Oracle Database 11g 第2版中的 Oracle Advanced Security

         幾個月前，領導安排我研究oracle 11g高階安全元件中相關功能，計劃有專案要用到；後來因為一些原因，資料庫改換成了國產資料庫。
         現在將當時學習的一部分內容記錄一下：

Oracle Advanced Security 提供了透明的、基於標準的安全性，它透過靜止資料加密、網路加密和強身份驗證服務對資料提供保護。

Oracle Advanced Security 透明資料加密 (TDE) 提供了業界最先進的資料庫加密解決方案。TDE 自動對 Oracle 資料庫寫入到儲存的資料進行加密，並在請求使用者透過了 Oracle 資料庫的身份驗證，並透過了由 Oracle Database Vault、Oracle Label Security 和其他虛擬專用資料庫執行的所有訪問控制檢查後再自動解密這些資料。資料庫備份的資料仍然是加密資料，這就為備份介質提供了保護。對於邏輯備用資料庫和物理備用資料庫均可以配置 TDE，從而為高可用性體系結構中的敏感資料提供全面保護。Oracle Advanced Security 網路加密提供了基於 SSL 及本地網路的兩種加密功能來保護傳輸中的資料。Oracle Advanced Security 的強身份驗證服務支援 PKI、Kerberos 和 RADIUS，用於替代現有的基於口令的身份驗證。

透明資料加密

Oracle Advanced Security TDE 既可以對像信用卡號和社會保險號這樣的個別應用程式表列進行加密，也可以加密整個表空間。TDE 表空間加密無需識別和加密個別列，因此實現了更加高效的效能。升級到 Oracle Database 11g 的使用者都可以使用新的 TDE 表空間加密功能來保護整個應用程式。儲存在被加密表空間中的所有資料都將自動加密。備份資料庫時，加密的檔案在目標介質上仍保持其加密狀態，這樣，即使備份介質丟失或被盜，仍然能保護其上的資訊不會外洩。TDE 表空間加密可以無縫地與 Oracle Streams、Oracle Compression 和 Oracle Exadata Smart Scans 協同工作。由於壓縮而實現的儲存節省將維持不變，因為壓縮過程完成後才對資料進行加密。

網路加密

Oracle Advanced Security 透過加密保護整個網路中資料的私密性和機密性。對傳輸中的資料進行加密可以防止資料嗅探、資料丟失、重放和轉接攻擊。與 Oracle 資料庫的所有通訊都可以使用 Advanced Security 進行加密。Oracle Advanced Security 提供了本地加密/資料完整性演算法以及對安全套接字層 (SSL) 的支援，以保護整個網路中的資料。

Oracle Advanced Security 網路加密完全透明且易於設定，並且無需 X.509 證照。Advanced Security 支援下列加密演算法：

? AES（128、192 和 256 位）

? 3DES（2 個和 3 個金鑰；168 位）、RC4（256 位）

? SHA1

安全套接字層

基於 SSL 的加密適用於已決定對其 IT 部署提供公共金鑰基礎架構的企業。Oracle Advanced Security 10g 引進了對 TLS 1.0 協議的支援。從 Oracle Database 10g 開始，Oracle Advanced Security 隨 TLS 1.0 協議一起提供了 AES 加密套件。

Oracle 實施 SSL 協議來加密資料庫客戶端與資料庫之間交換的資料。這些資料包括 Oracle Net Services、LDAP、胖 JDBC 和瘦 JDBC 以及 IIOP 格式的資料。SSL 加密為使用者提供了替代 Oracle Advanced Security 本地加密的方法。

在三層系統中，資料庫中的 SSL 支援意味著可以使用 SSL 對中間層與資料庫之間交換的資料進行加密。Oracle 的 SSL 實現支援三種標準身份驗證模式，即匿名 (Diffie-Hellman)、使用X.509 證照的僅伺服器驗證和使用 X.509 的相互（客戶端-伺服器）身份驗證。

強身份驗證

Oracle Advanced Security 提供了強身份驗證解決方案來替代傳統基於口令的身份驗證。Oracle Advanced Security 支援 Kerberos、PKI 和 RADIUS 解決方案。Oracle Advanced Security 與 Microsoft KDC 相結合，支援資料庫使用者在 Windows 環境實現一次性登入到 Oracle 資料庫。資料庫使用者可以使用儲存在智慧卡或其他硬體儲存模組中的 PKI 證照透過 Oracle 資料庫的身份驗證。這對透過客戶端伺服器應用程式漫遊訪問資料庫的使用者尤為有用，因為它提供了對資料庫的漫遊訪問。Kerberos 和 PKI 都得到了 Oracle 資料庫企業使用者安全性 (EUS) 的支援。與 Oracle Virtual Directory 相結合，EUS 支援在 Oracle Internet Directory 中或現有的企業 LDAP 資訊庫中集中管理資料庫使用者。

Kerberos 身份驗證：

Oracle Advanced Security 包括 Kerberos 客戶端，它與任何符合 MIT v5 標準的 Kerberos 伺服器或 Microsoft KDC 釋出的 Kerberos v5 票證相容。使用 Oracle Advanced Security 的Kerberos 解決方案，企業可以繼續運營於異構環境中。Oracle Advanced Security Kerberos 支援最大長度為 2000 字元的主體名稱。Oracle Advanced Security 提供了 Kerberos 跨領域支援，允許一個領域中的 Kerberos 主體透過另一個領域中的 Kerberos 主體的身份驗證。

PKI 支援：

Oracle Advanced Security 的 SSL 客戶端可以與行業標準 X.509v3 證照一起使用。可以使用Oracle Wallet Manager 建立證照請求並管理其他證照管理任務。還額外提供了一些命令列實用程式以幫助管理證照撤銷列表 (CRL) 和其他 Oracle Wallet 操作。支援釋出到 LDAP 伺服器、檔案系統或 URL 的證照撤銷列表。

Oracle 透過以下特性支援 PKI 整合和互操作性：

? PKCS #7、#11 支援

? Oracle Internet Directory 中的錢夾儲存

? 每個錢夾多種證照

? 強錢夾加密

將錢夾儲存在一個相容 LDAP 的集中目錄中，實現了對使用者漫遊的支援，允許使用者從多個位置或裝置訪問自己的證照，確保了一致和可靠的使用者身份驗證，同時提供了整個錢夾生命週期的集中錢夾管理。

Oracle Wallets 支援每個錢夾多種證照，這些證照包括：

? S/MIME 簽名證照

? S/MIME 加密證照

? 程式碼簽名證照

RADIUS（遠端撥號使用者服務） ：

Oracle Advanced Security 提供了遠端身份驗證撥號使用者服務 (RADIUS) 客戶端，該特性允許Oracle 資料庫遵從由 RADIUS 伺服器斷言的身份驗證和授權。該特性對那些有意於雙因素身份驗證的企業尤為有用，這種雙因素身份驗證根據使用者所知道的（口令或 PIN 資訊）以及使用者所持有的由某些令牌卡製造商提供的（令牌卡）來確定使用者的身份。RADIUS 是一個分散式系統，它可以保證對網路服務的遠端訪問的安全，它作為一種對網路的遠端受控訪問的行業標準已經建立很久了。在 RADIUS 伺服器上定義 RADIUS 使用者證照和訪問資訊，以便在請求時使該外部伺服器執行身份驗證、授權和計費服務。

Oracle 對 RADIUS 的支援具體是對 RADIUS 客戶端協議的一種實現，它使資料庫能夠為RADIUS 使用者提供身份驗證、授權和計費。它將身份驗證請求傳送給 RADIUS 伺服器並根據該伺服器的響應採取操作。身份驗證可以同步身份驗證模式進行，也可以非同步身份驗證模式進行，這取決於 Oracle 針對 RADIUS 支援的配置。

參考：技術白皮書：《Oracle 白皮書 — Oracle Database 11g 第2版中的 Oracle Advanced Security.pdf》