【51CTO.COM独家翻译】Oracle 10gR2中引入了透明数据加密功能后，大大简化了加密数据文件中的数据，预防来自操作系统的访问，表空间加密扩展了这种技术，允许对表空间中的内容条目进行加密，而不是基于一列一列地配置加密。

创建wallet

设置表空间加密的环境与透明数据加密的环境一致，在尝试创建一个加密表空间之前，先要创建一个wallet来保留加密密钥，按照下面的顺序搜索wallet：

1、sqlnet.ora文件中参数ENCRYPTION_WALLET_LOCATION指定的位置

2、sqlnet.ora文件中参数WALLET_LOCATION指定的位置

3、wallet默认位置（$ORACLE_BASE/admin/$ORACLE_SID/wallet）

尽管加密表空间可以共享默认的数据库wallet，但Oracle建议你为透明数据加密功能单独使用一个wallet，只需要在sqlnet.ora文件中为参数ENCRYPTION_WALLET_LOCATION指定一个值即可，我们在sqlnet.ora文件中添加了下面的行，并确保指定的目录已经被创建好了。

ENCRYPTION_WALLET_LOCATION=

(SOURCE=(METHOD=FILE)(METHOD_DATA=

(DIRECTORY=/u01/app/oracle/admin/DB11G/encryption_wallet/)))

这个参数也可用于标识硬件安全模型（HSM）作为wallet位置。

下面的命令创建和打开wallet。

CONN sys/password@db11g AS SYSDBA

ALTER SYSTEM SET ENCRYPTION KEY AUTHENTICATED BY "myPassword";

wallet在实例重启后必须重新打开才能防止对加密数据的访问。

ALTER SYSTEM SET WALLET OPEN IDENTIFIED BY "myPassword";

ALTER SYSTEM SET WALLET CLOSE;

创建表空间

加密表空间是通过带有USING子句指定加密算法的ENCRYPTION子句创建的，如果没有USING子句，默认的加密算法是AES128，另外，必须指定default storage（encrypt）子句，表空间加密不允许在TDE（透明数据加密）可用的NO SALT选项，下面的语句创建了一个加密表空间，用USING子句明确地指出了加密算法使用AES256。

CREATE TABLESPACE encrypted_ts

DATAFILE '/u01/app/oracle/oradata/DB11G/encrypted_ts01.dbf' SIZE 128K

AUTOEXTEND ON NEXT 64K

ENCRYPTION USING 'AES256'

DEFAULT STORAGE(ENCRYPT);

ALTER USER test QUOTA UNLIMITED ON encrypted_ts;

视图DBA_TABLESPACES和USER_TABLESPACES中的ENCRYPTED列指出了表空间是否加密。

SELECT tablespace_name, encrypted FROM dba_tablespaces;

TABLESPACE_NAME ENC

------------------------------ ---

SYSTEM NO

SYSAUX NO

UNDOTBS1 NO

TEMP NO

USERS NO

ENCRYPTED_TS YES

6 rows selected.

SQL>

普通表空间是不能转换到加密表空间的，相反，数据必须被手工使用导出/导入进行转移，“alter table ... move ...”或“create table ... as select * from ...”

测试加密

我们可以创建一些对象测试加密，下面的代码在加密表空间中创建了一个表和一个索引，并在表中插入了一行数据。

CONN test/test@db11g

CREATE TABLE ets_test (

id NUMBER(10),

data VARCHAR2(50)

)

TABLESPACE encrypted_ts;

CREATE INDEX ets_test_idx ON ets_test(data) TABLESPACE encrypted_ts;

INSERT INTO ets_test (id, data) VALUES (1, 'This is a secret!');

COMMIT;

清空缓冲区确保数据写入到数据文件中。

CONN sys/password@db11g AS SYSDBA

ALTER SYSTEM FLUSH BUFFER_CACHE;

当使用十六进制编辑器（如UltraEdit）打开这个文件时只能看到不可打印的字符，在加密表空间的表或索引中的数据是不可见的，成为了机密信息！

当你测试完加密表空间，一定要清除表空间和对应的数据文件。

DROP TABLESPACE encrypted_ts INCLUDING CONTENTS AND DATAFILES;

更多信息请查看IT技术专栏