Oracle 11g透明数据加密安全特性解析

核心提示： 和加密列一样，在创建加密表空间之前，Oracle 11g透明数据加密安全特性解析(4)，数据库加密wallet必须先打开才行，通过CREATE TABLESPACE命令中新的ENCRYPTION指令，我将使用这个新的表空间作为容器，存储后面我们将要讨论到的通过SecureFile在表中存储

和加密列一样，在创建加密表空间之前，数据库加密wallet必须先打开才行，通过CREATE TABLESPACE命令中新的ENCRYPTION指令，新的表空间将会自动应用指定的加密算法到所有存储在其内部的对象，默认采用的是AES 128位加密算法，但可以应用任意一个标准的加密算法(3DES168，AES128，AES192和AES256之一)，如果不出什么问题的话，一个加密表空间可以传输到一个不同的Oracle 11g数据库中，只要源和目标数据库服务器使用了相同的endianness，并共享了相同的加密wallet即可。

但注意临时表空间和UNDO表空间不能使用这类加密算法，同样，扩展表源数据和扩展LOB(如BFILE)也不能加密。最后，由于加密密钥是在表级应用的，因此无法为加密表空间内的加密对象执行全局rekey，但在初始化加密表空间时可以使用这个方法来执行一次rekey操作。

为了说明加密表空间的特性，我创建了一个新的表空间PATIMAGES，采用了AES 256位加密算法，如清单3中的代码所示。我将使用这个新的表空间作为容器，存储后面我们将要讨论到的通过SecureFile在表中存储敏感的医疗信息：使用来自DICOM文件的源数据，在Oracle 11g中存储医疗影像和相关信息。

清单3 创建一个加密表空间存储敏感信息

DROP　TABLESPACE　patimages　INCLUDING　CONTENTS　AND　DATAFILES;
　
CREATE　TABLESPACE　patimages
DATAFILE　'/u01/app/oracle/oradata/orcl/patimages01.dbf'
SIZE　64M　REUSE
EXTENT　MANAGEMENT　LOCAL
UNIFORM　SIZE　1M
SEGMENT　SPACE　MANAGEMENT　AUTO
ENCRYPTION　USING　'AES256'
DEFAULT　STORAGE　(ENCRYPT);

DICOM：存储病人医疗影像和元数据的工业标准