数据库敏感数据加密技术

大数据时代的到来，数据成为企业最重要的资产之一，数据加密的也是保护数据资产的重要手段。本文主要在结合学习通过MySQL/Oracle/SQL server函数及Python加密方法来演示数据加密的一些简单方式。

1. MySQL加密解密方式

1.1准备工作

为了便于后面对比，将各种方式的数据集存放在不同的表中。
创建原始明文数据表

/*  创建原始数据表 */CREATE TABLE `f_user` (`id` int(11) NOT NULL AUTO_INCREMENT,`name` varchar(50) DEFAULT NULL,`tel` varchar(20) DEFAULT NULL,`pwd` varchar(50) DEFAULT NULL,PRIMARY KEY (`id`)
);/*  新增原始数据 */
INSERT INTO `f_user` VALUES (1,'曹操','10000000000','Cc@123'),
(2,'关羽','21000000000','Guanyu@21'),
(3,'刘备','20000000000','LB#200000');

创建MySQL加密表

CREATE TABLE `f_user_m` (`id` int(11) NOT NULL AUTO_INCREMENT,`name` varchar(200) DEFAULT NULL,`tel` varchar(100) DEFAULT NULL,`pwd` varbinary(255) DEFAULT NULL,PRIMARY KEY (`id`)
);

创建python加密表

CREATE TABLE `f_user_p` (`id` int(11) NOT NULL AUTO_INCREMENT,`name` varchar(200) DEFAULT NULL,`tel` varchar(100) DEFAULT NULL,`pwd` varchar(500) DEFAULT NULL,PRIMARY KEY (`id`)
);

1.2 MySQL加密

将明文表中的数据插入到f_user_m中，同时对pwd密码字段进行加密存储，注意要记住加密的字符串,因为解密的时候要用到这个值。

/* 加密密码字段 */
mysql> insert into  f_user_m (name,tel,pwd)
select name,tel,AES_ENCRYPT(pwd,'MySQL') from f_user;
Query OK, 3 rows affected (0.00 sec)
Records: 3  Duplicates: 0  Warnings: 0

存储的结果如下

注：
加密后的数据直接存储varchar类型的字段中会出现如下报错：
ERROR 1366 (HY000): Incorrect string value: ‘\xF0K+!\x15?..’ for column ‘pwd’ at row 1
可以用如下三种方式处理：

加密后的数据在utf8字符集下必须存放在varbinary/binary/blob等二进制字段属性的字段中，故上文中密码字段的类型设置为varbinary类型
可以对加密后的数据使用HEX()函数来16进制化存入，取出时先用UNHEX()处理再解密
采用latin1字符集直接存储在varchar类型字段中，但是不推荐
三种方式可以自行测试处理。

1.3 MYSQL解密

对于加密后的数据可以使用MySQL的解密函数AES_DECRYPT进行解密查看明文

mysql> select  name,tel,AES_DECRYPT(pwd,'MySQL')pwd from f_user_m;
+--------+-------------+-----------+
| name   | tel         | pwd       |
+--------+-------------+-----------+
| 曹操   | 10000000000 | Cc@123    |
| 关羽   | 21000000000 | Guanyu@21 |
| 刘备   | 20000000000 | LB#200000 |
+--------+-------------+-----------+
3 rows in set (0.00 sec)

此时查看的数据和明文表里的一致了。

2.Oracle加密解密方式

2.1md5加密

CREATE OR REPLACE FUNCTION MD5(
passwd IN VARCHAR2)
RETURN VARCHAR2
IS
retval varchar2(32);
BEGIN
retval := utl_raw.cast_to_raw(DBMS_OBFUSCATION_TOOLKIT.MD5(INPUT_STRING => passwd)) ;
RETURN retval;
END;

select md5(1) from dual

2.2DES加密


create or replace function
encrypt_des(p_text varchar2, p_key varchar2) return varchar2 is
v_text varchar2(4000);
v_enc varchar2(4000);
raw_input RAW(128) ;
key_input RAW(128) ;
decrypted_raw RAW(2048);
begin
v_text := rpad( p_text, (trunc(length(p_text)/8)+1)*8, chr(0));
raw_input := UTL_RAW.CAST_TO_RAW(v_text);
key_input := UTL_RAW.CAST_TO_RAW(p_key);
dbms_obfuscation_toolkit.DESEncrypt(input => raw_input,key => key_input,encrypted_data =>decrypted_raw);
v_enc := rawtohex(decrypted_raw);
dbms_output.put_line(v_enc);
return v_enc;
end;

2.3DES解密

create or replace function decrypt_des(p_text varchar2,p_key varchar2) return varchar2 is
v_text varchar2(2000);
begin
dbms_obfuscation_toolkit.DESDECRYPT(input_string => UTL_RAW.CAST_TO_varchar2(p_text),key_string =>p_key, decrypted_string=> v_text);
v_text := rtrim(v_text,chr(0));
dbms_output.put_line(v_text);
return v_text;
end;

3.SQL server加密解密方式

ENCRYPTBYASYMKEY() --非对称密钥
ENCRYPTBYCERT() --证书加密
ENCRYPTBYKEY() --对称密钥
ENCRYPTBYPASSPHRASE() --通行短语（PassPhrase）加密

在SQL Server 2005和SQL Server 2008之前。如果希望加密敏感数据，如财务信息、工资或身份证号，必须借助外部应用程序或算法。SQL Server 2005引入内建数据加密的能力，使用证书、密钥和系统函数的组合来完成。
与数字证书类似。SQL Server 证书包括公钥和私钥这一对密钥，它们都用来加密和解密数据。SQL Server也拥有创建非对称密钥和对称密钥对象的能力。非对称密钥（asymmetric key）与证书相似，公钥用来加密数据库，私钥用来解密数据。非对称密钥和证书都提供了强大的加密强度。但在完成复杂的加密|解密过程中具有更多的性能开销。更适合对大量数据进行加密，且具有较低性能开销的解决方案是对称密钥（symmetric key），它是对相同数据进行加密和解密的一个密钥。
SQL Server允许将这些加密能力放到加密层次结构中。当安装了SQL Server后，在数据库master中创建名为服务主密钥的服务器级别证书，并将其默绑定到SQL Server服务账号登录名。服务主密钥用来加密所有其他数据库证书和创建在SQL Server实例中的密钥。另外，你也可以在用户数据库中创建数据库主密钥（Database Master Key）,它可以用来加密数据库证书和密钥。
在SQL Server 2008中，微软引入了透明数据加密(TDE),它对整个数据库进行加密，而不需要修改任何访问它的应用程序。数据、日志文件和相关的数据库备份都是加密的。假如数据库被偷，如果没有数据库加密密钥（DEK）是不能访问数据的。

3.1通过通行短语(PassPhrase)加密

对于不涉及证书及密钥的应急的数据加密，可以直接基于用户提供的密码来加密和解密数据。通行短语(PassPhrase)是允许存在空格的密码。这个PassPhrase不会存储在数据库中，因而也就意味着不会被使用存储的系统数据“破解”。同时，可以使用空格创建一个长的、易于记忆的句子来加密和解密敏感数据。
加密函数

CREATE FUNCTION dbo.EncryptByPassPhrasePwd(@password nvarchar(max))
RETURNS varbinary(max)
AS
BEGIN declare @pwd varbinary(max)SELECT @pwd = EncryptByPassPhrase('1234567',            @password)return @pwd
END

解密函数

CREATE  FUNCTION dbo.DecryptByPassPhrasePwd(@password varbinary(max))
RETURNS nvarchar(max)
AS
BEGIN declare @pwd nvarchar(max)SELECT @pwd =CAST( DecryptByPassPhrase('1234567',@password)  as nvarchar(max))return @pwd
END

注意：123456 是用于生成对称密钥的通行短语
select dbo.EncryptByPassPhrasePwd(‘test11’) as result
select dbo.DecryptByPassPhrasePwd(0x010000004779C35F96DACC0EC6A8C518E186D203B1A336EE5B8A51B4271B54F56F516ECE) as result

SQL server其他加密方式查看文档：
https://www.cnblogs.com/lyhabc/articles/3187453.html

4. 应用端Python 加密解密方式

4.1 使用Python的encodestring方法加密

编写python脚本，将数据加密后插入表中

#!/usr/bin/python
# coding=utf-8
import pymysql as mdb
import base64sor_conn = mdb.connect(host='127.0.0.1',port=3306,user='root',passwd='Root@Py123')
sor_cur = sor_conn.cursor()v_sql = "select  name,tel,pwd from  bak_db.f_user"
result_tb = sor_cur.execute(v_sql)
t = sor_cur.fetchall()
for col in t:v_name = col[0]v_tel = col[1]v_pwd = col[2]v_pwd = base64.encodestring(v_pwd)  # 加密v_sql_insert = "insert into  bak_db.f_user_p(name,tel,pwd) values('%s','%s','%s');" %(v_name,v_tel,v_pwd)sor_cur.execute(v_sql_insert)sor_conn.commit()sor_conn.close()

/* 加密后的数据如下 */
mysql> select  * from f_user_p;
+----+--------+-------------+---------------+
| id | name   | tel         | pwd           |
+----+--------+-------------+---------------+
|  1 | 曹操   | 10000000000 | Q2NAMTIz|
|  2 | 关羽   | 21000000000 | R3Vhbnl1QDIx|
|  3 | 刘备   | 20000000000 | TEIjMjAwMDAw|
+----+--------+-------------+---------------+
3 rows in set (0.00 sec)

4.2 使用Python的decodestring方法解密

解密的方式采用base64.decodestring方法进行，该方法比较简单，可以自行测试.
注：此方法的加、解密没有加密串进行加成，安全性相对较低，因此可以继续采用另一种方式进行。

4.3 Python AES算法加密

AES算法需用到Crypto.Cipher模块，此方法类似于MySQL的方式，可以自定义加密串，解密时也许用到对应的加密串，安全性相对较高。
使用前需先安装Crypto
pip install Crypto

测试程序如下：

#!/usr/bin/python
# coding=utf-8from Crypto.Cipher import AES
import pymysql as mdb
from binascii import b2a_hex, a2b_hex
import syssor_conn = mdb.connect(host='127.0.0.1',port=3306,user='root',passwd='Root@Py123')
sor_cur = sor_conn.cursor()class PyDbString():def __init__(self):self.key = 'pythonkey2020320'self.mode = AES.MODE_CBCdef addString(self, text):cryptor = AES.new(self.key, self.mode, self.key)length = 32count = len(text)add = length - (count % length)text = text + ('\0' * add)self.ciphertext = cryptor.encrypt(text)return b2a_hex(self.ciphertext)def desString(self, text):cryptor = AES.new(self.key, self.mode, self.key)plain_text = cryptor.decrypt(a2b_hex(text))return plain_text.rstrip('\0')v_strpass = PyDbString()v_sql = "select  name,tel,pwd from  bak_db.f_user"
result_tb = sor_cur.execute(v_sql)
t = sor_cur.fetchall()
for col in t:v_name = col[0]v_tel = col[1]v_pwd = col[2]print(v_pwd)v_pwd = v_strpass.addString(v_pwd)  # 加密v_sql_insert = "insert into  bak_db.f_user_p(name,tel,pwd) values('%s','%s','%s');" %(v_name,v_tel,v_pwd)sor_cur.execute(v_sql_insert)sor_conn.commit()sor_conn.close()

查看数据如下：

解密的方法可以将上例中的addstring 改为desString即可。

4.4两种加密算法结合适用

双层加密测试：（兼容python3.7版本）

# -*- coding: utf-8 -*-
import base64
from Crypto.Cipher import AES#用aes加密，再用base64  encode
def aes_encrypt(data): key='8888888888888888'  #加密时使用的key，只能是长度16,24和32的字符串BS = AES.block_sizepad = lambda s: s + (BS - len(s) % BS) * chr(BS - len(s) % BS)cipher = AES.new(key)encrypted = cipher.encrypt(pad(data))  #aes加密result = base64.b64encode(encrypted)  #base64 encodereturn result #把加密的数据，用base64  decode，再用aes解密
def aes_decode(data):key='8888888888888888'# unpad = lambda s : s[0:-ord(s[-1])]unpad = lambda s : s[:-ord(s[len(s)-1:])]cipher = AES.new(key)result2 = base64.b64decode(data)decrypted = unpad(cipher.decrypt(result2))return  decrypted  data = 'jibobo'  #需要加密的字符串
print(data)
res1 = aes_encrypt(data) #加密
res1 = str(res1,'utf-8')
print(res1)     #加密后的字符串
res2 = aes_decode(res1)  #解密
print(str(res2,'utf-8')) #解密后的字符串

结果展示：

双层加密测试：（兼容python3.8版本）

# -*- coding: utf-8 -*-
import base64
from Crypto.Cipher import AES#用aes加密，再用base64  encode
def aes_encrypt(data): key=b'8888888888888888'  #加密时使用的key，只能是长度16,24和32的字符串BS = AES.block_sizepad = lambda s: s + (BS - len(s) % BS) * chr(BS - len(s) % BS)cipher = AES.new(key, AES.MODE_ECB)encrypted = cipher.encrypt(str.encode(pad(data)))  #aes加密result = base64.b64encode(encrypted)  #base64 encodereturn result #把加密的数据，用base64  decode，再用aes解密
def aes_decode(data):key=b'8888888888888888'unpad = lambda s : s[:-ord(s[len(s)-1:])]cipher = AES.new(key, AES.MODE_ECB)result2 = base64.b64decode(data)decrypted = unpad(cipher.decrypt(result2))return  decrypted  if __name__ == '__main__':data = 'jibobo'  #需要加密的字符串print(data)res1 = aes_encrypt(data) #加密res1 = str(res1,'utf-8')print(res1)res2 = aes_decode(res1)  #解密print(str(res2,'utf-8')) #解密后的字符串

结果展示：

其他写法方式：

#coding=utf-8
#AES AES/CBC/PKCS5|Zeroimport base64
from Crypto.Cipher import AES# pip install pycryptodome'''
采用AES对称加密算法
'''
# str不是16的倍数那就补足为16的倍数. ZeroPadding'''在PKCS5Padding中，明确定义Block的大小是8位而在PKCS7Padding定义中，对于块的大小是不确定的，可以在1-255之间PKCS #7 填充字符串由一个字节序列组成，每个字节填充该字节序列的长度。假定块长度为 8，数据长度为 9，数据： FF FF FF FF FF FF FF FF FFPKCS7 填充： FF FF FF FF FF FF FF FF FF 01 01 01 01 01 01 01   ?应该是填充01python3:填充bytes(这个说法不对,AES的参数是字符串,不是byte)length = 16 - (len(data) % 16)data += bytes([length])*lengthpython2:填充字符串length = 16 - (len(data) % 16)data += chr(length)*lengthpad = lambda s: s + (BS - len(s) % BS) * chr(BS - len(s) % BS)unpad = lambda s : s[0:-ord(s[-1])]
'''class AES_CBC:def add_to_16(self, value):while len(value) % 16 != 0:value += '\0'return str.encode(value)  # 返回bytes#加密方法def encrypt_oracle(self, key, text):# iv=self.add_to_16(key)   #多了个iv# 偏移量 16个0iv = "0000000000000000"# 初始化加密器aes = AES.new(self.add_to_16(key), AES.MODE_CBC, self.add_to_16(iv))bs = AES.block_sizepad2 = lambda s: s + (bs - len(s) % bs) * chr(bs - len(s) % bs)#PKS7 encrypt_aes = aes.encrypt(str.encode(pad2(text)))# 用base64转成字符串形式# 执行加密并转码返回bytesencrypted_text = str(base64.encodebytes(encrypt_aes), encoding='utf-8')  print(encrypted_text)#和js的 结果相同 http://tool.chacuo.net/cryptaesreturn encrypted_text#解密方法def decrypt_oralce(self, key, text):# 初始化加密器# 偏移量 16个0iv = "0000000000000000"aes = AES.new(self.add_to_16(key), AES.MODE_CBC, self.add_to_16(iv))#优先逆向解密base64成bytesbase64_decrypted = base64.decodebytes(text.encode(encoding='utf-8'))#decrypted_text = str(aes.decrypt(base64_decrypted), encoding='utf-8') # 执行解密密并转码返回strunpad = lambda s : s[0:-ord(s[-1])]#PADDING = '\0'#print decrypted_text.rstrip(PADDING)  #zeropadding只见诶去掉结尾\0# print(unpad(decrypted_text))return unpad(decrypted_text)if __name__ == '__main__':aes = AES_CBC()#加密key = "8888888888888888"enc_text = aes.encrypt_oracle(key, "jibobo")#解密dec_text = aes.decrypt_oralce(key, enc_text)print(key)print(enc_text)print(dec_text)