ORACLE Virtual Private Database(VPD)

最新推荐文章于 2021-01-19 21:32:29 发布
最新推荐文章于 2021-01-19 21:32:29 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: MOAC 文章标签: oracle database security 数据库 sqlserver session
行记录级访问控制(ROW-RULE control)问题的提出和意义?
  
    企业的应用系统都离不开数据库系统,数据库系统的权限控制是很重要的一个环节,大型数据库系统(ORACLE、DB2、SYBASE、MS SQLSERVER)都提供完善的用户管理机制,从而可以严密地控制数据库对象(表、视图、函数、存储过程、程序包等等)的访问。但是,这往往是对象级别的。
    
    随着商务需求地不断地提出,出现了对于行记录控制的要求:
    
    1) 数据查询和报表输出数据需要能够进行有效地隔离,如在一个简单地销售数据统计应用中,大区经理、地区经理和销售员查询的数据就不同。
    
    2) ASP(应用服务供应商)系统出现,在系统结构上,就出现了许多企业用户的数据都会存放在同一个数据库种,但是系统需要能够有效地隔离。
    
    为了满足这样的需求,在业务数据表需要中加上一些字段来进行控制,应用的开发往往会另行开发很多代码来实现行记录控制。但是,随着业务的变化,我们会发现开发和维护这种管理需求的成本越来越高。
    
    我们需要寻找一种新的解决方案,能够使应用系统的架构设计简单,扩展性强,管理和维护的成本很低。
    
    ORACLE8i的一个新特性Virtual Private Database
    
      ORACLE 8i提供了一个新的特性,来实现行级规则的控制,称之为Virtual Private Database。充分利用8i提供的Virtual Private Database技术,可以实现,一个数据库Schema的数据同时给多个数据库用户访问,但是又能很好地隔离各自的数据内容。显然,这已经不是原来的对象级的控制的概念。

                通过一个简单的例子,来说明ORACLE 8i的这个新特性(需ORACLE 8i的企业版才支持)。

    环境:Windows 2000 Server + ORACLE 8.1.7(Enterprise Edition)
    
      在SCOTT用户下,有一个Customers表,记录着客户资料,以后为每个客户分配一个ORACLE数据库登陆账号,客户可以登陆,查询自己的订单情况。那么,我们需要做的就是能够把每个登陆账号和客户代码对应起来。就是说要实现一个映射关系,当然,通过自己建关系映射表,写代码做,也可以实现,但是ORACLE 8I把这一切变地非常简单(接下来的介绍都会围绕着ORACLE 8i这项技术使我们的工作如何更加简单,如何更加容易控制)。
  1.     --建立一个SECUSR的账号,用于权限控制用
  2.     
  3.     connect system/manager@oracle;
  4.     
  5.     create user secusr identified by secusr;
  6.     
  7.     grant connect,resource,dba to secusr;
  8.     
  9.     --把Customers的查询权利赋予secusr
  10.     
  11.     connect scott/tiger@oracle;
  12.     
  13.     grant select on "Customers" to secusr;
  14.     
  15.     --连接到secusr用户
  16.     
  17.     connect secusr/secusr@oracle;
  18.     
  19.     --创建上下文
  20.     
  21.     create context Customer_context USING secusr.CUSTOMER_SECURITY_CONTEXT;
  22.     
  23.     --创建程序包customer_security_context
  24.     
  25.     create or replace package
  26.     
  27.     secusr.customer_security_context is
  28.     
  29.     procedure set_customerid;
  30.     
  31.     end;
  32.     
  33.     create or replace package body
  34.     
  35.     secusr.Customer_security_context is
  36.     
  37.     procedure set_customerid is
  38.     
  39.     begin
  40.     
  41.     IF SYS_CONTEXT('USERENV','SESSION_USER')='SCOTT' THEN

  43.                     DBMS_SESSION.SET_CONTEXT('customer_context','customerid','ALFKI');
  44.     
  45.     END IF;
  46.     
  47.     end;
  48.     
  49.     end;
  50.     
  51.     --授权
  52.     
  53.     grant execute on secusr.Customer_security_context to public;
    ORACLE 8i中提供了Context(连接上下文)的概念,类似于asp中的session,可以为当前这个连接设置多个全局变量,记录信息,这个信息一直保持到连接被释放。上面的代码,就是为用SCOTT账号登陆的连接,进行了一次客户代码的映射(SCOTT->ALFKI),而且,随时可以 SYS_CONTEXT来查询

    具体代码如下:
  1.     SQL> connect scott/tiger@oracle;
  2.     
  3.     已连接。
  4.     
  5.     SQL> execute secusr.Customer_security_context.set_customerid;
  6.     
  7.     PL/SQL 过程已成功完成。
  8.     
  9.     SQL> select SYS_CONTEXT('CUSTOMER_CONTEXT','CUSTOMERID') FROM DUAL;
  10.     
  11.     SYS_CONTEXT('CUSTOMER_CONTEXT','CUSTOMERID')
  12.     
  13.     --------------------------------------------------------------------------------
  14.     
  15.     ALFKI
    ORACLE 8i提供了系统级的触发器,可以轻松地实现每个连接建立的时候,就自动完成这种映射。
  1.     --SCOTT用户登陆触发器
  2.     
  3.     connect system/manager@oracle
  4.     
  5.     CREATE OR REPLACE TRIGGER scott.tg_set_usr_context
  6.     
  7.     AFTER LOGON ON DATABASE
  8.     
  9.     BEGIN
  10.     
  11.     secusr.customer_security_context.set_customerid;
  12.     
  13.     END;
  14.     
  15.     --断掉connection,重新登陆
  16.     
  17.     Oracle8i Enterprise Edition Release 8.1.7.0.0 - Production
  18.     
  19.     With the Partitioning option
  20.     
  21.     JServer Release 8.1.7.0.0 - Production
  22.     
  23.     SQL> CONNECT scott/tiger@oracle
  24.     
  25.     已连接。
  26.     
  27.     SQL> select SYS_CONTEXT('CUSTOMER_CONTEXT','CUSTOMERID') FROM DUAL;
  28.     
  29.     SYS_CONTEXT('CUSTOMER_CONTEXT','CUSTOMERID')
  30.     
  31.     --------------------------------------------------------------------------------
  32.     
  33.     ALFKI
    采用Virtual Private Database如何达到SQL DML上的数据控制访问要求呢?
    
    Virtual Private Database技术可以对一张表的记录设置DML操作的过滤策略。ORACLE8i提供了POLICY的概念,并且为此配备了一套系统程序包,来完成设置。
  1.     connect secusr/secusr@oracle
  2.     
  3.     --做一个函数,返回对应的过滤条件
  4.     
  5.     create or replace package secusr.customer_security is
  6.     
  7.     function customer_sec
  8.     
  9.     return VARCHAR2;
  10.     
  11.     end;
  12.     
  13.     create or replace package body secusr.customer_security
  14.     
  15.     is
  16.     
  17.     function customer_sec(d1 varchar2,d2 varchar2)
  18.     
  19.     return varchar2
  20.     
  21.     IS
  22.     
  23.     begin
  24.     
  25.     IF SYS_CONTEXT('USERENV','SESSION_USER') IN ('SYS','SYSTEM','SECUSR') THEN
  26.     
  27.       RETURN NULL;
  28.     
  29.     ELSE
  30.     
  31.       RETURN 'customerid='''|| SYS_CONTEXT('CUSTOMER_CONTEXT','CUSTOMERID') || '''';
  32.     
  33.     END IF;
  34.     
  35.     end;
  36.     
  37.     end;
  38.     
  39.     --设置表数据的分割过滤
  40.     
  41.     EXECUTE DBMS_RLS.ADD_POLICY('SCOTT','"Customers"','Customers_sec_Policy',
  42.     
  43.     'SECUSR',
  44.     
  45.     'customer_security.customer_sec',
  46.     
  47.     'SELECT,UPDATE,DELETE');
    customer_security程序包的customer_sec函数实现了,根据但前的CONTEXT中CUSTOMERID的内容,来返回一个过滤的策略,函数的参数形式是固定的。通过dbms_rls程序包的ADD_POLICY过程,把策略条件同表绑定以来,以后,每次 select,update,delete都会自动应用这个策略。
  1.     --用SCOTT登陆,只能看到自己的信息
  2.     
  3.     SQL> connect scott/tiger@oracle;
  4.     
  5.     已连接。
  6.     
  7.     SQL> select customerid,city from "Customers";
  8.     
  9.     CUSTOMERID CITY
  10.     
  11.     ---------- ------------------------------
  12.     
  13.     ALFKI   Berlin
  14.     
  15.     --用SYSTEM登陆,可以看到所有的
  16.     
  17.     SQL> connect system/manager@oracle;
  18.     
  19.     已连接。
  20.     
  21.     SQL> select customerid,city from "SCOTT"."Customers";
  22.     
  23.     CUSTOMERID CITY
  24.     
  25.     ---------- ------------------------------
  26.     
  27.     ALFKI   Berlin
  28.     
  29.     ANATR   México D.F.
  30.     
  31.     ANTON   México D.F.
  32.     
  33.     AROUT   London
  34.     
  35.     BERGS   Lule?  D.F.
  36.     
  37.     BLAUS   Mannheim
  38.     
  39.     BLONP   Strasbourg
  40.     
  41.     BOLID   Madrid
  42.     
  43.     BONAP   Marseille
  44.     
  45.     BOTTM   Tsawassen
  46.     
  47.     BSBEV   London
    现在可以放心地把SCOTT账号给客户(ALFKI)了,客户可以查询自己的订单情况,当然只能是自己的。
  1.     SQL> SELECT a.orderid,a.customerid,a.orderdate,
  2.     
  3.      2 sum(c.UnitPrice*c.Quantity*(1-c.Discount)) as TotalMoney
  4.     
  5.      3 FROM "Orders" a,"Customers" b ,"Order Details" c;
rfb0204421
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[Oracle] 数据库安全之 - 虚拟私有数据库VPD
Zhu_Julian's Notes (朱显杰的技术博客)
06-09 4218
Oracle的安全分为四大部分,分别是用户管理、访问控制、数据保护和监控,具体可参考《[Oracle] 数据库安全概述》http://blog.csdn.net/u010415792/article/details/9008089 今天着重讲讲访问控制中一种常见的技术VPDVPD的全称是Virtual Private Database 虚拟私有数据库,它在Oracle 8i时就出现了,是Ora
VPD(Virtual Private Database)
彦祖的小号的博客
07-13 1712
VPD可以直接在表,视图和同义词上实施安全策略,提供行或列级别的安全性 VPD可应用于SELECT, INSERT, UPDATE, INDEX和DELETE命令 VPD是在SQL访问受VPD保护的对象时,SQL被动态地修改加入限制where条件 创建用户并授权 conn sys/oracle as sysdba grant create session to adams identified by john7; grant create session to burlington i..
Oracle Virtual Private Database(VPD)初体验
Lumen专注Oracle EBS
02-02 913
前几周初略学习了OracleVPD技,做了几个试验,也在EBS系统上测试了一下。总结如下,有些内容摘自网络。 在数据库的数据安全访问的解决上,有很多的方法来解决权限的问题,常用的方法例如建立视图的方法控制,例如查询语句中加where语句来控制。用view的方法在表结构或者权限变更的时候很不容易操作,编码工作量大、系统适应用户管理体系的弹性空间较小,一旦权限逻辑发生变动,就可能需要修改权限体系,
数据库安全 Oracle之虚拟私有数据库VPD
金溪的博客
09-14 497
VPD的全称是Virtual Private Database 虚拟私有数据库,它在Oracle 8i时就出现了,是Oracle比较早期的一种数据安全手段。 它是指通过指定策略,对用户的SQL自动添加过滤谓词,以达到对结果集进行过滤的目的。 其大致过程如下:用户发出SQL语句访问表中数据,此时触发定义在该表上的安全策略,该安全策略会在相应的列上加上Where谓词条件,最终返回给用户的是过滤后的...
ORACLEVirtual Private Database的全新体验
loverong的专栏
06-22 1170
1、ROW-RULE control(行记录级访问控制)的简单概念:行记录级访问控制问题的提出和意义?企业的应用系统都离不开数据库系统,数据库系统的权限控制是很重要的一个环节,大型数据库系统(ORACLE、DB2、SYBASE、MS SQLSERVER)都提供完善的用户管理机制,从而可以严密地控制数据库对象(表、视图、函数、存储过程、程序包等等)的访问。但是,这往往是对象级别的。随着商务需求地不断
Oracle产品线.pptx
04-14
这包括使用Partitioning、VPDVirtual Private Database)和Advanced Compression等技术。 8. **空间数据库选件**:Oracle Spatial为处理地理空间数据提供了一整套解决方案,使得用户可以在单个数据库中存储和操作...
Oracle_VPD:在Oracle VPD中下载
02-14
Oracle VPD,全称为Virtual Private Database(虚拟私有数据库),是Oracle数据库的一种安全特性,它允许数据库管理员在数据库级别实施细粒度的访问控制。VPD技术通过在SQL语句中动态插入额外的条件,实现了数据级别...
oracle 虚拟专用数据库详细介绍
09-09
Oracle虚拟专用数据库Virtual Private Database, VPD)是一种高级安全机制,它允许数据库管理员限制不同用户访问特定的数据,实现细粒度的访问控制。VPD主要用于保护敏感信息,确保数据隔离,使得用户只能看到他们...
Oracle Database
05-13
- **Virtual Private Database (VPD)**:通过在 SQL 查询中动态添加 WHERE 子句来限制用户对数据的访问,增强了数据的安全性。 ##### 3. 性能优化 - **Index Organized Tables (IOTs)**:通过将数据按照索引顺序...
Oracle数据库VPD来确保信息的隐私
03-03
Oracle数据库的虚拟私有数据库Virtual Private Database, VPD)是一种强大的行级安全特性,它在Oracle8i中被引入,旨在提供更为精细化的访问控制。VPD允许根据用户的身份和角色来限制对数据行的访问,从而实现高度...
Virtual Private Database学习
In-Memory Computing Technology
05-29 254
Oracle-Base上的这篇文章非常好,整个看懂了。 整个也执行了一遍,要求有HR sample schema。另外,唯一需要改的就是需要赋予HR用户以下权限,这和我的数据库版本为12c有关: SQL> grant administer database trigger to hr; 在OLL上的资源包括: Restricting Data Access Using Virtual ...
Oracle VPD
chncaesar的专栏
01-20 5759
VPD = Virtual Private Database。同义词有RLS : Row Level Security, FGAC: Fine Grained Access Control。 用于行级访问控制。假设有需求,只有用户'SCOTT'能访问emp表所有记录,其他人只能访问manager以下员工的记录。 CREATE FUNCTION emp_policy(schema_in IN
Oracle 11G 虚拟列 Virtual Column 介绍
热门推荐
程序员之路
06-02 1万+
原文链接:http://www.javaarch.net/jiagoushi/705.htm Oracle 11G 虚拟列 Virtual Column Oracle 11G 在表中引入了虚拟列,虚拟列是一个表达式,在运行时计算,不存储在数据库中,不能更新虚拟列的值。 定义一个虚拟列的语法: column_name [datatype] [GENERATED ALWAYS] AS [
使用Virtual Private Database实现细粒度访问控制
cuchou5321的博客
07-20 165
数据安全一直应用系统开发的重点,Oracle VPDVirtual Private Database)就是从数据库层面实现数据访问控制的一种成熟技术。借助VPD,一些已经上线或者不容易进行二次开发的功能可以比较容易的解决...
ORACLE数据库上创建VPDVirtual Private Databases)安全策略的实战记录
cixu3288的博客
01-04 492
ORACLE数据库上创建VPDVirtual Private Databases)安全策略的实战记录 作者:陈海青(joson chen) 网站:www.chq.name 日期:2007.05.24 版权声明:转载...
mysql实现vpd_VPD(Virtual Private Database) 简单演示
weixin_32127545的博客
01-19 266
VPDVirtual Private Database , 是一种限制对数据库信息细粒度的访问控制技术。实现的关键在于:RLS(Row Level Security) 行级权限控制,通过 ORACLE 的 存储过程:dbms_rls.add_policy 实现.实现原理:查询时在 WHERE 语句后 加上 'AND ...', 该功能由策略函数实现。下面用PL/SQL 简单举例演示。--创建测...
利用Oracle VPD实现行级安全保护(一)
cilu1851的博客
07-12 288
VPD[@more@]大家都知道,Oracle的锁机制是行级别的,下面来看看Oracle的安全访问机制: 安全的数据过滤,必须在基础数据表的一层就完成,这样用户无论是通过视图还是基础表都无法绕过安全控制。而VPD(virt...
VPD(Virtual Private Database) 简单演示
weixin_33890526的博客
12-18 158
VPDVirtual Private Database , 是一种限制对数据库信息细粒度的访问控制技术。实现的关键在于:RLS(Row Level Security) 行级权限控制,通过 ORACLE 的 存储过程:dbms_rls.add_policy 实现. 实现原理:   查询时在 WHERE 语句后 加上 'AND ...', 该功能由策略函数实现。 下面用PL/SQL 简单举例...
VPD技术粗解
蜗牛先生快跑的博客
04-14 1037
--模拟MOAC登陆之前初始化 BEGIN   fnd_global.apps_initialize(user_id      => 2393,                              resp_id      => 50691,                              resp_appl_id => 201);   mo_global.init(p_
演示一个VPD进行数据访问控制的示例
weixin_33843409的博客
06-17 159
更多精彩内容尽在www.leonarding.com1.什么是VPDVirtual PrivateDatabase 虚拟私有数据库,听起来像是一个独立自主的数据库,其实在逻辑上是独立的,物理上就是一个数据库。原理就是通过指定过滤策略,对用户的SQL添加谓词条件,来达到过滤数据的目的。2.VPD优点:精细化访问对业务透明,不同的客户发出相同SQL语句,查询到的结果集不一样,可以让不同客户只看其相关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值