示例四、使用對稱密鑰對數據進行加密和解密 。

1、為了使用對稱密鑰對數據進行加密，必須首先打開它，然后使用函數EncryptByKey 加密數據。( http://msdn.microsoft.com/zh-cn/library/ms174361.aspx )

2、使用DecryptByKey來解密使用對稱密鑰加密的數據。注意DecryptByKey不像甩EncryptByKey，無須使用對稱密鑰GUID。因此，為了解密，必須打開正確的對稱密鑰會話，否則會顯示null。

下面是一個例子：

/****************************3w@live.cn***********************/ USE DB_Encrypt_Demo GO --創建測試數據表，用于對稱加密 CREATE TABLE dbo.PWDQuestion (CustomerID int NOT NULL PRIMARY KEY, PasswordHintQuestion nvarchar(300) NOT NULL, PasswordHintAnswer varbinary(200) NOT NULL) GO --插入加密數據 OPEN SYMMETRIC KEY sym_Demo DECRYPTION BY PASSWORD = 'newnew!456' INSERT dbo.PWDQuestion (CustomerID, PasswordHintQuestion, PasswordHintAnswer) VALUES (12, '您出生的醫院名稱？', EncryptByKey(Key_GUID('sym_Demo '), '杭州市一')) CLOSE SYMMETRIC KEY sym_Demo

查看未加密的數據：

--解密數據 OPEN SYMMETRIC KEY sym_Demo DECRYPTION BY PASSWORD = 'newnew!456' SELECT CustomerID,PasswordHintQuestion, CAST(DecryptByKey(PasswordHintAnswer) as varchar(200)) PasswordHintAnswer FROM dbo.PWDQuestion WHERE CustomerID = 12 --打開后切記關閉！！！3w@live.cn CLOSE SYMMETRIC KEY sym_Demo

--不打開直接讀取 SELECT CustomerID,PasswordHintQuestion, CAST(DecryptByKey(PasswordHintAnswer) as varchar(200)) PasswordHintAnswer FROM dbo.PWDQuestion WHERE CustomerID = 12

至此，好像已經大功告成了，別，千萬別高興得太早！

這里有個問題，如果惡意用戶不知道CustomerID＝13的PasswordHintAnswer列的真實值，但知道CustomerID＝14的PasswordHintAnswer列的真實值,則完全可以通過 惡意替換 PasswordHintAnswer列而繞過加密！！ 3w@live.cn 此時，我們索性連 CustomerID列作為驗證列也一起加密，以絕后患 !

注意： 加密的驗證列 也可以由 另一個相關表的列 作為參數傳入。

看一個完整的例子：

truncate table dbo.PWDQuestion go --添加兩個未加密的行 INSERT dbo.PWDQuestion (CustomerID, PasswordHintQuestion, PasswordHintAnswer) select 13, '您出生的醫院名稱？',cast('浙江婦保院' as varbinary) union all select 14, '您出生的醫院名稱？',cast('浙江婦保二院' as varbinary) --打開對稱密鑰,連CustomerID列一起加密 OPEN SYMMETRIC KEY sym_Demo DECRYPTION BY PASSWORD = 'newnew!456' UPDATE dbo.PWDQuestion SET PasswordHintAnswer = EncryptByKey(Key_GUID('sym_Demo'), PasswordHintAnswer,1,--1表示使用驗證器值 CAST(CustomerID as varbinary)) WHERE CustomerID in (13,14) --打開后切記關閉！！！3w@live.cn CLOSE SYMMETRIC KEY sym_Demo --此時必須這樣查看原數據 OPEN SYMMETRIC KEY sym_Demo DECRYPTION BY PASSWORD = 'newnew!456' SELECT CustomerID,PasswordHintQuestion, CAST(DecryptByKey(PasswordHintAnswer, 1,--1表示使用驗證器值 CAST(CustomerID as varbinary)) as varchar(200)) PasswordHintAnswer FROM dbo.PWDQuestion WHERE CustomerID = 13 --打開后切記關閉！！！3w@live.cn CLOSE SYMMETRIC KEY sym_Demo

惡意替換開始：

/********************************************************** --我們用剛才的CustomerID = 13的PasswordHintAnswer列值 --替換CustomerID = 14的PasswordHintAnswer列值， --再用剛才讀取14的方法讀取真實值 **********************************************************/ update dbo.PWDQuestion set PasswordHintAnswer= (select PasswordHintAnswer from dbo.PWDQuestion where CustomerID = 14) where CustomerID = 13

此時，我們再查看：

OPEN SYMMETRIC KEY sym_Demo DECRYPTION BY PASSWORD = 'newnew!456' SELECT CustomerID,PasswordHintQuestion, CAST(DecryptByKey(PasswordHintAnswer, 1,--1表示使用驗證器值 CAST(CustomerID as varbinary)) as varchar(200)) PasswordHintAnswer, PasswordHintAnswer as binaryValue FROM dbo.PWDQuestion WHERE CustomerID in(13,14) --打開后切記關閉！！！3w@live.cn CLOSE SYMMETRIC KEY sym_Demo

郎勒個郎！爽吧！雖然復制了相同的二進制數據，可是讀取結果令攻擊者大失所望啊！

示例五、刪除對稱密鑰

命令：DROP SYMMETRIC KEY 刪除指定的對稱密鑰( http://technet.microsoft.com/en-us/library/ms182698.aspx )

例子：

DROP SYMMETRIC KEY symDemoKey

注意：如果加密密鑰打開沒有關閉，則drop失敗。

小結：

1、本文主要介紹對稱密鑰的創建、刪除、查看以及用它來修改加密方式、進行數據的加密和解密。

2、對稱密鑰的特性是：在數據庫會話中使用它對數據進行加密和解密前必須首先打開。

3、對稱密鑰可用于大數據的加密。

下文將主要介紹證書加密(Certificate Encryption)

SQL Server 2008中的代碼安全（六）：對稱密鑰加密