数据加密

动态数据(data in motion)和静态数据(data at rest),除了手动加密,其他的加密都需要oracle企业版的高级加密(额外收费——)

 1 静态数据加密

Example:

1 创建一个新的表空间

create tablespace in_the_clear

datafile 'f:\mydb\in_the_clear.dbf' size 1m

创建一个表

  create table t_clear
( id varchar2(30) primary key,
ssn varchar2(11),
address varchar2(80),
credit_card varchar2(30)
)
tablespace in_the_clear;
insert into t_clear (id, ssn, address, credit_card )
values ( 'Look for me', '123-45-6789',
'123 Main Street', '1234-5678-9876-5432' );

然后commit;

Alter system checkpoint;--触发检查点事件。

  • !strings -a /tmp/in_the_clear.dbf | egrep '(Look for me|123)'
  • Linux下查看该数据文件的内容

Oracle把数据类型为number和date的值按原样存储,

如果delete删除了数据,数据仍留在原处,它会保留在数据文件中,除非被其他数据覆盖或者直到有其他数据覆盖,

还可以根据redo文件跟一些归档文件来查出大量信息,还可以根据undo表空间找出一些数据,对于redo文件,oracle提供了log miner工具,可以来检查数据文件的内容

  select a.member
from v$logfile a, v$log b
where a.group# = b.group#
and b.status = 'CURRENT'
and rownum = 1;

F:\ORACLE\PRODUCT\10.2.0\ORADATA\ORCL\REDO04.LOG

获取当前的在线重做日志文件。

!strings -a &REDO | egrep '(Look for me|123)'

2 oracle钱夹

Oracle建议使用多个钱夹,钱夹存储在数据库之外,

 2.1 建立钱夹

在数据库服务器的sqlnet.ora配置文件中作一个修改,

F:\oracle\product\10.2.0\db_1\NETWORK\ADMIN

SQLNET.AUTHENTICATION_SERVICES= (NTS)

# NAMES.DIRECTORY_PATH= (TNSNAMES)

NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)

ENCRYPTION_WALLET_LOCATION=

(SOURCE=(METHOD=FILE)

(METHOD_DATA=

(DIRECTORY=f:\mydb\) ---指定存放钱夹的目录

)

)

然后

shutdown immediate

startup

ALTER SYSTEM SET ENCRYPTION KEY identified by yhq1314;

ALTER SYSTEM SET ENCRYPTION KEY identified by foobar;

需要打开或者关闭,在数据打开的时候

idle> ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY foobar;

idle> ALTER SYSTEM SET ENCRYPTION WALLET close IDENTIFIED BY foobar;

在以后重启实例后或者关闭了钱夹后,想要查询经过加密的数据,必须打开钱夹

 2.2 透明列级加密(10g)

  create table t_clear
( id varchar2(30) primary key,
ssn varchar2(11),
address varchar2(80),
credit_card varchar2(30) encrypt
)
tablespace in_the_clear;
credit_card varchar2(30) encrypt ----缺省情况下采用192位密钥长度的AES算法。

Encrypt后面 可以加

Using ‘xx’选择对这列使用什么算法aes还是des等

Identified by 密码,指定加密数据使用特定的密码

Salt或no salt

可以手动取消该列的加密

alter table t_clear modify(credit_card decrypt)

同样可以在加密

alter table t_clear modify(credit_card encrypt )

create index idx_credit_card on t_clear(credit_card)—无法对该列创建索引

这样必须在打开钱夹后才能对t_clear表的credit_card列进行操作(dml,select等)

1 加密列的统计信息

对列加密会带来副作用,改变查询计划,

2 列加密的限制

使用索引的能力降低

使用索引时的保护减弱,

无法使用基于函数的索引

无法使用外接约束

 2.3 透明表空间加密(11g)

create tablespace encrypted

datafile '/tmp/encrypted.dbf' size 1m

ENCRYPTION default storage ( ENCRYPT );

表空间的加密的存储没有开销,

3 手动加密实现

手动加密需要使用oracle的2个内置包来实现

Dbms_crypto:更容易键入和读出,支持DES,3DES,RC4,AES还能生成多种散列和消息验证码,如MD5,MD4,SHA-1,能处理RAW,CLOB,BLOB数据类型

手动加密的列必须是raw列类型,必须是16的整数倍,

CREATE OR REPLACE FUNCTION md5_digest(input_string IN VARCHAR2) RETURN VARCHAR2

IS

hex_digest varchar2(32);

digest varchar2(32);

BEGIN

digest := DBMS_OBFUSCATION_TOOLKIT.MD5(INPUT_STRING => input_string);

SELECT Lower(RAWTOHEX(digest)) INTO hex_digest FROM dual;

RETURN hex_digest;

END;

利用 Dbms_crypto

Desc  Dbms_crypto

Grant execute on Dbms_crypto to scott

Grant execute on dbms_lock to scott

Md5

 CREATE OR REPLACE FUNCTION md5_digest1(input_string IN VARCHAR2) RETURN VARCHAR2
IS
l_hash raw(32);
BEGIN
l_hash := dbms_crypto.hash(
src=>input_string,
typ=>dbms_crypto.hash_md5);
dbms_output.put_line('digest2=='||l_hash);
RETURN l_hash;
END;
/

select md5_digest1('123456') from dual

declare
l_src_date clob := '';
l_hash raw(200);
begin
l_hash := dbms_crypto.hash(
src=>l_src_date,
typ=>dbms_crypto.hash_md5);
dbms_output.put_line(l_hash);
end;

des

DECLARE
l_credit_card_no VARCHAR2(19) := '1234-5678-9012-3456';
l_ccn_raw RAW(128) := utl_raw.cast_to_raw(l_credit_card_no);
l_key RAW(128) := utl_raw.cast_to_raw('abcdefgh');
l_encrypted_raw RAW(2048);
l_decrypted_raw RAW(2048);
BEGIN
dbms_output.put_line('Original : ' || l_credit_card_no);
l_encrypted_raw := dbms_crypto.encrypt(l_ccn_raw,
dbms_crypto.des_cbc_pkcs5, l_key);
dbms_output.put_line('Encrypted : ' ||
RAWTOHEX(utl_raw.cast_to_raw(l_encrypted_raw)));
l_decrypted_raw := dbms_crypto.decrypt(src => l_encrypted_raw,
typ => dbms_crypto.des_cbc_pkcs5, key => l_key);
dbms_output.put_line('Decrypted : ' ||
utl_raw.cast_to_varchar2(l_decrypted_raw));
END;

Oracle 数据库加密的更多相关文章

  1. P6 EPPM手动安装指南(Oracle数据库)(一)

    P6 EPPM手动安装指南(Oracle数据库) P6 EPPM Manual Installation Guide (Oracle Database) 1.      内容... 1 1.1.    ...

  2. CentOS以及Oracle数据库发展历史及各版本新功能介绍, 便于构造环境时有个对应关系

    CentOS版本历史 版本 CentOS版本号有两个部分,一个主要版本和一个次要版本,主要和次要版本号分别对应于RHEL的主要版本与更新包,CentOS采取从RHEL的源代码包来构建.例如CentOS ...

  3. 【转】oracle数据库开发的一些经验积累

    1.不安装Oracle客户连接Oracle 8的方法  请将以下文件拷贝到运行文件所在目录 一.ODBC动态库 : ctl3d32.dll msvcrt40.dll odbc16gt.dll odbc ...

  4. C#:Oracle数据库带参PLSQL语句的正确性验证

    在有Oracle数据库C#项目中,有一个这样的需求:在界面上配置了带参数的PLSQL语句,但是要通过程序验证其正确性,那么该如何实现?这就是本文要探讨的内容. 一:通过OracleCommand对象的 ...

  5. Oracle数据库的版本变迁功能对比

    Oracle数据库自发布至今,也经历了一个从不稳定到稳定,从功能简单至强大的过程.从第二版开始,Oracle的每一次版本变迁,都具有里程碑意义. 1979年的夏季,RSI(Oracle公司的前身,Re ...

  6. ORACLE透明加密

    --官网文档:https://www.oracle.com/technetwork/cn/tutorials/tde-096009-zhs.html#t概述Oracle 数据库 10g 第 2 版透明 ...

  7. Oracle 数据库导入与出

    Oracle 数据库导入与出 导出( EXPORT )是用 EXP 将数据库部分或全对象的结构和导出 . 导入( 导入( IMPORT )是用 )是用 IMP IMP将 OS 文件中的对象结构和数据装 ...

  8. [转] oracle 数据库 SQL plus 连接方法

    http://hi.baidu.com/zzy382/item/a5b197f97a38e01ba7298832 之前电脑上安装了一个 Oracle  有一段时间没用,就把密码给忘了,按上面链接里的操 ...

  9. 《关于oracle数据库的勒索病毒的预警》

    近日,接部分机构反馈和安全厂商提醒,针对oracle数据库的勒索病毒攻击数量增加.该病毒存在较长潜伏期,会根据数据库实例创建时间距今是否满足1200天决定是否发起攻击.攻击通过执行恶意SQL脚本,加密 ...

随机推荐

  1. zookeeper分布式锁的问题

    分布式锁的流程: 在zookeeper指定节点(locks)下创建临时顺序节点node_n 获取locks下所有子节点children 对子节点按节点自增序号从小到大排序 判断本节点是不是第一个子节点 ...

  2. freemarker空值的处理

    FreeMarker的变量必须赋值,否则就会抛出异常.而对于FreeMarker来说,null值和不存在的变量是完全一样的,因为FreeMarker无法理解null值.FreeMarker提供两个运算 ...

  3. 最短路径Dijkstra模板

    算法思想:把所有的边分成两个集合A,B.集合A表示已经求出最短路径的点,不断扩展集合A,减少集合B.每一扩展就从结合B中找出到源点距离最短的点,加入到A. dis[i]数组代表从出发点到j的距离: m ...

  4. window7 共享wifi(不通过wifi软件)

    1.新建共享网络账号 管理员登录cmd输入:netsh wlan set hostednetwork mode=allow ssid=4Gtest key=12345678 ssid是无线网络名称.k ...

  5. scapy学习笔记(3)

    转自:@小五义:http://www.cnblogs/xiaowuyi 在安装完scapy(前两篇笔记有介绍)后,linux环境下,执行sudo scapy运行scapy. 一.简单的发送包 1.se ...

  6. setStyleSheet 一些QSS设置的集合

    setStyleSheet 设置的一些集合,一部分源码和截图来自 http://blog.sina.com.cn/s/articlelist_2801495241_0_1.html 1. 设置QLab ...

  7. Spark- 共享变量

    Shared Variables Normally, when a function passed to a Spark operation (such as map or reduce) is ex ...

  8. 定义类+类实例化+属性+构造函数+匿名类型var+堆与栈+GC回收机制+值类型与引用类型

    为了让编程更加清晰,把程序中的功能进行模块化划分,每个模块提供特定的功能,而且每个模块都是孤立的,这种模块化编程提供了非常大的多样性,大大增加了重用代码的机会. 面向对象编程也叫做OOP编程 简单来说 ...

  9. ionic2——安装并配置android sdk

    下载 android开发者官网下载sdk比较慢,甚至访问不了.所以建议去android中文网下载sdk,如下图找到android-sdk点击链接下载就行了 下载sdk 安装 安装前先要安装java j ...

  10. KVM-环境安装

    1.操作系统安装 本文采用Centos6.4X64操作系统,也可以采用RHEL/CentOS6.x. (1)查看系统版本.内核版本 ##查看系统版本 [root@KVM ~]# cat /etc/re ...