Oracle JDBC Thin:强制网络加密

pet*_*erh 5 java oracle jdbc

问题是如何使用 Oracle JDBC Thin 驱动程序并仅在 URL 中指定加密来强制加密?

据了解,我们需要将Oracle Net参数设置oracle.net.encryption_clientrequired。(参考链接

供参考:我们目前以 TNS 格式指定 Oracle JDBC URL,例如:

DESCRIPTION = 
   (ADDRESS_LIST =
       (ADDRESS = (PROTOCOL = tcp)(HOST = myora1.corp.net)(PORT = 1521))
       (ADDRESS = (PROTOCOL = tcp)(HOST = myora2.corp.net)(PORT = 1521)))
   (FAILOVER=ON)
   (CONNECT_DATA = (SERVER = dedicated)(SERVICE_NAME = foobar))
Run Code Online (Sandbox Code Playgroud)

它会转换为以下 JDBC URL 字符串:

jdbc:oracle:thin:@(DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = tcp)(HOST = myora1.corp.net)(PORT = 1521))(ADDRESS = (PROTOCOL = tcp)(HOST = myora2.corp.net)(PORT = 1521)))(FAILOVER=ON)(CONNECT_DATA = (SERVER = dedicated)(SERVICE_NAME = foobar)))
Run Code Online (Sandbox Code Playgroud)

在回答之前,您应该了解以下信息:

  1. 我们无法使用属性,因为这是第三方应用程序。我们只能设置 URL 字符串。
  2. 我们不能使用乐观加密(Oracle 中的默认设置)。出于监管原因,我们需要保证获得加密连接。我们需要从客户端强制执行此操作。(我们需要保护自己免受服务器端潜在的错误配置的影响)
  3. 我们所说的“加密”是指使用 Oracle 的内置加密方法(称为Oracle Advanced Security),而不是 TLS。后者当然也是一种选择,但涉及更多(证书马戏团),并且 Oracle Advanced Security 已被我们的安全专家视为“足够好”。
  4. 目前,我们在 URL 中使用 TNS 描述符格式。如果另一种格式允许指定所述参数,encryption_client那么可以使用该 URL 格式来代替..只要它允许我们指定相同的参数,例如 ADDRESS_LIST。
  5. 我们可以替换正在使用的 JDBC 驱动程序,这意味着如果需要,我们可以自由地使用最新版本。

我之前看到过这个问题,但没有收到正确的答案。

理想情况下,任何答案都应包含指向 Oracle 文档的指针。

Rob*_*dez 5

如注释中所述,从 Oracle JDBC 驱动程序 v21 开始,您可以使用Securitythin方法的选项,如下所示:

jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=host)(PORT=1521))(CONNECT_DATA= (SERVICE_NAME=servicename))(Security=(ENCRYPTION_LEVEL=REQUIRED)))
Run Code Online (Sandbox Code Playgroud)

因此,您不需要属性,并且可以在连接字符串中嵌入所需的加密级别。

您还可以限制加密算法以增加安全性,例如:

jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=host)(PORT=1521))(CONNECT_DATA= (SERVICE_NAME=servicename))(Security=(ENCRYPTION_CLIENT=REQUIRED)(ENCRYPTION_TYPES_CLIENT=AES256)))
Run Code Online (Sandbox Code Playgroud)

我们说的是,连接必须加密,并且必须使用(当前)可用的最强算法进行加密。

看:

加密级别 JDBC 字符串

加密类型 JDBC 字符串