SQLServer2005数据加密技术的实际应用http://www.sina.com.cn2008年05月13日08:22HYPERLINK"http://news.ccidnet.com/"\t"_blank"赛迪网数据库主密钥与服务主密钥不同，在加密数据库中数据之前，必须由数据库管理员创建数据库主密钥。通常管理员在产生该密钥时，提供一个口令，所以它用口令和服务主密钥来加密。如果有足够的权限，用户可以在需要时显式地或自动地打开该密钥。下面是产生数据库主密钥的T-SQL代码示例：USEEncryptionDBCREATEMASTERKEYENCRYPTIONBYPASSWORD='UTY6%djzZ8S7RyL'每个数据库只有一个数据库主密钥。可以用ALTERMASTRKEY语句来删除加密，更改口令或删除数据库主密钥。通常这由数据库管理员来负责做这些。有了数据库主密钥，就可以着手加密数据。T-SQL有置于其内的加密支持。使用CREATE语句创建各种密码，ALTER语句修改他们。例如要创建对称式加密，可以通过一对函数EncryptByKey和DecryptByKey来完成。数据加密技术应用解析下面通过实例来探讨SQLServer2005数据加密与解密技术的实现。假设有一张Customer表，表中有字段customerID、name、city和各种信用卡细节。其中信用卡细节需要加密而其他数据不需要。假设User1有对称式密钥，并用该密钥登录，运行相应的代码加密数据。⑴数据加密①产生密钥：在含有Customers表的数据库中使用TripleDES作为加密算法，生成对称式密钥。本例中，密钥本身由已经存在在数据库中的证书保护，如图一所示，对称密码受非对称密码和存在的其他对称式密钥保护。CREATESYMMETRICKEYUser1SymmetricKeyCertAUTHORIZATIONUser1WITHALGORITHM=TRIPLE_DESENCRYPTIONBYCERTIFICATEUser1Certificate②打开密钥：对称式密钥使用前必须显式打开，所以接下来打开它，重新找回密码，解密它，并放它在受保护的服务器内存中，准备使用。OPENSYMMETRICKEYUser1SymmetricKeyCertDECRYPTIONBYCERTIFICATEUser1Certificate③加密数据：在下面的代码中，使用正常的T-SQLINSERT语句将一行数据插入表中，id、name和city用明文保存，信用卡类型、号码以及有潜在机密的客户注释用加密方式储存，用TripleDES加密算法加密数据。INSERTINTOCustomerVALUES(4,'JohnDoe','Fairbanks',EncryptByKey(Key_GUID('User1SymmetricKeyCert'),'Amex'),EncryptByKey(Key_GUID('User1SymmetricKeyCert'),'1234-5678-9009-8765'),EncryptByKey(Key_GUID('User1SymmetricKeyCert'),'Windowshopper.Spends$5atmost.'))加密完成后，关闭它，释放内存，以防它被误用。CLOSESYMMETRICKEYUser1SymmetricKeyCert以上是整个的数据加密的操作过程。它没有混乱的密码管理，也不用调用特别的算法。储存加密数据的字段是varbinary类型数据，其长度足以储存扩展的数据（加密数据比明文需要更多的空间，有时候多很多）。下图为对Customer表运行正常的SELECT*语句显示的带有加密数据的结果：图2加密后的数据的查询结果⑵数据解密要解密已加密的数据，你需要重新打开对称式加密。使用DecryptByKey函数读数据，然后关闭对称式加密。结果及相应的代码如下。OPENSYMMETRICKEYUser1SymmetricKeyCertDECRYPTIONBYCERTIFICATEUser1CertificateSELECTCustID,Name,City,CONVERT(VARCHAR,DecryptByKey(CreditCardType))ASCardType,CONVERT(VARCHAR,DecryptByKey(CreditCardNumber))ASCardNumber,CONVERT(VARCHAR,DecryptByKey(Notes))ASNotesFROMCustomerWHERECustID=4CLOSESYMMETRICKE