導讀:本文主要涉及EncryptByPassPhrase和DecryptByPassPhrase函數進行通行短語(PassPhrase)加密。
前言 :
在SQL Server 2005和SQL Server 2008之前。如果希望加密敏感數據,如財務信息、工資或身份證號,必須借助外部應用程序或算法。SQL Server 2005引入內建數據加密的能力,使用證書、密鑰和系統函數的組合來完成。
與數字證書類似。SQL Server 證書包括公鑰和私鑰這一對密鑰,它們都用來加密和解密數據。SQL Server也擁有創建非對稱密鑰和對稱密鑰對象的能力。非對稱密鑰(asymmetric key)與證書相似,公鑰用來加密數據庫,私鑰用來解密數據。非對稱密鑰和證書都提供了強大的加密強度。但在完成復雜的加密|解密過程中具有更多的性能開銷。更適合對大量數據進行加密,且具有較低性能開銷的解決方案是對稱密鑰(symmetric key),它是對相同數據進行加密和解密的一個密鑰。
SQL Server允許將這些加密能力放到加密層次結構中。當安裝了SQL Server后,在數據庫master中創建名為服務主密鑰的服務器級別證書,并將其默綁定到SQL Server服務賬號登錄名。服務主密鑰用來加密所有其他數據庫證書和創建在SQL Server實例中的密鑰。另外,你也可以在用戶數據庫中創建數據庫主密鑰(Database Master Key),它可以用來加密數據庫證書和密鑰。
在SQL Server 2008中,微軟引入了透明數據加密(TDE),它對整個數據庫進行加密,而不需要修改任何訪問它的應用程序。數據、日志文件和相關的數據庫備份都是加密的。假如數據庫被偷,如果沒有數據庫加密密鑰(DEK)是不能訪問數據的。本文及后面幾篇文章將會舉例說明。
在SQL Server 2008中,還引入了對可擴展密鑰管理(EKM)的支持,也就意味著SQL Server可以使用硬件安全模塊(HSM)來存儲和和管理加密密鑰。HSM可以減少數據和實際的加密密鑰耦合。
此部分內容共分六篇文章:
1、通過PassPhrase加密
2、主密鑰
3、非對稱密鑰加密
4、對稱密鑰加密
5、證書加密
6、透明數據加密
一、 通過通行短語(PassPhrase)加密
對于不涉及證書及密鑰的應急的數據加密,可以直接基于用戶提供的密碼來加密和解密數據。通行短語(PassPhrase)是允許存在空格的密碼。這個PassPhrase不會存儲在數據庫中,因而也就意味著不會被使用存儲的系統數據“破解”。同時,可以使用空格創建一個長的、易于記憶的句子來加密和解密敏感數據。
我們需要了解的一對函數是ENCRYPTBYPASSPHRASE( http://technet.microsoft.com/zh-cn/library/ms190357.aspx )和DECRYPTBYPASSPHRASE( http://technet.microsoft.com/zh-cn/library/ms188910.aspx )
這一對函數必須使用相同的參數。
我們看一個示例:
注意:
1、使用通行短語進行加密數據,不用擔心sysadmin服務器角色成員讀取數據(在后面文章會看到,服務器角色成員sysadmin擁有讀取其他形式的加密數據的內在權限。
2、假定沒有將密碼存儲在表中或在任何模塊(存儲過程、觸發器等)中使用密碼,加密的數據將防止從數據庫備份被偷竊或在SQL Server實例中的數據庫中滲透。如果通行短語沒有正確共享,數據就可以被解密。
助人等于自助! 3w@live.cn
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
