SQL Server 2005数据加密技术应用研究

核心提示： 图中顶层的服务主密钥，安装SQL Server 2005新实例时自动产生和安装，SQL Server 2005数据加密技术应用研究(3)，用户不能删除此密钥，但数据库管理员能对它进行基本的维护，假设User1有对称式密钥，并用该密钥登录，如备份该密钥到一个加密文件，当其危及到安全时更新它

图中顶层的服务主密钥，安装SQL Server 2005新实例时自动产生和安装，用户不能删除此密钥，但数据库管理员能对它进行基本的维护，如备份该密钥到一个加密文件，当其危及到安全时更新它，恢复它。

服务主密钥由DPAPI（Data Protection API）管理。DPAPI在Windows 2000 中引入，建立于Windows的Crypt32 API之上。SQL Server 2005 管理与DPAPI的接口。服务主密钥本身是对称式加密，用来加密服务器中的数据库主密钥。

数据库主密钥与服务主密钥不同，在加密数据库中数据之前，必须由数据库管理员创建数据库主密钥。通常管理员在产生该密钥时，提供一个口令，所以它用口令和服务主密钥来加密。如果有足够的权限，用户可以在需要时显式地或自动地打开该密钥。下面是产生数据库主密钥的T-SQL代码示例：

USE EncryptionDB
CREATE MASTER KEY
ENCRYPTION BY PASSWORD = 'UTY6%djzZ8S7RyL'

每个数据库只有一个数据库主密钥。可以用ALTER MASTR KEY语句来删除加密，更改口令或删除数据库主密钥。通常这由数据库管理员来负责做这些。

有了数据库主密钥，就可以着手加密数据。T-SQL有置于其内的加密支持。使用CREATE语句创建各种密码，ALTER语句修改他们。例如要创建对称式加密，可以通过一对函数EncryptByKey 和 DecryptByKey来完成。

数据加密技术应用解析

下面通过实例来探讨SQL Server 2005数据加密与解密技术的实现。

假设有一张Customer 表，表中有字段 customer ID、 name、 city 和各种信用卡细节。其中信用卡细节需要加密而其他数据不需要。假设User1有对称式密钥，并用该密钥登录，运行相应的代码加密数据。