Oracle 10g新特性之虛擬專用資料庫

五種類型的策略、列相關策略以及列屏蔽使得 VPD 成為 DBA 的安全工具箱中一種功能更加強大的工具

虛擬專用資料庫 (VPD) 也稱為細粒度存取控制，它提供強大的行級安全功能。它是在 Oracle8i 中推出的，已經受到廣泛的歡迎，並且在從教育軟體到金融服務等各種應用程式得到採用。

VPD 的工作方法是，通過透明地更改對資料的請求，基於一系列定義的標準向使用者提供表的局部視圖。在運行時，所有查詢都附加了謂詞，以便篩選出准許使用者看到的行。例如，如果只允許使用者查看帳戶管理員 SCOTT 的帳戶，則 VPD 設定自動地將查詢：

select * from accounts;

重寫為：

select * from accounts

where am_name = 'SCOTT';

DBA 在表 ACCOUNTS 上設定了一項安全性原則。該策略具有一個相關函數，稱為policy function，它返回一個用作謂詞的字串 where am_name = 'SCOTT'。如果您不熟悉該特性的全部功能，我建議您閱讀 Oracle 雜誌的文章“利用 VPD 保持資訊的私密性”。

策略類型

產生謂詞所需的重複分析是一種在某些情況下可以進行修整的開銷。例如，在大部分實際情況中，謂詞並不象 am_name = 'SCOTT' 那樣是靜態；它基於使用者的身份、使用者的權限等級、使用者向哪個帳戶管理員進行報告等情況,可能更具有動態性。由策略函數建立並返回的字串可能會具有很強的動態性，而為了保證其結果，Oracle 必須每次重新執行策略函數，既浪費資源又降低效能。在這種類型的策略中，謂詞每次執行時可能會有很大的差別，該策略稱為“動態”策略，在 Oracle9i 資料庫以及以前的版本中已經提供了這種策略。

除了保留動態策略之外，Oracle 資料庫 10g 還基於謂詞的構造推出了幾種新類型的策略，為提高效能提供了更好的控制：context_sensitive、shared_context_sensitive、shared_static 和 static。現在，讓我們來瞭解每種策略類型的意義以及如何在適當的場合中使用它們。

動態策略。 為保持向後相容性，10g 中的預設策略類型為“dynamic” — 正如 Oracle9i 中一樣。在這種情況下，對於每行以及每位使用者，在每次訪問表時都對策略函數進行重新求值。讓我們來詳細分析策略謂詞：

where am_name = 'SCOTT'

忽略掉 where 子句，謂詞就具有兩個不同的部分：在等式操作符之前的部分 (am_name) 和等式操作符之後的部分 ('SCOTT')。在大多數情況下，後面的部分更象是變數，因為它是由使用者的資料提供的（如果使用者是 SCOTT，則其值為 'SCOTT'）。在等號前面的部分是靜態。因此，即使函數不必為產生適當的謂詞而對每行求出策略函數的值，由於瞭解前面部分的靜態性以及後面部分的動態性，也可以提高效能。在 10g 中，可以在 dbms_rls.add_policy 調用中使用 "context_sensitive" 類型的策略作為參數來實現這種方法：

policy_type => dbms_rls.context_sensitive

在另一個樣本中，我們有一個稱為 ACCOUNTS 的表，它擁有幾列，其中一列是 BALANCE，表示帳戶餘額。假設允許某個使用者查看低於某特定餘額的帳戶，而該餘額由應用程式上下文所決定。我們並不在策略函數中將此餘額值固定，而是3是根據應用程式上下文確定，如：

　　create or replace vpd_pol_func
　　 (
　　 p_schema in varchar2,
　　 p_table in varchar2
　　 )
　　 return varchar2
　　 is
　　 begin
　　 return 'balance < sys_context(''vpdctx'', ''maxbal'')';
　　 end;