㈠ 请提供关于密钥和公钥的相关知识
公钥基础设施PKI
作者:xxx123123 文章来源:本站原创 点击数:29 更新时间:2005-8-29
一、 PKI概述
企业生意成功与否在很大程度上取决于该企业是否拥有一个安全可靠的网络系统。目前大多数企业的IT管理人员都为其企业的网络系统采取了某种形式的加密和认证方案。许多企业的网络管理人员正在利用Web向企业提供安全的Internet商务、虚拟专用网络(VPN)以及远程认证服务,以使其远地雇员拥有对企业网络的存取能力。然而,当前的大多数安全技术(例如用户名和口令、一次性口令以及双向鉴别)并不适合企业的安全需求,而且这些传统的技术通常需要互不相同的维护与管理措施。
目前,越来越多的企业需要利用网络与其分布在世界各地的分支机构及远地雇员相连,因此它们需要采取最有效的安全手段以保护企业资源。然而安全防范措施的加强同时也引发了更多额外的管理工作。值得庆幸的是,公共密钥基础设施(PKI)可帮助企业解决这一难题,它可帮助企业建立一个安全可靠的网络管理系统。PKI是一种易于管理的、集中化的网络安全方案。它可支持多种形式的数字认证: 数据加密、数字签字、不可否认、身份鉴别、密钥管理以及交叉认证等。PKI可通过一个基于认证的框架处理所有的数据加密和数字签字工作。PKI标准与协议的开发迄今已有15年的历史,目前的PKI已完全可以向企业网络提供有效的安全保障。
在运行机理上,有近50种有关PKI的标准在过去的15年中得以统一,供应商们的不懈努力较好地解决了其后端数据库的互操作能力。一个PKI由众多部件组成,这些部件共同完成两个主要功能:为数据加密和创建数字认证。服务器(即后端)产品是这一系统的核心,这些数据库管理着数字认证、公共密钥及专用密钥(分别用于数据的加密和解密)。CA(Certificate Authority,认证权威)数据库负责发布、废除和修改X.509数字认证信息,它装有用户的公共密钥、证书有效期以及认证功能(例如对数据的加密或对数字签字的验证)。为了防止对数据签字的篡改,CA在把每一数字签字发送给发出请求的客户机之前,需对每一个数字签字进行认证。一旦数字认证得以创建,它将会被自动存储于X.500目录中,X.500目录为树形结构。LDAP(Lightweight Directory Access Protocol)协议将响应那些要求提交所存储的公共密钥认证的请求。CA为每一用户或服务器生成两对独立的公共和专用密钥。其中一对用于信息的加密和解密, 另一对由客户机应用程序使用,用于文档或信息传输中数字签字的创建。
大多数PKI均支持证书分布,这是一个把已发布过的或续延生命期的证书加以存储的过程。这一过程使用了一个公共查询机制,X.500目录可自动完成这一存储过程。影响企业普遍接受PKI的一大障碍是不同CA之间的交叉认证。假设有两家公司,每一家企业分别使用来自不同供应商的CA,现在它们希望相互托管一段时间。如果其后援数据库支持交叉认证,则这两家企业显然可以互相托管它们的CA,因而它们所托管的所有用户均可由两家企业的CA所托管。
二、 PKI体系的基本组成
PKI是一种遵循标准的密钥管理平台,它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI必须具有认证机关( CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分,构建PKI也将围绕着这五大系统来构建。
* 认证机关
CA是证书的签发机构,它是PKI的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理,公钥体制涉及到一对密钥,即私钥和公钥, 私钥只由持有者秘密掌握,无须在网上传送,而公钥是公开的,需要在网上传送,故公钥体制的密钥管理主要是公钥的管理问题,目前较好的解决方案是引进证书(certificate)机制。
证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档,形同网络计算环境中的一种身份证,用于证明某一主体(如人、服务器等)的身份以及其公开密钥的合法性。在使用公钥体制的网络环境中, 必须向公钥的使用者证明公钥的真实合法性。因此,在公钥体制环境中,必须有一个可信的机构来对任何一个主体的公钥进行公证,证明主体的身份以及他与公钥的匹配关系。CA正是这样的机构,它的职责归纳起来有:
1、验证并标识证书申请者的身份;
2、确保CA用于签名证书的非对称密钥的质量;
3、确保整个签证过程的安全性,确保签名私钥的安全性;
4、证书材料信息(包括公钥证书序列号、CA标识等)的管理;
5、确定并检查证书的有效期限;
6、确保证书主体标识的唯一性,防止重名;
7、发布并维护作废证书表;
8、对整个证书签发过程做日志记录;
9、向申请人发通知。
其中最为重要的是CA自己的一对密钥的管理,它必须确保其高度的机密性,防止他方伪造证书。CA的公钥在网上公开,整个网络系统必须保证完整性。
* 证书库
证书库是证书的集中存放地,它与网上"白页”类似,是网上的一种公共信息库,用户可以从此处获得其他用户的证书和公钥。
构造证书库的最佳方法是采用支持LDAP协议的目录系统,用户或相关的应用通过LDAP来访问证书库。系统必须确保证书库的完整性,防止伪造、篡改证书。
* 密钥备份及恢复系统
如果用户丢失了用于解密数据的密钥,则密文数据将无法被解密,造成数据丢失。为避免这种情况的出现,PKI应该提供备份与恢复解密密钥的机制。密钥的备份与恢复应该由可信的机构来完成,例如CA可以充当这一角色。值得强调的是,密钥备份与恢复只能针对脱密密钥,签名私钥不能够作备份。
* 证书作废处理系统
证书作废处理系统是PKI的一个重要组件。同日常生活中的各种证件一样,证书在CA为其签署的有效期以内也可能需要作废,例如,A公司的职员a辞职离开公司,这就需要终止a证书的生命期。为实现这一,PKI必须提供作废证书的一系列机制。作废证书有如下三种策略:
1、作废一个或多个主体的证书;
2、作废由某一对密钥签发的所有证书;
3、作废由某CA签发的所有证书。
作废证书一般通过将证书列入作废证书表(CRL)来完成。通常,系统中由CA负责创建并维护一张及时更新的CRL,而由用户在验证证书时负责检查该证书是否在CRL之列。CRL一般存放在目录系统中。证书的作废处理必须在安全及可验证的情况下进行,系统还必须保证CRL的完整性。
* PKI应用接口系统
PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境的可信性,同时降低管理维护成本。最后,PKI应用接口系统应该是跨平台的。
三、 PKI的功能 归纳起来,PKI应该为应用提供如下的安全支持 :
* 证书与CA,PKI应实现CA以及证书库、CRL等基本的证书管理功能。
* 密钥备份及恢复证书。
* 密钥对的自动更换证书、密钥都有一定的生命期限。当用户的私钥泄露时,必须更换密钥对;另外,随着计算机速度日益提高,密钥长度也必须相应地长。因此,PKI应该提供完全自动(无须用户干预)的密钥更换以及新的分发工作。
* 交叉验证
每个CA只可能覆盖一定的作用范围,即CA的域,例如,不同的企业往往有各自的CA,它们颁发的证书都只在企业范围内有效。当隶属于不同CA的用户需要交换信息时,就需要引入交叉证书和交叉验证,这也是PKI必须完成的工作。
* 加密密钥和签名密钥的分隔
如前所述,加密和签名密钥的密钥管理需求是相互抵触的,因此PKI应该支持加密和签名密钥的分隔使用。
* 支持对数字签名的不可抵赖
任何类型的电子商务都离不开数字签名,因此PKI必须支持数字签名的不可抵赖性,而数字签名的不可抵赖性依赖于签名私钥的唯一性和机密性,为确保这一点,PKI必须保证签名密钥与加密密钥的分隔使用。
* 密钥历史的管理
每次更新加密密钥后,相应的解密密钥都应该存档,以便将来恢复用旧密钥加密的数据。每次更新签名密钥后,旧的签名私钥应该妥善销毁,防止破坏其唯一性;相应的旧验证公钥应该进行存档,以便将来用于验证旧的签名。这些工作都应该是PKI自动完成的。
四、 PKI体系的发展前景
如上所述,PKI对企业生意的成功与否至关重要,它可使企业拥有一个公共的安全基础结构——一个所有安全的应用赖以存在的基础结构。企业中的许多安全电子邮件、Internet商务应用、VPN以及单签字功能的安全都将依赖于X.509的认证。PKI对数据加密、数字签字、反否认、数字完整性以及甄别所需的密钥和认证实施了统一的集中化管理。
每一企业均可受益于PKI结构化的管理方案。然而令人遗憾的是,迄今为止,仅有少数行业(包括银行业、金融、健康保险)采用了这一系统。一些敢于尝试新生事物的企业, 例如Automotive Network Exchange(由美国几家最大的汽车制造商组成)已开始受益于这一安全技术。
预计,当企业的生意变得更依赖于Web时,为了确保它们对客户信息的安全处理,更多的企业将会不断转向PKI。然而,迄今为止,采用PKI的企业仍寥寥无几。PKI本身存在的问题是限制用户广泛采用它的主要原因。统一标准的缺乏,将许多美国企业拒之于PKI方案的大门之外。事实上,对于开发PKI产品来说,目前已有相当成熟的标准可依。缺乏良好的互操作性,也是PKI广泛被采用的主要障碍之一。在PKI供应商能够支持所有标准之前,许多企业需要使用其客户机上的专利工具包,这也会在很大程度上限制PKI的迅速流行。
然而,限制PKI被广泛采用的最主要的障碍依然是其设计与实现上的复杂性。但据预计,随着PKI供应商的逐步统一与合并,实现PKI的过程将会变得越来越简单。如果复杂的实现令你望而却步, 则可以把企业的系统外包给某个第三方供应商。
许多权威的认证方案供应商(例如VeriSign、Thawte以及GTE)目前都在提供外包的PKI。外包PKI最大的问题是,用户必须把企业托管给某一服务提供商, 即让出对网络安全的控制权。如果不愿这样做,则可建造一个专用的PKI。专用方案通常需把来自Entrust、Baltimore Technologies以及Xcert的多种服务器产品与来自主流应用程序供应商(如Microsoft、Netscape以及Qualcomm)的产品组合在一起。专用PKI还要求企业在准备其基础设施的过程中投入大量的财力与物力。
对那些高风险行业(如银行、金融及保险)来说,今后10年,PKI对它们长期的安全需求将至关重要。随着PKI技术的广泛流行,PKI的实现将会更趋简单, 成本也会逐步降低。由于PKI仅于最近才开始变成一种可行的安全方案,因此这一技术仍有待进一步完善。如果你的企业不能等待这一技术的成熟,那么现在就采用它,因为其目前的功能已足可以满足一般企业的大多数安全需求。
㈡ 数据库加密的方式有哪几种
数据库加密的方式有多种,不同场景下仍在使用的数据库加密技术主要有:前置代理加密、应用系统加密、文件系统加密、后置代理加密、表空间加密和磁盘加密等,这些你找安策工程师帮你,都是可以做到的网络里面也有详细介绍。
㈢ 考虑雇员数据库,什么是合适的密钥
密钥是关系数据库模型中非常重要的部分。
它们用于建立和标识表之间的关系,还用于唯一标识表内的任何记录或数据行。数字签名使用私钥和公钥来提供数据来源和系统及用户鉴别。
键可以是单个属性或一组属性,其中组合可以充当键。数字签名使用私钥和公钥来提供数据来源和系统及用户鉴别。没有额外属性的超级键是候选键。
㈣ 如何创建数据库主密钥
sql Server 中的数据库级别加密功能依赖于数据库主密钥。创建数据库时不会自动生成该密钥,必须由系统管理员创建。仅需要对每个数据库创建一次主密钥。
㈤ 如何备份数据库主密钥
1.在 SQL Server Management Studio 中,连接至包含要备份的数据库主密钥的数据库。
2.选择将用于在备份媒体上加密数据库主密钥的密码。请勿使用与加密数据库中的该密钥时使用的密码相同的密码。
3.获得一个用于存储密钥备份副本的可移动备份媒体。
4.确定将在其下创建密钥备份的 NTFS 目录。在此目录下将创建在下一步中指定的文件。该目录应利用高限制级 ACL 进行保护。
5.在查询编辑器中,执行以下 Transact-SQL 命令:BACKUP MASTER KEY TO FILE = '<complete path and filename>' ENCRYPTION BY PASSWORD = '<password>' ; GO
6.将文件复制到备份媒体上并验证该副本是否完好。
7.将备份异地存储在一个安全位置。
安全说明:
通常最好是创建备份的多个副本,并在本地存储其中一个副本。本地副本可以是您备份数据库主密钥时创建的文件。
㈥ SQL数据库2008的产品密钥多少跪求
开发版: PTTFM-X467G-P7RH2-3Q6CG-4DMYB
企业版: JD8Y6-HQG69-P9H84-XDTPG-34MBB
也不知道你要开发版的还是企业版的就都给你复制过来了,另外在给你安装的过程图解。http://hi..com/%B8%E7%C3%B4%C3%B4/blog/item/85705fd460f4ec82a1ec9c05.html
㈦ 十大常见密码加密方式
一、密钥散列
采用MD5或者SHA1等散列算法,对明文进行加密。严格来说,MD5不算一种加密算法,而是一种摘要算法。无论多长的输入,MD5都会输出一个128位(16字节)的散列值。而SHA1也是流行的消息摘要算法,它可以生成一个被称为消息摘要的160位(20字节)散列值。MD5相对SHA1来说,安全性较低,但是速度快;SHA1和MD5相比安全性高,但是速度慢。
二、对称加密
采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密。对称加密算法中常用的算法有:DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK等。
三、非对称加密
非对称加密算法是一种密钥的保密方法,它需要两个密钥来进行加密和解密,这两个密钥是公开密钥和私有密钥。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。非对称加密算法有:RSA、Elgamal、背包算法、Rabin、D-H、ECC(椭圆曲线加密算法)。
四、数字签名
数字签名(又称公钥数字签名)是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。它是一种类似写在纸上的普通的物理签名,但是在使用了公钥加密领域的技术来实现的,用于鉴别数字信息的方法。
五、直接明文保存
早期很多这样的做法,比如用户设置的密码是“123”,直接就将“123”保存到数据库中,这种是最简单的保存方式,也是最不安全的方式。但实际上不少互联网公司,都可能采取的是这种方式。
六、使用MD5、SHA1等单向HASH算法保护密码
使用这些算法后,无法通过计算还原出原始密码,而且实现比较简单,因此很多互联网公司都采用这种方式保存用户密码,曾经这种方式也是比较安全的方式,但随着彩虹表技术的兴起,可以建立彩虹表进行查表破解,目前这种方式已经很不安全了。
七、特殊的单向HASH算法
由于单向HASH算法在保护密码方面不再安全,于是有些公司在单向HASH算法基础上进行了加盐、多次HASH等扩展,这些方式可以在一定程度上增加破解难度,对于加了“固定盐”的HASH算法,需要保护“盐”不能泄露,这就会遇到“保护对称密钥”一样的问题,一旦“盐”泄露,根据“盐”重新建立彩虹表可以进行破解,对于多次HASH,也只是增加了破解的时间,并没有本质上的提升。
八、PBKDF2
该算法原理大致相当于在HASH算法基础上增加随机盐,并进行多次HASH运算,随机盐使得彩虹表的建表难度大幅增加,而多次HASH也使得建表和破解的难度都大幅增加。
九、BCrypt
BCrypt 在1999年就产生了,并且在对抗 GPU/ASIC 方面要优于 PBKDF2,但是我还是不建议你在新系统中使用它,因为它在离线破解的威胁模型分析中表现并不突出。
十、SCrypt
SCrypt 在如今是一个更好的选择:比 BCrypt设计得更好(尤其是关于内存方面)并且已经在该领域工作了 10 年。另一方面,它也被用于许多加密货币,并且我们有一些硬件(包括 FPGA 和 ASIC)能实现它。 尽管它们专门用于采矿,也可以将其重新用于破解。
㈧ sql server2008 r2(64位) 激活密钥
sql server2008 r2 密钥
Developer: PTTFM-X467G-P7RH2-3Q6CG-4DMYB
Enterprise: JD8Y6-HQG69-P9H84-XDTPG-34MBB
Microsoft SQL Server 2008 R2序列号密钥
开发版32位:MC46H-JQR3C-2JRHY-XYRKY-QWPVM
开发版64位:FTMGC-B2J97-PJ4QG-V84YB-MTXX8
工组版:XQ4CB-VK9P3-4WYYH-4HQX3-K2R6Q
WEB版:FP4P7-YKG22-WGRVK-MKGMX-V9MTM
数据中心版32位:PTTFM-X467G-P7RH2-3Q6CG-4DMYB
数据中心版64位:DDT3B-8W62X-P9JD6-8MX7M-HWK38
企业版32位:R88PF-GMCFT-KM2KR-4R7GB-43K4B
企业版64位:GYF3T-H2V88-GRPPH-HWRJP-QRTYB
标准版32位:CXTFT-74V4Y-9D48T-2DMFW-TX7CY
标准版64位:B68Q6-KK2R7-89WGB-6Q9KR-QHFDW
㈨ 谁有SQL server2012的产品密钥谢谢!
SQL server2012的产品密钥:
MICROSOFT SQL SERVER 2012 DEVELOPER 版(开发版)。
序列号:YQWTX-G8T4R-QW4XX-BVH62-GP68Y。MICROSOFT SQL SERVER 2012 ENTERPRISE SERVER/CAL EDITION 版(服务器/ CAL版)。
序列号:748RB-X4T6B-MRM7V-RTVFF-CHC8H。MICROSOFT SQL SERVER 2012 STANDARD 版(标准版)。
序列号:YFC4R-BRRWB-TVP9Y-6WJQ9-MCJQ7。MICROSOFT SQL SERVER 2012 WEB 版(WEB 版)。
序列号:FB3W8-YRXDP-G8F8F-C46KG-Q998F。MICROSOFT SQL SERVER 2012 ENTERPRISE CORE 版(企业版)。
序列号:FH666-Y346V-7XFQ3-V69JM-RHW28。MICROSOFT SQL SERVER 2012 BUSINESS INTELLIGENCE 版(企业版)。
序列号:HRV7T-DVTM4-V6XG8-P36T4-MRYT6。
(9)数据库密钥大全扩展阅读:
作为新一代的数据平台产品,SQL Server 2012 不仅延续现有数据平台的强大能力,全面支持云技术与平台,并且能够快速构建相应的解决方案实现私有云与公有云之间数据的扩展与应用的迁移。SQL Server 2012 提供对企业基础架构最高级别的支持—专门针对关键业务应用的多种功能与解决方案可以提供最高级别的可用性及性能。
在业界领先的商业智能领领域,SQL Server 2012 提供了更多更全面的功能以满足不同人群对数据以及信息的需求,包括支持来自于不同网络环境的数据的交互,全面的自助分析等创新功能。针对大数据以及数据仓库,SQL Server 2012 提供从数 TB 到数百 TB 全面端到端的解决方案。做为微软的信息平台解决方案,SQL Server 2012 的发布,可以帮助数以千计的企业用户突破性地快速实现各种数据体验,完全释放对企业的洞察力。
SQL Server 2012包含企业版(Enterprise)、标准版(Standard),另外新增了商业智能版(Business Intelligence)。微软表示,SQL Server 2012发布时还将包括Web版、开发者版本以及精简版。
㈩ 密钥管理中心的密钥生成及其存储
系统中的密钥共分为以下几种:
1、CA的密钥:CA( Certification Authority ,证书认证中心)的密钥是整个系统的核心机密,它在系统安装时产生,生成之后加密存储在存储服务器的数据库或硬件主机加密服务器中。
2、 用户的密钥:用户的签名密钥由客户端产生,生成后加密存储在客户端本机文件或操作系统安全区中。