我经常被问及这样的问题,能否让一个用户有加密数据的能力却不能解密数据呢? 答案是:可以。但在我展示这个方法之前,我们先稍微讨论一下对称密钥(symmetric key)。 用户能否加密或解密数据取决于用户能否够打开这个密钥。 如果用户可以打开密钥,那么他既能加密也能解密。 要想限制用户去使用密钥,需要删除用户打开密钥的能力。我们可以创建一个存储过程,将加密和打开密钥的过程封装进去,并让这个存储过程有权限执行这些操作(通过签名),然后赋予用户执行存储过程的权限。这样用户就可以通过存储过程访问密钥,但不能直接方法问密钥。注意,如果用户可以在并行操作中调用这个存储过程,可能会导致密钥被用户直接使用(用户没有打开密钥的权限,却能执行加密/解密操作。译者注)。虽然我不认为这会被利用,但仍存在这种可能性。
下面是示例代码
--
-- 这个demo演示让用户可以加密数据而不能解密数据
create database test
use test
-- 创建数据库主密钥
create master key encryption by password = 'Avcptnwgu@)!)'
-- 创建一个证书,该证书用于加密下面的对称密钥
create certificate cert_protect_skey_data with subject = 'Certificate for encrypting
symmetric key'
-- 创建对称密钥,用于加密数据
create symmetric key skey_data with algorithm = triple_des encryption by certificate
cert_protect_skey_data
--创建存储过程,使用对称密钥加密数据
create procedure sp_encrypt_with_skey_data
@plaintext varbinary(8000),
@ciphertext varbinary(8000) output
as
begin
open symmetric key skey_data decryption by certificate cert_protect_skey_data
set @ciphertext = encryptbykey(key_guid('skey_data'), @plaintext)
close symmetric key skey_data
end
-- 验证该存储过程, 在一个batch内执行下代码
declare @plaintext varbinary(200)
set @plaintext = convert(varbinary(200), 'Plaintext')
declare @ciphertext varbinary(200)
exec sp_encrypt_with_skey_data @plaintext, @ciphertext output
print 'Ciphertext: '
print @ciphertext
print 'Plaintext: '
open symmetric key skey_data decryption by certificate cert_protect_skey_data
print convert(varchar(200), decryptbykey(@ciphertext))
close symmetric key skey_data
go
-- 创建一个不能访问密钥的主体
create login alice with password = 'TiA''ssptncgt#)))'
create user alice
-- 允许Alice执行该存储过程
-- 我们希望她能够使用密钥加密
-- 但不能解密
grant execute on sp_encrypt_with_skey_data to alice
-- 验证Alice可以加密
execute as login = 'Alice'
select suser_name()
-- Alice可以执行存储过程,但他不能访问密钥
-- 密钥并没有所有权链的机制
declare @plaintext varbinary(200)
set @plaintext = convert(varbinary(200), 'Plaintext')
declare @ciphertext varbinary(200)
exec sp_encrypt_with_skey_data @plaintext, @ciphertext output
print 'Ciphertext: '
print @ciphertext
-- Alice明显无法直接访问密钥
open symmetric key skey_data decryption by certificate cert_protect_skey_data
-- revert context
revert
-- 现在对存储过程进行签名,使Alice能够访问密钥
-- 创建用于签名的证书
create certificate cert_sign2use_skey_data with subject = 'Certificate for signing code that
will use the symmetric key'
-- 创建一个映射到证书的用户
create user u_cert_sign2use_skey_data for certificate cert_sign2use_skey_data
-- 授权
grant view definition on symmetric key::skey_data to u_cert_sign2use_skey_data
grant control on certificate::cert_protect_skey_data to u_cert_sign2use_skey_data
-- 签名
add signature to sp_encrypt_with_skey_data by certificate cert_sign2use_skey_data
-- 现在Alice可以真正地使用这个存储过程了
execute as login = 'alice'
select suser_name()
-- 注意,现在Alice仍然不能直接访问密钥
open symmetric key skey_data decryption by certificate cert_protect_skey_data
-- 现在在一个batch执行一下代码,验证加密
-- 注意加密会成功,但解密会失败
declare @plaintext varbinary(200)
set @plaintext = convert(varbinary(200), 'Plaintext')
declare @ciphertext varbinary(200)
exec sp_encrypt_with_skey_data @plaintext, @ciphertext output
print 'Ciphertext: '
print @ciphertext
print 'Plaintext: '
print convert(varchar(200), decryptbykey(@ciphertext))
go
revert
-- cleanup
use master
drop database test
drop login alice
-- EOD