric”的對稱密碼。在目標(biāo)數(shù)據(jù)庫中打開“安全性”節(jié)點(diǎn)下打開“證書”，“非對稱密鑰”，“對稱密鑰”項(xiàng)，可以看到以上創(chuàng)建的證書，非對稱密鑰以及對稱密鑰。

執(zhí)行語句“C R E A T E S Y M M E T R I C KEY SymmetricByCert WITH ALGORITHM = AES_256 ENCRYPTION BY CERTIFICATE Certauser”，可以根據(jù) Cert Test證書來創(chuàng)建對稱密鑰。在實(shí)際使用時，需要配合對應(yīng)的加解密函數(shù)進(jìn)行操作。例如對某數(shù)據(jù)表中的列進(jìn)行加密時，首先使用“CONVERT(varbinary(500),kahao)”函數(shù)，對特定的列（這里為“kahao”）進(jìn)行類型轉(zhuǎn)換，將其轉(zhuǎn)換成Varbinary類型，在程序中的合適位置 執(zhí) 行“OPEN SYMMETRIC KEY SymmetricByCert DECRYPTION BY CERTIFICATE Certauser” 語 句，打 開被證書加密的對稱密鑰。 執(zhí) 行“kahao_encrypt= EncryptByKey(KEY_GUID('SymmetricByCert'),kahao),”之類的語句，對“kahao”列內(nèi)容進(jìn)行加密。

對于加密的數(shù)據(jù)，按照常規(guī)方式查看時，要么無法顯示，要么顯示雜亂。在解密時，可以執(zhí)行“convert(nvarchar(25),DecryptByKey(kahao_encrypt))”之類的語句，對該字段的內(nèi)容進(jìn)行解密。當(dāng)然，為了便于加密，在創(chuàng)建數(shù)據(jù)表時，對于需要加密的字段可以將其類型設(shè)置為“VARBINARY”，并創(chuàng)建所需的數(shù)據(jù)庫用戶名（如“sqluser”），為其賦予查看、插入、更新特定數(shù)據(jù)表的權(quán)限。執(zhí)行“CREATE CERTIFICATE CER_SK_sqluser AUTHORIZATION sqluser WITH SUBJECT='CERTIFICATE FOR ACCESS SYMMETRIC KEYS -FOR USE BY sqluser', start_date= '01/01/2016', EXPIRY_DATE = '12/31/2099'”語句，可針對sqluser用戶創(chuàng)建證書，并設(shè)置證書的可用期限。

執(zhí)行“CREATE SYMMETRIC KEY SK_EMPLOYEES_sqluser AUTHORIZATION sqluser WITH ALGORITHM=triple_des ENCRYPTION BY CERTIFICATE CER_SK_sqluser”語句，創(chuàng)建所需的對稱密鑰，名稱為“SK_EMPLOYEES_sqluser”。在程序的合適位置執(zhí)行“exec as login='slh'”語句，以該用戶身份登錄。執(zhí)行“INSERT INTO EMPLOYEE VALUES(1,'yonghu1','5000',ENCRYPTBYKEY(K EY_GUID('SK_EMPLOYEES_sqlserver'),'5000'))”之類的語句，對指定的字段進(jìn)行加密。執(zhí)行所有的加密操作后，執(zhí)行“CLOSE ALL SYMMETRIC KEYS”語句，關(guān)閉對稱密鑰。在解密時，需要先執(zhí)行“OPEN SYMMETRIC KEY SK_EMPLOYEES_slh DECRYPTION BY CERTIFICATE CER_SK_sqluser”語句，打開對稱密鑰。之后執(zhí)行“SELECT EMPLOYEEID,SALARY,CONVER T(VARCHAR(1000),DECRYPTB YKEY(ENCRYPTSALARY)) AS SALARY1 FROM EMPLOYEE”之類的語句，對加密的字段進(jìn)行解密處理。但是當(dāng)使用別的用戶身份登錄時，即使其擁有對該數(shù)據(jù)表的控制權(quán)也無法執(zhí)行解密操作，因?yàn)槠錄]有上述證書的所有權(quán)。