备案控制台
探索云世界
开发者社区 数据库 文章 正文

MSSQL-最佳实践-使用非对称密钥实现列加密

2018-10-19 2255
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云数据库 RDS SQL Server,独享型 2核4GB
推荐场景:
SQL Server性能诊断案例分析
简介: --- title: MSSQL-最佳实践-使用非对称密钥实现列加密 author: 风移 --- # 摘要 上一篇月报,我们分享了SQL Server使用对称密钥实现列加密的方法。为了解决对称加密安全性低的问题,本期月报我们分享使用非对称密钥加密方式实现SQL Server列加密方法,保护用户的关键、核心隐私数据列信息。 # 场景引入 对称加密是指加密和解密过程使用同一个密钥的加密

title: MSSQL-最佳实践-使用非对称密钥实现列加密

author: 风移

摘要

上一篇月报,我们分享了SQL Server使用对称密钥实现列加密的方法。为了解决对称加密安全性低的问题,本期月报我们分享使用非对称密钥加密方式实现SQL Server列加密方法,保护用户的关键、核心隐私数据列信息。

场景引入

对称加密是指加密和解密过程使用同一个密钥的加密算法,而非对称加密方法加密和解密过程使用不同的密钥进行。因此,通常来说对称加密安全性较弱,非对象加密安全性相对较高。以下是关于对称加密和非对称加密的过程介绍。

对称加密过程

对称加密算法使用相同的密钥对数据进行加密,如下图所示:
01.png

对称加密数据整个流转过程包括:
数据发送者使用密钥将数据明文加密为密文
通过网络将数据密文和密钥发送给接受者
接受者使用相同密钥对密文进行解密,获取到最终的明文数据
从数据整个流转过程来看,很可能用于加密的密钥会被窃取,比如:
网络传输过程中,密钥很可能被窃取
窃取者有可能使用大数据分析手段,穷举出密文数据规律,分析出加密算法
因此,对称加密密钥存在被窃取的可能,安全性相对较弱。

非对称加密过程

与对称加密方式不同,非对称加密算法使用不同的密钥对数据进行加密和解密,用于加密的密钥叫公钥,用于解密的密钥叫私钥。因此安全性更高,如下图所示:
02.png
非对称加密整个数据流转的过程包括:
数据接受者首先生成公钥和私钥,然后将公钥发送给数据发送者(图中未画出)
数据发送者使用公钥对明文进行加密为密文
通过网络将密文发送给数据接受者
数据接受者获取到密文,使用私钥对数据进行解密,获取到最终明文数据
非对称加密整个数据流转过程中,私钥根本没有在网络上进行传递,因此不存在被窃取的可能性,安全性更高。

非对称密钥列加密

因此,本篇月报,在上一期月报MSSQL · 最佳实践 · 使用对称密钥实现列加密的基础上,使用非对称密钥方式实现SQL Server列加密技术。以下是使用非对称密钥实现SQL Server列加密的详细实现。

具体实现

在SQL Server 2005及以后版本,在支持对称密钥实现列加密的同时,也同样支持非对称密钥实现列加密,以下是使用非对称密钥加密用户手机号码的具体实现步骤以及详细过程。

创建测试数据库

创建一个专门的测试数据库,名为:TestDb。

--Step 1 - Create MSSQL sample database
USE master
GO
IF DB_ID('TestDb') IS NOT NULL
    DROP DATABASE [TestDb];
GO
CREATE DATABASE [TestDb];
GO

创建测试表

在TestDb数据库下,创建一张专门的测试表,名为:CustomerInfo。

--Step 2 - Create Test Table, init data & verify
USE [TestDb]
GO
IF OBJECT_ID('dbo.CustomerInfo', 'U') IS NOT NULL
    DROP TABLE dbo.CustomerInfo
CREATE TABLE dbo.CustomerInfo
(
CustomerId        INT IDENTITY(10000,1)    NOT NULL PRIMARY KEY,
CustomerName    VARCHAR(100)            NOT NULL,
CustomerPhone    CHAR(11)                NOT NULL
);

-- Init Table
INSERT INTO dbo.CustomerInfo 
VALUES ('CustomerA','13402872514')
,('CustomerB','13880674722')
,('CustomerC','13487759293')
GO

-- Verify data
SELECT * 
FROM dbo.CustomerInfo
GO

原始数据中,用户的电话号码为明文存储,任何有权限查看表数据的用户,都可以清楚明了的获取到用户的电话号码信息,展示如下:
03.png

创建实例级别Master Key

在SQL Server数据库实例级别创建Master Key(在Master数据库下,使用CREATE MASTER KEY语句):

-- Step 3 - Create SQL Server Service Master Key
USE master;
GO
IF NOT EXISTS(
    SELECT *
    FROM sys.symmetric_keys
    WHERE name = '##MS_ServiceMasterKey##')
BEGIN
    CREATE MASTER KEY ENCRYPTION BY 
    PASSWORD = 'MSSQLSerivceMasterKey'
END;
GO

创建数据库级别Master Key

在用户数据库TestDb数据库下,创建Master Key:

-- Step 4 - Create MSSQL Database level master key
USE [TestDb]
GO
IF NOT EXISTS (SELECT * 
                FROM sys.symmetric_keys 
                WHERE name LIKE '%MS_DatabaseMasterKey%')
BEGIN        
    CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'TestDbMasterKey@3*';
END
GO

创建非对称密钥

在用户数据库下,创建非对称密钥,并使用密码进行加密:

-- Step 5 - Create MSSQL Symmetric Key
USE [TestDb]
GO
IF NOT EXISTS (SELECT * 
                FROM sys.asymmetric_keys 
                WHERE name = 'AsymKey_TestDb')
BEGIN
    CREATE ASYMMETRIC KEY AsymKey_TestDb 
    WITH ALGORITHM = RSA_512 
    ENCRYPTION BY PASSWORD = 'Password4@Asy'
    ;
END
GO

查看非对称密钥

您可以使用如下查询语句查看非对称密钥:

USE [TestDb]
GO
SELECT *
FROM  sys.asymmetric_keys

结果展示如下:
04.png

当然,您也可以用SSMS图形界面来查看证书和非对称密钥对象,方法是在用户数据库下,打开Security => Certificates => Asymmetric Keys,如下图所示:
05.png

修改表结构

接下来,我们需要修改表结构,添加一个数据类型为varbinary(max)的新列,假设列名为EncryptedCustomerPhone ,用于存储加密后的手机号码密文。

-- Step 6 - Change your table structure
USE [TestDb]
GO 
ALTER TABLE CustomerInfo 
ADD EncryptedCustomerPhone varbinary(MAX) NULL
GO

新列数据初始化

新列添加完毕后,我们将表中历史数据的用户手机号CustomerPhone,加密为密文,并存储在新字段EncryptedCustomerPhone中。方法是使用EncryptByAsymKey函数加密CustomerPhone列,如下语句所示:

-- Step 7 - init the encrypted data into the newly column
USE [TestDb]
GO 
UPDATE A
SET EncryptedCustomerPhone = ENCRYPTBYASYMKEY(ASYMKEY_ID('AsymKey_TestDb'), CustomerPhone)
FROM dbo.CustomerInfo AS A;
GO
-- Double check the encrypted data of the new column
SELECT * FROM dbo.CustomerInfo

查看表中EncryptedCustomerPhone列的数据,已经变成CustomerPhone非对称加密后的密文,如下展示:
06.png

查看加密数据

手机号被加密为密文后,我们需要使用DecryptByAsymKey函数将其解密为明文,让我们尝试看看能否成功解密EncryptedCustomerPhone字段。

-- Step 8 - Reading the SQL Server Encrypted Data
USE [TestDb]
GO 

-- Now, it's time to list the original phone, encrypted phone and the descrypted phone.
SELECT 
    *,
    DescryptedCustomerPhone = CONVERT(CHAR(11), DECRYPTBYASYMKEY(ASYMKEY_ID('AsymKey_TestDb'), EncryptedCustomerPhone, N'Password4@Asy'))
FROM dbo.CustomerInfo;
GO

查询语句执行结果如下,CustomerPhone和DescryptedCustomerPhone字段数据内容是一模一样的,因此加密和解密成功。
07.png

添加新数据

历史数据加密解密后的数据保持一致,然后,让我们看看新添加的数据:

-- Step 9 - What if we add new record to table.
USE [TestDb]
GO 

-- Performs the update of the record
INSERT INTO dbo.CustomerInfo (CustomerName, CustomerPhone, EncryptedCustomerPhone)
VALUES ('CustomerD', '13880975623', ENCRYPTBYASYMKEY( ASYMKEY_ID('AsymKey_TestDb'), '13880975623'));  
GO

更新数据手机号

接下来,我们尝试更新用户手机号:

-- Step 10 - So, what if we upadate the phone
USE [TestDb]
GO 
-- Performs the update of the record
UPDATE A
SET EncryptedCustomerPhone = ENCRYPTBYASYMKEY( ASYMKEY_ID('AsymKey_TestDb'), '13880971234')
FROM dbo.CustomerInfo AS A
WHERE CONVERT(CHAR(11), DECRYPTBYASYMKEY(ASYMKEY_ID('AsymKey_TestDb'), EncryptedCustomerPhone, N'Password4@Asy')) = '13880975623'
GO

删除手机号明文列

一切没有问题,我们可以将用户手机号明文列CustomerPhone删除:

-- Step 11 - Remove old column
USE [TestDb]
GO 
ALTER TABLE CustomerInfo
DROP COLUMN CustomerPhone;
GO

SELECT 
    *,
    DescryptedCustomerPhone = CONVERT(CHAR(11), DECRYPTBYASYMKEY(ASYMKEY_ID('AsymKey_TestDb'), EncryptedCustomerPhone, N'Password4@Asy'))
FROM dbo.CustomerInfo
GO

结果展示如下:
08.png

一切正常,历史数据、新添加的数据、更新的数据,都可以工作完美。按理,文章到这里也就结束。但是有一个问题我们是需要搞清楚的,那就是:如果我们新创建了用户,他能够访问这个表的数据吗?以及我们如何让新用户能够访问该表的数据呢?

添加新用户

模拟新添加一个用户EncryptedDbo:

-- Step 12 - Create a new user & access the encrypted data
USE [TestDb]
GO 
CREATE LOGIN EncryptedDbo
    WITH PASSWORD=N'EncryptedDbo@3*', CHECK_POLICY = OFF;
GO

CREATE USER EncryptedDbo FOR LOGIN EncryptedDbo;

GRANT SELECT ON OBJECT::dbo.CustomerInfo TO EncryptedDbo;
GO

新用户查询数据

使用刚才创建的用户,在SSMS中新打开一个新连接,查询数据:

-- Step 13 -- OPEN a new connection query window using the new user and query data 
USE [TestDb]
GO

SELECT 
    *,
    DescryptedCustomerPhone = CONVERT(CHAR(11), DECRYPTBYASYMKEY(ASYMKEY_ID('AsymKey_TestDb'), EncryptedCustomerPhone, N'Password4@Asy'))
FROM dbo.CustomerInfo
GO

新用户也无法解密EncryptedCustomerPhone,解密后的DescryptedCustomerPhone 字段值为NULL,即新用户无法查看到用户手机号明文,避免了未知用户获取用户手机号等核心数据信息。
09.png

为新用户赋权限

新用户没有查看加密列数据的权限,如果需要赋予权限,方法如下:

--Step 14 - Grant permissions to EncryptedDbo
USE [TestDb]
GO

GRANT VIEW DEFINITION ON 
    ASYMMETRIC KEY::[AsymKey_TestDb] TO [EncryptedDbo];
GO
GRANT CONTROL ON 
    ASYMMETRIC KEY::[AsymKey_TestDb] TO [EncryptedDbo];
GO

新用户再次查询

赋权限完毕后,新用户再次执行“新用户查询数据”中的查询语句,已经可以正常获取到加密列的明文数据了。

-- Step 13 -- OPEN a new connection query window using the new user and query data 
USE [TestDb]
GO

SELECT 
    *,
    DescryptedCustomerPhone = CONVERT(CHAR(11), DECRYPTBYASYMKEY(ASYMKEY_ID('AsymKey_TestDb'), EncryptedCustomerPhone, N'Password4@Asy'))
FROM dbo.CustomerInfo
GO

再次查询结果展示如下:
10.png

最后总结

本篇月报分享了对称加密和非对称加密的工作原理,以及如何利用SQL Server非对称密钥实现列加密的方法,来保护用户核心数据信息安全。

文章标签:
密钥管理服务
云数据库 RDS SQL Server 版
数据安全/隐私保护
Go
数据库
SQL
存储
关键词:
对称密钥密钥管理服务
密钥密钥管理服务
密钥管理服务密钥
最佳实践密钥管理服务
密钥管理服务最佳实践
风移
目录
相关文章
SarPro
|
2月前
|
安全 算法 Java
【网络安全】网络防护之旅 - 对称密码加密算法的实现
【网络安全】网络防护之旅 - 对称密码加密算法的实现
SarPro
72 0
爱敲代码的小黄
|
4月前
|
算法 安全 数据安全/隐私保护
对称加密算法与非对称加密算法
对称加密算法与非对称加密算法
爱敲代码的小黄
131 0
阿甘兄
|
5月前
|
算法 安全 数据安全/隐私保护
互联网并发与安全系列教程(13) - 信息加密技术(对称&非对称加密)
互联网并发与安全系列教程(13) - 信息加密技术(对称&非对称加密)
阿甘兄
34 0
是Yu欸
|
2月前
|
人工智能 分布式计算 安全
【现代密码学】笔记1.2 -- 对称密钥加密、现代密码学的基本原则《introduction to modern cryphtography》现代密码学原理与协议
【现代密码学】笔记1.2 -- 对称密钥加密、现代密码学的基本原则《introduction to modern cryphtography》现代密码学原理与协议
是Yu欸
78 0
bug丶小狼人
|
6月前
|
算法 安全 PHP
PHP非对称与对称双向加密解密的方式
PHP非对称与对称双向加密解密的方式
bug丶小狼人
39 0
Matlab科研工作室
|
10月前
|
机器学习/深度学习 传感器 算法
【图像加密】基于低对称密码算法实现图像加密解密附matlab代码
【图像加密】基于低对称密码算法实现图像加密解密附matlab代码
Matlab科研工作室
74 2
小小工匠
|
11月前
|
存储 算法 安全
每日一博 - 对称加密算法 vs 非对称加密算法
每日一博 - 对称加密算法 vs 非对称加密算法
小小工匠
159 0
foofish
|
12月前
|
算法 网络安全 数据安全/隐私保护
白话解释 对称加密算法 VS 非对称加密算法
对称加密算法(Symmetric-key algorithm)和非对称加密算法(asymmetric key encryption algorithm)只不过就是密码学(encryption)中的两种解密算法罢了,什么是算法,你就可以理解成为是一种规则吧,这种规则可以将信息从一种形式转变成另一种形式,不懂没关系,继续往下看。
foofish
140 0
游客yno6xv7miabmw
|
数据安全/隐私保护
Shiro 提供的AES 对称式加密/解密方式——AesCipherService的使用案例
Shiro 提供的AES 对称式加密/解密方式——AesCipherService的使用案例
游客yno6xv7miabmw
240 0
神奇的程序员
|
算法 安全 Java
共享密钥加密与公开密钥加密
共享密钥加密与公开密钥加密
神奇的程序员
243 1
共享密钥加密与公开密钥加密

热门文章

最新文章

  • 1
    nacos常见问题之连接用户名和密码把明文用户名和密码进行加密如何解决
  • 2
    nacos常见问题之密码加密配置如何解决
  • 3
    【Java技术专题】「入门到精通系列」深入探索Java技术中常用到的六种加密技术和实现
  • 4
    Flutter加固原理及加密处理
  • 5
    oss数据加密与存储
  • 6
    常见的前端加密方式有哪些?运用场景有哪些?
  • 7
    Spring Security加密解密
  • 8
    网络防御前线:洞悉漏洞、加固加密与提升安全意识
  • 9
    PHP在线加密系统网站源码
  • 10
    des加密+base64编码,base64解码+des解密
  • 1
    对称密钥加密算法和公开密钥加密算法有什么区别
    15
  • 2
    C#编程的安全性与加密技术
    14
  • 3
    网络安全与信息安全:防范漏洞、应用加密、提升意识
    7
  • 4
    IDEA DataGrip连接sqlserver 提示驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接的解决方法
    11
  • 5
    常见的前端加密方式有哪些?运用场景有哪些?
    26
  • 6
    网络安全与信息安全:防范漏洞、强化加密、提升意识
    13
  • 7
    网络原理(5)--HTTPS是如何进行加密的
    7
  • 8
    保障数据安全:网络安全漏洞与加密技术探析
    14
  • 9
    Python加密算法有哪些?有什么作用?
    6
  • 10
    金融技术解决方案:用Python和Vue开发加密货币交易平台
    14

    • 相关电子书

    更多
  • 基于可信计算与加密计算 打造云上原生计算安全
  • \"视频服务特色解决方案——直播连麦与点播加密 \"
  • 量子加密通信技术

    • 相关实验场景

    更多
  • 通过HTTPS加速网关快速部署网站加密
  • RSA密码算法设计与实现
  • RSA非对称加密算法
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)