Oracle高级安全性钥匙键管理,数据加密和整合性检查.pdfVIP

Oracle高级安全性 钥匙键管理，数据加密和整合性检查 Oracle技术白皮书 2001年8月 第 1 页 Oracle高级安全性 简介 本文将介绍在Oracle高级安全性选项中所实施的，Oracle所固有的网络加密和数据整合性保 护。它检验相关的安全性威胁，解释加密和整合性检查处理的细节，并说明所需要的安装 和配置工作。 除本文将介绍的加密和整合性功能之外，Oracle高级安全性还利用加密套接字协议层 （SSL） 保证Oracle 网络安全，并利用SSL为Internet Inter-ORB Protocol (IIOP)提供保证。这些实施 （它们不在本文涉及的范围之内）可以使用户在公共的关键性基础设施 （PKI ）中运转。这 种选择余地意味着安全的网络遵循用于实施SSL 的互联网工程工作小组(IETF)标准。而且， Oracle高级安全性可利用加密和数据整合性检查来维护瘦Java 数据库连接性(JDBC)客户端 的通讯。本文并不涉及这些特点，它只限于介绍在Oracle高级安全性中检验Oracle所固有的 网络加密和整合性检查的内容。 安全性威胁 在当今互联网的计算时代，许多有价值的和敏感的数据通常是通过不安全的方式和渠道在 传播。任何时候，当信息不论是互联网还是在一个组织的内联网等网络中传输时，它们都 是易于受到攻击的。对数据的非法窃取正以加速的速率展开。一个可以通过以太网插口或 一个布线室访问网络的个体可以监视和获得数据。硬件数据嗅探器不再是笨重和昂贵的了。 PC卡插到PC机中可以有效地监视网络的通信量和信息包的内容。 然而更容易做到的，因此也是更具威胁的是基于软件的嗅探器。数据嗅探软件可以从互联 网上下载，它可以把网络的通信量和个人信息包的内容暴露给网络中的任何人。在网络中 任何人都可免费使用的一些软件中就有网络嗅探器，它可在几乎所有的协议中非法获得通 讯信息。网络中不怀好意的用户可以将这种软件下载到他/她的PC 中，然后立刻就能把它转 化成信息包的嗅探器。一旦取得这种访问，攻击者可以偷窃敏感的归私人所有的信息，它 甚至可以破坏一个企业的运转。 所有的数据都面临着被攻击的风险：所有的信息包都可被读，修正或删除。Oracle高级安全 性的网络安全性特性注重了这些方面，并保证在网络中传输的所有数据的隐私性和整合性。 Oracle高级安全性通过使用加密和数据整合性检查，保卫着所有通讯量和信息内容的安全。 第 2 页 第一部分：加密和钥匙键管理 Oracle高级安全性中的加密功能将所有的明码文本数据转化为密码文本。一旦被加密，密码 文本将以密码的方式在网络中传递，在这种方式中，如果没有正确的钥匙键就几乎不可能 把密码文本转换回相应的纯文本。这些加密服务可以防止那些能够访问你的网络的人偷窥 你的数据。Oracle高级安全性提供了三种著名的，经过验证的计算方法可以加密Oracle的网 络通讯量： • 数据加密标准（DES ） • Triple DES (3DES, 2Key 和 3Key) • RC4 ( 40-, 56-, 128-, 256-) 每一种计算方法都允许选择钥匙键的长度。钥匙键的长度越长，将会产生更强大的加密。 Oracle高级安全性提供了56位钥匙键的标准DES和40位钥匙键的DES 。它也支持带有112位 钥匙键的2-key Triple DES和168位钥匙键的3-key Triple DES 。最后，它提供带有256-, 128-, 56- 和 40-位钥匙键的RSA Data Security Inc. 的 RC4 。 美国出口管理条例 （EAR ）已经做出变更，允许Oracle公司将Oracle高级安全性的一个版本 在全球范围内销售。该产品的早期版本只提供较短钥匙键长度的版本，而且根据用户所在 国家的不同而不同。目前版本包括了所有计算方法和钥匙键长度，以前该版本只适用于美 国本土。而且，现在使用该产品早期版本的用户可以升级到该产品的国内版。 对Oracle高级安全性的正式评估已经开始实施，着重于它固有的加密实施。它可以在遵守 U.S. Federal Informati