关于数据加密的原理,可以参考《[数据安全]谈谈密码学的数学原理》http://blog.csdn.net/u010415792/article/details/9007931。如何加密的技术都源自这里,在了解具体即时之前,一定要先了解公钥密钥的原理,知其然,也要知其所以然。
Oracle TDE的全称是Transparent Data Encryption 透明数据加密,从10gr2开始支持基于列的加密,从11g开始支持基于表空间的加密。它的优点是对应用透明,管理简便,无需应用设置,但它也有如下限制:
– 只能使用B-Tree索引
– 加密的列无法对索引进行rang scan操作。
– 外部对象
– 可传输表空间
– exp/imp操作
TDE - 基于列的加密
由于有了Oracle的TDE-基于列的加密,你所要做的只是定义需要加密的列,Oracle将为包含加密列的表创建一个私密的安全加密密钥,然后采用你指定的加密算法加密指定列的明文数据。
TDE支持的加密算法有:
3DES168 AES128 AES192 AES256
下面看一个具体的例子:
1)保证数据库兼容版本高于10gr2
SQL> show parameter compatible NAME TYPE VALUE ------------------------------------ ----------- ------------------------------ compatible string 11.2.0.0.0
2)设定wallet的位置(在sqlnet.ora文件中写入如下内容,需要重启数据库才能生效):
ENCRYPTION_WALLET_LOCATION =
(SOURCE=
(METHOD=file)
(METHOD_DATA=
(DIRECTORY=C:\app\xianzhu\product\11.2.0\wallet)))3)在wallet里面创建key
SQL> alter system set encryption key authenticated by "myPassword"; 系统已更改。
以上命令将会在对应目录下产生wallet
4)创建一个表,对其中某列加密
SQL> create table tde_private( 2 id number(10) primary key, 3 info varchar2(50) encrypt using 'AES192' 4 ); 表已创建。 SQL> set line 200 SQL> select * from dba_encrypted_columns; OWNER TABLE_NAME COLUMN_NAME ENCRYPTION_ALG SAL INTEGRITY_AL ---------------- ------------------------------ ------------------------------ ----------------------------- --- ------------ TEST TDE_PRIVATE INFO AES 192 bits key YES SHA-1 SQL> insert into tde_private values (1, 'This is private info'); 已创建 1 行。 SQL> commit; 提交完成。
5)如果关闭wallet,无法访问加密的数据:
SQL> alter system set wallet close identified by "myPassword";
系统已更改。
SQL> select * from tde_private;
select * from tde_private
*
第 1 行出现错误:
ORA-28365: Wallet 未打开6)重新打开wallet,才可以访问加密的数据:
SQL> alter system set wallet open identified by "myPassword";
系统已更改。
SQL> select * from tde_private;
ID INFO
---------- --------------------------------------------------
1 This is private infoTDE - 基于表空间的加密
这是Oracle 11g推出的新特性,它是对整个表空间进行加密。下面是创建一个加密表空间的语句:
SQL> create tablespace encrypted_ts encryption using 'AES256' default storage(encrypt); 表空间已创建。 SQL> select tablespace_name,encrypted from dba_tablespaces where tablespace_name='ENCRYPTED_TS'; TABLESPACE_NAME ENC ------------------------------ --- ENCRYPTED_TS YES
加密字段 V.S. 加密表空间
- 表空间加密 是放生在数据存储的时候,也就是存储在文件上的数据已经被加密;字段加密发生在SQL层,由SQL调用一个算法对数据进行加密处理。
- 表空间加密的数据,不会再收到字段加密的限制,比如:
– 索引类型
– 需要 no salt常见索引
- 加密表空间的限制
– exp/imp不行,需要用expdp/impdp
作者:u010415792 发表于2013-6-4 21:25:25 原文链接
阅读:41 评论:0 查看评论