oracle数据传输安全,OGG 安全特性--网络传输加密

三、网络传输加密

GoldenGate在传输数据的时候，默认是不加密的。可以在GoldenGate通过网络传输数据之前将数据加密，传送到目标端以后，在写入trail文件之前将数据解密。这样就有效地保护了数据在传输过程中的安全。

加密网络传输的步骤如下。

在生产端生成多个KEY，然后保存到ENCKEYS文件中，上面介绍生成了ENCKEYS文件，这里我们直接拿来用。

示例16：

[oracle@OE5 orcl1]$ cat ENCKEYS

## Encryption keys

## Key name

superkey           0xA3116324F0C72B3BE328E728C6E75725

superkey1          0x907B7678A7AB561CAF2532539A1DE72A

superkey2          0x7EE5894C5D8F817D7B227D7D6E537630

superkey3          0x6C4F9D201473AC5E481FC82742890536

把这个文件copy到容灾端的GG安装目录下。

容灾端的ENCKEYS文件中的内容必须和生产端的完全一样，不然GG会报错：

示例17：

2011-03-22 21:18:59  ERROR   OGG-01224  TCP/IP error 104 (Connection reset by peer)； retries exceeded.

2011-03-22 21:18:59  ERROR   OGG-01668  PROCESS ABENDING.

使用ENCRYPT选项的RMTHOST参数来指定加密的类型和要使用的在ENCKEYS文件中列出的KEY：

示例18：

ENCRYPT BLOWFISH, KEYNAME

其中，BLOWFISH是要使用的算法，这种算法加密对性能的损失相对较小。

是ENCKEYS文件中列出的keyname。

示例19：

GGSCI (OE5) 44> view params dpema

EXTRACT dpema

RMTHOST 192.168.50.200, MGRPORT 7849, ENCRYPT BLOWFISH, KEYNAME superkey

--RMTHOST 192.168.50.200 , MGRPORT 7849, compress

PASSTHRU

numfiles 50000

RMTTRAIL ./dirdat/ma

DYNAMICRESOLUTION

table scott.* ;

查看容灾端MGR进程report，可以看到“encrypt BLOWFISH -keyname SUPERKEY”，表明GG已经实现了加密处理。

示例20：

2011-03-22 21:12:03  INFO    OGG-00963  Command received from EXTRACT on host 192.168.50.200 (START SERVER CPU -1 PRI -1  TIMEOUT 300 PARAMS  -encrypt BLOWFISH -keyname SUPERKEY)。