OPEN SYMMETRIC KEY scope in SQL Server

最新推荐文章于 2024-12-14 23:09:06 发布
最新推荐文章于 2024-12-14 23:09:06 发布
阅读量307 收藏
点赞数
文章标签: 数据库
本文探讨了SQL Server中对称密钥的有效范围及如何正确管理这些密钥以避免安全漏洞。通过示例展示了如何在存储过程中打开和关闭密钥,并提供了避免密钥泄露的最佳实践。

 

最近我收到一些关于对称密钥有效范围的问题,特别是在模块内(存储过程)打开对称密钥。其中一个问题是,如果在存储过程内执行打开密钥(OPEN SYMMETRIC KEY)的操

作,而退出存储过程前没有将密钥关闭,会导致密钥泄露到模块以外。

 

BOLOPEN SYMMETRIC KEY(在备注下方)文章中,我们已经写明,打开的密钥在整个会话范文内有效,而仅仅是在执行上下文内(包括存储过程),并且密钥在被显示关闭(使用CLOSE SYMMETRIC KEY语句)或者会话终止前密钥都是处于打开状态的。

 

如何保证密钥在模块内打开并且不会被泄露出去呢?需要显示密钥关闭。目前为止SQLSERVER 2005还不能将OPEN SYMMETRIC KEY的有效范围限制在模块内。

 

示例:

 

CREATE  CERTIFICATE  [ cert_keyring_demo ]
   WITH  SUBJECT  =   ' key ring demo '

go

 
 CREATE  SYMMETRIC  KEY   [ symkey_keyring_demo ]  
   WITH  ALGORITHM  =  AES_192
  ENCRYPTION  BY  CERTIFICATE  [ cert_keyring_demo ]

go

 
 CREATE   USER   [ lowpriv_user ]  WITHOUT LOGIN
 go

CREATE   PROC   [ sp_openkey ]
--  We will be runnign this module under an impersonated context
WITH   EXECUTE   AS  OWNER
 AS
   OPEN  SYMMETRIC  KEY   [ symkey_keyring_demo ]  
    DECRYPTION  BY  CERTIFICATE  [ cert_keyring_demo ]

   --  Notice that the key is not being closed on purpose

   --
go


--  Grant minimum privielges
--
 GRANT   EXECUTE   ON   [ dbo ] . [ sp_openkey ]   TO   [ lowpriv_user ]
GRANT   VIEW  DEFINITION  ON  SYMMETRIC  KEY :: [ symkey_keyring_demo ]   TO   [ lowpriv_user ]

go

EXECUTE   AS   USER   =   ' lowpriv_user '
go


SELECT   *   FROM  sys.openkeys

 go

--  fails with error 15151
--
 OPEN  SYMMETRIC  KEY   [ symkey_keyring_demo ]  
     DECRYPTION  BY  CERTIFICATE  [ cert_keyring_demo ]
go

 
 --  This will succeed
--
 EXEC   [ dbo ] . [ sp_openkey ]
go

 

 --  And we can verify that the key is opened on our session.
SELECT   *   FROM  sys.openkeys
 go

 

 --  and we can encrypt & decrypt
declare   @blob   varbinary ( 1000 )
 declare   @pt   varchar ( 1000 )
 SET   @blob   =  encryptbykey( key_guid(  ' symkey_keyring_demo ' ),  ' data '  )
 SET   @pt   =   convert varchar ( 1000 ), decryptbykey(  @blob  ))
 SELECT   @pt @blob
go


--  We can swithc context
REVERT

 go

--  and verify that the key ring is still opened
SELECT   *   FROM  sys.openkeys

 go

--  And the key remains opened until we close it 
--  or we terminate the session
--
 CLOSE  SYMMETRIC  KEY  symkey_keyring_demo

 go

 


上面的代码故意使密钥在模块结束后还保持打开状态,但是这种情况也可能是由错误的操作引起,导致了密钥的泄露(也就是说 应用程序中存在这样的bug


例如:

 

CREATE   TABLE   [ dbo ] . [ tabl_keyring_demo ] ( id  int   IDENTITY   PRIMARY   KEY
  data  varbinary ( 1000 ), LastUsedDate  datetime  )
 go


OPEN  SYMMETRIC  KEY   [ symkey_keyring_demo ]  
 DECRYPTION  BY  CERTIFICATE  [ cert_keyring_demo ]
go

 

 INSERT   INTO   [ dbo ] . [ tabl_keyring_demo ]  
   VALUES  ( encryptbykey( key_guid(  ' symkey_keyring_demo ' ),  ' lowpriv_user '  ),  GetDate ())
 INSERT   INTO   [ dbo ] . [ tabl_keyring_demo ]  
   VALUES  ( encryptbykey( key_guid(  ' symkey_keyring_demo ' ),  ' outdated_user '  ),  GetDate ())
 go

CLOSE  SYMMETRIC  KEY   [ symkey_keyring_demo ]  
 go

 

 CREATE   PROC   [ sp_keyring_demo2 ] @id   int  )
 WITH   EXECUTE   AS  OWNER
 AS
--  改存储过程目的为解密数据,
--  并在退出存储过程前关闭密钥
--
 declare   @username   varchar ( 1000 )
 if EXISTS ( SELECT   count ( * FROM   [ dbo ] . [ tabl_keyring_demo ]   WHERE  Id  =   @id ))
 BEGIN
      OPEN  SYMMETRIC  KEY   [ symkey_keyring_demo ]  
          DECRYPTION  BY  CERTIFICATE  [ cert_keyring_demo ] ;
          
      SELECT   @username   =   convert varchar ( 1000 ), decryptbykey( data )) 
        FROM   [ dbo ] . [ tabl_keyring_demo ]   WHERE  Id  =   @id ;

      --  For demonstration purposes, I will add a DDL statetemnt that I know
      --  will fail the second time I execute the module
     if @username   is   not   null  )
     BEGIN
           EXECUTE   AS   USER   =   @username
           --  do something interesting under this context
          REVERT 
     END

      --  Updating LastUsedDate column 
      UPDATE   [ dbo ] . [ tabl_keyring_demo ]   SET  LastUsedDate  =   GetDate ()  WHERE  Id  =   @id ;
      CLOSE  SYMMETRIC  KEY   [ symkey_keyring_demo ] ;

 END

go
GRANT   EXECUTE   ON   [ dbo ] . [ sp_keyring_demo2 ]   TO   [ lowpriv_user ]
go

 

 -- Let's give it a try
EXECUTE   AS   USER   =   ' lowpriv_user '
go

--  This one will work as expected
--
 EXEC   [ dbo ] . [ sp_keyring_demo2 ]   1
go
--  and no keys in the key ring
--
 SELECT   *   FROM  sys.openkeys
 go

 

 --  这次运行时会失败,出现15517错误
--  该错误会终止batch
--  导致密钥无法关闭
--
EXEC   [ dbo ] . [ sp_keyring_demo2 ]   2
go

SELECT   *   FROM  sys.openkeys
 go

-- Clean up
CLOSE  SYMMETRIC  KEY   [ symkey_keyring_demo ] ;
 go

REVERT

 go

 


注意,上面的代码设不当,使密钥打开的时间过长,代码的错误处理也可能失败。下面是改进代码:

ALTER   PROC   [ sp_keyring_demo2 ] @id   int  )
 WITH   EXECUTE   AS  OWNER
 AS

--  The intention of this SP is to decrypt data, but close the key
--  before leaving the module frame
--
declare   @username   varchar ( 1000 )
 if EXISTS ( SELECT   count ( * FROM   [ dbo ] . [ tabl_keyring_demo ]   WHERE  Id  =   @id ))
 BEGIN
      SELECT   @username   =   convert varchar ( 1000 ), DecryptByKeyAutoCert( cert_id( ' cert_keyring_demo ' ),  null , data )) 
        FROM   [ dbo ] . [ tabl_keyring_demo ]   WHERE  Id  =   @id ;

      --  For demonstration purposes, I will add a DDL statetemnt that I know
      --  will fail the second time I execute the module

     if @username   is   not   null  )
     BEGIN
           BEGIN  TRY
               EXECUTE   AS   USER   =   @username
               --  do something interesting under this context
              REVERT 
           END  TRY

           BEGIN  CATCH
               print   ' Unexpected error '
               print  error_message()
               --  add code to handle error properly here
               --
                RAISERROR ' Error in impersonated context ' 16 1  )
           END  CATCH

     END

      --  Updating LastUsedDate column 
      UPDATE   [ dbo ] . [ tabl_keyring_demo ]   SET  LastUsedDate  =   GetDate ()  WHERE  Id  =   @id ;
 END

go

--  succeeds
--
 EXEC   [ dbo ] . [ sp_keyring_demo2 ]   1
go

 

 --  fails gracefully
--
 EXEC   [ dbo ] . [ sp_keyring_demo2 ]   2
go

 


    如你所见,密钥是在会话范围内有效的。如果你要编码一种模块:密钥只能被模块的调用者使用,并只在模块内有效。 密钥的这种特性会影响到模块的设计。 所以如果你的应用程序用到了OPEN SYMMETRIC KEY语句,你要考虑到密钥的这种限制和SQLSERVER错误处理的方式。

 

一些提示,如何在保护调用者利益的情况下开打密钥:
 

·         如果可能,尽量用DecryptByKeyAuto语句代替DecryptByKey语句,使用DecryptByKeyAuto不需要显示地将密钥打开,该语句会自动打开密钥(并在解密后关闭密钥,译者注)

·         尽可能减少打开密钥和关闭密钥之间的代码,减少打开密钥却没有关闭密钥的逻辑错误

·         确保在代码内进行错误处理,使用TRY/CATCH防止模块过早终止

 

 

 原文地址:OPEN SYMMETRIC KEY scope in SQL Server

 

 

42、数据库安全:SQL Server 与 Cosmos DB 深度解析
d6e7f8g9h的博客
07-31 20
本文深入解析了 SQL Server 与 Cosmos DB 的安全实现,涵盖密钥存储、加密技术、数据保护机制、身份验证和授权等多个方面,并提供了安全最佳实践与未来趋势展望,帮助企业根据业务需求选择合适的数据库安全方案。
46、SQL 技术全面解析与实践指南
最新发布
jj890的博客
07-23 27
本博客全面解析了SQL技术的核心内容,包括子查询、存储过程、触发器、游标、事务管理等关键知识点,并通过实际项目案例演示了如何在数据库系统中应用这些技术。同时,博客还展望了SQL技术在大数据、人工智能和云数据库等未来发展方向。适合数据库开发人员和数据管理爱好者深入学习与实践。
数据加密 第四篇:对称密钥
悦光阴的博客
05-18 2653
密钥分为对称密钥和非对称密钥,密钥本质上是加密数据的算法: 对称密钥(Symmetric Keys)是指加密和解密的过程使用相同的算法,是加密中最弱的算法,但是性能最好。对于对称密钥,可以使用密码或者另一个密钥甚至一个证书来加密。 非对称密钥(Asymmetric Keys)使用一对密钥(算法),一个密钥用于加密,另一个密钥用于解密,加密的密钥称为私钥(private key),解密的密钥称为...
SQLServer 数据加密解密:在多个服务器实例中创建相同对称密钥(三)
04-07 1884
创建相同的对称密钥非常容易。使用相同的 KEY_SOURCE、ALGORITHM 和 IDENTITY_VALUE 密钥选项创建的对称密钥将是相同的。 -- 创建测试 use [Temp] go -- drop table EnryptTest create table EnryptTest ( id int not null primary key, E
SQL Server报错::密钥 ‘XXX‘ 未打开。请先打开它,然后再使用它。
CFGirl的博客
06-01 891
本地建了一个数据库,并创建了秘钥 附加到另外一个数据实例的时候,提示主密钥未打开。
MSSQL数据加密解密
weixin_44519072的博客
06-02 2757
convert(nvarchar(50), decryptByCert(cert_id(N'cert_2'),password)) as cert_2, --使用证书2解密:使用证书2解密必须指定第三个参数DecryptByCert,否则返回null。convert(nvarchar(50), decryptByCert(cert_id(N'cert_2'),password,N'12345678')) as cert_2 --使用证书2解密。--证书建好后,可以用证书对数据加密。
CRM 2013发邮件的插件报错Cannot open Sql Encryption Symmetric Key because Symmetric Key password does not exi...
weixin_34332905的博客
01-09 460
解决方法: 1. 依次打开Settings->Data management –> Data Encryption 然后在上面红框里填上任意一个key即可。
[SqlServer] 获取 数据库 sqlserver 关键字
拒绝成猿的程序员
08-20 7778
最近在做个在线创建数据库表的工具,所以要用到数据库的原本的关键字,用于比对,所创建的表的列名是否为数据库的关键字。 但是数据库的关键字,从哪来? 访问 sqlserver的关键字说明官网 保留关键字 发现他把关键字都存在dom元素中的,一个个粘贴比对,得累死人,而且我们是程序员啊,怎么能用这么粗暴的方法那. 1.打开控制台 2.执行以下脚本 var res=[]; $('.tabl...
Flink SQL:SQL
weixin_48813624的博客
10-18 419
Flink SQL:SQL
Flink SQL保留关键字
Java和大数据等相关的技术交流分享,欢迎关注交流
12-14 971
在使用flink时,如果不小心用到了flink保留关键字,会产生关键字错误。如果你想使用关键字符串作为字段名,请确保用倒勾括住它们(例如`value`、`count`)
sqlserver对数据进行加密、解密
记事本
06-27 3510
sqlserver对数据进行加密、解密
T-Sql(八)字段索引和数据加密
weixin_33830216的博客
10-19 116
  t-sql的基本用法讲到第八章也差不多了,最后就讲下字段索引和数据加密,这两个内容对编程人员可能用的地方不是太多,还是那句老话“防患于未然”。   下面我就简单的说下字段索引和数据加密的内容,只是简单概述,对初学者起到抛砖引玉的作用,大牛们请飘过!!! 一,字段索引   索引是什么,使用索引可快速访问数据库表中的特定信息。索引是对数据库表中一列或多列的值进行排序的一种结构,例如 empl...
SQL2012数据库加密方法
weixin_34315485的博客
12-31 351
1、非对称密钥来保护新的对称密钥/*--测试环境 Microsoft SQL Server 2012 (SP1) - 11.0.3000.0 (X64) Oct 19 2012 13:38:57 Copyright (c) Microsoft Corporation Developer Edition (64-bit) on Windows NT 6.1 <X64> (B...
SQLServer 数据加密解密:常用的加密解密(一)
热门推荐
04-04 3万+
都是基本示例,更多参考官方文档: 1. Transact-SQL 函数 2. 数据库密钥 3. 证书 4. 非对称密钥 5. 对称密钥 -- drop table EnryptTest create table EnryptTest ( id int not null primary key, EnryptData nvarchar(20), ) insert int
Java连接SQL Server数据库的详细操作流程
aurora
12-10 2万+
驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接问题的完美解决方案
sql 2005数据库加密 示例
happydreamer的专栏
10-11 1908
转贴自teched讲师:  牛可  基本概念:第一层 服务主密钥 备份服务主密钥backup service master key to file=c:/smk.bakencryption by password=P@ssw0rd restore service master key from file=c:/smk.bakdecryption by p
SQL Server 对称秘钥的管理
三空道人的博客
06-01 1730
对称秘钥,加密和解密使用相同的秘钥。 对称秘钥的应用:《SQL Server 对称密钥在数据加密中的应用》 对称秘钥的管理包括创建、打开、修改、关闭和删除,本文将逐一使用实例进行介绍。 创建对称秘钥 创建对称秘钥必定要指定一种加密方式,而对称秘钥有五种加密方式,分别为证书、密码、对称秘钥、非对称秘钥和PROVIDER。我们将按照对称秘钥的加密方式给出创建秘钥的样例。 为了演示创建过程,我们先创建一个测试数据库: --创建测试数据库 CREATE DATABASE SymmetricKeyAdm
sql server 加密_列级SQL Server加密概述
culuo4781的博客
07-23 1962
sql server 加密 This article gives an overview of column level SQL Server encryption using examples. 本文使用示例概述列级SQL Server加密。 介绍 (Introduction) Data security is a critical task for any org...
SQL Server 2008 对称密钥加密详解与示例
但在此之前,必须先用`OPEN SYMMETRIC KEY`打开密钥: ```sql -- 打开对称密钥 OPEN SYMMETRIC KEY sym_Demo DECRYPTION BY ASYMMETRIC KEY symDemoKey -- 修改对称密钥的加密方式 ALTER SYMMETRIC KEY sym_Demo ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值