我有一个使用 SQL Server 2008 数据库的 Windows 应用程序。
我不希望用户看到数据库表。
如何加密我的数据库中的表?
【问题讨论】:
标签: sql sql-server sql-server-2008 encryption sql-server-2008-r2
这里有不同的选择。
您可以对数据使用对称加密:
创建表销售 ( ... )
创建对称密钥:
CREATE CERTIFICATE cert_sales WITH SUBJECT = N'Sales certificate',
START_DATE = N'2009-01-01', EXPIRY_DATE = N'2018-12-31';
CREATE SYMMETRIC KEY symkey_sales WITH ALGORITHM = AES_256
ENCRYPTION BY CERTIFICATE cert_sales
加密数据:
TRUNCATE TABLE sales;
OPEN SYMMETRIC KEY symkey_sales DECRYPTION BY CERTIFICATE cert_sales;
INSERT INTO sales() SELECT a, ENCRYPTBYKEY(Key_Guid(N'symkey_sales'), B) FROM T2;
CLOSE SYMMETRIC KEY symkey_sales;
解密数据:
OPEN SYMMETRIC KEY symkey_sales DECRYPTION BY CERTIFICATE cert_sales;
SELECT a, CAST(DecryptByKey(B) as nvarchar(100)) FROM sales;
CLOSE SYMMETRIC KEY symkey_sales;
创建主密钥:
USE master
go
CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'My$Strong$Password$123'
创建证书:
CREATE CERTIFICATE DEK_EncCert WITH SUBJECT = 'DEK Encryption Certificate'
创建 DEK:
USE MySecretDB
go
CREATE DATABASE ENCRYPTION KEY WITH ALGORITHM = AES_256
ENCRYPTION BY SERVER CERTIFICATE DEK_EncCert
开启加密:
ALTER DATABASE MySecretDB SET ENCRYPTION ON
【讨论】:
加密无济于事 - SQL Server 级别的加密会加密文件。登录后即可看到数据。
唯一合适的解决方案称为“编程”。基本上去客户端/服务器,没有用户连接到数据库。
或者,您可以使用表的权限 + 应用程序密码来提升应用程序(而不是用户)的权限,但这也是不安全的(因为您必须将密码放在某处)。
【讨论】:
如果您不授予用户 SELECT 权限,用户将看不到表的内容。这意味着它们不应作为 dbo 组的成员连接。而是为用户的各种安全组创建一个或多个组,并将权限分配给您希望他们访问这些组的数据库对象。
请注意,如果您有一组对象将被一个或多个用户组集体许可,您可以在单独的架构中创建这些组,然后授予用户组访问权限整个架构。当您将数据库对象添加到架构时,这使得权限成为一次性事务。
【讨论】: