【51CTO.COM獨家翻譯】Oracle 10gR2中引入了透明數(shù)據(jù)加密功能后,大大簡化了加密數(shù)據(jù)文件中的數(shù)據(jù),預(yù)防來自操作系統(tǒng)的訪問,表空間加密擴展了這種技術(shù),允許對表空間中的內(nèi)容條目進行加密,而不是基于一列一列地配置加密。
創(chuàng)建wallet
設(shè)置表空間加密的環(huán)境與透明數(shù)據(jù)加密的環(huán)境一致,在嘗試創(chuàng)建一個加密表空間之前,先要創(chuàng)建一個wallet來保留加密密鑰,按照下面的順序搜索wallet:
1、sqlnet.ora文件中參數(shù)ENCRYPTION_WALLET_LOCATION指定的位置
2、sqlnet.ora文件中參數(shù)WALLET_LOCATION指定的位置
3、wallet默認位置($ORACLE_BASE/admin/$ORACLE_SID/wallet)
盡管加密表空間可以共享默認的數(shù)據(jù)庫wallet,但Oracle建議你為透明數(shù)據(jù)加密功能單獨使用一個wallet,只需要在sqlnet.ora文件中為參數(shù)ENCRYPTION_WALLET_LOCATION指定一個值即可,我們在sqlnet.ora文件中添加了下面的行,并確保指定的目錄已經(jīng)被創(chuàng)建好了。
ENCRYPTION_WALLET_LOCATION=
(SOURCE=(METHOD=FILE)(METHOD_DATA=
(DIRECTORY=/u01/app/oracle/admin/DB11G/encryption_wallet/)))
這個參數(shù)也可用于標識硬件安全模型(HSM)作為wallet位置。
下面的命令創(chuàng)建和打開wallet。
CONN sys/password@db11g AS SYSDBA
ALTER SYSTEM SET ENCRYPTION KEY AUTHENTICATED BY "myPassword";
wallet在實例重啟后必須重新打開才能防止對加密數(shù)據(jù)的訪問。
ALTER SYSTEM SET WALLET OPEN IDENTIFIED BY "myPassword";
ALTER SYSTEM SET WALLET CLOSE;
創(chuàng)建表空間
加密表空間是通過帶有USING子句指定加密算法的ENCRYPTION子句創(chuàng)建的,如果沒有USING子句,默認的加密算法是AES128,另外,必須指定default storage(encrypt)子句,表空間加密不允許在TDE(透明數(shù)據(jù)加密)可用的NO SALT選項,下面的語句創(chuàng)建了一個加密表空間,用USING子句明確地指出了加密算法使用AES256。
CREATE TABLESPACE encrypted_ts
DATAFILE '/u01/app/oracle/oradata/DB11G/encrypted_ts01.dbf' SIZE 128K
AUTOEXTEND ON NEXT 64K
ENCRYPTION USING 'AES256'
DEFAULT STORAGE(ENCRYPT);
ALTER USER test QUOTA UNLIMITED ON encrypted_ts;
視圖DBA_TABLESPACES和USER_TABLESPACES中的ENCRYPTED列指出了表空間是否加密。
SELECT tablespace_name, encrypted FROM dba_tablespaces;
TABLESPACE_NAME ENC
------------------------------ ---
SYSTEM NO
SYSAUX NO
UNDOTBS1 NO
TEMP NO
USERS NO
ENCRYPTED_TS YES
6 rows selected.
SQL>
普通表空間是不能轉(zhuǎn)換到加密表空間的,相反,數(shù)據(jù)必須被手工使用導出/導入進行轉(zhuǎn)移,“alter table ... move ...”或“create table ... as select * from ...”
測試加密
我們可以創(chuàng)建一些對象測試加密,下面的代碼在加密表空間中創(chuàng)建了一個表和一個索引,并在表中插入了一行數(shù)據(jù)。
CONN test/test@db11g
CREATE TABLE ets_test (
id NUMBER(10),
data VARCHAR2(50)
)
TABLESPACE encrypted_ts;
CREATE INDEX ets_test_idx ON ets_test(data) TABLESPACE encrypted_ts;
INSERT INTO ets_test (id, data) VALUES (1, 'This is a secret!');
COMMIT;
清空緩沖區(qū)確保數(shù)據(jù)寫入到數(shù)據(jù)文件中。
CONN sys/password@db11g AS SYSDBA
ALTER SYSTEM FLUSH BUFFER_CACHE;
當使用十六進制編輯器(如UltraEdit)打開這個文件時只能看到不可打印的字符,在加密表空間的表或索引中的數(shù)據(jù)是不可見的,成為了機密信息!
當你測試完加密表空間,一定要清除表空間和對應(yīng)的數(shù)據(jù)文件。
DROP TABLESPACE encrypted_ts INCLUDING CONTENTS AND DATAFILES;
更多信息請查看IT技術(shù)專欄