DB2、ORACLE和DM的强制访问控制模型对比
用户登录DM数据库后,有一个会话标记,该标记由默认等级、默认范围和默认组组成。它决定用户对数据的访问权限。用户插入一行数据,如果不指定数据的标记,则系统默认有一个行标记,该标记由行等级、有行属性的范围和组组成。用户可以通过SET_SESSION_LABEL来修改用户当前连接,通过SET_ROW_LABEL来修改用户插入数据的默认标记
在用户上应用策略的语句是:
| 以下是引用片段: ALTER USER POLICY U1 ADD POLICY P1 MAX LEVEL L1 MIN LEVEL L4 DEF LEVEL L2 ROW LEVEL L3 CATEGORY C1 DEFAULT, C2 DEFAULT WRITE ROW GROUP G1 DEFAULT WRITE, G2 WRITE ROW |
(2)在表上应用策略
在一个表上应用策略,来实现用户对行的访问控制。该策略对应建立一个标记列,用来存储该行数据的标记。标记列有一个属性“是否隐藏”。如果隐藏,除非显式指定该列,查询时不显示该列,插入时也不用为该列指定值;如果不隐藏,则和普通的列没有差别。初始标记值作为表上已有数据的标记值。一个表上可以应用多个策略,最多为32个,一个策略可以应用到多个表上。
在表上应用策略的语句是:
ALTER TABLE POLICY T1 ADD POLICY P1 COLUMN P1_LAB NOT HIDE LABEL ‘L1:C1:G1, G2’;
3.3访问规则
用户能访问一个表,必须拥有该表上所有策略的标记,而且满足以下规则才能做相应的访问。用户标记指用户的会话标记,和行的标记进行比较。
读访问规则:
- 用户的默认等级必须大于等于数据的等级;
- 用户的默认标记必须包含至少一个数据的组(或者是其某一个的父亲组);
- 用户的默认标记必须包含数据的所有的范围。
写访问规则:
- 数据标记的等级必须大于等于用户标记的最小等级,小于或等于用户的会话标记的等级;
- 用户的标记必须包含至少一个数据的组(或者是其某一个的父亲组)的写权限;
- 用户的标记必须包含数据的所有的范围上的写权限。
3.4访问特权
同2.4节,不包含特权COMPACCESS和PROFILE_ACCESS。
授予特权的语句是:
ALTER USER POLICY U2 MODIFY P1 GRANT FULL;
3.5系统冲突
同1.5节中1-5条,增加了如下冲突处理:
(1)存储过程和触发器的冲突:同视图处理,只对存储过程和触发器中操作的表实施强制访问控制,并不对存储过程和触发器的执行进行强制访问控制。
(2)与水平分区的冲突:可以对水平分区表应用策略,但不能按标记列的值进行水平分区。
(3)与垂直分区的冲突:在垂直分区表上不能应用策略,因为垂直分区表上不允许修改表结构。
3.6系统权限
进行标记管理的用户必须具有DB_POLICY_ADMIN或DB_POLICY_OPER权限。系统默认安全管理员为SYSSSO。
系统安全员本身不能访问任何用户数据,只能访问系统字典表,进行策略的维护、表策略的应用和用户策略的应用。
4、总结
下面对基于标记的强制访问控制做一个简单的功能比较,当然,实际ORACLE和DB2的实现要复杂得多。DM强制访问控制有待实际需求来进一步完善。
表4.1 强制访问控制功能对比
| 功能 | ORACLE | DB2 | DM6 |
| 等级(level) | √ | √ | √ |
| 范围(category) | √ | √ | √ |
| 组织(group) | √ | √ | √ |
| 一个策略支持三个以上组件 | × | √ | × |
| 一个策略应用到多个表 | √ | √ | √ |
| 一个表上应用多个策略 | √ | × | √ |
| 标记列隐藏 | √ | × | √ |
| 行级标记 | √ | √ | √ |
| 列级标记 | × | √ | × |
| 表级标记 | × | √ | × |
| 对模式应用标记 | √ | × | × |
| 标记比较规则可选固定 | × | √ | × |
| 用户会话标记 | √ | √ | √ |
| 读写权限标记分离 | √ | √ | √ |
| 特权 | √ | √ | √ |
&