CN102508931B

CN102508931B - 一种保护数据库的方法

Info

Publication number: CN102508931B
Application number: CN2011104099510A
Authority: CN
Inventors: 权宗亮; 卢健; 韩永利
Original assignee: SHANDONG HIGHGO TECHNOLOGY Co Ltd
Current assignee: Highgo Base Software Co ltd
Priority date: 2011-12-12
Filing date: 2011-12-12
Publication date: 2013-04-10
Anticipated expiration: 2031-12-12
Also published as: CN102508931A

Abstract

本发明提供一种保护数据库的方法，包括由验证机制和若干规则组成的保护层，每个规则包含一种允许或拒绝访问数据库的验证定义，当接收到用户访问请求时，在到达数据库进行用户/密码对验证之前，由保护层对该连接请求进行验证，根据所有规则定义判定允许还是拒绝该请求，本方法可以使被保护数据库只能被指定范围的网络域访问，能够保证即使在数据库内部用户和密码泄露的墙况下，也能有效阻断数据泄露的可能性。客户连接必须符合指定的传输和验证方式，通过本方法可以强制要求传输过程加密和采用更加严格的验证方式，防止通过网络偷窥获得密码和数据。

Description

一种保护数据库的方法

技术领域

本发明涉及计算机技术领域，具体地说是一种保护数据库系统免受攻击和消除潜在威胁的保护数据库的方法。

背景技术

传统数据库系统一般采用用户/密码对的保护方式，该方法能够一定程度上保护数据安全。但是面对日益复杂的网络结构，以及潜在系统漏洞的不可预知性，传统方法已经无法全面保护数据库。数据库使用的若干端口不得不要求系统防火墙开放，这样才能允许外部应用的访问，此时系统防火墙对数据库的直接保护已经失去作用，数据库已经对整个网络开放。现在计算机系统越来越强大，运行的各种软硬件也越来越复杂，随之而来的是更多各种安全漏洞，如何保证数据安全已经是当代计算机技术的一个重大课题。同时，网络技术的发展和应用，也使得数据库用户自身的网络结构越来越复杂，接入的网络设备型号和品牌越来越庞杂，复杂网络环境下的数据保护问题越来越受到数据库用户的密切关注。

发明内容

本发明的技术任务是解决现有技术的不足，提供一种新式保护数据库的方法。

本发明的技术方案是按以下方式实现的，包括由验证机制和若干规则组成的保护层，每个规则包含一种允许或拒绝访问数据库的验证定义，当接收到用户访问请求时，在到达数据库进行用户/密码对验证之前，由保护层对该连接请求进行验证，根据所有规则定义判定允许还是拒绝该请求，验证步骤如下：

1)包括网络或本地访问客户端发起连接请求，保护层接收请求并获取该请求的详细信息；

2)针对每一个规则定义循环验证；

g)如果是物理地址规则，进入物理地址验证步骤b)，否则进入d)；

h)如果发起请求的物理地址不匹配当前规则定义物理地址或范围，返回a)；如果当前规则不允许发起请求的客户端物理地址访问数据库，拒绝本次请求，否则进入步骤c)；

i)如果当前规则要求绑定逻辑地址，验证发起请求的逻辑地址是否与当前规则指定的逻辑地址或范围匹配，若不匹配则拒绝本次申请，匹配则进入加密验证步骤e)；

j)如果发起请求的逻辑地址与当前规则定义的逻辑地址或范围不匹配，返回

k)a)；若当前规则不允许发起请求的客户端逻辑地址访问数据库，拒绝本次请求，否则进入步骤e)；

l)如果发起请求的客户端发出的请求采用的加密方式没有满足当前规则要求的加密等级，拒绝本次请求，否则进入步骤f)；

m)如果发起请求的客户端采用的数据库“用户/密码对”验证方式不符合当前规则要求的方式，拒绝本次请求，否则将该请求转发至数据库进入步骤4；

3)如果没有任何规则允许本次请求访问数据库，拒绝并结束验证过程；

4)数据库对“用户/密码对”验证后将结果通知保护层，如果本次请求通过了数据库验证，保护层允许该请求继续访问数据库，如果没有通过数据库验证，拒绝本次请求并结束验证过程。

本发明的有益效果是：本方法在现有传统的数据库用户认证机制之上增加了更严密的防护，所有试图连接数据库的请求在到达数据库进行验证之前，首先对发起请求的客户端逻辑和物理地址进行验证。本方法可以使被保护数据库只能被指定范围的网络域访问，能够保证即使在数据库内部用户和密码泄露的墙况下，也能有效阻断数据泄露的可能性。客户连接必须符合指定的传输和验证方式，通过本方法可以强制要求传输过程加密和采用更加严格的验证方式，防止通过网络偷窥获得密码和数据。

附图说明

图1是验证步骤流程图；

具体实施方式

下面结合附图对本发明的保护数据库的方法作进一步详细说明。

本发明的保护数据库的方法，包括由验证机制和若干规则组成的保护层，每个规则包含一种允许或拒绝访问数据库的验证定义，当接收到用户访问请求时，在到达数据库进行用户/密码对验证之前，由保护层对该连接请求进行验证，根据所有规则定义判定允许还是拒绝该请求。验证过程如下图所示：

1)访问客户端(网络或本地)发起连接请求，保护层接收请求并获取该请求的详细信息；

2)针对每一个规则定义循环验证；

n)如果是物理地址规则，进入物理地址验证步骤b)，否则进入d)；

o)如果发起请求的物理地址不匹配当前规则定义的物理地址或范围，返回a)采用下一条规则继续验证过程；如果当前规则不允许发起请求的客户端物理地址访问数据库，拒绝本次请求，否则进入步骤c)；

p)如果当前规则要求绑定逻辑地址，验证发起请求的逻辑地址是否与当前规则指定的逻辑地址或范围匹配，若不匹配则拒绝本次申请，匹配则进入加密验证q)步骤e)；

r)如果发起请求的逻辑地址与当前规则定义的逻辑地址或范围不匹配，返回a)采用下一条规则继续验证过程；若当前规则不允许发起请求的客户端逻辑地址访问数据库，拒绝本次请求，否则进入步骤e)；

s)如果发起请求的客户端发出的请求采用的加密方式没有满足当前规则要求的加密等级，拒绝本次请求，否则进入步骤f)；

t)如果发起请求的客户端采用的数据库“用户/密码对”验证方式不符合当前规则要求的方式，拒绝本次请求，否则将该请求转发至数据库进入步骤4；

4)数据库对“用户/密码对”验证后将结果通知保护层，如果本次请求也通过了数据库验证，保护层允许该请求继续访问数据库，如果没有通过数据库验证，拒绝本次请求并结束验证过程。

除本发明的说明书公开的技术特征外均为本专业技术人员的公职技术。

Claims

1.一种保护数据库的方法，其特征在于，包括由验证机制和若干规则组成的保护层，每个规则包含一种允许或拒绝访问数据库的验证定义，当接收到用户访问请求时，在到达数据库进行用户/密码对验证之前，由保护层对连接请求进行验证，根据所有规则定义判定允许还是拒绝该请求，验证步骤如下：

2)针对每一个规则定义循环验证；

a)如果是物理地址规则，进入物理地址验证步骤b)，否则进入d)；

b)如果发起请求的物理地址不匹配当前规则定义物理地址或范围，返回a)采用下一条规则继续验证过程；如果当前规则不允许发起请求的客户端物理地址访问数据库，拒绝本次请求，否则进入步骤c)；

c)如果当前规则要求绑定逻辑地址，验证发起请求的逻辑地址是否与当前规则指定的逻辑地址或范围匹配，若不匹配则拒绝本次申请，匹配则进入加密验证步骤e)；

d)如果发起请求的逻辑地址与当前规则定义的逻辑地址或范围不匹配，返回a)采用下一条规则继续验证过程；若当前规则不允许发起请求的客户端逻辑地址访问数据库，拒绝本次请求，否则进入步骤e)；

e)如果发起请求的客户端发出的请求采用的加密方式没有满足当前规则要求的加密等级，拒绝本次请求，否则进入步骤f)；

f)如果发起请求的客户端采用的数据库“用户/密码对”验证方式不符合当前规则要求的方式，拒绝本次请求，否则将该请求转发至数据库进入步骤4；