使用Virtual Private Database实现细粒度访问控制

数据安全一直应用系统开发的重点，Oracle VPD（Virtual Private Database）就是从数据库层面实现数据访问控制的一种成熟技术。借助VPD，一些已经上线或者不容易进行二次开发的功能可以比较容易的解决。Virtual Private Database，虚拟专有数据库，简称VPD，能够利用一系列的安全策略函数控制用户对于一张表上行级或者列级的数据的访问，除了表之外还可以应用于View或者Synonym。 

1、VPD简述

 

从Oracle产品属性来看，Oracle Virtual Private Database（简称VPD）是归属在Oracle安全security框架下的成熟产品。要注意：VPD是企业版Enterprise版本功能，在其他如标准Standard版下是不能使用的。

简单的说，VPD就是介于用户SQL语句和实际执行对象之间的介质层。用户或者应用程序发出的SQL语句在传入到DBMS执行之前，会自动被拦截并且进行额外处理。处理的结果往往反映为在语句where条件中添加特殊的条件式。

例如：数据表T中包括了所有员工的通信信息，当每个员工登陆HR系统时，能查询到所有的员工通讯信息。但是现在业务需求变了，当员工登陆HR系统后，应该只能查到自己的信息。在没有VPD的情况下，我们必须修改应用程序代码，将username=’自己的名字’加入到所有对应数据表操作SQL语句中。业务逻辑应该如下：
限制用户只能从T表中查询到和自己用户名匹配的记录，例如：A用户登陆后，执行select * from T，在VPD的作用下，相当于为这条语句增加了一个隐含的条件where username='A'，等于执行了select * from T where username='A'仅返回符合username='A'这一条件的记录.
 

借助VPD，应用程序不需要修改任何代码。我们只需要在数据库层面设定一个指定策略规则，如果针对某个数据对象表的所有SQL语句，都会调用一个设定的函数。函数自身会返回一个字符串条件，作为补充的where语句条件。

例如：如果我们设定对数据表t的每个Select语句都要添加一个条件username='a'，那么即使应用层发出了select * from t，那么实际执行的也都是select * from t where userame='a'。

下面我们通过一系列的实验来进行验证演示。

 

2、环境介绍和配置

 

我们选择Oracle 11g企业版进行测试。

 

SQL> select * from v$version;

 

BANNER

-----------------------------------------------

Oracle Database 11g Enterprise Edition Release 11.2.0.4.0 - Production

PL/SQL Release 11.2.0.4.0 - Production

CORE 11.2.0.4.0 Production

 

注意：只有在其中明确标注Enterprise Edition才认为是企业版Oracle。否则是标准版。

创建专门用户用于实验。

 

SQL> create user vpd identified by vpd;

User created

 

SQL> grant resource, connect to vpd;

Grant succeeded

 

SQL> grant execute on dbms_rls to vpd;

Grant succeeded

 

SQL> grant select any dictionary to vpd;

Grant succeeded

 

在vpd schema下创建数据表T。

 

SQL> conn vpd/vpd;

Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0

Connected as vpd

 

SQL> create table t as select * from dba_users;

Table created

 

SQL> select count(*) from t;

 

  COUNT(*)

----------

     14

 

目标是使用VPD实现数据隐藏：只有VPD用户查询数据表T才能获取全文，其他schema读取不到其中数据。

 

3、配置VPD

 

配置VPD第一步是定义处理函数，我们需要函数的意义是返回一个字符串条件列。在函数中，我们可以根据不同的情况插入自由的逻辑。

 

针对这个需求，首先需要获取到查询用户的schema名称才能判断。于是，函数为：

 

SQL> create or replace function f_limit_access

  2  (

  3     vc_schema varchar2,

  4     vc_object varchar2

  5  ) return varchar2

  6  as

  7  vc_userid varchar2(100);

  8  begin

  9    select SYS_CONTEXT('USERENV','SESSION_USER')

 10    into vc_userid

 11    from dual;

 12    return 'username='''||vc_userid||'''';

 13 

 14  end;

 25  /

 

Function created

 

sys_context函数可以获取到当前用户名信息，做出判断。输入参数vc_schema和vc_object是作为调用点，可以逆向插入回去的。

第二步，使用dbms_rls函数包创建访问策略policy。

 

SQL> exec dbms_rls.add_policy(object_schema => 'VPD',object_name => 'T',policy_name => 'VPD_TEST',function_schema => 'VPD',policy_function => 'F_LIMIT_ACCESS');

 

PL/SQL procedure successfully completed

 

注意：这其中参数含义为：object_schema表示希望给schema对象添加policy，object_name为具体哪个对象。policy_name表示策略的名称。function_schema和policy_function表示处理函数所在的schema和函数名称。

视图user_policies可以查看到当前schema下策略信息。

 

SQL> select policy_name, SEL, INS, UPD, DEL, IDX, CHK_OPTION, ENABLE from user_policies;

 

POLICY_NAME                    SEL INS UPD DEL IDX CHK_OPTION ENABLE

------------------------------ --- --- --- --- --- ---------- ------

VPD_TEST                       YES YES YES YES NO  NO         YES

 

此时用户为vpd，查看数据T结果如下：

 

SQL> select username,user_id from t;

 

  USERNAME        USER_ID

-------------  ------------------       

     VPD            40

 

切换到另一个用户，虽然有访问数据表权限，但是结果变化。

 

--sys下运行

SQL> grant select any table to scott;

Grant succeeded

 

SQL> conn scott/tiger

Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0

Connected as scott

 

SQL> select username,user_id from t;

 

  USERNAME        USER_ID

-------------  ------------------       

     SCOTT            35

 

即使是system这样的高权限用户，结果一样。

 

SQL> alter user system identified by oracle;

User altered

 

SQL> conn system/oracle;

Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0

Connected as system

 

SQL> select username,user_id from t;

 

  USERNAME        USER_ID

-------------  ------------------       

     SYSTEM            5

 

但是，唯独对sys用户，所有的policy是失效的，这也就是VPD的一个特点和问题。

 

SQL> conn sys/oracle as sysdba

Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.4.0

Connected as SYS

 

SQL> select username,user_id from vpd.t;

USERNAME                 USER_ID
------------------- ---------------------
SYSADMIN_VPD              36
SYS                        0
SYSTEM                     5
SCOTT                     35
VPD                       40
SPA_TEST_USER             39
OWOODS                    38
TBROOKE                   37
OUTLN                     11
DBSNMP                    24
WMSYS                     26

USERNAME                 USER_ID
--------------------- -------------------
APPQOSSYS                 34
DIP                       19
ORACLE_OCM                25

14 rows selected.

 

4、结论

 

作为早期Oracle提供的一种数据安全策略，VPD在应用和数据库之间建立了插入语句屏障。在没有办法修改代码的情况下，一些简单的数据权限需求是可以通过VPD解决的。

但是，也要看到VPD的局限性，比如sys访问，安全策略容易被攻破等。这些都可以使用更高级的Oracle策略外加应用程序、管理手段进行弥补，实现相对的安全。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/12798004/viewspace-1741867/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/12798004/viewspace-1741867/