ORACLE提供了安全标记的功能,即OLS,也就是常说的强制访问控制。其模型是建立在BLP安全模型之上,并进行了扩展。
成都创新互联公司长期为成百上千家客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为双河企业提供专业的网站制作、网站建设,双河网站改版等技术服务。拥有十余年丰富建站经验和众多成功案例,为您定制开发。
BLP模型的元素是安全级别和范围,即可以对主客体进行安全级别和范围的设定,从而达到控制数据流动的目的,即向下读、向上写的规则。即用户可以读低于用户安全级别的数据,写高于用户安全级别的数据(当然还有范围的约定,这里不介绍了)。
ORACLE扩展了BLP模型,用户可以设置多个安全级别,通过如下接口:
- SA_USER_ADMIN.SET_LEVELS
- Syntax:
- PROCEDURE SET_LEVELS (policy_name IN VARCHAR2,
- user_name
- IN VARCHAR2,
- max_level
- IN VARCHAR2,
- min_level
- IN VARCHAR2 DEFAULT NULL,
- def_level
- IN VARCHAR2 DEFAULT NULL,
- row_level
- IN VARCHAR2 DEFAULT NULL);
- Parameter Meaning
- policy_name Specifies the policy
- user_name Specifies the user name
- max_level The highest level for read and write access
- min_level The lowest level for write access def_level Specifies the default level (equal to or
- greater than the minimum level, and equal to or less than the maximum level)
- row_level Specifies the row level (equal to or greater than the minimum level, and equal to or
可以看出,用户标记可以指定最大、最小、默认和行级四种安全级别。这些安全级别之间是有约束关系的
- min_level<=max_levelmin_level<=def_level<=max_levelmin_level<=row_level<=def_level
如果违法这种规则的话,执行此函数就会失败。了解了这么多之后,我们进行实践,以LBACSYS进行登录,执行如下语句
- --创建策略P1,并为策略添加安全级别,数值越大代表安全级别越高。
- --L1
- EXEC sa_sysdba.create_policy('P1','LABEL_COL');
- EXEC sa_components.create_level('P1', 10, 'L1', 'L1');
- EXEC sa_components.create_level('P1', 20, 'L2', 'L2');
- EXEC sa_components.create_level('P1', 30, 'L3', 'L3');
- EXEC sa_components.create_level('P1', 40, 'L4', 'L4');
- --给用户SYSMAN设置用户标记
- EXEC sa_user_admin.set_levels('P1','SYSMAN','L2', 'L1', 'L2', 'L2');
根据上面的介绍,这里设置的四种安全级别符合要求。我们通过DBA_SA_USER_LABELS视图可以查看用户的标记。
- SQL> SELECT USER_NAME, LABELS FROM DBA_SA_USER_LABELS;
- USER_NAME
- --------------------------------------------------------------------------------
- LABELS
- --------------------------------------------------------------------------------
- SYSMAN
- MAX READ LABEL='L2',MAX WRITE LABEL='L2',MIN WRITE LABEL='L1',DEFAULT READ LABEL
- ='L2',DEFAULT WRITE LABEL='L2',DEFAULT ROW LABEL='L2'
可以看到MIN WRITE LABEL = L1
同时ORACLE提供了一个系统函数,用于改变标记的值:
- Syntax:
- PROCEDURE ALTER_LABEL (
- policy_name IN VARCHAR2,
- label_tag IN INTEGER,
- new_label_value IN VARCHAR2 DEFAULT NULL,
- new_data_label IN BOOLEAN DEFAULT NULL);
- PROCEDURE ALTER_LABEL (
- policy_name IN VARCHAR2,
- label_value IN VARCHAR2,
- new_label_value IN VARCHAR2 DEFAULT NULL,
- new_data_label IN BOOLEAN DEFAULT NULL);
- Table 6–18 Parameters for SA_LABEL_ADMIN.ALTER_LABEL
- Parameter Name Parameter Description
- policy_name Specifies the name of an existing policy
- label_tag Identifies the integer tag assigned to the label to be altered
- label_value Identifies the existing character string representation of the label to be altered
- new_label_value Specifies the new character string representation of the label value. If NULL, the existing value is not changed.
此时我们对L1的标记进行改写
- EXEC sa_label_admin.alter_label('P1', 'L1', 'L4', TRUE);
执行成功,我们查看用户标记表,发现如下所示:
- SQL> SELECT USER_NAME, LABELS FROM DBA_SA_USER_LABELS;
- USER_NAME
- --------------------------------------------------------------------------------
- LABELS
- --------------------------------------------------------------------------------
- SYSMAN
- MAX READ LABEL='L2',MAX WRITE LABEL='L2',MIN WRITE LABEL='L4',DEFAULT READ LABEL
- ='L2',DEFAULT WRITE LABEL='L2',DEFAULT ROW LABEL='L2'
可以看出MIN WRITE LABEL变成了L4,其他的LABEL还是L2,这时的用户标记已经是不合法的了,在这种情况下,在执行相应操作时,很多操作会被禁止,比如对打了标记的表进行更新操作,因为此时的用户标记在进行访问判断时永远是恒假值(不过此时系统不会崩溃,有点失望..),以上实验的版本为11.1.0.6.0
原文链接:http://www.cnblogs.com/nocode/archive/2011/05/04/2036873.html
【编辑推荐】
本文名称:Oracle的安全标记算不算bug
分享URL:http://www.mswzjz.cn/qtweb/news30/484330.html
攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能,是专注品牌与效果的网络营销公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 贝锐智能