問題一：如何為數(shù)據(jù)進(jìn)行加密與解密，避免使用者竊取機(jī)密數(shù)據(jù)？
對(duì)于一些敏感數(shù)據(jù)，如密碼、卡號(hào)，一般不能使用正常數(shù)值來存儲(chǔ)。否則會(huì)有安全隱患。以往的加密解密都有前端應(yīng)用程序來輔助完成。而數(shù)據(jù)庫一般只能加密不能解密。
從2005開始提供了數(shù)據(jù)庫層面的數(shù)據(jù)加密與解密。其實(shí)現(xiàn)方式主要有以下：
1、 利用CONVERT改變編碼方式：
利用該函數(shù)把文字或數(shù)據(jù)轉(zhuǎn)換成VARBINARY。但該方式不具備保護(hù)數(shù)據(jù)的能力，僅避免瀏覽數(shù)據(jù)的過程中能直接看到敏感數(shù)據(jù)的作用。
2、 利用對(duì)稱密鑰：
搭配EncryptByKey進(jìn)行數(shù)據(jù)加密。使用DecryptByKey函數(shù)進(jìn)行解密。這種方式比較適合大數(shù)據(jù)量。因?yàn)閷?duì)稱密鑰的過程好用資源較少。
3、 利用非對(duì)稱密鑰：
搭配EncryptByAsymKey進(jìn)行數(shù)據(jù)加密。使用DecryptByAsymKey函數(shù)進(jìn)行解密。用于更高安全級(jí)別的加解密數(shù)據(jù)。因?yàn)楹挠觅Y源叫多。
4、 利用憑證的方式：
搭配EncryptByCert進(jìn)行加密和DecryptByCert函數(shù)進(jìn)行解密。比較類似非對(duì)稱密鑰。
5、 利用密碼短語方式：
搭配EncryptBypassPhrase進(jìn)行加密，使用DecryptByPassPhrase函數(shù)來解密。可以使用有意義的短語或其他數(shù)據(jù)行，當(dāng)成加密、解密的關(guān)鍵字，比較適合一般的數(shù)據(jù)加解密。

案例：
SQL code

1、 Convert方式： a) USE tempdb b) GO c) CREATE TABLE test d) ( e) userID INT IDENTITY(1, 1) , f) userName VARCHAR(10) , g) userSalary FLOAT , h) cyberalary NVARCHAR(MAX) i) ) ; j) k) INSERT INTO TEST l) ( userName, userSalary ) m) VALUES ( 'taici', 1234 ), n) ( 'hailong', 3214 ), o) ( 'meiyuan', 1111 ) p) --ALTER TABLE test q) --ADD userNewSalary VARBINARY(512) r) --使用轉(zhuǎn)換函數(shù)把數(shù)據(jù)轉(zhuǎn)換成varbinary，改變編碼方式。 s) SELECT * , t) CONVERT(VARBINARY(512), userSalary) u) FROM test v) --把數(shù)據(jù)轉(zhuǎn)換成int，可以恢復(fù)原有編碼方式 w) SELECT * , x) CONVERT(INT, userSalary) y) FROM test 2、 對(duì)稱密鑰: a) --創(chuàng)建對(duì)稱密鑰 b) USE AdventureWorks c) GO d) CREATE SYMMETRIC KEY SymKey123 e) WITH ALGORITHM=TRIPLE_DES ENCRYPTION BY PASSWORD='P@ssw0rd' f) GO g) --注意事項(xiàng):在啟用時(shí),需要先OPEN SYMMETRIC KEY 搭配密鑰密碼，否則所產(chǎn)生的數(shù)據(jù)都會(huì)是null值。而且需要搭配Key_GUID函數(shù)來使用 h) --打開對(duì)稱密鑰 i) OPEN SYMMETRIC KEY SymKey123 DECRYPTION BY PASSWORD='P@ssw0rd'; j) --進(jìn)行數(shù)據(jù)加密 k) SELECT * ,ENCRYPTBYKEY(KEY_GUID('SymKey123'),CONVERT(VARCHAR(max),AddressLine1)) l) FROM Person.Address m) r) --把加密后數(shù)據(jù)更新到原來另外的列上 s) UPDATE Person.Address t) SET AddressLine2=ENCRYPTBYKEY(KEY_GUID('SymKey123'),CONVERT(VARCHAR(max),AddressLine1)) u) --解密:解密過程同樣需要OPEN SYMMETRIC KEY ,且需要利用DECRYPTBYKEY 和CONVERT函數(shù) v) OPEN SYMMETRIC KEY SymKey123 DECRYPTION BY PASSWORD='P@ssw0rd'; w) x) SELECT AddressID,CONVERT(VARCHAR(MAX ) ,CONVERT (VARCHAR(MAX ),DECRYPTBYKEY(AddressLine2))) y) FROM Person.Address 3、 非對(duì)稱密鑰： a) --非對(duì)稱密鑰使用兩種不同的密鑰，所以加密是是不需要輸入密碼驗(yàn)證，但解密時(shí)就需要 b) USE AdventureWorks c) GO d) CREATE ASYMMETRIC KEY AsymKey123 WITH ALGORITHM=RSA_2048 ENCRYPTION BY PASSWORD='P@ssw0rd'; e) GO f) g) --添加新列存儲(chǔ)加密后的數(shù)據(jù) h) ALTER TABLE Person.Address ADD AddressLine3 nvarchar(MAX) i) GO j) --進(jìn)行加密 k) SELECT *,ENCRYPTBYASYMKEY(ASYMKEY_ID ('AsymKey123'),CONVERT(VARCHAR(MAX ),AddressLine1)) l) FROM Person.Address m) GO n) o) --把數(shù)據(jù)更新到一個(gè)新列 p) UPDATE Person.Address q) SET AddressLine3=ENCRYPTBYASYMKEY(ASYMKEY_ID ('AsymKey123'),CONVERT(VARCHAR(MAX ),AddressLine1)) r) s) t) SELECT *--addressline3 u) FROM Person.Address v) w) --解密：此過程一定要使用密碼來解密，此處的類型要與加密時(shí)相同，比如加密時(shí)用varchar,而這里用nvarchar的話是解密不了的。 x) SELECT TOP 10 AddressID,CONVERT(VARCHAR(MAX),CONVERT (VARCHAR(MAX ),DECRYPTBYASYMKEY(ASYMKEY_ID('AsymKey123'),AddressLine3,N'P@ssw0rd'))) AS Decryptedata y) FROM Person.Address 4、 證書加密： a) --證書加密：首先建立證書（certificate） b) CREATE CERTIFICATE certKey123--證書名 c) ENCRYPTION BY PASSWORD='P@ssw0rd'--密碼 d) WITH SUBJECT='Address Certificate',--證書描述 e) START_DATE='2012/06/18',--證書生效日期 f) EXPIRY_DATE='2013/06/18' ;--證書到期日 g) GO h) --利用證書加密 i) SELECT *,ENCRYPTBYCERT(CERT_ID('certKey123'),CONVERT (VARCHAR(MAX ),AddressLine1)) cyberAddress j) FROM Person.Address k) l) --添加新列存放加密數(shù)據(jù) m) ALTER TABLE Person.Address ADD AddressLine4 Nvarchar(MAX ) n) o) --把加密后數(shù)據(jù)放到新列 p) UPDATE Person.Address q) SET AddressLine4=ENCRYPTBYCERT(CERT_ID('certKey123'),CONVERT (VARCHAR(MAX ),AddressLine1)) r) s) --解密 t) SELECT AddressID,CONVERT(VARCHAR(MAX ),CONVERT(VARCHAR(MAX ),DECRYPTBYCERT(CERT_ID('certKey123'),AddressLine4,N'P@ssw0rd'))) DecryAddress u) FROM Person.Address 5、 短語加密： a) --短語加密：該過程較為簡(jiǎn)單，只需要使用EncryptByPassPhrase函數(shù)，使用短語加密時(shí)，參考的數(shù)據(jù)航不可以變動(dòng)，否則解密失敗。 b) SELECT *,AddressLine5=ENCRYPTBYPASSPHRASE('P@ssw0rd',CONVERT(varbinary,AddressLine1),AddressID) c) FROM Person.Address d) e) --添加新列存放數(shù)據(jù)，注意，ENCRYPTBYPASSPHRASE函數(shù)返回的是VARBINARY類型 f) ALTER TABLE Person.Address ADD AddressLine5 VARBINARY(256) g) h) --將數(shù)據(jù)更新，過程中使用P@ssw0rd和AddressID數(shù)據(jù)行當(dāng)成密碼短語 i) j) UPDATE Person.Address k) SET AddressLine5=ENCRYPTBYPASSPHRASE('P@ssw0rd',CONVERT(varbinary,AddressLine1),AddressID) l) m) SELECT * FROM Person.Address

?問題二：如何保護(hù)數(shù)據(jù)庫對(duì)象定義，避免發(fā)生過渡暴露敏感信息？ 一般的保護(hù)措施是在創(chuàng)建對(duì)象時(shí)使用WITH ENCRYPTION來把對(duì)象加密，這樣就無法查看定義。但是問題是對(duì)于維護(hù)來說就成了問題，而且備份還原時(shí)這部分對(duì)象是會(huì)丟失的。 其中一個(gè)解決方法是在加密前，把定義語句放到對(duì)象的【擴(kuò)展屬性】中保存，這樣能解決上面的問題。 下面舉個(gè)例子: SQL code

--1、建立已加密的存儲(chǔ)過程USE AdventureWorks GO CREATE PROC test WITH ENCRYPTION AS SELECT SUSER_SNAME() , USER_NAME() GO --2、將上述定義內(nèi)容去除，利用短語加密搭配EncryptByPassPhrase函數(shù)加密，然后在用sys.sp_addextendedproperty存儲(chǔ)過程，指定一個(gè)擴(kuò)展名稱。USE AdventureWorks GO DECLARE @sql VARCHAR(MAX) SET @sql = 'CREATE PROC Test WITH ENCRYPTION AS SELECT suer_sname(),user_name() GO' --3、將內(nèi)容加密后轉(zhuǎn)換成sql_variant數(shù)據(jù)類型DECLARE @bsql SQL_VARIANT SET @bsql = ( SELECT CONVERT(SQL_VARIANT, ENCRYPTBYPASSPHRASE('P@ssw0rd', CONVERT(VARCHAR(MAX), @sql))) ) --4、新增到指定存儲(chǔ)過程的擴(kuò)展屬性中：EXEC sys.sp_addextendedproperty @name = N'test定義', @value = N'System.Byte[]', @level0type = N'SCHEMA', @level0name = N'dbo', @level1type = N'PROCEDURE', @level1name = N'test' GO EXEC sys.sp_addextendedproperty @name = N'代碼內(nèi)容', @value = N'CREATE PROC Test WITH ENCRYPTION AS SELECT suer_sname(),user_name() GO', @level0type = N'SCHEMA', @level0name = N'dbo', @level1type = N'PROCEDURE', @level1name = N'test' GO --5、還原DECLARE @pwd VARCHAR(100)= 'P@ssw0rd' --密碼短語 DECLARE @proc VARCHAR(100)= 'test' --存儲(chǔ)過程名 DECLARE @exName NVARCHAR(100)= '代碼內(nèi)容' --擴(kuò)充屬性名 --將原本結(jié)果查詢SELECT value FROM sys.all_objects AS sp INNER JOIN sys.extended_properties AS P ON P.major_id = sp.object_id AND P.minor_id = 0 AND P.class = 1 WHERE ( P.name = @exName ) AND ( ( sp.type = N'p' OR sp.type = N'rf' OR sp.type = 'pc' ) AND ( sp.name = @proc AND SCHEMA_NAME(sp.schema_id) = N'dbo' ) )

轉(zhuǎn)載于:https://www.cnblogs.com/kevinGao/archive/2012/06/20/2605595.html

總結(jié)

以上是生活随笔為你收集整理的T-SQL问题解决集锦——数据加解密的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。