Oracle 11g透明数据加密安全特性解析

核心提示： 清单1中的内容显示了我在SQLNET.ORA网络配置文件中添加的内容，以便在我指定的目录中创建默认的TDE PKI密钥文件ewallet.p12，Oracle 11g透明数据加密安全特性解析(2)，然后我使用ALTER SYSTEM SET ENCRYPTION KEY命令打开这个&ldq

清单1中的内容显示了我在SQLNET.ORA网络配置文件中添加的内容，以便在我指定的目录中创建默认的TDE PKI密钥文件ewallet.p12，然后我使用ALTER SYSTEM SET ENCRYPTION KEY命令打开这个“wallet”并开启加密特性。

清单1 开启透明数据加密

在SQLNET.ORA网络配置文件中添加参数设置开启Oracle 11g数据库的透明数据加密功能

ENCRYPTION_WALLET_LOCATION　=
　
(SOURCE=
(METHOD=FILE)
(METHOD_DATA=
(DIRECTORY=/u01/app/oracle/admin/orcl/wallet))

然后，打开wallet并设置加密密钥密码激活Oracle 11g的加密功能

SQL>　ALTER　SYSTEM　SET　ENCRYPTION　KEY　IDENTIFIED　BY　"r3aL1y!T16ht";
　
SQL>　ALTER　SYSTEM　SET　ENCRYPTION　WALLET　OPEN　IDENTIFIED　BY　"r3aL1y!T16ht";
　

2、控制SecureFile加密

完成TDE设置后，在开启SecureFile LOB加密相对就简单了，和在Oracle表中开启其它类型的加密很类似，ENCRYPT告诉Oracle在现有SecureFile LOB上应用TDE加密，也可以通过DECRYPT告诉Oracle从SecureFile LOB上移除加密特性。

3、改变SecureFile加密算法或加密密钥

和其它Oracle数据类型一样，ALTER TABLE REKEY命令可以用来修改当前的加密算法，如默认的加密算法AES192改为AES256，TDE PKI密钥发生变化的话，REKEY命令也可以用于重新加密现有的SecureFile LOB。Oracle将会在块级进行加密，确保重新加密执行得更有效。

但请注意在相同的分区下对应的SecureFile LOB段只能够被修改为启用或禁用加密，如LOB段不能被REKEY，这是因为Oracle 11g在相同的LOB分区内对所有SecureFile LOB使用了相同的加密算法。