Oracle数据库中的数据加密

Oracle数据库中的数据加密 / Oracle数据库DES加密

有个需求，需要对某些敏感信息字段进行脱敏，要求在数据库中不能显示明文。如果目的侧重保护数据而非脱敏的话，可以考虑用表空间透明数据加密（TDE），不过现在是需要对字段内容脱敏，则读取和存储都要是加密后的密文数据。

增量数据好说，后台代码实现即可。但存量数据如果也要后台与数据库交互进行加密的话，且不说IO的消耗，就先查再改，无论单条还是分批，在数十、百万的数据量下估计需要很长时间。那就要考虑在数据库里用PL/SQL做存量数据的加密操作。

Oracle中的加密函数

Oracle的PL/SQL包中有提供相关的函数。

PL/SQL包类官方文档（10.2版本）：Database PL/SQL Packages and Types Reference - Contents (oracle.com)

版本在10g之前的话，只能使用DBMS_OBFUSCATION_TOOLKIT这个包来加密，这个包只支持DES和3DES算法，且只有CBC模式，还要手动补位；而在10g以及更高的版本中，则能使用DBMS_CRYPTO包，这个包的加密算法更加丰富，DES、3DES、 AES、RC4、3DES_2KEY等算法和CBC、CFB、ECB、OFB模式，也提供补位，使用起来更简单。

DBMS_CRYPTO和DBMS_OBFUSCATION_TOOLKIT的特性对比

Package Feature	DBMS_CRYPTO	DBMS_OBFUSCATION_TOOLKIT
Cryptographic algorithms	DES, 3DES, AES, RC4, 3DES_2KEY	DES, 3DES
Padding forms	PKCS5, zeroes	none supported
Block cipher chaining modes	CBC, CFB, ECB, OFB	CBC
Cryptographic hash algorithms	MD5, SHA-1, MD4	MD5
Keyed hash (MAC) algorithms	HMAC_MD5, HMAC_SH1	none supported
Cryptographic pseudo-random number generator	RAW, NUMBER, BINARY_INTEGER	RAW, VARCHAR2
Database types	RAW, CLOB, BLOB	RAW, VARCHAR2

DBMS_OBFUSCATION_TOOLKIT

使用该包的加密函数需要手动实现补位，同时也只有CBC模式。以使用DES加密为例，自定义一个函数实现输入明文字符串，输出DES/CBC/PKCS5加密并Base64编码后的密文字符串。

根据文档提供的函数定义，选用第一种。

DBMS_OBFUSCATION_TOOLKIT.DESEncrypt(
   input         IN  RAW,
   key           IN  RAW)
  RETURN RAW;

DBMS_OBFUSCATION_TOOLKIT.DESEncrypt(
   input_string  IN  VARCHAR2,
   key_string    IN  VARCHAR2)
  RETURN VARCHAR2;

因为加密的数据含中文，一个汉字占两个字节，而数字英文占一个字节，VARCHAR2类型直接进行长度判断补位不对，需要转为RAW类型按字节长度判断，所以直接以RAW类型传参。

Oracle中可以使用UTL_I18N.STRING_TO_RAW或UTL_RAW.CAST_TO_RAW来将VARCHAR2类型转为RAW类型。

将明文字符串转成二进制数据类型RAW，然后判断其长度进行PKCS5方式的补位（该补位方法是缺几位就补几位的“几”以满足八的倍数结果，如果一开始已满足，也要加八位的八），密钥也需要转换为RAW格式。DES密钥为64位，即需要8字节的输入，小于8字节会报错，大于的部分会被忽略。

密钥这里我在函数中定义了（应该提出来作为入参，提高安全性）。因为BASE64_ENCODE进行编码的时候，输入的字节数多的话会自动添加换行符，所以做了一个去除处理。

create or replace function encrypt_des(input_str varchar2) return varchar2
    is
    enc_str    varchar2(256);
    pad_length NUMBER(1);
    pad_byte   RAW(1);
    raw_input  RAW(512);
    raw_key    RAW(16);
    enc_raw    RAW(1024);
begin
    if input_str is null
    then
        return input_str;
    else
        raw_input := UTL_RAW.CAST_TO_RAW(input_str);
        -- padding: pad n with n lacking n length
        pad_length := (8 - MOD(UTL_RAW.LENGTH(raw_input), 8));
        pad_byte := TO_SINGLE_BYTE(pad_length);
        while pad_length > 0
            loop
                raw_input := UTL_RAW.CONCAT(raw_input, pad_byte);
                pad_length := pad_length - 1;
            end loop;
        -- key setting
        raw_key := UTL_RAW.CAST_TO_RAW('keytests');
        enc_raw := DBMS_OBFUSCATION_TOOLKIT.DESENCRYPT(input => raw_input, key => raw_key);
        -- remove line break
        enc_str := UTL_RAW.CAST_TO_VARCHAR2(REPLACE(UTL_ENCODE.BASE64_ENCODE(enc_raw), '0D0A', ''));
        return enc_str;
    end if;
end;
/

DBMS_CRYPTO

使用此包需要向调用的用户授予权限。

以SYSDBA用户登录后：

$ sqlplus / as sysdba

授予权限：

GRANT EXECUTE ON DBMS_CRYPTO TO USER_NAME;

加密函数语法：

DBMS_CRYPTO.ENCRYPT(
   src IN RAW,
   typ IN PLS_INTEGER,
   key IN RAW,
   iv  IN RAW          DEFAULT NULL)
 RETURN RAW;

使用该包的加密函数，就不需要手动补位了，只要选择好想实现加密算法、加密模式和补位的模式即可。因此自定的函数式为输入的字符串做RAW类型的转换并加密和base64编码的实现。

create or replace function crypto_des(input_str varchar2) return varchar2
    is
    enc_str  varchar2(256);
    raw_key  RAW(16);
    enc_raw  RAW(1024);
    enc_type PLS_INTEGER := -- total encryption type
            DBMS_CRYPTO.ENCRYPT_DES
            + DBMS_CRYPTO.CHAIN_CBC
            + DBMS_CRYPTO.PAD_PKCS5;
begin
    if input_str is null
    then
        return input_str;
    else
        -- key setting
        raw_key := UTL_RAW.CAST_TO_RAW('keytests');
        enc_raw := DBMS_CRYPTO.ENCRYPT(UTL_RAW.CAST_TO_RAW(input_str), enc_type, raw_key);
        -- remove line break
        enc_str := UTL_RAW.CAST_TO_VARCHAR2(REPLACE(UTL_ENCODE.BASE64_ENCODE(enc_raw), '0D0A', ''));
        return enc_str;
    end if;
end;
/

也可以直接一条SQL实现：

select UTL_RAW.CAST_TO_VARCHAR2(UTL_ENCODE.BASE64_ENCODE(DBMS_CRYPTO.ENCRYPT(UTL_RAW.CAST_TO_RAW('测试一下123abc'), 4353, UTL_RAW.CAST_TO_RAW('keytests')))) as test from dual;

4353是DES/CBC/PKCS5加密方式的数字代码。因为PL/SQL中的常量不能直接在SQL中使用，而需要在PL/SQL块中使用，所以把4353换成DBMS_CRYPTO.DES_CBC_PKCS5或是DBMS_CRYPTO.ENCRYPT_DES+ DBMS_CRYPTO.CHAIN_CBC+ DBMS_CRYPTO.PAD_PKCS5的话会报错。

Java中相应的加解密

RFC 822规定中Base64编码后每76个字符需要加一个换行符。一些旧包编码后会带换行符，如sun.mis（效率也不太好）。

JDK1.8可以直接用自带的java.util.Base64包，不会有换行符。

这里示例Base64编码包是commons-codec的，该包编码后不会有换行符。

public static final String KEY = "keytests";

public static String encrypt(String inputStr) {
    if (null != inputStr && !"".equals(inputStr)) {
        try {
            DESKeySpec desKey = new DESKeySpec(KEY.getBytes());
            SecretKey secretKey = SecretKeyFactory.getInstance("DES").generateSecret(desKey);
            Cipher cipher = Cipher.getInstance("DES/CBC/PKCS5Padding");
            cipher.init(Cipher.ENCRYPT_MODE, secretKey, new IvParameterSpec(new byte[8]));
            byte[] encryptedBytes = cipher.doFinal(inputStr.getBytes());
            return Base64.encodeBase64String(encryptedBytes);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    return inputStr;
}

public static String decrypt(String encryptedStr){
    if (null != encryptedStr && !"".equals(encryptedStr)) {
        try {
            // encryptStr = encryptStr.replace("\r\n","");
            DESKeySpec desKey = new DESKeySpec(KEY.getBytes());
            SecretKey secretKey = SecretKeyFactory.getInstance("DES").generateSecret(desKey);
            Cipher cipher = Cipher.getInstance("DES/CBC/PKCS5Padding");
            cipher.init(Cipher.DECRYPT_MODE, secretKey, new IvParameterSpec(new byte[8]));
            byte[] decryptBytes = cipher.doFinal(Base64.decodeBase64(encryptedStr));
            return new String(decryptBytes);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    return encryptedStr;
}