升级大对象(Large Object,即LOB)存储能力的关键原因是在Oracle 11g中数据安全需求越来越高,本文主要是研究如何扩充对LOB和表空间的透明数据加密(Transparent Data Encryption,即TDE)特性来提高数据的安全性,并解释这些特性是如何保护复杂的、非结构化数据的,如医学数字图像通讯信息(Digital Imaging for Communication of Medical Information,即DICOM)对象。
Oracle 11g新的SecureFile特性主要是集中在数据压缩和重复数据删除方面,主要是为了节约存储LOB对象的空间,当然在安全特性方面Oracle 11g不仅只有这两个,所有这些安全特性也非常符合最近当选的美国总统奥巴马颁布的议事日程,白宫的技术方向明确指明新的管理计划:
在电子信息技术系统方面增加投入以降低医疗保健方面的成本,使用卫生信息技术降低医疗保健方面的成本,每年投入100亿美元,到五年后让美国的医疗保健系统扩展为基于标准的电子医疗信息系统,包括电子健康记录。
加密LOB:把安全放进SecureFile
Oracle 11g现在把在SecureFile LOB中存储敏感信息放在非常重要的战略位置,因为这样才能够证明在Oracle 10gR2中推出的透明数据加密(TDE)的作用,TDE在列级提供了遵循工业标准的自动加密算法(如3DES168,AES128,AES192和AES256)。
1、开启透明数据加密
在开始使用透明数据加密特性之前,需要在数据库中进行一翻设置,幸运的是,在Oracle 11g数据库中这个设置非常简单了,因为现在只需要在数据库的网络配置文件中添加合适的配置目录即可,在之前的Oracle版本中,最简单的方法就是通过Oracle Wallet Manager utility设置这个“wallet”文件,欲了解前期版本是如何启用透明数据加密特性的,请参考我之前的文章“如何在Oracle 10g R2中实现透明数据加密”。
清单1中的内容显示了我在SQLNET.ORA网络配置文件中添加的内容,以便在我指定的目录中创建默认的TDE PKI密钥文件ewallet.p12,然后我使用ALTER SYSTEM SET ENCRYPTION KEY命令打开这个“wallet”并开启加密特性。
清单1 开启透明数据加密
在SQLNET.ORA网络配置文件中添加参数设置开启Oracle 11g数据库的透明数据加密功能
ENCRYPTION_WALLET_LOCATION =
(SOURCE=
(METHOD=FILE)
(METHOD_DATA=
(DIRECTORY=/u01/app/oracle/admin/orcl/wallet))
然后,打开wallet并设置加密密钥密码激活Oracle 11g的加密功能
SQL> ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY "r3aL1y!T16ht";
SQL> ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY "r3aL1y!T16ht";
2、控制SecureFile加密
完成TDE设置后,在开启SecureFile LOB加密相对就简单了,和在Oracle表中开启其它类型的加密很类似,ENCRYPT告诉Oracle在现有SecureFile LOB上应用TDE加密,也可以通过DECRYPT告诉Oracle从SecureFile LOB上移除加密特性。
3、改变SecureFile加密算法或加密密钥
和其它Oracle数据类型一样,ALTER TABLE REKEY命令可以用来修改当前的加密算法,如默认的加密算法AES192改为AES256,TDE PKI密钥发生变化的话,REKEY命令也可以用于重新加密现有的SecureFile LOB。Oracle将会在块级进行加密,确保重新加密执行得更有效。
但请注意在相同的分区下对应的SecureFile LOB段只能够被修改为启用或禁用加密,如LOB段不能被REKEY,这是因为Oracle 11g在相同的LOB分区内对所有SecureFile LOB使用了相同的加密算法。