㈠ 請提供關於密鑰和公鑰的相關知識
公鑰基礎設施PKI
作者:xxx123123 文章來源:本站原創 點擊數:29 更新時間:2005-8-29
一、 PKI概述
企業生意成功與否在很大程度上取決於該企業是否擁有一個安全可靠的網路系統。目前大多數企業的IT管理人員都為其企業的網路系統採取了某種形式的加密和認證方案。許多企業的網路管理人員正在利用Web向企業提供安全的Internet商務、虛擬專用網路(VPN)以及遠程認證服務,以使其遠地雇員擁有對企業網路的存取能力。然而,當前的大多數安全技術(例如用戶名和口令、一次性口令以及雙向鑒別)並不適合企業的安全需求,而且這些傳統的技術通常需要互不相同的維護與管理措施。
目前,越來越多的企業需要利用網路與其分布在世界各地的分支機構及遠地雇員相連,因此它們需要採取最有效的安全手段以保護企業資源。然而安全防範措施的加強同時也引發了更多額外的管理工作。值得慶幸的是,公共密鑰基礎設施(PKI)可幫助企業解決這一難題,它可幫助企業建立一個安全可靠的網路管理系統。PKI是一種易於管理的、集中化的網路安全方案。它可支持多種形式的數字認證: 數據加密、數字簽字、不可否認、身份鑒別、密鑰管理以及交叉認證等。PKI可通過一個基於認證的框架處理所有的數據加密和數字簽字工作。PKI標准與協議的開發迄今已有15年的歷史,目前的PKI已完全可以向企業網路提供有效的安全保障。
在運行機理上,有近50種有關PKI的標准在過去的15年中得以統一,供應商們的不懈努力較好地解決了其後端資料庫的互操作能力。一個PKI由眾多部件組成,這些部件共同完成兩個主要功能:為數據加密和創建數字認證。伺服器(即後端)產品是這一系統的核心,這些資料庫管理著數字認證、公共密鑰及專用密鑰(分別用於數據的加密和解密)。CA(Certificate Authority,認證權威)資料庫負責發布、廢除和修改X.509數字認證信息,它裝有用戶的公共密鑰、證書有效期以及認證功能(例如對數據的加密或對數字簽字的驗證)。為了防止對數據簽字的篡改,CA在把每一數字簽字發送給發出請求的客戶機之前,需對每一個數字簽字進行認證。一旦數字認證得以創建,它將會被自動存儲於X.500目錄中,X.500目錄為樹形結構。LDAP(Lightweight Directory Access Protocol)協議將響應那些要求提交所存儲的公共密鑰認證的請求。CA為每一用戶或伺服器生成兩對獨立的公共和專用密鑰。其中一對用於信息的加密和解密, 另一對由客戶機應用程序使用,用於文檔或信息傳輸中數字簽字的創建。
大多數PKI均支持證書分布,這是一個把已發布過的或續延生命期的證書加以存儲的過程。這一過程使用了一個公共查詢機制,X.500目錄可自動完成這一存儲過程。影響企業普遍接受PKI的一大障礙是不同CA之間的交叉認證。假設有兩家公司,每一家企業分別使用來自不同供應商的CA,現在它們希望相互託管一段時間。如果其後援資料庫支持交叉認證,則這兩家企業顯然可以互相託管它們的CA,因而它們所託管的所有用戶均可由兩家企業的CA所託管。
二、 PKI體系的基本組成
PKI是一種遵循標準的密鑰管理平台,它能夠為所有網路應用透明地提供採用加密和數字簽名等密碼服務所必需的密鑰和證書管理。PKI必須具有認證機關( CA)、證書庫、密鑰備份及恢復系統、證書作廢處理系統、客戶端證書處理系統等基本成分,構建PKI也將圍繞著這五大系統來構建。
* 認證機關
CA是證書的簽發機構,它是PKI的核心。眾所周知,構建密碼服務系統的核心內容是如何實現密鑰管理,公鑰體制涉及到一對密鑰,即私鑰和公鑰, 私鑰只由持有者秘密掌握,無須在網上傳送,而公鑰是公開的,需要在網上傳送,故公鑰體制的密鑰管理主要是公鑰的管理問題,目前較好的解決方案是引進證書(certificate)機制。
證書是公開密鑰體制的一種密鑰管理媒介。它是一種權威性的電子文檔,形同網路計算環境中的一種身份證,用於證明某一主體(如人、伺服器等)的身份以及其公開密鑰的合法性。在使用公鑰體制的網路環境中, 必須向公鑰的使用者證明公鑰的真實合法性。因此,在公鑰體制環境中,必須有一個可信的機構來對任何一個主體的公鑰進行公證,證明主體的身份以及他與公鑰的匹配關系。CA正是這樣的機構,它的職責歸納起來有:
1、驗證並標識證書申請者的身份;
2、確保CA用於簽名證書的非對稱密鑰的質量;
3、確保整個簽證過程的安全性,確保簽名私鑰的安全性;
4、證書材料信息(包括公鑰證書序列號、CA標識等)的管理;
5、確定並檢查證書的有效期限;
6、確保證書主體標識的唯一性,防止重名;
7、發布並維護作廢證書表;
8、對整個證書簽發過程做日誌記錄;
9、向申請人發通知。
其中最為重要的是CA自己的一對密鑰的管理,它必須確保其高度的機密性,防止他方偽造證書。CA的公鑰在網上公開,整個網路系統必須保證完整性。
* 證書庫
證書庫是證書的集中存放地,它與網上"白頁」類似,是網上的一種公共信息庫,用戶可以從此處獲得其他用戶的證書和公鑰。
構造證書庫的最佳方法是採用支持LDAP協議的目錄系統,用戶或相關的應用通過LDAP來訪問證書庫。系統必須確保證書庫的完整性,防止偽造、篡改證書。
* 密鑰備份及恢復系統
如果用戶丟失了用於解密數據的密鑰,則密文數據將無法被解密,造成數據丟失。為避免這種情況的出現,PKI應該提供備份與恢復解密密鑰的機制。密鑰的備份與恢復應該由可信的機構來完成,例如CA可以充當這一角色。值得強調的是,密鑰備份與恢復只能針對脫密密鑰,簽名私鑰不能夠作備份。
* 證書作廢處理系統
證書作廢處理系統是PKI的一個重要組件。同日常生活中的各種證件一樣,證書在CA為其簽署的有效期以內也可能需要作廢,例如,A公司的職員a辭職離開公司,這就需要終止a證書的生命期。為實現這一,PKI必須提供作廢證書的一系列機制。作廢證書有如下三種策略:
1、作廢一個或多個主體的證書;
2、作廢由某一對密鑰簽發的所有證書;
3、作廢由某CA簽發的所有證書。
作廢證書一般通過將證書列入作廢證書表(CRL)來完成。通常,系統中由CA負責創建並維護一張及時更新的CRL,而由用戶在驗證證書時負責檢查該證書是否在CRL之列。CRL一般存放在目錄系統中。證書的作廢處理必須在安全及可驗證的情況下進行,系統還必須保證CRL的完整性。
* PKI應用介面系統
PKI的價值在於使用戶能夠方便地使用加密、數字簽名等安全服務,因此一個完整的PKI必須提供良好的應用介面系統,使得各種各樣的應用能夠以安全、一致、可信的方式與PKI交互,確保所建立起來的網路環境的可信性,同時降低管理維護成本。最後,PKI應用介面系統應該是跨平台的。
三、 PKI的功能 歸納起來,PKI應該為應用提供如下的安全支持 :
* 證書與CA,PKI應實現CA以及證書庫、CRL等基本的證書管理功能。
* 密鑰備份及恢復證書。
* 密鑰對的自動更換證書、密鑰都有一定的生命期限。當用戶的私鑰泄露時,必須更換密鑰對;另外,隨著計算機速度日益提高,密鑰長度也必須相應地長。因此,PKI應該提供完全自動(無須用戶干預)的密鑰更換以及新的分發工作。
* 交叉驗證
每個CA只可能覆蓋一定的作用范圍,即CA的域,例如,不同的企業往往有各自的CA,它們頒發的證書都只在企業范圍內有效。當隸屬於不同CA的用戶需要交換信息時,就需要引入交叉證書和交叉驗證,這也是PKI必須完成的工作。
* 加密密鑰和簽名密鑰的分隔
如前所述,加密和簽名密鑰的密鑰管理需求是相互抵觸的,因此PKI應該支持加密和簽名密鑰的分隔使用。
* 支持對數字簽名的不可抵賴
任何類型的電子商務都離不開數字簽名,因此PKI必須支持數字簽名的不可抵賴性,而數字簽名的不可抵賴性依賴於簽名私鑰的唯一性和機密性,為確保這一點,PKI必須保證簽名密鑰與加密密鑰的分隔使用。
* 密鑰歷史的管理
每次更新加密密鑰後,相應的解密密鑰都應該存檔,以便將來恢復用舊密鑰加密的數據。每次更新簽名密鑰後,舊的簽名私鑰應該妥善銷毀,防止破壞其唯一性;相應的舊驗證公鑰應該進行存檔,以便將來用於驗證舊的簽名。這些工作都應該是PKI自動完成的。
四、 PKI體系的發展前景
如上所述,PKI對企業生意的成功與否至關重要,它可使企業擁有一個公共的安全基礎結構——一個所有安全的應用賴以存在的基礎結構。企業中的許多安全電子郵件、Internet商務應用、VPN以及單簽字功能的安全都將依賴於X.509的認證。PKI對數據加密、數字簽字、反否認、數字完整性以及甄別所需的密鑰和認證實施了統一的集中化管理。
每一企業均可受益於PKI結構化的管理方案。然而令人遺憾的是,迄今為止,僅有少數行業(包括銀行業、金融、健康保險)採用了這一系統。一些敢於嘗試新生事物的企業, 例如Automotive Network Exchange(由美國幾家最大的汽車製造商組成)已開始受益於這一安全技術。
預計,當企業的生意變得更依賴於Web時,為了確保它們對客戶信息的安全處理,更多的企業將會不斷轉向PKI。然而,迄今為止,採用PKI的企業仍寥寥無幾。PKI本身存在的問題是限制用戶廣泛採用它的主要原因。統一標準的缺乏,將許多美國企業拒之於PKI方案的大門之外。事實上,對於開發PKI產品來說,目前已有相當成熟的標准可依。缺乏良好的互操作性,也是PKI廣泛被採用的主要障礙之一。在PKI供應商能夠支持所有標准之前,許多企業需要使用其客戶機上的專利工具包,這也會在很大程度上限制PKI的迅速流行。
然而,限制PKI被廣泛採用的最主要的障礙依然是其設計與實現上的復雜性。但據預計,隨著PKI供應商的逐步統一與合並,實現PKI的過程將會變得越來越簡單。如果復雜的實現令你望而卻步, 則可以把企業的系統外包給某個第三方供應商。
許多權威的認證方案供應商(例如VeriSign、Thawte以及GTE)目前都在提供外包的PKI。外包PKI最大的問題是,用戶必須把企業託管給某一服務提供商, 即讓出對網路安全的控制權。如果不願這樣做,則可建造一個專用的PKI。專用方案通常需把來自Entrust、Baltimore Technologies以及Xcert的多種伺服器產品與來自主流應用程序供應商(如Microsoft、Netscape以及Qualcomm)的產品組合在一起。專用PKI還要求企業在准備其基礎設施的過程中投入大量的財力與物力。
對那些高風險行業(如銀行、金融及保險)來說,今後10年,PKI對它們長期的安全需求將至關重要。隨著PKI技術的廣泛流行,PKI的實現將會更趨簡單, 成本也會逐步降低。由於PKI僅於最近才開始變成一種可行的安全方案,因此這一技術仍有待進一步完善。如果你的企業不能等待這一技術的成熟,那麼現在就採用它,因為其目前的功能已足可以滿足一般企業的大多數安全需求。
㈡ 資料庫加密的方式有哪幾種
資料庫加密的方式有多種,不同場景下仍在使用的資料庫加密技術主要有:前置代理加密、應用系統加密、文件系統加密、後置代理加密、表空間加密和磁碟加密等,這些你找安策工程師幫你,都是可以做到的網路裡面也有詳細介紹。
㈢ 考慮雇員資料庫,什麼是合適的密鑰
密鑰是關系資料庫模型中非常重要的部分。
它們用於建立和標識表之間的關系,還用於唯一標識表內的任何記錄或數據行。數字簽名使用私鑰和公鑰來提供數據來源和系統及用戶鑒別。
鍵可以是單個屬性或一組屬性,其中組合可以充當鍵。數字簽名使用私鑰和公鑰來提供數據來源和系統及用戶鑒別。沒有額外屬性的超級鍵是候選鍵。
㈣ 如何創建資料庫主密鑰
sql Server 中的資料庫級別加密功能依賴於資料庫主密鑰。創建資料庫時不會自動生成該密鑰,必須由系統管理員創建。僅需要對每個資料庫創建一次主密鑰。
㈤ 如何備份資料庫主密鑰
1.在 SQL Server Management Studio 中,連接至包含要備份的資料庫主密鑰的資料庫。
2.選擇將用於在備份媒體上加密資料庫主密鑰的密碼。請勿使用與加密資料庫中的該密鑰時使用的密碼相同的密碼。
3.獲得一個用於存儲密鑰備份副本的可移動備份媒體。
4.確定將在其下創建密鑰備份的 NTFS 目錄。在此目錄下將創建在下一步中指定的文件。該目錄應利用高限制級 ACL 進行保護。
5.在查詢編輯器中,執行以下 Transact-SQL 命令:BACKUP MASTER KEY TO FILE = '<complete path and filename>' ENCRYPTION BY PASSWORD = '<password>' ; GO
6.將文件復制到備份媒體上並驗證該副本是否完好。
7.將備份異地存儲在一個安全位置。
安全說明:
通常最好是創建備份的多個副本,並在本地存儲其中一個副本。本地副本可以是您備份資料庫主密鑰時創建的文件。
㈥ SQL資料庫2008的產品密鑰多少跪求
開發版: PTTFM-X467G-P7RH2-3Q6CG-4DMYB
企業版: JD8Y6-HQG69-P9H84-XDTPG-34MBB
也不知道你要開發版的還是企業版的就都給你復制過來了,另外在給你安裝的過程圖解。http://hi..com/%B8%E7%C3%B4%C3%B4/blog/item/85705fd460f4ec82a1ec9c05.html
㈦ 十大常見密碼加密方式
一、密鑰散列
採用MD5或者SHA1等散列演算法,對明文進行加密。嚴格來說,MD5不算一種加密演算法,而是一種摘要演算法。無論多長的輸入,MD5都會輸出一個128位(16位元組)的散列值。而SHA1也是流行的消息摘要演算法,它可以生成一個被稱為消息摘要的160位(20位元組)散列值。MD5相對SHA1來說,安全性較低,但是速度快;SHA1和MD5相比安全性高,但是速度慢。
二、對稱加密
採用單鑰密碼系統的加密方法,同一個密鑰可以同時用作信息的加密和解密,這種加密方法稱為對稱加密。對稱加密演算法中常用的演算法有:DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK等。
三、非對稱加密
非對稱加密演算法是一種密鑰的保密方法,它需要兩個密鑰來進行加密和解密,這兩個密鑰是公開密鑰和私有密鑰。公鑰與私鑰是一對,如果用公鑰對數據進行加密,只有用對應的私鑰才能解密。非對稱加密演算法有:RSA、Elgamal、背包演算法、Rabin、D-H、ECC(橢圓曲線加密演算法)。
四、數字簽名
數字簽名(又稱公鑰數字簽名)是只有信息的發送者才能產生的別人無法偽造的一段數字串,這段數字串同時也是對信息的發送者發送信息真實性的一個有效證明。它是一種類似寫在紙上的普通的物理簽名,但是在使用了公鑰加密領域的技術來實現的,用於鑒別數字信息的方法。
五、直接明文保存
早期很多這樣的做法,比如用戶設置的密碼是「123」,直接就將「123」保存到資料庫中,這種是最簡單的保存方式,也是最不安全的方式。但實際上不少互聯網公司,都可能採取的是這種方式。
六、使用MD5、SHA1等單向HASH演算法保護密碼
使用這些演算法後,無法通過計算還原出原始密碼,而且實現比較簡單,因此很多互聯網公司都採用這種方式保存用戶密碼,曾經這種方式也是比較安全的方式,但隨著彩虹表技術的興起,可以建立彩虹表進行查表破解,目前這種方式已經很不安全了。
七、特殊的單向HASH演算法
由於單向HASH演算法在保護密碼方面不再安全,於是有些公司在單向HASH演算法基礎上進行了加鹽、多次HASH等擴展,這些方式可以在一定程度上增加破解難度,對於加了「固定鹽」的HASH演算法,需要保護「鹽」不能泄露,這就會遇到「保護對稱密鑰」一樣的問題,一旦「鹽」泄露,根據「鹽」重新建立彩虹表可以進行破解,對於多次HASH,也只是增加了破解的時間,並沒有本質上的提升。
八、PBKDF2
該演算法原理大致相當於在HASH演算法基礎上增加隨機鹽,並進行多次HASH運算,隨機鹽使得彩虹表的建表難度大幅增加,而多次HASH也使得建表和破解的難度都大幅增加。
九、BCrypt
BCrypt 在1999年就產生了,並且在對抗 GPU/ASIC 方面要優於 PBKDF2,但是我還是不建議你在新系統中使用它,因為它在離線破解的威脅模型分析中表現並不突出。
十、SCrypt
SCrypt 在如今是一個更好的選擇:比 BCrypt設計得更好(尤其是關於內存方面)並且已經在該領域工作了 10 年。另一方面,它也被用於許多加密貨幣,並且我們有一些硬體(包括 FPGA 和 ASIC)能實現它。 盡管它們專門用於采礦,也可以將其重新用於破解。
㈧ sql server2008 r2(64位) 激活密鑰
sql server2008 r2 密鑰
Developer: PTTFM-X467G-P7RH2-3Q6CG-4DMYB
Enterprise: JD8Y6-HQG69-P9H84-XDTPG-34MBB
Microsoft SQL Server 2008 R2序列號密鑰
開發版32位:MC46H-JQR3C-2JRHY-XYRKY-QWPVM
開發版64位:FTMGC-B2J97-PJ4QG-V84YB-MTXX8
工組版:XQ4CB-VK9P3-4WYYH-4HQX3-K2R6Q
WEB版:FP4P7-YKG22-WGRVK-MKGMX-V9MTM
數據中心版32位:PTTFM-X467G-P7RH2-3Q6CG-4DMYB
數據中心版64位:DDT3B-8W62X-P9JD6-8MX7M-HWK38
企業版32位:R88PF-GMCFT-KM2KR-4R7GB-43K4B
企業版64位:GYF3T-H2V88-GRPPH-HWRJP-QRTYB
標准版32位:CXTFT-74V4Y-9D48T-2DMFW-TX7CY
標准版64位:B68Q6-KK2R7-89WGB-6Q9KR-QHFDW
㈨ 誰有SQL server2012的產品密鑰謝謝!
SQL server2012的產品密鑰:
MICROSOFT SQL SERVER 2012 DEVELOPER 版(開發版)。
序列號:YQWTX-G8T4R-QW4XX-BVH62-GP68Y。MICROSOFT SQL SERVER 2012 ENTERPRISE SERVER/CAL EDITION 版(伺服器/ CAL版)。
序列號:748RB-X4T6B-MRM7V-RTVFF-CHC8H。MICROSOFT SQL SERVER 2012 STANDARD 版(標准版)。
序列號:YFC4R-BRRWB-TVP9Y-6WJQ9-MCJQ7。MICROSOFT SQL SERVER 2012 WEB 版(WEB 版)。
序列號:FB3W8-YRXDP-G8F8F-C46KG-Q998F。MICROSOFT SQL SERVER 2012 ENTERPRISE CORE 版(企業版)。
序列號:FH666-Y346V-7XFQ3-V69JM-RHW28。MICROSOFT SQL SERVER 2012 BUSINESS INTELLIGENCE 版(企業版)。
序列號:HRV7T-DVTM4-V6XG8-P36T4-MRYT6。
(9)資料庫密鑰大全擴展閱讀:
作為新一代的數據平台產品,SQL Server 2012 不僅延續現有數據平台的強大能力,全面支持雲技術與平台,並且能夠快速構建相應的解決方案實現私有雲與公有雲之間數據的擴展與應用的遷移。SQL Server 2012 提供對企業基礎架構最高級別的支持—專門針對關鍵業務應用的多種功能與解決方案可以提供最高級別的可用性及性能。
在業界領先的商業智能領領域,SQL Server 2012 提供了更多更全面的功能以滿足不同人群對數據以及信息的需求,包括支持來自於不同網路環境的數據的交互,全面的自助分析等創新功能。針對大數據以及數據倉庫,SQL Server 2012 提供從數 TB 到數百 TB 全面端到端的解決方案。做為微軟的信息平台解決方案,SQL Server 2012 的發布,可以幫助數以千計的企業用戶突破性地快速實現各種數據體驗,完全釋放對企業的洞察力。
SQL Server 2012包含企業版(Enterprise)、標准版(Standard),另外新增了商業智能版(Business Intelligence)。微軟表示,SQL Server 2012發布時還將包括Web版、開發者版本以及精簡版。
㈩ 密鑰管理中心的密鑰生成及其存儲
系統中的密鑰共分為以下幾種:
1、CA的密鑰:CA( Certification Authority ,證書認證中心)的密鑰是整個系統的核心機密,它在系統安裝時產生,生成之後加密存儲在存儲伺服器的資料庫或硬體主機加密伺服器中。
2、 用戶的密鑰:用戶的簽名密鑰由客戶端產生,生成後加密存儲在客戶端本機文件或操作系統安全區中。