通过完成在 Linux 上安装 Oracle Database 11g 第 2 版教程来安装数据库。

打开浏览器，输入以下 URL。

https://<主机名>:1158/em

以 system 用户身份登录。

选择 Server 选项卡。

单击 Security 下方的 Transparent Data Encryption。

建议您永远不要将钱夹和数据库存储在同一备份中，因为使用数据库备份及其关联的钱夹的任何人都可以启动对钱夹口令的强行攻击，从而获得对保护数据的访问。基于这种考虑，我们将钱夹的位置设置为一个通常不会备份数据库及其关联的二进制文件的目录。单击 Change。

因为您要更改到的目录尚不存在，您需要创建它。打开一个终端窗口，执行以下命令创建该目录。同时注意目录位置：

pwd
mkdir wallets
chmod 750 wallets
ls -ld wallets



注意：在生产实现中，最好将您的钱包放在系统管理员指定的非用户目录中。

返回 Enterprise Manager 中。输入您的 Oracle 软件所有者的 Username 和 Password，然后单击 Login。

将之前创建的目录的位置输入到 Encryption Wallet Directory 域，然后单击 OK。

更改已经完成，但 Enbterprise Manager 不会立刻获取这一更改。要快速实现这一变更，从 Enterprise Manager 注销后再次登录进去。单击 Logout。

单击 Login。

以 system 用户身份再次登录。

选择 Server 选项卡。

单击 Security 下方的 Transparent Data Encryption。

注意，此时目录名称已经更改。输入保护钱夹的强口令，然后单击 OK。或者，只让安全数据库管理员知道该口令，从而实现职责分离。在任何情况下，必须记住该口令（或安全地记录下来），因为如果丢失则无法找回。

已经创建了钱夹，并且现在已经打开。

滚动至 Enterprise Manager 页面的底部，在 Related Links 部分中单击 Tables。

在 Schema 域中输入 OE，然后单击 Go。

选中 CUSTOMERS 前面的单选按钮，然后单击 Edit。

您可以指定该表中的所有加密列使用另一种加密算法和密钥种子。单击 Encryption Options。

查看选项，然后单击 Continue。

选中 Encryption 列中 CREDIT_LIMIT 的复选框，然后单击 Apply。

已提交一项作业对列进行加密。单击该作业的链接。

作业成功完成。单击 Database 路径式导航栏。

在 Enterprise Manager Database Control 的 Server 选项卡中，选择 Storage 下方的 Tablespaces。

单击 Create。

输入 TDE 作为表空间的名称，然后单击 Datafiles 下方的 Add。

输入 TDE 作为 File Name，然后单击 Continue。

通过以加密格式在磁盘上存储数据，表空间加密可以保护表空间内的所有对象。必须存在 Oracle 钱夹，并且该钱夹应处于打开状态。单击 Encryption Options。

钱夹处于打开状态。选择您的首选加密算法，然后单击 Continue。

选中 Encryption 复选框，然后单击 OK。

您的表空间已成功创建。从 Tablespaces 列表中选择 TDE 链接。

注意，Encryption 选项设置为 Yes。单击 Database 路径式导航栏。

打开一个终端窗口，执行以下命令在您新创建的加密表空间中创建客户表的副本：

sqlplus / as sysdba

CREATE TABLE oe.customers_tde TABLESPACE tde
AS SELECT * FROM oe.customers;

执行以下命令在新创建的表空间上创建索引。该索引也将驻留在加密的表空间中。

CREATE INDEX oe.customers_tde_idx ON oe.customers_tde(date_of_birth)
TABLESPACE tde;

现在，我们将通过要使用加密索引的搜索条件查询加密的表。执行以下命令处理该查询并显示相关的执行计划：

set linesize 120

set autotrace on

SELECT cust_last_name, date_of_birth FROM oe.customers_tde
WHERE date_of_birth > '04-FEB-59'
AND date_of_birth < '06-FEB-59';

注意，该查询透明地使用加密的表和索引，就像表空间未加密一样。

退出 sqlplus，导航到包含加密的表空间的目录。

原始（未加密的）客户表位于 EXAMPLE 表空间中。能够访问数据库文件的任何人都可以通过直接查询数据库文件而规避数据库安全性。执行以下 Linux 命令分析数据文件并返回有关 Pacino 先生的一些信息。

strings example01.dbf | grep -A 10 -B 10 Pacino |  head -20 

现在，在加密的表空间中查找 Pacino。您会看到什么都未返回。使用以下命令：

strings TDE | grep Pacino

执行以下命令，看看 TDE 数据文件中是否存在任何人可读的信息：

strings TDE | head -20

输出证实该文件已加密。

在 Enterprise Manager Database Control 的 Server 选项卡中，选择 Security 下方的 Transparent Data Encryption。 .

单击 Advanced Options 前面的 ＋ 号。

单击 Regenerate Master Database Key 下方的 Regenerate。输入最初创建钱包时使用的强口令；旧主密钥及新主密钥都与钱包口令毫不相关；单击 OK。

您的数据库主密钥已重新生成。

在终端窗口中，执行以下命令：

sqlplus / as sysdba

ALTER TABLE oe.customers MODIFY (credit_limit DECRYPT);

DROP TABLESPACE tde INCLUDING CONTENTS AND DATAFILES;

exit

返回 Enterprise Manager Transparent Data Encryption 页面，选中 Close Wallet 复选框并单击 OK。

现在，钱夹关闭，透明数据加密被禁用。

回到终端窗口，执行下面一系列命令删除钱包及包含钱包的目录：

cd /home/oracle/wallets

rm ewallet.p12

cd ..

rmdir wallets