SQL Server 2005: 如何让用户只能加密数据却不能解密数据

我经常被问及这样的问题,能否让一个用户有加密数据的能力却不能解密数据呢? 答案是:可以。但在我展示这个方法之前,我们先稍微讨论一下对称密钥(symmetric key)。 用户能否加密或解密数据取决于用户能否够打开这个密钥。 如果用户可以打开密钥,那么他既能加密也能解密。 要想限制用户去使用密钥,需要删除用户打开密钥的能力。我们可以创建一个存储过程,将加密和打开密钥的过程封装进去,并让这个存储过程有权限执行这些操作(通过签名),然后赋予用户执行存储过程的权限。这样用户就可以通过存储过程访问密钥,但不能直接方法问密钥。注意,如果用户可以在并行操作中调用这个存储过程,可能会导致密钥被用户直接使用(用户没有打开密钥的权限,却能执行加密/解密操作。译者注)。虽然我不认为这会被利用,但仍存在这种可能性。

下面是示例代码


 


--
--
 这个demo演示让用户可以加密数据而不能解密数据
create   database  test
use  test
--  创建数据库主密钥
create  master  key  encryption  by  password  =   ' Avcptnwgu@)!) '
--  创建一个证书,该证书用于加密下面的对称密钥
create  certificate cert_protect_skey_data  with  subject  =   ' Certificate for encrypting 
symmetric key
'
--  创建对称密钥,用于加密数据
create  symmetric  key  skey_data  with  algorithm  =  triple_des encryption  by  certificate 
cert_protect_skey_data
-- 创建存储过程,使用对称密钥加密数据
create   procedure  sp_encrypt_with_skey_data
 
@plaintext    varbinary ( 8000 ),
 
@ciphertext    varbinary ( 8000 ) output
as
begin
 
open  symmetric  key  skey_data decryption  by  certificate cert_protect_skey_data
 
set   @ciphertext   =  encryptbykey(key_guid( ' skey_data ' ),  @plaintext )
 
close  symmetric  key  skey_data
end
--  验证该存储过程, 在一个batch内执行下代码
declare   @plaintext   varbinary ( 200 )
set   @plaintext   =   convert ( varbinary ( 200 ),  ' Plaintext ' )
declare   @ciphertext   varbinary ( 200 )
exec  sp_encrypt_with_skey_data  @plaintext @ciphertext  output
print   ' Ciphertext:  '
print   @ciphertext
print   ' Plaintext:  '
open  symmetric  key  skey_data decryption  by  certificate cert_protect_skey_data
print   convert ( varchar ( 200 ), decryptbykey( @ciphertext ))
close  symmetric  key  skey_data
go
--  创建一个不能访问密钥的主体
create  login alice  with  password  =   ' TiA '' ssptncgt#))) '
create   user  alice
--  允许Alice执行该存储过程
--
 我们希望她能够使用密钥加密
--
 但不能解密
grant   execute   on  sp_encrypt_with_skey_data  to  alice
--  验证Alice可以加密
execute   as  login  =   ' Alice '
select   suser_name ()
--  Alice可以执行存储过程,但他不能访问密钥
--
 密钥并没有所有权链的机制
declare   @plaintext   varbinary ( 200 )
set   @plaintext   =   convert ( varbinary ( 200 ),  ' Plaintext ' )
declare   @ciphertext   varbinary ( 200 )
exec  sp_encrypt_with_skey_data  @plaintext @ciphertext  output
print   ' Ciphertext:  '
print   @ciphertext
--  Alice明显无法直接访问密钥
open  symmetric  key  skey_data decryption  by  certificate cert_protect_skey_data
--  revert context
revert
--  现在对存储过程进行签名,使Alice能够访问密钥
--
 创建用于签名的证书
create  certificate cert_sign2use_skey_data  with  subject  =   ' Certificate for signing code that 
will use the symmetric key
'
--  创建一个映射到证书的用户
create   user  u_cert_sign2use_skey_data  for  certificate cert_sign2use_skey_data
--  授权
grant   view  definition  on  symmetric  key ::skey_data  to  u_cert_sign2use_skey_data
grant  control  on  certificate::cert_protect_skey_data  to  u_cert_sign2use_skey_data
--  签名
add  signature  to  sp_encrypt_with_skey_data  by  certificate cert_sign2use_skey_data
--  现在Alice可以真正地使用这个存储过程了
execute   as  login  =   ' alice '
select   suser_name ()
--  注意,现在Alice仍然不能直接访问密钥
open  symmetric  key  skey_data decryption  by  certificate cert_protect_skey_data
--  现在在一个batch执行一下代码,验证加密
--
 注意加密会成功,但解密会失败
declare   @plaintext   varbinary ( 200 )
set   @plaintext   =   convert ( varbinary ( 200 ),  ' Plaintext ' )
declare   @ciphertext   varbinary ( 200 )
exec  sp_encrypt_with_skey_data  @plaintext @ciphertext  output
print   ' Ciphertext:  '
print   @ciphertext
print   ' Plaintext:  '
print   convert ( varchar ( 200 ), decryptbykey( @ciphertext ))
go
revert
--  cleanup
use  master
drop   database  test
drop  login alice
--  EOD

 

 

原文地址:http://blogs.msdn.com/lcris/archive/2006/01/13/sql-server-2005-example-for-how-to-allow-a-user-to-encrypt-but-not-decrypt.aspx

 

你可能感兴趣的:(sql server 2005)