透明数据加密

标签: 透明 数据 加密 | 发表时间:2013-07-01 19:23 | 作者:royjj
出处:http://blog.csdn.net

透明数据加密                                          
                        常见问题解答

常见问题解答

透明数据加密

                    
  1. TDE 有些相关的开销?                
  2. 数据在网络上依然是加密状态吗?                
  3. 任何人只要获得应用程序的授权就能对数据进行解密吗?                
  4. TDE 与 Oracle 提供的加密方法有何不同?                
  5. 哪些加密算法可与 TDE 一同使用?                
  6. 可以使用第三方加密算法代替 TDE 提供的算法吗?                
  7. TDE 的许可方式是什么?                
  8. 可以对外键约束中使用的列采用 TDE 吗?                
  9. 可以对联接中使用的列进行加密吗?                
  10. TDE 支持哪些数据类型?

表空间加密

                    
  1. 何时使用列级 TDE 或表空间加密?                
  2. 加密密钥可以更改吗?                
  3. 可否在 HSM 设备中存储用于表空间加密的万能密钥?                
  4. 可以加密现有表空间吗?                
  5. 压缩可否与表空间加密协同工作?                
  6. 可传输的表空间可否与表空间加密协同工作?

钱夹理

                    
  1. 什么是钱夹?                
  2. TDE 中的密钥管理功能如何?                
  3. 如何保护钱夹和 TDE 万能密钥?                
  4. Oracle Wallet Manager 在哪个默认位置寻找钱夹?                
  5. 可否使用 Oracle Wallet Manager (OWM) 为 TDE 创建加密钱夹和万能密钥?                
  6. 如何创建能够自动打开的钱夹?                
  7. 使用 Oracle 安全备份时,如何避免将 Oracle TDE 钱夹备份到 RMAN 数据库备份所在的磁带上?

互操作性

                    
  1. 什么是 Oracle 安全备份 (OSB)?                
  2. 可否使用 Oracle 安全备份对发送至磁盘的备份进行加密?                
  3. TDE 可否与 Data Guard 和 Oracle RAC 协同工作?                
  4. 是否有其他不能与列级 TDE 协同工作的数据库特性?                
  5. 可否使用带有直接路径的 SQL*Loader 将数据加载到包含加密列的表中?

最佳实践

                    
  1. 在重新生成万能密钥和/或列密钥后如何恢复数据?                
  2. 如何加密超大型表(包含数十亿行)中的列?                
  3. 加密列中的现有数据后再查看数据库文件,有时仍能看到某些明文值。为什么?

解答

                                    

  1. TDE 有哪些相关的开销?                

    与未加密的表空间相比,加密的表空间不会要求更高的存储空间。

    与列级 TDE 相关的开销分为两方面:存储和性能。在性能方面,与加密或解密常用属性(如信用卡号码)相关的开销估计为 5%。当索引基于加密列构建时,索引的创建将使用密文。如果经 TDE 加密的列已建立索引并为 SQL 语句引用,Oracle 将对 SQL 语句中用到的值进行透明加密并使用密文进行索引查询。TDE 相关的存储开销可能会很大,这是因为每个加密值都有额外 20 个字节的完整性检查。此外,TDE 会将加密值填充到 16 个字节,所以如果信用卡号码要求 9 个字节的存储空间,加密该号码将要求额外 7 个字节的存储空间。最后,如果为加密值指定了 salt,该 salt 将要求额外 16 个字节的存储空间。总之,加密表中的一列将要求每行有 33 到 48 个字节的额外存储空间。


                    

  2. 数据在网络上依然是加密状态吗?                

    使用 TDE 加密后的数据在离开数据库前会首先进行解密。不过,这些数据可以通过 Oracle 的网络加密解决方案在网络上进行加密,该方案和 TDE 一同包含在 Oracle Advanced Security 选件中。Oracle 的网络加密解决方案可以对 Oracle SQL*Net 上传送的所有数据进行加密。


                    

  3. 任何人只要获得应用程序的授权就能对数据进行解密吗?                

    是的,TDE 在使客户能够在数据库内应用加密,而不影响现有的应用程序。以加密格式返回数据会破坏现有的应用程序。TDE 的优势是,加密不会产生传统数据库加密解决方案所产生的开销,传统的方案要求有触发器和视图。


                    

  4. TDE 与 Oracle 提供的加密方法有何不同?                

    Oracle 通过 Oracle8i 引入了 DBMS_OBFUSCATION_TOOLKIT。Oracle 10g 版本 1 引入了新的 DBMS_CRYPTO 程序包。这些程序包中的各种 API 可用于对数据库内的数据进行手动加密。不过,此应用程序必须管理加密密钥,并且要通过调用 API 进行要求的加密和解密操作。


                    

  5. 哪些加密算法可与 TDE 一同使用?                

    TDE 支持 3DES168、AES128(表空间加密默认算法)、AES192(列级 TDE 默认算法)和 AES256。


                    

  6. 可以使用第三方加密算法代替 TDE 提供的算法吗?                

    不可以,不能插入其他加密算法。


                    

  7. TDE 的许可方式是什么?                

    TDE 作为 Oracle Advanced Security 选件的一部分进行打包,该选件包含在 Oracle 企业版中。


                    

  8. 可以对带有外键约束的列使用 TDE 吗?                

    使用表空间加密时,即使某个表在加密的表空间外部,外键的加密方式也和加密表空间中存储的所有其他元素相同。列级 TDE 不支持对外键约束中使用的列进行加密。这是因为单个表有它们自己的特殊加密密钥。


                    

  9. 可以对联接中使用的列进行加密吗?                

    可以。即使联接条件的列已加密,联接表对于应用程序和用户也是透明的。


                    

  10. TDE 支持哪些数据类型?                

    由于表空间加密对整个表空间进行加密,在支持的数据类型上没有限制。

    下面的数据类型可使用列级 TDE 进行加密:

      varchar2         nvarchar2
      number                date
      binary_float          binary_double
      timestamp             raw
      char                  nchar
      SecureFile LOBs
    

                    

  11. 何时使用列级 TDE 或表空间加密?                

    根据下面的指导原则确定具体方法的选择:

    • 仅对因合规性原因需要加密的数据进行加密(PCI-DSS 的信用卡和帐户号码;用于类似于 CA SB 1386 这样的漏洞通知法律的地址、姓名和个人身份号码(驾驶证,身份证)),或者对其他您认为的关键数据进行加密,如薪水、研究结果、客户信息。
    • 如果您需要对外键列中的数据进行加密,或者您需要除 B 树外的索引,又或者您需要对列级 TDE 不支持的数据类型进行加密,可选择表空间加密。
    • 如果列级 TDE 能够满足您的安全和安规性要求,您可以根据性能测试结果进行选择


                    

  12. 加密密钥可以更改吗?                

    表空间加密的万能密钥不能重新生成。变通方法是,创建一个新的加密表空间,备份当前表空间,将所有表和其他内容从旧的表空间转移到新表空间中,然后删除旧的加密表空间。

    列级 TDE 使用一个两层密钥机制。当列级 TDE 应用到现有的应用程序表列上时,Oracle 数据字典中会创建并存储一个新的表钥(用于该表中所有列)。该表钥使用万能密钥加密。万能密钥在 TDE 进行初始化时生成,并存储在数据库外部的 Oracle 钱夹或符合 PKCS#11 的 HSM 设备中。万能密钥和列密钥均可基于公司的安全策略进行独立修改。Oracle 建议在修改万能密钥前后均对钱夹进行备份。


                    

  13. 可否在 HSM 设备中存储用于表空间加密的万能密钥?                

    不可以。如果您从 10gR2 中的列加密移植到 11gR1 中的列和表空间加密,则必须首先在 11gR1 数据库上重新生成万能密钥,以自动将用于表空间加密的万能密钥添加到您的软件钱夹上,然后将列万能密钥移植到 HSM 设备上。


                    

  14. 可以加密现有表空间吗?                

    不可以。变通方法是,创建一个新的加密表空间,备份当前表空间,将所有表和其他内容从旧的表空间转移到新表空间中,然后删除旧的加密表空间。


                    

  15. 压缩可否与表空间加密协同工作?                

    可以,内容在压缩后进行加密。


                    

  16. 可传输的表空间可否与加密的表空间协同工作?                

    可以。但条件是,要么目标数据库上必须有万能密钥;要么,如果已经使用了一个不同的万能密钥,使用 Oracle 数据泵对数据进行导出和导入,这可以通过转储文件的可选加密来完成。


                    

  17. 什么是钱夹?                

    钱夹是一个容器,用于存储认证和签名证书,包括 TDE 万能密钥、PKI 私钥、许可证和 SSL 需要的信托证书。借助 TDE,可以在服务器上使用钱夹来保护 TDE 万能密钥。此外,Oracle 要求在 SSL 上通信的实体包含一个钱夹。除 Diffie-Hellman 外,该钱夹应当含有 X.509 版本 3 许可证、私钥、信托证书列表。

    Oracle 提供两种类型钱夹:加密钱夹和自动打开的钱夹。我们为 TDE 推荐加密钱夹(文件名为 ewallet.p12)。数据库启动后和访问 TDE 加密数据前,需手动打开该钱夹。如果未打开该钱夹,查询受 TDE 保护的数据时数据库将返回错误。自动打开的钱夹(文件名是 cwallet.sso)在数据库启动时会自动打开。因此它适用于无人值守的 Data Guard 环境,在该环境中加密后的列会传送到二级站点。


                    

  18. TDE 中的密钥管理功能如何?                

    TDE 中的密钥管理包括下面的功能:

    1. 生成
    2. 存储
    3. 替换
    4. 销毁

    生成 — 在 TDE 中生成万能密钥可以通过数据库中的随机数生成器 (RNG) 来完成,或者管理员可以自行提供最多 70 个字符的字符串。

    存储 — 一种选择是将万能密钥存储在 Oracle 软件钱夹中。该文件应当受到适当 OS 许可的保护。根据 PKCS#5 标准,钱夹使用钱夹口令进行加密。钱夹口令不存储在任何地方,在 Oracle Enterprise Manager 11g 中,该口令可以在任意数量的用户或管理员间进行分割,他们必须以正确的顺序输入各自口令片断,而与此同时他们当中无人知道整个口令。该口令甚至可以保护万能密钥不被拥有“root”权限的用户使用。                                        
                    另一种选择是将用于列级 TDE 的 TDE 万能密钥存储在硬件安全模块 (HSM) 上。Oracle 数据库 11g 和 HSM 设备之间的通信基于标准的 PKCS#11 接口,它使得众多 HSM 厂商都可与 Oracle 进行互操作。一旦设备上生成了万能密钥,它将永远不会在未加密的情况下离开设备。

    替换 — 通过简单的命令就可以创建新的 TDE 万能密钥。倾刻间,数据库中的所有列密钥都会用旧的万能密钥解密然后用新的列密钥进行加密。应用程序数据不会发生任何变化,因此该过程不会影响您数据库的可用性。对于备份和恢复操作,过期的万能密钥存储在钱夹中。

    销毁 — 使用命令行实用程序“mkstore”可对万能密钥进行销毁。使用“mkstore”前要对钱夹进行备份,同时要谨慎使用该程序,因为很容易删除当前的万能密钥(该密钥 不能替换或重新生成)。


                    

  19. 如何保护钱夹和 TDE 万能密钥?                

    Oracle 数据库 11g 允许在符合 PKCS#11 标准的 HSM 设备上存储列级 TDE 万能密钥,万能密钥永远不会在未加密的情况下离开设备。

    对软件钱夹(对于表空间加密和加密的转储文件以及使用基于软件的万能密钥所创建的备份而言,它是必需的)的访问应当通过文件级别的许可进行限制。加密该钱夹(基于 PKCS#5)的口令应当包含超过 10 个字母和数字字符。软件钱夹口令可通过 Oracle Wallet Manager 修改。改变钱夹口令不会影响 TDE 万能密钥(它们彼此无关)。钱夹口令甚至可以阻止拥有“root”权限并可访问钱夹文件的用户获取 TDE 万能密钥。


                    

  20. Oracle Wallet Manager 在哪个默认位置寻找钱夹?                

    在 Unix 和 Linux 中,其位置是

      /etc/ORACLE/WALLETS/<Oracle software owner user name>
    

    通常转换为

      /etc/ORACLE/WALLETS/oracle
    

                    

  21. 可否使用 Oracle Wallet Manager (OWM) 为 TDE 创建加密钱夹和万能密钥                

    不能。如果您使用 Oracle Wallet Manager 创建加密钱夹,则无法包含 TDE 所需的万能密钥。只有以下 SQL 命令:

      SQL> alter system set encryption key identified by "wallet_password";
    

    能够创建软件钱夹(若其不存在),并为其添加一个万能密钥。

      SQL> alter system set encryption key identified by "userID:password";
    

    能够在 HSM 设备内创建一个万能密钥。用户 ID 和口令是 HSM 设备内所创建的用户的证书,用于支持与 Oracle 数据库的通信。在此之前,需要将 HSM 厂商的库放到存档的目录中,同时需要在 sqlnet.ora 中将字符串“METHOD=FILE”改为“METHOD=HSM”。

    如果您希望升级到某个 HSM 设备后继续使用相同的万能密钥,使用:

      SQL> alter system set encryption key identified by "userID:password"
                                            
    
    
           migrate using "wallet_password";
                                          

                    

  22. 如何创建自动打开的钱夹?                

    自动打开的钱夹 ('cwallet.sso') 需要利用现有的加密钱夹 ('ewallet.p12') 创建,这样万能密钥就能在自动打开的钱夹中使用了。

    您可以在 Oracle Wallet Manager (OWM) 中打开加密钱夹,选中“Auto Login”复选框,然后选择“Save”将自动打开的钱夹写到磁盘上,也可以使用命令行工具“orapki”:

      orapki wallet create -wallet <wallet_location> -auto_login
    

    两种情况都要求提供钱夹口令。


                    

  23. 使用 Oracle 安全备份时,如何避免将 Oracle TDE 钱夹备份到 RMAN 数据库备份所在的磁带上?                

    RMAN 将数据库文件、重做日志等添到备份文件中,因此加密钱夹或自动打开的钱夹不会成为数据库备份的一部分。Oracle 安全备份 (OSB) 使用数据集来定义待备份的操作系统文件。OSB 自动排除自动打开的钱夹 ('cwallet.sso')。加密钱夹 ('ewallet.p12') 不会被自动排除。您需要使用排除数据集语句来指定备份过程中需要跳过的文件:

       exclude name ewallet.p12
    

    有关 EXCLUDE 关键字的详细说明


                    

  24. 什么是 Oracle 安全备份 (OSB)?                

    OSB 为 Oracle 数据库提供优化的、高效的磁带备份解决方案。OSB 能够以加密的格式在磁带上存储数据,从而防范备份磁带被盗窃。


                    

  25. 可否使用 Oracle 安全备份对发送至磁盘的备份进行加密?                

    不能。不过,Oracle RMAN 可与 Oracle Advanced Security 一起使用,以便对磁盘上的数据库备份进行加密。


                    

  26. TDE 可否与 Data Guard 和 Oracle RAC 协同工作?                

    可以。TDE 可以与 Data Guard(物理或逻辑备份)和真正应用集群 (RAC) 协同工作,但前提是,您必须将包含万能密钥的钱夹复制到其他实例中,同时要将各个实例上的钱夹打开,以使这些实例均可使用该万能密钥。


                    

  27. 是否有其他不能与列级 TDE 协同工作的数据库特性?                

    当数据经过 SQL 层时,列级 TDE 会对数据进行透明地加密和解密。Oracle 的某些特性会跳过 SQL 层,因此不能利用 TDE:

      Materialized View Logs
      Sync. and async. CDC (change data capture)
      Classical LOBs (SecureFile LOBs  
                                                
    are supported)
                                          

                    

  28. 可否使用带有直接路径的 SQL*Loader 将数据加载到包含加密列的表中?                

    可以。SQL*Loader 语法、.dat 文件和 .ctl 文件不会有任何变化。如果目标表包含有加密的列,数据将在加载时进行透明加密。 以下简单示例说明了如何使用带有直接路径的 SQL*Loader。只需将 ulcase6.sql 中的一行从

       sal number(7,2),
    

    更改为

       sal number(7,2) encrypt no salt,
    

    并使用 SQL*Loader 的正确语法:

       sqlldr USERID=scott/tiger CONTROL=ulcase6.ctl LOG=ulcase6.log DIRECT=TRUE
    

                    

  29. 在重新生成万能密钥和/或列密钥后如何恢复数据?                

     

    1. 在创建备份后到将其恢复前,万能密钥已发生更改。                                          
                          在这种情况下,恢复包含加密列的表对用户而言是透明的。TDE 钱夹对过期万能密钥的历史进行了记录,同时自动将正确的万能密钥应用到备份数据上。这就是为什么经常备份钱夹(备份到与加密数据不同的位置)如此重要的原因。
    2. 在创建备份后到将其恢复前,全部或部分加密列的列密钥已重新生成:                                          
                          如果已使用 RMAN 在磁盘上创建备份文件,除非指示 RMAN 执行加密操作,否则文件不会被加密。当文件被读取回时,它的列会使用新的列密钥重新加密,而不论 RMAN 是否对文件进行了加密。


                    

  30. 如何加密超大型表(包含数十亿行)中的列?                

    对现有表中的列进行加密仅允许对该表进行 Read 访问,而不允许进行 DML 操作。由于有数十亿行,这一可用性有限的窗口会持续很长时间。 联机重新定义仅需要一个持续时间非常短的窗口对原始表进行锁定。该时间长度与加密数据的数量或重新定义的复杂性无关,并且对用户和应用程序是透明的。


                    

  31. 加密列中的现有数据后再查看数据库文件,有时仍能看到某些明文值。为什么?                

    这种情况与即使已删除表或文件、但仍然会在磁盘上看到数据的情况相同。在一个表的生命周期内,数据可能会在表空间内分段、重新整理、排序、复制和移动。这会在数据库文件中留下数据的“虚副本”。在加密现有列时,仅最新的“有效”副本被加密,这就将旧的明文版本留在了“虚副本”中。如果直接访问包含表空间的数据文件,从而绕过数据库的访问控制(例如,带有十六进制编辑器的数据库),那么在那些块被数据库覆盖之前,有时就会看到旧的明文值。为使风险最小化,请遵循下面的建议:

    1. 在新的数据文件中创建一个新的表空间 (CREATE TABLESPACE ... )
    2. 对原始表空间和数据文件中的明文值进行加密 (ALTER TABLE ...ENCRYPT)
    3. 对包含加密列的所有表执行步骤 2
    4. 将原始表空间中的所有表移到新的数据文件中 (ALTER TABLE ....MOVE... )
    5. 删除原始表空间 (DROP TABLESPACE)不要使用“and datafiles”参数,Oracle 推荐使用更强大的方法进行 OS 级操作,参见步骤 6
    6. 针对您的平台使用“shred”、“eraser”、“SDelete”或其他命令,以便在 OS 级别上删除旧数据文件


    建议您使用第 6 步操作来降低数据库文件出现虚副本的概率,不论这些副本是由操作系统生成还是由存储固件生成。



    

技术信息

 常见问题解答
 技术白皮书

上机操作:

 使用 透明数据加密
false ,,,,,,,,,,,,,,,,                        
作者:royjj 发表于2013-7-1 19:23:51 原文链接
阅读:94 评论:0 查看评论

相关 [透明 数据 加密] 推荐:

透明数据加密

- - CSDN博客数据库推荐文章
透明数据加密                                          .                         常见问题解答. 数据在网络上依然是加密状态吗. 任何人只要获得应用程序的授权就能对数据进行解密吗. TDE 与 Oracle 提供的加密方法有何不同. 哪些加密算法可与 TDE 一同使用.

Tomcat数据库连接池数据库密码加密

- - Java - 编程语言 - ITeye博客
2、Factory中实现数据库密码解密. 3、将以上两个类打包(vajra-dbsecure.jar),并指定Main入口类. 4、tomcat全局数据源中使用加密后的数据库密码. 已有 0 人发表留言,猛击->> 这里<<-参与讨论. —软件人才免语言低担保 赴美带薪读研.

iOS中使用RSA对数据进行加密解密

- - ITeye博客
RSA算法是一种非对称加密算法,常被用于加密数据传输.如果配合上数字摘要算法, 也可以用于文件签名.. 本文将讨论如何在iOS中使用RSA传输加密数据.. openssl-1.0.1j, openssl需要使用1.x版本, 推荐使用[homebrew](http://brew.sh/)安装.. RSA使用"秘匙对"对数据进行加密解密.在加密解密数据前,需要先生成公钥(public key)和私钥(private key)..

敏感数据加密方案及实现

- - 掘金前端
这是第 73 篇不掺水的原创,想获取更多原创好文,请搜索公众号关注我们吧~ 本文首发于政采云前端博客:. 现在是大数据时代,需要收集大量的个人信息用于统计. 一方面它给我们带来了便利,另一方面一些个人信息数据在无意间被泄露,被非法分子用于推销和黑色产业. 2018 年 5 月 25 日,欧盟已经强制执行《通用数据保护条例》(General Data Protection Regulation,缩写作 GDPR).

用 Nginx 在公网上搭建加密数据通道

- - 卡瓦邦噶!
最近在跨机房做一个部署,因为机房之间暂时没有专线,所以流量需要经过公网. 对于经过公网的流量,我们一般需要做以下的安全措施:. 只能允许已知的 IP 来访问;. 第一项很简单,一般的防火墙,或者 Iptables 都可以做到. 对于加密的部分,最近做了一些实验和学习,这篇文章总结加密的实现方案,假设读者没有 TLS 方面的背景知识,会简单介绍原理和所有的代码解释.

来自CB:大多数IT专业人员不加密客户数据

- - 膘叔
看完后才觉得,原来国内那些公司这样的习惯行为是和国外学的. 怪不得用户对于现在的互联网公司越来越不能信任了,怎么办. 特别是那些公司中存有我们帐号信息的那些. 还是以后只能到付而尽量不做在线支付. 调查结果显示,大多数遭到客户数据丢失或被盗的公司的IT专业人士表示,其用户数据并未进行加密. 根据Ponemon研究所进行、信用检查公司Experian赞助的这项研究结果显示,数据丢失包括电子邮件,信用卡或银行支付信息和社会安全号码等.

透明口罩:Masclear

- Paul - 爱…稀奇~{新鲜:科技:创意:有趣}
作为一个在非典肆虐的时候身在北京的倒霉鬼,如果你要问我这个事情给我留下最深刻的印象是什么,那么我很有可能会回答你,美女,满大街都是美女——为啥. 因为是个人都戴着口罩,一张脸遮了大半之后,只剩下眼睛,别提多水灵了~. 你看医院那些个医生护士,即便真的是天生丽质难自弃,天天看着口罩,估计也腻味得要吐了——还是能看到樱桃小嘴+烈焰红唇的来得好啊~于是乎这样的透明口罩便应运而生了:.

纯CSS3透明水晶盒

- iVane - 前端观察
相信大家有看过这个例子:3D盒子,在书《CSS3 实战》上第282页有个综合实战“设计动态立体盒子”的例子,实现方式跟它一样,我的盒子也是以它为原型来设计的,不过在实现方面有做修改、优化,以及增添了一些细节,下面是我的盒子Firefox截图:. 透明化了盒子,通透性强了,因为透明了,所以背部的三个面也就要做出来了,所以总共6个面,比原作多3个;.

[] VoIP业务应该透明化

- ss - 科技专栏-网易科技
网易科技专栏作家 笨狸(微博). Google再次发力,把原本只有美国本土才能使用的GMAIL直接拨号这个VoIP功能扩展到几乎全世界范围都能使用了,当然,中国用户也可以使用,前提是要把GMAIL的语言设置为英文. 其实,很多GMAIL的新功能,都要在英文界面下才能被释放. 虽然中移动再三声称不愿意只充当通信市场上的通道商,但事实上,他们现在连通道商的资格都岌岌可危了.

【新鲜设计】透明的电脑

- wang - 新鲜网|Fre.sh.cn
某天当你兴致勃勃的打开电脑准备上网的时候,突然发现显示器变成了透明状,你一定会惊呼自己已经穿越到了未来. 实际上这样的场景已经被电脑极客们反复演示了无数次,具体原理不解释,你们都懂的~~.