/*
author:CH
date:2015
theme:oracle TDE test
*/
一透明加密(TDE, Transparent Data Encryption)
参考:
http://www.oracle.com/technetwork/cn/tutorials/tde-096772-zhs.html#t3
http://www.eygle.com/archives/2011/09/oracle_transparent_data_encryption.html
http://blog.itpub.net/17203031/viewspace-681825/
作用:防止丢失介质后会被别人读取到数据。在wallet打开的情况下,使用sql语句查询实际上是没有限制的。
二、操作
操作开始,测试于192.168.8.126(ORACLE_SID=db),使用oracle用户登录电脑。
# su – oracle
1. 修改 sqlnet.ora,确认加密文件放在哪里
# cd /u01/app/oracle/product/11.2.0/dbhome_1/network/admin/
# vim sqlnet.ora
/*
ENCRYPTION_WALLET_LOCATION=
(SOURCE=(METHOD=FILE)(METHOD_DATA= (DIRECTORY=/u01/app/oracle/product/11.2.0/dbhome_1))) --红色的是路径
*/
2. 打开钱夹,创建密密钥
# sqlplus
(1)必须以dba身份登录
(2)打开wallet修改密钥,有两种选择,一种“万能”,一种“钱夹”(wallet)
--万能密钥
SQL> alter system set key identified by "test123456";
--钱夹密钥(当前未使用)
SQL> alter system set wallet open identified by "test123456";
打开wallet,设置好密钥之后,完成基础设置。
--关闭
SQL> alter system set encryption wallet close identified by "test123456";
加密文件,路径
3. 要确认启用了透明数据加密,一般而言都是开了的
若是没开,可以到em去开启
4.对表中的列进行加密
--对value1进行加密(在126上面有这个表,有几条数据)
create table test2
(
id int ENCRYPT NO SALT,
value1 number ENCRYPT ,
value2 int
);
create index idx1_test2 on test2(ID);
--若是关闭了wallet,查询会报错
SQL> alter system set encryption wallet close identified by "test123456";
select value1 from test2;
select * from test2;
ORA-28365: Wallet 未打开
5.可以对表空间进行加密
6.查看透明加密情况:
l dba_encrypted_columns:记录所有的加密字段;
l all_encrypted_columns:记录当前用户所能访问到的所有加密字段;
l user_encrypted_columns:记录当前用户自身Schema所有的加密字段;
7.取消加密
可以在em中管理
8.Salt参数
(1)在加密列时,存在两个选项:Salt和No Salt。
Salt在加密前对数据增加随即字符串,增加破解的难度,使得同样的字符串加密结果不同;而对于NO Salt,则同样字符串可以获得同样的加密输出,其安全性相对略低。
(2)在加密列上,如果使用Salt方式,则不能创建索引,Salt加密和索引两种属性互斥,不能同时设置。
(3)默认Salt.
9.TDE的缺点
(1)使用TDE的情况下,数据库文件中保存的数据值是进行过加密的。加密过的列值一般要长于原始数据值,所以使用TDE之后数据表要比不使用大。
(2)TDE的加解密操作完全是建立在自动加解密基础上。插入数据、修改数据的时候会自动将数据加密后存放在数据表中;选择数据时会自动的将加密过的列值进行解密。这种操作无形中是增加了数据操作的成本
(3)TDE是不负责数据传输阶段加密的。数据从DBMS传出后,还是以明文方式传输到应用。