Oracle标签安全性

1、概述

在 Oracle9i 中有一个组件称为 Oracle Label Security ，这个组件实现了基于自定义策略而对数据库中的表甚或是整个 Schema 提供行级安全性功能。实际上 Oracle Label Security 是在 Oracle8.1.7 中提出的，在 9i 版本中功能得到了大幅度增强。

Oracle Label Security 是内置于数据库引擎中的过程与约束条件集，该数据引擎实施对在单个表或整个模式上的 " 行 " 级访问控制。要利用 Oracle Label Security ，需要创建一个或多个安全策略，其中每一个安全策略都包含一组标签。你可以用这些标签来标明哪些用户能够访问什么类型数据。在创建了一个 策略之后，将该策略应用于需要保护的表，并将这些标签授予你的用户，这样，你就完成了整个过程。 Oracle Label Security 对查询的修改是透明的，并且在即时计算访问级别，以执行你的新策略。

当 Oracle9i 数据库在解析各个 SQL 语句时，它也检测各个表是否受到某个安全策略的保护。根据该用户的访问权限， Oracle9i 数据库 向该语句的 WHERE 子句中添加安全性谓词。因为这些都发生在数据库引擎的内部，所以不管该 SQL 语句的来源如何，用户都不可能绕过该安全性机制。

2、工作流程

首先我们了解一下实现 Oracle Label Security 的大体流程。

通过 Oracle 提供的一系列存储过程，先创建一个 policy ，然后在 policy 中创建 level ， compartment ， group ，之后通过这些定义好的 level ， compartment ， group 再定义 label ，然后将 policy 绑定到某张表或者某个 schema ，最后再给相应的用户设置 label 。

其中牵涉到几个名词，解释一下：

Policy ：就是安全策略，一个安全策略是 level ， compartment ， group ， label 的集合。

Level ：等级，这是最基础的安全控制等级，必须设置。

Compartment ：分隔（这不是官方翻译），提供第二级的安全控制，是可选的。

Group ：组（这不是官方翻译），提供第三级的安全控制，是可选的。

Label ：标签，最终体现到每一行上的安全标签，必须设置。只有用户被赋予的标签和此行上的标签相同或者等级更高的时候，该行才能够被用户存取。

3、测试步骤

我们需要用到 3 个用户，一个是拥有 zftang_test_01 表的 test 用户，一个是用于设置 OLS 策略的 LBACSYS 用户，另外一个是不受 OLS 策略制约的 SYS 用户（用来方便的插入和更新测试数据）。

u 安装 Oracle Label Security （每个数据库进行一次）

u 创建安全性策略

u 定义级别

u 定义区间（ compartment ）（可选）

u 定义分组（可选）

u 创建标签

u 将标签策略应用于表

u 指定用户标签

u 指定正常授权级别的访问

u 为表中的行指定合适的标签

3.1 、安装 Oracle Label Security

在安装数据库软件的时候必须保证选择了 Oracle Label Security 组件，否则所有功能都无法使用。如果当时没有选择，可以按照如下方法安装 OLC

1 、重新运行 Universal Installer 进行安装，选择定制，下一步；

2 、勾选 ORACLE LABEL SECRITY 组建进行安装；

3 、继续下一步，完成安装；

LBACSYS 用户可以利用 $ORACLE_HOME/rdbms/admin/catols.sql 创建。

以 SYS 用户登陆 PLSQL, 打开命令行窗口，执行： @D:\OraHome_1\RDBMS\ADMIN\catols.sql;

在这个脚本的最后会自动关闭数据库，打开可以看到，最后面是（ shutdown immediate ）所以请不要在生产库上直接测试。

再次打开数据库，就可以使用 LBACSYS 用户登录了，默认密码就是 lbacsys ，如果在生产环境中，请立刻修改默认密码。

3.2 、创建安全策略

使用 lbacsys 用户登陆 PLSQL, 执行如下命令

SQL> EXEC sa_sysdba.create_policy('TEST_POLICY', 'TEST_LABEL');

第一个参数 TEST_POLICY 是安全策略的名称，

第二个参数 TEST_LABEL 是即将添加到 zftang_test_01 表中的用于存储标签的字段名，这个字段将在后面 apply table policy 的时候自动添加，所以不必预先添加。

可以从 DBA_SA_POLICIES 视图中查询安全策略的情况。

select * from DBA_SA_POLICIES

要禁用、重新启用或者删除一个策略，可利用以下过程：

SQL> EXEC sa_sysdba.disable_policy
('TEST_POLICY');
SQL> EXEC sa_sysdba.enable_policy
('TEST_POLICY');
SQL> EXEC sa_sysdba.drop_policy
('TEST_POLICY');

3.3 、定义 Level

EXEC sa_components.create_level('TEST_POLICY', 111,'READ111', 'Public Level');
EXEC sa_components.create_level('TEST_POLICY', 222,'READ222', 'Internal Level');

第一个参数是上一步创建的安全策略的名字。第二个参数是 Level 的等级，数字越大表示权限越高，比如此处具有 'READ222' 等级的就可以同时查看有 'READ111' 等级的数据。第三个参数是 Level 的短名，随便定义。第四个参数是 Level 的长名，只是起到一个说明的作用，随便定义。

可以从 DBA_SA_LEVELS 视图中查询安全等级的情况。

select * from DBA_SA_LEVELS

3.4 、定义 Compartment

本步操作是可选项，看的有点晕， 测试了几次没搞透

3.5 、定义 Group

本步操作是可选项，看的有点晕， 测试了几次没搞透

3.6 、创建 Label

EXEC sa_label_admin.create_label('TEST_POLICY', '111','READ111', TRUE);
EXEC sa_label_admin.create_label('TEST_POLICY', '222','READ222', TRUE);

参数依次是安全策略名， Label Tag ， Label 值，是否为 data label 。

其中 Label Tag 必须是不同于系统中任何策略 number 的数字。
Label 值是最关键的地方，通过组合前面几步中定义的 level

是否为 data label 是一个布尔值，只有为 TRUE 的时候，这个标签才可以用于控制表数据的安全性。

可以从 DBA_SA_LABELS 视图中查询安全标签的情况。

select * from DBA_SA_LABELS

3.7 、将策略赋予表

exec sa_policy_admin.apply_table_policy(policy_name => 'TEST_POLICY',schema_name => 'TEST',table_name => 'ZFTANG_TEST_01',table_options => 'LABEL_DEFAULT,READ_CONTROL,WRITE_CONTROL');

前三个参数表示我们将 TEST_POLICY 策略附加到 TEST 用户的 ZFTANG_TEST_01 表上，执行这步操作的时候， Oracle 会自动将第二步中定义的列添加到表中，如果这步执行成功，我们立刻用 TEST 用户检索 ZFTANG_TEST_01 表，会发现一条记录都没有了，这说明 Label Security 已经起作用了。

第四个参数用于设定策略如何控制表的安全性。

LABEL_DEFAULT 表示如果以后一个用户新增数据的时候没有指定 Label 那么将会使用该用户的 default session label （这个 default 值在下面一步的用户 Label 设定中定义）； READ_CONTROL,WRITE_CONTROL 表示对于表的读写操作都受到安全策略的制约；

HIDE 表示不在 desc 表结构的时候显示 TEST_LABEL 列名，如果想要显示就省略 HIDE 字样，

注意，一旦 apply 策略完成，那么要修改 table_options 的值，比如想把 HIDE 去掉，那么就必须先用 sa_policy_admin.remove_table_policy 函数删除 policy 定义，然后重新 apply 。

3.8 、将 Label 赋予用户

使用 sa_user_admin.set_user_labels 存储过程来将 label 赋予用户，这个存储过程有不少参数，但是必须输入的只有 policy_name ， user_name ， max_read_label 三项，其它参数如果省略的话，都有默认值。

比如 def_label 参数（用户新增数据的时候没有指定 Label 时的默认 Label ）如果没有设定，那么默认为跟 max_read_label 相同。

我们通过给TEST用户赋予不同的Label，来完成测试的目的。每次用LBACSYS用户设置完TEST用户的label，TEST用户都必须重新登录一次，设置才会生效。**

--------这里很重要，前期测试，没有重新登陆，总感觉没效果；

把LABEL=READ111的授于TEST用户

EXEC sa_user_admin.set_user_labels(policy_name=> 'TEST_POLICY',user_name =>'TEST',max_read_label =>'READ111');

这个时候看查询结果，TEST_LABEL=111的，这个用户才能查询到；**

其实表里真实的数据是：

把LABEL=READ222的授于TEST用户

EXEC sa_user_admin.set_user_labels(policy_name=> 'TEST_POLICY',user_name =>'TEST',max_read_label =>'READ222');

执行查询：

发现还是这三条数据，因为其它数据 TEST_LABEL 列未定义值；

通过 SYS 用户，对数据进行赋值；

这个时候，就可以看到所有的数据了；因为前面提到：

EXEC sa_components.create_level('TEST_POLICY', 111,'READ111', 'Public Level');
EXEC sa_components.create_level('TEST_POLICY', 222,'READ222', 'Internal Level');

第一个参数是上一步创建的安全策略的名字。第二个参数是 Level 的等级，数字越大表示权限越高，比如此处具有 'READ222' 等级的就可以同时查看有 'READ111' 等级的数据。第三个参数是 Level 的短名，随便定义。第四个参数是 Level 的长名，只是起到一个说明的作用，随便定义。

3.9 、新增 LEVEL

这里考虑到一点，因为 LEVEL 的数据越大，级别越高，加入我需要新增一个 LEVEL ，用来控制用户的访问，就可以按照如下操作：

1、 定义 LEVEL

EXEC sa_components.create_level('zftang_POLICY', 333,'PUBLIC', 'Public Level1');

------- 创建一个 LEVEL

2、 定义 LABEL

EXEC sa_label_admin.create_label( 'TEST_POLICY' , '333' , 'READ333' , TRUE);

3 、 将 LABEL 赋予用户

在这里，如果赋予 TEST 用户 READ111 的 LEVEL ，那么这个用户只能看到值 =111 的数据；

如果赋予 TEST 用户 READ222 的 LEVEL, 可以看到值 =111 ，或者 =222 的数据

如果赋予 TEST 用户 READ333 的 LEVEL, 就可以看到 =111 ， 222 ， 333 的数据；

EXEC sa_user_admin.set_user_labels(policy_name=> 'TEST_POLICY',user_name =>'TEST',max_read_label =>'READ111');

至此，这个 Oracle Label Security 的实验基本上是完成了，达到了我们预先计划的目标。

而关于性能方面，如果表中数据量很大，那么出于性能考虑，可能需要在 Label 列上（本例中的 DOC_LABEL ）添加合适的索引，根据 cardinality 的多少，选择 B-Tree 或者 bitmap 索引。