2. 程式人生 > >Oracle 透明資料加密--列加密

Oracle 透明資料加密--列加密

阿新 發佈:2019-02-15
我們所需要做的就是把某列宣告成加密的,剩下的全部由Oracle完成。當用戶插入或者更新資料時,列值會被截獲、加密,然後用加密後的格式儲存。然後,當這一列被查詢時,又會自動對列值進行解密,然後把解密後的文字(明文)返回給使用者。使用者甚至都不需要知道發生過加密和解密——也就是所謂的透明。全部都是由Oracle程式碼內部完成,不需要任何觸發器或者複雜的過程邏輯。


TDE的目的:用最小的代價加密敏感資料,避免可能的對資料檔案的盜竊帶來的破壞。不過,注意,強調的重點是透明——也就是說,加密是自動進行的,解密也一樣。在資料庫中。Oracle不會區分使用者。當一個使用者具有查詢物件的許可權時,Oracle都會明文給出資料值
TDE總共有三層加密,第一層,wallet金鑰的驗證密碼,這個值是人工設定的密碼,第二層wallet金鑰,第三層,表金鑰,所以只要任何一層沒被竊取,你的資料都是相對安全的。
加密解密過程


使用限制:
1.不能在主鍵,外來鍵列使用TDE
2.對於使用了TDE的列我們只能建立b樹索引。
3.大物件資料型別不可以使用,BLOB,CLOB
4.import/export
5.其他直接訪問資料庫資料檔案的工具不可以使用
支援的加密演算法:
AlgorithmKey SizeParameter Name

Triple DES (Data Encryption Standard)

168 bits

3DES168

AES (Advanced Encryption Standard)

128 bits

AES128

AES

192 bits (default)

AES192

AES

256 bits

AES256

支援加密的資料型別

  • CHAR

  • DATE

  • INTERVAL DAY TO SECOND

  • INTERVAL YEAR TO MONTH

  • NCHAR

  • NUMBER

  • NVARCHAR2

  • RAW

  • TIMESTAMP (includes TIMESTAMP WITH TIME ZONE and TIMESTAMP WITH LOCAL TIME ZONE)

  • VARCHAR2

參考命令說明
TaskSQL Command

Add encrypted column to existing table

ALTER TABLE table_name ADD (column_name datatypeENCRYPT);

Create table and encrypt column

CREATE TABLE <table_name> (column_name datatypeENCRYPT);

Encrypt unencrypted existing column

ALTER TABLE table_name MODIFY (column_name ENCRYPT);

Master key: set or reset

ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY <password>;

Master key: set or reset to use PKI certificate

ALTER SYSTEM SET ENCRYPTION KEY <certificate_ID>IDENTIFIED BY <password>;

Wallet: open to access master keys

ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY <password>;


舉例:
系統建立wallet目錄,指定wallet位置
mkdir -p /opt/oracle/admin/skydb/wallet

修改sqlnet.ora加入以下內容
ENRYPTION_WALLET_LOCATION =(SOURCE=(METHOD=file)METHOD_DATA=(DIRECTORY=/opt/oracle/admin/skydb/wallet))

資料庫裡建立wallet並且設定訪問密碼
alter system set encryption key authenticated by "123456";

建立帶有加密列的表,插入相關資料
create table en_tab (id int,name varchar(20),salary number(10,2) encrypt using 'AES256');
insert into en_tab values(1,'dabing',50000.00);
insert into en_tab values(2,'newboy',50000.00);

設定了密碼後可以手動開啟或者關閉wallet
開啟wallet
alter system set encryption wallet open authenticated by "123456";
關閉wallet
alter system set encryption wallet close;

如果有查詢許可權,不加密的列可以查詢,加密的無法查詢,必須開啟wallet才可以
SQL> desc  hank.en_tab;
 Name                                      Null?    Type
 ----------------------------------------- -------- ----------------------------
 ID                                                 NUMBER(38)
 NAME                                               VARCHAR2(20)
 SALARY                                             NUMBER(10,2) ENCRYPT

SQL> select id,name from  hank.en_tab;

        ID NAME
---------- --------------------
         1 dabing
         2 newboy

SQL> select SALARY from hank.en_tab;
select SALARY from hank.en_tab
                        *
ERROR at line 1:
ORA-28365: wallet is not open


開啟wallet,可以正常訪問加密列
SQL> alter system set encryption wallet open authenticated by "123456";

System altered.

SQL>  select SALARY from hank.en_tab;

    SALARY
----------
     50000
     50000

只能建立no salt的btree索引
SQL> create index ind_sar on en_tab (salary);
create index ind_sar on en_tab (salary)
                                *
ERROR at line 1:
ORA-28338: cannot encrypt indexed column(s) with salt


SQL> alter table en_tab modify (salary ENCRYPT NO SALT);

Table altered.

SQL> create index ind_sar on en_tab (salary);

Index created.
可以參看資料字典檢視那些列被加密
SQL> select * from user_encrypted_columns;
TABLE_NAME                     COLUMN_NAME                    ENCRYPTION_ALG                SAL
------------------------------ ------------------------------ ----------------------------- ---
EN_TAB                         SALARY                         AES 256 bits key              NO


相關推薦

Oracle 透明資料加密--加密

我們所需要做的就是把某列宣告成加密的,剩下的全部由Oracle完成。當用戶插入或者更新資料時,列值會被截獲、加密,然後用加密後的格式儲存。然後,當這一列被查詢時,又會自動對列值進行解密,然後把解密後的文字(明文)返回給使用者。使用者甚至都不需要知道發生過加密和解密——也就是所

Oracle 透明資料加密TDE

透明資料加密TDE Oracle 10g R2提供了一個新的特性,讓你只需要做如下動作:你可以不寫一行程式碼,只需要宣告你需要加密某列。當用戶插入資料的時候,資料庫透明的加密資料然後儲存加密後的資料。同樣的,當用戶讀取資料時,資料庫自動進行節目。由於加解密操作對應用程式來

Oracle資料 ROWNUM,ROWID的用法

對於rownum來說它是oracle系統順序分配為從查詢返回的行的編號,返回的第一行分配的是1,第二行是2,依此類推,這個偽欄位可以用於限制查詢返回的總行數,且rownum不能以任何表的名稱作為字首。 (1) rownum 對於等於某值的查詢條件 如果希望找到學生表中第一條學生的資訊,可以使

Oracle面對“資料傾斜使用繫結變數”場景的解決方案

1.背景知識介紹 2.構造測試用例 3.場景測試 4.總結 1.背景知識介紹     我們知道,Oracle在傳統的OLTP(線上事務處理)類系統中,強烈推薦使用繫結變數,這樣可以有效的減少硬解析從而增加系統的併發處理能力。甚至在有些老舊系統,由於在開始開發階段缺乏

Oracle資料安全解決方案-透明資料加密TDE

select file_name,tablespace_name from dba_data_files; create temporary tablespace wal_temp99 tempfile 'D:\APP\ADMINISTRATOR\ORADATA\ORCL\

oracle資料出現憤怒加密演算法

作為一名程式設計師,經常會遇見一些詭異的事情,今天我就遇見一個,oracle資料通過資料泵impdp匯入後出現亂碼,經過如下操作: 1.oracle server 端 字符集查詢: select userenv('language') from dual發現查出來的結果和我原匯出資料的結果不一致;原匯出資

ORACLE透明加密

--官網文件:https://www.oracle.com/technetwork/cn/tutorials/tde-096009-zhs.html#t概述Oracle 資料庫 10g 第 2 版透明資料庫加密功能簡化了信用卡號碼以及社會安全保險號等機密個人資訊的加密。 使用透明資料加密功能,不必將加密例程巢

PostgreSQL資料庫透明資料加密概述

資料庫當前面臨的威脅模型 加密策略描述,當前PostgreSQL社群目前的設計狀態以及其他資料庫TDE方案對比 未來的資料安全暢想 那什麼是透明資料加密? 透明資料加密,從字面上來說,可以分為三部分,資料,加密,透明。 資料,這裡不用過多解釋,使用者需要保護的明文資料。 加密,相信大家也清楚,資訊保安一

單向散加密

sta 特點 ads clas eat 網頁 reads 字符串 pip   開發中有一種場景,就是只需要驗證正確性而不需要知道它的原文,只需要知道這個值是否存在是否相等就可以了。比如前端登錄將用戶的密碼加密給服務端並存儲到數據庫。或者驗證文件唯一性等。這時就要用到單向散列

Oracle網絡傳輸的加密和完整性驗證

HR 4.2 orm 5.6 onf pos AR sha ltr 轉自 http://blog.itpub.net/24052272/viewspace-2129175/ 測試環境: 11.2.0.4 winodows 單機 應用場景: 對oracle服務器和客戶端之間

資料安全及加密演算法對比

平時開發中不僅會遇到各種需要保護使用者隱私的情況,而且還有可能需要對公司核心資料進行保護,這時候加密隱私資料就成為了必要。然而市場上存在著各種各樣的抓包工具及解密演算法,甚至一些公司有專門的逆向部門,這就加大了資料安全的風險,本文將通過以下幾個方面對各種加密演算法進行分析對比: Base

雲端計算的雲資料安全與加密技術

雲端計算、大資料等資訊科技正在深刻改變著人們的思維、生產、生活和學習方式,並延深進入人們的日常生活。 伴隨著社交媒體、電商、健康醫療、智慧交通、電信運營、金融和智慧城市等各行業各領域的大資料的產生,大資料分析技術和應用研究使大資料呈現出不可限量的經濟社會價值和科學研究意義,引起了國內外學術界和產業界的研

oracle數據出現憤怒加密算法

sp2 憤怒 rest cto set alter base 更改 .com 作為一名程序員,經常會遇見一些詭異的事情,今天我就遇見一個,oracle數據通過數據泵impdp導入後出現亂碼,經過如下操作: 1.oracle server 端 字符集查詢: select us

Android 中資料加密 ---- RSA加密

前言: 對於RSA加密,在博文  RSA 加密 已經有了詳細說明,這邊博文將其用Android 實現。   更多的加密可以看: 資料加密 ---- 總篇 Android 中資料加密 ---- 異或加密 Android 中資料加密 -

使用C++對資料進行Base64加密解密

首先是對資料的base64加密 std::string encode_base64(const std::string& d, bool base64url = false) { const char alphabet_base64[] = "ABCDEFGH" "IJKLM

Android 資料加密 ---- 3DES 加密

1. 前言 隨著計算機的發展,DES 很容易被暴力破解,DES 也一直在完善,在1999年10月25日,DES作為FIPS46-3第四次延長標準期限,其中規定優先使用 3DES,而普通DES只允許在遺留的系統中應用。 2. 介紹 密碼學中,三重資料加密演算法(英語:

Android 資料加密 ---- MD5 加密

1. 前言 之前幾篇博文詳細的介紹了異或加密、AES加密、DES 加密、3DES加密,對於這幾種雙向加密的演算法也有了更多的瞭解,為了跟後面另一種演算法RSA 更好的結合使用,先來介紹一下單向加密中的幾個演算法,本文主要分析MD5 演算法。 2. 簡介 MD5訊息摘

資料加密 ---- RSA 加密

1. 前言 之前幾篇博文介紹了資料加密中的幾種常用形式,如,單向加密中的MD5加密、SHA加密,如,分組加密中的AES加密、DES加密,也介紹了經常使用的異或加密。這一篇來介紹不對稱加密演算法中經常使用的一種——RSA加密。 2. 簡介 RSA加密演算法是一

資料隱私與加密學技術 |鏈捕手

資料隱私與加密學技術 |鏈捕手 原創: 徐茂桐 鏈捕手 3天前 8月20日,中國網際網路絡資訊中心(CNNIC)釋出報告顯示,我國網民突破8億,其中超過98%的人每天用手機上網。實際上在我們享受網際網路帶來便利的同時,每個人的隱私也在不斷被洩露與買賣中。 資料隱私洩露的現狀如何?國內

mybatis向oracle新增資料報:java.sql.SQLException: 無效的型別: 1111

org.mybatis.spring.MyBatisSystemException: nested exception is org.apache.ibatis.type.TypeException: Could not set parameters for mapping