Oracle 11g透明數據加密安全特性解析

升級大對象(Large Object，即LOB)存儲能力的關鍵原因是在Oracle 11g中數據安全需求越來越高，本文主要是研究如何擴充對LOB和表空間的透明數據加密(Transparent Data Encryption，即TDE)特性來提高數據的安全性，並解釋這些特性是如何保護復雜的、非結構化數據的，如醫學數字圖像通訊信息(Digital Imaging for Communication of Medical Information，即DICOM)對象。

Oracle 11g新的SecureFile特性主要是集中在數據壓縮和重復數據刪除方面，主要是為了節約存儲LOB對象的空間，當然在安全特性方面Oracle 11g不僅只有這兩個，所有這些安全特性也非常符合最近當選的美國總統奧巴馬頒布的議事日程，白宮的技術方向明確指明新的管理計劃：

在電子信息技術系統方面增加投入以降低醫療保健方面的成本，使用衛生信息技術降低醫療保健方面的成本，每年投入100億美元，到五年後讓美國的醫療保健系統擴展為基於標准的電子醫療信息系統，包括電子健康記錄。

加密LOB：把安全放進SecureFile

Oracle 11g現在把在SecureFile LOB中存儲敏感信息放在非常重要的戰略位置，因為這樣才能夠證明在Oracle 10gR2中推出的透明數據加密(TDE)的作用，TDE在列級提供了遵循工業標准的自動加密算法(如3DES168，AES128，AES192和AES256)。

1、開啟透明數據加密

在開始使用透明數據加密特性之前，需要在數據庫中進行一翻設置，幸運的是，在Oracle 11g數據庫中這個設置非常簡單了，因為現在只需要在數據庫的網絡配置文件中添加合適的配置目錄即可，在之前的Oracle版本中，最簡單的方法就是通過Oracle Wallet Manager utility設置這個“wallet”文件，欲了解前期版本是如何啟用透明數據加密特性的，請參考我之前的文章“如何在Oracle 10g R2中實現透明數據加密”。

清單1中的內容顯示了我在SQLNET.ORA網絡配置文件中添加的內容，以便在我指定的目錄中創建默認的TDE PKI密鑰文件ewallet.p12，然後我使用ALTER SYSTEM SET ENCRYPTION KEY命令打開這個“wallet”並開啟加密特性。

清單1 開啟透明數據加密

在SQLNET.ORA網絡配置文件中添加參數設置開啟Oracle 11g數據庫的透明數據加密功能

ENCRYPTION_WALLET_LOCATION　=

(SOURCE=
(METHOD=FILE)
(METHOD_DATA=
(DIRECTORY=/u01/app/oracle/admin/orcl/wallet))

然後，打開wallet並設置加密密鑰密碼激活Oracle 11g的加密功能

SQL>　ALTER　SYSTEM　SET　ENCRYPTION　KEY　IDENTIFIED　BY　"r3aL1y!T16ht";

SQL>　ALTER　SYSTEM　SET　ENCRYPTION　WALLET　OPEN　IDENTIFIED　BY　"r3aL1y!T16ht";

2、控制SecureFile加密

完成TDE設置後，在開啟SecureFile LOB加密相對就簡單了，和在Oracle表中開啟其它類型的加密很類似，ENCRYPT告訴Oracle在現有SecureFile LOB上應用TDE加密，也可以通過DECRYPT告訴Oracle從SecureFile LOB上移除加密特性。

3、改變SecureFile加密算法或加密密鑰

和其它Oracle數據類型一樣，ALTER TABLE REKEY命令可以用來修改當前的加密算法，如默認的加密算法AES192改為AES256，TDE PKI密鑰發生變化的話，REKEY命令也可以用於重新加密現有的SecureFile LOB。Oracle將會在塊級進行加密，確保重新加密執行得更有效。

但請注意在相同的分區下對應的SecureFile LOB段只能夠被修改為啟用或禁用加密，如LOB段不能被REKEY，這是因為Oracle 11g在相同的LOB分區內對所有SecureFile LOB使用了相同的加密算法。