由於近來關注於數據庫安全方面,粗略地研究了下數據庫的自主訪問控制(DAC)和強制訪問控制(Mac),現把自己對ORACLE中DAC的理解寫出來,與大家分享,以上均Oracle文檔結合自己的理解,難免存在錯誤的地方,還請指正。
訪問控制是允許或者禁止某人訪問某資源的過程,數據庫中就是限制用戶對數據庫客體(如表、試圖等)的訪問。實現這種訪問控制一般是基於訪問控制列表(ACL),ACL一般記錄了who能訪問what以及how訪問。大多數據庫的將ACL以數據庫系統表的形式進行實現。下面具體介紹下Oracle中的權限相關系統表的設計。 Oracle中的權限分為兩種:系統權限和對象權限。 系統權限 系統權限包括數據庫管理權限和帶有ANY的權限。管理權限如ALTER DATABASE,CREATE USER等權限,這類權限是和DDL相關的權限。另一類帶有ANY的權限,如SELECT ANY TABLE,表示可以查詢所有表的權限,這類權限是全局DML相關的權限。查看所有的系統權限可以通過表SYSTEM_PRIVILEGE_MAP,該視圖顯示了權限名稱及其對應的值,通過表可以看出所有的系統權限的權限值均為負數。 記錄用戶的系統權限授權的信息主要存儲在系統表SYS.SYSAUTH$表中,可以通過DBMA_METADATA包獲取表的創建信息。
1SQL>select dbms_metadata.get_ddl('TABLE','SYSAUTH$','SYS') from dual;可以看到表字段信息,包含GRANTEE#,PRIVILEGE#,SEQUENCE#和OPTION$。GRANTEE#表示被授權者的UID,PRIVILEGE#表示被授權的權限值,OPTION$表示是此權限否可被轉授,SEQUENCE#個人感覺是時間戳的概念,對於這個的驗證放在後面。由此可見,系統權限和角色的授予,並不記錄授權者的信息。通過查詢這張表,可以看到PRIVILEGE#字段並不是上面所說的全是負數,還存在正數,不錯,這是因為這張表不僅僅存放了系統權限,還存放了角色的授予信息,如果授予角色的時候,PRIVILEGE#字段即為角色的ID,當然角色也可能被授予角色和系統權限,因此想通過簡單的SQL語句獲取一個用戶所擁有的所有的角色或所有的系統權限,會涉及到遞歸的查詢,大家可以想下如何構造這個SQL語句,(提示下:Oracle特有的CONNECT BY語法)。 由系統權限的系統表可以看出,對於系統權限,Oracle中並不記錄授權者的概念,這說明對系統權限的回收肯定是特定用戶進行的,由於沒有授權者的概念,當然也就沒有了級聯回收系統權限的情況,這裡SEQUENCE#字段作為時間戳貌似也沒有太大的意義了。 對象權限 對象權限主要記錄用戶被賦予某對象的某種權限,如用戶A被授予表TB1的SELECT權限。由此可見,對象權限系統表需要具有如下幾個字段:授權者,被授予者,對象,權限類型,轉授標記。對象權限系統表是SYS.OBJAUTH$,首先來看表定義。
2DBMS_METADATA.GET_DDL('TABLE','SYSAUTH$','SYS')
3------------------------------------------------------------------------
4CREATETABLE "SYS"."SYSAUTH$"
5 ( "GRANTEE#" NUMBERNOTNULL ENABLE,
6 "PRIVILEGE#" NUMBERNOTNULL ENABLE,
7 "SEQUENCE#" NUMBERNOTNULL ENABLE,
8 "OPTION$" NUMBER
9 ) PCTFREE 10 PCTUSED 40 INITRANS 1 MAXTRANS 255 NOCOMPRESS LOGGING
10 STORAGE(INITIAL 65536NEXT1048576 MINEXTENTS 1 MAXEXTENTS 2147483645
11 PCTINCREASE 0 FREELISTS 1 FREELIST GROUPS 1 BUFFER_POOL DEFAULT)
12 TABLESPACE "SYSTEM"
1SQL>select dbms_metadata.get_ddl('TABLE','OBJAUTH$','SYS') from dual;系統表中存在並不是所猜想的那麼幾個字段,除了對象(OBJ#),授權者(GRANTOR#),被授予者(GRANTEE#),具體權限(PRIVELGE#),轉授標志(OPTION$)外,還具有SEQUENCE#,PARENT和COL#,SEQUENCE#應該還是時間戳,COL#是指在進行列級授權時記錄的列號,在對表進行授權時,可以指定列,如GRANT SELECT(C1) ON T1 TO U1。至於PARENT還有待考證啊。 以上從總體上粗略的介紹了Oracle中權限相關的系統表以及系統表中字段的意義,當然有些字段是個人猜測,沒有什麼依據,還有待進行實驗證明。
2
3DBMS_METADATA.GET_DDL('TABLE','OBJAUTH$','SYS')
4----------------------------------------------------------------------
5CREATETABLE "SYS"."OBJAUTH$"
6 ( "OBJ#" NUMBERNOTNULL ENABLE,
7 "GRANTOR#" NUMBERNOTNULL ENABLE,
8 "GRANTEE#" NUMBERNOTNULL ENABLE,
9 "PRIVILEGE#" NUMBERNOTNULL ENABLE,
10 "SEQUENCE#" NUMBERNOTNULL ENABLE,
11 "PARENT" ROWID,
12 "OPTION$" NUMBER,
13 "COL#" NUMBER
14 ) PCTFREE 10 PCTUSED 40 INITRANS 1 MAXTRANS 255 NOCOMPRESS LOGGING