靜態數據用對稱密鑰加密

❶ 對稱密鑰加密技術的工作流程

SQL Server 2005一個令人激動的特性是內置了加密的功能。在這個新版的SQL Server中，開發團隊直接在T-SQL中加入了加密工具、證書創建和密鑰管理的功能。對於因為法律要求或商業需求而需要加密表中的數據的人來說，這是一個好禮物。對於猶豫是否用加密來保證數據安全的人來說，做決定也更容易了。這篇文章介紹新的加密功能是怎麼工作，怎麼使用。

TSQL現在支持使用對稱密鑰和非對稱密鑰，證書和密碼。本文介紹如何創建、管理和使用對稱密鑰和證書。

根據涉及的內容，我決定把本文分為三節：

第一部分：服務主密鑰和資料庫主密鑰
第二部分：證書
第三部分：對稱密鑰

1. 服務主密鑰和資料庫主密鑰

圖：SQL Server 2005加密層次結構

1.1 服務主密鑰

當第一次需要使用服務主密鑰對鏈接伺服器密碼、憑據或資料庫主密鑰進行加密時，便會自動生成服務主密鑰。服務主密鑰為 SQL Server 加密層次結構的根。服務主密鑰直接或間接地保護樹中的所有其他密鑰和機密內容。使用本地計算機密鑰和 Windows 數據保護 API 對服務主密鑰進行加密。該 API 使用從 SQL Server 服務帳戶的 Windows 憑據中派生出來的密鑰。

因為服務主密鑰是自動生成且由系統管理的，它只需要很少的管理。服務主密鑰可以通過BACKUP SERVICE MASTER KEY語句來備份，格式為：

BACKUP SERVICE MASTER KEY TO FILE = 'path_to_file' ENCRYPTION BY PASSWORD = 'password'

'path_to_file' 指定要將服務主密鑰導出到的文件的完整路徑（包括文件名）。此路徑可以是本地路徑，也可以是網路位置的 UNC 路徑。

'password' 用於對備份文件中的服務主密鑰進行加密的密碼。此密碼應通過復雜性檢查。

應當對服務主密鑰進行備份，並將其存儲在另外一個單獨的安全位置。創建該備份應該是首先在伺服器中執行的管理操作之一。

如果需要從備份文件中恢復服務主密鑰，使用RESTORE SERVICE MASTER KEY語句。

RESTORE SERVICE MASTER KEY FROM FILE = 'path_to_file'
DECRYPTION BY PASSWORD = 'password' [FORCE]

'path_to_file' 指定存儲服務主密鑰的完整路徑（包括文件名）。path_to_file 可以是本地路徑，也可以是網路位置的 UNC 路徑。

PASSWORD = 'password' 指定對從文件中導入的服務主密鑰進行解密時所需的密碼。

FORCE 即使存在數據丟失的風險，也要強制替換服務主密鑰。

註：如果你在使用RESTORE SERVICE MASTER KEY時不得不使用FORCE選項，你可能會遇到部分或全部加密數據丟失的情況。

如果你的服務主密鑰泄露了，或者你想更改SQL Server服務帳戶，你可以通過ALTERSERVICE MASTER KEY語句重新生成或者恢復服務主密鑰。它的用法請參考聯機叢書。

因為服務主密鑰是SQL Server自動生成的，所以，它沒有對應的CREATE和DROP語句。

1.2 資料庫主密鑰

正如每個SQL Server有一個服務主密鑰，每個資料庫有自己的資料庫主密鑰。資料庫主密鑰通過CREATE MASTER KEY語句生成：

CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'password'
這個語句創建資料庫主密鑰，使用指定的密碼加密它，並保存在資料庫中。同時，資料庫主密鑰也被使用服務主密鑰加密之後保存在master資料庫中，這就是所謂的「自動密鑰管理」。這個特性我們待會再講。

象服務主密鑰一樣，你可以備份和恢復資料庫主密鑰。使用BACKUP MASTER KEY備份資料庫主密鑰。語法類似於備份服務主密鑰：
BACKUP MASTER KEY TO FILE = 'path_to_file'
ENCRYPTION BY PASSWORD = 'password'

恢復資料庫主密鑰使用RESTORE MASTER KEY語句，它需要使用DECRYPTION BY PASSWORD子句提供備份時指定的加密密碼，還要使用ENCRYPTION BY PASSWORD子句，SQL Server使用它提供的密碼來加密資料庫主密鑰之後保存在資料庫中。
RESTORE MASTER KEY FROM FILE = 'path_to_file'
DECRYPTION BY PASSWORD = 'password'
ENCRYPTION BY PASSWORD = 'password'
[ FORCE ]

同樣，FORCE表示你將忽略在解密過程中的錯誤。

建議你在創建了資料庫主密鑰之後立即備份資料庫主密鑰，並把它保存到一個安全的地方。同樣，使用FORCE語句可能導致已加密數據的丟失。

要刪除資料庫主密鑰，使用DROP MASTER KEY語句，它刪除當前資料庫的主密鑰。在執行之前，確定你在正確的資料庫上下文中。

1.3 自動密鑰管理

當創建資料庫主密鑰時，它被使用提供的密碼加密然後被保存到當前資料庫中。同時，它被使用服務主密鑰加密並保存到master資料庫中。這份保存的資料庫主密鑰允許伺服器在需要的時候解密資料庫主密鑰，這就是自動密鑰管理。沒有自動密鑰管理的話，你必須在每次使用證書或密鑰加密或解密數據（它需要使用資料庫主密鑰）時使用OPEN MASTER KEY語句同時提供加密的密碼。使用自動密鑰管理，你不需要執行OPEN MASTER KEY語句，也不需要提供密碼。

自動密鑰管理的缺點就是每個sysadmin角色的成員都能夠解密資料庫主密鑰。你可以通過ALTER MASTER KEY語句的DROP ENCRYPTION BY SERVICE MASTER KEY子句，從而不使用自動密鑰管理。ALTER MASTER KEY的使用方法參見聯機叢書。

❷ 對稱密鑰與非對稱密鑰的定義是什麼

對稱密鑰加密也叫秘密/專用密鑰加密（Secret
Key
Encryption），即發送和接收數據的雙方必須使用相同的/對稱的密鑰對明文進行加密和解密運算。
非對稱密鑰加密也叫公開密鑰加密（Public
Key
Encryption），是指每個人都有一對唯一對應的密鑰：公開密鑰和私有密鑰，公鑰對外公開，私鑰由個人秘密保存；用其中一把密鑰來加密，就只能用另一把密鑰來解密。發送數據的一方用另一方的公鑰對發送的信息進行加密，然後由接受者用自己的私鑰進行解密。公開密鑰加密技術解決了密鑰的發布和管理問題，是目前商業密碼的核心。使用公開密鑰技術，進行數據通信的雙方可以安全地確認對方身份和公開密鑰，提供通信的可鑒別性。

❸ 簡述對稱密鑰密碼體制與非對稱密鑰密碼體制

1. 對稱密鑰密碼：對稱密鑰加密又稱私鑰加密，即信息的發送方和接收方用一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快， 適合於對大數據量進行加密，但密鑰管理困難。

2. 非對稱密鑰密碼：非對稱密鑰加密又稱公鑰密鑰加密。它需要使用一對密鑰 來分別完成加密和解密操作，一個公開發布，即公開密鑰，另一 個由用戶自己秘密保存，即私用密鑰。信息發送者用公開密鑰去 加密，而信息接收者則用私用密鑰去解密。公鑰機制靈活，但加密和解密速度卻比對稱密鑰加密慢得多。
   

❹ 哪一種存儲服務提供了對傳輸的數據和靜態數據的加密服務

主要有兩種方式：「對稱式」和「非對稱式」。
對稱式加密就是加密和解密使用同一個密鑰，通常稱之為「Session Key 」這種加密技術目前被廣泛採用，如美國政府所採用的DES加密標准就是一種典型的「對稱式」加密法，它的Session Key長度為56Bits。
非對稱式加密就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為「公鑰」和「私鑰」，它們兩個必需配對使用，否則不能打開加密文件。這里的「公鑰」是指可以對外公布的，「私鑰」則不能，只能由持有人一個人知道。它的優越性就在這里，因為對稱式的加密方法如果是在網路上傳輸加密文件就很難把密鑰告訴對方，不管用什麼方法都有可能被別竊聽到。而非對稱式的加密方法有兩個密鑰，且其中的「公鑰」是可以公開的，也就不怕別人知道，收件人解密時只要用自己的私鑰即可以，這樣就很好地避免了密鑰的傳輸安全性問題。
一般的數據加密可以在通信的三個層次來實現:鏈路加密、節點加密和端到端加密。（3）
鏈路加密
對於在兩個網路節點間的某一次通信鏈路,鏈路加密能為網上傳輸的數據提供安全證。對於鏈路加密(又稱在線加密),所有消息在被傳輸之前進行加密,在每一個節點對接收到消息進行解密,然後先使用下一個鏈路的密鑰對消息進行加密,再進行傳輸。在到達目的地之前,一條消息可能要經過許多通信鏈路的傳輸。
由於在每一個中間傳輸節點消息均被解密後重新進行加密,因此,包括路由信息在內的鏈路上的所有數據均以密文形式出現。這樣,鏈路加密就掩蓋了被傳輸消息的源點與終點。由於填充技術的使用以及填充字元在不需要傳輸數據的情況下就可以進行加密,這使得消息的頻率和長度特性得以掩蓋,從而可以防止對通信業務進行分析。
盡管鏈路加密在計算機網路環境中使用得相當普遍,但它並非沒有問題。鏈路加密通常用在點對點的同步或非同步線路上,它要求先對在鏈路兩端的加密設備進行同步,然後使用一種鏈模式對鏈路上傳輸的數據進行加密。這就給網路的性能和可管理性帶來了副作用。
在線路/信號經常不通的海外或衛星網路中,鏈路上的加密設備需要頻繁地進行同步,帶來的後果是數據丟失或重傳。另一方面,即使僅一小部分數據需要進行加密,也會使得所有傳輸數據被加密。
在一個網路節點,鏈路加密僅在通信鏈路上提供安全性,消息以明文形式存在,因此所有節點在物理上必須是安全的,否則就會泄漏明文內容。然而保證每一個節點的安全性需要較高的費用,為每一個節點提供加密硬體設備和一個安全的物理環境所需要的費用由以下幾部分組成:保護節點物理安全的雇員開銷,為確保安全策略和程序的正確執行而進行審計時的費用,以及為防止安全性被破壞時帶來損失而參加保險的費用。
在傳統的加密演算法中,用於解密消息的密鑰與用於加密的密鑰是相同的,該密鑰必須被秘密保存,並按一定規則進行變化。這樣,密鑰分配在鏈路加密系統中就成了一個問題,因為每一個節點必須存儲與其相連接的所有鏈路的加密密鑰,這就需要對密鑰進行物理傳送或者建立專用網路設施。而網路節點地理分布的廣闊性使得這一過程變得復雜,同時增加了密鑰連續分配時的費用。
節點加密
盡管節點加密能給網路數據提供較高的安全性,但它在操作方式上與鏈路加密是類似的:兩者均在通信鏈路上為傳輸的消息提供安全性;都在中間節點先對消息進行解密,然後進行加密。因為要對所有傳輸的數據進行加密,所以加密過程對用戶是透明的。
然而,與鏈路加密不同,節點加密不允許消息在網路節點以明文形式存在,它先把收到的消息進行解密,然後採用另一個不同的密鑰進行加密,這一過程是在節點上的一個安全模塊中進行。
節點加密要求報頭和路由信息以明文形式傳輸,以便中間節點能得到如何處理消息的信息。因此這種方法對於防止攻擊者分析通信業務是脆弱的。
端到端加密
端到端加密允許數據在從源點到終點的傳輸過程中始終以密文形式存在。採用端到端加密,消息在被傳輸時到達終點之前不進行解密,因為消息在整個傳輸過程中均受到保護,所以即使有節點被損壞也不會使消息泄露。
端到端加密系統的價格便宜些,並且與鏈路加密和節點加密相比更可靠,更容易設計、實現和維護。端到端加密還避免了其它加密系統所固有的同步問題,因為每個報文包均是獨立被加密的,所以一個報文包所發生的傳輸錯誤不會影響後續的報文包。此外,從用戶對安全需求的直覺上講,端到端加密更自然些。單個用戶可能會選用這種加密方法,以便不影響網路上的其他用戶,此方法只需要源和目的節點是保密的即可。
端到端加密系統通常不允許對消息的目的地址進行加密,這是因為每一個消息所經過的節點都要用此地址來確定如何傳輸消息。由於這種加密方法不能掩蓋被傳輸消息的源點與終點,因此它對於防止攻擊者分析通信業務是脆弱的。

❺ 對稱密鑰加密的缺點和公開密鑰加密的缺點是什麼急！！！！

一、對稱密鑰加密和解密時使用的密鑰是同一個密鑰，其優點是加密速度快，缺點是不能作為身份驗證，密鑰發放困難。常見的對稱加密演算法有RC2，RC4，DES，3DES，IDEA，SDBI等。
二、公開密鑰加密和解密使用的密鑰是不同的密鑰，分別稱為公鑰和私鑰，公鑰可以公開，私鑰則必須保密只能歸密鑰所有者擁有。其缺點是對大容量的信息加密速度慢，優點是可以作為身份認證，而且密鑰發送方式比較簡單安全。常見的公開密鑰加密演算法有RSA，DSA，ECA等。

❻ 簡要說說對稱加密和非對稱加密的原理以及區別是什麼

對稱加密的原理是數據發送方將明文（原始數據）和加密密鑰一起經過特殊加密演算法處理後，使其變成復雜的加密密文發送出去。接收方收到密文後，若想解讀原文，則需要使用加密密鑰及相同演算法的逆演算法對密文進行解密，才能使其恢復成可讀明文。

非對稱加密的原理是甲方首先生成一對密鑰同時將其中的一把作為公開密鑰；得到公開密鑰的乙方再使用該密鑰對需要加密的信息進行加密後再發送給甲方；甲方再使用另一把對應的私有密鑰對加密後的信息進行解密，這樣就實現了機密數據傳輸。

對稱加密和非對稱加密的區別為：密鑰不同、安全性不同、數字簽名不同。

一、密鑰不同

1、對稱加密：對稱加密加密和解密使用同一個密鑰。

2、非對稱加密：非對稱加密加密和解密所使用的不是同一個密鑰，需要兩個密鑰來進行加密和解密。

二、安全性不同

1、對稱加密：對稱加密如果用於通過網路傳輸加密文件，那麼不管使用任何方法將密鑰告訴對方，都有可能被竊聽。

2、非對稱加密：非對稱加密因為它包含有兩個密鑰，且僅有其中的「公鑰」是可以被公開的，接收方只需要使用自己已持有的私鑰進行解密，這樣就可以很好的避免密鑰在傳輸過程中產生的安全問題。

三、數字簽名不同

1、對稱加密：對稱加密不可以用於數字簽名和數字鑒別。

2、非對稱加密：非對稱加密可以用於數字簽名和數字鑒別。

❼ 對稱加密演算法的加密演算法

基於「對稱密鑰」的加密演算法主要有DES、TripleDES、RC2、RC4、RC5和Blowfish等。
對稱密鑰：DES TripleDES演算法
DES演算法把64位的明文輸入塊變為數據長度為64位的密文輸出塊，其中8位為奇偶校驗位，另外56位作為密碼的長度。首先，DES把輸入的64位數據塊按位重新組合，並把輸出分為L0、R0兩部分，每部分各長32位，並進行前後置換，最終由L0輸出左32位，R0輸出右32位，根據這個法則經過16次迭代運算後，得到L16、R16，將此作為輸入，進行與初始置換相反的逆置換，即得到密文輸出。
DES演算法具有極高的安全性，到目前為止，除了用窮舉搜索法對DES演算法進行攻擊外，還沒有發現更有效的辦法，而56位長密鑰的窮舉空間為2^56，這意味著如果一台計算機的速度是每秒種檢測100萬個密鑰，那麼它搜索完全部密鑰就需要將近2285年的時間，因此DES演算法是一種很可靠的加密方法。
對稱密鑰：RC演算法
RC4演算法的原理是「攪亂」，它包括初始化演算法和偽隨機子密碼生成演算法兩大部分，在初始化的過程中，密鑰的主要功能是將一個256位元組的初始數簇進行隨機攪亂，不同的數簇在經過偽隨機子密碼生成演算法的處理後可以得到不同的子密鑰序列，將得到的子密鑰序列和明文進行異或運算（XOR）後，得到密文。
由於RC4演算法加密採用的是異或方式，所以，一旦子密鑰序列出現了重復，密文就有可能被破解，但是目前還沒有發現密鑰長度達到128位的RC4有重復的可能性，所以，RC4也是目前最安全的加密演算法之一。
對稱密鑰：BlowFish演算法
BlowFish演算法是一個64位分組及可變密鑰長度的分組密碼演算法，該演算法是非專利的。
BlowFish演算法使用兩個「盒」：pbox[18]和sbox[4256]，BlowFish演算法有一個核心加密函數。該函數輸入64位信息，運算後以64位密文的形式輸出。用BlowFish演算法加密信息，需要密鑰預處理和信息加密兩個過程。BlowFish演算法的原密鑰pbox和sbox是固定的，要加密一個信息，需要選擇一個key，用這個key對pbox和sbox進行變換，得到下一步信息加密所用到的key_pbox和key_sbox。
BlowFish演算法解密，同樣也需要密鑰預處理和信息解密兩個過程。密鑰預處理的過程和加密時完全相同。信息解密的過程就是把信息加密過程的key_pbox逆序使用即可。

❽ 簡述對稱加密演算法的基本原理

對稱加密是計算機加密領域最古老也是最經典的加密標准。雖然對稱加密被認為不再是安全的加密方式，但是直到現在，還看不到它被淘汰的跡象。在很多非網路化的加密環境中，對稱加密足以滿足人們的需要。

對稱加密採用單密鑰加密方式，不論是加密還是解密都是用同一個密鑰，即「一把鑰匙開一把鎖」。對稱加密的好處在於操作簡單、管理方便、速度快。它的缺點在於密鑰在網路傳輸中容易被竊聽，每個密鑰只能應用一次，對密鑰管理造成了困難。對稱加密的實現形式和加密演算法的公開性使它依賴於密鑰的安全性，而不是演算法的安全性。

一個對稱加密系統由五個部分組成，可以表述為

S={M，C，K，E，D}

各字母的含義如下：

M：明文空間，所有明文的集合。

C：密文空間，全體密文的集合。

K：密鑰空間，全體密鑰的集合。

E：加密演算法。

D：解密演算法。

❾ 如何：用對稱密鑰對 XML 元素進行加密

使用
XML
加密，您可以存儲或傳輸敏感
XML，而無需擔心數據被輕易讀取。
此過程使用高級加密標准
(AES)
演算法（又稱為
Rijndael）對
XML
元素進行解密。
當使用諸如
AES
這樣的對稱演算法對
XML
數據進行加密時，必須使用相同的密鑰對
XML
數據進行加密和解密。
此過程中的示例假定加密的
XML
將使用相同密鑰進行解密，並且加密方和解密方對使用的演算法和密鑰達成了一致。
此示例不在加密的
XML
中存儲或加密
AES
密鑰。
此示例適合於以下情形：單個應用程序需要基於存儲在內存中的會話密鑰，或基於從密碼派生的加密強密鑰對數據進行加密。

❿ 對稱密鑰加密是如何進行的

對稱密鑰加密也叫秘密/專用密鑰加密（Secret Key Encryption），即發送和接收數據的雙方必須使用相同的/對稱的密鑰對明文進行加密和解密運算。
非對稱密鑰加密也叫公開密鑰加密（Public Key Encryption），是指每個人都有一對唯一對應的密鑰：公開密鑰和私有密鑰，公鑰對外公開，私鑰由個人秘密保存；用其中一把密鑰來加密，就只能用另一把密鑰來解密。發送數據的一方用另一方的公鑰對發送的信息進行加密，然後由接受者用自己的私鑰進行解密。公開密鑰加密技術解決了密鑰的發布和管理問題，是目前商業密碼的核心。使用公開密鑰技術，進行數據通信的雙方可以安全地確認對方身份和公開密鑰，提供通信的可鑒別性。