Oracle Advanced Security забезпечує безпеку і конфіденційність даних в мережі, усуваючи витік даних, втрату даних, протидіючи атакам по підміні інформації або атакам типу «person-in-the-middle». Всі канали зв'язку в Oracle Database можуть бути зашифровані за допомогою Oracle Advanced Security. Для баз даних, що містять найбільш важливу інфор-мацію обмеження доступу за рахунок строгої аутентифікації є першим рубежем багаторівневої захисту. Oracle Advanced Security забезпечує ряд рішень для строгої аутентифікації, включаючи Kerberos, інфраструктуру відкритих ключів, RADIUS і DCE для Oracle Database 10g.
Промисловий стандарт шифрування і контролю цілісності даних
Oracle Advanced Security захищає всі вхідні і вихідні канали зв'язку в СУБД Oracle. Підприємства має вибір між використанням рідних алгоритмів шифрування / забезпечення цілісності в Oracle Advanced Security і SSL для захисту даних в мережі. Деякі типові сценарії, які потребують мережеве шифрування:
• Сервер бази даних повинен знаходитися за фаєрволом, і користувачі отримують доступ до сервера за допомогою клієнт-серверного додатка
• Передача даних між серверними додатками в DMZ і базою даних, яка знаходиться за другим фаєрволом, повинна бути зашифрована.
Алгоритми рідного шифрування і забезпечення цілісності в Oracle Advanced Security не вимагають впровадження PKI. З кожною наступною версією БД додаються нові алгоритми шифрування, в міру того як вони покращують технічні характеристики. Останнє додавання - це Advanced Encryption Standard (AES), вдосконалений в плані безпеки алгоритм і виконується замість DES. Повний список алгоритмів Encryption і Data integrity:
• AES (128,192 і 256 біт)
• RC4 (40, 56,128,256 біт)
• 3DES (2 і 3 ключа; 168 біт)
Шифрування на основі SSL є для підприємств, які обрали для використання інфраструктуру відкритих ключів. У версії Oracle Advanced Security 10g з'явилася підтримка протоколу TLS 1.0 Oracle Advanced Security надає набір шифрів AES разом з запуском протоколу TLS 1.0 в Oracle Database 10g.
Oracle впроваджує протокол SSL для шифрування даних, які передаються з баз даних клієнтів в СУБД і назад. Він охоплює дані Oracle Net Services (він же в минулому Net8), LDAP, товстого JDBC, і IIОР фо-мату. SSL надає користувачам альтернативний вихідного протоколу Oracle Net Services спосіб шифрування, який підтримується в Oracle Advanced Security (раніше відомий як Advanced Networking Option), починаючи з версії Oracle7. Перевага SSL в тому, що це діючий стандарт Інтернету, і може використовуватися клієнтами, які не працюють з протоколами Oracle Net Services.В трирівневої системи, підтримка SSL в базі даних означає, що обмін даними між середнім рівнем і базою даних може бути зашифрований при використанні SSL. Протокол SSL завоював довіру користування земельними діл-телей, і це, можливо, найбільш широко застосовуваний і добре розуміється в використанні протокол на сьогоднішній день. Програмна реалізація SSL в Oracle підтримує три стандартних методу аутентифікації, включаючи анонімне метод (Діффі - Хеллмана), тільки серверну аутентифікацію, використовуючи протоколи X.509 certificates, і взаємну (клієнт-серверну) аутентифікацію з X.509. Oracle Application Server також підтримує SSL-шифрування між тонкими клієнтами і Oracle Application Server, так само як між Oracle Application Server і Oracle Data Server. Як і в Oracle, анонімна, тільки серверна і клієнт-серверна аутентифікація підтримується X.509.
JDBC, інтерфейс Java, який забезпечує з'єднання з реляційною базою даних з програм Java. Sun Microsystems і компанія Oracle спільно визначили стандарт JDBC, а Oracle, як індивідуальний провайдер, доповнює і розширює стандарт за допомогою власних JDBC-драйверів. Oracle використовує два типи JDBC драйверів: товсті JDBC-драйвера, надбудовані поверх клієнта C-based Oracle Net Services, і тонкі (чиста Java) JDBC-драйвера для підтримки завантажуваних додатків. У зв'язку з тим, що товстий JDBC використовує повний стек передачі даних Oracle Net Services для клієнта і сервера, він може використовувати переваги шифрування Oracle Advanced Security і механізмів аутентифікації. Так як тонкі JDBC драйвери призначені для використання з завантажуються додатками в Інтернеті, Oracle включає 100% реалізацію Java в шифруванні Oracle Advanced Security і алгоритмах забезпечення цілісності, для використання з тонкими клієнтами.
Проста конфігурація, без змін додатків
Налаштування параметрів мережі для сервера і / або клієнта дає можливість застосування функцій шифрування / цілісності. Більшість підприємств, можуть легко застосовувати цю технологію, оскільки вона не вимагає змін в додатку.
Засоби суворої аутентифікації Oracle Database 10
Oracle Advanced Security включає клієнт Kerberos, сумісний з мандатом технології Kerberos v5, яка видана Массачусетським технологічним інститутом (MIT). Версія 5 сумісна з будь-яким сервером Kerberos або Microsoft KDC. Підприємства можуть продовжувати працювати в гетерогенному середовищі, використовуючи рішення Oracle Advanced Security. Як тільки база даних Oracle зареєстрована на сервері технології Kerberos і налаштована для підтримки сервісу Kerberos Service, користувачі підприємства можуть призвести аутентифікацію в базу даних без будь-яких додаткових складнощів. Організації, які вже використовують сервер технології Kerberos і його адаптер, можуть перемістити своїх зовнішніх користувачів бази даних в каталог, щоб отримати вигоду від централізованого управління користувачами.
Oracle Advanced Security підтримує сертифікати X.509 збережені в контейнері PKCS # 12, забезпечуючи накопичувача Oraсle підтримку додатків 3-х фірм, таких як Netscape Communicator 4.x і Microsoft Internet Explorer 5.x, і надаючи накопичувача мобільність в рамках операційних систем. Користувачі, які мають існуючі облікові дані PKI, можуть їх експортувати в форматі PKCS # 12 і багаторазово використовувати в Oracle Wallet Manager, і навпаки. Таким чином PKCS # 12 збільшує функціональну сумісність і зменшує вартість розгортання PКI для організацій.
Аутентифікація з використанням PKI для Oracle Database 10g Enterprise Users
Починаючи з Oracle8i, Oracle Advanced Security підтримує аутентифікацію для користувачів каталогу до бази даних Oracle, використовуючи цифрові сертифікати, що зберігаються в каталозі. Oracle розширює інтеграцію PKI і функціональну сумісність за допомогою:
• Зберігання накопичувача в Oracle Internet Directory
• множинні сертифікатів на основі накопичувача
• Сталого шифрування накопичувача
• Сервера сертифікатів OracleAS
Зберігання ключів користувача в Oracle Internet Directory
Створення призначених для користувача «тубусів» для зберігання ключів в Oracle Enterprise Security Manager - частина процесу реєстрації користувача. Зберігання ключів здійснюється в довіднику Oracle Internet Directory або іншому сумісному з LDAP каталозі. Oracle Wallet Manager може завантажувати «тубуси» в LDAP і витягувати їх з LDAP. Збереження «тубуса» для ключів в централізованому LDAP-каталозі підтримує пересування користувачів, дозволяючи отримувати доступ з будь-якої точки розташування або з будь-якого пристрою пристроїв. Це забезпечує несуперечливу і надійну аутентифікацію користувача, надаючи централізоване управління «тубусом» для зберігання ключів протягом усього життєвого циклу накопичувача.
Підтримка безлічі сертифікатів
Oracle Wallets підтримує безліч сертифікатів на накопичувачі, включаючи:
• Сертифікат підпису протоколу S / MIME;
• Сертифікат кодування протоколу S / MIME;
• Сертифікат, що підписує код;
Oracle Wallet Manager версії 3.0 підтримує множинні сертифікати окремої цифрової одиниці в масці - з множинними парами секретного ключа в масці (кожен секретний ключ може відповідати тільки одному сертифікату). Це допускає об'єднання і більш безпечне управління PKI повноваженнями користувачів.
Сталий шифрування даних в Wallet
Секретні ключі, пов'язані з сертифікатом X.509, вимагають стійкого шифрування по безпечних каналах. Oracle замінює DES-шифрування потрійним DES, який є істотно більш стійким алгоритмом шифрування і забезпечує потужний захист для зберігання ключів в Oracle.
Підтримка протоколу аутентифікації (RADIUS)