CN104166812A - 一种基于独立授权的数据库安全访问控制方法 - Google Patents
一种基于独立授权的数据库安全访问控制方法 Download PDFInfo
- Publication number
- CN104166812A CN104166812A CN201410294430.9A CN201410294430A CN104166812A CN 104166812 A CN104166812 A CN 104166812A CN 201410294430 A CN201410294430 A CN 201410294430A CN 104166812 A CN104166812 A CN 104166812A
- Authority
- CN
- China
- Prior art keywords
- access
- database
- request
- access control
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Abstract
一种基于独立授权的数据库安全访问控制方法属于数据库安全领域。该方法采用与数据库系统松耦合的设计思路,通过将数据库访问行为与USBKey绑定,实现基于用户而非数据库账号的访问控制,将数据库访问行为与终端用户相关联,做到针对终端用户的行为管控和审计;通过引入前置访问控制,对数据库访问语句进行分析和监测,屏蔽数据库攻击行为,管控和审计内部人员操作行为,减少数据库攻击行为造成的信息损失;通过对数据库访问请求进行重新封装,避免监听嗅探攻击。本技术通过增加独立于数据库管理系统的身份认证、访问控制以及安全传输等手段,在不改变现有应用系统使用模式的前提下,实现对多平台下的异构数据库管理系统的安全增强。
Description
技术领域
本发明属于数据库安全领域,是一种基于独立授权的数据库安全访问控制技术。
背景技术
数据库系统是信息系统中的基础平台,许多政府机构、军事部门、企业公司的关键业务系统运行在数据库平台上,数据库系统中的数据为众多用户所共享,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏。尽管目前成熟的商用数据库管理系都具有诸如身份认证、访问控制、审计等安全功能,为数据库安全提供了一定的安全保障,但是在数据库安全方面还存在以下问题:
1.内部人员攻击行为。80%的数据库数据丢失都是由内部人员对数据库的攻击造成的,数据库维护人员、外包人员、开发人员在工作过程中都可以获取较高的数据库访问权限、甚至数据库管理员权限,该类人员有意或者无意的高危操作将对数据库造成巨大的破坏;另外具有正常业务权限的操作人员在利益的诱惑下,可以通过正常的业务操作,将系统中的敏感信息导出。
2.数据库攻击。数据库是黑客攻击的集中目标,利用Web应用漏洞进行SQL注入,在网络中进行监听嗅探,利用截获的数据库访问报文进行数据库操作行为还原、重放攻击都是黑客常用的数据库攻击行为,这些攻击行为将造成数据泄漏、数据篡改、数据损坏、数据丢失等严重后果;熟悉数据库内部结构的人员也有能力发起对数据库的攻击,借助正常业务权限通过推理查询等手段,获取超越其访问权限的信息。
3.数据库漏洞。“棱镜门”事件暴露出了使用国外商用数据库系统等基础设施所带来的严重安全隐患,国外数据库厂商、情报部门可以利用数据库管理系统自身的安全漏洞、后门等,对数据库中的数据进行监视和窃取,数据库系统存在漏洞等安全隐患,附属其上的安全保密机制便形同虚设。
4.三层架构模式下无法对用户行为进行管控。目前主流的应用系统都是基于三层架构部署的,以B/S结构的系统为例,三层分别为前台Web浏览器、中间件或Web服务器、数据库服务器。在该模式中,对后台数据的访问是通过Web应用服务器或中间件来执行的,即使采取细粒度访问控制,也只能针对Web应用服务器或中间件进行控制,无法区分访问请求是由哪个前台Web用户发起的,因此也就难以实现对用户访问行为进行管控和审计。
发明内容
本发明为了解决数据库系统在内部人员攻击、数据库攻击、数据库漏洞、三层架构下用户行为管控等方面面临的安全威胁,提出了一种基于独立授权的数据库安全访问控制技术。该安全技术采用与数据库系统松耦合的设计思路,通过将数据库访问行为与USBKey绑定,实现基于用户而非数据库账号的访问控制,将数据库访问行为与终端用户相关联,做到针对终端用户的行为管控和审计;通过引入前置访问控制,对数据库访问语句进行分析和监测,屏蔽数据库攻击行为,管控和审计内部人员操作行为,减少数据库攻击行为造成的信息损失;通过对数据库访问请求进行重新封装,避免监听嗅探攻击。
一种基于独立授权的数据库安全访问控制方法,其特征在于:访问控制服务器串接在数据库服务器之前,并连接到防火墙;防火墙还分别连接到应用服务器和应用服务器上;
具体工作流程分为终端关联和访问控制两个阶段,终端关联阶段工作流程如下:
步骤1:终端向应用服务器发起访问请求,建立通信通道;
步骤2:应用服务器验证终端身份;终端将USBKey中的证书信息发送至应用服务器,应用服务器通过认证服务器完成对终端的身份认证;
步骤3:应用服务器上部署的身份关联探针获取终端用户身份信息,并将终端用户身份与其后续的数据库访问行为进行关联;
步骤4:应用服务器向数据库服务器发起访问请求,访问控制服务器接管访问请求,与应用服务器建立通信通道;
步骤5:访问控制服务器通过认证服务器验证应用服务器身份;
访问控制阶段工作流程如下:
步骤1:在完成身份关联后,终端向应用服务器发起访问请求,准备通过应用进行数据库操作;
步骤2:应用服务器对用户的访问请求进行响应,根据终端的操作生成数据库访问请求;
步骤3:客户端通过过滤驱动截获数据库访问请求,根据用身份关联探针获取的用户身份与访问行为的关联信息,将访问请求对应的终端身份与访问请求一起封装为专用访问协议;
步骤4:客户端将专用访问请求进行转发;
步骤5:前置的访问控制服务器代替数据库服务器接管访问请求,丢弃非专用访问协议的请求,并还原数据库访问请求,提取终端身份信息;
步骤6:访问控制服务器根据预置的访问控制规则,对访问请求进行过滤;
步骤7:访问控制服务器在完成访问请求过滤后,将访问请求转送至数据库服务器;
步骤8:数据库服务器在操作执行结束后,返回数据库操作结果;
步骤9:访问控制服务器对返回的数据库操作结果进行协议转换;
步骤10:访问控制服务器将数据库操作结果返回应用服务器;
步骤11:应用服务器上的客户端截获返回的结果,对返回结果进行还原;
步骤12:应用服务器根据返回结果,对用户的应用请求进行响应,将应用执行结果返回至终端用户。
本技术通过增加独立于数据库管理系统的身份认证、访问控制以及安全传输等手段,在不改变现有应用系统使用模式的前提下,实现对多平台下的异构数据库管理系统的安全增强。
附图说明
图1软件系统组成
图2数据管控系统软件的体系架构
图3工作流程图
图4身份关联探针工作机制
图5身份关联探针学习过程
图6安全通信模块工作机制
图7授权管理模块组成
图8授权管理原理
图9访问控制模块组成
图10访问过滤工作流程
图11SQL分析流程
图12访问阻断模式工作流程
图13安全审计代理模块
图14安全审计工作流程
具体实施方式
本发明的核心为数据库安全访问控制控制软件,如图1所示,软件包括客户端和服务端两部分,共7个模块组成。
数据库安全访问控制软件七个功能模块主要功能分别为:
身份关联探针:身份关联探针部署在应用服务器上,负责获取前端用户的身份信息,并将用户身份信息与访问控制请求的对应关系发送至数据库安全访问控制软件;
安全通信模块:安全通信模块部署在应用服务器和访问控制服务器上,负责实现应用服务器到数据库服务器之间的安全数据交换;
身份获取模块:身份获取模块在访问控制服务器收到访问请求时,获取访问发起端用户的USBKey身份信息;
授权管理模块:授权管理模块基于终端用户的USBKey身份信息,提供独立于数据库管理系统的细粒度授权和权限管理等功能;
访问控制模块:访问控制模块根据终端用户的USBKey身份信息,对访问请求进行基于预定规则的访问过滤和基于USBKey的访问控制;
安全审计模块:安全审计模块记录不同用户访问数据的各类操作和执行结果,为数据库访问行为分析和攻击溯源提供支撑;
配置管理模块:配置管理模块对数据库访问控制安全增强软件进行统一配置和管理。
数据库安全访问控制软件的体系架构如图2所示:
客户端软件部署在访问数据库的应用服务器上,服务端软件在串接于数据库服务器之前的访问控制服务器上。客户端软件采用过滤驱动技术,对应用服务器产生的数据库访问请求进行拦截处理,因此无需对应用服务器承载的应用进行修改;访问控制服务器串接在数据库服务器之前,在访问请求到达数据库之前,根据访问发起用户的权限信息进行访问控制、攻击语句屏蔽,保证数据库存储信息的安全可控;另外通过增加安全通信模块,实现应用服务器到数据库(访问控制服务器)之间的加密通信,防止监听嗅探等数据库攻击手段。
数据库安全访问控制软件的工作流程如图3所示。
数据库安全访问控制软件的工作流程可以分为终端关联和访问控制两个阶段,终端关联阶段工作流程如下:
步骤1:终端向应用服务器发起访问请求,建立通信通道;
步骤2:应用服务器验证终端身份;终端将USBKey中的证书信息发送至应用服务器,应用服务器通过认证服务器完成对终端的身份认证;
步骤3:应用服务器上部署的身份关联探针获取终端用户身份信息,并将终端用户身份与其后续的数据库访问行为进行关联;
步骤4:应用服务器向数据库服务器发起访问请求,访问控制服务器接管访问请求,与应用服务器建立通信通道;
步骤5:访问控制服务器通过认证服务器验证应用服务器身份。
访问控制阶段工作流程如下:
步骤1:在完成身份关联后,终端向应用服务器发起访问请求,准备通过应用进行数据库操作;
步骤2:应用服务器对用户的访问请求进行响应,根据终端的操作生成数据库访问请求;
步骤3:客户端通过过滤驱动截获数据库访问请求,根据用身份关联探针获取的用户身份与访问行为的关联信息,将访问请求对应的终端身份与访问请求一起封装为专用访问协议;
步骤4:客户端将专用访问请求进行转发;
步骤5:前置的访问控制服务器代替数据库服务器接管访问请求,丢弃非专用访问协议的请求,并还原数据库访问请求,提取终端身份信息;
步骤6:访问控制服务器根据预置的访问控制规则,对访问请求进行过滤,访问规则包括黑白名单规则、SQL特征规则、基于USBKey的授权规则、模式规则等;
步骤7:访问控制服务器在完成访问请求过滤后,将访问请求转送至数据库服务器;
步骤8:数据库服务器在操作执行结束后,返回数据库操作结果;
步骤9:访问控制服务器对返回的数据库操作结果进行协议转换;
步骤10:访问控制服务器将数据库操作结果返回应用服务器;
步骤11:应用服务器上的客户端截获返回的结果,对返回结果进行还原;
步骤12:应用服务器根据返回结果,对用户的应用请求进行响应,将应用执行结果返回至终端用户。
下面结合数据库安全访问控制软件模块功能,对本发明内容进行详细说明。
身份关联探针
身份关联探针部署在应用服务器上,负责获取前端用户的身份信息,并将用户身份信息与访问请求的对应关系发送至数据库安全访问控制软件,身份关联探针的工作机制如图4所示。
目前80%的应用系统都是基于B/S结构的三层部署模式,在这种部署方式中,所有对后台数据库访问都是通过Web应用服务器或中间件来执行的,前端Web用户并不会直接对数据库进行操作。身份关联探针将Web应用的用户身份与该用户针对数据库进行的操作进行关联,将数据库操作序列对应的用户身份信息通过安全通信模块融入数据库访问请求,实现对终端用户数据库操作全过程的记录、管控。
身份关联探针通过自动学习,在用户访问序列(HTTP操作)和数据库操作序列(SQL语句)之间建立关系模型,另外结合用户访问序列与数据库操作序列之间的时序关联关系,建立用户HTTP操作到SQL语句操作的关联规则。身份关联探针的学习过程如图5所示。
身份关联探针的学习过程如下:
步骤1:设置训练起点及训练目标;身份关联探针能够记录用户访问序列,在训练开始前,身份关联探针设置训练起点及训练目标,以之后的访问序列及数据库操作序列为训练数据;
步骤2:设定匹配模板;根据应用系统特点,设定规则训练模型的匹配模板,设定内容包括正常用户的使用频率、对应的数据库操作类型等内容;
步骤3:基于模板和访问流量进行模型训练;根据设定的匹配模板,利用网络中正常业务访问数据进行模型在线学习;
步骤4:模型成熟度判定;当训练样本达到训练目标是,对模型成熟度进行判定,若成熟度满足训练目标,对模型进行固化;
步骤5:修改模型,重新训练;当模型成熟度不满足训练目标,修改模型,对模型进行重新训练;当模型已经固化后,成熟度判定负责对正常的业务数据进行监测,对模型进行更新和修正。
安全通信模块
安全通信模块部署在应用服务器和访问控制服务器上,负责实现应用服务器到数据库服务器之间的安全数据交换,Linux环境下,安全通信模块的工作机制如图6所示。
安全通信路径建立过程如下:
(1)客户端截获用户访问数据库的请求(Linux环境下采用Netfilter机制在网络层完成数据包截获),将数据包中的数据库应用请求和身份关联探针获取的终端身份一起进行加密,转换为系统专用格式;
(2)客户端将专用格式数据包发送至访问控制服务器;
(3)访问控制服务器上的访问控制服务端验证访问请求的协议类型,丢弃非系统专用格式的访问请求;
(4)访问控制服务端将系统专用格式访问请求进行解密,还原数据库应用请求和终端身份信息,实现应用服务器到访问控制服务器的安全通道建立。
身份获取模块
访问控制服务端在接收到专用访问协议后,通过安全通信模块对专用访问协议进行还原,身份获取模块在协议还原过程中,将负载其中的终端用户身份信息进行还原。该模块为授权管理模块、访问控制模块、安全审计模块提供身份信息。
授权管理模块
授权管理模块基于终端用户、应用服务器的身份信息,为终端用户、应用服务器提供独立于数据库管理系统的细粒度授权和权限管理等功能。
授权管理模块基于终端用户、应用服务器的身份信息,为终端用户、应用服务器提供独立于数据库管理系统的细粒度授权和权限管理等功能。授权管理模块主要包括用户身份管理、用户授权及策略管理三个子功能模块,如图7所示。
a)用户身份管理子模块
用户身份管理子模块提供终端用户、应用服务器与USBKey的绑定,USBKey注册、查询、修改等一系列身份管理功能,并提供对应的账号集中管理与维护功能。
b)用户授权子模块
用户授权子模块将具有相同权限的终端用户、应用服务器进行归类形成群体,将资源归类后形成权限进而形成角色,最后建立群体到角色的映射,形成用户权限列表,实现用户授权。
c)策略管理子模块
策略管理子模块根据用户授权子模块提供的资源授权信息,为各基表、视图生成访问控制策略;根据用户授权子模块提供的角色—授权映射,将需要保护的基表与用户进行关联或者主客体标记,形成用户权限列表对应的授权策略。当用户权限列表发生改变时,策略管理子模块根据变化内容,同步修改授权策略。
授权管理模块的工作原理如图8所示。
授权管理模块的工作流程如下:
(1)授权管理模块的用户身份管理子模块通过证书管理系统/USBKey登记表,获取USBKey列表;
(2)用户身份管理子模块根据终端用户与USBKey的对应关系,将终端用户与USBKey进行关联绑定,形成身份关联列表;
(3)用户身份管理子模块将身份关联列表发送至访问控制模块的访问过滤子模块,访问过滤子模块依据身份关联列表生成白名单规则;
(4)用户身份管理子模块将身份关联列表发送至用户授权子模块,安全管理员根据用户权限,通过用户授权子模块将身份关联列表中的用户信息进行角色映射,形成角色信息表;
(5)用户授权子模块根据数据库管理系统中的资源列表,制定授权信息表,授权信息表中内容包括可访问的资源(数据库表、记录、字段)以及能够执行的操作(查询、插入、更改、删除);
(6)用户授权子模块将授权信息表中的资源和对应的操作抽象为权限,形成权限信息表;
(7)安全管理员通过用户授权子模块,为角色分配权限,将角色信息表与权限信息表进行关联;
(8)访问过滤子模块根据授权信息表,为被保护的系统表生成访问控制函数;
(9)策略管理子模块根据权限信息表,为访问过滤子模块提供访问控制策略,完成基于USBKey的授权管理。
访问控制模块
访问控制模块根据访问发起端用户身份,对访问请求进行基于预定规则的访问过滤和基于USBKey的访问控制。
访问控制模块提供黑白名单过滤,对已知数据库攻击行为进行屏蔽;同时采用透明多层视图的方法实现基于角色的细粒度访问控制功能,屏蔽用户对系统表的直接访问,对系统表进行保护。访问控制模块主要包括访问过滤、规则管理和阻断告警三个子功能模块组成,如图9所示。
在访问控制过程中,各模块的功能分别为:
a)访问过滤子模块
访问过滤子模块提供基于规则的访问过滤功能,包括白名单规则、黑名单规则、关键字规则等,每种规则都可以从身份信息、IP、MAC、时间段、用户名、数据库名、表明、字段名等细粒度的条件进行设置,访问过滤子模块的工作流程如图10所示。
例外规则为主体规则中的例外情况提供处理依据,具有速度快的特点;
核心规则为系统的主体规则,基于SQL语句分类进行授权判断;
后置规则对主体规则的修正补充,放宽或者收紧处理策略,另外还负责处理之前规则未完成匹配的语句。
核心规则过滤以及后续访问管理需要对数据库访问请求进行分析,对访问语句的分析过程如图11所示。
访问过滤子模块采用递归的方式实现对SQL语句的解析,具体过程如下:
1)识别语句首个单词符号:若单词符号为UPDATE、INSERT、DELETE则转至2),若单词符号为SELECT则转至3),若单词符号为FROM、WHERE则转至6);
2)根据单词符号类型,识别对应单词符号后的表名,将其存入HashSet中,之后转至1);
3)识别SELECT单词符号后的字段名,并存入HashSet中,若SELECT后包含JOIN等关键字则转至4),若SELECT后语句包含“(”,则转至5);
4)获取JOIN、UNION、MINUS等关键字后的表名,将其存入HashSet中,之后转至1);
5)查找对应的“)”,对“(”与“)”之间子句,进行SQL解析递归调用;
6)取得FROM、WHERE之后的子句,进行SQL解析递归调用。
访问过滤子模块对SQL语句进行解析,将访问请求中涉及的操作类型和对应的数据表项记录在HashSet中,通过与对应黑白名单进行对比,确定是否对语句进行过滤。
核心规则根据授权管理模块提供的授权规则,实现基于USBKey身份的细粒度访问控制,访问控制原理如图12所示。
1)访问请求经过初步访问过滤后交由访问管理子模块,访问管理子模块通过用户身份获取模块,获取当前访问请求发起端;
2)访问管理子模块根据获取的用户身份信息,向授权管理模块请求对应的授权信息表;
3)访问管理子模块根据访问过滤子模块的SQL分析结果,获取访问请求涉及的表名、操作类型信息;
4)访问管理子模块根据授权信息表,判断访问是否满足对应权限,对于满足权限的访问请求进行放行,对于不符合权限要求的访问请求进行阻断。
b)规则管理子模块
规则管理子模块根据授权管理模块提供的用户权限列表,管理各用户、基表、视图的访问控制策略。规则管理模块根据访问控制策略,将需要保护的基表与用户进行关联或者主客体标记,形成用户权限列表;规则管理模块接收授权管理模块的权限列表,根据预先建立策略模板对用户权限列表中的每一项记录生成一条访问控制策略,访问控制粒度涵盖对表、列、元素、记录级。当用户权限列表发生改变时,策略管理子模块根据变化内容,同步修改管理策略。
另外,规则管理模块根据访问发起端的USBKey信息,将对应的规则提供给访问过滤子模块。
c)阻断告警子模块
阻断告警子模块在发现数据库攻击行为、违规访问时对访问语句进行过滤控制,根据预先制定的策略进行响应,响应方式包括拦截语句、中断会话等,同时发出告警信息。
安全审计模块
安全审计模块提供对数据库访问控制安全增强软件的日志进行集中采集、集中管理。安全审计模块负责对用户连接数据库、用户行为特征、操作行为等重要事件和违规操作进行审计记录。主要审计项描述如下所示:
1)用户连接数据库审计:审计用户连接数据库的信息,审计内容包括时间、USBKeyID、访问对象、操作事件类型、处理结果;
2)用户行为特征审计:审计用户使用数据库的行为特征,审计内容包括登录IP、登录时长、登录间歇、访问对象、操作类型、操作间歇;
3)操作行为审计:审计用户的数据库操作行为,可对非授权用户访问行为、数据库攻击行为、越权访问行为进行审计,审计内容包括时间、主客体名称、事件类型、事件处理结果。
安全审计模块通过在身份获取模块、授权管理模块、访问控制模块中嵌入安全审计代理将各种安全审计信息进行集中采集,解析后生成归一化的结构数据并存储,供上层应用二次分析和展示。如图13所示。
安全审计模块的工作流程如图14所示。
配置管理模块
配置管理模块提供对数据库访问控制安全增强软件的运行参数、策略的统一配置管理。包括软件基本参数配置、黑白名单配置、访问控制策略配置、审计告警策略配置四个功能子模块。
1)软件基本参数配置:软件基本参数配置管理主要负责确定软件的工作模式,并完成软件的初始化配置。对于主路模式,软件初始化配置包括管理员初始化、访问控制策略初始化、访问控制服务器初始化、密码认证网关信息路由初始化、安全管理设备路由初始化;对于旁路模式,数据库访问控制安全增强软件初始化配置包括管理员初始化、访问控制策略初始化、密码认证网关路由初始化、访问控制服务器路由初始化。
2)黑白名单配置:黑白名单配置主要负责制定用户黑白名单、访问语句黑名单、源地址黑白名单以及其它规则的黑白名单。
3)访问控制策略配置:访问控制策略配置主要负责配置各种访问规则的选用和访问控制机制的选用。访问规则包括各种黑白名单规则、授权检验函数等;访问控制机制包括访问阻断和访问改写两种。
4)审计告警策略配置:审计告警策略配置主要负责审计策略的配置、违规事件定义以及违规事件响应策略制定。
Claims (1)
1.一种基于独立授权的数据库安全访问控制方法,其特征在于:访问控制服务器串接在数据库服务器之前,并连接到防火墙;防火墙还分别连接到应用服务器和应用服务器上;
具体工作流程分为终端关联和访问控制两个阶段,终端关联阶段工作流程如下:
步骤1:终端向应用服务器发起访问请求,建立通信通道;
步骤2:应用服务器验证终端身份;终端将USBKey中的证书信息发送至应用服务器,应用服务器通过认证服务器完成对终端的身份认证;
步骤3:应用服务器上部署的身份关联探针获取终端用户身份信息,并将终端用户身份与其后续的数据库访问行为进行关联;
步骤4:应用服务器向数据库服务器发起访问请求,访问控制服务器接管访问请求,与应用服务器建立通信通道;
步骤5:访问控制服务器通过认证服务器验证应用服务器身份;
访问控制阶段工作流程如下:
步骤1:在完成身份关联后,终端向应用服务器发起访问请求,准备通过应用进行数据库操作;
步骤2:应用服务器对用户的访问请求进行响应,根据终端的操作生成数据库访问请求;
步骤3:客户端通过过滤驱动截获数据库访问请求,根据用身份关联探针获取的用户身份与访问行为的关联信息,将访问请求对应的终端身份与访问请求一起封装为专用访问协议;
步骤4:客户端将专用访问请求进行转发;
步骤5:前置的访问控制服务器代替数据库服务器接管访问请求,丢弃非专用访问协议的请求,并还原数据库访问请求,提取终端身份信息;
步骤6:访问控制服务器根据预置的访问控制规则,对访问请求进行过滤;
步骤7:访问控制服务器在完成访问请求过滤后,将访问请求转送至数据库服务器;
步骤8:数据库服务器在操作执行结束后,返回数据库操作结果;
步骤9:访问控制服务器对返回的数据库操作结果进行协议转换;
步骤10:访问控制服务器将数据库操作结果返回应用服务器;
步骤11:应用服务器上的客户端截获返回的结果,对返回结果进行还原;
步骤12:应用服务器根据返回结果,对用户的应用请求进行响应,将应用执行结果返回至终端用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410294430.9A CN104166812B (zh) | 2014-06-25 | 2014-06-25 | 一种基于独立授权的数据库安全访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410294430.9A CN104166812B (zh) | 2014-06-25 | 2014-06-25 | 一种基于独立授权的数据库安全访问控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104166812A true CN104166812A (zh) | 2014-11-26 |
| CN104166812B CN104166812B (zh) | 2017-05-24 |
Family
ID=51910621
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410294430.9A Active CN104166812B (zh) | 2014-06-25 | 2014-06-25 | 一种基于独立授权的数据库安全访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104166812B (zh) |
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104504014A (zh) * | 2014-12-10 | 2015-04-08 | 无锡城市云计算中心有限公司 | 基于大数据平台的数据处理方法和装置 |
| CN105404803A (zh) * | 2015-10-30 | 2016-03-16 | 北京奇虎科技有限公司 | 用于终端设备的操作响应装置及操作响应方法 |
| CN105812338A (zh) * | 2014-12-31 | 2016-07-27 | 中国移动通信集团公司 | 一种数据访问管控方法及网络管理设备 |
| CN105897557A (zh) * | 2016-05-18 | 2016-08-24 | 海侣(上海)投资管理中心(有限合伙) | 即时通信方法及系统 |
| CN107766751A (zh) * | 2016-08-18 | 2018-03-06 | 中国移动通信有限公司研究院 | 一种访问控制方法、装置、电子设备及安全芯片 |
| CN107832618A (zh) * | 2017-09-20 | 2018-03-23 | 武汉虹旭信息技术有限责任公司 | 一种基于细粒度权限控制的sql注入检测系统及其方法 |
| CN108123932A (zh) * | 2017-12-01 | 2018-06-05 | 杭州美创科技有限公司 | 三层架构下数据库终端身份识别的方法 |
| CN108475220A (zh) * | 2016-03-31 | 2018-08-31 | 甲骨文国际公司 | 用于集成事务中间件平台与集中式审计框架的系统和方法 |
| CN108834146A (zh) * | 2018-06-22 | 2018-11-16 | 武汉彤科电力科技有限公司 | 一种终端与认证网关之间的双向身份认证方法 |
| CN109614429A (zh) * | 2018-12-03 | 2019-04-12 | 北京安华金和科技有限公司 | 基于内核驱动实现应用访问和数据库访问行为关联的方法 |
| CN110515808A (zh) * | 2019-09-02 | 2019-11-29 | 北京博睿宏远数据科技股份有限公司 | 数据库监控方法、装置、计算机设备及存储介质 |
| CN110770731A (zh) * | 2017-06-28 | 2020-02-07 | 苹果公司 | 授权系统 |
| CN110968848A (zh) * | 2018-09-29 | 2020-04-07 | 北京奇虎科技有限公司 | 基于用户的权限管理方法、装置及计算设备 |
| CN111159155A (zh) * | 2019-12-31 | 2020-05-15 | 管华明 | 基于大数据的数据库安全保障系统及方法 |
| CN111274461A (zh) * | 2020-01-14 | 2020-06-12 | 深信服科技股份有限公司 | 数据审计方法、数据审计装置及存储介质 |
| CN112000992A (zh) * | 2020-10-29 | 2020-11-27 | 腾讯科技(深圳)有限公司 | 数据防泄漏保护方法、装置、计算机可读介质及电子设备 |
| US20200380008A1 (en) * | 2019-05-31 | 2020-12-03 | Snowflake Inc. | Sharing data in a data exchange using listings |
| CN112199700A (zh) * | 2020-10-14 | 2021-01-08 | 北京理工大学 | 一种mes数据系统的安全管理方法及系统 |
| CN112487483A (zh) * | 2020-12-14 | 2021-03-12 | 深圳昂楷科技有限公司 | 一种加密数据库流量审计方法及装置 |
| CN112527897A (zh) * | 2020-12-01 | 2021-03-19 | 深圳市鹰硕技术有限公司 | 一种数据处理方法及系统 |
| CN113010911A (zh) * | 2021-02-07 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种数据访问控制方法、装置及计算机可读存储介质 |
| CN113037724A (zh) * | 2021-02-26 | 2021-06-25 | 中国银联股份有限公司 | 一种检测非法访问的方法及装置 |
| CN113067886A (zh) * | 2021-03-30 | 2021-07-02 | 深圳红途创程科技有限公司 | 数据库三层关联审计方法、装置、计算机设备及存储介质 |
| CN113268517A (zh) * | 2020-02-14 | 2021-08-17 | 中电长城网际系统应用有限公司 | 数据分析方法和装置、电子设备、可读介质 |
| CN114554310A (zh) * | 2022-01-04 | 2022-05-27 | 云南电网有限责任公司 | 一种电力计量嗅探系统和方法 |
| CN115150199A (zh) * | 2022-09-02 | 2022-10-04 | 北京中安星云软件技术有限公司 | 一种数据库运维客户端账户管控方法、系统、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060143189A1 (en) * | 2003-07-11 | 2006-06-29 | Nippon Telegraph And Telephone Corporation | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program |
| CN1858738A (zh) * | 2006-02-15 | 2006-11-08 | 华为技术有限公司 | 访问数据库的方法及装置 |
| US20060294103A1 (en) * | 2005-06-28 | 2006-12-28 | Wood Douglas A | Security and authorization in management agents |
| CN101071435A (zh) * | 2007-06-08 | 2007-11-14 | 中兴通讯股份有限公司 | 一种基于嵌入式数据库的分布式访问方法 |
| CN101155055A (zh) * | 2006-09-28 | 2008-04-02 | 华为技术有限公司 | 一种下一代网络的用户管理方法和系统 |
| CN101515931A (zh) * | 2009-03-24 | 2009-08-26 | 北京理工大学 | 一种基于代理方式的数据库安全增强方法 |
-
2014
- 2014-06-25 CN CN201410294430.9A patent/CN104166812B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060143189A1 (en) * | 2003-07-11 | 2006-06-29 | Nippon Telegraph And Telephone Corporation | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program |
| US20060294103A1 (en) * | 2005-06-28 | 2006-12-28 | Wood Douglas A | Security and authorization in management agents |
| CN1858738A (zh) * | 2006-02-15 | 2006-11-08 | 华为技术有限公司 | 访问数据库的方法及装置 |
| CN101155055A (zh) * | 2006-09-28 | 2008-04-02 | 华为技术有限公司 | 一种下一代网络的用户管理方法和系统 |
| CN101071435A (zh) * | 2007-06-08 | 2007-11-14 | 中兴通讯股份有限公司 | 一种基于嵌入式数据库的分布式访问方法 |
| CN101515931A (zh) * | 2009-03-24 | 2009-08-26 | 北京理工大学 | 一种基于代理方式的数据库安全增强方法 |
Cited By (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104504014A (zh) * | 2014-12-10 | 2015-04-08 | 无锡城市云计算中心有限公司 | 基于大数据平台的数据处理方法和装置 |
| CN104504014B (zh) * | 2014-12-10 | 2018-03-13 | 无锡城市云计算中心有限公司 | 基于大数据平台的数据处理方法和装置 |
| CN105812338A (zh) * | 2014-12-31 | 2016-07-27 | 中国移动通信集团公司 | 一种数据访问管控方法及网络管理设备 |
| CN105404803A (zh) * | 2015-10-30 | 2016-03-16 | 北京奇虎科技有限公司 | 用于终端设备的操作响应装置及操作响应方法 |
| CN108475220A (zh) * | 2016-03-31 | 2018-08-31 | 甲骨文国际公司 | 用于集成事务中间件平台与集中式审计框架的系统和方法 |
| CN108475220B (zh) * | 2016-03-31 | 2021-11-02 | 甲骨文国际公司 | 用于集成事务中间件平台与集中式审计框架的系统和方法 |
| CN105897557B (zh) * | 2016-05-18 | 2019-04-09 | 海侣(上海)投资管理中心(有限合伙) | 即时通信方法及系统 |
| CN105897557A (zh) * | 2016-05-18 | 2016-08-24 | 海侣(上海)投资管理中心(有限合伙) | 即时通信方法及系统 |
| CN107766751A (zh) * | 2016-08-18 | 2018-03-06 | 中国移动通信有限公司研究院 | 一种访问控制方法、装置、电子设备及安全芯片 |
| CN110770731B (zh) * | 2017-06-28 | 2023-11-28 | 苹果公司 | 授权系统 |
| CN110770731A (zh) * | 2017-06-28 | 2020-02-07 | 苹果公司 | 授权系统 |
| US11663310B2 (en) | 2017-06-28 | 2023-05-30 | Apple Inc. | Entitlement system |
| CN107832618A (zh) * | 2017-09-20 | 2018-03-23 | 武汉虹旭信息技术有限责任公司 | 一种基于细粒度权限控制的sql注入检测系统及其方法 |
| CN107832618B (zh) * | 2017-09-20 | 2019-12-24 | 武汉虹旭信息技术有限责任公司 | 一种基于细粒度权限控制的sql注入检测系统及其方法 |
| CN108123932B (zh) * | 2017-12-01 | 2019-09-24 | 杭州美创科技有限公司 | 三层架构下数据库终端身份识别的方法 |
| CN108123932A (zh) * | 2017-12-01 | 2018-06-05 | 杭州美创科技有限公司 | 三层架构下数据库终端身份识别的方法 |
| CN108834146A (zh) * | 2018-06-22 | 2018-11-16 | 武汉彤科电力科技有限公司 | 一种终端与认证网关之间的双向身份认证方法 |
| CN110968848B (zh) * | 2018-09-29 | 2023-12-05 | 北京奇虎科技有限公司 | 基于用户的权限管理方法、装置及计算设备 |
| CN110968848A (zh) * | 2018-09-29 | 2020-04-07 | 北京奇虎科技有限公司 | 基于用户的权限管理方法、装置及计算设备 |
| CN109614429B (zh) * | 2018-12-03 | 2023-04-07 | 北京安华金和科技有限公司 | 基于内核驱动实现应用访问和数据库访问行为关联的方法 |
| CN109614429A (zh) * | 2018-12-03 | 2019-04-12 | 北京安华金和科技有限公司 | 基于内核驱动实现应用访问和数据库访问行为关联的方法 |
| US20200380008A1 (en) * | 2019-05-31 | 2020-12-03 | Snowflake Inc. | Sharing data in a data exchange using listings |
| CN110515808A (zh) * | 2019-09-02 | 2019-11-29 | 北京博睿宏远数据科技股份有限公司 | 数据库监控方法、装置、计算机设备及存储介质 |
| CN112231297A (zh) * | 2019-12-31 | 2021-01-15 | 管华明 | 基于大数据的数据库安全保障方法 |
| CN111159155A (zh) * | 2019-12-31 | 2020-05-15 | 管华明 | 基于大数据的数据库安全保障系统及方法 |
| CN111274461A (zh) * | 2020-01-14 | 2020-06-12 | 深信服科技股份有限公司 | 数据审计方法、数据审计装置及存储介质 |
| CN113268517B (zh) * | 2020-02-14 | 2024-04-02 | 中电长城网际系统应用有限公司 | 数据分析方法和装置、电子设备、可读介质 |
| CN113268517A (zh) * | 2020-02-14 | 2021-08-17 | 中电长城网际系统应用有限公司 | 数据分析方法和装置、电子设备、可读介质 |
| CN112199700A (zh) * | 2020-10-14 | 2021-01-08 | 北京理工大学 | 一种mes数据系统的安全管理方法及系统 |
| CN112199700B (zh) * | 2020-10-14 | 2022-07-19 | 北京理工大学 | 一种mes数据系统的安全管理方法及系统 |
| CN112000992A (zh) * | 2020-10-29 | 2020-11-27 | 腾讯科技(深圳)有限公司 | 数据防泄漏保护方法、装置、计算机可读介质及电子设备 |
| CN112527897A (zh) * | 2020-12-01 | 2021-03-19 | 深圳市鹰硕技术有限公司 | 一种数据处理方法及系统 |
| CN112487483A (zh) * | 2020-12-14 | 2021-03-12 | 深圳昂楷科技有限公司 | 一种加密数据库流量审计方法及装置 |
| CN113010911A (zh) * | 2021-02-07 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种数据访问控制方法、装置及计算机可读存储介质 |
| CN113037724A (zh) * | 2021-02-26 | 2021-06-25 | 中国银联股份有限公司 | 一种检测非法访问的方法及装置 |
| CN113037724B (zh) * | 2021-02-26 | 2023-12-15 | 中国银联股份有限公司 | 一种检测非法访问的方法及装置 |
| CN113067886A (zh) * | 2021-03-30 | 2021-07-02 | 深圳红途创程科技有限公司 | 数据库三层关联审计方法、装置、计算机设备及存储介质 |
| CN114554310A (zh) * | 2022-01-04 | 2022-05-27 | 云南电网有限责任公司 | 一种电力计量嗅探系统和方法 |
| CN114554310B (zh) * | 2022-01-04 | 2024-03-22 | 云南电网有限责任公司 | 一种电力计量嗅探系统和方法 |
| CN115150199A (zh) * | 2022-09-02 | 2022-10-04 | 北京中安星云软件技术有限公司 | 一种数据库运维客户端账户管控方法、系统、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104166812B (zh) | 2017-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104166812B (zh) | 一种基于独立授权的数据库安全访问控制方法 | |
| CN114978584A (zh) | 基于单位单元的网络安全防护安全方法及系统 | |
| CN110443048A (zh) | 数据中心查数系统 | |
| CN112765245A (zh) | 一种电子政务大数据处理平台 | |
| CN109462599B (zh) | 一种蜜罐管理系统 | |
| CN115733681A (zh) | 一种防止数据丢失的数据安全管理平台 | |
| CN103442354B (zh) | 一种移动警务终端安全管控系统 | |
| KR102542720B1 (ko) | 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템 | |
| CN114372286A (zh) | 数据安全管理方法、装置、计算机设备及存储介质 | |
| CN112270011B (zh) | 对现存应用系统的业务及数据安全防护方法、装置及系统 | |
| CN108259432A (zh) | 一种api调用的管理方法、设备及系统 | |
| Bailey et al. | Self-adaptive authorization framework for policy based RBAC/ABAC models | |
| CN114003943B (zh) | 一种用于机房托管管理的安全双控管理平台 | |
| CN105635046A (zh) | 一种数据库命令行过滤、阻断审计方法和装置 | |
| CN114157457A (zh) | 一种网络数据信息安全用的权限申请及监控方法 | |
| KR20140035146A (ko) | 정보보안 장치 및 방법 | |
| CN100586123C (zh) | 基于角色管理的安全审计方法及系统 | |
| Xu et al. | Network security | |
| CN101635704A (zh) | 一种基于可信技术的应用安全交换平台 | |
| CN114218194A (zh) | 数据银行安全系统 | |
| CN105933300A (zh) | 一种安全管理方法及装置 | |
| CN115296936A (zh) | 一种反网络犯罪辅侦的自动化方法及系统 | |
| CN113194088B (zh) | 访问拦截方法、装置、日志服务器和计算机可读存储介质 | |
| Kadebu et al. | A security requirements perspective towards a secured nosql database environment | |
| CN108600178A (zh) | 一种征信数据的安全保障方法及系统、征信平台 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |