随着数据库技术的应用越来越广泛,使用数据库的用户数量的增多以及数据内容的敏感程度的加强,数据库的安全也变得更加重要。为了保证数据库中的数据不受到非授权的查看和修改,必须控制用户对数据的访问。细粒度访问控制也就是虚拟专用数据库,它提供强大的行级安全功能。
细粒度访问控制的工作方法是,通过透明地更改对数据的请求,基于一系列定义的标准向用户提供表的局部视图。在运行时,所有查询都附加了谓词,以便筛选出准许用户看到的行。例如,如果只允许用户查看帐户管理员admin的帐户,则细粒度访问控制设置自动地将查询:
select * from accounts;
where am_name = 'admin';
DBA在表ACCOUNTS上设置了一项安全策略。该策略具有一个相关函数,称为policy function,它返回一个用作谓词的字符串where am_name = 'admin'。
生成谓词所需的重复分析是一种在某些情况下可以进行修整的开销。例如,在大部分实际情况中,谓词并不象 am_name = 'SCOTT' 那样是静态的;它基于用户的身份、用户的权限级别、用户向哪个帐户管理员进行报告等情况,可能更具有动态性。由策略函数创建并返回的字符串可能会具有很强的动态性,而为了保证其结果,Oracle必须每次重新执行策略函数,既浪费资源又降低性能。在这种类型的策略中,谓词每次执行时可能会有很大的差别,该策略称为“动态”策略,在Oracle9i数据库以及以前的版本中已经提供了这种策略。
除了保留动态策略之外,Oracle数据库10g还基于谓词的构造推出了几种新类型的策略,为提高性能提供了更好的控制:context_sensitive、shared_context_sensitive、shared_static和stATIc。现在,让我们来了解每种策略类型的意义以及如何在适当的场合中使用它们。
共有条评论 网友评论