Oracle自主访问控制机制系统表研究

数据库 Oracle 数据库运维
笔者近来关注于数据库安全方面,粗略地研究了下数据库的自主访问控制(DAC)和强制访问控制(MAC),在此写下自己对Oracle中DAC的理解,与大家分享。

本人近来关注于数据库安全方面,粗略地研究了下数据库的自主访问控制(DAC)和强制访问控制(MAC),现把自己对Oracle中DAC的理解写出来,与大家分享,以上均Oracle文档结合自己的理解,难免存在错误的地方,还请指正。

访问控制是允许或者禁止某人访问某资源的过程,数据库中就是限制用户对数据库客体(如表、试图等)的访问。实现这种访问控制一般是基于访问控制列表(ACL),ACL一般记录了who能访问what以及how访问。大多数据库的将ACL以数据库系统表的形式进行实现。下面具体介绍下Oracle中的权限相关系统表的设计。

Oracle中的权限分为两种:系统权限和对象权限。

系统权限

系统权限包括数据库管理权限和带有ANY的权限。管理权限如ALTER DATABASE,CREATE USER等权限,这类权限是和DDL相关的权限。另一类带有ANY的权限,如SELECT ANY TABLE,表示可以查询所有表的权限,这类权限是全局DML相关的权限。查看所有的系统权限可以通过表SYSTEM_PRIVILEGE_MAP,该视图显示了权限名称及其对应的值,通过表可以看出所有的系统权限的权限值均为负数。

记录用户的系统权限授权的信息主要存储在系统表SYS.SYSAUTH$表中,可以通过DBMA_METADATA包获取表的创建信息。

  1. SQL> select dbms_metadata.get_ddl('TABLE','SYSAUTH$','SYS'from dual;   
  2. DBMS_METADATA.GET_DDL('TABLE','SYSAUTH$','SYS')   
  3. ------------------------------------------------------------------------   
  4. CREATE TABLE "SYS"."SYSAUTH$"   
  5. (    "GRANTEE#" NUMBER NOT NULL ENABLE,   
  6.       "PRIVILEGE#" NUMBER NOT NULL ENABLE,   
  7.       "SEQUENCE#" NUMBER NOT NULL ENABLE,   
  8.       "OPTION$" NUMBER   
  9. ) PCTFREE   
  10. PCTUSED 40 INITRANS 1 MAXTRANS 255 NOCOMPRESS LOGGING  
  11. STORAGE(INITIAL 65536 NEXT 1048576 MINEXTENTS 1 MAXEXTENTS 2147483645  
  12. PCTINCREASE 0 FREELISTS 1 FREELIST GROUPS 1 BUFFER_POOL DEFAULT)  
  13. TABLESPACE "SYSTEM"   
  14.  

可以看到表字段信息,包含GRANTEE#,PRIVILEGE#,SEQUENCE#和OPTION$。GRANTEE#表示被授权者的UID,PRIVILEGE#表示被授权的权限值,OPTION$表示是此权限否可被转授,SEQUENCE#个人感觉是时间戳的概念,对于这个的验证放在后面。由此可见,系统权限和角色的授予,并不记录授权者的信息。通过查询这张表,可以看到PRIVILEGE#字段并不是上面所说的全是负数,还存在正数,不错,这是因为这张表不仅仅存放了系统权限,还存放了角色的授予信息,如果授予角色的时候,PRIVILEGE#字段即为角色的ID,当然角色也可能被授予角色和系统权限,因此想通过简单的SQL语句获取一个用户所拥有的所有的角色或所有的系统权限,会涉及到递归的查询,大家可以想下如何构造这个SQL语句,(提示下:Oracle特有的CONNECT BY语法)。

由系统权限的系统表可以看出,对于系统权限,Oracle中并不记录授权者的概念,这说明对系统权限的回收肯定是特定用户进行的,由于没有授权者的概念,当然也就没有了级联回收系统权限的情况,这里SEQUENCE#字段作为时间戳貌似也没有太大的意义了。

对象权限

对象权限主要记录用户被赋予某对象的某种权限,如用户A被授予表TB1的SELECT权限。由此可见,对象权限系统表需要具有如下几个字段:授权者,被授予者,对象,权限类型,转授标记。对象权限系统表是SYS.OBJAUTH$,首先来看表定义。

  1. SQL> select dbms_metadata.get_ddl('TABLE','OBJAUTH$','SYS'from dual;   
  2.    
  3. DBMS_METADATA.GET_DDL('TABLE','OBJAUTH$','SYS')   
  4. ----------------------------------------------------------------------   
  5. CREATE TABLE "SYS"."OBJAUTH$"   
  6.  (    "OBJ#" NUMBER NOT NULL ENABLE,   
  7.       "GRANTOR#" NUMBER NOT NULL ENABLE,   
  8.       "GRANTEE#" NUMBER NOT NULL ENABLE,   
  9.       "PRIVILEGE#" NUMBER NOT NULL ENABLE,  
  10.       "SEQUENCE#" NUMBER NOT NULL ENABLE,  
  11.       "PARENT" ROWID,  
  12.       "OPTION$" NUMBER,  
  13.       "COL#" NUMBER  
  14.  ) PCTFREE 10 PCTUSED 40 INITRANS 1 MAXTRANS 255 NOCOMPRESS LOGGING  
  15.  

系统表中存在并不是所猜想的那么几个字段,除了对象(OBJ#),授权者(GRANTOR#),被授予者(GRANTEE#),具体权限(PRIVELGE#),转授标志(OPTION$)外,还具有SEQUENCE#,PARENT和COL#,SEQUENCE#应该还是时间戳,COL#是指在进行列级授权时记录的列号,在对表进行授权时,可以指定列,如GRANT SELECT(C1) ON T1 TO U1。至于PARENT还有待考证啊。

以上从总体上粗略的介绍了Oracle中权限相关的系统表以及系统表中字段的意义,当然有些字段是个人猜测,没有什么依据,还有待进行实验证明。有对此了然的园友,望不吝赐教,感激不尽啊。

原文链接:http://www.cnblogs.com/nocode/archive/2011/03/14/1984265.html

 

【编辑推荐】

  1. Oracle数据库设计规范化的前两个要求
  2. Oracle PLM助力企业提高产品创新能力
  3. 对Oracle数据库设计中字段的正确使用方案
  4. Oracle数据库设计提升性能的五条法则
  5. Oracle数据库设计要做到五戒
责任编辑:艾婧 来源: 博客园
相关推荐

2011-03-10 15:22:08

访问控制机制Java

2012-07-10 10:27:58

2012-06-29 15:01:46

2012-05-09 09:09:58

访问控制

2010-04-19 14:23:34

Oracle增加表分区

2010-04-20 13:44:58

Oracle强制访问

2010-04-12 16:24:15

Oracle表查询

2010-04-20 13:54:24

Oracle强制访问

2011-02-22 15:51:41

2010-04-19 09:35:58

Oracle细粒度

2010-10-28 16:17:22

2010-11-19 13:59:25

oracle告警日志

2010-04-20 14:18:23

2012-01-10 10:05:47

文件目录访问控制UGO

2023-10-24 20:41:28

物联网控制系统

2018-02-02 12:05:50

2023-05-24 14:58:23

2023-10-16 12:42:00

物联网IOT

2023-07-13 12:27:04

2010-11-15 15:44:11

Oracle文件系统
点赞
收藏

51CTO技术栈公众号