笔记:TDE数据库透明加密(官档翻译摘选)

最新推荐文章于 2024-08-18 00:30:00 发布
最新推荐文章于 2024-08-18 00:30:00 发布
阅读量1.2k 收藏 9
点赞数 1
分类专栏: Oracle 文章标签: TDE 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lizi_TT/article/details/103063709
版权

Transparent Data Encryption (TDE)
TDE能够加密存储在表和表空间中的敏感数据,对于可以访问数据的数据库用户或应用程序,加密的数据被透明地解密。TDE有助于在存储媒体或数据文件被盗的情况下保护存储在媒体上的数据。

DE对存储在数据文件中的敏感数据进行加密
TDE将加密密钥存储在数据库外部的安全模块中
TDE不需要额外的维护,对用户透明
应用程序不参与加密和解密,加密和解密由数据库完成
加密密钥自动产生,不需要用户管理。只需要做好备份,不要丢失即可。
如果是dg环境,备库也要相关操作,请谨慎操作,否则会导致同步停止。
TDE 不支持对外键约束中使用的列进行加密。这是因为各个表有自己独有的加密密钥。以下查询可以列出数据库中存在的所有 RI(引用完整性)约束:

SQL> select A.owner, A.table_name, A.column_name, A.constraint_name 
from dba_cons_columns A, dba_constraints B 
where A.table_name = B.table_name and B.constraint_type = 'R';

TDE 表空间加密透明地支持所有索引。而对于 TDE 列加密,索引必须是用于等式搜索的普通 B 树索引。如果是基于函数的复合索引,则不能对相应函数使用的列进行加密。当对已有索引的列进行加密时,建议首先利用 dbms_metadata.get_ddl 获取索引定义,然后丢弃该索引,使用“no salt”选项对该列进行加密,最后重建索引。
使用 TDE 加密后的数据在从数据库文件中读回时会被解密。因此,如果在网络上传输该数据,它将处于明文状态。
对于 TDE 列加密,加密数据在 SGA 中仍保持加密状态,但是对于 TDE 表空间加密,数据在 SGA 中已被解密,从而提供 100% 的透明性。
TDE 是 Oracle Advanced Security 选件的一部分,该选件还包含网络加密和强身份验证。Oracle 企业版客户可以使用该选件。

查看数据库组件:
SET lines 90 NUMWIDTH 12 PAGES 10000 LONG 2000000000
ALTER SESSION SET nls_date_format='YYYY-MM-DD HH24:MI:SS';
COL version FORMAT a12
COL comp_id FORMAT a8
COL schema LIKE version
COL comp_name FORMAT a35
COL status FORMAT a12
SELECT comp_id,schema,status,version,comp_name FROM dba_registry;

透明数据加密(TDE)具有以下优点:
作为安全管理员,您可以确保敏感数据是安全的,以防存储媒体或数据文件被盗。
1,实现TDE可以帮助您解决与安全性相关的法规遵从性问题。
2,您不需要为授权用户或应用程序创建触发器或视图来解密数据。对于数据库用户和应用程序,表中的数据被透明地解密。
3,数据库用户和应用程序不需要知道他们访问的数据是以加密的形式存储的。对于数据库用户和应用程序,数据被透明地解密。
4,不需要修改应用程序来处理加密的数据。数据加密和解密由数据库管理。
5,密钥管理操作是自动化的。用户或应用程序不需要管理加密密钥。

TDE可以对表的列或表空间做加密

TDE表空间加密使您能够加密整个表空间。在加密的表空间中创建的所有对象都会自动加密。

TDE表空间加密利用了批量加密和缓存来提供增强的性能。虽然对应用程序的实际性能影响可能有所不同,但性能开销大致估计在5%到8%之间。

TDE表空间加密对存储在加密表空间中的所有数据进行加密。这包括内部大型对象(lob),如blob和clob。

TDE表空间加密不加密存储在表空间之外的数据。例如,BFILE数据没有加密,因为它存储在数据库之外。如果在加密的表空间中创建具有BFILE列的表,则不会加密此特定列。但

加密表空间中的所有数据都以加密格式存储在磁盘上。对于具有查看或修改数据的必要特权的授权用户,数据被透明地解密。数据库用户或应用程序不需要知道特定表中的数据是否在磁盘上加密。如果磁盘或备份媒体上的数据文件被盗,数据不会受到影响。
TDE表空间加密使用两层的、基于密钥的体系结构来透明地加密(和解密)表空间。TDE主密钥存储在外部安全模块(Oracle Wallet或HSM)中。TDE主密钥用于加密TDE表空间加密密钥,而TDE表空间加密密钥又用于加密和解密表空间中的数据。

在这里插入图片描述
Oracle Database 11g Release 2(11.2)允许Oracle Real Application Clusters (Oracle RAC)节点共享钱包。这消除了在所有节点之间手动复制和同步钱包的需要。Oracle建议在共享文件系统上创建钱包。这允许所有实例访问同一个共享钱包。
在任何一个Oracle RAC实例上执行的任何钱包操作(比如打开或关闭钱包)都适用于所有其他Oracle RAC实例。这意味着,当您为一个实例打开和关闭钱包时,它将为所有Oracle RAC实例打开和关闭。
在使用共享文件系统时,需要确保所有Oracle RAC实例的ENCRYPTION_WALLET_LOCATION或WALLET_LOCATION参数指向相同的共享钱包位置。安全管理员还需要通过分配适当的目录权限来确保共享钱包的安全性。
在一个实例上执行的主键rekey适用于所有实例。当一个新的Oracle RAC节点出现时,它知道当前钱包的打开或关闭状态。

如果您没有使用共享文件系统来存储钱包,那么您需要在主密钥rekey之后将钱包复制到所有节点。如果您需要重置数据库的主加密密钥,请使用以下步骤:

1,在第一个Oracle RAC节点上重置主加密密钥。
2,将新的主加密密钥钱包从第一个节点复制到所有其他节点。
3,关闭并重新打开任何一个节点上的钱包。使用以下命令:

SQL> ALTER SYSTEM SET ENCRYPTION WALLET CLOSE IDENTIFIED BY "password";
SQL> ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY "password";

Oracle RMAN 如何处理加密数据?

Oracle 透明数据加密和 Oracle RMAN

应用数据RMAN 压缩备份RMAN 加密备份RMAN 压缩和加密备份
未加密压缩数据加密数据数据先压缩再加密
使用 TDE 列进行加密压缩数据;将加密列视为未加密加密数据;对加密列双重加密数据先压缩再加密;将加密数据视为未加密;对加密列双重加密
使用 TDE 表空间加密进行加密对加密的表空间进行解密、压缩和重新加密加密的表空间原样传送给备份对加密的表空间进行解密、压缩和重新加密

当存在本地 TDE 主加密密钥时“透明”加密[和压缩]的示例:

   RMAN> connect target <ORACLE_SID>/<SYS pwd>
   RMAN> set encryption on;
   RMAN> backup [as compressed backupset] database;

无论使用 TDE 主加密密钥还是密码短语对文件进行加密,对发送到磁盘的 RMAN 备份进行加密都需要 Advanced Security 选件的许可。

TDE 可否与 Data Guard、Streams 和 Oracle Golden Gate 协同工作?

可以。当 TDE 用于 Data Guard 物理备用数据库(10gR2 及更高版本)时,在向辅助数据库传输数据的过程中加密数据在日志文件中仍保持加密状态,此时可以选择使用 ASO 网络加密在传输过程中对磁盘上未加密的数据进行加密。请参阅 Metalink 说明 749947.1 了解如何配置 ASO 自带的网络加密,并参阅 Metalink 说明 1143443.1 了解如何配置基于 SSL 的加密。对此,必须将包含主密钥的钱夹复制到全部物理备用数据库站点并打开该钱夹,不管是仅应用重做日志、以只读方式打开、在 Active Data Guard 中打开(只读和应用重做日志),还是进行角色转换(切换或故障切换)都是如此。

当 TDE 用于 Data Guard 逻辑备用数据库 (11gR1) 时,必须将包含主密钥的钱夹复制到辅助站点并打开该钱夹,以便 SQL Apply 可以对从日志文件中读取的数据进行解密。在将传入数据写入逻辑备用数据库时,可以使用同样的主加密密钥对数据进行加密。加密数据在日志文件中保持加密状态,并且在日志文件被传送到辅助数据库的传输过程中仍保持加密状态;Oracle 网络加密是可选的。请参阅 Metalink 说明 749947.1 了解如何配置 ASO 自带的网络加密,并参阅 Metalink 说明 1143443.1 了解如何配置基于 SSL 的加密。

当 TDE 与 11gR1 中的 Streams 一起使用时,在活动数据库之间以明文传输数据,以允许数据转换(字符集、数据库版本、平台等)。当无法到达接收端且需要临时存储数据时,加密列以加密形式存储在磁盘上。在 11gR1 之前的数据库版本中,Streams 将加密列视为“不受支持的数据类型”,因此跳过这些表。

可否使用带有直接路径的 SQL*Loader 将数据加载到包含加密列的表中?

可以。如果目标表包含加密列,数据将在加载时进行加密。以下简单示例说明了如何使用带有直接路径的 SQL*Loader。只需将 ulcase6.sql 中的一行从

sal number(7,2),
更改为

sal number(7,2) encrypt,
并使用 SQL*Loader 的正确语法:

$ sqlldr USERID=scott/tiger CONTROL=ulcase6.ctl LOG=ulcase6.log DIRECT=TRUE

TDE的一些问题链接:
https://www.cnblogs.com/buffercache/p/10797670.html
https://www.oracle.com/technetwork/cn/topics/security/tde-faq-099527-zhs.html
《Step by step method to implement Transparent Data Encryption (TDE) in 11g Data Guard and 11g RAC environments (文档 ID 1627807.1)》

软茸兔
关注
专栏目录
web应用数据库密码加密
03-02
1.针对springboot和spring项目的数据库密码加密。 2.提供集成手册
了解透明数据加密 (TDE)
weixin_34414196的博客
05-31 609
您可以采取一些预防措施来帮助保护数据库的安全,如设计一个安全系统、加密机密资产以及在数据库服务器的周围构建防火墙。但是,如果遇到物理介质(如驱动器或备份磁带)被盗的情况,恶意破坏方只需还原或附加数据库即可浏览数据。一种解决方案是加密数据库中的敏感数据,并通过证书保护用于加密数据的密钥。这可以防止任何没有密钥的人使用这些数据,但这种保护必须事先计划。 “透明数据加密”(TDE...
数据库加密工具/浅谈数据库透明加密TDE)_0基础白帽子技巧
程序员六七的博客
07-26 371
【摘要】本文对数据加密技术、尤其是数据库透明加密TDE)的技术原理和优缺点进行了解析,并收集了时下主流数据库产品的TDE能力供大家参考。【作者】韩锋
浅谈数据库透明加密TDE
fzq0625的博客
06-16 1016
后者这种加密方式可以控制应用系统的用户对数据的访问权限,并且真实数据对所有数据库用户都是不可见的,是最安全的一种加密方式。SQL注入攻击者如果使用应用系统访问数据库的授权用户对数据库发起攻击,则能够获得加密系统对该用户的相应授权,能够访问到该授权项下的敏感数据。以上所述的几种加密方式,数据加密的位置离用户是逐步靠近的,防护能力也是逐步提升的。对于访问此数据的数据库用户和程序,TDE可用于为处理敏感数据的应用程序提供稳健的数据加密,而对应用程序的更改最少或没有更改。这里收集了部分产品的加密能力,供参考。
tde数据库加密_在其他服务器上还原启用了透明数据加密TDE)的数据库
culuo4781的博客
07-19 896
tde数据库加密 In this article, we will review how to enable Transparent Data Encryption (TDE) on a database in SQL Server and move the Transparent Data Encryption (TDE) enabled databases to a different ...
解密TDE加密数据库
weixin_30819163的博客
04-22 195
1 找到加密数据库,new query 2 执行sql 语句:ALTER DATABASE database_name SET ENCRYPTION OFF; DROP DATABASE ENCRYPTION KEY 这样数据库就解密了。 3 删除 证书和master key DROP CERTIFICATE certificate_name DROP MA...
Oracle 10G 新特性--透明数据加密技术(TDE)
com728871的博客
02-25 220
在Oracle的最新版本10g R2中,出现最及时的技术应该是透明数据加密技术(Transparent Data EncryptionTDE)。 TDE用来对数据加密,通常 SQL 执行的应用程序逻辑不需要进行更改,仍...
Oracle-TDE数据加密功能
sinat_36757755的博客
04-18 1652
Oracle-TDE数据加密功能
长安链透明数据加密TDE)介绍及SM4算法源码梳理
h363659487的博客
08-05 1533
透明数据加密Transparent Data Encryption (简称TDE))是指可以在文件层对数据和文件进行实时加密和解密,落盘的文件是加密后的内容,而对于上层应用系统和开发人员而言,加解密过程是无感知的,写入和读取的内容是明文内容,所以叫做透明数据加密。...
Oracle-11g 中使用表空间透明数据加密TDE
weixin_30412013的博客
06-28 198
Oracle-11g 中使用表空间透明数据加密TDE)的限制 TDE 表空间加密方式会在数据读写过程中加解密数据。与在 SQL 层面做加解密的 TDE加密方式相比,其限制要大幅减少。例如:数据类型、索引类型的限制。但 TDE 表空间加密方式仍存在如下限制: (TDE tablespace encryption encrypts/decrypts data during re...
ORACLE 透明数据加密技术(TDE
04-08
在Oracle的最新版本10g R2中,出现最及时的技术应该是透明数据加密技术(Transparent Data EncryptionTDE)。   TDE用来对数据加密,通常 SQL 执行的应用程序逻辑不需要进行更改,仍能正常运行。 换言之,应用程序可以使用同一语法将数据插入到应用程序表中,并且 Oracle 数据库在将信息写入磁盘之前将自动对数据进行加密。 随后的选择操作将透明地解密数据,因此应用程序将继续正常地运行。 这一点很重要,因为当前的应用程序通常期望未加密的应用程序数据。 显示加密数据至少会使应用程序用户迷惑不解,甚至还会破坏现有的应用程序。
我的Oracle 11g OCP学习笔记
04-25
4. **数据加密**:通过透明数据加密TDE)功能,Oracle 11g可以在不改变应用程序的情况下加密数据库,保护敏感信息。 5. **数据恢复增强**:闪回数据库(Flashback Database)和恢复到任意时间点(Point-in-Time ...
openGauss学习笔记-128 openGauss 数据库管理-设置透明数据加密TDE
超哥的博客
11-20 703
透明数据加密Transparent Data Encryption),是数据库在将数据写入存储介质时对数据进行加密,从存储介质中读取数据时自动解密,防止攻击者绕过数据库认证机制直接读取数据文件中的数据,以解决静态数据泄露问题。该功能对于应用层几乎透明无感知,用户可根据需要决定是否启用透明数据加密功能。
Oracle数据库创建:从零开始构建稳定可靠的数据库,掌握最佳实践
Oracle数据库是一种关系型数据库管理系统(RDBMS),它以其可扩展性、可靠性和安全性而闻名。本节将介绍Oracle数据库的基础知识,包括其体系结构、数据类型和约束,以及基本操作。 ### 1.1 Oracle数据库体系结构 ...
MATLAB算法实战应用案例精讲-【人工智能】同态加密(概念篇)(附python和MATLAB代码实现)
最新发布
qq_36130719的博客
08-18 383
同态加密是数据加密方式的一种,特点是允许数据在加密情况下实现数学或者逻辑运算,对密文直接进行处理得到的结果和对明文进行处理再加密得到的结果相同,即“先加密后计算”和“先计算再加密”效果是一样的。同态加密优势在于用户在数据加密的情形下仍能对特定的加密数据进行分析和检索,提高了数据处理的效率,保证了数据安全传送,并且正确的加密数据仍能得到正确的解密结果。由于这个良好的性质,企业和个人可以委托第三方对数据进行处理而不泄露信息,进而实现了数据的“可用不可见”。
深入理解Oracle 12c数据库管理 笔记
cteng的专栏
10-22 3239
深入理解Oracle 12c数据库管理 跳转至: 导航、 搜索 目录 1 安装Oracle2 实现数据库3 配置高效环境4 表空间和数据文件5 管理控制文件、联机重做日志和归档6 用户账号和基本安全7 表和约束8 索引9 视图、同义词和序列10 数据字典的基本结构11 大对象12 分区:分而治之13 数据泵14 外部
TDE加密
qq_40066204的博客
09-12 464
SQL> ALTER SYSTEM SET ENCRYPTION KEY AUTHENTICATED BY "ljc123"; System altered. SQL> alter system set wallet close authenticated by "ljc123"; System altered. 对数据库中表的某一列或者几列进行加密。 oracle 11g wallet默认保存目录:select * from v$encryption_wallet; SQL&g.
实验:透明数据加密 (TDE) 技术的初步实践
蓝多多的小仓库
03-14 451
这种加密使用数据库加密密钥 (DEK),该密钥存储在数据库引导记录中以供恢复时使用。DEK 是使用存储在服务器的 master 数据库中的证书保护的对称密钥,或者是由 EKM 模块保护的非对称密钥。[1]姜宇泽,陈诗洋.数据安全技术发展现状及挑战解析[J].通信世界,2021,No.870(08):17-19.DOI:10.13571/j.cnki.cww.2021.08.006.[2]黄振涛,何暖,付安民等.基于透明加密的移动终端数据防泄露系统[J].通信学报,2016,37(S1):189-196.
tde数据库加密_如何在TDE加密数据库上配置SQL Server镜像
culuo4781的博客
07-21 446
tde数据库加密 Securing and encrypting sensitive data stored in your production databases is a big concern, especially the databases storing the organization’s financial data and customers’ confidential ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值