示例四、使用對稱密鑰對數(shù)據(jù)進(jìn)行加密和解密 。

1、為了使用對稱密鑰對數(shù)據(jù)進(jìn)行加密，必須首先打開它，然后使用函數(shù)EncryptByKey 加密數(shù)據(jù)。( http://msdn.microsoft.com/zh-cn/library/ms174361.aspx )

2、使用DecryptByKey來解密使用對稱密鑰加密的數(shù)據(jù)。注意DecryptByKey不像甩EncryptByKey，無須使用對稱密鑰GUID。因此，為了解密，必須打開正確的對稱密鑰會話，否則會顯示null。

下面是一個(gè)例子：

/****************************3w@live.cn***********************/ USE DB_Encrypt_Demo GO --創(chuàng)建測試數(shù)據(jù)表，用于對稱加密 CREATE TABLE dbo.PWDQuestion (CustomerID int NOT NULL PRIMARY KEY, PasswordHintQuestion nvarchar(300) NOT NULL, PasswordHintAnswer varbinary(200) NOT NULL) GO --插入加密數(shù)據(jù) OPEN SYMMETRIC KEY sym_Demo DECRYPTION BY PASSWORD = 'newnew!456' INSERT dbo.PWDQuestion (CustomerID, PasswordHintQuestion, PasswordHintAnswer) VALUES (12, '您出生的醫(yī)院名稱？', EncryptByKey(Key_GUID('sym_Demo '), '杭州市一')) CLOSE SYMMETRIC KEY sym_Demo

查看未加密的數(shù)據(jù)：

--解密數(shù)據(jù) OPEN SYMMETRIC KEY sym_Demo DECRYPTION BY PASSWORD = 'newnew!456' SELECT CustomerID,PasswordHintQuestion, CAST(DecryptByKey(PasswordHintAnswer) as varchar(200)) PasswordHintAnswer FROM dbo.PWDQuestion WHERE CustomerID = 12 --打開后切記關(guān)閉！！！3w@live.cn CLOSE SYMMETRIC KEY sym_Demo

--不打開直接讀取 SELECT CustomerID,PasswordHintQuestion, CAST(DecryptByKey(PasswordHintAnswer) as varchar(200)) PasswordHintAnswer FROM dbo.PWDQuestion WHERE CustomerID = 12

至此，好像已經(jīng)大功告成了，別，千萬別高興得太早！

這里有個(gè)問題，如果惡意用戶不知道CustomerID＝13的PasswordHintAnswer列的真實(shí)值，但知道CustomerID＝14的PasswordHintAnswer列的真實(shí)值,則完全可以通過 惡意替換 PasswordHintAnswer列而繞過加密！！ 3w@live.cn 此時(shí)，我們索性連 CustomerID列作為驗(yàn)證列也一起加密，以絕后患 !

注意： 加密的驗(yàn)證列 也可以由 另一個(gè)相關(guān)表的列 作為參數(shù)傳入。

看一個(gè)完整的例子：

truncate table dbo.PWDQuestion go --添加兩個(gè)未加密的行 INSERT dbo.PWDQuestion (CustomerID, PasswordHintQuestion, PasswordHintAnswer) select 13, '您出生的醫(yī)院名稱？',cast('浙江婦保院' as varbinary) union all select 14, '您出生的醫(yī)院名稱？',cast('浙江婦保二院' as varbinary) --打開對稱密鑰,連CustomerID列一起加密 OPEN SYMMETRIC KEY sym_Demo DECRYPTION BY PASSWORD = 'newnew!456' UPDATE dbo.PWDQuestion SET PasswordHintAnswer = EncryptByKey(Key_GUID('sym_Demo'), PasswordHintAnswer,1,--1表示使用驗(yàn)證器值 CAST(CustomerID as varbinary)) WHERE CustomerID in (13,14) --打開后切記關(guān)閉！！！3w@live.cn CLOSE SYMMETRIC KEY sym_Demo --此時(shí)必須這樣查看原數(shù)據(jù) OPEN SYMMETRIC KEY sym_Demo DECRYPTION BY PASSWORD = 'newnew!456' SELECT CustomerID,PasswordHintQuestion, CAST(DecryptByKey(PasswordHintAnswer, 1,--1表示使用驗(yàn)證器值 CAST(CustomerID as varbinary)) as varchar(200)) PasswordHintAnswer FROM dbo.PWDQuestion WHERE CustomerID = 13 --打開后切記關(guān)閉！！！3w@live.cn CLOSE SYMMETRIC KEY sym_Demo

惡意替換開始：

/********************************************************** --我們用剛才的CustomerID = 13的PasswordHintAnswer列值 --替換CustomerID = 14的PasswordHintAnswer列值， --再用剛才讀取14的方法讀取真實(shí)值 **********************************************************/ update dbo.PWDQuestion set PasswordHintAnswer= (select PasswordHintAnswer from dbo.PWDQuestion where CustomerID = 14) where CustomerID = 13

此時(shí)，我們再查看：

OPEN SYMMETRIC KEY sym_Demo DECRYPTION BY PASSWORD = 'newnew!456' SELECT CustomerID,PasswordHintQuestion, CAST(DecryptByKey(PasswordHintAnswer, 1,--1表示使用驗(yàn)證器值 CAST(CustomerID as varbinary)) as varchar(200)) PasswordHintAnswer, PasswordHintAnswer as binaryValue FROM dbo.PWDQuestion WHERE CustomerID in(13,14) --打開后切記關(guān)閉！！！3w@live.cn CLOSE SYMMETRIC KEY sym_Demo

郎勒個(gè)郎！爽吧！雖然復(fù)制了相同的二進(jìn)制數(shù)據(jù)，可是讀取結(jié)果令攻擊者大失所望啊！

示例五、刪除對稱密鑰

命令：DROP SYMMETRIC KEY 刪除指定的對稱密鑰( http://technet.microsoft.com/en-us/library/ms182698.aspx )

例子：

DROP SYMMETRIC KEY symDemoKey

注意：如果加密密鑰打開沒有關(guān)閉，則drop失敗。

小結(jié)：

1、本文主要介紹對稱密鑰的創(chuàng)建、刪除、查看以及用它來修改加密方式、進(jìn)行數(shù)據(jù)的加密和解密。

2、對稱密鑰的特性是：在數(shù)據(jù)庫會話中使用它對數(shù)據(jù)進(jìn)行加密和解密前必須首先打開。

3、對稱密鑰可用于大數(shù)據(jù)的加密。

下文將主要介紹證書加密(Certificate Encryption)

SQL Server 2008中的代碼安全（六）：對稱密鑰加密