利用VPD实施FGAC(细粒度访问控制)

最新推荐文章于 2024-07-16 10:28:31 发布
最新推荐文章于 2024-07-16 10:28:31 发布
阅读量155 收藏
点赞数
文章标签: 数据库

在我们目前的生产系统中,尤其是业务系统,如ERP系统、银行系统、计费系统等,这些系统都存储着重要的个人账户信息、订单信息、信用卡号等,所以这些信息的保护就尤为重要
Oracle 的细粒度访问控制功能,可以利用Oracle的VPD,虚拟私有数据库功能,利用应用上下文可以把用户的SESSION信息储存到数据库缓存中,这个缓存会从PGA或者SGA中分配,
这样用户只能读取或修改,他可以访问的数据或者可以查看的数据,比如销售人员只能查看自己的订单,不可以修改和查看别人订单。这样,比我们通过基础表做连接查询,性能要提高很多

 

创建一个安全的账号,做上下文包的拥有者,并赋予权限
SQL> grant administer database trigger,create any trigger,create session,resource,create any procedure to sec;

Grant succeeded.


创建上下文:
SQL> conn sec/sec
Connected.
SQL> create context emp_user using current_emp;

Context created.

 

创建可以为上下文附属性的包
SQL> create or replace package current_emp as
  2  procedure set_emp_info;
  3  end;
  4  /

Package created.


SQL> create or replace package body current_emp as
      procedure set_emp_info is
     v_cus_id rscott.customers.cus_id%type;
     v_name rscott.customers.cus_fname%type;
      begin
     select cus_id,cus_fname into v_cus_id,v_name from rscott.customers where
     upper(cus_fname)=sys_context('USERENV','SESSION_USER');
     DBMS_SESSION.SET_CONTEXT('emp_user','id',v_cus_id);
     DBMS_SESSION.SET_CONTEXT('emp_user','name',v_name);
      END set_emp_info;
 END;
/
  2    3    4    5    6    7    8    9   10   11   12 
Package body created.

 

通过SEC账户设置触发器,在每个用户访问应用程序时,都触发上下文环境变量。

SQL> conn sec/sec
Connected.
SQL> create or replace trigger emp_logon
  2  after logon on database
  3  begin
  4  current_emp.set_emp_info;
  5  end;
  6  /
Trigger created.

测试Scott用户是否能获得应用上下文的信息

SQL> select sys_context('emp_user','name') from dual;

SYS_CONTEXT('EMP_USER','NAME')
--------------------------------------------------------------------------------
Scott

SQL> select sys_context('emp_user','id') from dual;

SYS_CONTEXT('EMP_USER','ID')
--------------------------------------------------------------------------------
2


没有应用FGAC前,SCOTT用户可以访问所有订单数据
SQL> conn scott/tiger
Connected.
SQL> select * from rscott.customers;
rows will be truncated

rows will be truncated

rows will be truncated

rows will be truncated

rows will be truncated


    CUS_ID CUS_AGR_NO CUS_FNAME
---------- ---------- ----------------------------------------------------------
         1          1 Adam
         2          2 Scott
         3          3 John
         4          4 Steven
         5          5 Neena
         6          6 De Haan
         7          7 Alexander
        68          8 Igor
        69          9 Dmitry
        70         10 Alex

10 rows selected.


实施FGAC,创建一个函数,可以隐式为SQL语句提供谓词,但是这些SQL只限于select,insert,update,delete

SQL> conn sec/sec
Connected.

"afiedt.buf" 5L, 133C written

  1  CREATE OR REPLACE PACKAGE Oe_security AS
  2  FUNCTION Custnum_sec (object_schema VARCHAR2, object_name VARCHAR2)
  3  RETURN VARCHAR2;
  4* END;
SQL> /

Package created.


"afiedt.buf" 17L, 509C written

  1  CREATE OR REPLACE PACKAGE BODY Oe_security AS
  2  FUNCTION Custnum_sec (object_schema VARCHAR2,object_name VARCHAR2)
  3   RETURN VARCHAR2
  4  IS
  5      D_predicate VARCHAR2 (2000);
  6      BEGIN
          #如果是这个表的拥有者,可以返回所有行
  7       if lower(sys_context('USERENV','SESSION_USER'))=lower(object_schema) then
  8       return null;
  9       end if;
 10       D_predicate := 'cus_id = SYS_CONTEXT(''emp_user'', ''id'')';
 11      if lower(sys_context('USERENV','SESSION_USER'))<>lower(object_schema) then
 12       RETURN D_predicate;
 13      end if;
 14      END Custnum_sec;
 15* END Oe_security;
 16  /

Package body created.


SQL> conn / as sysdba
Connected.

实施FGAC,Fine_grained Access Control需要添加策略
SQL> grant execute on dbms_rls to sec;

Grant succeeded.

SQL> grant exempt access policy to sec;

Grant succeeded.

定义策略,在rscott用户的customers表上实施策略,使用sec用户的函数oe_security,只限于select 语句

"afiedt.buf" 4L, 109C written

  1  begin
  2  dbms_rls.add_policy('rscott','customers','oe_policy','sec','oe_security.custnum_sec','select');
  3* end;
SQL> /

PL/SQL procedure successfully completed.


可以看到,现在scott用户只能看到一行
SQL> conn scott/tiger
Connected.
SQL> select * from rscott.customers;
rows will be truncated

rows will be truncated

rows will be truncated

rows will be truncated

rows will be truncated


    CUS_ID CUS_AGR_NO CUS_FNAME
---------- ---------- ----------------------------------------------------------
         2          2 Scott


 

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/175005/viewspace-612568/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/175005/viewspace-612568/

cjhkj2009
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oracle数据库中的虚拟表,Oracle10g中的虚拟专用数据库VPD
weixin_33741534的博客
04-06 717
什么是VPD所谓虚拟专用数据库(VPD)指的是,通过在数据库里进行配置,从而让不同的用户只能查看某个表里的部分数据。VPD分为以下两个级别:行级别:在该级别下,可以控制某些用户只能查看到某些行数据。例如对于销售数据表来说,每一名销售人员仅仅能检索自己的销售数据,而不能检索其他用户的销售数据。列级别:在该级别下,可以控制某些用户不能检索某些列的数据。例如HR用户下的EMPLOYEES表,包含sala...
利用VPD细粒度访问策略实现行级安全性 Step By Step
congjukun0600的博客
02-10 117
利用VPD细粒度访问策略实现行级安全性 Step By Step[@more@]相关阅读:利用Label Security实现行级安全性 Step By StepOracle8i以后的版本都提供了VPD(virtual priv...
Oracle VPD实现数据细粒度访问(更好的权限控制)
dnnyyq的专栏
01-19 6120
概述虚拟专用数据库 (VPD) 提供了角色和视图无法提供的行级访问控制。对于互联网访问,虚拟专用数据库可以确保在线银行的客户只能看到他们自己的帐户。Web 托管公司可以在同一 Oracle 数据库中维护多个公司的数据,但只允许每个公司查看其自身数据。 在企业内部,虚拟数据库可在应用程序部署方面降低拥有成本。可以在数据库服务器一次实现安全性,而不用在访问数据的每个应用程序中分别实现安全性。因
数据库细粒度访问控制
iteye_7304的博客
07-20 1450
背景 根据控制对象的粗细程度,访问控制可分为粗粒度和细粒度两种通常把规定访问整个数据库表或由基本表导出的视图的某个层称为粗粒度的访问控制,而细粒度控制则是把安全控制细化到数据库的行级或列级。 我们给银行上了一套系统,银行的政策允许所有财务经理可以访问所有账户持有人的信息,但在最近,对该政策做了改变只允许财务经理访问特定的客户集,那么为了使应用程序符合新的政策,我们必须对应用程序进行修改,有...
什么是Oracle10g中的虚拟专用数据库VPD
梅森上校的博客 业精于勤荒于嬉,形成于思毁于随。
01-31 2377
什么是VPD 所谓虚拟专用数据库VPD)指的是,通过在数据库里进行配置,从而让不同的用户只能查看某个表里的部分数据。VPD分为以下两个级别: 行级别:在该级别下,可以控制某些用户只能查看到某些行数据。例如对于销售数据表来说,每一名销售人员仅仅能检索自己的销售数据,而不能检索其他用户的销售数据。   列级别:在该级别下,可以控制某些用户不能检索某些列的数据。例如HR用户下的EMPLOYEE
ArcGIS权限分析-怎么对同一要素类对不同要素设置权限(Oracle)
热门推荐
积思园
04-02 1万+
今天又接到用户来咨询怎么对同一要素类对不同要素设置权限的问题,看来这个需求大家都是非常迫切。重新解释一下用户的要求,比如说我有一个整个北京市宗地的要素类,所有地区的要素类都在一起,但是有一个要求,用户只想在一个要素类里面进行操作,而且朝阳区国土局的工作人员只能编辑所属朝阳区的数据,海淀区国土局工作人员只能编辑所属海淀区的宗地,其实也就是一个同一要素类对不同要素设置权限的问题。之所以有这个需求,大家
dba
04-29 106
109.3 数据库授权方法 一旦使用数据库验证了用户,下一步就是确定用户可以有权访问或使用的对象类型、权限和资源。本节中将介绍配置文件控制管理密码的方式,还将介绍配置文件在各种类型的系统资源上添加限制的方式。 此外...
oracle缩写与术语
weixin_34228617的博客
01-11 85
术语 定义活动会话池 资源组或子计划允许的当前活动会话数ADDM Automatic Database Diagnostic Monitor(自动数据库诊断监视程序)ASM Automatic Storage Management(自动存储管理)ASM Automatic Summary Management(自动概要管理)ASMM Automatic Shared Memory Man...
ORACLE 10G OCP DBA II 学习记录
cuanping0985的博客
12-22 270
------------------------L1 ORACLE数据库体系架构ORACLE DATABASE 10G为网格计算设计的数据库--自动存储管理--可移植集群件--REAL APPLICATION CLUS...
Oracle中细粒度访问控制的工作方式
03-03
细粒度访问控制也就是虚拟专用数据库 (VPD) ,它提供强大的行级安全功能。它是在 Oracle8i 中推出的,已经受到广泛的欢迎,并且在从教育软件到金融服务等各种应用程序得到采用。VPD 的工作方法是,通过透明地更改对...
论文研究-Oracle VPD-细粒度的权限设计方案 .pdf
08-15
Oracle VPD-细粒度的权限设计方案,翟慧鑫,邹仕洪,数据资源共享已经成为大家协同工作的基本要求,传统的数据库访问控制模式已经不能很好的保护数据安全,因此更细粒度访问控制
ORACLE 精细访问控制的实现
08-17
Oracle 精细访问控制(Fine-Grained Access Control, FGAC)是一种高级安全机制,它允许数据库管理员实施更细致的权限管理策略,确保数据的安全性和隐私性。在传统的Oracle权限管理中,我们通常通过GRANT和REVOKE...
oracle精细访问控制
10-31
创建 VPD 函数需要使用 PL/SQL 语言,函数的输入参数是用户 ID 和表名,输出参数是访问控制列表。VPD 函数的作用是根据用户的身份和表的权限来确定用户对表的访问权限。 6. 创建触发器 创建触发器需要使用 PL/SQL ...
ORACLE中一个基于角色访问控制VPD设计方案.pdf
10-10
VPD的优势在于它可以提供细粒度访问控制,防止敏感数据泄露。其工作原理是通过在SQL查询中插入与用户会话相关的信息(如用户ID、部门等),这些信息作为额外的过滤条件,使得每个用户看到的数据只限于他们有权访问...
set user & password for database 设置数据库 用户和密码
DavidsonGong的博客
07-12 170
USE sbms;
【星海随笔】vCenter Server 和主机管理。
最新发布
weixin_41997073的博客
07-16 130
1.方法:删除页面信息,然后断连这个受管主机,断开受管主机的连接不会将其从 vCenter Server 中移除,而只是临时挂起 vCenter Server 执行的所有监控活动。2.方法:在分布式存储中找到该虚拟设备的存储盘,文件里找到相关的vmdk磁盘文件,点击注册虚拟机。当资料不匹配时候,可以删除展示页面,孤立的设备的 匹配位置的信息。断开后,然后重新连接,既可以重新识别受监管的主机。数据库在Vserver中展示的是一个数据库的资料,应该是client的资料。1.确定为资料不匹配导致的展示问题。
mysql笔记1
m0_62975692的博客
07-11 403
首先查看systemctl status mysqld,如果是关闭的可以进入的配置文件打开mysql,我的mysql配置文件就是在/usr/local/mysql/support-filess/下,在此目录下执行./mysql.server start,打开mysql服务,也可以通过systmectl start mysqld,如果你嫌麻烦的话可以systemctl enable mysqld 一直打开mysql的服务;重新给字段添加约束的时候不可以添加not null约束的!
Redis集群和高可用
xiaogengtongxu的博客
07-13 603
主从架构无法实现master和slave角色的自动切换,即当master出现redis服务异常、主机断电、磁盘损坏等问题导致master无法使用,而redis主从复制无法实现自动的故障转移(将slave 自动提升为新master),需要手动修改环境配置,才能切换到slave redis服务器,另外当单台Redis服务器性能无法满足业务写入需求的时候,也无法横向扩展Redis服务的并行写入性能。master和slave角色的无缝切换,让业务无感知从而不影响业务使用。
mysql 8.0 VPD
05-27
MySQL 8.0引入了VPD(Virtual Private Database)功能,它允许管理员定义基于SQL语句中的谓词...VPD功能的实现依赖于MySQL的安全性模型和访问控制机制,因此需要管理员对MySQL的权限和安全性模型有一定的了解才能使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值