阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

Oracle网络传输的加密和完整性验证

213次阅读
没有评论

共计 3211 个字符,预计需要花费 9 分钟才能阅读完成。

测试环境:

Oracle 11.2.0.4 Winodows  单机

应用场景:

对 Oracle 服务器和客户端之间的网络传输数据进行加密和完整性校验。

默认是使用明文方式传输数据,举例可以通过 wireshark、sniffer 等网络抓包工具抓取到传输的具体信息。

对于敏感信息是很不安全的。

举例:

对于汉字可以通过很多在线转换工具将 HEX 编码转换成可读汉字。

对于了解业务的人来说,这些信息是很有价值的。

客户端存在两种模式:

1、通过 oracle 客户端软件连接数据库

2、通过 jdbc 驱动连接 oracle 数据库

通过 oracle 客户端的情况:

启用传输加密和校验的主要方法是通过服务器端和客户端的 sqlnet.ora 文件实现。

配置方法:
理论上需要在数据库 server 端和 oracle 客户端都修改 sqlnet.ora 文件,但因为 client 端默认传输加密级别是 ACCEPTED,默认一致性校验级别是 ACCEPTED,所以只需要在服务器端设置如下参数就可以打开传输加密和一致性校验功能,而不需要再对 client 端的 sqlnet.ora 进行设置(知识拓展部分介绍)。

在 oracle 服务器端编辑 sqlnet.ora 文件,添加参数:
SQLNET.ENCRYPTION_SERVER = REQUIRED               —- 加密级别
SQLNET.ENCRYPTION_TYPES_SERVER = RC4_256      —- 加密算法
SQLNET.CRYPTO_CHECKSUM_SERVER = REQUIRED     — 一致性能校验

设置参数后对新建立的 session 起作用。

加密后抓取的包不再是明文的:

对于 jdbc 连接的情况:
需要写代码,不是很懂,不做验证,大体格式如下:
For example:

DriverManager.registerDriver(new oracle.jdbc.driver.OracleDriver());
Properties props = new Properties();
props.put("oracle.net.encryption_client", "accepted");
props.put("oracle.net.encryption_types_client", "RC4_128");
props.put("oracle.net.crypto_checksum_client", "REQUIRED");                // 此行根据官方文档写,未作验证 
props.put("oracle.net.crypto_checksum_types_client","MD5");             // 此行根据官方文档格式写,未作验证 
props.put("user", "XXX"); props.put("password", "YYY"); Connection conn = DriverManager.getConnection("jdbc:oracle:thin:@myhost:1521:mySID", props);

知识拓展:
server 端和 client 端的加密级别参数 SQLNET.ENCRYPTION_SERVER|CLIENT
级别分

  • REQUESTED
  • REQUIRED
  • ACCEPTED
  • REJECTED

 server 和 client  要配合使用才能确保进行传输加密,简单概括如下表格:

Table 4-2 Encryption and Data Integrity Negotiations

Client Setting Server Setting Encryption and Data Negotiation

REJECTED

REJECTED

OFF

ACCEPTED

REJECTED

OFF

REQUESTED

REJECTED

OFF

REQUIRED

REJECTED

Connection fails

REJECTED

ACCEPTED

OFF

ACCEPTED

ACCEPTED

OFFFoot 1 

REQUESTED

ACCEPTED

ON

REQUIRED

ACCEPTED

ON

REJECTED

REQUESTED

OFF

ACCEPTED

REQUESTED

ON

REQUESTED

REQUESTED

ON

REQUIRED

REQUESTED

ON

REJECTED

REQUIRED

Connection fails

ACCEPTED

REQUIRED

ON

REQUESTED

REQUIRED

ON

REQUIRED

REQUIRED

ON

一致性校验也分四中级别:
 SQLNET.CRYPTO_CHECKSUM_SERVER|CLIENT

  • REQUESTED
  • REQUIRED
  • ACCEPTED
  • REJECTED

同样需要配合使用。

参数解释:
SQLNET.CRYPTO_CHECKSUM_CLIENT。默认设置为 ACCEPTED。

参数

    ACCEPTED – 客户端不请求使用校验和,但是如果服务器请求校验和,则请求。兼容的服务器参数为 REJECTED,REQUESTED 和 REQUIRED。
    REJECTED – 客户端不支持使用校验和。兼容的服务器参数为 REJECTED,ACCEPTED 和 REQUESTED。
    REQUESTED – 客户端喜欢使用校验和,但是如果服务器拒绝它们的使用,则不强制该问题。兼容的服务器参数是 ACCEPTED,REQUESTED 和 REQUIRED。
    REQUIRED – 客户端要求使用校验和,否则不连接。兼容的服务器参数是 ACCEPTED,REQUESTED 和 REQUIRED。

SQLNET.CRYPTO_CHECKSUM_SERVER。默认设置为 ACCEPTED。

参数

    ACCEPTED – 服务器不请求使用校验和,但如果客户端请求它们,请继续。兼容的服务器参数有:REJECTED,REQUESTED 和 REQUIRED。
    REJECTED – 服务器根本不支持使用校验和。兼容的客户端参数为 REJECTED,ACCEPTED 和 REQUESTED。
    REQUESTED – 服务器更喜欢使用校验和,但是如果客户端拒绝它们的使用,则不强制该问题。兼容的客户端参数是 ACCEPTED,REQUESTED 和 REQUIRED。
    REQUIRED – 服务器要求使用校验和,否则不连接。兼容的客户端参数是 ACCEPTED,REQUESTED 和 REQUIRED。

对性能的影响:

既然要 加密和解密就势必会占用一定的性能资源,但影响不大,下图是一个测试结果,摘自 http://www.orafaq.com/wiki/Network_Encryption  

Algorithm None MD5 SHA-1
Time %None Time %None Time %None
None 79.6 s   80.5 s 101% 82.4 s 104%
DES 104.7 s 132% 107.1 s 135% 108.2 s 136%
3DES168 151.8 s 191% 153.9 s 193% 155.6 s 196%
AES128 88.8 s 112% 90.5 s 114% 92.1 s 116%
AES256 91.8 s 115% 93.5 s 117% 94.2 s 118%
RC4_128 81.6 s 103% 82.5 s 104% 85.0 s 107%
RC4_256 81.7 s 103% 82.8 s 104% 85.0 s 107%

参考文档:
http://docs.oracle.com/cd/B19306_01/network.102/b14268/asoconfg.htm#BBJBIECD

http://docs.oracle.com/cd/B19306_01/network.102/b14268/asojbdc.htm#i1006209

更多 Oracle 相关信息见 Oracle 专题页面 http://www.linuxidc.com/topicnews.aspx?tid=12

本文永久更新链接地址 :http://www.linuxidc.com/Linux/2016-11/137682.htm

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2022-01-22发表,共计3211字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中