Oracle数据库中的数据加密

Oracle数据库中的数据加密 / Oracle数据库DES加密

有个需求，需要对某些敏感信息字段进行脱敏，要求在数据库中不能显示明文。如果目的侧重保护数据而非脱敏的话，可以考虑用表空间透明数据加密（TDE），不过现在是需要对字段内容脱敏，则读取和存储都要是加密后的密文数据。

增量数据好说，后台代码实现即可。但存量数据如果也要后台与数据库交互进行加密的话，且不说IO的消耗，就先查再改，无论单条还是分批，在数十、百万的数据量下估计需要很长时间。那就要考虑在数据库里用PL/SQL做存量数据的加密操作。

Oracle中的加密函数

Oracle的PL/SQL包中有提供相关的函数。

PL/SQL包类官方文档（10.2版本）：Database PL/SQL Packages and Types Reference - Contents (oracle.com)

版本在10g之前的话，只能使用DBMS_OBFUSCATION_TOOLKIT这个包来加密，这个包只支持DES和3DES算法，且只有CBC模式，还要手动补位；而在10g以及更高的版本中，则能使用DBMS_CRYPTO包，这个包的加密算法更加丰富，DES、3DES、 AES、RC4、3DES_2KEY等算法和CBC、CFB、ECB、OFB模式，也提供补位，使用起来更简单。

DBMS_CRYPTO和DBMS_OBFUSCATION_TOOLKIT的特性对比
Package FeatureDBMS_CRYPTODBMS_OBFUSCATION_TOOLKITCryptographic algorithmsDES, 3DES, AES, RC4, 3DES_2KEYDES, 3DESPadding formsPKCS5, zeroesnone supportedBlock cipher chaining modesCBC, CFB, ECB, OFBCBCCryptographic hash algorithmsMD5, SHA-1, MD4MD5Keyed hash (MAC) algorithmsHMAC_MD5, HMAC_SH1none supportedCryptographic pseudo-random number generator

RAW

,

NUMBER

,

BINARY_INTEGER

RAW

,

VARCHAR2

Database types

RAW

,

CLOB

,

BLOB

RAW

,

VARCHAR2

DBMS_OBFUSCATION_TOOLKIT

使用该包的加密函数需要手动实现补位，同时也只有CBC模式。以使用DES加密为例，自定义一个函数实现输入明文字符串，输出DES/CBC/PKCS5加密并Base64编码后的密文字符串。

根据文档提供的函数定义，选用第一种。

DBMS_OBFUSCATION_TOOLKIT.DESEncrypt(
   input         IN  RAW,keyIN  RAW)RETURN RAW;

DBMS_OBFUSCATION_TOOLKIT.DESEncrypt(
   input_string  IN  VARCHAR2,
   key_string    IN  VARCHAR2)RETURN VARCHAR2;

因为加密的数据含中文，一个汉字占两个字节，而数字英文占一个字节，VARCHAR2类型直接进行长度判断补位不对，需要转为RAW类型按字节长度判断，所以直接以RAW类型传参。

Oracle中可以使用UTL_I18N.STRING_TO_RAW或UTL_RAW.CAST_TO_RAW来将VARCHAR2类型转为RAW类型。

将明文字符串转成二进制数据类型RAW，然后判断其长度进行PKCS5方式的补位（该补位方法是缺几位就补几位的“几”以满足八的倍数结果，如果一开始已满足，也要加八位的八），密钥也需要转换为RAW格式。DES密钥为64位，即需要8字节的输入，小于8字节会报错，大于的部分会被忽略。

密钥这里我在函数中定义了（应该提出来作为入参，提高安全性）。因为BASE64_ENCODE进行编码的时候，输入的字节数多的话会自动添加换行符，所以做了一个去除处理。

createorreplacefunction encrypt_des(input_str varchar2)return varchar2
    is
    enc_str    varchar2(256);
    pad_length NUMBER(1);
    pad_byte   RAW(1);
    raw_input  RAW(512);
    raw_key    RAW(16);
    enc_raw    RAW(1024);beginif input_str isnullthenreturn input_str;else
        raw_input := UTL_RAW.CAST_TO_RAW(input_str);-- padding: pad n with n lacking n length
        pad_length :=(8-MOD(UTL_RAW.LENGTH(raw_input),8));
        pad_byte := TO_SINGLE_BYTE(pad_length);while pad_length >0loop
                raw_input := UTL_RAW.CONCAT(raw_input, pad_byte);
                pad_length := pad_length -1;endloop;-- key setting
        raw_key := UTL_RAW.CAST_TO_RAW('keytests');
        enc_raw := DBMS_OBFUSCATION_TOOLKIT.DESENCRYPT(input => raw_input,key=> raw_key);-- remove line break
        enc_str := UTL_RAW.CAST_TO_VARCHAR2(REPLACE(UTL_ENCODE.BASE64_ENCODE(enc_raw),'0D0A',''));return enc_str;endif;end;/

DBMS_CRYPTO

使用此包需要向调用的用户授予权限。

以SYSDBA用户登录后：

$ sqlplus / as sysdba

授予权限：

GRANTEXECUTEON DBMS_CRYPTO TO USER_NAME;

加密函数语法：

DBMS_CRYPTO.ENCRYPT(
   src IN RAW,
   typ IN PLS_INTEGER,keyIN RAW,
   iv  IN RAW          DEFAULTNULL)RETURN RAW;

使用该包的加密函数，就不需要手动补位了，只要选择好想实现加密算法、加密模式和补位的模式即可。因此自定的函数式为输入的字符串做RAW类型的转换并加密和base64编码的实现。

createorreplacefunction crypto_des(input_str varchar2)return varchar2
    is
    enc_str  varchar2(256);
    raw_key  RAW(16);
    enc_raw  RAW(1024);
    enc_type PLS_INTEGER :=-- total encryption type
            DBMS_CRYPTO.ENCRYPT_DES
            + DBMS_CRYPTO.CHAIN_CBC
            + DBMS_CRYPTO.PAD_PKCS5;beginif input_str isnullthenreturn input_str;else-- key setting
        raw_key := UTL_RAW.CAST_TO_RAW('keytests');
        enc_raw := DBMS_CRYPTO.ENCRYPT(UTL_RAW.CAST_TO_RAW(input_str), enc_type, raw_key);-- remove line break
        enc_str := UTL_RAW.CAST_TO_VARCHAR2(REPLACE(UTL_ENCODE.BASE64_ENCODE(enc_raw),'0D0A',''));return enc_str;endif;end;/

也可以直接一条SQL实现：

select UTL_RAW.CAST_TO_VARCHAR2(UTL_ENCODE.BASE64_ENCODE(DBMS_CRYPTO.ENCRYPT(UTL_RAW.CAST_TO_RAW('测试一下123abc'),4353, UTL_RAW.CAST_TO_RAW('keytests'))))as test from dual;

4353是DES/CBC/PKCS5加密方式的数字代码。因为PL/SQL中的常量不能直接在SQL中使用，而需要在PL/SQL块中使用，所以把4353换成DBMS_CRYPTO.DES_CBC_PKCS5或是DBMS_CRYPTO.ENCRYPT_DES+ DBMS_CRYPTO.CHAIN_CBC+ DBMS_CRYPTO.PAD_PKCS5的话会报错。

Java中相应的加解密

RFC 822规定中Base64编码后每76个字符需要加一个换行符。一些旧包编码后会带换行符，如sun.mis（效率也不太好）。

JDK1.8可以直接用自带的java.util.Base64包，不会有换行符。

这里示例Base64编码包是commons-codec的，该包编码后不会有换行符。

publicstaticfinalString KEY ="keytests";publicstaticStringencrypt(String inputStr){if(null!= inputStr &&!"".equals(inputStr)){try{DESKeySpec desKey =newDESKeySpec(KEY.getBytes());SecretKey secretKey =SecretKeyFactory.getInstance("DES").generateSecret(desKey);Cipher cipher =Cipher.getInstance("DES/CBC/PKCS5Padding");
            cipher.init(Cipher.ENCRYPT_MODE, secretKey,newIvParameterSpec(newbyte[8]));byte[] encryptedBytes = cipher.doFinal(inputStr.getBytes());returnBase64.encodeBase64String(encryptedBytes);}catch(Exception e){
            e.printStackTrace();}}return inputStr;}

publicstaticStringdecrypt(String encryptedStr){if(null!= encryptedStr &&!"".equals(encryptedStr)){try{// encryptStr = encryptStr.replace("\r\n","");DESKeySpec desKey =newDESKeySpec(KEY.getBytes());SecretKey secretKey =SecretKeyFactory.getInstance("DES").generateSecret(desKey);Cipher cipher =Cipher.getInstance("DES/CBC/PKCS5Padding");
            cipher.init(Cipher.DECRYPT_MODE, secretKey,newIvParameterSpec(newbyte[8]));byte[] decryptBytes = cipher.doFinal(Base64.decodeBase64(encryptedStr));returnnewString(decryptBytes);}catch(Exception e){
            e.printStackTrace();}}return encryptedStr;}