本人近來關(guān)注于數(shù)據(jù)庫安全方面����,粗略地研究了下數(shù)據(jù)庫的自主訪問控制(DAC)和強(qiáng)制訪問控制(MAC)��,現(xiàn)把自己對Oracle中DAC的理解寫出來��,與大家分享�,以上均Oracle文檔結(jié)合自己的理解,難免存在錯誤的地方����,還請指正。
訪問控制是允許或者禁止某人訪問某資源的過程��,數(shù)據(jù)庫中就是限制用戶對數(shù)據(jù)庫客體(如表�����、試圖等)的訪問����。實現(xiàn)這種訪問控制一般是基于訪問控制列表(ACL)�,ACL一般記錄了who能訪問what以及how訪問。大多數(shù)據(jù)庫的將ACL以數(shù)據(jù)庫系統(tǒng)表的形式進(jìn)行實現(xiàn)����。下面具體介紹下Oracle中的權(quán)限相關(guān)系統(tǒng)表的設(shè)計。
Oracle中的權(quán)限分為兩種:系統(tǒng)權(quán)限和對象權(quán)限�。
系統(tǒng)權(quán)限
系統(tǒng)權(quán)限包括數(shù)據(jù)庫管理權(quán)限和帶有ANY的權(quán)限。管理權(quán)限如ALTER DATABASE��,CREATE USER等權(quán)限,這類權(quán)限是和DDL相關(guān)的權(quán)限����。另一類帶有ANY的權(quán)限,如SELECT ANY TABLE���,表示可以查詢所有表的權(quán)限�����,這類權(quán)限是全局DML相關(guān)的權(quán)限��。查看所有的系統(tǒng)權(quán)限可以通過表SYSTEM_PRIVILEGE_MAP����,該視圖顯示了權(quán)限名稱及其對應(yīng)的值�����,通過表可以看出所有的系統(tǒng)權(quán)限的權(quán)限值均為負(fù)數(shù)����。
記錄用戶的系統(tǒng)權(quán)限授權(quán)的信息主要存儲在系統(tǒng)表SYS.SYSAUTH$表中,可以通過DBMA_METADATA包獲取表的創(chuàng)建信息��。
- SQL> select dbms_metadata.get_ddl('TABLE','SYSAUTH$','SYS') from dual;
- DBMS_METADATA.GET_DDL('TABLE','SYSAUTH$','SYS')
- ------------------------------------------------------------------------
- CREATE TABLE "SYS"."SYSAUTH$"
- ( "GRANTEE#" NUMBER NOT NULL ENABLE,
- "PRIVILEGE#" NUMBER NOT NULL ENABLE,
- "SEQUENCE#" NUMBER NOT NULL ENABLE,
- "OPTION$" NUMBER
- ) PCTFREE
- PCTUSED 40 INITRANS 1 MAXTRANS 255 NOCOMPRESS LOGGING
- STORAGE(INITIAL 65536 NEXT 1048576 MINEXTENTS 1 MAXEXTENTS 2147483645
- PCTINCREASE 0 FREELISTS 1 FREELIST GROUPS 1 BUFFER_POOL DEFAULT)
- TABLESPACE "SYSTEM"
-
可以看到表字段信息,包含GRANTEE#����,PRIVILEGE#,SEQUENCE#和OPTION$�����。GRANTEE#表示被授權(quán)者的UID�����,PRIVILEGE#表示被授權(quán)的權(quán)限值���,OPTION$表示是此權(quán)限否可被轉(zhuǎn)授,SEQUENCE#個人感覺是時間戳的概念����,對于這個的驗證放在后面����。由此可見�,系統(tǒng)權(quán)限和角色的授予,并不記錄授權(quán)者的信息�。通過查詢這張表���,可以看到PRIVILEGE#字段并不是上面所說的全是負(fù)數(shù),還存在正數(shù)��,不錯����,這是因為這張表不僅僅存放了系統(tǒng)權(quán)限,還存放了角色的授予信息����,如果授予角色的時候,PRIVILEGE#字段即為角色的ID�����,當(dāng)然角色也可能被授予角色和系統(tǒng)權(quán)限�,因此想通過簡單的SQL語句獲取一個用戶所擁有的所有的角色或所有的系統(tǒng)權(quán)限,會涉及到遞歸的查詢�,大家可以想下如何構(gòu)造這個SQL語句,(提示下:Oracle特有的CONNECT BY語法)�。
由系統(tǒng)權(quán)限的系統(tǒng)表可以看出,對于系統(tǒng)權(quán)限�,Oracle中并不記錄授權(quán)者的概念,這說明對系統(tǒng)權(quán)限的回收肯定是特定用戶進(jìn)行的�,由于沒有授權(quán)者的概念�����,當(dāng)然也就沒有了級聯(lián)回收系統(tǒng)權(quán)限的情況�,這里SEQUENCE#字段作為時間戳貌似也沒有太大的意義了��。
對象權(quán)限
對象權(quán)限主要記錄用戶被賦予某對象的某種權(quán)限���,如用戶A被授予表TB1的SELECT權(quán)限�。由此可見���,對象權(quán)限系統(tǒng)表需要具有如下幾個字段:授權(quán)者�,被授予者�����,對象�����,權(quán)限類型��,轉(zhuǎn)授標(biāo)記��。對象權(quán)限系統(tǒng)表是SYS.OBJAUTH$�����,首先來看表定義�。
- SQL> select dbms_metadata.get_ddl('TABLE','OBJAUTH$','SYS') from dual;
-
- DBMS_METADATA.GET_DDL('TABLE','OBJAUTH$','SYS')
- ----------------------------------------------------------------------
- CREATE TABLE "SYS"."OBJAUTH$"
- ( "OBJ#" NUMBER NOT NULL ENABLE,
- "GRANTOR#" NUMBER NOT NULL ENABLE,
- "GRANTEE#" NUMBER NOT NULL ENABLE,
- "PRIVILEGE#" NUMBER NOT NULL ENABLE,
- "SEQUENCE#" NUMBER NOT NULL ENABLE,
- "PARENT" ROWID,
- "OPTION$" NUMBER,
- "COL#" NUMBER
- ) PCTFREE 10 PCTUSED 40 INITRANS 1 MAXTRANS 255 NOCOMPRESS LOGGING
-
系統(tǒng)表中存在并不是所猜想的那么幾個字段,除了對象(OBJ#)��,授權(quán)者(GRANTOR#)���,被授予者(GRANTEE#),具體權(quán)限(PRIVELGE#)���,轉(zhuǎn)授標(biāo)志(OPTION$)外,還具有SEQUENCE#�����,PARENT和COL#�,SEQUENCE#應(yīng)該還是時間戳,COL#是指在進(jìn)行列級授權(quán)時記錄的列號����,在對表進(jìn)行授權(quán)時,可以指定列�,如GRANT SELECT(C1) ON T1 TO U1���。至于PARENT還有待考證啊。
以上從總體上粗略的介紹了Oracle中權(quán)限相關(guān)的系統(tǒng)表以及系統(tǒng)表中字段的意義�,當(dāng)然有些字段是個人猜測,沒有什么依據(jù)���,還有待進(jìn)行實驗證明�。有對此了然的園友����,望不吝賜教,感激不盡啊���。
原文鏈接:http://www.cnblogs.com/nocode/archive/2011/03/14/1984265.html
本文名稱:Oracle自主訪問控制機(jī)制系統(tǒng)表研究
當(dāng)前鏈接:
http://uogjgqi.cn/article/dphdhhi.html
