在客户环境中,有可能存在着一些表记载的信息需要被不同角色的用户来访问。应用需要控制表中的一些敏感信息只能被特定的用户访问。此前用户一般只能通过创建多个视图和开发应用增加逻辑等来做到这一点。
RCAC 通过对表里面行和列的访问权限控制,可以简单的实现这种安全性需求。安全访问得到控制,开发应用变的简单。
DB2 Galileo,也就是 DB2 的 V10 版本是 IBM 在 2012 年推出的新产品。原先的 DB2 pureScale 可以说是 DB2 中的一个独立分支,版本号为 9.8,现在也集成到了 DB2 Galileo 中。DB2 Galileo 不仅集成了 DB2 pureScale,在很多方面也都有大的改进,并且开发了许多新的功能。例如在原先杰出的压缩技术基础上引入了页内进一步压缩机制,获得更好的压缩效率;多温度控制功能,帮助客户解决如何优化利用不同的存储设备,获得更好的性能效果,与 DB2 的工作负载管理结合,最优系统资源利用;新的索引查询技术,无需建立冗余的索引,使用现有综合索引获得更快的查询速度;新的客户端导入数据的技术可以帮助客户能够并行更高效率导入数据,数据几乎实时可见等等。本文中将关注 DB2 中关于细粒度的权限控制 RCAC(Row and Column Access Control)特性。顾名思义,这个特性能够让用户的权限控制细化到行和列的级别。
RCAC 的应用场景
细粒度的权限控制并不是一个新兴的需求,这在长久的应用中一直会被提到。例如在客户环境中,有可能存在着一些表记载的信息需要被不同角色的用户来访问。应用需要控制表中的一些敏感信息只能被特定的用户访问。这些敏感信息,可能是一些列的内容不应被特定用户访问到,也有可能是表中的一些条目(行)不应被展示。为了做到这一点,用户一般需要通过创建视图或者开发应用增加逻辑等来做到这一点。即便如此,因为仅仅在应用层做了限制,并没有规避用户能够访问表中敏感数据的风险。RCAC 通过对表里面行和列的访问权限控制,可以简单的实现这种安全性需求。不仅安全访问得到控制,而且开发应用也变的简单。
RCAC 的技术介绍
RCAC 是对表中行和列的访问控制。对于行的控制,RCAC 使用的是创建 Permission(许可)的技术,能够控制用户对于表的访问只能查询到自己应该看到的信息,其他条目信息不应该被该用户察觉。假如一张表有 100 个条目,某个特定的角色只应访问 10 个条目,那么对于这个用户来说,他能看得的仅仅是一张具有 10 个条目的完整的表。他的任何查询,只会访问到这十个条目。对于列的控制,RCAC 的展示技术和行不太一样。RCAC 使用的是 Data Mask(面具)技术,也就是在敏感信息的列上可以创建面具,对于这些敏感的列,应该获得该信息的用户仍然可以正常查看,但是不应访问到此信息的只能看到数据返回的是一张面具,而不是真实的值。所以无论任何用户,都可以看到表的真实结构,不会给应用开发带来麻烦,使用同样的查询语句,最后的结果会因人而异。下面通过一个例子来看如何应用 DB2 10RCAC 技术。在这个例子中,使用了 DB2 的 sample 数据库。如果用户拿到 DB2 10 的安装介质,就可以来尝试下面的实现步骤。
RCAC 技术实现案例
安装 DB2 10 环境和 sample 数据库
首先在操作系统上安装 DB2 10 副本,然后为实例用户创建实例,本文中使用的实例用户是 db2inst1。查看 DB2 版本为 V10。然后创建 sample 示例数据库。
清单 1. 查看 DB2 版本
db2inst1@idb1122a:~> db2level DB21085I Instance "db2inst1" uses "64" bits and DB2 code release "SQL10010" with level identifier "0201010E". Informational tokens are "DB2 v10.1.0.0", "s111206", "LINUXAMD64101", and Fix Pack "0". Product is installed at "/opt//db2/V10.1".
清单 2. 创建 sample 示例数据库
db2inst1@idb1122a:~> db2inst1@idb1122a:~> db2sampl -dbpath /db2/sample -name sample Creating database "sample" on path "/db2/sample"... Connecting to database "sample"... Creating tables and data in schema "DB2INST1"... Creating tables with XML columns and XML data in schema "DB2INST1"... 'db2samp' processing complete.
定义相关用户和角色
DB2 权限控制是针对访问者的控制,也就是最终用户。DB2 的用户认证是由操作系统或者第三方用户认证软件来完成的。所以本案例中需要在操作系统创建连接数据库的用户。本案例在操作系统创建了两个用户 pernal 和 sanders 用以展示。
清单 3. 创建角色
db2inst1@idb1122a:~> db2 create role manager DB20000I The SQL command completed successfully.
清单 4. 关联用户和角色
db2inst1@idb1122a:~> db2 grant manager to sanders with admin option DB20000I The SQL command completed successfully.
到此可以看到 , 案例的连接用户有两个。Sanders 是一个 manager,而 pernal 就是一个普通职员。本文设计的情景中,这两个用户多会去访问 staff 这张表。Sanders 可以看到 staff 里面自己和属于自己员工的信息。而 pernal 只能看到自己的信息。在 staff 这张表中有一列 SALARY,记载的是每个人的薪水信息,这个信息是机密的,只有员工自己能看到。所以无论是 Sanders 还是 pernal,他们都只能看到自己的 salary 信息,而不能看到其他人的,即使 Sanders 是 manager,他也不能看到自己员工的财务信息。