Oracle 11.2.0.4 Winodows 单机
应用场景:
对Oracle服务器和客户端之间的网络传输数据进行加密和完整性校验。
默认是使用明文方式传输数据,举例可以通过wireshark、sniffer等网络抓包工具抓取到传输的具体信息。
对于敏感信息是很不安全的。
举例:
对于汉字可以通过很多在线转换工具将HEX编码转换成可读汉字。
对于了解业务的人来说,这些信息是很有价值的。
客户端存在两种模式:
1、通过oracle客户端软件连接数据库
2、通过jdbc驱动连接oracle数据库
通过oracle客户端的情况:
启用传输加密和校验的主要方法是通过服务器端和客户端的sqlnet.ora文件实现。
配置方法:
理论上需要在数据库server端和oracle客户端都修改sqlnet.ora文件,但因为client端默认传输加密级别是ACCEPTED,默认一致性校验级别是ACCEPTED,所以只需要在服务器端设置如下参数就可以打开传输加密和一致性校验功能,而不需要再对client端的sqlnet.ora进行设置(知识拓展部分介绍)。
在oracle服务器端编辑sqlnet.ora文件,添加参数:
SQLNET.ENCRYPTION_SERVER = REQUIRED ----加密级别
SQLNET.ENCRYPTION_TYPES_SERVER = RC4_256 ----加密算法
SQLNET.CRYPTO_CHECKSUM_SERVER = REQUIRED --- 一致性能校验
设置参数后对新建立的session起作用。
加密后抓取的包不再是明文的:
对于jdbc连接的情况:
需要写代码,不是很懂,不做验证,大体格式如下:
For example:
知识拓展:
server端和client端的加密级别参数SQLNET.ENCRYPTION_SERVER|CLIENT
级别分
REQUESTED
REQUIRED
ACCEPTED
REJECTED
server和client 要配合使用才能确保进行传输加密,简单概括如下表格:
Table 4-2 Encryption and Data Integrity Negotiations
Client SettingServer SettingEncryption and Data NegotiationREJECTED
REJECTED
OFF
ACCEPTED
REJECTED
OFF
REQUESTED
REJECTED
OFF
REQUIRED
REJECTED
Connection fails
REJECTED
ACCEPTED
OFF
ACCEPTED
ACCEPTED
OFF
REQUESTED
ACCEPTED
ON
REQUIRED
ACCEPTED
ON
REJECTED
REQUESTED
OFF
ACCEPTED
REQUESTED
ON
REQUESTED
REQUESTED
ON
REQUIRED
REQUESTED
ON
REJECTED
REQUIRED
Connection fails
ACCEPTED
REQUIRED
ON
REQUESTED
REQUIRED
ON
REQUIRED
REQUIRED
ON
一致性校验也分四中级别:
SQLNET.CRYPTO_CHECKSUM_SERVER|CLIENT
REQUESTED
REQUIRED
ACCEPTED
REJECTED