【IT168 技术文档】
升级大对象(Large Object,即LOB)存储能力的关键原因是在Oracle 11g中数据安全需求越来越高,本文主要是研究如何扩充对LOB和表空间的透明数据加密(Transparent Data Encryption,即TDE)特性来提高数据的安全性,并解释这些特性是如何保护复杂的、非结构化数据的,如医学数字图像通讯信息(Digital Imaging for Communication of Medical Information,即DICOM)对象。
Oracle 11g新的SecureFile特性主要是集中在数据压缩和重复数据删除方面,主要是为了节约存储LOB对象的空间,当然在安全特性方面Oracle 11g不仅只有这两个,所有这些安全特性也非常符合最近当选的美国总统奥巴马颁布的议事日程,白宫的技术方向明确指明新的管理计划:
在电子信息技术系统方面增加投入以降低医疗保健方面的成本,使用卫生信息技术降低医疗保健方面的成本,每年投入100亿美元,到五年后让美国的医疗保健系统扩展为基于标准的电子医疗信息系统,包括电子健康记录。
加密LOB:把安全放进SecureFile
Oracle 11g现在把在SecureFile LOB中存储敏感信息放在非常重要的战略位置,因为这样才能够证明在Oracle 10gR2中推出的透明数据加密(TDE)的作用,TDE在列级提供了遵循工业标准的自动加密算法(如3DES168,AES128,AES192和AES256)。
1、开启透明数据加密
在开始使用透明数据加密特性之前,需要在数据库中进行一翻设置,幸运的是,在Oracle 11g数据库中这个设置非常简单了,因为现在只需要在数据库的网络配置文件中添加合适的配置目录即可,在之前的Oracle版本中,最简单的方法就是通过Oracle Wallet Manager utility设置这个“wallet”文件,欲了解前期版本是如何启用透明数据加密特性的,请参考我之前的文章“如何在Oracle 10g R2中实现透明数据加密”。
清单1中的内容显示了我在SQLNET.ORA网络配置文件中添加的内容,以便在我指定的目录中创建默认的TDE PKI密钥文件ewallet.p12,然后我使用ALTER SYSTEM SET ENCRYPTION KEY命令打开这个“wallet”并开启加密特性。
清单1 开启透明数据加密
在SQLNET.ORA网络配置文件中添加参数设置开启Oracle 11g数据库的透明数据加密功能
(SOURCE=
(METHOD=FILE)
(METHOD_DATA=
(DIRECTORY=/u01/app/oracle/admin/orcl/wallet)
)
然后,打开wallet并设置加密密钥密码激活Oracle 11g的加密功能
SQL> ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY "r3aL1y!T16ht";
2、控制SecureFile加密
完成TDE设置后,在开启SecureFile LOB加密相对就简单了,和在Oracle表中开启其它类型的加密很类似,ENCRYPT告诉Oracle在现有SecureFile LOB上应用TDE加密,也可以通过DECRYPT告诉Oracle从SecureFile LOB上移除加密特性。
3、改变SecureFile加密算法或加密密钥
和其它Oracle数据类型一样,ALTER TABLE REKEY命令可以用来修改当前的加密算法,如默认的加密算法AES192改为AES256,TDE PKI密钥发生变化的话,REKEY命令也可以用于重新加密现有的SecureFile LOB。Oracle将会在块级进行加密,确保重新加密执行得更有效。
但请注意在相同的分区下对应的SecureFile LOB段只能够被修改为启用或禁用加密,如LOB段不能被REKEY,这是因为Oracle 11g在相同的LOB分区内对所有SecureFile LOB使用了相同的加密算法。
清单2显示这些命令的示例。
清单2 对已有的SecureFile LOB应用透明数据加密
应用默认的加密给单个SecureFile LOB
MODIFY (document CLOB ENCRYPT);
应用非默认的AES 256位加密算法给单个SecureFile LOB
MODIFY (scrnimg CLOB ENCRYPT USING 'AES256');
为单个SecureFile LOB rekey加密
MODIFY (scrnimg CLOB REKEY USING 'AES192');
将加密应用给一个分区段
MODIFY PARTITION sts_open (LOB(document) (ENCRYPT));
从单个SecureFile LOB中移除加密
MODIFY (scrnimg CLOB DECRYPT);
加密表空间
Oracle 10g R2将它的加密能力扩展到数据库的任意表和索引了,但要识别和隔离那些需要加密的对象和列工作量很大,通常,可能仅仅是将许多在业务功能上相似的对象全部加密了,如数据库中所有封装了机密雇员信息的表和索引,为了使在这些情况下的加密变得更加简单易行,Oracle 11g现在可以加密整个表空间了。
表空间加密仍然是在块级实现的,但遗憾的是它不能在现有的表空间上执行,因此Oracle DBA必须在一开始创建表空间的时候就启用加密,然后Oracle DBA就可以使用ALTER TABLE MOVE命令来将表移动到加密表空间中,与此类似,已有的索引也可以通过重新创建命令ALTER INDEX REBUILD ONLINE,直接迁移到加密表空间中去。
和加密列一样,在创建加密表空间之前,数据库加密wallet必须先打开才行,通过CREATE TABLESPACE命令中新的ENCRYPTION指令,新的表空间将会自动应用指定的加密算法到所有存储在其内部的对象,默认采用的是AES 128位加密算法,但可以应用任意一个标准的加密算法(3DES168,AES128,AES192和AES256之一),如果不出什么问题的话,一个加密表空间可以传输到一个不同的Oracle 11g数据库中,只要源和目标数据库服务器使用了相同的endianness,并共享了相同的加密wallet即可。
但注意临时表空间和UNDO表空间不能使用这类加密算法,同样,扩展表源数据和扩展LOB(如BFILE)也不能加密。最后,由于加密密钥是在表级应用的,因此无法为加密表空间内的加密对象执行全局rekey,但在初始化加密表空间时可以使用这个方法来执行一次rekey操作。
为了说明加密表空间的特性,我创建了一个新的表空间PATIMAGES,采用了AES 256位加密算法,如清单3中的代码所示。我将使用这个新的表空间作为容器,存储后面我们将要讨论到的通过SecureFile在表中存储敏感的医疗信息:使用来自DICOM文件的源数据,在Oracle 11g中存储医疗影像和相关信息。
清单3 创建一个加密表空间存储敏感信息
CREATE TABLESPACE patimages
DATAFILE '/u01/app/oracle/oradata/orcl/patimages01.dbf'
SIZE 64M REUSE
EXTENT MANAGEMENT LOCAL
UNIFORM SIZE 1M
SEGMENT SPACE MANAGEMENT AUTO
ENCRYPTION USING 'AES256'
DEFAULT STORAGE (ENCRYPT);