关于oracle的TDE的一点简单测试

已于 2023-05-13 10:51:52 修改
阅读量310 收藏
点赞数
分类专栏: orale 文章标签: oracle 数据库 java
于 2023-05-13 03:20:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wgz7747147820/article/details/130653041
版权 
v$encryption_wallet这个视图是用来显示TDE的keystore的状态的
status那一列显示的是auto login keystore的状态,而不是TDE的keystore的状态,如果auto login keystore存在的话。
我们做下下面的测试
首先设置wallet_root这个参数
SQL> alter system set wallet_root='/u01/app/v1/oradata/cdb3/wallet' scope=spfile sid='*';

System altered.
设置完后重启这个cdb
[Fri May 12 14:56:53][10898][oracle@nshqae01adm01:/u01/app/orabase/21c/dbhome1/bin][0]$ date;./srvctl stop database -d cdb3;date;
Fri May 12 14:57:00 EDT 2023
Fri May 12 14:57:38 EDT 2023
[Fri May 12 14:57:38][10898][oracle@nshqae01adm01:/u01/app/orabase/21c/dbhome1/bin][0]$ date;./srvctl start database -d cdb3;date;
Fri May 12 14:57:44 EDT 2023
Fri May 12 14:58:05 EDT 2023

设置tde_configuration这个参数
SQL> alter system set tde_configuration='keystore_configuration=file' scope=both sid='*';

System altered.
查看v$encryption_wallet这个视图,因为我们还没有创建keystore,所以这个status显示not_awailable

SQL> select * from v$encryption_wallet;

WRL_T WRL_PARAMETER                            STATUS               WALLET_TYPE          WALLET_OR KEYSTORE FULLY_BAC     CON_ID
----- ---------------------------------------- -------------------- -------------------- --------- -------- --------- ----------
FILE  /u01/app/v1/oradata/cdb3/wallet/tde/     NOT_AVAILABLE        UNKNOWN              SINGLE    NONE     UNDEFINED          1
FILE                                           NOT_AVAILABLE        UNKNOWN              SINGLE    UNITED   UNDEFINED          2
FILE                                           NOT_AVAILABLE        UNKNOWN              SINGLE    UNITED   UNDEFINED          3

下面创建keystore
SQL> administer key management create keystore identified by cdb3;

keystore altered.
创建之后状态显示为closed
SQL> select * from v$encryption_wallet;

WRL_T WRL_PARAMETER                            STATUS               WALLET_TYPE          WALLET_OR KEYSTORE FULLY_BAC     CON_ID
----- ---------------------------------------- -------------------- -------------------- --------- -------- --------- ----------
FILE  /u01/app/v1/oradata/cdb3/wallet/tde/     CLOSED               UNKNOWN              SINGLE    NONE     UNDEFINED          1
FILE                                           CLOSED               UNKNOWN              SINGLE    UNITED   UNDEFINED          2
FILE                                           CLOSED               UNKNOWN              SINGLE    UNITED   UNDEFINED          3

运行下面的命令open这个keystore之后,会显示状态为open_no_master_key
SQL> administer key management set keystore open identified by cdb3;

keystore altered.

SQL> select * from v$encryption_wallet;

WRL_T WRL_PARAMETER                            STATUS               WALLET_TYPE          WALLET_OR KEYSTORE FULLY_BAC     CON_ID
----- ---------------------------------------- -------------------- -------------------- --------- -------- --------- ----------
FILE  /u01/app/v1/oradata/cdb3/wallet/tde/     OPEN_NO_MASTER_KEY   PASSWORD             SINGLE    NONE     UNDEFINED          1
FILE                                           CLOSED               UNKNOWN              SINGLE    UNITED   UNDEFINED          2
FILE                                           CLOSED               UNKNOWN              SINGLE    UNITED   UNDEFINED          3

将keystore关闭掉
SQL> administer key management set keystore close identified by cdb3 container=all;

keystore altered.
SQL> select * from v$encryption_wallet;

WRL_T WRL_PARAMETER                            STATUS               WALLET_TYPE          WALLET_OR KEYSTORE FULLY_BAC     CON_ID
----- ---------------------------------------- -------------------- -------------------- --------- -------- --------- ----------
FILE  /u01/app/v1/oradata/cdb3/wallet/tde/     CLOSED               UNKNOWN              SINGLE    NONE     UNDEFINED          1
FILE                                           CLOSED               UNKNOWN              SINGLE    UNITED   UNDEFINED          2
FILE                                           CLOSED               UNKNOWN              SINGLE    UNITED   UNDEFINED          3

下面创建auto login keystore
SQL> administer key management create auto_login keystore from keystore identified by cdb3;

keystore altered.
创建auto login keystore之后,会在keystore所在的目录增加一个文件 cwallet.sso
[Fri May 12 15:10:01][42770][oracle@nshqae01adm01:/u01/app/v1/oradata/cdb3/wallet/tde][0]$ ls
cwallet.sso  ewallet.p12
因为每次查询v$encryption_wallet会自动登录那个auto login keystore,而这个时候v$encryption_wallet显示的是auto login keystore的状态,而不是TDE的那个keystore的状态了。所以只要有auto login keystore,则status肯定是open状态的,不能真正显示tde keystore的状态了

SQL> select * from v$encryption_wallet;

WRL_T WRL_PARAMETER                            STATUS               WALLET_TYPE          WALLET_OR KEYSTORE FULLY_BAC     CON_ID
----- ---------------------------------------- -------------------- -------------------- --------- -------- --------- ----------
FILE  /u01/app/v1/oradata/cdb3/wallet/tde/     OPEN_NO_MASTER_KEY   AUTOLOGIN            SINGLE    NONE     UNDEFINED          1
FILE                                           OPEN_NO_MASTER_KEY   AUTOLOGIN            SINGLE    UNITED   UNDEFINED          2
FILE                                           OPEN_NO_MASTER_KEY   AUTOLOGIN            SINGLE    UNITED   UNDEFINED          3

貌似administer key management 语句没有删除keystore的语句,所以对于这个auto login keystore,我们可以直接删除那个文件,就算删除这个auto login keystore了
删除了auto login keystore,v$encryption_wallet里面的status就可以显示keystore的状态了,但是需要退出并重新connect sqlplus来查看keystore的状态

备份keystore

SQL> administer key management backup keystore using 'test' identified by cdb3 to '/tmp/';

keystore altered.
[Fri May 12 20:45:30][110010][oracle@nshqae01adm03:/tmp][0]$ ls -al *wallet*
-rw------- 1 oracle oinstall 5259 May 12 20:44 ewallet_2023051300445507_test.p12

将一个pdb的keystore 模式从united转换成isolated模式
pdb的名字为cdb3pdb10001 con_id为3

在没有转化之前,可以看出keystore_mode为united,并且tde_configuration这个参数的值也为空

SQL> select * from v$encryption_wallet;
WRL_TYPE   WRL_PARAMETER                            STATUS               WALLET_TYP WALLET_OR KEYSTORE FULLY_BAC     CON_ID
---------- ---------------------------------------- -------------------- ---------- --------- -------- --------- ----------
FILE       /u01/app/v1/oradata/cdb3/wallet/tde/     OPEN_NO_MASTER_KEY   AUTOLOGIN  SINGLE    NONE     UNDEFINED          1
FILE                                                OPEN_NO_MASTER_KEY   AUTOLOGIN  SINGLE    UNITED   UNDEFINED          2
FILE                                                OPEN_NO_MASTER_KEY   AUTOLOGIN  SINGLE    UNITED   UNDEFINED          3
SQL> show parameter tde_con;

NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
tde_configuration                    string
运行下面的命令将这个pdb的keystore从united转化为isolated模式

SQL> administer key management isolate keystore identified by cdb3pdb10001 from root keystore identified by cdb3 with backup;

keystore altered.
转化后从这个pdb里面查询这个pdb的tde_configuration参数,就发现已经有值了
SQL> show parameter tde_con;

NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
tde_configuration                    string      KEYSTORE_CONFIGURATION=FILE
SQL> select * from v$encryption_wallet;
WRL_TYPE   WRL_PARAMETER                            STATUS               WALLET_TYP WALLET_OR KEYSTORE FULLY_BAC     CON_ID
---------- ---------------------------------------- -------------------- ---------- --------- -------- --------- ----------
FILE       /u01/app/v1/oradata/cdb3/wallet/tde/     OPEN                 AUTOLOGIN  SINGLE    NONE     NO                 1
FILE                                                OPEN                 AUTOLOGIN  SINGLE    UNITED   NO                 2
FILE       /u01/app/v1/oradata/cdb3/wallet/FB48ED0B OPEN                 PASSWORD   SINGLE    ISOLATED NO                 3

新建一个pdb,并且这个pdb采用isolated mode的keystore

SQL> create pluggable database cdb3pdb10002 admin user pdbadmin identified by cdb3;

Pluggable database created.

SQL> alter pluggable database cdb3pdb10002 open read write instances=all;

Pluggable database altered.

SQL> alter pluggable database cdb3pdb10002 save state instances=all;

Pluggable database altered.

SQL> alter session set container=cdb3pdb10002;

Session altered.

SQL> column wrl_type format a10
column wrl_parameter format a40
column status format a20
column wallet_type format a10
set linesize 180
SQL> SQL> SQL> SQL> SQL>
SQL> select * from v$encryption_wallet;

WRL_TYPE   WRL_PARAMETER                            STATUS               WALLET_TYP WALLET_OR KEYSTORE FULLY_BAC     CON_ID
---------- ---------------------------------------- -------------------- ---------- --------- -------- --------- ----------
FILE                                                OPEN_NO_MASTER_KEY   PASSWORD   SINGLE    UNITED   UNDEFINED          4

SQL> alter system set tde_configuration='keystore_configuration=file' scope=both sid='*';
alter system set tde_configuration='keystore_configuration=file' scope=both sid='*'
*
ERROR at line 1:
ORA-32017: failure in updating SPFILE
ORA-46715: The keystore of the PDB is not in a closed state on all instances.
Help: https://docs.oracle.com/error-help/db/ora-32017/
碰到上面这个问题的原因是因为auto login keystore存在,所以总是报这个错误,把auto logoin keystore删除掉之后,然后再重启cdb,就不会再出现这个问题了
从我尝试的情况看,对于ORA-46715的解决只有一个方法,那就是删除auto login keystore然后重启数据库,貌似没有别的办法了

SQL> alter session set container=cdb3pdb10002;

Session altered.

SQL> administer key management create keystore identified by cdb3pdb10002;

keystore altered.
SQL> administer key management set keystore open identified by cdb3pdb10002;

keystore altered.
SQL> administer key management set key identified by cdb3pdb10002 with backup;

keystore altered.

SQL> select * from v$encryption_wallet;

WRL_TYPE   WRL_PARAMETER                            STATUS               WALLET_TYP WALLET_OR KEYSTORE FULLY_BAC     CON_ID
---------- ---------------------------------------- -------------------- ---------- --------- -------- --------- ----------
FILE       /u01/app/v1/oradata/cdb3/wallet/FB890F35 OPEN                 PASSWORD   SINGLE    ISOLATED NO                 4
           38504AFDE053E5445B0A8F18/tde/

将一个pdb的keystore模式从united模式改为isolated 模式有两种途径,一种就是上面采用的alter system set tde_configuration这种方式来实现,这种方式实现起来比较麻烦,还是下面这种使用administer key management isolate keystore这个方式比较简单

SQL> create pluggable database cdb3pdb10003 admin user pdbadmin identified by cdb3;

Pluggable database created.

SQL> alter pluggable database cdb3pdb10003 open read write instances=all;

Pluggable database altered.

SQL> alter pluggable database cdb3pdb10003 save state instances=all;

Pluggable database altered.
SQL> administer key management set key force keystore identified by cdb3 with backup;

keystore altered.
SQL> administer key management isolate keystore identified by cdb3pdb10003 from root keystore force keystore identified by cdb3 with backup;

keystore altered.
wgz7747147820
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【数据安全】Oracle 透明数据加密(TDE) 完整操作手册
03-17
以下是关于TDE的详细说明: 1. **透明数据加密的类型**: - **TDE 列加密**:只加密选定的表列,适用于针对特定字段的隐私保护。 - **TDE 表空间加密**:加密整个表空间的所有数据,提供全面的数据保护。 2. **...
Oracle的高级安全功能FAQ,包含TDE
12-29
Oracle Advanced Security Transparent Data Encryption (TDE) Frequently Asked Questions (FAQ)
Oracle TDE 加密测试
zll4859291的博客
03-30 604
默认位置:在ORACLE_BASE/admin/$ORACLE_SID/目录下创建文件夹wallet(如果没有创建)指定位置:在 $ORACLE_HOME/network/admin 下的 sqlnet.ora中设 置 ENCRYPTION_WALLET_LOCATION 参数,FILE_NAME_CONVERT = (' /u01/oracle/db/data/CDB/TEST/datafile', ' /u01/oracle/db/data/CDB/TEST/datafile/enc');
ORACLE 加密(TDE) 对字段加密测试
cri5768的博客
08-05 179
ORACLE TDE(Transparent Data Encryption) 参考http://space.itpub.net/17203031/view...
mysql tde_Oracle TDE 简单测试 – 提供7*24专业数据库(Oracle,SQL Server,MySQL等)恢复和Oracle技术服务@Tel:+86 13429648788 -...
weixin_32342535的博客
02-17 243
ORACLE 10.2开始提供了一个新的特性,让你只需要做如下动作:你可以不写一行代码,只需要声明你需要加密某列。当用户插入数据的时候,数据库透明的加密数据然后存储加密后的数据。同样的,当用户读取数据时,数据库自动进行节目。由于加解密操作对应用程序来说都是透明的,不需要应用程序修改代码,因此这个特性就叫做:透明数据加密(TDE)。TDE实施sqlnet.ora中增加ENCRYPTION_WALL...
Oracle LiveLabs实验:DB Security - Transparent Data Encryption (TDE)
In-Memory Computing Technology
04-05 842
概述 此实验申请地址在这里,时间为2小时。 实验帮助在这里。 本实验使用的数据库为19.13。 Introduction 本研讨会介绍 Oracle 透明数据加密 (TDE) 的各种特性和功能。 它使用户有机会学习如何配置这些功能以加密敏感数据。 目标 如果需要,对数据库进行冷备份以启用数据库恢复 在数据库中启用透明数据加密 使用透明数据加密加密数据 Task 1: Allow DB Restore 此步骤是了后续将数据库恢复为未加密状态。 进入实验目录: sudo su - oracle cd $D
Oracle透明数据加密(TDE)真实环境使用分析
苏南生的CSDN博客
05-25 9250
23.2.13使用透明数据加密(TDE) 从Oracle数据库1Og的R2版本开始,一个叫做透明数据加密(TDE)的特性让数据加密变得极其容易。我们所需要做的就是把某列声明成加密的,剩下的全部由Oracle完成。当用户输入数据时,列值会被截获、加密,然后用加密后的格式保存。然后,当这一列被查询时,又会自动对列值进行解密,然后把解密后的文本(明文)返回给用户。用户甚至都不需要知道发生过加密和解
ORACLE 透明数据加密技术(TDE
04-08
Oracle 透明数据加密技术(TDE)是一种在Oracle数据库10g R2版本中引入的安全特性,它允许数据库在不改变应用程序逻辑的情况下对敏感数据进行加密。TDE的主要目标是保护存储在数据库中的数据,使其在磁盘上以密文...
TDE.rar_TDE_TDE源代码
09-23
标题中的"TDE.rar_TDE_TDE源代码"表明这是一个关于TDE编辑器的源代码压缩包,其中可能包含了实现TDE功能的所有源码文件。TDE(Text Data Editor)是一款流行于Unix、DOS和Win32平台的文本编辑器,因其强大的功能和对...
Oracle客户端19
最新发布
07-07
Oracle客户端19是Oracle数据库与用户之间交互的重要组件,它提供了连接到Oracle服务器、执行SQL查询、处理结果集以及管理数据库连接的工具和接口。在本文中,我们将深入探讨Oracle客户端19的关键特性、功能、安装...
oracle tde技术,ORACLE TDE 透明数据加密技术
weixin_42506994的博客
04-03 497
从ORALE 10GR2开始出现透明数据加密技术(Transparent Data Encryption,TDE)TDE用来对数据加密,通常SQL执行的应用程序逻辑不需要进行更改,仍能正常运行。换言之,应用程序可以使用同一语法将数据插入到应用程序表中,并且Oracle数据库在将信息写入磁盘之前将自动对数据进行加密。随后的选择操作将透明地解密数据,因此应用程序将继续正常地运行。这一点很重要,因为当前...
Oracle数据安全解决方案——透明数据加密技术TDE
cuanyueju1441的博客
07-12 450
Transparent Data Encryption透明加密技术是Oracle在10g版本之后推出的数据层加密技术。核心概念是借助外置于数据库的加密文件,对数据表列乃至表空间等多层次进行加密。这种技术对存储在数据库中的敏感信息...
Oracle实战整理篇
DOONDO的技术窝
09-05 4212
前前后后也有好几个项目用的Oracle,今天抽空把Oralce的一些知识整理一下: 目录 一、Oralce数据库的理解 二、Oracle数据库表的管理及常用的执行语句 三、Oracle视图、索引、pl/sql基本语法、存储过程及函数、触发器 一、Oralce数据库的理解 1.数据库Oracle 数据库是数据的物理存储。这就包括(数据文件ORA或者 DBF、控制文件、联机日...
Oracle 11g 使用TDE及ORA-28362
关注系统性能调优
04-13 1829
作用:防止丢失介质后会被别人读取到数据。在wallet打开的情况下,使用sql语句查询实际上是没有限制的。 1.设定wallet的位置F:\app\Administrator\product\11.2.0\dbhome_1\NETWORK\ADMIN\sqlnet.ora,数据库需要重启 ENCRYPTION_WALLET_LOCATION =    (SOURCE=      (ME
oracle 28011,Oracle 透明数据加密TDE 介绍
weixin_33855578的博客
04-15 509
Oracle透明数据加密TDE 介绍一.TransparentData Encryption (TDE:透明数据加密)说明Orace TDE 是Orcle 10R2中的一个新特性,其可以用来加密数据文件里的数据,保护从操作系统层面上对数据文件的访问。11g的TDE 在10gR2的基础上增强,允许在表空间级别进行加密。1.1 11g 中TDE 新增功能一些新增功能可增强透明数据加密(TDE)功能...
新建pdb的tde状态不对open_no_master_key如何处理
wgz7747147820的博客
09-11 568
在我们配置完TDE之后,创建pdb需要clone从已配置TDE的pdb。如果不从已配置TDE的pdb clone新的pdb,则会出现新建的pdb的TDE状态不对 此为配置完TDE的状态 SQL> select * from v$encryption_wallet; WRL_TYPE WRL_PARAMETER STATUS WALLET_TYPE WALLET_OR KEYSTORE FULLY_BAC CON_ID -------------------- ---
db19数据加密
weixin_39568073的博客
06-02 297
mkdir -p ORACLEBASE/admin/{ORACLE_BASE}/admin/ORACLEB​ASE/admin/{ORACLE_SID}/wallet alter system set WALLET_ROOT=’/u01/app/oracle/admin/oradb/wallet’ scope=spfile; shutdown immediate; startup show parameter wallet show parameter tde alter system set t
如何在TDE环境下配置pdb为isolated mode keystore
wgz7747147820的博客
12-26 189
配置pdb为 isolated mode keystore有两种方式,一种就是 administer key management isolate keystore,这个语句适合于本来这个pdb是处于united mode,并且这个pdb的master encryption key已经创建,并且也已经有数据是用这个master encryption key加密的情况下,由united mode转化为isolated mode 另外一种方式就是在初始创建这个pdb的时候,这个时候这个pdb还没有master
oracle12c rac环境pdb&cdb配置keystore实现表空间加密|oracle12c表空间加密
rede
08-04 814
### Code Reference DESC:oracle12c rac环境pdb&cdb配置keystore实现表空间加密|oracle12c表空间加密 Last Update:2020-7-15 14:45 Snippet:Configuring a Software Keystore Jupyter Code Time:2020-7-19 21:01 Tittle:oracle12c rac环境pdb&cdb配置keystore实现表空间加密|oracle12c表空间加密 Vers

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值