Transparent Data Encryption (TDE) in Oracle 10g Database Release 2

最新推荐文章于 2026-01-07 17:44:51 发布
转载 最新推荐文章于 2026-01-07 17:44:51 发布 · 95 阅读 · 0
文章标签:

#数据库

本文介绍了Oracle 10g数据库中透明数据加密(TDE)功能的基本使用方法,包括设置过程、性能影响及外部表视图的应用。

Oracle has many security features available within the database, but until now there has been no "out-of-the-box" method for protecting the data at the operating system level. The Transparent Data Encryption (TDE) feature introduced in Oracle 10g Database Release 2 allows sensitive data to be encrypted within the datafiles to prevent access to it from the operating system. This article presents some basic examples of its use.



Setup

In order to show the encryption working we need to open a datafile in a HEX editor. Rather than trying to open a huge datafile, it makes sense to create a small file for this test.

CONN sys/password AS SYSDBA

CREATE TABLESPACE tde_test
  DATAFILE '/u01/oradata/DB10G/tde_test.dbf' SIZE 128K
  AUTOEXTEND ON NEXT 64K;

Next, create a user with with a quota on the new tablespace.

CREATE USER test IDENTIFIED BY test DEFAULT TABLESPACE tde_test;
ALTER USER test QUOTA UNLIMITED ON tde_test;
GRANT CONNECT TO test;
GRANT CREATE TABLE TO test;

Normal Column

First we will prove that the data from a normal column can be seen from the OS. To do this create a test table and insert some data.

CONN test/test

CREATE TABLE tde_test (
  id    NUMBER(10),
  data  VARCHAR2(50)
)
TABLESPACE tde_test;

INSERT INTO tde_test (id, data) VALUES (1, 'This is a secret!');
COMMIT;

Then flush the buffer cache to make sure the data is written to the datafile.

CONN sys/password AS SYSDBA
ALTER SYSTEM FLUSH BUFFER_CACHE;

Open the datafile using a HEX editor (like UltraEdit) and the sentence "This is a secret!" is clearly visible amongst all the non-printable characters.

Encrypted Column

Before attempting to create a table with encrypted columns, a wallet must be created to hold the encryption key. The search order for finding the wallet is as follows:

  1. If present, the location specified by the ENCRYPTION_WALLET_LOCATION parameter in the sqlnet.ora file.
  2. If present, the location specified by the WALLET_LOCATION parameter in the sqlnet.ora file.
  3. The default location for the wallet ($ORACLE_BASE/admin/$ORACLE_SID/wallet).

Although encrypted tablespaces can share the default database wallet, Oracle recommend you use a separate wallet for transparent data encryption functionality by specifying theENCRYPTION_WALLET_LOCATION parameter in the sqlnet.ora file. To accomplish this we add the following entry into the sqlnet.ora file on the server and make sure the specified directory has been created.

ENCRYPTION_WALLET_LOCATION=
  (SOURCE=(METHOD=FILE)(METHOD_DATA=
    (DIRECTORY=/u01/app/oracle/admin/DB10G/encryption_wallet/)))

The following command creates and opens the wallet.

CONN sys/password AS SYSDBA
ALTER SYSTEM SET ENCRYPTION KEY AUTHENTICATED BY "myPassword";

Wallets must be reopened after an instance restart and can be closed to prevent access to encrypted columns.

ALTER SYSTEM SET WALLET OPEN IDENTIFIED BY "myPassword";

ALTER SYSTEM SET WALLET CLOSE;

Create a test table with an encrypted column and insert some data. Using the ENCRYPT clause on its own is the same as using the ENCRYPT USING 'AES192' clause, as AES192 is the default encryption method.

CONN test/test

DROP TABLE tde_test;
PURGE RECYCLEBIN;

CREATE TABLE tde_test (
  id    NUMBER(10),
  data  VARCHAR2(50) ENCRYPT
)
TABLESPACE tde_test;

INSERT INTO tde_test (id, data) VALUES (1, 'This is a secret!');
COMMIT;

Flush the buffer cache to make sure the data is written to the datafile.

CONN sys/password AS SYSDBA
ALTER SYSTEM FLUSH BUFFER_CACHE;

When the file is opened using a HEX editor only non-printable characters are present. The test sentence cannot be seen anywhere, but the data is still clearly visible from a database connection.

SELECT * FROM tde_test;

        ID DATA
---------- --------------------------------------------------
         1 This is a secret!

1 row selected.

Performance

There is a performance overhead associated with the encryption/decryption process. The following tables are used in a performance comparison.

CONN test/test
CREATE TABLE tde_test_1 (
  id    NUMBER(10),
  data  VARCHAR2(50)
)
TABLESPACE tde_test;

CREATE TABLE tde_test_2 (
  id    NUMBER(10),
  data  VARCHAR2(50) ENCRYPT
)
TABLESPACE tde_test;

The following script. uses these tables to compare the speed of regular and encrypted inserts and regular and decrypted queries. Each test repeats 1000 times, with the timings reported in 100ths of a second.

SET SERVEROUTPUT ON SIZE UNLIMITED
DECLARE
  l_loops  NUMBER := 1000;
  l_data   VARCHAR2(50);
  l_start  NUMBER;
BEGIN
  EXECUTE IMMEDIATE 'TRUNCATE TABLE tde_test_1';
  EXECUTE IMMEDIATE 'TRUNCATE TABLE tde_test_2';
  
  l_start := DBMS_UTILITY.get_time;
  FOR i IN 1 .. l_loops LOOP
    INSERT INTO tde_test_1 (id, data)
    VALUES (i, 'Data for ' || i);
  END LOOP;
  DBMS_OUTPUT.put_line('Normal Insert   : ' || (DBMS_UTILITY.get_time - l_start));
  
  l_start := DBMS_UTILITY.get_time;
  FOR i IN 1 .. l_loops LOOP
    INSERT INTO tde_test_2 (id, data)
    VALUES (i, 'Data for ' || i);
  END LOOP;
  DBMS_OUTPUT.put_line('Encrypted Insert: ' || (DBMS_UTILITY.get_time - l_start));

  l_start := DBMS_UTILITY.get_time;
  FOR i IN 1 .. l_loops LOOP
    SELECT data
    INTO   l_data
    FROM   tde_test_1
    WHERE  id = i;
  END LOOP;
  DBMS_OUTPUT.put_line('Normal Query    : ' || (DBMS_UTILITY.get_time - l_start));
  
  l_start := DBMS_UTILITY.get_time;
  FOR i IN 1 .. l_loops LOOP
    SELECT data
    INTO   l_data
    FROM   tde_test_2
    WHERE  id = i;
  END LOOP;
  DBMS_OUTPUT.put_line('Decrypted Query : ' || (DBMS_UTILITY.get_time - l_start));
END;
/
Normal Insert   : 31
Encrypted Insert: 45
Normal Query    : 42
Decrypted Query : 58

PL/SQL procedure successfully completed.

SQL>

The results clearly demonstrate that encrypted inserts and decrypted queries are slower than their normal counterparts.

External Tables

External tables can be encrypted in a similar way to regular tables. First, we make sure the default data pump directory is available to the test user.

CONN sys/password AS SYSDBA
GRANT READ, WRITE ON DIRECTORY data_pump_dir TO test;

Next, we create the external table as a copy of an existing table, using the ENCRYPT clause.

CONN test/test

CREATE TABLE tde_test_1_ext (
  id,
  data ENCRYPT IDENTIFIED BY "myPassword"
)
ORGANIZATION EXTERNAL
(
  TYPE ORACLE_DATAPUMP
  DEFAULT DIRECTORY data_pump_dir
  location ('tde_test_1_ext.dmp')
)
AS
SELECT id,
       data
FROM   tde_test_1;

Views

The %_ENCRYPTED_COLUMNS views are used to display information about encrypted columns.

SET LINESIZE 100
COLUMN owner FORMAT A15
COLUMN tble_name FORMAT A15
COLUMN column_name FORMAT A15

SELECT * FROM dba_encrypted_columns;

OWNER           TABLE_NAME                     COLUMN_NAME     ENCRYPTION_ALG                SAL
--------------- ------------------------------ --------------- ----------------------------- ---
TEST            TDE_TEST_2                     DATA            AES 192 bits key              YES
TEST            TDE_TEST_1_EXT                 DATA            AES 192 bits key              YES

2 rows selected.

SQL>

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/24104518/viewspace-713754/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/24104518/viewspace-713754/

cu10025
关注
【12c】Oracle 12c Transparent Data Encryption透明数据加密
个人公众号:Alen的数据库学习笔记
05-06 1830
对于数据库的安全性而言,除了使用用户、权限和角色进行控制外,还可以通过数据加密或者数据掩码来实现,关于透明的数据加密,可以对个别表列或整个表空间进行加密。当用户向加密的列中插入数据时,透明数据加密会自动加密该数据。当用户选择该列时,数据将自动解密。选择完毕后,数据将重新加密。 本篇就Oracle 12c中的透明数据加密进行演示。 1 演示环境 SQL> select * from v...
Oracle Database Reference12c Release
03-03
- **Transparent Data Encryption (TDE)**:自动加密数据,保护静态数据免受非法访问。 - **Advanced Security Option**:包括数据脱敏、网络加密和认证增强等功能,提高整体安全性。 4. **高可用性与灾难恢复** ...
Oracle TDE(Transparent Data Encryption) 常见问题解答 - 官网
In-Memory Computing Technology
07-16 1989
此FAQ来源于。此为新版,老版的博客参见。
Oracle LiveLabs实验:DB Security - Transparent Data Encryption (TDE)
In-Memory Computing Technology
04-05 1099
概述 此实验申请地址在这里,时间为2小时。 实验帮助在这里。 本实验使用的数据库为19.13。 Introduction 本研讨会介绍 Oracle 透明数据加密 (TDE) 的各种特性和功能。 它使用户有机会学习如何配置这些功能以加密敏感数据。 目标 如果需要,对数据库进行冷备份以启用数据库恢复 在数据库中启用透明数据加密 使用透明数据加密加密数据 Task 1: Allow DB Restore 此步骤是了后续将数据库恢复为未加密状态。 进入实验目录: sudo su - oracle cd $D
Oracle 11g 新特性 -- Transparent Data Encryption (透明数据加密TDE) 增强 说明
David Dai -- Focus on Oracle
12-07 8212
一.TransparentData Encryption (TDE:透明数据加密) 说明 Orace TDE 是Orcle 10R2中的一个新特性,其可以用来加密数据文件里的数据,保护从操作系统层面上对数据文件的访问。11g的TDE10gR2的基础上增强,允许在表空间级别进行加密。 1.1 11g 中TDE 新增功能 一些新增功能可增强透明数据加密(TDE)功能,这些功能是基于相同的基础结构构
ORACLE-Transparent Data Encryption (TDE)
lcb0913的专栏
05-31 2587
ORACLE-Transparent Data Encryption (TDE) 使用分析 Posted by huosi in security Oracle10.2中引入了 transparent data encryption,也就是常说的TDE;下面来演示下TDE 的使用过程: 如果要使用tde,就首先要创建wallet,这个可以使用以下命令完成:
Oracle Database 11g Release 2 New Features in Oracle Data Guard
Honcho’s Oracle Blog
10-04 879
Oracle Database 11g Release 2  New Features in Oracle Data Guard The following new features are specific to SQL Apply in Oracle Data Guard
Oracle Transparent Data Encryption
ghostgant的专栏
04-19 918
Oracle Transparent Data Encryption 透明加密(一) Transparent Data Encryption透明机密技术是Oracle10g版本之后推出的数据层加密技术。核心概念是借助外置于数据库的加密文件,对数据表列乃至表空间等多层次进行加密。这种技术对存储在数据库中的敏感信息,提供了简单可靠的安全防护解决方案。  透明加密技术概要   简单的说,T
Oracle - 5 - 【学习笔记】for ocp 12c、Transparent Data Encryption透明数据加密、Wallet、Oracle Database Vault
LawssssCat的博客
05-22 342
Oracle Wallet的使用 参考: http://blog.itpub.net/7314177/viewspace-630473/ https://www.cnblogs.com/zhaojiedi1992/archive/2013/05/21/oracle11g_sql_0044.html 从Oracle10gR2开始, 通过使用Oracle Wallet达到任意用户不使用密码登录数据库(非操作系统认证方式),这对在shell中要使用用户密码登录数据库进行操作的脚本来说是非常有用的, 可以不暴
笔记:TDE数据库透明加密(官档翻译摘选)
Lizi_TT的博客
11-14 1448
Transparent Data EncryptionTDETDE能够加密存储在表和表空间中的敏感数据,对于可以访问数据的数据库用户或应用程序,加密的数据被透明地解密。TDE有助于在存储媒体或数据文件被盗的情况下保护存储在媒体上的数据。 DE对存储在数据文件中的敏感数据进行加密 TDE将加密密钥存储在数据库外部的安全模块中 TDE不需要额外的维护,对用户透明 应用程序不参与加密和解密,加密...
Oracle Database Administrators Guide 10g Release 2 (10.2).pdf
01-22
8. 安全性:Oracle 10g提供了增强的安全特性,如Fine-Grained Auditing (FGA)Transparent Data Encryption (TDE)。管理员需掌握如何设置审计策略,保护敏感数据,以及应用最佳安全实践。 9. 系统维护:这包括...
Oracle Database Concepts 10g Release 2 (10.2).pdf
01-22
- **透明数据加密**(Transparent Data Encryption, TDE):TDE可以对存储在表空间中的数据进行加密,确保即使在物理层面上也无法访问敏感数据。 - **审计功能**:加强了审计功能,可以帮助组织更好地跟踪用户活动和...
Oracle® Database Concepts 11r2
08-10
### Oracle® Database Concepts 11g Release 2 (11.2) 关键知识点解析 #### 一、Oracle Database 概述 Oracle Database 11g Release 2(简称 Oracle 11r2)是Oracle公司发布的一个重要的数据库管理系统版本。它在...
怎么优化慢SQL
chenxuefeng_accp的专栏
01-06 641
摘要:本文系统介绍了MySQL慢SQL优化方法论,涵盖慢SQL定位、常见问题分析及优化策略。通过开启慢查询日志和使用EXPLAIN分析执行计划,可快速识别性能瓶颈。优化措施包括:合理设计索引(避免失效)、解决排序和临时表问题、优化JOIN查询、处理大分页性能问题等。高级优化手段涉及SQL重写、读写分离、分库分表和缓存技术。这些方法不仅适用于InnoDB引擎,部分也适用于其他关系型数据库,是提升数据库性能的实用指南。
AI应用(5)- RAG知识库理解
最新发布
小糖豆
01-07 567
知识库其实是自己建立的库,并不是让模型记住,而是把文档变成可以检索的库,模型在这个过程中只是读证据,综合多端证据,按照规则输出而已。
使用TwinCAT为半导体设备设计数据功能的技术方案
ponygame的博客
01-05 1384
摘要:本文提出基于TwinCAT平台的半导体设备数据统计系统方案,采用分层架构实现实时数据采集与处理。实时层(PLC)负责1-10ms级数据采集、预处理和基础统计计算,符合SEMI标准要求;非实时层(.NET)实现数据分析、存储和WPF/WinForms界面展示。系统通过ADS协议实现高效通信,支持EtherCAT等现场总线接入,提供实时监控、历史趋势、统计报表等功能。方案涉及TwinCAT编程、C#开发、数据库设计等多技术领域,具有实时性强、模块化程度高、符合行业标准等特点,但需掌握IEC61131-3、
HTML:SQLite本地网页查看
aimersong69的博客
01-06 125
本文介绍了一个基于Web的SQLite本地查看器工具,无需安装即可在浏览器中查看SQLite数据库。该工具采用HTML5技术实现,支持拖拽上传.db/.sqlite文件,提供表结构浏览、数据查询、自定义SQL执行和数据导出为CSV等功能。通过sql.js库实现前端SQL解析,保证数据在本地处理,避免云端传输的安全风险。界面采用现代化设计,包含响应式布局、表格展示和交互式操作,适合开发人员快速查看和分析SQLite数据库内容。
TDengine JAVA 语言连接器入门指南
TDengine(老段)专注时序数据库领域
01-04 1573
JAVA 语言连接器
Oracle Database10g性能优化与调整实战指南
透明数据加密(Transparent Data Encryption, TDE)在10gR2中出现,为敏感数据提供了安全性。LogMiner的改进使得日志分析更加方便,而DBMS_STATS的新选项则优化了统计信息的收集。 此外,跟踪增强功能提升了问题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值