oracle加密技术,Oracle数据库加密技术介绍.docx

Oracle数据库加密技术介绍

Oracle Database Advanced Security

透明数据加密最佳实践

目 录

HYPERLINK \l "_TOC_250021" 引言1

HYPERLINK \l "_TOC_250020" 重要概念1

HYPERLINK \l "_TOC_250019" SPARC T4 和 Intel 提供的硬件加密加速3

HYPERLINK \l "_TOC_250018" 在 Oracle Enterprise Manager 中管理透明数据加密3

HYPERLINK \l "_TOC_250017" 透明数据加密和 Oracle Database Vault4

HYPERLINK \l "_TOC_250016" 透明数据加密密钥架构4

HYPERLINK \l "_TOC_250015" 密钥生成和备份4

HYPERLINK \l "_TOC_250014" 密钥交换/轮换5

HYPERLINK \l "_TOC_250013" TDE 钱包管理5

HYPERLINK \l "_TOC_250012" 目录和文件权限5

HYPERLINK \l "_TOC_250011" 避免意外删除 TDE 钱包6

HYPERLINK \l "_TOC_250010" (本地)自动打开式钱包与加密钱包7

HYPERLINK \l "_TOC_250009" 强钱包口令7

HYPERLINK \l "_TOC_250008" 了解有关钱包口令的拆分8

HYPERLINK \l "_TOC_250007" 更改钱包口令9

HYPERLINK \l "_TOC_250006" 同一个主机上的多个数据库9

HYPERLINK \l "_TOC_250005" TDE 表空间加密10

HYPERLINK \l "_TOC_250004" 经过 TDE 表空间加密认证的管理软件10

HYPERLINK \l "_TOC_250003" 将应用程序数据移至加密表空间10

HYPERLINK \l "_TOC_250002" Oracle Database 11gR1 中的表空间重新设定密钥限制11

HYPERLINK \l "_TOC_250001" TDE 列加密12

HYPERLINK \l "_TOC_250000" 经过 TDE 列加密认证的 Oracle 管理软件12

识别敏感列13

加密索引列13

减少存储开销14

加密 GB 级表和 TB 级表中的列15

禁用并重新启用透明数据加密15

TDE 表空间加密还是 TDE 列加密？15

加密数据的明文副本16

查证17

Oracle Data Guard17

物理备用数据库17

逻辑备用数据库18

Oracle Streams18

Active Data Guard18

Oracle 透明数据加密和 Oracle GoldenGate19

Oracle GoldenGate 和具有(本地)自动打开式钱包的 TDE19

Oracle 透明数据加密和 Oracle RMAN19

Real Application Clusters (RAC)20

Oracle RAC 中的 Oracle Wallet 管理20

使用 ACFS 访问控制保护 Oracle Wallet21

Oracle 数据库机24

Exadata 数据库云服务器24

PAGE

PAGE 4

引言

本文介绍使用 Oracle Advanced Security 透明数据加密 (TDE) 的最佳实践。Oracle Advanced Security TDE 能够对存储介质上的敏感应用程序数据进行加密，且该操作对应用程序本身是完全透明的。TDE 负责处理与私有及公有数据的隐私和安全要求(如

PCI 和 California SB1386)有关的加密需求。Oracle Advanced Security TDE 列加密是在 Oracle Database 10g 第 2 版中引入的，支持对包含信用卡号或社会保险号的应用程序表列进行加密。Oracle Advanced Security TDE 表空间加密是在 Oracle Database

11gR1 中引入的。

重要概念

主加密密钥 — 对用于列加密和表空间加密的辅助数据加密密钥进行加密的加密密钥。主加密密钥是 Oracle Advanced Security 双层密钥架构的一部分。

统一的主密钥 — 在 Oracle Database 11g 第 2 版中，首次执行重新设定密钥操作后会生成统一的主