加密系统实施

⑴ 数据库加密的实现技术

对数据进行加密，主要有三种方式：系统中加密、客户端(DBMS外层)加密、服务器端(DBMS内核层)加密。客户端加密的好处是不会加重数据库服务器的负载，并且可实现网上的传输加密，这种加密方式通常利用数据库外层工具实现。而服务器端的加密需要对数据库管理系统本身进行操作，属核心层加密，如果没有数据库开发商的配合，其实现难度相对较大。此外，对那些希望通过ASP获得服务的企业来说，只有在客户端实现加解密，才能保证其数据的安全可靠。
1.常用数据库加密技术
信息安全主要指三个方面。一是数据安全，二是系统安全，三是电子商务的安全。核心是数据库的安全，将数据库的数据加密就抓住了信息安全的核心问题。
对数据库中数据加密是为增强普通关系数据库管理系统的安全性，提供一个安全适用的数据库加密平台，对数据库存储的内容实施有效保护。它通过数据库存储加密等安全方法实现了数据库数据存储保密和完整性要求，使得数据库以密文方式存储并在密态方式下工作，确保了数据安全。
1.1数据库加密技术的功能和特性
经过近几年的研究，我国数据库加密技术已经比较成熟。
一般而言，一个行之有效的数据库加密技术主要有以下6个方面的功能和特性。
(1)身份认证：
用户除提供用户名、口令外，还必须按照系统安全要求提供其它相关安全凭证。如使用终端密钥。
(2) 通信加密与完整性保护：
有关数据库的访问在网络传输中都被加密，通信一次一密的意义在于防重放、防篡改。
(3) 数据库数据存储加密与完整性保护：
数据库系统采用数据项级存储加密，即数据库中不同的记录、每条记录的不同字段都采用不同的密钥加密，辅以校验措施来保证数据库数据存储的保密性和完整性，防止数据的非授权访问和修改。
(4)数据库加密设置：
系统中可以选择需要加密的数据库列，以便于用户选择那些敏感信息进行加密而不是全部数据都加密。只对用户的敏感数据加密可以提高数据库访问速度。这样有利于用户在效率与安全性之间进行自主选择。
(5)多级密钥管理模式：
主密钥和主密钥变量保存在安全区域，二级密钥受主密钥变量加密保护，数据加密的密钥存储或传输时利用二级密钥加密保护，使用时受主密钥保护。
(6) 安全备份：
系统提供数据库明文备份功能和密钥备份功能。
1.2对数据库加密系统基本要求
(1) 字段加密;
(2) 密钥动态管理;
(3) 合理处理数据;
(4) 不影响合法用户的操作;
(5) 防止非法拷贝;
1.3数据库数据加密的实现
使用数据库安全保密中间件对数据库进行加密是最简便直接的方法。主要是通过系统中加密、DBMS内核层(服务器端)加密和DBMS外层(客户端)加密。
在系统中加密，在系统中无法辨认数据库文件中的数据关系，将数据先在内存中进行加密，然后文件系统把每次加密后的内存数据写入到数据库文件中去，读入时再逆方面进行解密就，这种加密方法相对简单，只要妥善管理密钥就可以了。缺点对数据库的读写都比较麻烦，每次都要进行加解密的工作，对程序的编写和读写数据库的速度都会有影响。
在DBMS内核层实现加密需要对数据库管理系统本身进行操作。这种加密是指数据在物理存取之前完成加解密工作。这种加密方式的优点是加密功能强，并且加密功能几乎不会影响DBMS的功能，可以实现加密功能与数据库管理系统之间的无缝耦合。其缺点是加密运算在服务器端进行，加重了服务器的负载，而且DBMS和加密器之间的接口需要DBMS开发商的支持。
在DBMS外层实现加密的好处是不会加重数据库服务器的负载，并且可实现网上的传输，加密比较实际的做法是将数据库加密系统做成DBMS的一个外层工具，根据加密要求自动完成对数据库数据的加解密处理。
采用这种加密方式进行加密，加解密运算可在客户端进行，它的优点是不会加重数据库服务器的负载并且可以实现网上传输的加密，缺点是加密功能会受到一些限制，与数据库管理系统之间的耦合性稍差。
数据库加密系统分成两个功能独立的主要部件：一个是加密字典管理程序，另一个是数据库加解密引擎。数据库加密系统将用户对数据库信息具体的加密要求以及基础信息保存在加密字典中，通过调用数据加解密引擎实现对数据库表的加密、解密及数据转换等功能。数据库信息的加解密处理是在后台完成的，对数据库服务器是透明的。
按以上方式实现的数据库加密系统具有很多优点：首先，系统对数据库的最终用户是完全透明的，管理员可以根据需要进行明文和密文的转换工作;其次，加密系统完全独立于数据库应用系统，无须改动数据库应用系统就能实现数据加密功能;第三，加解密处理在客户端进行，不会影响数据库服务器的效率。
数据库加解密引擎是数据库加密系统的核心部件，它位于应用程序与数据库服务器之间，负责在后台完成数据库信息的加解密处理，对应用开发人员和操作人员来说是透明的。数据加解密引擎没有操作界面，在需要时由操作系统自动加载并驻留在内存中，通过内部接口与加密字典管理程序和用户应用程序通讯。数据库加解密引擎由三大模块组成：加解密处理模块、用户接口模块和数据库接口模块。

⑵ 数据库加密系统是什么有什么功能

透明加密技术是数据库加密系统的核心技术,用于防止明文存储引起的数据泄密、外部攻击、内部窃取数据、非法直接访问数据库等等，从根本上解决数据库敏感数据泄漏问题，满足合法合规要求。

数据库透明加密系统主要有四个功能：
1. 对敏感数据进行加密，避免与敏感数据的直接接触。这项功能主要用于防止三种情况的发生，首先，通过对敏感数据进行透明加密阻断入侵者访问敏感数据，构成数据库的最后一道防线。其次，阻断运维人员任意访问敏感数据，数据库透明加密系统可以保护运维人员，避免犯错。最后，透明加密系统可以实现，即使在数据库中的物理文件或者备份文件失窃的情况下，依然保证敏感数据的安全性。
2. 数据库透明加密系统，无需改变任何应用。首先，在对数据进行透明加密时，无需知道密钥，无需改变任何代码，即可透明访问加密的敏感数据。其次，对敏感数据进行加解密的过程透明简易，可以保证业务程序的连续性，以及保证业务程序不被损伤。
3. 数据库透明加密系统提供多维度的访问控制管理，且系统性能消耗非常低。通常数据库实施透明加密后，整体性能下降不超过10%。
4. 最重要的是，数据库透明加密系统满足合规要求，满足网络安全法、信息安全等级保护、个人信息安全规范等对于敏感数据加密明确的要求。

另外数据库透明加密系统可以实现物理旁路部署模式和反向代理两种部署模式。采用旁路部署模式，即在数据库服务器安装数据库透明加密安全代理软件，不需要调整任何网络架构。数据库透明加密后批量增删改性能影响较小，整体满足合规要求，管理便捷。反向代理部署模式，是物理层根据表、列等数据分类执行数据存储加密，防止存储层面数据丢失引起泄露，逻辑层通过加密网关实现运维管理端的密文访问控制，整体实现业务数据正常访问，运维授权访问，同时提供直连控制访问，部署更安全。

⑶ 如何在Linux系统上加密

打开虚拟机，进入安装好的Linux系统，创建一个属于自己的目录，这里我创建的是test

在创建的目录中新建一个文件，名字为test.txt

在文件中输入“北京欢迎你”，然后保存

执行openssl加密命令
openssl enc -des-ede3-cbc -in test.txt -out JMtest.txt -k 12345678

查看生成的文件JMtest.txt,发现是乱码，说明已经加密成功

然后执行openssl的解密命令
openssl enc -des-ede3-cbc -in JMtest.txt -out test_after.txt -d -k 12345678

查看生成的文件test_after.txit,可以清楚的看到“北京欢迎你”，说明解密成功

⑷ 如何系统加密保护

你这样做是没有意义的,不如直接加密所要保密的文件

推荐一个加密方式,RC4,使用比较广泛,可以去搜索RC4加密的软件
呵呵

不要用一些奇怪的加密软件,尤其是你不知道加密方式,或则不知道源码的加密软件,如果有一天,你找不到这个解密软件,那么意味着你有可能解不开你秘密文档
后果非常可怕

⑸ 请问应用系统加密的技术原理怎样实现

应用系统加密技术被认为是最早的数据库加密形式。但严格来讲，应用系统加密实际上是针对数据而非数据库进行的加密。在应用系统层的源代码中对敏感数据进行加密，加密后将密文存储到数据库中。可以直接在应用系统的源代码中以独立的函数或模块形式完成加密；也可以通过源代码的方式封装出应用系统相关业务专用的加密组件或定制的加密API来完成加密。安华金和做加密产品很在行，推荐你了解下。

⑹ 一个好的数据库加密系统一般应满足哪些方面的要求

您好，很高兴为您解答。

1．字段加密
----在目前条件下，加/脱密的粒度是每个记录的字段数据。如果以文件或列为单位进行加密，必然会形成密钥的反复使用，从而降低加密系统的可靠性或者因加脱密时间过长而无法使用。只有以记录的字段数据为单位进行加/脱密，才能适应数据库操作，同时进行有效的密钥管理并完成“一次一密”的密码操作。

2．密钥动态管理
数据库客体之间隐含着复杂的逻辑关系，一个逻辑结构可能对应着多个数据库物理客体，所以数据库加密不仅密钥量大，而且组织和存储工作比较复杂，需要对密钥实现动态管理。

3．合理处理数据 这包括几方面的内容。首先要恰当地处理数据类型，否则 DBMS将会因加密后的数据不符合定义的数据类型而拒绝加载；其次，需要处理数据的存储问题，实现数据库加密后，应基本上不增加空间开销。在目前条件下，数据库关系运算中的匹配字段，如表间连接码、索引字段等数据不宜加密。文献字段虽然是检索字段，但也应该允许加密，因为文献字段的检索处理采用了有别于关系数据库索引的正文索引技术。

4．不影响合法用户的操作
加密系统影响数据操作响应时间应尽量短，在现阶段，平均延迟时间不应超过1/10秒。此外，对数据库的合法用户来说,数据的录入、修改和检索操作应该是透明的,不需要考虑数据的加/脱密问题。

如若满意，请点击右侧【采纳答案】，如若还有问题，请点击【追问】

希望我的回答对您有所帮助，望采纳！

~ O(∩_∩)O~

⑺ 企业如何部署文件加密保护系统

越来越多的企业重视公司内的文件安全性了。文件除了加密保护以外，也要做好备份工作。
建议使用防泄密系统的加密模块和自动备份模块，文件自动加密功能让企业的文件只能在企业的电脑上打开，自动备份模块是指文件有变化就会自动备份到服务器上。如果员工电脑损坏文件也不受影响。 海宇文件加密系统还提供了文件操作日志功能。

⑻ 混合加密系统的过程

本问题所要求的加密，以此为前提：在发送方向接受方发送信息，或接收方向发送方请求信息时，发送方和接收方会在信道上传递信息而不希望第三者知道该信息的真正意义。发送方和接收方留存的、不放在信道的传播的信息是安全的，不会为第三者所知的；放在信道上传播的信息是不安全的，会被第三者截获的。

“混合”加密系统，是混合了对称加密方法和非对称加密方法的加密通信手段。要解释混合加密系统，必须以理解对称加密和非对称加密为前提。

混合加密系统融合了对称加密和非对称加密的优势，并补足了两者的缺点。对称加密速度快，但安全性难以保证；非对称加密安全性高，但速度慢，无法满足大量信息的加密传送。对于两者的详述，请参考网络的解释。为防止喧宾夺主，这里不展开描述。

对称加密非对称加密

在此处首先定义三个概念以方便阐述：

1.对称密钥：即可用于加密明文，又可用于解密密文。

2.非对称私钥：可用于解密密文。

3.非对称公钥：可用于加密明文，但无法用于解密密文。

混合加密系统的工作流程，以乙向单方面甲要求信息为例，至于双向信息交流由同理易得，不做赘述。

1.乙向甲发送请求，希望得到信息。

2.乙创建非对称私钥和非对称公钥，将非对称公钥发送给甲。

3.甲创建明文、对称公钥，以对称公钥加密明文得到密文，再用非对称公钥加密对称公钥得到加密后的对称公钥。甲再将加密后的对称公钥和密文发送给乙。

4.乙用非对称私钥解密加密后的对称公钥，得到对称公钥。乙再用对称公钥解密密文，得到所要的明文。

在斜体加粗所标明的，在传播过程中被第三者截获的信息有：非对称公钥、加密后的对称公钥、密文。第三者欲破解密文，必须有对称公钥；欲破解加密后的对称公钥，必须有非对称私钥。而私钥被乙方保留，第三者无从获得。故第三者无法得到明文。至此，乙得到了向甲要求的信息，而第三者无从得到信息的真正含义。

这种做法既具有非对称加密的安全性，因为非对称密钥是保密的；又具有对称加密的高效率，因为用非对称加密方法加密的是相对短小的对称密钥而非要传输的大量信息。

从其他角度进行的，更加详尽的表述请参阅其他文章：

混合加密1混合加密2混合加密3混合加密4

混合加密5

⑼ 数据加密主要涉及三要素

数据加密主要涉及三要素：明文、密钥、密文。

非对称加密：
在加解密的时候，使用的是不同的密钥：一个是公钥，一个是私钥
密钥的使用：
公钥加密，私钥解密
私钥解密，公钥加密
密钥的特点：
公钥：公共的密钥，可以发给任何人
私钥：只有生成密钥的一端可以持有，其他人不能知晓，所以需要保管好私钥
加密速度慢，加密效率低（相对于对称加密）
适合加密少量的数据
加密等级较高（相对于对称加密）
非对称加密的密钥分发指的是公钥的分发，私钥需要保存好

⑽ 如何加密文件系统，都有哪些策略

XP系统：
加密文件或文件夹
打开 Windows 资源管理器。
右键单击要加密的文件或文件夹，然后单击“属性”。
在“常规”选项卡上，单击“高级”。
选中“加密内容以便保护数据”复选框。
注意

要打开“Windows 资源管理器”，请单击“开始”，依次指向“所有程序”、“附件”，然后单击“Windows 资源管理器”。
只可以加密 NTFS 文件系统卷上的文件和文件夹。
被压缩的文件或文件夹也可以加密。如果要加密一个压缩文件或文件夹，则该文件或文件夹将会被解压。
无法加密标记为“系统”属性的文件，并且位于 systemroot 目录结构中的文件也无法加密。
在加密单个文件时，系统将询问是否要同时加密包含它的文件夹。如果选择这么做，所有将来添加进文件夹中的文件和子文件夹都将在添加时自动加密。
在加密文件夹时，系统将询问是否要同时加密文件夹内的所有文件和子文件夹。如果选择这么做，那么文件夹中当前的和将来要添加的所有文件或子文件夹都将被加密。如果选择仅加密文件夹，则文件夹中当前所有文件和子文件夹将不加密。然而，任何将来被加入文件夹的文件和子文件夹在加入时均被加密。

98
加密】
打开"我的电脑"或者"资源管理器"，选择"查看"→"文件夹选项"→"文件类型"下选择要"加密"的文件后缀名，点击"编辑"。在打开的"编辑文件类型"对话框中，在"始终显示扩展名"的对话框前打上钩，然后点"确定"来关闭对话框。然后，选中该文件，按F2键，修改其后缀名，这样文件图标就会发生变化，关联的程序也会发生变化

对于有些软件，如ACDSee的browse功能，它对文件的识别是不计较后缀名的，所以对于图片文件的加密，建议用常用的打包程序，如Winzip，加密打包之后，再更改后缀名进行进一步的加密。其实这个方法也适合于其他文件的加密。

解密
方法一(适用于Windows98/Me系统)：进入一个未加密的文件夹，点击菜单栏上的“查看”命令，取消“按Web页查看”选项。再次点击“查看”，选择“文件夹选项”，在弹出的对话框中选择“查看”选项卡。点击“与当前文件夹类似”，确定后即可取消本机上所有文件夹的加密。

方法二：采用方法一将会取消对所有已加密文件夹的加密属性，无法对单个文件夹进行解密操作，而且不适用于Win2000、XP系统。其实，不管是在98系统还是2000/XP系统下，破解这种类型的加密文件夹有一个通用的方法，我们甚至可以像进入自己的文件夹那样进入到加密的文件夹：假设被加密的文件夹为d：\lj，那么只需要在地址栏中输入d：\lj\folder settings\folder.htt，就可以打开改设置文件(folder.htt)。我们只要在改文件中找到进行加密的几行代码，密码就出现了

2000加密
更改本地计算机的恢复策略

单击“开始”，单击“运行”，键入 mmc /a，然后单击“确定”。
在“控制台”菜单上，单击“添加/删除管理单元”，然后单击“添加”。
在“管理单元”下，单击“组策略”，然后单击“添加”。
在“组策略对象”下，确认显示“本地计算机”，单击“完成”、“关闭”，然后单击“确定”。
在“本地计算机策略”中，单击“公钥策略”。
位置

本地计算机策略
计算机配置
Windows 设置
安全设置
公钥策略
右键单击“加密数据恢复代理”，然后单击下列某个选项：
“添加”，使用“添加恢复代理”向导将用户指派为其他恢复代理。
“创建”，使用“证书申请”向导以请求新的“文件恢复”证书。要完成该过程，必须有适当的访问权限以请求证书并且必须将证书授权机构 (CA) 配置为颁发该类型的证书。
“删除策略”，删除此 EFS 策略和每个恢复代理。删除 EFS 策略和所有恢复代理的后果是用户将无法在该计算机上对文件加密。
注意

要完成该过程，您必须登录为管理员或管理员组成员。如果您的计算机连接在网络上，则网络规则设置也可能会禁止您完成该过程。
计算机颁发默认自签名证书，该证书将本地管理员指派为默认恢复代理。如果没有其他合适的策略而删除该证书，计算机将有一个空恢复策略。空恢复策略意味着没有恢复代理。这将关闭 EFS，因此不允许用户加密此计算机上的文件。
在对恢复策略作任何更改之前，您首先应当将恢复项备份到软盘。
在域中，当安装第一个域控制器时，默认的域恢复策略将被执行。域管理员被颁发给自签发证书，它指派域管理员作为恢复代理。要更改域的默认恢复策略，请以管理员身份登录到第一个域控制器。
通过用鼠标右键单击证书，然后单击“属性”，可以对文件恢复证书进行改动。例如，您可以给证书一个好记的名称，并输入文字