利用Oracle的dbms_obfuscation_toolkit加密解密数据-hb_li

华山虎

首页　| 　博文目录　| 　关于我

hb_li_520

博客访问： 448028
博文数量： 135
博客积分： 4177
博客等级：上校
技术积分： 1145
用户组：普通用户
注册时间： 2005-12-13 17:16

文章分类

全部博文（135）

业余爱好（6）
ORACLE（35）
NS2（4）
思科与华为（5）
C/C++（10）
Apache（1）
DEBIAN（11）
LINUX（21）

OS Normal（4）

Network（2）

fedora（4）

DNS（0）

iptables（3）
SHELL（10）
weblogic（2）
HP-UN（2）
存储（6）
MYSQL（22）

系统（1）

遇错解决（3）

常用工具（0）

安装与配置（2）

高可用性（0）

备份与恢愎（2）

集群（2）

同步（2）

SQL语句与技巧（3）

性能优化（7）
未分配的博文（0）

文章存档

2011年（5）

2010年（4）

2009年（26）

2008年（25）

2007年（29）

2006年（42）

2005年（4）

我的朋友

相关博文

利用Oracle的dbms_obfuscation_toolkit加密解密数据

分类： Oracle

2006-11-02 18:41:55

利用Oracle的dbms_obfuscation_toolkit加密解密数据
作者：叶枫

版权声明：本文可以自由转载，转载时请务必以超链接形式标明文章原始出处和作者信息及本声明
作者:叶枫(http://blog.matrix.org.cn/page/叶枫)
原文:[][/url]
关键字:Oracle 加密解密

  为了保护敏感数据,oracle从8i开始提供一个数据加密包:dbms_obfuscation_toolkit.利用这个包,我们可以对数据进行DES,Triple DES或者MD5加密. 本文就此讲解如何使用以及使用过程需要注意的问题.

1. dbms_obfuscation_toolkit简介

   dbms_obfuscation_toolkit主要有一下几个存储过程:-

     DESGETKEY   -- 产生密钥,用于DES算法
   DES3GETKEY  -- 产生密钥,用于Triple DES算法
   DESENCRYPT  -- 用DES算法加密数据
   DESDECRYPT  -- 用DES算法解密数据
   DES3ENCRYPT -- 用Triple DES算法加密数据
   DES3DECRYPT -- 用DES算法解密数据
   MD5         -- 用MD5算法加密数据

2. 准备数据表

   在开始前，我们先创建表users:


   drop table users;
   create table users(
   userid varchar2(50) primary key,
   password varchar2(64),  --密码原文
   encrypted varchar2(64)  --加密后的密码
   );


insert into users values ('user1','user1234',null);
insert into users values ('user2','abcd1234',null);
insert into users values ('user3','oracle12',null);
commit;

3. 创建包PG_ENCRYPT_DECRYPT


create  or replace package PG_ENCRYPT_DECRYPT is
iKey varchar2(8):='oracle9i';
function GEN_RAW_KEY  ( iKey in varchar2) return raw;
function DECRYPT_3KEY_MODE(iValue in raw,iMode in pls_integer)return varchar2;
function ENCRYPT_3KEY_MODE(iValue in varchar2,iMode in pls_integer)return raw;
end;
/
create or replace package body PG_ENCRYPT_DECRYPT is
function GEN_RAW_KEY  ( iKey in varchar2) 
return raw
as
rawkey raw(240) := '';
begin
for i in 1..length(iKey) loop
    rawkey := rawkey||hextoraw(to_char(ascii(substr(iKey, i, 1))));
 end loop;
 return rawkey;
end;
/*
 Creating function DECRYPT_3KEY_MODE
*/

FUNCTION DECRYPT_3KEY_MODE  (
 iValue in raw, iMode in pls_integer
)
return varchar2
as
vDecrypted varchar2(4000);
rawkey raw(240) := '';
begin
rawkey := GEN_RAW_KEY(iKey);
-- decrypt input string
vDecrypted := dbms_obfuscation_toolkit.des3decrypt (
UTL_RAW.CAST_TO_VARCHAR2(iValue)
, key_string => rawkey
, which => iMode
);
return vDecrypted;
end;

/*
Creating function ENCRYPT_3KEY_MODE
*/

FUNCTION ENCRYPT_3KEY_MODE  (
 iValue in varchar2,  iMode in pls_integer
)
return raw
as
vEncrypted varchar2(4000);
vEncryptedRaw Raw(2048);
rawkey raw(240) := '';
begin
rawkey := GEN_RAW_KEY(iKey);
-- encrypt input string
vEncrypted := dbms_obfuscation_toolkit.des3encrypt (
iValue
, key_string => rawkey
, which => iMode
);
-- convert to raw as out
vEncryptedRaw := UTL_RAW.CAST_TO_RAW(vEncrypted);
return vEncryptedRaw;
end;

end;

4. 测试

在SQL Plus下输入:


   SQL > update users set encrypted = PG_ENCRYPT_DECRYPT.ENCRYPT_3KEY_MODE(password,1);
   SQL > commit;

执行完以上SQL语句后,encrypted 存储的就是加密后的password字段.我们看一下结果:-


   SQL > select * from users;

USERID PASSWORD  ENCRYPTED       
------ --------- ----------------
user1  user1234  69EF3A211A0F2C32
user2  abcd1234  CF7562203F6CEDE5
user3  oracle12  65D71D7148FA001D

这个加密结果是否正确? 我们对加密结果解密就知道了,在SQL Plus下输入:


   SQL > select userid,password,PG_ENCRYPT_DECRYPT.DECRYPT_3KEY_MODE(encrypted,1) DECRYPTED from users;

USERID PASSWORD  DECRYPTED
------ --------- ----------
user1  user1234  user1234
user2  abcd1234  abcd1234
user3  oracle12  oracle12

大家可以看到,解密结果和密码原文完全一模一样.这说明我们的加密解密过程是正确的.

5. 进一步思考

我们再看一下表users:-


   create table users(
   userid varchar2(50) primary key,
   password varchar2(64),  --密码原文
   encrypted varchar2(64)  --加密后的密码
   );

还有我们插入的数据:-


insert into users values ('user1','user1234',null);
insert into users values ('user2','abcd1234',null);
insert into users values ('user3','oracle12',null);

   以及加密输出结果:-
[/code]
USERID PASSWORD  ENCRYPTED
------ --------- ----------------
user1  user1234  69EF3A211A0F2C32
user2  abcd1234  CF7562203F6CEDE5
user3  oracle12  65D71D7148FA001D
[/code]

   不知细心的朋友注意到没有? 在表中,password 和 encrypted 的长度都是64,
   都是8的倍数, 再看一下我们的密码原文和加密后的密码也是8的倍数,这不是
   巧合,而是DES算法和Triple DES算法的特征之一. 输入长度必须是8的倍数,
   而输出也是8的倍数,所以我们的字段长度也是8的倍数. 如果输入不是8的倍数
   会怎样? 大家可以把密码原文修改一下试试.

6. 密钥的保存

   不管我们用什么样的加密算法,有一点非常重要的是:  密钥的保存.
   密钥就是一把钥匙,因为加密算法是公开的,所以你无论如何加密,
   只要我知道你的密钥,我就可以解密,那么你的加密就没有效果.
   在本文中, 我们的密钥是这样定义的:-


   iKey varchar2(8):='oracle9i';

   oracle9i就是我们的密钥.
   所以,如果只是简单地把以上程序在oracle上运行一下就使用,那么任何有权限登陆
   的人看到这个程序,就可以知道密钥. 所以简单的做法是利用Oracle提供的WRAP
   把整个程序加密,用加密后的文本创建程序. 这样别人就看不到你的源代码了.
   把程序保存为source.sql,在Dos命令下输入:-


   Wrap iname=source.sql oname=target.sql

   就可以了,然后SQL Plus运行target.sql.

   当然了, 这里讲的密钥保存还是很简单的. 并不是百分百保险. 大家可以自己
   想想如何更安全地保持你的密钥.

资源：
Oracle社区：

Trackback:

回:简单回复如下:

CREATE OR REPLACE function md5(input_string VARCHAR2) return varchar2

raw_input RAW(128) := UTL_RAW.CAST_TO_RAW(input_string);

decrypted_raw RAW(2048);

error_in_input_buffer_length EXCEPTION;

BEGIN

sys.dbms_obfuscation_toolkit.MD5(input => raw_input, checksum => decrypted_raw);

return lower(rawtohex(decrypted_raw));

END;

阅读(1314) | 评论(0) | 转发(0) |

上一篇：Oracle数据库中快照(snapshots)的使用

下一篇：ORACLE DBA不定时更新小知识(如有不同请指正)

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6