本文将介绍在Oracle高级安全性选项中所实施的，Oracle所固有的网络加密和数据整合性保护。它检验相关的安全性威胁，解释加密和整合性检查处理的细节，并说明所需要的安装和配置工作。
 
　　除本文将介绍的加密和整合性功能之外，Oracle高级安全性还利用加密套接字协议层（SSL）保证网络安全，并利用为OracleSSLInternet Inter-ORB Protocol (IIOP)提供保证。这些实施（它们不在本文涉及的范围之内）可以使用户在公共的关键性基础设施（PKI）中运转。这种选择余地意味着安全的网络遵循用于实施SSL的互联网工程工作小组(IETF)标准。而且，Oracle高级安全性可利用加密和数据整合性检查来维护瘦Java 数据库连接性(JDBC)客户端的通讯。本文并不涉及这些特点，它只限于介绍在Oracle高级安全性中检验Oracle所固有的网络加密和整合性检查的内容。

　　安全性威胁

　　在当今互联网的计算时代，许多有价值的和敏感的数据通常是通过不安全的方式和渠道在传播。任何时候，当信息不论是互联网还是在一个组织的内联网等网络中传输时，它们都是易于受到攻击的。对数据的非法窃取正以加速的速率展开。一个可以通过以太网插口或一个布线室访问网络的个体可以监视和获得数据。硬件数据嗅探器不再是笨重和昂贵的了。PC卡插到PC机中可以有效地监视网络的通信量和信息包的内容。

　　然而更容易做到的，因此也是更具威胁的是基于软件的嗅探器。数据嗅探软件可以从互联网上下载，它可以把网络的通信量和个人信息包的内容暴露给网络中的任何人。在网络中任何人都可免费使用的一些软件中就有网络嗅探器，它可在几乎所有的协议中非法获得通讯信息。网络中不怀好意的用户可以将这种软件下载到他/她的PC中，然后立刻就能把它转化成信息包的嗅探器。一旦取得这种访问，攻击者可以偷窃敏感的归私人所有的信息，它甚至可以破坏一个企业的运转。

　　所有的数据都面临着被攻击的风险：所有的信息包都可被读，修正或删除。Oracle高级安全性的网络安全性特性注重了这些方面，并保证在网络中传输的所有数据的隐私性和整合性。Oracle高级安全性通过使用加密和数据整合性检查，保卫着所有通讯量和信息内容的安全。

　　第一部分：加密和钥匙键管理

　　Oracle高级安全性中的加密功能将所有的明码文本数据转化为密码文本。一旦被加密，密码文本将以密码的方式在网络中传递，在这种方式中，如果没有正确的钥匙键就几乎不可能把密码文本转换回相应的纯文本。这些加密服务可以防止那些能够访问你的网络的人偷窥你的数据。Oracle高级安全性提供了三种著名的，经过验证的计算方法可以加密Oracle的网络通讯量：
 
　　　*数据加密标准（）DES
　　　*Triple DES (3DES, 2Key 和3Key)
　　　*RC4 ( 40-, 56-, 128-, 256-)

　　每一种计算方法都允许选择钥匙键的长度。钥匙键的长度越长，将会产生更强大的加密。Oracle高级安全性提供了56位钥匙键的标准DES和40位钥匙键的DES。它也支持带有112位钥匙键的2-key Triple DES和168位钥匙键的3-key Triple DES。最后，它提供带有256-, 128-, 56- 和40-位钥匙键的RSA Dat的。a Security Inc. RC4
　　美国出口管理条例（EAR）已经做出变更，允许Oracle公司将Oracle高级安全性的一个版本在全球范围内销售。该产品的早期版本只提供较短钥匙键长度的版本，而且根据用户所在国家的不同而不同。目前版本包括了所有计算方法和钥匙键长度，以前该版本只适用于美国本土。而且，现在使用该产品早期版本的用户可以升级到该产品的国内版。
 
　　对Oracle高级安全性的正式评估已经开始实施，着重于它固有的加密实施。它可以在遵守U.S. Federal Information Processing Standard (FIPS) 140-1 Level 2（美国联邦信息处理标准（FIPS）140-1 第二级）的模式下进行配置。遵守FIPS 140-1标准表示该软件已经通过了独立专家的评估，可以保证加密技术运用适当。Level 2是一个软件产品所能获得的最高级别。
　　
　　钥匙键的生成
　　
　　加密技术是建立在产生加密钥匙键的基础之上的。“秘密”钥匙键只有发送方和接收方掌握。这些“秘密钥匙键”在网络事物处理的一端对信息加密，而在另一端解密信息。这种加密处理的安全性高度依赖于所生成的秘密钥匙键。

　　The process of key prodUCtion and data encryption consist of the following steps:

　　钥匙键的生成过程和数据加密过程由以下步骤组成：

　　1. 计算方法的交流

　　2. 在客户端和服务器端产生充足的随机数

　　3. 利用Diffie-Hellman公共钥匙键交换技术生成第一话路钥匙键

　　4. 利用密码协议和OracleDiffie-Hellman钥匙键重叠，验证用户并生成第二话路钥匙键

　　5. 全数据流的加密

　　计算方法的交流

　　处理的第一阶段是客户端和服务器端计算方法的交流。