oracle数据库密码加密-没密码访问oracle数据

【Oracle数据库加密方法】

(1) 全盘加密

使用全盘加密系统或存储加密网关系统对Oracle数据库文件所在磁盘扇区进行加密。 当数据库访问磁盘扇区时，加密的扇区随后被解密。 这种方式对数据库本身是透明的，数据库管理系统感觉不到加解密过程的存在。 这种加密方式工作在存储层，只能在磁盘丢失时防止敏感数据泄露。 所有具有磁盘访问权限的用户都可以访问实际的数据库文件。 因此，无法防御已控制操作系统的攻击者。

(2) 文件加密

在操作系统文件驱动层oracle数据库密码加密，数据库的存储文件被加密存储在磁盘上。 当 Oracle 数据库访问存储文件时，它会对其进行解密。 这种方式对数据库本身也是透明的，数据库管理系统感觉不到加解密过程的存在。 这种加密方法可以防止敏感数据因磁盘丢失和文件复制而丢失。 但是，这些文件仍然对控制了数据库系统的攻击者开放，因此没有真正的保护。

(3)数据库自带加密

Oracle数据库本身提供了加密机制，在数据库内核中实现了存储加密。 这种加密方法可以防止敏感数据因磁盘丢失和文件复制而丢失。 但对控制数据库系统的攻击者开放，没有防御能力。 而且其密钥管理通常不对数据库用户开放，安全性得不到保证，也得不到国内相关评测机构的认可。

(4)库中扩展加密

透明加密是通过使用视图、触发器和扩展索引等机制实现的。 由于引入了独立于Oracle数据库的第三方程序，通过控制加解密的权限，增加了额外的访问控制。 对于数据库中的不同用户，还可以控制他们对加密数据的访问。 但这种加密方式无法穿越应用系统，实现应用系统用户对敏感数据的访问控制。 而且这种加密方式依赖于数据库系统的扩展索引机制，并不是所有的数据库都可以实现的。

(5) 数据库加密网关或加密驱动

通过在数据库前端部署数据库加密网关，或者扩展数据库访问驱动（如JDBC驱动）实现数据库加密。 这种方式理论上可以支持所有的数据库，是一个通用的方案，安全性更高。 但是，很难支持所有的访问语句和访问机制，比如不能支持网关后面的存储过程和触发器。

(6) 应用加密网关

在应用系统之前放置一个加密网关，进一步推进数据加密的位置，在数据进入应用系统之前进行加密。 这种加密方式可以控制应用系统用户对数据的访问权限，真正的数据对所有数据库用户都是不可见的，是最安全的加密方式。 其实这种加密方式与具体的数据库无关，它是与数据库相对的。 但由于应用系统的复杂性，实现难度较大。

总之，数据加密离用户越近，安全性越高，实现难度也越大。 上述几种加密方式，数据加密的位置逐渐靠近用户，防护能力也逐渐提高。

下面小编为大家详细介绍一款目前市面上非常流行的数据库加密系统——Avakin及数据库加密系统。

【Avakin与Oracle数据库加密系统功能】

功能一：数据加密

支持我国密码管理机构认可的SM4加密算法，也支持AES128等国际先进的加密算法。 可以在指定的表空间级别对数据库进行加密，保证敏感数据以密文方式存储，实现存储层的安全加固。

功能二：透明访问

在实现数据安全加密的同时，另一个非常重要的特性就是应用透明性。 用户和应用系统不需要关心系统的保护。

功能三：高效的数据访问

基于数据块级别的底层加密实现，突破传统数据库安全加固产品的技术瓶颈，真正实现数据的高效访问，适用于大数据规模、复杂查询和密文数据统计分析的复杂场景，以及高性能要求。

功能 4：增强的访问控制

数据安全管理员的加入，在不影响数据库本身权限的情况下，加强权限控制，从数据库用户、客户端IP、应用系统等不同层面加强权限，全面防止非授权访问和数据泄露。

功能五：应用安全

合法用户可绑定应用系统，同一用户只能通过指定的应用系统访问密文数据，不能通过命令行、管理工具等方式访问密文数据。

功能六：独立密钥管理

安全服务组件实现密钥管理，包括加密密钥的生成、分发、备份和恢复。 密钥不离开设备，让用户自己掌握密钥，即使数据被盗，也无法查看明文。

功能七：支持IPv6

产品支持IPv6，允许加密机主服务器与从服务器之间，加密机与数据库服务器之间以IPv6方式进行通信。

功能八：高可用性

产品本身支持一主多从的部署。 当产品的主服务器出现故障时，从服务器可以秒级接管，业务系统基本毫无察觉。

功能九：高容灾

数据库自恢复：加密不影响数据库自身的数据库恢复、备份、同步等操作。 离线恢复：提供额外的离线数据恢复工具，保证即使在极端情况下数据也能恢复到原始状态，保证数据的高可用性。

功能十：可维护性

产品稳定可靠，产品化程度高oracle数据库密码加密，Web图形化管理界面，简单易用。 系统安装部署可在半小时内完成，安全加固实施（数据加密保护）一般可在一天内完成。 具有快速准确的整体拆解能力。

【Avakin与数据库加密系统部署方法】

Anwarkin和数据库加密系统的部署主要分为两个任务：

1、DES安全服务器：主要负责加密策略配置、密钥管理等。支持主从模式。

2、DES安全代理（TDE扩展插件）：部署完成后，数据库服务将具备数据加解密、增强权限控制等能力。 通常，安全代理部署过程中需要重启数据库服务，这会导致数据库暂停对外服务。