證書和非對稱密鑰使用數(shù)據(jù)庫級的內(nèi)部公鑰加密數(shù)據(jù)，并且使用數(shù)據(jù)庫級內(nèi)部私鑰解密數(shù)據(jù)。而對稱密鑰相對簡單，它們包含一個同時用來加密和解密的密鑰。困此，使用對稱密鑰加密數(shù)據(jù)更快，并且用在大數(shù)據(jù)時更加合適。盡管復(fù)雜度是考慮使用它的因素，但它仍然是一個很好的加密數(shù)據(jù)的選擇。

 我們看一組例子：

示例一、創(chuàng)建對稱密鑰

對稱密鑰的特性是：在數(shù)據(jù)庫會話中使用它對數(shù)據(jù)進(jìn)行加密和解密前必須首先打開。

創(chuàng)建對稱密鑰使用如下命令:CREATE SYMMETRIC KEY  創(chuàng)建對稱密鑰。（http://msdn.microsoft.com/en-us/library/ms188357.aspx）

use DB_Encrypt_Demo  
go  
-- 創(chuàng)建一個用于加密對稱密鑰的非對稱密鑰  
CREATE ASYMMETRIC KEY symDemoKey --名稱  
WITH ALGORITHM = RSA_512     --加密算法  
ENCRYPTION BY PASSWORD = 'TestSYM456!'--密碼  
-- 創(chuàng)建一個對稱密鑰  
CREATE SYMMETRIC KEY sym_Demo  
WITH ALGORITHM = TRIPLE_DES  
ENCRYPTION BY ASYMMETRIC KEY symDemoKey  
 

示例二、查看當(dāng)前數(shù)據(jù)庫中的對稱密鑰

使用目錄視圖sys.symmetric_keys(http://msdn.microsoft.com/en-us/library/ms189446.aspx)來查看。

--查看當(dāng)前數(shù)據(jù)庫中的非對稱密鑰  
use DB_Encrypt_Demo  
go  
SELECT name, algorithm_desc FROM sys.symmetric_keys  
----結(jié)果返回  
/*  
name    algorithm_desc  
sym_Demo    TRIPLE_DES  
*/  
 

示例三、修改非對稱密鑰的加密方式

你可以使用ALTER SYMMETRIC KEY（http://technet.microsoft.com/en-us/library/ms189440.aspx）命令修改對稱密鑰的加密方式。但執(zhí)行前必須使用OPEN SYMMETRIC KEY(http://msdn.microsoft.com/en-us/library/ms190499.aspx)命令打開它。

use DB_Encrypt_Demo  
go  
--先用私鑰密碼打開對稱密鑰  
OPEN SYMMETRIC KEY sym_Demo  
DECRYPTION BY ASYMMETRIC KEY symDemoKey  
WITH PASSWORD = 'TestSYM456!' 
--打開之后，先增加密碼加密，取代原密鑰  
ALTER SYMMETRIC KEY sym_Demo  
ADD ENCRYPTION BY PASSWORD = 'newnew!456' 
--再刪除非對稱密鑰加密  
ALTER SYMMETRIC KEY sym_Demo  
DROP ENCRYPTION BY ASYMMETRIC KEY symDemoKey  
--完成操作后，關(guān)閉對稱密鑰  
CLOSE SYMMETRIC KEY sym_Demo    

示例四、使用對稱密鑰對數(shù)據(jù)進(jìn)行加密和解密。

1、為了使用對稱密鑰對數(shù)據(jù)進(jìn)行加密，必須首先打開它，然后使用函數(shù)EncryptByKey 加密數(shù)據(jù)。(http://msdn.microsoft.com/zh-cn/library/ms174361.aspx)

2、使用DecryptByKey來解密使用對稱密鑰加密的數(shù)據(jù)。注意DecryptByKey不像甩EncryptByKey，無須使用對稱密鑰GUID。因此，為了解密，必須打開正確的對稱密鑰會話，否則會顯示null。

下面是一個例子：

/***************************************************/  
USE DB_Encrypt_Demo  
GO  
--創(chuàng)建測試數(shù)據(jù)表，用于對稱加密  
CREATE TABLE dbo.PWDQuestion  
(CustomerID int NOT NULL PRIMARY KEY,  
PasswordHintQuestion nvarchar(300) NOT NULL,  
PasswordHintAnswer varbinary(200) NOT NULL)  
GO  
--插入加密數(shù)據(jù)  
OPEN SYMMETRIC KEY sym_Demo  
DECRYPTION BY PASSWORD = 'newnew!456' 
INSERT dbo.PWDQuestion  
(CustomerID, PasswordHintQuestion, PasswordHintAnswer)  
VALUES 
(12, '您出生的醫(yī)院名稱？',  
EncryptByKey(Key_GUID('sym_Demo '), '杭州市一'))  
CLOSE SYMMETRIC KEY sym_Demo  
 

查看未加密的數(shù)據(jù)：
--解密數(shù)據(jù)

OPEN SYMMETRIC KEY sym_Demo  
DECRYPTION BY PASSWORD = 'newnew!456' 
SELECT CustomerID,PasswordHintQuestion,  
CAST(DecryptByKey(PasswordHintAnswer) as varchar(200)) PasswordHintAnswer  
FROM dbo.PWDQuestion  
WHERE CustomerID = 12  
--打開后切記關(guān)閉！！！  
CLOSE SYMMETRIC KEY sym_Demo   

--不打開直接讀取  
SELECT CustomerID,PasswordHintQuestion,  
CAST(DecryptByKey(PasswordHintAnswer) as varchar(200)) PasswordHintAnswer  
FROM dbo.PWDQuestion  
WHERE CustomerID = 12   
 

 至此，好像已經(jīng)大功告成了，別，千萬別高興得太早！

這里有個問題，如果惡意用戶不知道CustomerID＝13的PasswordHintAnswer列的真實(shí)值，但知道CustomerID＝14的PasswordHintAnswer列的真實(shí)值,則完全可以通過惡意替換PasswordHintAnswer列而繞過加密?。〈藭r，我們索性連CustomerID列作為驗(yàn)證列也一起加密，以絕后患 !

注意：加密的驗(yàn)證列也可以由另一個相關(guān)表的列作為參數(shù)傳入。

看一個完整的例子：

truncate table dbo.PWDQuestion  
go  
--添加兩個未加密的行  
INSERT dbo.PWDQuestion  
(CustomerID, PasswordHintQuestion, PasswordHintAnswer)  
select 13, '您出生的醫(yī)院名稱？',cast('浙江婦保院' as varbinary)  
union all 
select  14, '您出生的醫(yī)院名稱？',cast('浙江婦保二院' as varbinary)  
--打開對稱密鑰,連CustomerID列一起加密  
OPEN SYMMETRIC KEY sym_Demo  
DECRYPTION BY PASSWORD = 'newnew!456' 
UPDATE dbo.PWDQuestion  
SET PasswordHintAnswer =  
EncryptByKey(Key_GUID('sym_Demo'),  
PasswordHintAnswer,1,--1表示使用驗(yàn)證器值  
CAST(CustomerID as varbinary))  
WHERE CustomerID in (13,14)  
--打開后切記關(guān)閉?。。? 
CLOSE SYMMETRIC KEY sym_Demo  
--此時必須這樣查看原數(shù)據(jù)  
OPEN SYMMETRIC KEY sym_Demo  
DECRYPTION BY PASSWORD = 'newnew!456' 
SELECT CustomerID,PasswordHintQuestion,  
CAST(DecryptByKey(PasswordHintAnswer, 1,--1表示使用驗(yàn)證器值  
CAST(CustomerID as varbinary)) as varchar(200)) PasswordHintAnswer  
FROM dbo.PWDQuestion  
WHERE CustomerID = 13  
--打開后切記關(guān)閉?。?！  
CLOSE SYMMETRIC KEY sym_Demo   
 

惡意替換開始：

/**********************************************************  
--我們用剛才的CustomerID = 13的PasswordHintAnswer列值  
--替換CustomerID = 14的PasswordHintAnswer列值，  
--再用剛才讀取14的方法讀取真實(shí)值**********************************************************/  
update dbo.PWDQuestion set PasswordHintAnswer=  
(select PasswordHintAnswer from   dbo.PWDQuestion where CustomerID = 14)  
where CustomerID = 13  

此時，我們再查看：

OPEN SYMMETRIC KEY sym_Demo  
DECRYPTION BY PASSWORD = 'newnew!456' 
SELECT CustomerID,PasswordHintQuestion,  
CAST(DecryptByKey(PasswordHintAnswer, 1,--1表示使用驗(yàn)證器值  
CAST(CustomerID as varbinary)) as varchar(200))   
PasswordHintAnswer,PasswordHintAnswer as binaryValue  
FROM dbo.PWDQuestion  
WHERE CustomerID in(13,14)  
--打開后切記關(guān)閉?。?！  
CLOSE SYMMETRIC KEY sym_Demo   

郎勒個郎！爽吧！雖然復(fù)制了相同的二進(jìn)制數(shù)據(jù)，可是讀取結(jié)果令攻擊者大失所望??！

示例五、刪除對稱密鑰

命令：DROP SYMMETRIC KEY 刪除指定的對稱密鑰( http://technet.microsoft.com/en-us/library/ms182698.aspx)

例子：

DROP SYMMETRIC KEY symDemoKey  

注意：如果加密密鑰打開沒有關(guān)閉，則drop失敗。

小結(jié)：

1、本文主要介紹對稱密鑰的創(chuàng)建、刪除、查看以及用它來修改加密方式、進(jìn)行數(shù)據(jù)的加密和解密。

2、對稱密鑰的特性是：在數(shù)據(jù)庫會話中使用它對數(shù)據(jù)進(jìn)行加密和解密前必須首先打開。

3、對稱密鑰可用于大數(shù)據(jù)的加密。

下文將主要介紹證書加密(Certificate Encryption)

 原文鏈接：http://www.cnblogs.com/downmoon/archive/2011/03/15/1984352.html

【編輯推薦】

1. 淺析SQL Server 2008中的代碼安全之一：存儲過程加密與安全上下文
2. 淺析SQL Server 2008中的代碼安全之二：DDL觸發(fā)器與登錄觸發(fā)器
3. 淺析SQL Server 2008中的代碼安全之三：通過PassPhrase加密
4. 淺析SQL Server 2008中的代碼安全之四：主密鑰
5. 淺析SQL Server 2008中的代碼安全之五：非對稱密鑰加密