oracle數據庫10g的安全性和身份管理

　　作者:michael miley

　　oracle數據庫10g為oracle身份管理提供了一種安全、可伸縮的基礎。oracle互聯網目錄(oid)是作為一個運行在oracle數據庫10g上的應用程序來實施的，使 oid能夠在一個單一服務器上或者某個網格中的各個節點上支持數t字節的目錄信息。 oracle數據庫10g憑借諸如虛擬私有數據庫等這樣強大的功能來保護原始數據。重要的數據庫安全性特性包括:

　　企業用戶安全性。oracle數據庫10g的企業用戶安全性特性，涵蓋企業訪問權限管理和共享的模式(schemas)，允許每個用戶訪問數據，同時支持在oracle互聯網目錄中進行集中的用戶管理。 用戶權限(由角色來體現)和對象約束條件(由訪問控制清單來體現)可以存儲在oid 數據庫中。

　　虛擬私有數據庫。虛擬私有數據庫(vpd)允許開發人員將安全政策附加到應用程序表、視圖或同義詞中。 安全性政策可以使用安全應用上下文(secure application context)來確定如何運用這個政策。 oracle數據庫10g還在虛擬私有數據庫中引入了與列相關的安全性政策執行機制，以及可以選擇的列遮蔽機制。

　　oracle標簽安全性。oracle數據庫10g允許在oracle身份管理基礎設施中集中創建oracle 標簽安全性政策。通過使用oracle互聯網目錄，人們可以在一個集中的位置創建oracle標簽安全性政策，從而簡化在企業或網格中的所有數據庫中進行安全性保障和管理的過程。可以在一個位置管理機構的敏感性標簽及應用程序用戶安全性許可證。

　　細粒度的審計。任何有效的安全性政策的一個重要方面都是維護系統的活動記錄，來確保用戶對自己的行為負責。 oracle在oracle數據庫的現有強大而全面的審計功能的基礎上，又納入了細粒度的審計功能。如果用戶錯誤地使用了數據訪問權限，則這種功能可以作為機構的預警系統，也可以作為對數據庫本身入侵的檢測系統。

　　代理認證。oracle數據庫10g支持代理認證，它通過允許將一個ssl證書(x.509證書或dn)傳送到數據庫來識別(而不是認證)用戶，從而提供三層安全性功能。該數據庫利用dn或證書，在oracle互聯網目錄或另一個基于ldap的目錄中查找用戶。代理認證與oracle企業用戶安全性的集成還使用戶身份能夠在一個應用程序的所有層面上得到維護，而對用戶只需在目錄中創建一次即可。

　　oracle高級安全性，oracle高級安全性利用企業現有的安全框架來提供一些功能強大的認證解決方案，其中包括kerberos、公共密鑰密碼技術、radius和針對oracle數據庫10g的分布式計算環境。本版本中的一項新功能是通過存儲在文件系統、oracle互聯網目錄或crl分部點(distribution points)中的證書撤銷清單來檢查x509v3證書撤銷信息的功能。