Oracle JDBC Thin：强制网络加密

Question

问题是如何使用 Oracle JDBC Thin 驱动程序并仅在 URL 中指定加密来强制加密？

据了解，我们需要将Oracle Net参数设置oracle.net.encryption_client为required。（参考链接）

供参考：我们目前以 TNS 格式指定 Oracle JDBC URL，例如：

DESCRIPTION = 
   (ADDRESS_LIST =
       (ADDRESS = (PROTOCOL = tcp)(HOST = myora1.corp.net)(PORT = 1521))
       (ADDRESS = (PROTOCOL = tcp)(HOST = myora2.corp.net)(PORT = 1521)))
   (FAILOVER=ON)
   (CONNECT_DATA = (SERVER = dedicated)(SERVICE_NAME = foobar))

它会转换为以下 JDBC URL 字符串：

jdbc:oracle:thin:@(DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = tcp)(HOST = myora1.corp.net)(PORT = 1521))(ADDRESS = (PROTOCOL = tcp)(HOST = myora2.corp.net)(PORT = 1521)))(FAILOVER=ON)(CONNECT_DATA = (SERVER = dedicated)(SERVICE_NAME = foobar)))

在回答之前，您应该了解以下信息：

1. 我们无法使用属性，因为这是第三方应用程序。我们只能设置 URL 字符串。
2. 我们不能使用乐观加密（Oracle 中的默认设置）。出于监管原因，我们需要保证获得加密连接。我们需要从客户端强制执行此操作。（我们需要保护自己免受服务器端潜在的错误配置的影响）
3. 我们所说的“加密”是指使用 Oracle 的内置加密方法（称为Oracle Advanced Security），而不是 TLS。后者当然也是一种选择，但涉及更多（证书马戏团），并且 Oracle Advanced Security 已被我们的安全专家视为“足够好”。
4. 目前，我们在 URL 中使用 TNS 描述符格式。如果另一种格式允许指定所述参数，encryption_client那么可以使用该 URL 格式来代替..只要它允许我们指定相同的参数，例如 ADDRESS_LIST。
5. 我们可以替换正在使用的 JDBC 驱动程序，这意味着如果需要，我们可以自由地使用最新版本。

我之前看到过这个问题，但没有收到正确的答案。

理想情况下，任何答案都应包含指向 Oracle 文档的指针。

Answer 1

如注释中所述，从 Oracle JDBC 驱动程序 v21 开始，您可以使用Security该thin方法的选项，如下所示：

jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=host)(PORT=1521))(CONNECT_DATA= (SERVICE_NAME=servicename))(Security=(ENCRYPTION_LEVEL=REQUIRED)))

因此，您不需要属性，并且可以在连接字符串中嵌入所需的加密级别。

您还可以限制加密算法以增加安全性，例如：

jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=host)(PORT=1521))(CONNECT_DATA= (SERVICE_NAME=servicename))(Security=(ENCRYPTION_CLIENT=REQUIRED)(ENCRYPTION_TYPES_CLIENT=AES256)))

我们说的是，连接必须加密，并且必须使用（当前）可用的最强算法进行加密。

看：

加密级别 JDBC 字符串

加密类型 JDBC 字符串