在应用系统开发领域,功能权限和数据权限两层权限体系占到了安全功能性需求的大半。除了在应用程序层面进行处理之外,我们其实还可以从数据库层面实现数据权限访问的。
Oracle VPD(Virtual Private Database)就是从数据库层面实现数据访问控制的一种成熟技术。借助VPD,一些已经上线或者不容易进行二次开发的功能可以比较容易的解决。
1、VPD简述
从产品属性来看,Oracle Virtual Private Database(简称VPD)是归属在Oracle安全security框架下的成熟产品。要注意:VPD是企业版Enterprise版本功能,在其他如标准Standard版下是不能使用的。
简单的说,VPD就是介于用户SQL语句和实际执行对象之间的介质层。用户或者应用程序发出的SQL语句在传入到DBMS执行之前,会自动被拦截并且进行额外处理。处理的结果往往反映为在语句where条件中添加特殊的条件式。
例如:数据表T中包括了所有供应商的信息,设计者系统任何SQL语句发送之后,都只能查看到location=’北京’的记录。在没有VPD的情况下,我们必须修改应用程序代码,将location=’北京’加入到所有对应数据表操作SQL语句中。
借助VPD,应用程序不需要修改任何代码。我们只需要在数据库层面设定一个指定策略规则,如果针对某个数据对象表的所有SQL语句,都会调用一个设定的函数。函数自身会返回一个字符串条件,作为补充的where语句条件。
例如:如果我们设定对数据表t的每个Select语句都要添加一个条件object_id<100,那么即使应用层发出了select * from t,那么实际执行的也都是select * from t where object_id<100。
下面我们通过一系列的实验来进行验证演示。
2、环境介绍和配置
我们选择Oracle 11g企业版进行测试。
SQL> select * from v$version;
BANNER
-----------------------------------------------
Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - Production
PL/SQL Release 11.2.0.4.0 - Production
CORE 11.2.0.4.0 Production
注意:只有在其中明确标注Enterprise Edition才认为是企业版Oracle。否则是标准版。
创建专门用户用于实验。
SQL> create user vpd identified by vpd;
User created
SQL> grant resource, connect to vpd;
Grant succeeded
SQL> grant execute on dbms_rls to vpd;
Grant succeeded
SQL> grant select any dictionary to vpd;
Grant succeeded
在vpd schema下创建数据表T。
SQL> conn vpd/vpd@ora11g;
Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0
Connected as vpd
SQL> create table t as select * from dba_objects;
Table created
SQL> select count(*) from t;
COUNT(*)
----------
86032
目标是使用VPD实现数据隐藏:只有VPD用户查询数据表T才能获取全文,其他schema读取不到其中数据。
3、配置VPD
配置VPD第一步是定义处理函数,我们需要函数的意义是返回一个字符串条件列。在函数中,我们可以根据不同的情况插入自由的逻辑。
针对这个需求,首先需要获取到查询用户的schema名称才能判断。于是,函数为:
SQL> create or replace function f_limit_access
2 (
3 vc_schema varchar2,
4 vc_object varchar2
5 ) return varchar2
6 as
7 vc_userid varchar2(100);
8 begin
9 select SYS_CONTEXT('USERENV','SESSION_USER')
10 into vc_userid
11 from dual;
12
13 if (trim(vc_userid)='VPD') then
14 return '1=1';
15 else
16 return '1=0';
17 end if;
18
19 end;
20 /
Function created
sys_context函数可以获取到当前用户名信息,做出判断。输入参数vc_schema和vc_object是作为调用点,可以逆向插入回去的。
第二步,使用dbms_rls函数包创建访问策略policy。
SQL> exec dbms_rls.add_policy(object_schema => 'VPD',object_name => 'T',policy_name => 'VPD_TEST',function_schema => 'VPD',policy_function => 'F_LIMIT_ACCESS');
PL/SQL procedure successfully completed
注意:这其中参数含义为:object_schema表示希望给schema对象添加policy,object_name为具体哪个对象。policy_name表示策略的名称。function_schema和policy_function表示处理函数所在的schema和函数名称。
视图user_policies可以查看到当前schema下策略信息。
SQL> select policy_name, SEL, INS, UPD, DEL, IDX, CHK_OPTION, ENABLE from user_policies;
POLICY_NAME SEL INS UPD DEL IDX CHK_OPTION ENABLE
------------------------------ --- --- --- --- --- ---------- ------
VPD_TEST YES YES YES YES NO NO YES
此时用户为vpd,查看数据T结果如下:
SQL> select count(*) from t;
COUNT(*)
----------
86032
切换到另一个用户,虽然有访问数据表权限,但是结果变化。
--sys下运行
SQL> grant select any table to scott;
Grant succeeded
SQL> conn scott/tiger@ora11g
Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0
Connected as scott
SQL> select count(*) from vpd.t;
COUNT(*)
----------
0
即使是system这样的高权限用户,结果一样。
SQL> alter user system identified by oracle;
User altered
SQL> conn system/oracle@ora11g;
Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0
Connected as system
SQL> select count(*) from vpd.t;
COUNT(*)
----------
0
但是,唯独对sys用户,所有的policy是失效的,这也就是VPD的一个特点和问题。
SQL> conn sys/oracle@ora11g as sysdba
Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0
Connected as SYS
SQL> select count(*) from vpd.t;
COUNT(*)
----------
86032
4、结论
作为早期Oracle提供的一种数据安全策略,VPD在应用和数据库之间建立了插入语句屏障。在没有办法修改代码的情况下,一些简单的数据权限需求是可以通过VPD解决的。
但是,也要看到VPD的局限性,比如sys访问,安全策略容易被攻破等。这些都可以使用更高级的Oracle策略外加应用程序、管理手段进行弥补,实现相对的安全。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/17203031/viewspace-1135651/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/17203031/viewspace-1135651/