Oracle 10g 新特性之虛擬專用資料庫(轉)

Oracle 10g 新特性之虛擬專用資料庫(轉)[@more@]

　　五種型別的策略、列相關策略以及列遮蔽使得 VPD 成為 DBA 的安全工具箱中一種功能更加強大的工具

　　虛擬專用資料庫 (VPD) 也稱為細粒度訪問控制，它提供強大的行級安全功能。它是在 Oracle8i 中推出的，已經受到廣泛的歡迎，並且在從教育軟體到金融服務等各種應用程式得到採用。

　　VPD 的工作方法是，透過透明地更改對資料的請求，基於一系列定義的標準向使用者提供表的區域性檢視。在執行時，所有查詢都附加了謂詞，以便篩選出准許使用者看到的行。例如，如果只允許使用者檢視帳戶管理員 SCOTT 的帳戶，則 VPD 設定自動地將查詢：

　　select * from accounts;

　　重寫為：

　　select * from accounts

　　where am_name = 'SCOTT';

　　DBA 在表 ACCOUNTS 上設定了一項安全策略。該策略具有一個相關函式，稱為policy function，它返回一個用作謂詞的字串 where am_name = 'SCOTT'。如果您不熟悉該特性的全部功能，我建議您閱讀 Oracle 雜誌的文章“利用 VPD 保持資訊的私密性”。

　　策略型別

　　生成謂詞所需的重複分析是一種在某些情況下可以進行修整的開銷。例如，在大部分實際情況中，謂詞並不象 am_name = 'SCOTT' 那樣是靜態的；它基於使用者的身份、使用者的許可權級別、使用者向哪個帳戶管理員進行報告等情況,可能更具有動態性。由策略函式建立並返回的字串可能會具有很強的動態性，而為了保證其結果，Oracle 必須每次重新執行策略函式，既浪費資源又降低效能。在這種型別的策略中，謂詞每次執行時可能會有很大的差別，該策略稱為“動態”策略，在 Oracle9i 資料庫以及以前的版本中已經提供了這種策略。

　　除了保留動態策略之外，Oracle 資料庫 10g 還基於謂詞的構造推出了幾種新型別的策略，為提高效能提供了更好的控制：context_sensitive、shared_context_sensitive、shared_static 和 static。現在，讓我們來了解每種策略型別的意義以及如何在適當的場合中使用它們。

　　動態策略。 為保持向後相容性，10g 中的預設策略型別為“dynamic” — 正如 Oracle9i 中一樣。在這種情況下，對於每行以及每位使用者，在每次訪問表時都對策略函式進行重新求值。讓我們來詳細分析策略謂詞：

　　where am_name = 'SCOTT'

　　忽略掉 where 子句，謂詞就具有兩個不同的部分：在等式運算子之前的部分 (am_name) 和等式運算子之後的部分 ('SCOTT')。在大多數情況下，後面的部分更象是變數，因為它是由使用者的資料提供的（如果使用者是 SCOTT，則其值為 'SCOTT'）。在等號前面的部分是靜態的。因此，即使函式不必為生成適當的謂詞而對每行求出策略函式的值，由於瞭解前面部分的靜態性以及後面部分的動態性，也可以提高效能。在 10g 中，可以在 dbms_rls.add_policy 呼叫中使用 "context_sensitive" 型別的策略作為引數來實現這種方法：

　　policy_type => dbms_rls.context_sensitive

　　在另一個示例中，我們有一個稱為 ACCOUNTS 的表，它擁有幾列，其中一列是 BALANCE，表示帳戶餘額。假設允許某個使用者檢視低於某特定餘額的帳戶，而該餘額由應用程式上下文所決定。我們並不在策略函式中將此餘額值固定，而是3是根據應用程式上下文確定，如：

　　　　create or replace vpd_pol_func　　

　　10g 可以利用這種情況，在 SGA 中對謂詞進行快取記憶體，並在會話中重用該謂詞，而不必重新執行策略函式。策略函式類似於以下形式：

　　　　create or replace vpd_pol_func　　

　　policy_type => dbms_rls.shared_context_sensitive

　　將策略宣告為 "shared" 可以在以上所示的情況中不再執行該函式，從而提高了效能。

　　選擇性的列

　　現在設想一種情況，只有在選擇了特定列時才會應用 VPD 策略。在上述示例的表 ACCOUNTS 中，各行如下所示：

　　ACCTNO ACCT_NAME　　BALANCE

　　------ ------------ -------

　　1 BILL CAMP　　1000

　　2 TOM CONNOPHY 2000

　　3 ISRAEL D　　 1500　　

　　不允許 Michelle 檢視餘額超過 1600 的帳戶。當她執行類似以下的查詢時：

　　select * from accounts;

　　將看到：

　　ACCTNO ACCT_NAME　　BALANCE

　　------ ------------ -------

　　1 BILL CAMP　　1000

　　3 ISRAEL D　　 1500　　

　　acctno 2 的餘額超過 1600，它已禁止顯示。對於 Michelle 而言，表中只有兩行，而不是三行。當她執行類似以下的查詢時：

　　select count(*) from accounts;

　　該查詢只計算表中的記錄數，輸出是二，而不是三。

　　但是，此時我們可以決定將安全策略稍微放鬆一些。在本查詢中，Michelle 不能檢視帳戶餘額等秘密資料；她只是計算表中所有記錄的數目。在與安全策略一致的情況下，我們可以允許此查詢計算所有記錄的數目，無論是否允許她檢視這些記錄。如果需要這樣，則在對 10g 的 dbms_rls.add_policy 的呼叫中的另一個引數允許實現此功能：

　　sec_relevant_cols => 'BALANCE'

　　現在，當使用者選擇列 BALANCE 時，無論是顯式選擇還是隱含在 select * 中，VPD 策略都會介入，對行作出限制。否則將會選擇表中所有的行，因為在查詢中使用者只選擇了總計行數，而沒有選擇列 BALANCE。如果將以上引數設定為所示的形式，則查詢

　　select count(*) from accounts;

　　將顯示三列，而不是兩列。但是查詢：

　　select * from accounts;