SQL Server 2008中的代码安全（五）：非对称密钥加密

542179528

　　SQL Server 2008中SQL应用系列--目录索引
　　
非对称密钥包含数据库级的内部公钥和私钥，它可以用来加密和解密SQL Server数据库中的数据，它可以从外部文件或程序集中导入，也可以在SQL Server数据库中生成。它不像证书，不可以备份到文件。这意味着一旦在SQL Server中创建了它，没有非常简单的方法在其他用户数据库中重用相同的密钥。非对称密钥对于数据库加密属于高安全选项，因而需要更多的SQL Server资源。
　　我们看一组例子：
　　示例一、创建非对称密钥
　　创建非对称密钥使用如下命令:
　　CREATE ASYMMETRIC KEY  创建非对称密钥。（http://msdn.microsoft.com/en-us/library/ms174430.aspx）


--以下语句创建一个非对称密钥asymDemoKey

use DB_Encrypt_Demo
go
CREATE ASYMMETRIC KEY asymDemoKey --创建非对称密钥名称
WITH ALGORITHM = RSA_512   --加密安全类型
ENCRYPTION BY PASSWORD ='TestASYM123!'--密码　　
　　示例二、查看当前数据库中的非对称密钥
　　使用目录视图sys.asymmetric_keys(http://msdn.microsoft.com/en-us/library/ms188399.aspx)来查看。


--查看当前数据库中的非对称密钥
use DB_Encrypt_Demo
go
SELECT name, algorithm_desc, pvt_key_encryption_type_desc
FROM sys.asymmetric_keys
----结果返回

/*
name algorithm_desc pvt_key_encryption_type_desc
asymDemoKey RSA_512 ENCRYPTED_BY_PASSWORD
*/ 　　示例三、修改非对称密钥的私钥密码
　　你可以使用带有ENCRYPTION BY PASSWORD和DECRYPTION BY PASSWORD选项的ALTER ASYMMETRIC KEY（http://technet.microsoft.com/en-us/library/ms189440.aspx）修改私钥的密码。


--修改私钥密码
ALTER ASYMMETRIC KEY asymDemoKey--要修改的密钥名称
WITH PRIVATE KEY--私钥
(ENCRYPTION BY PASSWORD ='newpasswordE4D352F280E0',--指定新密码
DECRYPTION BY PASSWORD ='TestASYM123!')--旧密码是用来解密的  　　
　　示例四、使用非对称密钥对数据进行加密和解密。
　　由于同时需要公钥和密钥，在维护保密数据时使用非对称密钥来加密数据是非常安全的方式。但同时用于大数据集时将消耗更多的资源。
　　不推荐使用非对称密钥对数据加密，但它仍然是一个选择。一旦将非对称密钥加到数据库，就可以用来加密和解密数据。
　　用到以下两个sql函数:
　　EncryptByAsymKey 加密数据。（http://technet.microsoft.com/en-us/library/ms186950.aspx）
　　DecryptByAsymKey解密数据。（http://msdn.microsoft.com/en-us/library/ms189507.aspx）
　　注意，在通过证书加密时，DecryptByAsymKey返回的是varbinary类型的加密数据。
　　下面是一个例子：


use DB_Encrypt_Demo
go
--创建需要加密的数据
CreateTable BankUser
(PKID intprimarykeyidentity(10001,1)
,UserNo varbinary(1000) null
,CurState smallintdefault(0) notnull
)
go
insertinto BankUser
(UserNo,CurState)
VALUES (EncryptByAsymKey(AsymKey_ID('asymDemoKey'),'137492837583249ABR'),1)
--插入一条记录，字段UserNo存储了加密的号码值
go
select PKID,Curstate, cast(UserNo asnvarchar(1000)) as UserNo
from BankUser
where PKID=10001　　
　　明文结果：
http://l3gpwg.bay.livefilestore.com/y1puV_1XkwSppHvpTS-v8PnLbz05yYZNBGUfiHK4BDpgpRJ4J40mu9BuT09gdhw3_CZGFxYvFZgNdoPFQFCGuZO6fLU-RI8rN9y/2011-3-13%2015-41-30.png?psid=1
　　查看未加密的数据：


SELECT PKID,Curstate,
cast
(DecryptByAsymKey(AsymKey_ID('asymDemoKey'),UserNo,N'newpasswordE4D352F280E0')
asvarchar(1000)) as UserNo --需要原始私钥
from BankUser where PKID=10001http://public.bay.livefilestore.com/y1pXsXP-SruyccTNWvKmppBWOyKEJYHjenFeuwQnAhW7WLOJxqNJ8d20mFiDeUMkoPudthAIF_gh48KSPmfzq2Dvg/2011-3-13%2015-47-14.png?psid=1
　　示例五、删除非对称密钥
　　命令：DROP ASYMMETRIC KEY 删除指定的非对称密钥( http://msdn.microsoft.com/en-us/library/ms188389.aspx)
　　例子：


DROP ASYMMETRIC KEY asymDemoKey　　
　　小结：
　　1、本文主要介绍非对称密钥的创建、删除、查看以及用它来修改私钥、进行数据的加密和解密。
　　2、非对称密钥包含数据库级的内部公钥和私钥，它可以用来加密和解密SQL Server数据库中的数据。
　　3、非对称密钥对于数据库加密属于高安全选项，因而需要更多的SQL Server资源，不推荐使用。
　　下文将主要介绍相对简单的并且广泛应用的对称密钥加密(Symmetric Key Encryption)