非對稱密鑰包含數(shù)據(jù)庫級的內(nèi)部公鑰和私鑰，它可以用來加密和解密SQL Server數(shù)據(jù)庫中的數(shù)據(jù)，它可以從外部文件或程序集中導(dǎo)入，也可以在SQL Server數(shù)據(jù)庫中生成。它不像證書，不可以備份到文件。這意味著一旦在SQL Server中創(chuàng)建了它，沒有非常簡單的方法在其他用戶數(shù)據(jù)庫中重用相同的密鑰。非對稱密鑰對于數(shù)據(jù)庫加密屬于高安全選項，因而需要更多的SQL Server資源。

我們看一組例子：

示例一、創(chuàng)建非對稱密鑰

創(chuàng)建非對稱密鑰使用如下命令:

CREATE ASYMMETRIC KEY  創(chuàng)建非對稱密鑰。（http://msdn.microsoft.com/en-us/library/ms174430.aspx）

--以下語句創(chuàng)建一個非對稱密鑰asymDemoKey

use DB_Encrypt_Demo  
go  
 
CREATE ASYMMETRIC KEY asymDemoKey--創(chuàng)建非對稱密鑰名稱  
WITH ALGORITHM = RSA_512   --加密安全類型  
ENCRYPTION BY PASSWORD = 'TestASYM123!' --密碼   

示例二、查看當(dāng)前數(shù)據(jù)庫中的非對稱密鑰

使用目錄視圖sys.asymmetric_keys(http://msdn.microsoft.com/en-us/library/ms188399.aspx)來查看。

--查看當(dāng)前數(shù)據(jù)庫中的非對稱密鑰

use DB_Encrypt_Demo  
go  
 
SELECT name, algorithm_desc, pvt_key_encryption_type_desc  
FROM sys.asymmetric_keys  
 
----結(jié)果返回  
/*name algorithm_desc pvt_key_encryption_type_desc  
asymDemoKey RSA_512 ENCRYPTED_BY_PASSWORD*/   
 

示例三、修改非對稱密鑰的私鑰密碼

你可以使用帶有ENCRYPTION BY PASSWORD和DECRYPTION BY PASSWORD選項的ALTER ASYMMETRIC KEY（http://technet.microsoft.com/en-us/library/ms189440.aspx）修改私鑰的密碼。

--修改私鑰密碼  
ALTER ASYMMETRIC KEY asymDemoKey--要修改的密鑰名稱  
WITH PRIVATE KEY  --私鑰  
(ENCRYPTION BY PASSWORD = 'newpasswordE4D352F280E0',--指定新密碼  
DECRYPTION BY PASSWORD = 'TestASYM123!')--舊密碼是用來解密的     

示例四、使用非對稱密鑰對數(shù)據(jù)進行加密和解密。

由于同時需要公鑰和密鑰，在維護保密數(shù)據(jù)時使用非對稱密鑰來加密數(shù)據(jù)是非常安全的方式。但同時用于大數(shù)據(jù)集時將消耗更多的資源。

不推薦使用非對稱密鑰對數(shù)據(jù)加密，但它仍然是一個選擇。一旦將非對稱密鑰加到數(shù)據(jù)庫，就可以用來加密和解密數(shù)據(jù)。

用到以下兩個sql函數(shù):

EncryptByAsymKey 加密數(shù)據(jù)。（http://technet.microsoft.com/en-us/library/ms186950.aspx）

DecryptByAsymKey解密數(shù)據(jù)。（http://msdn.microsoft.com/en-us/library/ms189507.aspx）

注意，在通過證書加密時，DecryptByAsymKey返回的是varbinary類型的加密數(shù)據(jù)。

下面是一個例子：

use DB_Encrypt_Demo  
 
go  
 
--創(chuàng)建需要加密的數(shù)據(jù)  
 
Create Table BankUser  
 
(PKID int primary key  identity(10001,1)  
,UserNo varbinary(1000)   
null,CurState smallint default(0) not null 
)  
go  
 
insert into BankUser  
(UserNo,CurState)  
VALUES (EncryptByAsymKey(AsymKey_ID('asymDemoKey'),'137492837583249ABR'),1)  
--插入一條記錄，字段UserNo存儲了加密的號碼值  
 
go  
 
select PKID,Curstate, cast(UserNo as nvarchar(1000)) as UserNo  
from BankUser  
where PKID=10001  
 

明文結(jié)果： 

查看未加密的數(shù)據(jù)：

SELECT PKID,Curstate,  
 
cast 
 
(DecryptByAsymKey(AsymKey_ID('asymDemoKey'),UserNo,N'newpasswordE4D352F280E0')  
 
as varchar(1000)) as UserNo --需要原始私鑰  
 
from BankUser where PKID=10001   
 

示例五、刪除非對稱密鑰

命令：DROP ASYMMETRIC KEY 刪除指定的非對稱密鑰( http://msdn.microsoft.com/en-us/library/ms188389.aspx)

例子：

DROP ASYMMETRIC KEY asymDemoKey   

小結(jié)：

1、本文主要介紹非對稱密鑰的創(chuàng)建、刪除、查看以及用它來修改私鑰、進行數(shù)據(jù)的加密和解密。

2、非對稱密鑰包含數(shù)據(jù)庫級的內(nèi)部公鑰和私鑰，它可以用來加密和解密SQL Server數(shù)據(jù)庫中的數(shù)據(jù)。

3、非對稱密鑰對于數(shù)據(jù)庫加密屬于高安全選項，因而需要更多的SQL Server資源，不推薦使用。

下文將主要介紹相對簡單的并且廣泛應(yīng)用的對稱密鑰加密(Symmetric Key Encryption)

 原文鏈接：http://www.cnblogs.com/downmoon/archive/2011/03/14/1983046.html

【編輯推薦】

1. 淺析SQL Server 2008中的代碼安全之一：存儲過程加密與安全上下文
2. 淺析SQL Server 2008中的代碼安全之二：DDL觸發(fā)器與登錄觸發(fā)器
3. 淺析SQL Server 2008中的代碼安全之三：通過PassPhrase加密
4. 淺析SQL Server 2008中的代碼安全之四：主密鑰
5. sql server安全的兩層模型