Oracle Database 11g 第2版中的 Oracle Advanced Security

         几个月前，领导安排我研究oracle 11g高级安全组件中相关功能，计划有项目要用到；后来因为一些原因，数据库改换成了国产数据库。
         现在将当时学习的一部分内容记录一下：

Oracle Advanced Security 提供了透明的、基于标准的安全性，它通过静止数据加密、网络加密和强身份验证服务对数据提供保护。

Oracle Advanced Security 透明数据加密 (TDE) 提供了业界最先进的数据库加密解决方案。TDE 自动对 Oracle 数据库写入到存储的数据进行加密，并在请求用户通过了 Oracle 数据库的身份验证，并通过了由 Oracle Database Vault、Oracle Label Security 和其他虚拟专用数据库执行的所有访问控制检查后再自动解密这些数据。数据库备份的数据仍然是加密数据，这就为备份介质提供了保护。对于逻辑备用数据库和物理备用数据库均可以配置 TDE，从而为高可用性体系结构中的敏感数据提供全面保护。Oracle Advanced Security 网络加密提供了基于 SSL 及本地网络的两种加密功能来保护传输中的数据。Oracle Advanced Security 的强身份验证服务支持 PKI、Kerberos 和 RADIUS，用于替代现有的基于口令的身份验证。

透明数据加密

Oracle Advanced Security TDE 既可以对像信用卡号和社会保险号这样的个别应用程序表列进行加密，也可以加密整个表空间。TDE 表空间加密无需识别和加密个别列，因此实现了更加高效的性能。升级到 Oracle Database 11g 的用户都可以使用新的 TDE 表空间加密功能来保护整个应用程序。存储在被加密表空间中的所有数据都将自动加密。备份数据库时，加密的文件在目标介质上仍保持其加密状态，这样，即使备份介质丢失或被盗，仍然能保护其上的信息不会外泄。TDE 表空间加密可以无缝地与 Oracle Streams、Oracle Compression 和 Oracle Exadata Smart Scans 协同工作。由于压缩而实现的存储节省将维持不变，因为压缩过程完成后才对数据进行加密。

网络加密

Oracle Advanced Security 通过加密保护整个网络中数据的私密性和机密性。对传输中的数据进行加密可以防止数据嗅探、数据丢失、重放和转接攻击。与 Oracle 数据库的所有通信都可以使用 Advanced Security 进行加密。Oracle Advanced Security 提供了本地加密/数据完整性算法以及对安全套接字层 (SSL) 的支持，以保护整个网络中的数据。

Oracle Advanced Security 网络加密完全透明且易于设置，并且无需 X.509 证书。Advanced Security 支持下列加密算法：

? AES（128、192 和 256 位）

? 3DES（2 个和 3 个密钥；168 位）、RC4（256 位）

? SHA1

安全套接字层

基于 SSL 的加密适用于已决定对其 IT 部署提供公共密钥基础架构的企业。Oracle Advanced Security 10g 引进了对 TLS 1.0 协议的支持。从 Oracle Database 10g 开始，Oracle Advanced Security 随 TLS 1.0 协议一起提供了 AES 加密套件。

Oracle 实施 SSL 协议来加密数据库客户端与数据库之间交换的数据。这些数据包括 Oracle Net Services、LDAP、胖 JDBC 和瘦 JDBC 以及 IIOP 格式的数据。SSL 加密为用户提供了替代 Oracle Advanced Security 本地加密的方法。

在三层系统中，数据库中的 SSL 支持意味着可以使用 SSL 对中间层与数据库之间交换的数据进行加密。Oracle 的 SSL 实现支持三种标准身份验证模式，即匿名 (Diffie-Hellman)、使用X.509 证书的仅服务器验证和使用 X.509 的相互（客户端-服务器）身份验证。

强身份验证

Oracle Advanced Security 提供了强身份验证解决方案来替代传统基于口令的身份验证。Oracle Advanced Security 支持 Kerberos、PKI 和 RADIUS 解决方案。Oracle Advanced Security 与 Microsoft KDC 相结合，支持数据库用户在 Windows 环境实现一次性登录到 Oracle 数据库。数据库用户可以使用存储在智能卡或其他硬件存储模块中的 PKI 证书通过 Oracle 数据库的身份验证。这对通过客户端服务器应用程序漫游访问数据库的用户尤为有用，因为它提供了对数据库的漫游访问。Kerberos 和 PKI 都得到了 Oracle 数据库企业用户安全性 (EUS) 的支持。与 Oracle Virtual Directory 相结合，EUS 支持在 Oracle Internet Directory 中或现有的企业 LDAP 信息库中集中管理数据库用户。

Kerberos 身份验证：

Oracle Advanced Security 包括 Kerberos 客户端，它与任何符合 MIT v5 标准的 Kerberos 服务器或 Microsoft KDC 发布的 Kerberos v5 票证兼容。使用 Oracle Advanced Security 的Kerberos 解决方案，企业可以继续运营于异构环境中。Oracle Advanced Security Kerberos 支持最大长度为 2000 字符的主体名称。Oracle Advanced Security 提供了 Kerberos 跨领域支持，允许一个领域中的 Kerberos 主体通过另一个领域中的 Kerberos 主体的身份验证。

PKI 支持：

Oracle Advanced Security 的 SSL 客户端可以与行业标准 X.509v3 证书一起使用。可以使用Oracle Wallet Manager 创建证书请求并管理其他证书管理任务。还额外提供了一些命令行实用程序以帮助管理证书撤销列表 (CRL) 和其他 Oracle Wallet 操作。支持发布到 LDAP 服务器、文件系统或 URL 的证书撤销列表。

Oracle 通过以下特性支持 PKI 集成和互操作性：

? PKCS #7、#11 支持

? Oracle Internet Directory 中的钱夹存储

? 每个钱夹多种证书

? 强钱夹加密

将钱夹存储在一个兼容 LDAP 的集中目录中，实现了对用户漫游的支持，允许用户从多个位置或设备访问自己的证书，确保了一致和可靠的用户身份验证，同时提供了整个钱夹生命周期的集中钱夹管理。

Oracle Wallets 支持每个钱夹多种证书，这些证书包括：

? S/MIME 签名证书

? S/MIME 加密证书

? 代码签名证书

RADIUS（远程拨号用户服务） ：

Oracle Advanced Security 提供了远程身份验证拨号用户服务 (RADIUS) 客户端，该特性允许Oracle 数据库遵从由 RADIUS 服务器断言的身份验证和授权。该特性对那些有意于双因素身份验证的企业尤为有用，这种双因素身份验证根据用户所知道的（口令或 PIN 信息）以及用户所持有的由某些令牌卡制造商提供的（令牌卡）来确定用户的身份。RADIUS 是一个分布式系统，它可以保证对网络服务的远程访问的安全，它作为一种对网络的远程受控访问的行业标准已经建立很久了。在 RADIUS 服务器上定义 RADIUS 用户证书和访问信息，以便在请求时使该外部服务器执行身份验证、授权和计费服务。

Oracle 对 RADIUS 的支持具体是对 RADIUS 客户端协议的一种实现，它使数据库能够为RADIUS 用户提供身份验证、授权和计费。它将身份验证请求发送给 RADIUS 服务器并根据该服务器的响应采取操作。身份验证可以同步身份验证模式进行，也可以异步身份验证模式进行，这取决于 Oracle 针对 RADIUS 支持的配置。

参考：技术白皮书：《Oracle 白皮书 — Oracle Database 11g 第2版中的 Oracle Advanced Security.pdf》

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/21256317/viewspace-1066871/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/21256317/viewspace-1066871/