ORACLE自主訪問控制機制系統表研究

由於近來關注於數據庫安全方面，粗略地研究了下數據庫的自主訪問控制(DAC)和強制訪問控制(Mac)，現把自己對ORACLE中DAC的理解寫出來，與大家分享，以上均Oracle文檔結合自己的理解，難免存在錯誤的地方，還請指正。

     訪問控制是允許或者禁止某人訪問某資源的過程，數據庫中就是限制用戶對數據庫客體（如表、試圖等）的訪問。實現這種訪問控制一般是基於訪問控制列表（ACL），ACL一般記錄了who能訪問what以及how訪問。大多數據庫的將ACL以數據庫系統表的形式進行實現。下面具體介紹下Oracle中的權限相關系統表的設計。        Oracle中的權限分為兩種：系統權限和對象權限。 系統權限 　　系統權限包括數據庫管理權限和帶有ANY的權限。管理權限如ALTER DATABASE，CREATE USER等權限，這類權限是和DDL相關的權限。另一類帶有ANY的權限，如SELECT ANY TABLE，表示可以查詢所有表的權限，這類權限是全局DML相關的權限。查看所有的系統權限可以通過表SYSTEM_PRIVILEGE_MAP，該視圖顯示了權限名稱及其對應的值，通過表可以看出所有的系統權限的權限值均為負數。

　　記錄用戶的系統權限授權的信息主要存儲在系統表SYS.SYSAUTH$表中，可以通過DBMA_METADATA包獲取表的創建信息。

 1SQL>select dbms_metadata.get_ddl('TABLE','SYSAUTH$','SYS') from dual;
 2DBMS_METADATA.GET_DDL('TABLE','SYSAUTH$','SYS')
 3------------------------------------------------------------------------
 4CREATETABLE "SYS"."SYSAUTH$"
 5   (    "GRANTEE#" NUMBERNOTNULL ENABLE,
 6        "PRIVILEGE#" NUMBERNOTNULL ENABLE,
 7        "SEQUENCE#" NUMBERNOTNULL ENABLE,
 8        "OPTION$" NUMBER
 9   ) PCTFREE 10 PCTUSED 40 INITRANS 1 MAXTRANS 255 NOCOMPRESS LOGGING
10  STORAGE(INITIAL 65536NEXT1048576 MINEXTENTS 1 MAXEXTENTS 2147483645
11  PCTINCREASE 0 FREELISTS 1 FREELIST GROUPS 1 BUFFER_POOL DEFAULT)
12  TABLESPACE "SYSTEM"

　　可以看到表字段信息，包含GRANTEE#，PRIVILEGE#，SEQUENCE#和OPTION$。GRANTEE#表示被授權者的UID，PRIVILEGE#表示被授權的權限值，OPTION$表示是此權限否可被轉授,SEQUENCE#個人感覺是時間戳的概念，對於這個的驗證放在後面。由此可見，系統權限和角色的授予，並不記錄授權者的信息。通過查詢這張表，可以看到PRIVILEGE#字段並不是上面所說的全是負數，還存在正數，不錯，這是因為這張表不僅僅存放了系統權限，還存放了角色的授予信息，如果授予角色的時候，PRIVILEGE#字段即為角色的ID，當然角色也可能被授予角色和系統權限，因此想通過簡單的SQL語句獲取一個用戶所擁有的所有的角色或所有的系統權限，會涉及到遞歸的查詢，大家可以想下如何構造這個SQL語句，（提示下：Oracle特有的CONNECT BY語法）。 　　由系統權限的系統表可以看出，對於系統權限，Oracle中並不記錄授權者的概念，這說明對系統權限的回收肯定是特定用戶進行的，由於沒有授權者的概念，當然也就沒有了級聯回收系統權限的情況，這裡SEQUENCE#字段作為時間戳貌似也沒有太大的意義了。 對象權限 　　對象權限主要記錄用戶被賦予某對象的某種權限，如用戶A被授予表TB1的SELECT權限。由此可見，對象權限系統表需要具有如下幾個字段：授權者，被授予者，對象，權限類型，轉授標記。對象權限系統表是SYS.OBJAUTH$，首先來看表定義。

 1SQL>select dbms_metadata.get_ddl('TABLE','OBJAUTH$','SYS') from dual;
 2
 3DBMS_METADATA.GET_DDL('TABLE','OBJAUTH$','SYS')
 4----------------------------------------------------------------------
 5CREATETABLE "SYS"."OBJAUTH$"
 6   (    "OBJ#" NUMBERNOTNULL ENABLE,
 7        "GRANTOR#" NUMBERNOTNULL ENABLE,
 8        "GRANTEE#" NUMBERNOTNULL ENABLE,
 9        "PRIVILEGE#" NUMBERNOTNULL ENABLE,
10        "SEQUENCE#" NUMBERNOTNULL ENABLE,
11        "PARENT" ROWID,
12        "OPTION$" NUMBER,
13        "COL#" NUMBER
14   ) PCTFREE 10 PCTUSED 40 INITRANS 1 MAXTRANS 255 NOCOMPRESS LOGGING

系統表中存在並不是所猜想的那麼幾個字段，除了對象（OBJ#），授權者（GRANTOR#），被授予者(GRANTEE#),具體權限（PRIVELGE#），轉授標志（OPTION$）外，還具有SEQUENCE#，PARENT和COL#，SEQUENCE#應該還是時間戳，COL#是指在進行列級授權時記錄的列號，在對表進行授權時，可以指定列，如GRANT SELECT(C1) ON T1 TO U1。至於PARENT還有待考證啊。  以上從總體上粗略的介紹了Oracle中權限相關的系統表以及系統表中字段的意義，當然有些字段是個人猜測，沒有什麼依據，還有待進行實驗證明。