VPD(Virtual Private Database)

最新推荐文章于 2021-10-22 08:20:26 发布
原创 最新推荐文章于 2021-10-22 08:20:26 发布
· 1.9k 阅读 · 0 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ios

本文详细介绍了在Oracle中使用VPD(Virtual Private Database)实现行级安全策略的过程,包括创建用户、上下文、登录触发器、安全策略,并展示了如何在不同用户之间限制数据访问权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

VPD可以直接在表,视图和同义词上实施安全策略,提供行或列级别的安全性

VPD可应用于SELECT, INSERT, UPDATE, INDEX和DELETE命令

VPD是在SQL访问受VPD保护的对象时,SQL被动态地修改加入限制where条件

  1. 创建用户并授权

conn sys/oracle as sysdba

grant create session to adams identified by john7;

grant create session to burlington identified by newj2;

grant create session to practice identified by practice;

grant resource to practice;

grant create any context, create public synonym to practice;

grant create any procedure to practice;

grant unlimited tablespace to practice;

grant execute on dbms_rls to practice;

connect practice/practice

create table stock_account(account number(10), account_longname varchar2(50));

insert into  stock_account values (1234,'ADAMS');

insert into  stock_account values (7777,'BURLINGTON');

create table stock_trx( account number(10), symbol varchar2(20), price number(6,2), quantity number(6), trx_flag varchar2(1));

insert into stock_trx values(1234,'ADSP',31.75, 100, 'b');

insert into stock_trx values(7777,'ADSP',31.50,300,'s');

insert into stock_trx values(1234,'ADSP',31.55, 100,'b');

insert into stock_trx values(7777,'OCKS',21.75, 1000, 'b');

commit;

  1. 创建应用上下文

connect practice/practice

create context practice using practice.context_package;

create or replace package context_package as

  procedure set_context;

end;

/

create or replace package body context_package is

  procedure set_context is

    v_user varchar2(30);

    v_id number;

  begin

    dbms_session.set_context('PRACTICE','SETUP','TRUE');

    v_user := sys_context('USERENV','SESSION_USER');

    begin

      select account into v_id from stock_account where account_longname = v_user;

      dbms_session.set_context('PRACTICE','USER_ID',v_id);

    exception

      when no_data_found then

        dbms_session.set_context('PRACTICE','USER_ID',0);

    end;

    dbms_session.set_context('PRACTICE','SETUP','FALSE');

  end set_context;

end context_package;

/

grant execute on practice.context_package to public;

create public synonym context_package for practice.context_package;

  1. 创建登录触发器

conn sys/oracle as sysdba

create or replace trigger practice.set_security_context

after logon on database

begin

  practice.context_package.set_context;

end;

/

测试:

conn adams/john7

select sys_context('USERENV','SESSION_USER') username, sys_context('PRACTICE','USER_ID') id from dual;

  1. 创建安全策略

connect practice/practice

create or replace package security_package as

  function stock_trx_insert_security(owner varchar2, objname varchar2)

    return varchar2;

  function stock_trx_select_security(owner varchar2, objname varchar2)

    return varchar2;

end security_package;

/

create or replace package body security_package is

  function stock_trx_select_security(owner varchar2, objname varchar2)

  return varchar2 is

     predicate varchar2(2000);

  begin

     predicate := '1=2';

     if (sys_context('USERENV','SESSION_USER') = 'PRACTICE') then

        predicate := null;

     else

        predicate := 'account = sys_context(''PRACTICE'',''USER_ID'')';

     end if;

     return predicate;

  end stock_trx_select_security;

  function stock_trx_insert_security(owner varchar2, objname varchar2)

    return varchar2 is

      predicate varchar2(2000);

    begin

      predicate := '1=2';

      if (sys_context('USERENV','SESSION_USER') = 'PRACTICE') then

        predicate := null;

      else

        predicate := 'account = sys_context(''PRACTICE'',''USER_ID'')';

      end if;

   return predicate;

  end stock_trx_insert_security;

end security_package;

/

grant execute on practice.security_package to public;

create public synonym security_package for practice.security_package;

  1. 将安全策略应用于表

begin

dbms_rls.add_policy('PRACTICE','STOCK_TRX','STOCK_TRX_INSERT_POLICY','PRACTICE','SECURITY_PACKAGE.STOCK_TRX_INSERT_SECURITY','INSERT',TRUE);  dbms_rls.add_policy('PRACTICE','STOCK_TRX','STOCK_TRX_SELECT_POLICY','PRACTICE','SECURITY_PACKAGE.STOCK_TRX_SELECT_SECURITY','SELECT');

end;

/

  1. 测试VPD

conn practice/practice

grant all on stock_trx to public;

connect adams/john7

select * from practice.stock_trx;

   ACCOUNT SYMBOL                    PRICE   QUANTITY T

---------- -------------------- ---------- ---------- -

      1234 ADSP                      31.75        100 b

      1234 ADSP                      31.55        100 b

insert into practice.stock_trx values(7777,'ADSP',31.5, 100, 'B');

ORA-28115: policy with check option violation

connect burlington/newj2

select * from practice.stock_trx;

   ACCOUNT SYMBOL                    PRICE   QUANTITY T

---------- -------------------- ---------- ---------- -

      7777 ADSP                       31.5        300 s

      7777 OCKS                      21.75       1000 b

connect scott/tiger

select * from practice.stock_trx;

no rows selected

  1. 使用列级别限制

connect practice/practice

begin

  dbms_rls.add_policy

      (object_schema=>'PRACTICE',

       object_name=>'STOCK_TRX',

       policy_name=>'STOCK_TRX_SELECT_POLICY2',

       function_schema=>'PRACTICE',

       policy_function=>'SECURITY_PACKAGE.STOCK_TRX_SELECT_SECURITY',

       sec_relevant_cols=>'Price');

end;

/

列屏蔽只是查询时不显示列,不用于DML,因此屏蔽列必须支持显示NULL值

  1. 如何禁用VPD

按上面反向操作即可,使用DBMS_RLS.DROP_POLICY,删除触发器,选择性删除其它程序包:

exec dbms_rls.drop_policy('PRACTICE','STOCK_TRX','STOCK_TRX_INSERT_POLICY');

exec dbms_rls.drop_policy('PRACTICE','STOCK_TRX','STOCK_TRX_SELECT_POLICY');

drop trigger practice.set_security_context;

  1. 使用策略组

可以将相同表的策略添加到策略组中,在策略组中启用策略

默认所有表策略均属于sys_default策略组中,它不能删除

添加策略组:

desc dbms_rls

PROCEDURE CREATE_POLICY_GROUP

 Argument Name                  Type                    In/Out Default?

 ------------------------------ ----------------------- ------ --------

 OBJECT_SCHEMA                  VARCHAR2                IN     DEFAULT

 OBJECT_NAME                    VARCHAR2                IN

 POLICY_GROUP                   VARCHAR2                IN

PROCEDURE ADD_GROUPED_POLICY

 Argument Name                  Type                    In/Out Default?

 ------------------------------ ----------------------- ------ --------

 OBJECT_SCHEMA                  VARCHAR2                IN     DEFAULT

 OBJECT_NAME                    VARCHAR2                IN

 POLICY_GROUP                   VARCHAR2                IN     DEFAULT

 POLICY_NAME                    VARCHAR2                IN

 FUNCTION_SCHEMA                VARCHAR2                IN     DEFAULT

 POLICY_FUNCTION                VARCHAR2                IN

 STATEMENT_TYPES                VARCHAR2                IN     DEFAULT

 UPDATE_CHECK                   BOOLEAN                 IN     DEFAULT

 ENABLE                         BOOLEAN                 IN     DEFAULT

 STATIC_POLICY                  BOOLEAN                 IN     DEFAULT

 POLICY_TYPE                    BINARY_INTEGER          IN     DEFAULT

 LONG_PREDICATE                 BOOLEAN                 IN     DEFAULT

 SEC_RELEVANT_COLS              VARCHAR2                IN     DEFAULT

 SEC_RELEVANT_COLS_OPT          BINARY_INTEGER          IN     DEFAULT

使用时在下面步骤指定:

exec dbms_session.set_context('PRACTICE','SETUP','policy_group');

oracle vpd策略,oracle vpd 策略查询
weixin_34771903的博客
04-10 1080
Oracle VPD策略示例 - abce - 博客园2015年12月14日Oracle VPD策略示例 1.未创建前使用oe用户登录查询: + View Code + View Code 2.创建VPD策略 以sys用户用sysdba权限登录pdb2 2.1.创建策略函数 + View...oracle vpd 策略查询_文档之家这与Oracle VPD 的实现相反,Oracle VPD 的实...
[Oracle] 数据库安全之 - 虚拟私有数据库 (VPD
Zhu_Julian's Notes (朱显杰的技术博客)
06-09 4411
Oracle的安全分为四大部分,分别是用户管理、访问控制、数据保护和监控,具体可参考《[Oracle] 数据库安全概述》http://blog.youkuaiyun.com/u010415792/article/details/9008089 今天着重讲讲访问控制中一种常见的技术VPDVPD的全称是Virtual Private Database 虚拟私有数据库,它在Oracle 8i时就出现了,是Ora
ORACLE Virtual Private DatabaseVPD
rfb0204421的专栏
08-13 1697
行记录级访问控制(ROW-RULE control)问题的提出和意义?        企业的应用系统都离不开数据库系统,数据库系统的权限控制是很重要的一个环节,大型数据库系统(ORACLE、DB2、SYBASE、MS SQLSERVER)都提供完善的用户管理机制,从而可以严密地控制数据库对象(表、视图、函数、存储过程、程序包等等)的访问。但是,这往往是对象级别的。          随着
vpd
cuidiefan5031的博客
09-28 333
看不懂什么叫VPD,各位有用过吗 看了如下文章,如同云里雾里,谁能点拨一下吗,听说8I 就有了VPD了,下面的,真的好难理解。第 14 周虚拟专用数据库 五种类型的策略、列相关策略以及列屏蔽使得 VPD 成为 DBA 的安...
mysql实现vpd_VPD(Virtual Private Database) 简单演示
weixin_32127545的博客
01-19 350
VPDVirtual Private Database , 是一种限制对数据库信息细粒度的访问控制技术。实现的关键在于:RLS(Row Level Security) 行级权限控制,通过 ORACLE 的 存储过程:dbms_rls.add_policy 实现.实现原理:查询时在 WHERE 语句后 加上 'AND ...', 该功能由策略函数实现。下面用PL/SQL 简单举例演示。--创建测...
Oracle Virtual Private Database(VPD)初体验
Lumen专注Oracle EBS
02-02 996
前几周初略学习了Oracle的VPD技,做了几个试验,也在EBS系统上测试了一下。总结如下,有些内容摘自网络。 在数据库的数据安全访问的解决上,有很多的方法来解决权限的问题,常用的方法例如建立视图的方法控制,例如查询语句中加where语句来控制。用view的方法在表结构或者权限变更的时候很不容易操作,编码工作量大、系统适应用户管理体系的弹性空间较小,一旦权限逻辑发生变动,就可能需要修改权限体系,
Oracle_VPD:在Oracle VPD中下载
02-14
Oracle VPD,全称为Virtual Private Database(虚拟私有数据库),是Oracle数据库的一种安全特性,它允许数据库管理员在数据库级别实施细粒度的访问控制。VPD技术通过在SQL语句中动态插入额外的条件,实现了数据级别...
PCIe VPD (Vital Product Data) 介绍
MangoPapa
10-22 1万+
本文介绍了PCIe VPD 机制的目的、机制以及使用方法
VPD
AndrewChen的专栏
12-06 1011
--1、在APPS中创建表,赋权给PO, ONT用户 createtable hand_vpd_test_tb1 (column1  varchar2(30),  db_user  varchar2(30)  ) grantselect ,insert, update on hand_vpd_test_tb1 to po,ont;     --2、创建策略函数package -
Virtual Private Database学习
In-Memory Computing Technology
05-29 289
Oracle-Base上的这篇文章非常好,整个看懂了。 整个也执行了一遍,要求有HR sample schema。另外,唯一需要改的就是需要赋予HR用户以下权限,这和我的数据库版本为12c有关: SQL> grant administer database trigger to hr; 在OLL上的资源包括: Restricting Data Access Using Virtual ...
使用Virtual Private Database实现细粒度访问控制
cuchou5321的博客
07-20 229
数据安全一直应用系统开发的重点,Oracle VPDVirtual Private Database)就是从数据库层面实现数据访问控制的一种成熟技术。借助VPD,一些已经上线或者不容易进行二次开发的功能可以比较容易的解决...
Oracle的VPD介绍
weixin_33998125的博客
05-29 368
1、什么是VPD?虚拟专用数据库 (VPD) 提供了角色和视图无法提供的行级访问控制。对于互联网访问,虚拟专用数据库可以确保在线银行的客户只能看到他们自己的帐户。Web 托管公司可以在同一Oracle 数据库中维护多个公司的数据,但只允许每个公司查看其自身数据。在企业内部,虚拟数据库可在应用程序部署方面降低拥有成本。可以在数据库服务器一次实现安全性,而不用在访问数据的每个应用...
数据库安全 Oracle之虚拟私有数据库VPD
金溪的博客
09-14 625
VPD的全称是Virtual Private Database 虚拟私有数据库,它在Oracle 8i时就出现了,是Oracle比较早期的一种数据安全手段。 它是指通过指定策略,对用户的SQL自动添加过滤谓词,以达到对结果集进行过滤的目的。 其大致过程如下:用户发出SQL语句访问表中数据,此时触发定义在该表上的安全策略,该安全策略会在相应的列上加上Where谓词条件,最终返回给用户的是过滤后的...
VPD】使用Oracle VPDVirtual Private Database)限制用户获取数据的范围
cuanchuwei1207的博客
09-07 262
VPD全称Virtual Private Database,这个技术提供了对数据库信息的细粒度访问控制。关于VPD的更多描述性信息可通过Oracle官方文档获得:http://download.oracle.com/docs/c...
vpd虚拟专用数据库
01-18 207
前段时间接手了个小开发工作,自己jsp技术太烂,太耗时间了。以至于都没空写oracle日志了,也没keep studying on my oracle 到年底了,学校放寒假了,最近几个出差的哥们也不用出差了,因此晚上大家可以聚...
达梦虚拟专用数据库(VPD)技术
键盘上的艺术
02-27 1328
一、VPD概述 在某些系统中,权限控制必须定义到数据行访问权限的控制,此需求一般出现在同一系统中,不同的相对独立机构使用的情况。 比如,集团下属多个子公司,所有子公司使用同一套数据表,但不同子公司的数据相对隔离,也就是每个子公司的人员只能查看、操作本公司的数据。面对这种情况,绝大多数人会选择在表或视图加上WHERE子句来进行数据隔离。但此方法的缺点是编码工作量大、系统适应用户管理体系的弹性空间较小...
ORACLE 的Virtual Private Database的全新体验
loverong的专栏
06-22 1206
1、ROW-RULE control(行记录级访问控制)的简单概念:行记录级访问控制问题的提出和意义?企业的应用系统都离不开数据库系统,数据库系统的权限控制是很重要的一个环节,大型数据库系统(ORACLE、DB2、SYBASE、MS SQLSERVER)都提供完善的用户管理机制,从而可以严密地控制数据库对象(表、视图、函数、存储过程、程序包等等)的访问。但是,这往往是对象级别的。随着商务需求地不断
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值