Oracle 的Virtual PRivate Database的全新體驗(yàn)
===============================================
歡迎大家同我交流:小白 enhydra_boy@tom.com
歡迎轉(zhuǎn)載,請保留本聲明,謝謝!
================================================
在開始對ORACLE的Virtual Private Database的介紹之前,筆者想就ROW-RULE control(行記錄級訪問控制)的概念簡單地說幾句。
行記錄級訪問控制問題的提出和意義?
企業(yè)的應(yīng)用系統(tǒng)都離不開數(shù)據(jù)庫系統(tǒng),數(shù)據(jù)庫系統(tǒng)的權(quán)限控制是很重要的一個(gè)環(huán)節(jié),大型數(shù)據(jù)庫系統(tǒng)(ORACLE、DB2、SYBASE、MS SQLSERVER)都提供完善的用戶治理機(jī)制,從而可以嚴(yán)密地控制數(shù)據(jù)庫對象(表、視圖、函數(shù)、存儲過程、程序包等等)的訪問。但是,這往往是對象級別的。
隨著商務(wù)需求地不斷地提出,出現(xiàn)了對于行記錄控制的要求:
1) 數(shù)據(jù)查詢和報(bào)表輸出數(shù)據(jù)需要能夠進(jìn)行有效地隔離,如在一個(gè)簡單地銷售數(shù)據(jù)統(tǒng)計(jì)應(yīng)用中,大區(qū)經(jīng)理、地區(qū)經(jīng)理和銷售員查詢的數(shù)據(jù)就不同。
2) asp(應(yīng)用服務(wù)供給商)系統(tǒng)出現(xiàn),在系統(tǒng)結(jié)構(gòu)上,就出現(xiàn)了許多企業(yè)用戶的數(shù)據(jù)都會存放在同一個(gè)數(shù)據(jù)庫種,但是系統(tǒng)需要能夠有效地隔離。
為了滿足這樣的需求,在業(yè)務(wù)數(shù)據(jù)表需要中加上一些字段來進(jìn)行控制,應(yīng)用的開發(fā)往往會另行開發(fā)很多代碼來實(shí)現(xiàn)行記錄控制。但是,隨著業(yè)務(wù)的變化,我們會發(fā)現(xiàn)開發(fā)和維護(hù)這種治理需求的成本越來越高。
我們需要尋找一種新的解決方案,能夠使應(yīng)用系統(tǒng)的架構(gòu)設(shè)計(jì)簡單,擴(kuò)展性強(qiáng),治理和維護(hù)的成本很低。
ORACLE8i的一個(gè)新特性Virtual Private Database
ORACLE 8i提供了一個(gè)新的特性,來實(shí)現(xiàn)行級規(guī)則的控制,稱之為Virtual Private Database。充分利用8i提供的Virtual Private Database技術(shù),可以實(shí)現(xiàn),一個(gè)數(shù)據(jù)庫Schema的數(shù)據(jù)同時(shí)給多個(gè)數(shù)據(jù)庫用戶訪問,但是又能很好地隔離各自的數(shù)據(jù)內(nèi)容。顯然,這已經(jīng)不是原來的對象級的控制的概念。
下面是筆者的體驗(yàn),寫下來,供大家參考。我先通過一個(gè)簡單的例子,來說明ORACLE 8i的這個(gè)新特性(需ORACLE 8i的企業(yè)版才支持)。
環(huán)境:windows 2000 Server + ORACLE 8.1.7(Enterprise Edition)
在SCOTT用戶下,有一個(gè)Customers表,記錄著客戶資料,以后為每個(gè)客戶分配一個(gè)ORACLE數(shù)據(jù)庫登陸賬號,客戶可以登陸,查詢自己的訂單情況。那么,我們需要做的就是能夠把每個(gè)登陸賬號和客戶代碼對應(yīng)起來。就是說要實(shí)現(xiàn)一個(gè)映射關(guān)系,當(dāng)然,通過自己建關(guān)系映射表,寫代碼做,也可以實(shí)現(xiàn),但是ORACLE 8I把這一切變地非常簡單(我接下來的介紹都會圍繞著ORACLE 8i這項(xiàng)技術(shù)是我們的工作如何更加簡單,如何更加輕易控制,請記住,這是筆者寫這篇文章的目的)。
--建立一個(gè)SECUSR的賬號,用于權(quán)限控制用
connect system/manager@oracle;
create user secusr identified by secusr;
grant connect,resource,dba to secusr;
--把Customers的查詢權(quán)利賦予secusr
connect scott/tiger@oracle;
grant select on "Customers" to secusr;
--連接到secusr用戶
connect secusr/secusr@oracle;
--創(chuàng)建上下文
create context Customer_context USING secusr.CUSTOMER_SECURITY_CONTEXT;
--創(chuàng)建程序包c(diǎn)ustomer_security_context
create or replace package
secusr.customer_security_context is
procedure set_customerid;
end;
create or replace package body
secusr.Customer_security_context is
procedure set_customerid is
begin
IF SYS_CONTEXT('USERENV','session_USER')='SCOTT' THEN
DBMS_SESSION.SET_CONTEXT('customer_context','customerid','ALFKI');
END IF;
end;
end;
--授權(quán)
grant execute on secusr.Customer_security_context to public;
ORACLE 8i中提供了Context(連接上下文)的概念,類似于asp中的session,你可以為當(dāng)前這個(gè)連接設(shè)置多個(gè)全局變量,記錄信息,這個(gè)信息一直保持到連接被釋放。
上面的代碼,就是為用SCOTT賬號登陸的連接,進(jìn)行了一次客戶代碼的映射(SCOTT->ALFKI),而且,隨時(shí)可以SYS_CONTEXT來查詢。
具體代碼如下:
SQL> connect scott/tiger@oracle;
已連接。
SQL> execute secusr.Customer_security_context.set_customerid;
PL/SQL 過程已成功完成。
SQL> select SYS_CONTEXT('CUSTOMER_CONTEXT','CUSTOMERID') FROM DUAL;
SYS_CONTEXT('CUSTOMER_CONTEXT','CUSTOMERID')
--------------------------------------------------------------------------------
ALFKI
但是,我覺的還不夠,能夠做到每個(gè)連接建立的時(shí)候,就自動(dòng)完成這種映射,令人興奮的是,ORACLE 8i提供了系統(tǒng)級的觸發(fā)器,讓我輕松地實(shí)現(xiàn)。
--SCOTT用戶登陸觸發(fā)器
connect system/manager@oracle
CREATE OR REPLACE TRIGGER scott.tg_set_usr_context
AFTER LOGON ON DATABASE
BEGIN
secusr.customer_security_context.set_customerid;
END;
--斷掉connection,重新登陸
Oracle8i Enterprise Edition Release 8.1.7.0.0 - ProdUCtion
With the Partitioning option
JServer Release 8.1.7.0.0 - Production
SQL> CONNECT scott/tiger@oracle
已連接。
SQL> select SYS_CONTEXT('CUSTOMER_CONTEXT','CUSTOMERID') FROM DUAL;
SYS_CONTEXT('CUSTOMER_CONTEXT','CUSTOMERID')
--------------------------------------------------------------------------------
ALFKI
SQL>
好了,夠簡單吧。
采用Virtual Private Database如何達(dá)到SQL DML上的數(shù)據(jù)控制訪問要求呢?
Virtual Private Database技術(shù)可以對一張表的記錄設(shè)置DML操作的過濾策略。ORACLE8i提供了POLICY的概念,并且為此配備了一套系統(tǒng)程序包,來完成設(shè)置。下面,我來介紹一下:
connect secusr/secusr@oracle
--做一個(gè)函數(shù),返回對應(yīng)的過濾條件
create or replace package secusr.customer_security is
function customer_sec
return VARCHAR2;
end;
create or replace package body secusr.customer_security
is
function customer_sec(d1 varchar2,d2 varchar2)
return varchar2
IS
begin
IF SYS_CONTEXT('USERENV','SESSION_USER') IN ('SYS','SYSTEM','SECUSR') THEN
RETURN NULL;
ELSE
RETURN 'customerid=''' SYS_CONTEXT('CUSTOMER_CONTEXT','CUSTOMERID') '''';
END IF;
end;
end;
--設(shè)置表數(shù)據(jù)的分割過濾
EXECUTE DBMS_RLS.ADD_POLICY('SCOTT','"Customers"','Customers_sec_Policy',
'SECUSR',
'customer_security.customer_sec',
'SELECT,UPDATE,DELETE');
customer_security程序包的customer_sec函數(shù)實(shí)現(xiàn)了,根據(jù)但前的CONTEXT中CUSTOMERID的內(nèi)容,來返回一個(gè)過濾的策略,函數(shù)的參數(shù)形式是固定的。
通過dbms_rls程序包的ADD_POLICY過程,把策略條件同表綁定以來,以后,每次select,update,delete都會自動(dòng)應(yīng)用這個(gè)策略。
好了,現(xiàn)在我們來測試一下
--用SCOTT登陸,只能看到自己的信息
SQL> connect scott/tiger@oracle;
已連接。
SQL> select customerid,city from "Customers";
CUSTOMERID CITY
---------- ------------------------------
ALFKI Berlin
--用SYSTEM登陸,可以看到所有的
SQL> connect system/manager@oracle;
已連接。
SQL> select customerid,city from "SCOTT"."Customers";
CUSTOMERID CITY
---------- ------------------------------
ALFKI Berlin
ANATR México D.F.
ANTON México D.F.
AROUT London
BERGS Lule? D.F.
BLAUS Mannheim
BLONP Strasbourg
BOLID Madrid
BONAP Marseille
BOTTM Tsawassen
BSBEV London
非常好,完全滿足了要求,現(xiàn)在可以放心地把SCOTT賬號給客戶(ALFKI)了,客戶可以查詢自己的訂單情況,當(dāng)然只能是自己的。
SQL> SELECT a.orderid,a.customerid,a.orderdate,
2 sum(c.UnitPrice*c.Quantity*(1-c.Discount)) as TotalMoney
3 FROM "Orders" a,"Customers" b ,"Order Details" c
4 where a.customerid=b.customerid and a.orderid=c.orderid
5 group by a.orderid,a.customerid,a.orderdate;
ORDERID CUSTOMERID ORDERDATE TOTALMONEY
---------- ---------- ---------- ----------------------------------------
10643 ALFKI 25-8月 -97 814.5
10692 ALFKI 03-10月-97 878
10702 ALFKI 13-10月-97 330
10835 ALFKI 15-1月 -98 845.8
10952 ALFKI 16-3月 -98 471.2
11011 ALFKI 09-4月 -98 933.5
已選擇6行。
下面,讓我總結(jié)一下Virtual Private Database的優(yōu)點(diǎn):
l 提供了一種可行的、可靠的、對用戶完全透明的行規(guī)則控制方案
同自己建立一套用戶控制權(quán)限不同,Virtual Private Database對用戶是透明的,你的應(yīng)用程序不用去考慮這點(diǎn),你的應(yīng)用程序需要的是更加集中于你的業(yè)務(wù)處理過程的實(shí)現(xiàn),而不要讓數(shù)據(jù)隔離控制,成為你業(yè)務(wù)處理的一個(gè)過程。你可以完全先開發(fā)功能應(yīng)用,然后再加上數(shù)據(jù)隔離的控制,而這種控制,是基于后臺數(shù)據(jù)庫系統(tǒng)的,這種變動(dòng)與現(xiàn)有的應(yīng)用程序完全兼容,不會引起現(xiàn)有的程序不能運(yùn)行
l 控制更加嚴(yán)密,不僅對于業(yè)務(wù)系統(tǒng)才有效
由于采取的是后臺數(shù)據(jù)庫技術(shù),所以這種控制,對所有的應(yīng)用(除了業(yè)務(wù)系統(tǒng),數(shù)據(jù)庫治理工具等等)都起到了控制作用。
相比之下,采用自己的權(quán)限控制的應(yīng)用中,只能做到在業(yè)務(wù)系統(tǒng)的應(yīng)用中有效,而其他(sqlplus,sqlplus worksheet等等)就完全沒有效果。而且大多系統(tǒng)都采用使用一個(gè)數(shù)據(jù)庫賬號登陸到系統(tǒng)的方案,在這種情況下,這個(gè)賬號對于業(yè)務(wù)數(shù)據(jù)庫一般來說操作權(quán)限很高,而這個(gè)賬號一旦泄漏,攻擊者利用sqlplus工具可以方遍地竊取數(shù)據(jù)。
l 和用應(yīng)用程序自己實(shí)現(xiàn)的方法相比,這種技術(shù)更加靈活,而且便于治理,同時(shí)開發(fā)成本也是最低的。
采用了這種行記錄控制技術(shù),不需要通過應(yīng)用程序?qū)崿F(xiàn),大大地簡化了應(yīng)用系統(tǒng)地復(fù)雜性,同時(shí)也讓你的系統(tǒng)的結(jié)構(gòu)很清楚,而出現(xiàn)錯(cuò)誤的可能性就更低了。當(dāng)然,你自己建立的控制系統(tǒng)也可以做到ORACLE 8i的功能,但是會大大加大開發(fā)成本。
l 對于ASP(應(yīng)用服務(wù)供給商)系統(tǒng),滿足了用戶數(shù)據(jù)存放在一起,但又能夠獨(dú)立分開訪問的要求。筆者覺得,這項(xiàng)技術(shù),對于構(gòu)建ASP應(yīng)用系統(tǒng)的用戶非凡有用,充分利用ORACLE提供的新技術(shù),讓你的系統(tǒng)更加安全、可靠。
總之,Virtual Private Database是一個(gè)功能強(qiáng)大的行級規(guī)則控制技術(shù),是ORACLE8i提供給我們的一個(gè)強(qiáng)有力的特性,充分地應(yīng)用,可以大大節(jié)省軟件開發(fā)成本。
筆者認(rèn)為Virtual Private Database技術(shù)是一個(gè)非常有用的技術(shù),而在SQL Server 2000和Sybase ASE 12.5中,沒有看到類似的技術(shù)。
