informix 的安全访问控制机制

数据库安全
数据库安全是及其重要的，无论使购买产品和历史分析数据，一个公司都需要有健全的数据库安全计划，通过如下方式来确定：
谁可以访问数据库服务器实例和数据库
从哪儿以什么方式验证用户密码
用户的授权级别
用户能够运行的命令
用户能够读取或者修改的数据
用户能够创建、修改或删除的数据库对象
IDS为数据库安全提供三个主要的机制：身份验证、授权和特权
身份验证
IDS验证用户身份的过程，我们知道IDS中的用户是建立在所在的操作系统上进行授权的，所以在验证用户ID和密码时与底层操作系统的安全性密切结合，另外还能在安全协议合作
授权：涉及到确定用户或组能够执行的操作，能够访问的数据对象，用户执行高级数据库和实例管理操作的能力取决于他们的权限。
特权：比授权的粒度更细，可以授权给用户或组。支持基于标签的访问控制（LBAC），提供更细粒度的控制
IDS中的访问控制
自主访问控制(DAC）主要的访问机制，支持特权和角色访问SQL对象，在数据库中，使用DAC保护的对象包括数据库、表、列、视图、类型、例程和语言，但是不能用户行级保护；

典型的数据库特权
DBA 数据库创建者和所有者
Resource 连接到数据库并穿件其他对象
connect 能够连接到数据库查询
特权可以通过grant和revoke语句回收，如：
grant  resource to username;赋予用户resource 特权
revoke resource from username;回收用户resource特权

public用于表示数据库中的所有用户的关键字，当授予public时，表示系统所有用户都有其特权，回收就是回收系统中所有用户的特权；
基于角色的访问控制（RBAC）将特权合并到角色当中然后将角色分配给用户，从而扩展了基于特权的访问，介绍可以定义为工作任务的类别。
IDS预定义的角色：DBSA,DBSSO,AAO,OSA,用户，特权用户，可以根据自己的需求创建定制角色，但是仅能DBA特权用户创建。
create role role_name; 创建角色
grant connect to role_name;给角色赋予特权
grant role_name to username;给用户赋予角色
revoke role_name from username;回收用户的角色
默认角色是管理员创建将其赋予其他用户或特定库中授予public
基于标签的访问控制
主访问控制是在数据库对象级别上工作的，比如数据库、表、列和视图等，而基于标签的访问控制是在数据的行和列级别上工作的。表由安全策略保护，单个的行和列则由安全标签保护。数据库安全管理员（DBSECADM）创建安全策略和标签，并将标签授予用户。当具有安全标签的用户向由等效安全策略保护的表写入数据行时，将在该表的每个行生成数据标签。LBAC 工作的基本原理是，在保护行的数据标签中，其安全标签占据优势的用户能够读取数据。如何计算优势？任何标签都由每个组件中的个体组件和元素组成。如果用户标签中的个体组件超过特定安全策略的行标签的个体组件，那么用户标签就占优势。
IDS 中的加密支持

加密技术是作为插入式通信支持模块（pluggable communication supports module，CSM）与 IDS 集成的
ENCCSM 在UNIX系统名称为$INFORMIXDIR/lib/csm/iencs11a.so（WINDOWS 中位于%INFORMIXDIR%/lib/csm/iencs11a.dll），这个模块用于加密在客户机和服务器之间传输的所有数据
SPWDCSM 在UNIX系统中$INFORMIXDIR/lib/csm/ispws11a.so（WINDOWS中%INFORMIXDIR%/lib/csm/ispws11a.dll）这个模块仅用于加密从客户机发送到服务器的密码
GSSCSM 在UNIX系统中$INFORMIXDIR/lib/csm/igsss11a.so（WINDOWS %INFORMIXDIR%/lib/csm/igsss11a.dll），这个模块用于在 IDS 中指出单点登录身份验证
例如：
 ENCCSM/SPWDCSM/GSSCSM 的 sqlhosts 条目     
demo_on1 onsoctcp demohost 1111 csm=(ENCCSM)
demo_on2 onsoctcp demohost 1112 csm=(SPWDCSM)
demo_on3 onsoctcp demohost 1113 s=7,csm=(GSSCSM)

IDS 中的安全套接字层（SSL）

安全套接字层（SSL）协议是一个通信协议，它通过网络两个点之间的可靠的端到端安全连接使用加密为数据通信提供隐私性和完整性。
配置 IDS 实例以使用 SSL
为了将 IDS 实例配置为使用 SSL 连接，您需要向 sqlhosts 文件添加连接信息、设置 SSL 配置参数，以及配置密钥仓库和它储存的数字证书。密钥仓库和数字证书超出了考试范围；您仅需知道如何设置 sqlhosts 文件以使用 SSL。
在 sqlhosts 文件（UNIX）或 SQLHOSTS 注册表（Windows）中更新连接性息，以包含关于 SSL 连接的信息。使用正确的协议：
对所有 Informix 客户机使用 onsocssl 协议，比如 ESQL/C、ODBC、DB-Access、dbexport 实用工具、dbimport 实用工具、dbschema 实用工具或 dbload 实用工具连接
对 DRDA 连接使用 drsocssl 协议
SSL 的 sqlhosts 条目     
demo_on1 onsoctcp demohost 1111
demo_on2 onsocssl demohost 1112
demo_on3 drsocssl demohost 1113