Oracle 数据库加密

数据加密

动态数据（data in motion）和静态数据（data at rest），除了手动加密，其他的加密都需要oracle企业版的高级加密（额外收费——）

 1 静态数据加密

Example：

1 创建一个新的表空间

create tablespace in_the_clear

datafile 'f:\mydb\in_the_clear.dbf' size 1m

创建一个表

  create table t_clear
    ( id           varchar2(30) primary key,
      ssn          varchar2(11),
      address      varchar2(80),
      credit_card  varchar2(30)
    )
    tablespace in_the_clear;
  insert into t_clear (id, ssn, address, credit_card )
    values ( 'Look for me', '123-45-6789',
            '123 Main Street', '1234-5678-9876-5432' );

然后commit；

Alter system checkpoint；--触发检查点事件。

• !strings -a /tmp/in_the_clear.dbf | egrep '(Look for me|123)'
• Linux下查看该数据文件的内容

Oracle把数据类型为number和date的值按原样存储，

如果delete删除了数据，数据仍留在原处，它会保留在数据文件中，除非被其他数据覆盖或者直到有其他数据覆盖，

还可以根据redo文件跟一些归档文件来查出大量信息，还可以根据undo表空间找出一些数据，对于redo文件，oracle提供了log miner工具，可以来检查数据文件的内容

  select a.member
      from v$logfile a, v$log b
     where a.group# = b.group#
      and b.status = 'CURRENT'
       and rownum = 1;

F:\ORACLE\PRODUCT\10.2.0\ORADATA\ORCL\REDO04.LOG

获取当前的在线重做日志文件。

!strings -a &REDO | egrep '(Look for me|123)'

2 oracle钱夹

Oracle建议使用多个钱夹，钱夹存储在数据库之外，

 2.1 建立钱夹

在数据库服务器的sqlnet.ora配置文件中作一个修改，

F:\oracle\product\10.2.0\db_1\NETWORK\ADMIN

SQLNET.AUTHENTICATION_SERVICES= (NTS)

# NAMES.DIRECTORY_PATH= (TNSNAMES)

NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)

ENCRYPTION_WALLET_LOCATION=

(SOURCE=(METHOD=FILE)

(METHOD_DATA=

(DIRECTORY=f:\mydb\) ---指定存放钱夹的目录

)

)

然后

shutdown immediate

startup

ALTER SYSTEM SET ENCRYPTION KEY identified by yhq1314;

ALTER SYSTEM SET ENCRYPTION KEY identified by foobar;

需要打开或者关闭，在数据打开的时候

idle> ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY foobar;

idle> ALTER SYSTEM SET ENCRYPTION WALLET close IDENTIFIED BY foobar;

在以后重启实例后或者关闭了钱夹后，想要查询经过加密的数据，必须打开钱夹

 2.2 透明列级加密（10g）

  create table t_clear
    ( id           varchar2(30) primary key,
      ssn          varchar2(11),
      address      varchar2(80),
      credit_card  varchar2(30)  encrypt
    )
tablespace in_the_clear;
credit_card  varchar2(30)  encrypt ----缺省情况下采用192位密钥长度的AES算法。

Encrypt后面 可以加

Using ‘xx’选择对这列使用什么算法aes还是des等

Identified by 密码，指定加密数据使用特定的密码

Salt或no salt

可以手动取消该列的加密

alter table t_clear modify(credit_card decrypt)

同样可以在加密

alter table t_clear modify(credit_card encrypt )

create index idx_credit_card on t_clear(credit_card)—无法对该列创建索引

这样必须在打开钱夹后才能对t_clear表的credit_card列进行操作（dml，select等）

1 加密列的统计信息

对列加密会带来副作用，改变查询计划，

2 列加密的限制

使用索引的能力降低

使用索引时的保护减弱，

无法使用基于函数的索引

无法使用外接约束

 2.3 透明表空间加密（11g）

create tablespace encrypted

datafile '/tmp/encrypted.dbf' size 1m

ENCRYPTION default storage ( ENCRYPT );

表空间的加密的存储没有开销，

3 手动加密实现

手动加密需要使用oracle的2个内置包来实现

Dbms_crypto:更容易键入和读出，支持DES,3DES,RC4，AES还能生成多种散列和消息验证码，如MD5，MD4，SHA-1,能处理RAW,CLOB,BLOB数据类型

手动加密的列必须是raw列类型，必须是16的整数倍，

CREATE OR REPLACE FUNCTION md5_digest(input_string IN VARCHAR2) RETURN VARCHAR2

IS

hex_digest varchar2(32);

digest varchar2(32);

BEGIN

digest := DBMS_OBFUSCATION_TOOLKIT.MD5(INPUT_STRING => input_string);

SELECT Lower(RAWTOHEX(digest)) INTO hex_digest FROM dual;

RETURN hex_digest;

END;

利用 Dbms_crypto

Desc  Dbms_crypto

Grant execute on Dbms_crypto to scott

Grant execute on dbms_lock to scott

Md5

 CREATE OR REPLACE FUNCTION md5_digest1(input_string IN VARCHAR2) RETURN VARCHAR2
IS
        l_hash raw(32);
BEGIN
         l_hash := dbms_crypto.hash(
                    src=>input_string,
                    typ=>dbms_crypto.hash_md5);
        dbms_output.put_line('digest2=='||l_hash);
        RETURN l_hash;
END;
/

select md5_digest1('123456') from dual

declare
      l_src_date clob := '';
       l_hash raw(200);
    begin
       l_hash := dbms_crypto.hash(
                    src=>l_src_date,
                    typ=>dbms_crypto.hash_md5);
       dbms_output.put_line(l_hash);
  end;

des

DECLARE
 l_credit_card_no VARCHAR2(19) := '1234-5678-9012-3456';
 l_ccn_raw RAW(128) := utl_raw.cast_to_raw(l_credit_card_no);
 l_key     RAW(128) := utl_raw.cast_to_raw('abcdefgh');
 l_encrypted_raw RAW(2048);
 l_decrypted_raw RAW(2048);
BEGIN
  dbms_output.put_line('Original : ' || l_credit_card_no);
  l_encrypted_raw := dbms_crypto.encrypt(l_ccn_raw,
  dbms_crypto.des_cbc_pkcs5, l_key);
  dbms_output.put_line('Encrypted : ' ||
  RAWTOHEX(utl_raw.cast_to_raw(l_encrypted_raw)));
  l_decrypted_raw := dbms_crypto.decrypt(src => l_encrypted_raw,
  typ => dbms_crypto.des_cbc_pkcs5, key => l_key);
  dbms_output.put_line('Decrypted : ' ||
  utl_raw.cast_to_varchar2(l_decrypted_raw));
END;