Oracle 20c 设置默认表空间加密算法

在 Oracle 20c 中对默认表空间的加密算法方面有所增强，可以通过设置：

TABLESPACE_ENCRYPTION_DEFAULT_ALGORITHM，动态参数来定义表空间创建操作的默认加密算法。

例如，如果将 :

TABLESPACE_ENCRYPTION_DEFAULT_ALGORITHM 设置为AES256，则以后的表空间创建操作将使用AES256作为默认加密算法。

TABLESPACE_ENCRYPTION_DEFAULT_ALGORITHM 适用于脱机和联机表空间加密操作。

此外，当您使用 DBCA 创建新表空间时，可以通过使用 DBCA 命令行进行静默安装来设置默认表空间加密算法。支持的加密算法为：AES128、AES192、AES256 和 3DES168。

如果未设置 ：

TABLESPACE_ENCRYPTION_DEFAULT_ALGORITHM，则默认的加密算法是以前版本中使用的默认加密算法：AES128。

默认情况下，您在Database Classic Cloud Service数据库中创建的所有新表空间都是加密的。

但是，并非在创建数据库部署时创建的所有表空间都被加密：

在 Oracle Database 11g 数据库中，创建数据库部署时创建的表空间均未加密。

在 Oracle Database 12c 第1版数据库中，创建数据库部署时创建的表空间均未加密。在 Oracle Database 12c 第2版或更高版本的数据库中，只有在创建数据库部署时创建的 USERS 表空间才被加密。 其他表空间均未加密。包括 CDBROOT，PDBSEED 和创建数据库部署时创建的 PDB。

• 创建加密的表空间

默认情况下，用户创建的表空间是加密的。

默认情况下，使用 CREATE TABLESPACE 命令创建的所有新表空间都使用AES128加密算法进行加密。您无需包括 USING 'encrypt_algorithm' 子句即可使用默认加密。

您可以通过在 CREATE TABLESPACE 命令中包含 USING 'encrypt_algorithm' 子句来指定另一种受支持的算法。支持的算法包括：AES256，AES192，AES128 和 3DES168。

示例：

在以下示例中，第一个语句通过打开钱包启用数据库的加密。第二条语句创建一个加密的表空间。

ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY "wallet_password";


CREATE TABLESPACE encrypt_ts
  DATAFILE '$ORACLE_HOME/dbs/encrypt_df.dbf' SIZE 1M
  ENCRYPTION USING 'AES256' ENCRYPT;

• 管理表空间加密

您可以管理软件密钥库（在Oracle Database 11g中称为Oracle钱包）、主加密密钥，并控制默认情况下是否启用加密。

• 管理软件密钥库和主加密密钥

表空间加密使用基于密钥的两层体系结构来透明地加密（和解密）表空间。主加密密钥存储在外部安全模块（软件密钥库）中。此主加密密钥用于对表空间加密密钥进行加密，而该密钥又用于对表空间中的数据进行加密和解密。

在 Database Classic Cloud Service 上创建数据库部署后，将创建本地自动登录软件密钥库。密钥库在计算节点本地，并受系统生成的密码保护。自动登录软件密钥库在访问时会自动打开。

您可以使用 dbaascli 实用程序的 tde rotate masterkey 子命令来更改（旋转）主加密密钥。执行此子命令时，将提示您输入密钥库密码。输入在数据库部署创建过程中指定的密码。例如：

DBAAS>tde rotate masterkey
Executing command tde rotate masterkey
Enter keystore password:
Successfully rotated TDE masterkey

• 控制默认表空间加密

ENCRYPT_NEW_TABLESPACES 初始化参数控制新表空间的默认加密。在数据库经典云服务数据库中，默认情况下此参数设置为 CLOUD_ONLY。

该参数的值如下：