Mã hóa và toàn vẹn CSDL với trong oracle (ppt)

Trong chiến lược bảo mật dữ liệu, đa số các công ty hiện nay tập trung nguồn lực vào bảo vệ dữ liệu trên đường truyền. Trong khi đó vấn đề bảo vệ dữ liệu nằm trong cơ sở dữ liệu (CSDL) chưa được quan tâm đúng mức. Thực tế cho thấy, sự cố về an ninh xảy ra với CSDL có thể ảnh hưởng nghiêm trọng đến danh tiếng của công ty và quan hệ với khách hàng chẳng hạn như: Sự cố an ninh mất cắp 40 triệu thẻ tín dụng của khách hàng gần đây xảy ra với Master Card và Visa Card đã phần nào gia tăng sự chú ý đến các giải pháp bảo mật CSDL. Chính vì những lý do như vậy mà chúng em đã thực hiện bài tập có tên là “Mã hóa và toàn vẹn CSDL với trong oracle”. Nội dung của đồ án bao gồm các phần: Chương 1: Giới thiệu về mã hóa và toàn vẹn CSDL. Chương 2: Mã hóa dữ liệu Oracle bằng TDE. Chương 3: Cấu hình mã hóa và toàn vẹn dữ liệu mạng trên Oracle Em xin chân thành cảm ơn sự giúp đỡ tận tình của Trần Thị Lượng bài tập của chúng em được hoàn thành. Do thời gian có hạn nên bài tập của chúng em chắc chắn còn nhiều thiếu sót. Em rất mong nhận được sự góp ý, chỉ bảo của quý thầy cô để đồ án của em được hoàn thiện hơn. Em xin chân thành cảm ơn Nhóm sinh viên thực hiện CHƯƠNG 1: MÃ HÓA VÀ TOÀN VẸN DỮ LIỆU TRONG ORACLE 1.1. Tổng quan về mã hóa dữ liệu và toàn vẹn dữ liệu Thuật toán mật mã đề cập tới nghành khoa học nghiên cứu về mã hoá và giải mã thông tin. Cụ thể hơn là nghiên cứu các cách thức chuyển đổi thông tin từ dạng rõ (clear text) sang dạng mã (cipher text) và ngược lại. Đây là một phương pháp hỗ trợ rất tốt cho trong việc chống lại những truy cập bất hợp pháp tới dữ liệu được truyền đi trên mạng, áp dụng mã hoá sẽ khiến cho nội dung thông tin được truyền đi dưới dạng mã và không thể đọc được đối với bất kỳ ai cố tình muốn lấy thông tin đó. Trước khi có internet, dữ liệu mã hóa ít khi được sử dụng bởi công chúng coi nó như một công cụ an ninh quân sự. Ngày nay, với các dịch vụ mua sắm, giao dịch với ngân hàng và các dịch vụ khác trực tuyến ngày càng phát triển thì nhận thức về mã hóa dữ liệu đối với mỗi cá nhân ngày càng được nâng cao. Ngày nay, các trình duyệt tự động mã hóa khi đưa ra một kết nối đến một máy chủ an toàn. Điều này ngăn cản những kẻ xâm nhập nghe lén các thông tin quan trọng của người sử dụng. Ngay cả khi lấy được tin nhắn, thì chúng cũng không thể đọc được. Không phải ai hay bất kỳ ứng dụng nào cũng phải sử dụng mã hoá. Nhu cầu về sử dụng mã hoá xuất hiện khi các bên tham gia trao đổi thông tin muốn bảo vệ các tài liệu quan trọng hay gửi chúng đi một cách an toàn. Các tài liệu quan trọng có thể là: tài liệu quân sự, tài chính, kinh doanh hoặc đơn giản là một thông tin nào đó mang tính riêng tư. Mã hóa là một chìa khóa kiểm soát nhận rất nhiều sự quan tâm của các tổ chức ngày nay. Các tổ chức hiểu rằng họ cần phải mã hóa các dữ liệu quan trọng và có quy tắc. Mã hóa có thể giúp ngăn chặn mất dữ liệu hoặc bị đánh cắp, cũng như ngăn chặn gian lận trong tổ chức. Trong nhiều trường hợp, mã hóa cũng được sử dụng để qui định những đòi hỏi cho việc bảo vệ dữ liệu khách hàng. Nhiều tổ chức có những thiệt hại nặng nề khi các kiểm soát mã hóa không thể được thực hiện theo cách mà nó phải được thực hiện cùng với tổ chức, và dữ liệu thì bị mất mát. Đã có rất nhiều tình huống trong nhiều năm nơi mà các băng sao lưu bị mất, hay bị đánh cắp, và những dữ liệu nhạy cảm thì không được mã hóa. Một máy chủ cũng có thể bị tổn hại , kết quả của thông tin bị rò rỉ. Trong nhiều trường hợp, có thể quy định những yêu cầu để báo cáo dữ liệu bị rò rỉ. Cuối cùng, ngày càng nhiều tổ chức tìm cách để bào vệ dữ liệu, đề phòng trường hợp bị rò rỉ, bằng cách mã hóa dữ liệu cùng với môi trường tổ chức. Khi mã hóa dữ liệu ở mức cơ sở dữ liệu, có nhiều vùng nơi mà việc mã hóa được áp dụng và quản lý. Thông qua những gì đã đề cập phía trên, chúng ta sẽ nhìn vào những cái đơn giản nhất của việc mã hóa và thảo luận về ưu điểm và khuyết điểm của kiến trúc mã hóa có sẵn ngày nay. Mã hóa không phải là một giải pháp màu nhiệm và không thể giải quyết tất cả các vấn đề, nhưng nó có thể giảm nhẹ rất nhiều những rủi ro bảo mật mà các tổ chức phải đối mặt. Vấn đề quan trọng phải hiểu rằng những gì mã hóa dữ liệu làm được và không làm được cùng với tổ chức nên chúng ta có thể quản lý rủi ro đúng đắn đối với những dữ liệu quan trọng và có quy tắc. 1.2. Các mức mã hóa dữ liệu Mã hóa ứng dụng Mã hóa file đĩa Mã hóa cơ sở dữ liệu CHƯƠNG 2: MÃ HÓA DỮ

Trang 1

Giáo viên hướng dẫn : Trần Thị Lượng

Trang 3

CHƯƠNG 1: MÃ HÓA VÀ TOÀN VẸN DỮ LIỆU

1.1 Tổng quan về mã hóa và toàn vẹn dữ liệu

1.1.1 Về mã hóa dữ liệu 1.1.2 Về toàn vẹn dữ liệu 1.2 Các mức mã hóa dữ liệu.

1.2.1 Mã hóa ứng dụng 1.2.2 Mã hóa file / đĩa 1.2.3 Mã hóa cơ sở dữ liệu

Trang 4

Tổng quan về mã hóa và toàn vẹn dữ liệu

1.1.1 Về mã hóa dữ liệu

 Thuật toán mật mã đề cập tới nghành khoa học nghiên cứu về

mã hoá và giải mã thông tin Cụ thể hơn là nghiên cứu các cách thức chuyển đổi thông tin từ dạng rõ (clear text) sang dạng mã (cipher text) và ngược lại

- Ngày nay với sự phát triển của công nghệ và an toàn dữ liệu tầm nhận thức về mã hóa dữ liệu đối với mỗi cá nhân và tổ chức ngày càng được nâng cao

- Mã hóa dữ liệu là một chìa khóa kiểm soát an toàn dữ liệu rất nhiều sự quan tâm của các tổ chức trong lưu trữ và truyền

dữ liệu

Trang 5

Trang 6

1.1.2 Về toàn vẹn dữ liệu

Tính toàn vẹn dữ liệu (Tiếng Anh là Data Integrity) là dữ liệu

hay thông tin không bị thay đổi, mất mát trong khi lưu trữ hay truyền tải Nói cách khác tính toàn vẹn là tính không bị hiệu chỉnh của dữ liệu Đây là 1 trong 4 khía cạnh trong an toàn điện tử: authentication, nonrepudiation, reliability/privacy, usefulness.

Ngày nay các cuộc tấn công vào tính toàn vẹn của dữ liệu ngày càng tăng nhanh với hai tấn công chủ yếu là:

- Tấn công sửa đổi dữ liệu

- Tấn công replay

Trang 7

Trang 8

CHƯƠNG 1: MÃ HÓA VÀ TOÀN VẸN DỮ LIỆU

1.2 Các mức mã hóa dữ liệu

 Mã hóa ứng dụng

- Ưu điểm: Chủ động xây dựng modul, mã hóa và giải mã

- Nhược điểm: Mất công viết các modul, Không tận dụng được các modul có sắn trong DBMS

 Mã hóa file / đĩa (mã hóa từng tệp bằng khóa bí mật)

- Ưu điểm: Đơn giản

- Nhược điểm: Nếu mất khóa thì toàn bộ dữ liệu bị mất

 Mã hóa cơ sở dữ liệu (ORacle)

- Ưu điểm: Tận dụng các modul mã hóa, giải mã trong Oracle và tốc độ nhanh

- Nhược điểm: Phức tạp, lưu trữ và phân phối khóa phức tạp

Trang 9

CHƯƠNG 2: MÃ HÓA DỮ LIỆU ORACLE BẰNG TDE

2.1 Khái niệm TDE 2.2 Cơ chế quản lý khóa 2.3 Hoạt động của TDE 2.4 Cấu hình Oracle Wallet 2.5 Ví dụ mã hóa TDE

Trang 10

2.1 Khái niệm TDE

Transparent Data Encryption (TDE): là cơ chế mã hóa

dữ liệu trong suốt với người dùng cuối

- TDE chỉ mã hóa dữ liệu ở mức File, dữ liệu khi lưu trong File sẽ ở dạng mã hóa Cách này giúp File

dữ liệu bị đánh cắp nếu không có khóa thì không xem được.

- Người dùng có quyền truy cập; ví dụ quyền SELECT, đến dữ liệu thì mặc nhiên sẽ nhìn thấy dữ liệu ở dạng bản rõ.

Trang 11

2.2 Cơ chế quản lý khóa

 TDE dùng “ví” (Wallet) để quản lý khóa

Ví trong Oracle cũng vậy, ví là một tập tin nhị phân và thường dùng để lưu khóa giải mã, ta gọi khóa này là MK (Master Key).

TDE lại mã hóa dữ liệu bảng trong Database với khóa

CK (Column-Key, lưu ý mỗi bảng sẽ chỉ có 1 khóa CK

dù mã hóa nhiều cột) Oracle Database không lưu khóa

CK ở dạng bản rõ, mà Oracle lưu bản mã của khóa CK; tức là lưu kết quả của hàm này encrypt (CK, MK).

Trang 12

2.2 Cơ chế quản lý khóa

Tiến trình xem dữ liệu mã hóa TDE như sau:

1 Người dùng xem dữ liệu mã hóa TDE

2 Oracle đọc khóa MK từ Wallet lưu ngoài Database

3 Dùng mã MK giải mã CK trong database:

CK = decrypt (encrypted_CK, MK).

4 Dùng khóa CK để giải mã dữ liệu bảng mã hóa trong Database.

Trang 13

2.3 Hoạt động của TDE

Hoạt động của TDE

Trang 14

2.4 Cấu hình Oracle Wallet

Bước 1: Cấu hình vị trí lưu Wallet trong sqlnet.

Bước 2: Tạo Wallet Bước 3: Mở / đóng Wallet Bước 4: Cấu hình tự động mở Wallet

Trang 15

CHƯƠNG 3: CẤU HÌNH MÃ HÓA VÀ TOÀN VẸN DỮ LIỆU

MẠNG GIỮA CLIENT VÀ SERVER

3.1 Kích hoạt mã hoá và toàn vẹn 3.2 Thoả thuận mã hoá và toàn vẹn 3.3 Cài đặt mầm mã hoá (tuỳ chọn) 3.4 Cấu hình các thông số mã hoá và toàn vẹn sử dụng Oracle Net Manager

Trang 16

3.1 Kích hoạt mã hoá và toàn vẹn

- Trong bất kỳ kết nối mạng nào, nó đều có khả năng hỗ trợ cho cả client và server nhiều hơn một thuật toán mã hoá và toàn vẹn

- Khi một kết nối được tạo, server sẽ chọn thuật toán, nếu có, sẽ chọn một trong các thuật toán trong file sqlnet.ora

- Server tìm kiếm thuật toán phù hợp có sẵn trên cả client và server

và đưa nó làm thuật toán đầu tiên trong danh sách sở hữu của nó và cả danh sách của client

+ Nếu một bên kết nối không chỉ ra một danh sách thuật toán, tất

cả thuật toán được cài đặt ở bên đó đều được chấp nhận

+ Kết nối thất bại với lỗi ORA-12650 nếu một trong 2 bên chỉ định một thuật toán mà nó chưa được cài đặt

Trang 17

3.2 Thoả thuận mã hoá và toàn vẹn

Để xem xét nên bật mã hoá hay toàn vẹn, bạn có thể chỉ định 4 giá trị có thể cho Các thông số cấu hình mã hoá và toàn vẹn Oracle Advanced Security 4 giá trị này lắng nghe theo thứ

Trang 18

Trang 19

3.2.2 Accepted

 Chọn giá trị này để kích hoạt dịch vụ bảo mật nếu cần thiết hoặc yêu cầu từ bên kia.

Trong kịch bản này, bên này của kết nối không yêu cầu dịch vụ bảo mật nhưng

nó được kích hoạt nếu bên kia cài đặt giá trị Required hoặc Requested

- Nếu bên kia cài đặt Required hoặc Requested và một thuật toán mã hoá và toàn vẹn phù hợp được tìm thấy, kết nối sẽ tiếp tục mà không có lỗi và dịch

vụ bảo mật được kích hoạt

- Nếu bên kia cài đặt giá trị Required và không có thuật toán nào khớp được tìm thấy thì kết nối sẽ chấm dứt với lỗi ORA-12650.

- Nếu bên k19ia cài đặt giá trị Requested và không có thuật toán nào khớp được tìm thấy hoặc nếu bên kia cài đặt giá trị Accepted hoặc Rejected, kết nối

sẽ tiếp tục mà không có lỗi và dịch vụ bảo mật không được kích hoạt

Trang 20

- Nếu có các thuật toán phù hợp có sẵn ở bên kia, nếu không thì dịch vụ sẽ không được kích hoạt Nếu bên kia chỉ định Required và không có thuật toán nào khớp, kết nối sẽ thất bại.

Trang 21

Trang 22

3.3 Cài đặt mầm mã hoá (tuỳ chọn)

- Các mầm khoá khác nhau được dùng để phát ra một số ngẫu nhiên trên client hoặc server

- Một trong số các mầm khoá có thể được dùng như là mầm

mã hoá định nghĩa người dùng

- Cái này cài đặt với thông số sqlnet.crypto_seed trong file sqlnet.ora

- Nó có thể gồm 10 đến 70 ký tự và thay đổi trong bất kỳ thời điểm nào

- Trao đổi khoá Diffe-Hellman dùng số ngẫu nhiên để phát

ra những khoá phiên duy nhất cho mỗi phiên kết nối.

Trang 23

3.4 Cấu hình các thông số mã hoá và toàn vẹn sử dụng

Oracle Net Manager.

1 Dùng Oracle Net Manager để cấu hình mã hoá trên client

Trang 24

5 (Tuỳ chọn) Trong ô Encryption Seed, nhập ngẫu nhiên các

ký tự (trong khoảng 10-70), mầm mã hoá cho client có thể không cần giống trên server

6 Chọn các thuật toán mã hoá trong Available Methods Di

Trang 25

7 Chọn File > Save Network Configuration File sqlnet.ora sẽ được update.

8 Lặp lại quá trình này cho cấu hình mã hoá trên hệ thống khác File sqlnet.ora trên 2 hệ thống nên chứa các dòng sau:

Cầu hình mã hoá trên Client và server:

Trang 26

Thuật toán mã hoá hợp lệ và giá trị pháp lý liên quan của chúng được tổng hợp trong bảng sau:

Cầu hình mã hoá trên Client và server:

Trang 27

3.4 Cấu hình các thông số mã hóa và toàn vẹn sử dụng

Oracle Net Manager.

Cầu hình Toàn vẹn trên Client và server:

1 Dùng Oracle Net Manager để cấu hình toàn vẹn dữ liệu trên client

và server

Vào profile Oracle Advanced Security > Integrity tab

2 Tuỳ theo hệ thống cần cấu hình, chọn server hoặc client

3 Ở mục Checksum Level, chọn một trong các mức giá trị checksum:

Trang 28

Cầu hình Toàn vẹn trên Client và server:

7 Lặp lại quá trình cho cấu hình integrity trên hệ thống khác File sqlnet.ora trên 2 hệ thống phải chứa các dòng sau:

Các thuật toán toàn vẹn hợp lệ và giá trị pháp lý liên quan như bảng sau:

Trang 29

CHƯƠNG TRÌNH DEMO

Trang 30

Thank You !

Định dạng
Số trang	30
Dung lượng	1,2 MB