[Oracle] 数据库安全之 - 透明数据加密技术(TDE)
2013-06-04 21:25
459 查看
关于数据加密的原理,可以参考《[数据安全]谈谈密码学的数学原理》http://blog.csdn.net/u010415792/article/details/9007931。如何加密的技术都源自这里,在了解具体即时之前,一定要先了解公钥密钥的原理,知其然,也要知其所以然。
Oracle TDE的全称是Transparent Data Encryption 透明数据加密,从10gr2开始支持基于列的加密,从11g开始支持基于表空间的加密。它的优点是对应用透明,管理简便,无需应用设置,但它也有如下限制:
– 只能使用B-Tree索引
– 加密的列无法对索引进行rang scan操作。
– 外部对象
– 可传输表空间
– exp/imp操作
TDE支持的加密算法有:
3DES168 AES128 AES192 AES256
下面看一个具体的例子:
1)保证数据库兼容版本高于10gr2
2)设定wallet的位置(在sqlnet.ora文件中写入如下内容,需要重启数据库才能生效):
3)在wallet里面创建key
以上命令将会在对应目录下产生wallet
4)创建一个表,对其中某列加密
5)如果关闭wallet,无法访问加密的数据:
6)重新打开wallet,才可以访问加密的数据:
下面是创建一个加密表空间的语句:
加密字段 V.S. 加密表空间
表空间加密 是放生在数据存储的时候,也就是存储在文件上的数据已经被加密;字段加密发生在SQL层,由SQL调用一个算法对数据进行加密处理。
表空间加密的数据,不会再收到字段加密的限制,比如:
– 字段类型
– 索引类型
– 需要 no salt常见索引
加密表空间的限制
– 外部大对象(bfiles)不可以
– exp/imp不行,需要用expdp/impdp
Oracle TDE的全称是Transparent Data Encryption 透明数据加密,从10gr2开始支持基于列的加密,从11g开始支持基于表空间的加密。它的优点是对应用透明,管理简便,无需应用设置,但它也有如下限制:
– 只能使用B-Tree索引
– 加密的列无法对索引进行rang scan操作。
– 外部对象
– 可传输表空间
– exp/imp操作
TDE - 基于列的加密
由于有了Oracle的TDE-基于列的加密,你所要做的只是定义需要加密的列,Oracle将为包含加密列的表创建一个私密的安全加密密钥,然后采用你指定的加密算法加密指定列的明文数据。TDE支持的加密算法有:
3DES168 AES128 AES192 AES256
下面看一个具体的例子:
1)保证数据库兼容版本高于10gr2
SQL> show parameter compatible NAME TYPE VALUE ------------------------------------ ----------- ------------------------------ compatible string 11.2.0.0.0
2)设定wallet的位置(在sqlnet.ora文件中写入如下内容,需要重启数据库才能生效):
ENCRYPTION_WALLET_LOCATION = (SOURCE= (METHOD=file) (METHOD_DATA= (DIRECTORY=C:\app\xianzhu\product\11.2.0\wallet)))
3)在wallet里面创建key
SQL> alter system set encryption key authenticated by "myPassword"; 系统已更改。
以上命令将会在对应目录下产生wallet
4)创建一个表,对其中某列加密
SQL> create table tde_private( 2 id number(10) primary key, 3 info varchar2(50) encrypt using 'AES192' 4 ); 表已创建。 SQL> set line 200 SQL> select * from dba_encrypted_columns; OWNER TABLE_NAME COLUMN_NAME ENCRYPTION_ALG SAL INTEGRITY_AL ---------------- ------------------------------ ------------------------------ ----------------------------- --- ------------ TEST TDE_PRIVATE INFO AES 192 bits key YES SHA-1 SQL> insert into tde_private values (1, 'This is private info'); 已创建 1 行。 SQL> commit; 提交完成。
5)如果关闭wallet,无法访问加密的数据:
SQL> alter system set wallet close identified by "myPassword"; 系统已更改。 SQL> select * from tde_private; select * from tde_private * 第 1 行出现错误: ORA-28365: Wallet 未打开
6)重新打开wallet,才可以访问加密的数据:
SQL> alter system set wallet open identified by "myPassword"; 系统已更改。 SQL> select * from tde_private; ID INFO ---------- -------------------------------------------------- 1 This is private info
TDE - 基于表空间的加密
这是Oracle 11g推出的新特性,它是对整个表空间进行加密。下面是创建一个加密表空间的语句:
SQL> create tablespace encrypted_ts encryption using 'AES256' default storage(encrypt); 表空间已创建。 SQL> select tablespace_name,encrypted from dba_tablespaces where tablespace_name='ENCRYPTED_TS'; TABLESPACE_NAME ENC ------------------------------ --- ENCRYPTED_TS YES
加密字段 V.S. 加密表空间
表空间加密 是放生在数据存储的时候,也就是存储在文件上的数据已经被加密;字段加密发生在SQL层,由SQL调用一个算法对数据进行加密处理。表空间加密的数据,不会再收到字段加密的限制,比如:
– 字段类型
– 索引类型
– 需要 no salt常见索引
加密表空间的限制
– 外部大对象(bfiles)不可以
– exp/imp不行,需要用expdp/impdp
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- ORACLE TDE 透明数据加密技术
- Oracle 10G 新特性--透明数据加密技术(TDE)
- oracle透明数据加密技术(TDE)
- Oracle数据安全解决方案-透明数据加密TDE
- Oracle数据安全解决方案——透明数据加密TDE
- 数据库安全:Oracle数据库防火墙技术
- [Oracle] 数据库安全概述
- 搞垮他的数据库--谈Oracle安全
- oracle透明数据加密TDE
- ORACLE使用透明数据库加密
- 打造安全的Oracle数据库系统
- Oracle 数据库安全之权限与角色
- Oracle 透明数据加密(TDE)--官方文档
- 数据库安全 Oracle概述
- [Oracle] 数据库安全之 - Oracle标签安全(OLS)
- [Oracle] 数据库安全之 - Oracle标签安全(OLS)
- Oracle-11g 中使用表空间透明数据加密(TDE)
- SQL Server 安全篇——SQL Server加密(3)——透明数据加密(TDE)
- 数据库安全之TDE列加密
- Oracle 数据库的安全策略