【51CTO.COM獨家翻譯】Oracle 10gR2中引入了透明數(shù)據(jù)加密功能后，大大簡化了加密數(shù)據(jù)文件中的數(shù)據(jù)，預防來自操作系統(tǒng)的訪問，表空間加密擴展了這種技術，允許對表空間中的內(nèi)容條目進行加密，而不是基于一列一列地配置加密。

創(chuàng)建wallet

設置表空間加密的環(huán)境與透明數(shù)據(jù)加密的環(huán)境一致，在嘗試創(chuàng)建一個加密表空間之前，先要創(chuàng)建一個wallet來保留加密密鑰，按照下面的順序搜索wallet：

1、sqlnet.ora文件中參數(shù)ENCRYPTION_WALLET_LOCATION指定的位置

2、sqlnet.ora文件中參數(shù)WALLET_LOCATION指定的位置

3、wallet默認位置（$ORACLE_BASE/admin/$ORACLE_SID/wallet）

盡管加密表空間可以共享默認的數(shù)據(jù)庫wallet，但Oracle建議你為透明數(shù)據(jù)加密功能單獨使用一個wallet，只需要在sqlnet.ora文件中為參數(shù)ENCRYPTION_WALLET_LOCATION指定一個值即可，我們在sqlnet.ora文件中添加了下面的行，并確保指定的目錄已經(jīng)被創(chuàng)建好了。

ENCRYPTION_WALLET_LOCATION=

(SOURCE=(METHOD=FILE)(METHOD_DATA=

(DIRECTORY=/u01/app/oracle/admin/DB11G/encryption_wallet/)))

這個參數(shù)也可用于標識硬件安全模型（HSM）作為wallet位置。

下面的命令創(chuàng)建和打開wallet。

CONN sys/password@db11g AS SYSDBA

ALTER SYSTEM SET ENCRYPTION KEY AUTHENTICATED BY "myPassword";

wallet在實例重啟后必須重新打開才能防止對加密數(shù)據(jù)的訪問。

ALTER SYSTEM SET WALLET OPEN IDENTIFIED BY "myPassword";

ALTER SYSTEM SET WALLET CLOSE;

創(chuàng)建表空間

加密表空間是通過帶有USING子句指定加密算法的ENCRYPTION子句創(chuàng)建的，如果沒有USING子句，默認的加密算法是AES128，另外，必須指定default storage（encrypt）子句，表空間加密不允許在TDE（透明數(shù)據(jù)加密）可用的NO SALT選項，下面的語句創(chuàng)建了一個加密表空間，用USING子句明確地指出了加密算法使用AES256。

CREATE TABLESPACE encrypted_ts

DATAFILE '/u01/app/oracle/oradata/DB11G/encrypted_ts01.dbf' SIZE 128K

AUTOEXTEND ON NEXT 64K

ENCRYPTION USING 'AES256'

DEFAULT STORAGE(ENCRYPT);

ALTER USER test QUOTA UNLIMITED ON encrypted_ts;

視圖DBA_TABLESPACES和USER_TABLESPACES中的ENCRYPTED列指出了表空間是否加密。

SELECT tablespace_name, encrypted FROM dba_tablespaces;

TABLESPACE_NAME ENC

------------------------------ ---

SYSTEM NO

SYSAUX NO

UNDOTBS1 NO

TEMP NO

USERS NO

ENCRYPTED_TS YES

6 rows selected.

SQL>

普通表空間是不能轉換到加密表空間的，相反，數(shù)據(jù)必須被手工使用導出/導入進行轉移，“alter table ... move ...”或“create table ... as select * from ...”

測試加密

我們可以創(chuàng)建一些對象測試加密，下面的代碼在加密表空間中創(chuàng)建了一個表和一個索引，并在表中插入了一行數(shù)據(jù)。

CONN test/test@db11g

CREATE TABLE ets_test (

id NUMBER(10),

data VARCHAR2(50)

)

TABLESPACE encrypted_ts;

CREATE INDEX ets_test_idx ON ets_test(data) TABLESPACE encrypted_ts;

INSERT INTO ets_test (id, data) VALUES (1, 'This is a secret!');

COMMIT;

清空緩沖區(qū)確保數(shù)據(jù)寫入到數(shù)據(jù)文件中。

CONN sys/password@db11g AS SYSDBA

ALTER SYSTEM FLUSH BUFFER_CACHE;

當使用十六進制編輯器（如UltraEdit）打開這個文件時只能看到不可打印的字符，在加密表空間的表或索引中的數(shù)據(jù)是不可見的，成為了機密信息！

當你測試完加密表空間，一定要清除表空間和對應的數(shù)據(jù)文件。

DROP TABLESPACE encrypted_ts INCLUDING CONTENTS AND DATAFILES;

更多信息請查看IT技術專欄