淺析SQL Server 2008中的代碼安全之三:通過PassPhrase加密
前言:
在SQL Server 2005和SQL Server 2008之前。如果希望加密敏感數(shù)據(jù),如財(cái)務(wù)信息、工資或身份證號(hào),必須借助外部應(yīng)用程序或算法。SQL Server 2005引入內(nèi)建數(shù)據(jù)加密的能力,使用證書、密鑰和系統(tǒng)函數(shù)的組合來(lái)完成。
與數(shù)字證書類似。SQL Server 證書包括公鑰和私鑰這一對(duì)密鑰,它們都用來(lái)加密和解密數(shù)據(jù)。SQL Server也擁有創(chuàng)建非對(duì)稱密鑰和對(duì)稱密鑰對(duì)象的能力。非對(duì)稱密鑰(asymmetric key)與證書相似,公鑰用來(lái)加密數(shù)據(jù)庫(kù),私鑰用來(lái)解密數(shù)據(jù)。非對(duì)稱密鑰和證書都提供了強(qiáng)大的加密強(qiáng)度。但在完成復(fù)雜的加密|解密過程中具有更多的性能開銷。更適合對(duì)大量數(shù)據(jù)進(jìn)行加密,且具有較低性能開銷的解決方案是對(duì)稱密鑰(symmetric key),它是對(duì)相同數(shù)據(jù)進(jìn)行加密和解密的一個(gè)密鑰。
SQL Server允許將這些加密能力放到加密層次結(jié)構(gòu)中。當(dāng)安裝了SQL Server后,在數(shù)據(jù)庫(kù)master中創(chuàng)建名為服務(wù)主密鑰的服務(wù)器級(jí)別證書,并將其默綁定到SQL Server服務(wù)賬號(hào)登錄名。服務(wù)主密鑰用來(lái)加密所有其他數(shù)據(jù)庫(kù)證書和創(chuàng)建在SQL Server實(shí)例中的密鑰。另外,你也可以在用戶數(shù)據(jù)庫(kù)中創(chuàng)建數(shù)據(jù)庫(kù)主密鑰(Database Master Key),它可以用來(lái)加密數(shù)據(jù)庫(kù)證書和密鑰。
在SQL Server 2008中,微軟引入了透明數(shù)據(jù)加密(TDE),它對(duì)整個(gè)數(shù)據(jù)庫(kù)進(jìn)行加密,而不需要修改任何訪問它的應(yīng)用程序。數(shù)據(jù)、日志文件和相關(guān)的數(shù)據(jù)庫(kù)備份都是加密的。假如數(shù)據(jù)庫(kù)被偷,如果沒有數(shù)據(jù)庫(kù)加密密鑰(DEK)是不能訪問數(shù)據(jù)的。本文及后面幾篇文章將會(huì)舉例說(shuō)明。
在SQL Server 2008中,還引入了對(duì)可擴(kuò)展密鑰管理(EKM)的支持,也就意味著SQL Server可以使用硬件安全模塊(HSM)來(lái)存儲(chǔ)和和管理加密密鑰。HSM可以減少數(shù)據(jù)和實(shí)際的加密密鑰耦合。
此部分內(nèi)容共分六篇文章:
1、通過PassPhrase加密
2、主密鑰
3、非對(duì)稱密鑰加密
4、對(duì)稱密鑰加密
5、證書加密
6、透明數(shù)據(jù)加密
一、通過通行短語(yǔ)(PassPhrase)加密
對(duì)于不涉及證書及密鑰的應(yīng)急的數(shù)據(jù)加密,可以直接基于用戶提供的密碼來(lái)加密和解密數(shù)據(jù)。通行短語(yǔ)(PassPhrase)是允許存在空格的密碼。這個(gè)PassPhrase不會(huì)存儲(chǔ)在數(shù)據(jù)庫(kù)中,因而也就意味著不會(huì)被使用存儲(chǔ)的系統(tǒng)數(shù)據(jù)“破解”。同時(shí),可以使用空格創(chuàng)建一個(gè)長(zhǎng)的、易于記憶的句子來(lái)加密和解密敏感數(shù)據(jù)。
我們需要了解的一對(duì)函數(shù)是ENCRYPTBYPASSPHRASE(http://technet.microsoft.com/zh-cn/library/ms190357.aspx)和DECRYPTBYPASSPHRASE(http://technet.microsoft.com/zh-cn/library/ms188910.aspx)
這一對(duì)函數(shù)必須使用相同的參數(shù)。
我們看一個(gè)示例:
- use DemoDB2008r2
- go
- -- Table used to store the encrypted data
- -- for the purposes of this recipe
- CREATE TABLE #SecretInfo
- (MySecret varbinary(max) NOT NULL)
- GO
- INSERT #SecretInfo (MySecret)
- SELECT EncryptByPassPhrase(
- 'My Password Used To Encrypt This String in 2008.',
- '我把公司的服務(wù)器數(shù)據(jù)庫(kù)密碼記在那個(gè)綠色的小本子上了。')
- SELECT MySecret FROM #SecretInfo
- /*
- 通常的查詢結(jié)果:
- 0x01000000CCBC800C6B5CECE3F211FB975C2F8B681CC8301DDE74CF783C6A593
- 16C2BAC08D568151FD573E2FDE01C800805C8D1D5984727DEE95040C1FB604003
- A3EFDD0444CE72D7E505D1A4
- */
- /************
- 想知道原文本的內(nèi)容,使用以下語(yǔ)句:
- --------3w@live.cn**********************/
- SELECT CAST(DecryptByPassPhrase(
- 'My Password Used To Encrypt This String in 2008.',MySecret)
- as varchar(max))
- FROM #SecretInfo
注意:
1、使用通行短語(yǔ)進(jìn)行加密數(shù)據(jù),不用擔(dān)心sysadmin服務(wù)器角色成員讀取數(shù)據(jù)(在后面文章會(huì)看到,服務(wù)器角色成員sysadmin擁有讀取其他形式的加密數(shù)據(jù)的內(nèi)在權(quán)限。)
2、假定沒有將密碼存儲(chǔ)在表中或在任何模塊(存儲(chǔ)過程、觸發(fā)器等)中使用密碼,加密的數(shù)據(jù)將防止從數(shù)據(jù)庫(kù)備份被偷竊或在SQL Server實(shí)例中的數(shù)據(jù)庫(kù)中滲透。如果通行短語(yǔ)沒有正確共享,數(shù)據(jù)就可以被解密。
原文鏈接:http://www.cnblogs.com/downmoon/archive/2011/03/03/1968939.html
- 淺析SQL Server 2008中的代碼安全之一:存儲(chǔ)過程加密與安全上下文
- 淺析SQL Server 2008中的代碼安全之二:DDL觸發(fā)器與登錄觸發(fā)器
- Sql server安全設(shè)置九大措施
- SQL Server安全解析
- sql server安全的兩層模型
