Oracle TDE与Redo日志的关系探索

最新推荐文章于 2021-04-11 08:30:35 发布
最新推荐文章于 2021-04-11 08:30:35 发布
阅读量583 收藏
点赞数
分类专栏: 数据库类 Oracle安全特性 Oracle 文章标签: oracle payment encryption oracle11g system 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liaojiabo/article/details/7916132
版权

TDE与Oracle redo日志相关的总结

 

1 与TDE相关的结论

10g与11g在这上安全方面的实现上还是有一定的差别的,尤其是在表上使用TDE时,11g与redo日志兼容得更好,大家如果想进一步探索其内部的存储,可以使用MyDUL进一步对数据文件进行挖掘,如果数据文件较小,可以用UltraEdit直接编辑查看。

 

A: 10g环境下,表上使用TDE时,用LogMiner分析的redo日志里的内容是"不支持的类型"的,这个可以肯定;

insert into "ACC"."CUST_PAYMENT_INFO"("FIRST_NAME","LAST_NAME","ORDER_NUMBER","CREDIT_CARD_NUMBER","ACTIVE_CARD") 

values ('Chris',Unsupported Type,'10002',Unsupported Type,'YES');

 

B:  表空间上使用TDE时,用LogMiner分析的redo日志里的内容是什以样的,注意,表空间加密只有Oracle11g后才支持。

redo日志里分析出来的内容为:

insert into "UNKNOWN""OBJ# 74132"("COL 1","COL 2","COL 3","COL 4","COL 5") values 

(HEXTORAW('456c6c696f7474'),HEXTORAW('4d65796572'),HEXTORAW('c3020107'),HEXTORAW('333734333636353939373131383230'),HEXTORAW('594553'));

以上数据通过utl_raw.cast_to_number或者utl_raw.cast_to_varchar2能还原为之前的明文数据,但是不能说明这些数据就仅仅是做个转码后就存放了,

因为打开底表空间数据文件时,没有看到明显的字母数字,看不到任何的明文数据。

 

C:在11g下面也同样也在表上去使用了一下TDE,发现用LogMiner分析的redo日志里的内容是

insert into "ACC"."CUST_PAYMENT_INFO"("FIRST_NAME","LAST_NAME","ORDER_NUMBER","CREDIT_CARD_NUMBER","ACTIVE_CARD") 

values ('Chris','Jiabo','10002','2344235235fff','YES');

即跟没有使用TDE时,redo日志里记录的内容相同,用UltraEdit去看了一下表空间数据文件,能明显看到有Chris,即第一个字段未使用TDE字段的信息。

 

2 TDE相关的材料

1)  在表或者表空间上启用TDE

更新 sqlnet.ora 文件以包含一个 ENCRYPTED_WALLET_LOCATION 条目,添加如下内容:

ENCRYPTION_WALLET_LOCATION= (SOURCE=(METHOD=FILE)(METHOD_DATA= (DIRECTORY=E:\oracle\product\10.2.0\db_1)))

 

打开TDE钱夹:

connect /@orcl as sysdba
--打开钱夹并创建万能加密密钥,如果存在钱夹,则重新创建 TDE 的万能密钥,该命令在第一次使用钱夹时使用
alter system set key identified by "fnxjiabo"; 
--关闭钱夹
alter system set wallet close;
--打开钱夹,每次在数据库启动时,钱夹都需要打开,否则使用了TDE的数据将不可用
alter system set wallet open identified by " fnxjiabo";

 

--TDE在表上的定义使用:

create table cust_payment_info 
  (first_name varchar2(11), 
  last_name varchar2(10) ENCRYPT NO SALT
  order_number number(5), 
  credit_card_number varchar2(16) ENCRYPT NO SALT,
  active_card varchar2(3));

 

--使用了TDE的表空间定义,标红语法,只有11g才支持:

CREATE TABLESPACE securespace

DATAFILE 'E:\APP\ADMINISTRATOR\ORADATA\ORA11G\secureTest.dbf'

SIZE 32M AUTOEXTEND ON NEXT 16M MAXSIZE UNLIMITED

LOGGING

ONLINE

PERMANENT

EXTENT MANAGEMENT LOCAL AUTOALLOCATE

BLOCKSIZE 8K

SEGMENT SPACE MANAGEMENT MANUAL

FLASHBACK ON

ENCRYPTION USING 'AES128'

DEFAULT STORAGE(ENCRYPT);

 

 

 

2)  对redo日志的挖掘

--附加日志

alterdatabaseaddsupplementallogdata;

REM select member as LOG_FILE_LOCATION from v$logfile;

 

EXECUTE DBMS_LOGMNR.ADD_LOGFILE('E:\oracle\product\10.2.0\oradata\ljb\redo03.log', DBMS_LOGMNR.NEW);

EXECUTE DBMS_LOGMNR.ADD_LOGFILE('E:\oracle\product\10.2.0\oradata\ljb\redo02.log', DBMS_LOGMNR.ADDFILE);

EXECUTE DBMS_LOGMNR.ADD_LOGFILE('E:\oracle\product\10.2.0\oradata\ljb\redo01.log', DBMS_LOGMNR.ADDFILE);

--prompt start LogMiner:

EXECUTE DBMS_LOGMNR.START_LOGMNR(options => DBMS_LOGMNR.DICT_FROM_ONLINE_CATALOG + DBMS_LOGMNR.COMMITTED_DATA_ONLY);

Spool c:\show.log

select sql_redo from v$logmnr_contents where table_NAME = 'CUST_PAYMENT_INFO'and operation='INSERT';

spool off

 

 


boboSir
关注
专栏目录
Oracle原生加密TDE)实现流程(11g)
qq_50885384的博客
10-31 1701
Oracle原生加密的实现流程,参照官方文档。经过本人在Oracle 11g2 版本实机操作的流程记录
oracle12c 日志分析,Oracle(12c)使用LogMiner分析Redo日志文件
weixin_39835158的博客
04-03 1490
内容:官方文档(https://docs.oracle.com/database/121/SUTIL/GUID-3417B738-374C-4EE3-B15C-3A66E01AE2B5.htm#SUTIL019)Oracle LogMiner是Oracle数据库的一部分,它允许你通过SQL接口在线查询和归档Redo日志文件。Redo日志文件包含关于数据库活动历史的信息。# LogMiner Ben...
Oracle TDE的数据加密示例并用logminer验证加密效果
weixin_33672400的博客
02-14 122
1.确认数据库版本 2创建密钥钱包 3创建加密列的表并初始值 4演示TDE的数据加密示例 5logminer验证加密效果 转载于:https://www.cnblogs.com/myrunning/p/4292049.html...
oracle logminer挖不出数据报In Memory Undo is unsupported
关注系统性能调优
11-04 2433
最近在用logminer进行日志挖掘,无意之中create table test as select * from v$logmnr_contents; 发现其实是有记录的,只是记录的内容无法解析,info字段报In Memory Undo is unsupported这个问题。几经周折,加上附件日志就ok了,下面是实验再现: C:\Documents and Settings\guogang>
Oracle中对列加密的方法
12-22 530
Oracle支持多种列加密方式: 1,透明数据加密(TDE):create table encrypt_col(id int,txt varchar2(100) encrypt using '算法名称' identified ...
oracle信息加密技术,利用ORACLE加密特性保护HIS系统的敏感数据
weixin_30093159的博客
04-03 612
1概述对于ORACLE数据库的联机数据,ORACLE主要采用用户验证、访问控制和审计等技术,提供了多个层次的数据安全保护措施,而且随着数据库版本的更新,这些技术在不断的完善,总体上而言,ORACLE数据库是安全性方面最完备的数据库产品。然而,对于数据库数据文件中的数据和各种数据备份的安全性一直是一个薄弱的环节,窃密者完全可以绕过数据库的安全防护层,不用访问产品数据库,而直接获取数据库文件、数据库逻...
Oracle 11g入门与提高PPT.rar
07-02
Oracle 11g是一款强大的关系型数据库管理系统,由甲骨文公司开发,广泛应用于企业级数据存储、管理和处理。这份“Oracle 11g入门与提高PPT”压缩包文件显然是一个教学资源,旨在帮助初学者理解Oracle 11g的基础知识...
Oracle数据库日志管理大全:掌握策略与最佳实践,提升数据库稳定性
![Oracle数据库日志管理大全:掌握策略与最佳实践,提升数据库稳定性](https://res-static.hc-cdn.cn/cloudbu-site/china/zh-cn/zaibei-521/0603-3/1-02.png) # 1. Oracle数据库日志管理概述 ...REDO日志
oracle dg硬件要求,【干货】生产环境Oracle DG配置
weixin_36275231的博客
04-09 541
以下配置除SID和IP地址不是真实生产环境以外,其余均为生产环境配置。DG原理老生常谈,DG的原理很简单,就是传输日志然后应用日志。它的原理图如下:DG原理图原理图说明:日志传输服务将主库产生的日志数据传到从库。应用服务(Apply Service)验证日志数据,并且更新从库的数据文件。主数据库的写进程更新数据文件,并不依赖于DataGuard架构。当网络或者从库故障恢复时,DG自动重传已经被主库...
Oracle数据库日志配置秘诀:保障数据安全与性能
[Oracle数据库日志配置秘诀:保障数据安全与性能](https://support.huaweicloud.com/bestpractice-dbss/zh-cn_image_0000001401388186.png) # 1. Oracle数据库日志概述** Oracle数据库日志记录系统是用于记录数据库...
Oracle-11g 中使用表空间透明数据加密TDE
weixin_30412013的博客
06-28 196
Oracle-11g 中使用表空间透明数据加密TDE)的限制 TDE 表空间加密方式会在数据读写过程中加解密数据。与在 SQL 层面做加解密的 TDE加密方式相比,其限制要大幅减少。例如:数据类型、索引类型的限制。但 TDE 表空间加密方式仍存在如下限制: (TDE tablespace encryption encrypts/decrypts data during re...
oracle TDE和DBMS_CRYPTO
conglie9094的博客
05-30 265
oracle提供的两种加密方式TDE和DBMS_CRYPTO包 一、DBMS_CRYPTO包(10g以及更高的版本) 这种方法,我们可以建构自己的基础架构,对数据进行加密,灵活性强,但是建构和管理相对TDE就比...
oracle表空间加密
gumengkai的博客
04-12 2402
一.wallet 1.oracle表空间的加密与解密是基于wallet钱包中的密钥进行。 2.wallet是Open状态,可以使用其中的密钥进行加密与解密处理。 3.wallet是close状态时,加密表空间不可用,查询修改和创建都不允许。 4.唯一删除表是不需要密钥的,wallet是open还是close状态都可以进行删除。 二.TDE(transparent data encrypt
oracle tde技术,Oracle TDE 透明数据加密技术
weixin_33507838的博客
04-03 371
从ORALE 10GR2开始出现透明数据加密技术(Transparent Data EncryptionTDE)。TDE用来对数据加密,通常 SQL 执行的应用程序逻辑不需要进行更改,仍能正常运行。 换言之,应用程序可以使用同一语法将数据插入到应用程序表中,并且 Oracle 数据库在将信息写入磁盘之前将自动对数据进行加密。 随后的选择操作将透明地解密数据,因此应用程序将继续正常地运行。 这一点...
Oracle TDE透明加密研究以及测试
Kay的博客
02-14 8812
Oracle TDE(Oracle Transparent Data Encryption) TDE透明数据加密允许用户对各个表列或整个表空间进行加密。当用户向加密的列中插入数据时,透明数据加密会自动对该数据加密。当用户选择该列时,数据将自动解密。选择完毕后,数据将重新加密。 由于透明数据加密在数据库之外的一个安全模块(即,wallet钱夹)中存储加密密钥,因此在存储介质或数据文件丢失时,该功能有...
Oracle数据安全解决方案——透明数据加密TDE
changyanmanman的专栏
06-05 2346
转载:http://www.linuxidc.com/Linux/2011-12/48689.htm
oracle关闭tde,oracle TDE
weixin_39576127的博客
04-11 328
mkdir /u01/app/oracle/oradata/prod1/walletmkstore -wrl /u01/app/oracle/oradata/prod1/wallet -create2更改vi $ORACLE_HOME/network/admin/sqlnet.oraENCRYPTION_WALLET_LOCATION=(SOURCE=(METHOD=FILE)(METHOD_DA...
Oracle TDE的学习
weixin_33911824的博客
01-27 422
TDE的开启和关闭 设置wallet目录,在参数文件sqlnet.ora中,按照下面的格式加入信息 # Oracle Advanced Security Transparent Data Encryption ENCRYPTION_WALLET_LOCATION=(SOURCE=(METHOD=FILE)(METHOD_DATA=(DIRECTORY=/u01/app/oracle/pro...
oracle关闭tde,Oracle TDE 实施中遇到的小问题
weixin_33462804的博客
04-11 276
在创建加密表空间以后,准备将需要加密的table move到加密表空间中时,发现如下对象是曾经drop过的,但是使用purge dba_recyclebin 发现不管用,如下:SQL> select owner,segment_name,segment_type2 from dba_segments3 where segment_name like '{39ecd679003247...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值