oracle redact加密介绍和详细步骤

环境:oracle 11.2.0.4

一、     1. Oracle Data Redaction介绍

Oracle高级安全新组件,其作用是限制SQL语句的返回结果样式,对于特定的用户可以限制某些字段显示被自动改写过的值。

说明:不能对sys和system用户进行数据的redact。因为他们都有EXP_FULL_DATABASE这个角色,而这个角色又包含了EXEMPT REDACTION POLICY系统权限。同理,也不能直接赋予用户dba权限,dba自动包含EXP_FULL_DATABASE角色。

2. redact分类

(1).Full redaction.对列中的数据全部redactnumber类型的列将全部返回为0character类型的列将全部返回为空格日期类型返回为2001-01-01

(2).Partial redaction. 对列中的一部分数据进行redact比如可以对社会保险号的前几位设置返回为*剩下的几位保持不变。只有列中的数据为固定宽度时才能使用这种方式,如果列中存储的是email地址,每个email地址的宽度不尽相同,此时要使用Regular expressions

(3).Regular expressions. 对不同长度的内容加密,例如e-mail,仅仅对字符类型有效。

(4).Random redaction. 随机乱码加密

(5).No redaction.测试加密的内部运行机制,并不会真正加密。

二、     oracle scott用户下建表进行加密(redact)实验

1. 加密准备工作:

REVOKE dba FROM SCOTT;

GRANT CONNECT, resource, unlimited tablespace TO SCOTT;

GRANT SELECT ON sys.redaction_policies TO SCOTT;

GRANT SELECT ON sys.redaction_columns TO SCOTT;

GRANT EXECUTE ONdbms_redact TO SCOTT;

查询约束和加密策略

SQL> selectpolicy_name from redaction_policies;

2. scott用户下创建2张表,并设置了主外键约束

create tablestudents(name varchar2(10) primary key not null,age varchar2(10),countvarchar2(10));

insert intostudents (name,age,count) values ('xxxxxx','vvvvvv','nnnnnn');

 

create tableclass(aa varchar2(10),name varchar2(10),cc varchar2(10));

insert intoclass (aa,name,cc) values ('zzzzzz','xxxxxx','cccccc');

alter tableclass ADD CONSTRAINT FK_name FOREIGN KEY(name) references students(name);

3.开始加密(redact)(注意:在使用add_policy以后,只能使用ALTER_POLICY再添加,除非drop掉policy。

partial方式加密,注意事项1:只需修改function_type就可以更改为其他加密方式。

注意事项2:function_parameters格式针对字符型,如果是数字则修改为 function_parameters  => ‘6,3,6’,

 BEGIN

DBMS_REDACT.ADD_POLICY (

   object_schema          => 'SCOTT',

   object_name            => 'CLASS',

   policy_name            => 'REDACT_EMP',

   column_name            => 'NAME',

   function_type          => DBMS_REDACT.PARTIAL,

   function_parameters    => 'VVVVVV,VVVVVV,*,3,6',

   expression             => '1=1',

   enable                 => TRUE

   );

END;

/

 

添加一列policy

 BEGIN

 DBMS_REDACT.ALTER_POLICY(

  object_schema       => 'SCOTT',

  object_name         => 'CLASS',

  policy_name         => 'REDACT_EMP',

  action              => DBMS_REDACT.ADD_COLUMN,

  column_name         => 'AA',

  function_type       => DBMS_REDACT.PARTIAL,

  function_parameters    => 'VVVVVV,VVVVVV,*,1,6'

 );

END;

/

指定只对hr用户有效

BEGIN

DBMS_REDACT.ALTER_POLICY (

   object_schema          => 'SCOTT',

   object_name            => 'CLASS',

   policy_name            => 'REDACT_EMP',

   column_name            => 'AA',

   action               => DBMS_REDACT.MODIFY_EXPRESSION,

   expression  => 'SYS_CONTEXT (''USERENV'',''SESSION_USER'' ) =''HR'''

);

END;

/

删除一列policy(注意:即使删除所有policycolumn,但policy本身还存在)

 BEGIN 

 DBMS_REDACT.ALTER_POLICY(

  object_schema       => ''SCOTT'',

  object_name         => 'CLASS',

  policy_name         => 'REDACT_EMP',

  action              => DBMS_REDACT.DROP_COLUMN,

  column_name         => 'NAME'

);

END;

/

 

删除编写策略(包括policy本身)

BEGIN

  DBMS_REDACT.DROP_POLICY (

    object_schema  => 'SCOTT',

    object_name    => 'CLASS',

    policy_name    => 'REDACT_EMP');

END;

/

你可能感兴趣的:(oracle redact加密介绍和详细步骤)