oracle 数据安全组件TDE介绍

IT那活儿 2021-09-19

4176

最近数据泄露案例频繁发生，数据安全越来越被各大公司和企业所重视，不但要从管理上进行防范，从技术层面也需要严格控制。我研究了下与oracle相关的数据安全的产品和功能，归类如下：

本文主要介绍TDE(Transparent Data Encryption)

一. Oracle TDE简介

TDE透明数据加密允许用户对各个表列或整个表空间进行加密。当用户向加密的列中插入数据时，透明数据加密会自动对该数据加密。当用户选择该列时，数据将自动解密。选择完毕后，数据将重新加密。

TDE不需要额外安装
所有步骤可以使用SQL命令或者图形界面完成。
对数据库功相关能透明（rman、压缩等），不需要额外操作。

二. Oracle TDE配置步骤

1. 创建“wallet”目录以及指定位置

默认情况下，钱夹创建于ORACLE_BASE/admin/ORACLE_SID/wallett目录下。如果没有，则手工创建。也可以修改该目录路径，但需要在sqlnet.ora文件进行配置。

2. 设置wallet密码

3. 打开wallet钱夹

可以看到，设置完wallet密码后，wallet默认就是打开的。需要注意的是wallet的密码一旦生成之后，每次数据库重启之后，都必须使用命令显式打开。并且wallet一旦打开之后，在数据库实例关闭之前会一直处于打开状况，除非显式的通过close命令关闭。

三. Oracle TDE加密列使用

1. 加密列方法

举例测试，有一张表ttt上有个字段已经加密。

关闭wallet，包含加密列的查询失败。

但如果查询不包含加密列，可以成功。

open wallet后，加密列可以查询。

2. 加密列常见修改方式

增加一加密的列

ALTER TABLE ttt ADD (aaa VARCHAR2(128) ENCRYPT);

修改普通列为加密列

ALTER TABLE ttt MODIFY (USER_ID ENCRYPT);

取消加密列

ALTER TABLE ttt MODIFY (USER_ID DECRYPT);

4. 加密列支持的字段类型

Oracle官方支持列加密的字段类型有如下几种：

• BINARY_DOUBLE • BINARY_FLOAT • CHAR • DATE • INTERVAL DAY TO SECOND • INTERVAL YEAR TO MONTH • LOBs (Internal LOBs and SECUREFILE LOBs Only) • NCHAR • NUMBER • NVARCHAR2 • RAW • TIMESTAMP (includes TIMESTAMP WITH TIME ZONE and TIMESTAMP WITH LOCAL TIME ZONE) • VARCHAR2

四. Oracle TDE加密表空间使用

1. 当列加密的字段类型不在支持范围内，可以使用表空间加密。

在加密表空间内创建的表都具备加密特性。