oracle数据加密.docVIP

oracle数据加密 关于数据加密的知识 加密算法的分类：主要有基于“消息摘要”算法，“对称/非对称密钥”加密算法 1.基于“消息摘要”算法 “消息摘要”（Message Digest）是一种能产生特殊输出格式的算法，这种加密算法的特点是无论用户输入什么长度的原始数据，经过计算后输出的密文都是固定长度的，这种算法的原理是根据一定的运算规则对原数据进行某种形式的提取，这种提取就是“摘要”，被“摘要”的数据内容与原数据有密切联系，只要原数据稍有改变，输出的“摘要”便完全不同，因此基于这种原理的算法便能对数据完整性提供较为健全的保障。但是，由于输出的密文是提取原数据经过处理的定长值，所以它已经不能还原为原数据，即消息摘要算法是“不可逆”的，理论上无法通过反向运算取得原数据内容，因此它通常只能被用来做数据完整性验证，而不能作为原数据内容的加密方案使用，否则谁也无法还原。尽管如此，“消息摘要”算法还是为密码学提供了健全的防御体系，因为连专家也无法根据拦截到的密文还原出原来的密码内容。因为这个特性，“消息摘要”算法产生的密文被称为“摘要”。 如今常用的“消息摘要”算法经历了多年验证发展而保留下来的强者，分别是MD2、MD4、MD5、SHA、SHA-1/256/383/512等，其中最广泛应用的是基于MD4发展而来的MD5算法。 注：在oracle的加密包dbms_obfuscation_toolkit提供了MD5算法的调用过程。就象上面说明的那样，MD5这种基于消息摘要的加密算法只是单向的，是不可逆的，只能作为一种数据完整性的严整方法。另外一点，一般来说这类算法都是不需要密钥的。 例子如下： declare n_in varchar2(100); n_out varchar2(100); begin n_in := sasdadass ssssssssssd; dbms_obfuscation_toolkit.MD5(INPUT_STRING = n_in,CHECKSUM_STRING = n_out); dbms_output.put_line(n_out=||Utl_Raw.Cast_To_Raw(n_out)||长度=||length(Utl_Raw.Cast_To_Raw(n_out))); end; MD5 并不是加密算法，而是摘要算法。加密算法是可逆的，摘要算法是理论上不可逆的。你输入任意长度的明文给他，结果都是一个定长16 、32、64,是16的备注，常见于注册码之类的。 2.“对称/非对称密钥”加密算法 由于“消息摘要”算法产生的数据只能作为一种身份验证的凭证来使用，如果我们要对整个文档数据进行加密，就不能采用这种“不可逆”的算法了，因此“密钥”算法（Key Encoding）的概念被提出，与开头提到的智力题类似，此类算法通过一个被称为“密钥”的凭据进行数据加密处理，接收方通过加密时使用的“密钥”字符串进行解密，即双方持有的“密码”相同（对称）。如果接收方不能提供正确的“密钥”，解密出来的就不是原来的数据了。 以上是“对称密钥”的概念，那么“非对称密钥”又该怎么理解呢？有人用邮箱作为比喻，任何人都可以从邮箱的信封人口塞进信件，但是取信的权力却仅仅在于持有邮箱钥匙的人的手上。这个众人皆知的信封入口就是“公钥”（Public Key），而你持有的邮箱钥匙就是“私钥”（Private Key），这种算法规定，对方给你发送数据前，可以用“公钥”加密后再发给你，但是这个“公钥”也无法解开它自己加密的数据，即加密过程是单向的，这样即使数据被途中拦截，入侵者也无法对其进行破解，能还原数据内容的只有“私钥”的持有者，这就是“非对称密钥”加密算法，也称为“公共密钥算法”，这两者均建立在PKI验证体系结构上。 基于“对称密钥”的加密算法有DES、TripleDES、RC2、RC4、RC5和Blowfish等；基于“非对称密钥”的加密算法有RSA、Diffie-Hellman等。 注：在oracle的加密包dbms_obfuscation_toolkit提供了DES、TripleDES（3-DES）的算法。 DES是一种较为强壮的数据加密算法，他的算法是公开的，全部的保密性都在于密钥的保密性上。 所以对于DES（包括DES）来说一个复杂的密钥是必须的，简单的密钥对于那些黑客来说形同虚设。 现在的机器性能相比原来有了极大的提高，这也给暴力破解提供的物质上的准备。只要有足够的时间，一切密文都会被破解的。 我们能做得就是采用极其复杂的密钥，des常用语密码的保存之类。 des分为加密算法和解密算法 PROCEDURE DESGETKEY（SEED_STRING VARCHAR2 IN,KEY