Oracle数据库加密技术介绍
Oracle Database Advanced Security
透明数据加密最佳实践
目 录
HYPERLINK \l "_TOC_250021" 引言1
HYPERLINK \l "_TOC_250020" 重要概念1
HYPERLINK \l "_TOC_250019" SPARC T4 和 Intel 提供的硬件加密加速3
HYPERLINK \l "_TOC_250018" 在 Oracle Enterprise Manager 中管理透明数据加密3
HYPERLINK \l "_TOC_250017" 透明数据加密和 Oracle Database Vault4
HYPERLINK \l "_TOC_250016" 透明数据加密密钥架构4
HYPERLINK \l "_TOC_250015" 密钥生成和备份4
HYPERLINK \l "_TOC_250014" 密钥交换/轮换5
HYPERLINK \l "_TOC_250013" TDE 钱包管理5
HYPERLINK \l "_TOC_250012" 目录和文件权限5
HYPERLINK \l "_TOC_250011" 避免意外删除 TDE 钱包6
HYPERLINK \l "_TOC_250010" (本地)自动打开式钱包与加密钱包7
HYPERLINK \l "_TOC_250009" 强钱包口令7
HYPERLINK \l "_TOC_250008" 了解有关钱包口令的拆分8
HYPERLINK \l "_TOC_250007" 更改钱包口令9
HYPERLINK \l "_TOC_250006" 同一个主机上的多个数据库9
HYPERLINK \l "_TOC_250005" TDE 表空间加密10
HYPERLINK \l "_TOC_250004" 经过 TDE 表空间加密认证的管理软件10
HYPERLINK \l "_TOC_250003" 将应用程序数据移至加密表空间10
HYPERLINK \l "_TOC_250002" Oracle Database 11gR1 中的表空间重新设定密钥限制11
HYPERLINK \l "_TOC_250001" TDE 列加密12
HYPERLINK \l "_TOC_250000" 经过 TDE 列加密认证的 Oracle 管理软件12
识别敏感列13
加密索引列13
减少存储开销14
加密 GB 级表和 TB 级表中的列15
禁用并重新启用透明数据加密15
TDE 表空间加密还是 TDE 列加密?15
加密数据的明文副本16
查证17
Oracle Data Guard17
物理备用数据库17
逻辑备用数据库18
Oracle Streams18
Active Data Guard18
Oracle 透明数据加密和 Oracle GoldenGate19
Oracle GoldenGate 和具有(本地)自动打开式钱包的 TDE19
Oracle 透明数据加密和 Oracle RMAN19
Real Application Clusters (RAC)20
Oracle RAC 中的 Oracle Wallet 管理20
使用 ACFS 访问控制保护 Oracle Wallet21
Oracle 数据库机24
Exadata 数据库云服务器24
PAGE
PAGE 4
引言
本文介绍使用 Oracle Advanced Security 透明数据加密 (TDE) 的最佳实践。Oracle Advanced Security TDE 能够对存储介质上的敏感应用程序数据进行加密,且该操作对应用程序本身是完全透明的。TDE 负责处理与私有及公有数据的隐私和安全要求(如
PCI 和 California SB1386)有关的加密需求。Oracle Advanced Security TDE 列加密是在 Oracle Database 10g 第 2 版中引入的,支持对包含信用卡号或社会保险号的应用程序表列进行加密。Oracle Advanced Security TDE 表空间加密是在 Oracle Database
11gR1 中引入的。
重要概念
主加密密钥 — 对用于列加密和表空间加密的辅助数据加密密钥进行加密的加密密钥。主加密密钥是 Oracle Advanced Security 双层密钥架构的一部分。
统一的主密钥 — 在 Oracle Database 11g 第 2 版中,首次执行重新设定密钥操作后会生成统一的主