oracle 10g R2 新特性 TDE

最新推荐文章于 2024-04-18 21:50:07 发布
最新推荐文章于 2024-04-18 21:50:07 发布
阅读量3.1k 收藏
点赞数
分类专栏: ORACLE 数据库管理 文章标签: oracle 加密 encryption 数据库 null 解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llmmysun/article/details/583153
版权

在Oracle的最新版本10g R2中,出现最及时的技术应该是透明数据加密技术(Transparent Data Encryption,TDE)。这一技术包含在Oracle高级安全选项里,每处理器的费用为10,000美元,只供企业版用户使用。

与之前Oracle发布的隐蔽工具包相比,TDE是一个巨大的飞跃。虽然工具包是免费的,但远远不能满足用户的需求。不但需要手工改写代码,还要修改程序代码来调用加密的API。

透明数据加密

对于加密,许多用户深感矛盾:他们既感兴趣,又因意识密钥管理的复杂性而感到慎重,如果处理不当,则会导致设置的效率低下。加密和解密值还会带来相关的性能开销,这使得大部分应用程序架构师不太乐于接受该过程。结果是,很多系统设计根本没有加密,只是构筑了强大的外围防护,如强大的口令和适当的授权方案。

但是,请想象一下如果整个服务器被盗了,甚至只是磁盘被盗,这些磁盘可以装配在具有相同操作系统的服务器上,然后其中的数据将被销毁殆尽。或者有一个的 DBA 品行不端,在日常业务活动中恶意突破了外围防护,然后将您所有重要的客户信息洗劫一空。在这两种情况下,如果所涉及的商业机构是在加利福尼亚州(可能不久之后在美国的其他州),它们在法律上有责任将安全漏洞的情况通知给所有受到影响的客户。

 

在上述罕见(但确是事实)的情况中,认证方案没有实际意义。这就是为什么对于那些将安全作为头等大事的机构而言,透明数据加密 (TDE) 是一个如此有用的特性;它支持加密,同时将密钥管理的复杂性交给数据库引擎来处理。同时,它允许 DBA 在不必实际看到数据的情况下管理数据库表。

 

在 Oracle 数据库 10g 第 2 版中使用 TDE 时,可以随时地对表中的一列或多列进行加密;只需将列定义为加密形式即可,不用编写代码。请记住,加密需要使用密钥和算法对输入值进行加密。TDE 为特定的表生成单独的密钥。这种方法方便了密钥管理却也更易被他们窃取,所以数据库提供了另一种密钥 — 万能密钥 — ,它可以在数据库级别上设置。表密钥是利用万能密钥进行加密的,要获得表密钥就需要这个万能密钥。因此,对列进行解密时需要万能密钥和表密钥。(有关常规加密以及在 Oracle 中使用供应程序包的进一步探讨,请参见 Oracle 杂志专栏“为您的数据资产加密”。)

 

万能密钥存储在数据库外一个称为“钱夹”的地方 — 默认位置在 $ORACLE_BASE/admin/$ORACLE_SID/wallet。在概念上,它类似于下图。

 

 

在配置 TDE 之后 — 或者更明确地说是配置了钱夹和万能密钥之后 — 您可以使用它来保护数据值。要为表的一列加密,需要使用以下 SQL: 
create table accounts
(
acc_no       number       not null,
first_name   varchar2(30) not null,
last_name    varchar2(30) not null,
SSN          varchar2(9)             ENCRYPT USING 'AES128',
acc_type     varchar2(1)  not null,
folio_id     number                  ENCRYPT USING 'AES128',
sub_acc_type varchar2(30),
acc_open_dt  date         not null,
acc_mod_dt   date,
acc_mgr_id   number
)
在这里,您在列 SSN 和 FOLIO_ID 上使用了 TDE,它们现在以加密方式存储在表本身。但是,当用户从表中选择时,她看到以明文表示的数据,因为在检索过程中已经完成了解密。如果磁盘被盗,则包含在表段中的信息仍然保持加密状态。盗窃者需要表密钥才能看到加密的值,但是要获得表密钥,他需要万能密钥,而万能密钥存储在外部,因此无法获得。

 

注意列 SSN 和 FOLIO_ID 后面的子句,这些子句指定 ENCRYPT 使用 128 位高级加密标准。

 

数据库拥有预先配置的钱夹。要设置钱夹口令,可使用命令: 
alter system set encryption key authenticated BY "topSecret";
如果还未创建钱夹,该命令将先创建钱夹,然后将口令设置为“topSecret”(区分大小写)。然后您就可以开始在表的创建和更改期间将加密用于列定义。

 

为外部表加密

 

在以上示例中,我使用散列表为列加密。您还可以在外部表上使用 TDE。例如,如果您希望生成一个包含 ACCOUNTS 的数据的转储文件,以便发送到不同的地点,则可以使用简单的 ENCRYPT 子句。 
create table account_ext
organization external
(
type oracle_datapump
default directory dump_dir
location ('accounts_1_ext.dmp',
'accounts_2_ext.dmp',
'accounts_3_ext.dmp',
'accounts_4_ext.dmp')
)
parallel 4
as
select 
ACC_NO,
FIRST_NAME,
LAST_NAME,
SSN           ENCRYPT IDENTIFIED BY "topSecret",
ACC_TYPE,
FOLIO_ID      ENCRYPT IDENTIFIED BY "topSecret",
SUB_ACC_TYPE,
ACC_OPEN_DT,
ACC_MOD_DT
from accounts;
在文件 accounts_*_ext.dmp 中,SSN 和 FOLIO_ID 的值不会是明文,而是加密形式。如果您希望使用这些文件作为外部表,则必须提供 topSecret 作为口令以读取这些文件。

在这里您可以看到,TDE 是访问控制的理想补充(而不是替代)。

llmmysun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL Server 安全篇——SQL Server加密(3)——透明数据加密TDE
MVP黄钊吉(發糞塗牆)
02-27 3588
本文属于SQL Server安全专题系列    前面讲到的很多内容都是对数据加密和权限控制,这些主要在SQL Server内部,但是还有一种情况就是文件的安全性,除了在操作系统层面对文件进行访问控制之外,还要确保服务器被攻击之后文件被窃取的情况。为了避免文件被窃取后通过特权方式获得数据,有必要对文件也进行数据安全加密,在SQL Server中提供了一种叫透明数据加密(Transparent Dat...
Oracle原生加密TDE)实现流程(11g)
qq_50885384的博客
10-31 1365
Oracle原生加密的实现流程,参照官方文档。经过本人在Oracle 11g2 版本实机操作的流程记录
【数据安全】Oracle 透明数据加密(TDE) 完整操作手册
03-17
Oracle 透明数据加密 (TDE) 能够加密存储在表和表空间中的敏感数据,例如手机号码,身份证号等,对于有权访问数据的数据库用户或应用程序,加密数据将被透明地解密TDE 可在存储介质或数据文件被盗时保护存储在介质上的数据,无需在程序代码层面做任何改动。 在操作过程中遇到的常见问题均可参照此文档解决,例如: ORA -28330:此数据类型不允许加密 ORA -28331:加密列的大小对于其数据类型来说太长 ORA -28332:加密密钥不能有多个密码 ORA -28333:列未加密 ORA -28334:列已加密 ORA -28335:无法加加密引用或引用的外键约束列
oracle tde技术,ORACLE TDE 透明数据加密技术
weixin_42506994的博客
04-03 494
从ORALE 10GR2开始出现透明数据加密技术(Transparent Data EncryptionTDE)TDE用来对数据加密,通常SQL执行的应用程序逻辑不需要进行更改,仍能正常运行。换言之,应用程序可以使用同一语法将数据插入到应用程序表中,并且Oracle数据库在将信息写入磁盘之前将自动对数据进行加密。随后的选择操作将透明地解密数据,因此应用程序将继续正常地运行。这一点很重要,因为当前...
Oracle-TDE数据加密功能
最新发布
sinat_36757755的博客
04-18 988
Oracle-TDE数据加密功能
Oracle 透明数据加密TDE)的常见任务
In-Memory Computing Technology
09-15 561
Oracle 透明数据加密TDE)的常见任务
长安链ChainMaker新特性——透明数据加密TDE
weixin_55760491的博客
11-29 3809
长安链密码模块同时提供了软件实现和硬件集成,使用以下步骤即可完成TDE的配置:
ORACLE TDE (Transparent Data Encryption)
彦祖的小号的博客
07-13 2195
透明的数据加密: 使用oracle的钱夹存储密钥,可对加密列进行索引。数据库管理密码,自动加密解密 TDE可以加密数据文件,撤消日志,重做日志中的数据,还可加密SGA中的缓冲区缓存中的数据,可以选择对哪些表的哪些列进行加密TDE是基于密钥的加密系统,所以需要配置钱夹wallet。 Wallet: 每个表都有自己的密钥,密钥为数据库创建的主密钥来加密,密钥以加密方法存储在数据库中,主密钥并不存储于数据库中。当访问加密表中的加密列时,授权用户不必指定密码或密钥 使用oracle加密解密注意..
DBA之路---oracle的wallet与TDE透明加密
Princesk的博客
05-30 913
oracle数据加密的一种方式,wallet从物理上对数据文件中的数据进行加密。但是对使用数据库的系统来说,数据是透明的。注意wallet产生的透明加密对sys用户级别的表无效,权限不够。
Oracle TDE加密
m0_38036502的博客
04-26 1194
ORACLE数据库加密与安全
Oracle的高级安全功能FAQ,包含TDE
12-29
Oracle Advanced Security Transparent Data Encryption (TDE) Frequently Asked Questions (FAQ)
透明数据加密(TDE)库的备份和还原
12-15
想到TDE(Transparent Data Encryption)。 TDE MSDN 说明: “透明数据加密”(TDE) 可对数据和日志文件执行实时 I/O 加密解密。这种加密使用数据库加密密钥 (DEK),该密钥存储在数据库引导记录中以供恢复时使用。DEK 是使用存储在服务器的 master 数据库中的证书保护的对称密钥,或者是由 EKM 模块保护的非对称密钥。TDE 保护“处于休眠状态”的数据,即数据和日志文件。它提供了遵从许多法律、法规和各个行业建立的准则的能力。软件开发人员籍此可以使用 AES 和 3DES 加密算法来加密数据,且无需更改现有的应用程序。 其实吸引我的是“无需更改
ORACLE 透明数据加密技术(TDE
04-08
Oracle的最新版本10g R2中,出现最及时的技术应该是透明数据加密技术(Transparent Data EncryptionTDE)。   TDE用来对数据加密,通常 SQL 执行的应用程序逻辑不需要进行更改,仍能正常运行。 换言之,应用程序可以使用同一语法将数据插入到应用程序表中,并且 Oracle 数据库在将信息写入磁盘之前将自动对数据进行加密。 随后的选择操作将透明地解密数据,因此应用程序将继续正常地运行。 这一点很重要,因为当前的应用程序通常期望未加密的应用程序数据。 显示加密数据至少会使应用程序用户迷惑不解,甚至还会破坏现有的应用程序。
TDE.rar_TDE_TDE源代码
09-23
一个开源著名的TDE编辑器源代码,适用于unix,dos,win32
mapgis k9 tde 二次开发包 10
12-13
mapgis k9 tde 二次开发包第10部分,共14个部分
Oracle 11g使用透明数据加密保护存储数据
huryer的专栏
11-23 2794
Oracle 11g使用透明数据加密保护存储数据 透明数据加密 (TDE) 使您能够加密存储在表和表空间中的敏感数据,例如信用卡号。对于有权访问数据的数据库用户或应用程序,加密数据将被透明地解密TDE 有助于在存储介质或数据文件被盗时保护存储在介质上的数据。 一、关于透明数据加密 Oracle 数据库使用 身份验证、授权和审计机制来保护数据库中的数据,而不是存储数据的操作系统数据文件中的数据。为了保护这些数据文件,Oracle 数据库提供了透明数据加密 (TDE)。TDE 加密存储在数据文件中的敏感数据。
Oracle透明数据加密 (TDE)常见问题解答
夜未眠风已息
11-27 652
Oracle透明数据加密 (TDE)常见问题解答
Oracle DB 安全性 : TDE HSM TCPS Wallet Imperva
jnrjian的博客
08-09 1149
DBMS_CRYPTO提供用于加密解密存储的数据的接口,并且可以与运行网络通信的PL / SQL程序结合使用。它支持多种行业标准的加密和哈希算法,包括高级加密标准(AES)加密算法。AES已获得美国国家标准技术研究院(NIST)的批准,以取代数据加密标准(DES)。支持以下加密算法:数据加密标准(DES),三重DES(3DES,2键和3键)高级加密标准(AES)MD5,MD4和SHA-1加密哈希MD5和SHA-1消息认证码(MAC)
Oracle启用TDE
05-30
启用Oracle透明数据加密TDE)需要执行以下步骤: 1. 创建Oracle Wallet:使用Oracle Wallet Manager或mkstore命令行工具创建Oracle Wallet。创建Oracle Wallet时需要设置口令,并且需要将Oracle Wallet的位置记录在tnsnames.ora文件中。 2. 生成主密钥:使用Oracle Wallet Manager或mkstore命令行工具生成主密钥,也称为TDE口令。主密钥需要保存在Oracle Wallet中。 3. 启用TDE:可以启用整个数据库、表空间或单个列的TDE。使用ALTER DATABASE或ALTER TABLESPACE语句启用整个数据库或表空间的TDE,使用ALTER TABLE语句启用单个列的TDE。 4. 加密数据:使用ALTER TABLE语句对需要加密的列进行加密。 以下是具体步骤: 1. 创建Oracle Wallet: 使用Oracle Wallet Manager创建Oracle Wallet: - 运行Oracle Wallet Manager。 - 在菜单中选择“New”。 - 输入口令并确认。 - 选择“File” > “Save As”保存Oracle Wallet。 使用mkstore命令行工具创建Oracle Wallet: - 打开命令行窗口。 - 输入命令:`mkstore -wrl <wallet_location> -create`。 - 输入口令并确认。 - 选择“File” > “Save As”保存Oracle Wallet。 2. 生成主密钥: 使用Oracle Wallet Manager生成主密钥: - 运行Oracle Wallet Manager。 - 在菜单中选择“Operations” > “Create Key”。 - 输入TDE口令并确认。 使用mkstore命令行工具生成主密钥: - 打开命令行窗口。 - 输入命令:`mkstore -wrl <wallet_location> -createCredential <alias> <username> <password>`。 - 输入TDE口令并确认。 3. 启用TDE: 启用整个数据库TDE: - 运行SQL*Plus或SQL Developer。 - 使用SYS用户登录到数据库。 - 执行命令:`ALTER DATABASE ENCRYPTED USING 'AES256' KEYSTORE <wallet_location> IDENTIFIED BY <tde_password>`。 启用表空间的TDE: - 运行SQL*Plus或SQL Developer。 - 使用SYS用户登录到数据库。 - 执行命令:`ALTER TABLESPACE <tablespace_name> ENCRYPT`。 启用单个列的TDE: - 运行SQL*Plus或SQL Developer。 - 使用SYS用户登录到数据库。 - 执行命令:`ALTER TABLE <table_name> MODIFY <column_name> ENCRYPT`。 4. 加密数据: 使用ALTER TABLE语句对需要加密的列进行加密: - 运行SQL*Plus或SQL Developer。 - 使用SYS用户登录到数据库。 - 执行命令:`ALTER TABLE <table_name> MODIFY <column_name> ENCRYPT`。 以上是启用Oracle透明数据加密TDE)的基本步骤,需要根据具体情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值