[Oracle10G新特性]_14.虛擬專用數(shù)據(jù)庫
?
??? 這個(gè)特性還真是不好理解啊,看完也沒發(fā)現(xiàn)到底應(yīng)該怎么設(shè)置……所以就不發(fā)表意見了,基本上還是需要詳細(xì)得學(xué)習(xí)一下文檔。
?
-------------------------------------------------------------------------
?
虛擬專用數(shù)據(jù)庫
?
五種類型的策略、列相關(guān)策略以及列屏蔽使得 VPD 成為 DBA 的安全工具箱中一種功能更加強(qiáng)大的工具
?
??? 虛擬專用數(shù)據(jù)庫 (VPD) 也稱為細(xì)粒度訪問控制,它提供強(qiáng)大的行級安全功能。它是在 Oracle8i 中推出的,已經(jīng)受到廣泛的歡迎,并且在從教育軟件到金融服務(wù)等各種應(yīng)用程序得到采用。
?
??? VPD 的工作方法是,通過透明地更改對數(shù)據(jù)的請求,基于一系列定義的標(biāo)準(zhǔn)向用戶提供表的局部視圖。在運(yùn)行時(shí),所有查詢都附加了謂詞,以便篩選出準(zhǔn)許用戶看到的行。例如,如果只允許用戶查看帳戶管理員 SCOTT 的帳戶,則 VPD 設(shè)置自動地將查詢:
?
select * from accounts;
?
??? 重寫為:
?
select * from accounts
where am_name = 'SCOTT';
?
??? DBA 在表 ACCOUNTS 上設(shè)置了一項(xiàng)安全策略。該策略具有一個(gè)相關(guān)函數(shù),稱為policy function,它返回一個(gè)用作謂詞的字符串 where am_name = 'SCOTT'。如果您不熟悉該特性的全部功能,我建議您閱讀 Oracle 雜志的文章“利用 VPD 保持信息的私密性”。
?
?
策略類型
?
??? 生成謂詞所需的重復(fù)分析是一種在某些情況下可以進(jìn)行修整的開銷。例如,在大部分實(shí)際情況中,謂詞并不象 am_name = 'SCOTT' 那樣是靜態(tài)的;它基于用戶的身份、用戶的權(quán)限級別、用戶向哪個(gè)帳戶管理員進(jìn)行報(bào)告等情況,可能更具有動態(tài)性。由策略函數(shù)創(chuàng)建并返回的字符串可能會具有很強(qiáng)的動態(tài)性,而為了保證其結(jié)果,Oracle 必須每次重新執(zhí)行策略函數(shù),既浪費(fèi)資源又降低性能。在這種類型的策略中,謂詞每次執(zhí)行時(shí)可能會有很大的差別,該策略稱為“動態(tài)”策略,在 Oracle9i 數(shù)據(jù)庫以及以前的版本中已經(jīng)提供了這種策略。
?
??? 除了保留動態(tài)策略之外,Oracle 數(shù)據(jù)庫 10g 還基于謂詞的構(gòu)造推出了幾種新類型的策略,為提高性能提供了更好的控制:context_sensitive、shared_context_sensitive、shared_static 和 static。現(xiàn)在,讓我們來了解每種策略類型的意義以及如何在適當(dāng)?shù)膱龊现惺褂盟鼈儭?
?
???
動態(tài)策略。 為保持向后兼容性,10g 中的默認(rèn)策略類型為“dynamic” — 正如 Oracle9i 中一樣。在這種情況下,對于每行以及每位用戶,在每次訪問表時(shí)都對策略函數(shù)進(jìn)行重新求值。讓我們來詳細(xì)分析策略謂詞:
?
where am_name = 'SCOTT'
?
??? 忽略掉 where 子句,謂詞就具有兩個(gè)不同的部分:在等式操作符之前的部分 (am_name) 和等式操作符之后的部分 ('SCOTT')。在大多數(shù)情況下,后面的部分更象是變量,因?yàn)樗怯捎脩舻臄?shù)據(jù)提供的(如果用戶是 SCOTT,則其值為 'SCOTT')。在等號前面的部分是靜態(tài)的。因此,即使函數(shù)不必為生成適當(dāng)?shù)闹^詞而對每行求出策略函數(shù)的值,由于了解前面部分的靜態(tài)性以及后面部分的動態(tài)性,也可以提高性能。在 10g 中,可以在 dbms_rls.add_policy 調(diào)用中使用 "context_sensitive" 類型的策略作為參數(shù)來實(shí)現(xiàn)這種方法:
policy_type => dbms_rls.context_sensitive
?
??? 在另一個(gè)示例中,我們有一個(gè)稱為 ACCOUNTS 的表,它擁有幾列,其中一列是 BALANCE,表示帳戶余額。假設(shè)允許某個(gè)用戶查看低于某特定余額的帳戶,而該余額由應(yīng)用程序上下文所決定。我們并不在策略函數(shù)中將此余額值固定,而是3是根據(jù)應(yīng)用程序上下文確定,如:
?
create or replace vpd_pol_func
(
p_schema in varchar2,
p_table in varchar2
)
return varchar2
is
begin
return 'balance < sys_context(''vpdctx'', ''maxbal'')';
end;
?
??? 應(yīng)用程序上下文 VPDCTX 的屬性 MAXBAL 可以在會話的前期設(shè)定,而函數(shù)在運(yùn)行時(shí)可以容易地獲得該數(shù)值。
?
??? 請仔細(xì)注意該示例。謂詞有兩部分:小于號之前的部分和之后的部分。之前的部分是“balance”一詞,它是文字符。后面的部分從某種程度而言是靜態(tài)的,因?yàn)閼?yīng)用程序上下文變量在改變之前一直是常量。如果應(yīng)用程序上下文屬性不變,則整個(gè)謂詞是常量,因此不需要重新執(zhí)行函數(shù)。如果策略類型定義為對上下文敏感,則 Oracle 數(shù)據(jù)庫 10g 可以識別此情況以用于優(yōu)化。如果在會話期間沒有發(fā)生會話上下文的變化,則不重新執(zhí)行該函數(shù),從而顯著提高了性能。
?
???
靜態(tài)策略。 有時(shí)業(yè)務(wù)操作可以確保謂詞更加靜態(tài)。例如,在上下文敏感的策略類型示例中,我們將用戶所見的最大余額定義為一個(gè)變量。當(dāng) web 應(yīng)用程序中的 Oracle userid 由許多 web 用戶共享,并且應(yīng)用程序基于這些用戶的權(quán)限來設(shè)置該變量(應(yīng)用程序上下文)時(shí),這種方法很有用。因此,web 用戶 TAO 和 KARTHIK 都是以用戶 APPUSER 連接到數(shù)據(jù)庫的,二者可以在其會話中擁有兩個(gè)不同的應(yīng)用程序上下文的值。此時(shí) MAXBAL 的值并不依賴于 Oracle userid,而是依賴 TAO 和 KARTHIK 各自的會話。
?
??? 在靜態(tài)策略的情況下,謂詞更具有可預(yù)測性,其說明如下。
?
??? LORA 和 MICHELLE 分別是 Acme Bearings 和 Goldtone Bearings 的帳戶管理員。當(dāng)他們連接數(shù)據(jù)庫時(shí),他們使用自己的 id,并且只應(yīng)該看到屬于他們的那些行。在 Lora 方面,謂詞變成 where CUST_NAME = 'ACME';而對于 Michelle,則是 where CUST_NAME = 'GOLDTONE'。在這里,謂詞依賴于他們的 userid,因此他們所創(chuàng)建的任何會話在應(yīng)用程序上下文中始終具有相同的值。
?
??? 10g 可以利用這種情況,在 SGA 中對謂詞進(jìn)行高速緩存,并在會話中重用該謂詞,而不必重新執(zhí)行策略函數(shù)。策略函數(shù)類似于以下形式:
?
create or replace vpd_pol_func
(
p_schema in varchar2,
p_table in varchar2
)
return varchar2
is
begin
return 'cust_name = sys_context(''vpdctx'', ''cust_name'')';
end;
?
??? 而策略定義為:
?
policy_type => dbms_rls.static
?
??? 這種方法確保策略函數(shù)只執(zhí)行一次。即使應(yīng)用程序上下文在會話中改變,也從不重新執(zhí)行該函數(shù),使得此過程的速度非常快。
?
??? 建議將靜態(tài)策略用于在幾個(gè)用戶中托管應(yīng)用程序的情況。在這種情況下,單個(gè)數(shù)據(jù)庫擁有幾個(gè)用戶的數(shù)據(jù)。當(dāng)每個(gè)用戶登錄時(shí),登錄后觸發(fā)器可以設(shè)置用于策略函數(shù)的應(yīng)用程序上下文的值,以便快速生成謂詞。
?
??? 但是,將策略定義為靜態(tài)也是一把雙刃劍。在以上的示例中,我們假設(shè)應(yīng)用程序上下文屬性 VPDCTX.CUST_NAME 的值在會話中不改變。如果這種假設(shè)不正確,將會怎樣呢?如果該值改變,策略函數(shù)將不會執(zhí)行,因此在謂詞中將不會使用新值,而返回錯(cuò)誤的結(jié)果!因此,在將策略定義為靜態(tài)時(shí)要非常小心;您必須絕對確信該值不會改變。如果您不能作這種假設(shè),則最好將策略定義為對上下文敏感。
?
???
共享策略類型。 為了重用代碼并最大限度地利用已經(jīng)分析過的代碼,您可以決定為幾個(gè)表使用通用的策略函數(shù)。例如,在上述示例中,我們可能對于不同類型的帳戶擁有不同的表 — SAVINGS 和 CHECKING — 但是規(guī)則仍然是相同的:限制用戶查看余額超過其授權(quán)范圍的帳戶。這種情況要求為 CHECKING 和 SAVINGS 表上的策略使用統(tǒng)一的函數(shù)。該策略創(chuàng)建為 context_sensitive。
?
??? 假設(shè)事件按如下順序發(fā)生:
?
??? 1. 連接會話
??? 2. 設(shè)置應(yīng)用程序上下文
??? 3. select * from savings;
??? 4. select * from checking;
?
??? 即使應(yīng)用程序上下文在第 3 步與第 4 步之間沒有改變,策略函數(shù)也會重新執(zhí)行,因?yàn)楝F(xiàn)在所選擇的表已經(jīng)不同。這不是我們所希望的情況,因?yàn)椴呗院瘮?shù)相同,不需要重新執(zhí)行該函數(shù)。
?
??? 10g 中的新功能是能夠在對象間共享策略。在上述示例中,您可以將這些策略的策略類型定義為:
?
policy_type => dbms_rls.shared_context_sensitive
?
??? 將策略聲明為 "shared" 可以在以上所示的情況中不再執(zhí)行該函數(shù),從而提高了性能。
?
?
選擇性的列
?
??? 現(xiàn)在設(shè)想一種情況,只有在選擇了特定列時(shí)才會應(yīng)用 VPD 策略。在上述示例的表 ACCOUNTS 中,各行如下所示:
?
ACCTNO ACCT_NAME??? BALANCE
------ ------------ -------
1 BILL CAMP??? 1000
2 TOM CONNOPHY 2000
3 ISRAEL D???? 1500???
?
??? 不允許 Michelle 查看余額超過 1600 的帳戶。當(dāng)她執(zhí)行類似以下的查詢時(shí):
?
select * from accounts;
?
??? 她將看到:
?
ACCTNO ACCT_NAME??? BALANCE
------ ------------ -------
1 BILL CAMP??? 1000
3 ISRAEL D???? 1500???
?
??? acctno 2 的余額超過 1600,它已禁止顯示。對于 Michelle 而言,表中只有兩行,而不是三行。當(dāng)她執(zhí)行類似以下的查詢時(shí):
?
select count(*) from accounts;
?
??? 該查詢只計(jì)算表中的記錄數(shù),輸出是二,而不是三。
??? 但是,此時(shí)我們可以決定將安全策略稍微放松一些。在本查詢中,Michelle 不能查看帳戶余額等秘密數(shù)據(jù);她只是計(jì)算表中所有記錄的數(shù)目。在與安全策略一致的情況下,我們可以允許此查詢計(jì)算所有記錄的數(shù)目,無論是否允許她查看這些記錄。如果需要這樣,則在對 10g 的 dbms_rls.add_policy 的調(diào)用中的另一個(gè)參數(shù)允許實(shí)現(xiàn)此功能:
?
sec_relevant_cols => 'BALANCE'
?
??? 現(xiàn)在,當(dāng)用戶選擇列 BALANCE 時(shí),無論是顯式選擇還是隱含在 select * 中,VPD 策略都會介入,對行作出限制。否則將會選擇表中所有的行,因?yàn)樵诓樵冎杏脩糁贿x擇了總計(jì)行數(shù),而沒有選擇列 BALANCE。如果將以上參數(shù)設(shè)置為所示的形式,則查詢
select count(*) from accounts;
?
??? 將顯示三列,而不是兩列。但是查詢:
?
select * from accounts;
?
??? 仍將只返回兩條記錄,與預(yù)期的情況相同。
?
?
列屏蔽
?
??? 現(xiàn)在,讓我們對當(dāng)前的示例再增加些要求。我們不禁止顯示那些余額高于閾值的行,而是希望顯示所有的行,同時(shí)屏蔽那些數(shù)值超過閾值的余額列。與安全性相關(guān)的列仍然是 BALANCE。
?
??? 不允許 Michelle 看到余額超過 1600 的帳戶。當(dāng)她執(zhí)行類似以下的查詢時(shí):
?
select * from accounts;
?
??? 她將只看到兩行,acctnos 1 和 3。但是,我們可能希望她看到:
?
ACCTNO ACCT_NAME??? BALANCE
------ ------------ -------
1 BILL CAMP??? 1000
2 TOM CONNOPHY <null>
3 ISRAEL D???? 1500???
?
??? 注意,顯示都所有行,但是 acctno 2 的列 BALANCE 的值顯示為空(顯示為 <null>),它的余額實(shí)際上是 2000,超過閾值 1600。這種方法稱為“列屏蔽”,可以通過在對 dbms_rls.add_policy 的調(diào)用中指定參數(shù)來實(shí)現(xiàn):
?
sec_relevant_cols_opt =>? dbms_rls.all_rows
?
??? 在只有某些特定列值很重要的情況下,這種策略才可能非常有用,并且不需要復(fù)雜的自定義代碼。它也是一種很好的變通方法,不需要對存儲數(shù)據(jù)進(jìn)行加密。
?
?
結(jié)論
?
??? 在 Oracle 數(shù)據(jù)庫 10g 中,VPD 已經(jīng)發(fā)展為一種功能非常強(qiáng)大的特性,它能夠支持多種需求,例如基于策略有選擇性地屏蔽列,只在訪問特定列時(shí)應(yīng)用策略等。利用應(yīng)用程序特有的性質(zhì),還可以通過多種類型的策略來提高策略的性能,使得該特性適用于多種情況。
?
?
?
?
?
?
?
?