Oracle 10gR2中引入了透明数据加密功能后,大大简化了加密数据文件中的数据,预防来自操作系统的访问,表空间加密扩展了这种技术,允许对表空间中的内容条目进行加密,而不是基于一列一列地配置加密。
创建wallet
设置表空间加密的环境与透明数据加密的环境一致,在尝试创建一个加密表空间之前,先要创建一个wallet来保留加密密钥,按照下面的顺序搜索wallet:
1、sqlnet.ora文件中参数ENCRYPTION_WALLET_LOCATION指定的位置
2、sqlnet.ora文件中参数WALLET_LOCATION指定的位置
3、wallet默认位置($ORACLE_BASE/admin/$ORACLE_SID/wallet)
尽管加密表空间可以共享默认的数据库wallet,但Oracle建议你为透明数据加密功能单独使用一个wallet,只需要在sqlnet.ora文件中为参数ENCRYPTION_WALLET_LOCATION指定一个值即可,我们在sqlnet.ora文件中添加了下面的行,并确保指定的目录已经被创建好了。
ENCRYPTION_WALLET_LOCATION=
(SOURCE=(METHOD=FILE)(METHOD_DATA=
(DIRECTORY=/u01/app/oracle/admin/DB11G/encryption_wallet/)))
这个参数也可用于标识硬件安全模型(HSM)作为wallet位置。
下面的命令创建和打开wallet。
CONN sys/password@db11g AS SYSDBA
ALTER SYSTEM SET ENCRYPTION KEY AUTHENTICATED BY "myPassword";
wallet在实例重启后必须重新打开才能防止对加密数据的访问。
ALTER SYSTEM SET WALLET OPEN IDENTIFIED BY "myPassword";
ALTER SYSTEM SET WALLET CLOSE;
创建表空间
加密表空间是通过带有USING子句指定加密算法的ENCRYPTION子句创建的,如果没有USING子句,默认的加密算法是AES128,另外,必须指定default storage(encrypt)子句,表空间加密不允许在TDE(透明数据加密)可用的NO SALT选项,下面的语句创建了一个加密表空间,用USING子句明确地指出了加密算法使用AES256。
|
普通表空间是不能转换到加密表空间的,相反,数据必须被手工使用导出/导入进行转移,“alter table ... move ...”或“create table ... as select * from ...”
测试加密
我们可以创建一些对象测试加密,下面的代码在加密表空间中创建了一个表和一个索引,并在表中插入了一行数据。
|
当使用十六进制编辑器(如UltraEdit)打开这个文件时只能看到不可打印的字符,在加密表空间的表或索引中的数据是不可见的,成为了机密信息!
当你测试完加密表空间,一定要清除表空间和对应的数据文件。
DROP TABLESPACE encrypted_ts INCLUDING CONTENTS AND DATAFILES;
更多内容请看加密与解密技术、常用软件加密宝典、Oracle 10g基础应用专题,或进入讨论组讨论。
相关专题
- 加密与解密技术 (1185篇文章)
- 常用软件加密宝典 (8125篇文章)
- Oracle 10g基础应用 (4665篇文章)
- 数据库同步与加密 (70篇文章)
- 甲骨文:从手机功能变化看数据库性能扩展 (27次浏览)
- Windows环境中同时安装Oracle9i 10g和11g (25次浏览)
- 测量磁盘I/O (21次浏览)
- 详细讲解Oracle表分区的相关概念及其优点 (16次浏览)
- Oracle 10G 新特性--透明数据加密技术 (15次浏览)
- Oracle数据库exp imp按用户导出导入实例 (12次浏览)
- Oracle中 in 和 not in的巨大区别 (12次浏览)
- Oracle:ERP伸向企业外部 (11次浏览)
- 教你快速掌握一个简单的Oracle定时任务 (9次浏览)
- 教你快速掌握Oracle数据库中的like优化 (9次浏览)
