create tablespace ts_encrypted datafile '/home/oracle/app/oracle/oradata/ORCL/datafile/ts_encrypted _d08ww9lb_.dbf' size 100m autoextend on encryption using 'AES192' default storage(encrypt);
查询表空间加密
select ts.name,et.encryptedts,et.encryptionalg from v$tablespace ts,v$encrypted_tablespaces et where ts.ts#=et.ts#;
列级别加密步骤
1确定待加密的列
2确定tde都能够支持此数据类型
3确定在该列上不存在索引
4确定改了不属于某个PK/FK关系
5对列进行加密
6重新组织表或在线重定义
表空间加密步骤
1确定含有敏感数据的列表
2创建一个新的加密表空间
3使用alert table customer move tablespace encrypted_customer ;将表移动到新表空间。
4索引需要重建,例如:
alter table tde_table1_index1 rebuild tablespace encryptedtbs;
5将表从加密的表空间move到普通表空间,就完成了解密。
11g表空间级透明数据加密的功能提升
相对于10g版本的列级TDE,表空间级TDE提供了更多的灵活性和更好的性能。
下列表格是10g列级TDE和11g 表空间级TDE的比较。
列级TDE
表空间级TDE
加密完成在
PGA
Data Block 层
在SGA中加密数据的状态
加密的
解密的
支持的索引类型
只支持b-tree索引
支持所有类型索引
支持外键?
不知道外键加密(因为不同的表用不通的key)
支持外键
支持的索引search方式
支持等值search,不知道范围扫描
支持所有类型的search
支持的数据类型
部分
所有
执行计划是否改变
可能
不改变
是否需要增加存储的占用
是
否
对其他产品的支持
TDE支持Dataguard,
TDE不支持传统导出导入exp/imp
TDE支持expdp/impdp,可以直接导出,但是会提示ORA-39173 encryptd data has been stored unencrypted in dump file set ,表时是明文方式存储在DUMP文件中,可以直接导入。
为了保证导出DUMP的安全也可以在导出时使用 ENCRYPTION_PASSWORD参数来对备份文件设置加密口令,导入时只有提供口令密码才能导入数据。