【51CTO.COM獨(dú)家翻譯】Oracle 10gR2中引入了透明數(shù)據(jù)加密功能后,大大簡化了加密數(shù)據(jù)文件中的數(shù)據(jù),預(yù)防來自操作系統(tǒng)的訪問,表空間加密擴(kuò)展了這種技術(shù),允許對表空間中的內(nèi)容條目進(jìn)行加密,而不是基于一列一列地配置加密。
創(chuàng)建wallet
設(shè)置表空間加密的環(huán)境與透明數(shù)據(jù)加密的環(huán)境一致,在嘗試創(chuàng)建一個(gè)加密表空間之前,先要?jiǎng)?chuàng)建一個(gè)wallet來保留加密密鑰,按照下面的順序搜索wallet:
1、sqlnet.ora文件中參數(shù)ENCRYPTION_WALLET_LOCATION指定的位置
2、sqlnet.ora文件中參數(shù)WALLET_LOCATION指定的位置
3、wallet默認(rèn)位置($ORACLE_BASE/admin/$ORACLE_SID/wallet)
盡管加密表空間可以共享默認(rèn)的數(shù)據(jù)庫wallet,但Oracle建議你為透明數(shù)據(jù)加密功能單獨(dú)使用一個(gè)wallet,只需要在sqlnet.ora文件中為參數(shù)ENCRYPTION_WALLET_LOCATION指定一個(gè)值即可,我們在sqlnet.ora文件中添加了下面的行,并確保指定的目錄已經(jīng)被創(chuàng)建好了。
ENCRYPTION_WALLET_LOCATION=
(SOURCE=(METHOD=FILE)(METHOD_DATA=
(DIRECTORY=/u01/app/oracle/admin/DB11G/encryption_wallet/)))
這個(gè)參數(shù)也可用于標(biāo)識(shí)硬件安全模型(HSM)作為wallet位置。
下面的命令創(chuàng)建和打開wallet。
CONN sys/password@db11g AS SYSDBA
ALTER SYSTEM SET ENCRYPTION KEY AUTHENTICATED BY "myPassword";
wallet在實(shí)例重啟后必須重新打開才能防止對加密數(shù)據(jù)的訪問。
ALTER SYSTEM SET WALLET OPEN IDENTIFIED BY "myPassword";
ALTER SYSTEM SET WALLET CLOSE;
創(chuàng)建表空間
加密表空間是通過帶有USING子句指定加密算法的ENCRYPTION子句創(chuàng)建的,如果沒有USING子句,默認(rèn)的加密算法是AES128,另外,必須指定default storage(encrypt)子句,表空間加密不允許在TDE(透明數(shù)據(jù)加密)可用的NO SALT選項(xiàng),下面的語句創(chuàng)建了一個(gè)加密表空間,用USING子句明確地指出了加密算法使用AES256。
CREATE TABLESPACE encrypted_ts
DATAFILE '/u01/app/oracle/oradata/DB11G/encrypted_ts01.dbf' SIZE 128K
AUTOEXTEND ON NEXT 64K
ENCRYPTION USING 'AES256'
DEFAULT STORAGE(ENCRYPT);
ALTER USER test QUOTA UNLIMITED ON encrypted_ts;
視圖DBA_TABLESPACES和USER_TABLESPACES中的ENCRYPTED列指出了表空間是否加密。
SELECT tablespace_name, encrypted FROM dba_tablespaces;
TABLESPACE_NAME ENC
------------------------------ ---
SYSTEM NO
SYSAUX NO
UNDOTBS1 NO
TEMP NO
USERS NO
ENCRYPTED_TS YES
6 rows selected.
SQL>
普通表空間是不能轉(zhuǎn)換到加密表空間的,相反,數(shù)據(jù)必須被手工使用導(dǎo)出/導(dǎo)入進(jìn)行轉(zhuǎn)移,“alter table ... move ...”或“create table ... as select * from ...”
測試加密
我們可以創(chuàng)建一些對象測試加密,下面的代碼在加密表空間中創(chuàng)建了一個(gè)表和一個(gè)索引,并在表中插入了一行數(shù)據(jù)。
CONN test/test@db11g
CREATE TABLE ets_test (
id NUMBER(10),
data VARCHAR2(50)
)
TABLESPACE encrypted_ts;
CREATE INDEX ets_test_idx ON ets_test(data) TABLESPACE encrypted_ts;
INSERT INTO ets_test (id, data) VALUES (1, 'This is a secret!');
COMMIT;
清空緩沖區(qū)確保數(shù)據(jù)寫入到數(shù)據(jù)文件中。
CONN sys/password@db11g AS SYSDBA
ALTER SYSTEM FLUSH BUFFER_CACHE;
當(dāng)使用十六進(jìn)制編輯器(如UltraEdit)打開這個(gè)文件時(shí)只能看到不可打印的字符,在加密表空間的表或索引中的數(shù)據(jù)是不可見的,成為了機(jī)密信息!
當(dāng)你測試完加密表空間,一定要清除表空間和對應(yīng)的數(shù)據(jù)文件。
DROP TABLESPACE encrypted_ts INCLUDING CONTENTS AND DATAFILES;
更多信息請查看IT技術(shù)專欄