Oracle网络传输的加密和完整性验证

Oracle 11.2.0.4 Winodows  单机

应用场景:

对Oracle服务器和客户端之间的网络传输数据进行加密和完整性校验。

默认是使用明文方式传输数据,举例可以通过wireshark、sniffer等网络抓包工具抓取到传输的具体信息。

对于敏感信息是很不安全的。

举例:

对于汉字可以通过很多在线转换工具将HEX编码转换成可读汉字。

对于了解业务的人来说,这些信息是很有价值的。

客户端存在两种模式:

1、通过oracle客户端软件连接数据库

2、通过jdbc驱动连接oracle数据库

通过oracle客户端的情况:

启用传输加密和校验的主要方法是通过服务器端和客户端的sqlnet.ora文件实现。

配置方法:
理论上需要在数据库server端和oracle客户端都修改sqlnet.ora文件,但因为client端默认传输加密级别是ACCEPTED,默认一致性校验级别是ACCEPTED,所以只需要在服务器端设置如下参数就可以打开传输加密和一致性校验功能,而不需要再对client端的sqlnet.ora进行设置(知识拓展部分介绍)。

在oracle服务器端编辑sqlnet.ora文件,添加参数:
SQLNET.ENCRYPTION_SERVER = REQUIRED               ----加密级别
SQLNET.ENCRYPTION_TYPES_SERVER = RC4_256      ----加密算法
SQLNET.CRYPTO_CHECKSUM_SERVER = REQUIRED     --- 一致性能校验

设置参数后对新建立的session起作用。

加密后抓取的包不再是明文的:


对于jdbc连接的情况:
需要写代码,不是很懂,不做验证,大体格式如下:
For example:

DriverManager.registerDriver(new oracle.jdbc.driver.OracleDriver()); Properties props = new Properties(); props.put("oracle.net.encryption_client", "accepted"); props.put("oracle.net.encryption_types_client", "RC4_128"); props.put("oracle.net.crypto_checksum_client", "REQUIRED"); //此行根据官方文档写,未作验证 props.put("oracle.net.crypto_checksum_types_client","MD5"); //此行根据官方文档格式写,未作验证 props.put("user", "XXX"); props.put("password", "YYY"); Connection conn = DriverManager.getConnection("jdbc:oracle:thin:@myhost:1521:mySID", props);



知识拓展:
server端和client端的加密级别参数SQLNET.ENCRYPTION_SERVER|CLIENT
级别分

REQUESTED

REQUIRED

ACCEPTED

REJECTED

server和client  要配合使用才能确保进行传输加密,简单概括如下表格:

Table 4-2 Encryption and Data Integrity Negotiations

Client SettingServer SettingEncryption and Data Negotiation

REJECTED

 

REJECTED

 

OFF

 

ACCEPTED

 

REJECTED

 

OFF

 

REQUESTED

 

REJECTED

 

OFF

 

REQUIRED

 

REJECTED

 

Connection fails

 

REJECTED

 

ACCEPTED

 

OFF

 

ACCEPTED

 

ACCEPTED

 

OFF

 

REQUESTED

 

ACCEPTED

 

ON

 

REQUIRED

 

ACCEPTED

 

ON

 

REJECTED

 

REQUESTED

 

OFF

 

ACCEPTED

 

REQUESTED

 

ON

 

REQUESTED

 

REQUESTED

 

ON

 

REQUIRED

 

REQUESTED

 

ON

 

REJECTED

 

REQUIRED

 

Connection fails

 

ACCEPTED

 

REQUIRED

 

ON

 

REQUESTED

 

REQUIRED

 

ON

 

REQUIRED

 

REQUIRED

 

ON

 


一致性校验也分四中级别:
 SQLNET.CRYPTO_CHECKSUM_SERVER|CLIENT

REQUESTED

REQUIRED

ACCEPTED

REJECTED

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/2caedf631a0c9098827ddb2ebaedb441.html