CN108038372A - 一种数据库访问管理方法和装置 - Google Patents
一种数据库访问管理方法和装置 Download PDFInfo
- Publication number
- CN108038372A CN108038372A CN201711292308.8A CN201711292308A CN108038372A CN 108038372 A CN108038372 A CN 108038372A CN 201711292308 A CN201711292308 A CN 201711292308A CN 108038372 A CN108038372 A CN 108038372A
- Authority
- CN
- China
- Prior art keywords
- database
- white list
- monitor
- access request
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
本发明公开了一种数据库访问管理方法和装置。涉及信息安全技术;解决了网络攻击造成数据库信息泄露、影响数据库性能等问题。该方法包括:数据库的监听器在接收到访问请求时,查询所述访问请求的来源是否处于预置的白名单中;在所述访问请求的来源不在所述白名单中时,所述监听器拒绝所述访问请求。本发明提供的技术方案适用于数据库访问管理,实现了低负载的数据库安全保障方案。
Description
技术领域
本发明涉及信息安全技术,尤指一种数据库访问管理方法和装置。
背景技术
现阶段,K-DB等数据库的监听器只是起到一个连接客户端和数据库的一个桥梁的作用,准入限制层在数据库里面,由数据库对访问请求进行过滤和限制。这会带来两方面比较严重的问题:一方面,在数据库里面做判断和限制时,当在网络攻击的时候产生大量的数据库负载,严重影响数据库性能;另一方面,将用户请求的准入判断机制放在数据库层面,可能会给黑客攻击带来极大方便,严重时可能破译数据库系统表信息,登入数据库进行破坏。
发明内容
为了解决上述技术问题,本发明提供了一种数据库访问管理方法和装置,把用户请求的准入判断机制剥离出数据库层面,集成到监听器上,从监听器上进行白名单准入机制,最大限度降低数据库负载,解决了网络攻击造成数据库信息泄露、影响数据库性能等问题。
为了达到本发明目的,本发明提供了一种数据库访问管理方法,包括:
数据库的监听器在接收到访问请求时,查询所述访问请求的来源是否处于预置的白名单中;
在所述访问请求的来源不在所述白名单中时,所述监听器拒绝所述访问请求。
优选的,该方法还包括:
修改所述监听器的配置文件,将所述白名单的路径写入所述监听器的配置文件中。
优选的,数据库的监听器在接收到访问请求时,查询所述访问请求的来源是否处于预置的白名单中的步骤之前,还包括:
所述监听器启动后载入所述白名单。
优选的,数据库的监听器在接收到访问请求时,查询所述访问请求的来源是否处于预置的白名单中的步骤之后,还包括:
在所述访问请求的来源在所述白名单中时,所述监听器将所述访问请求连接至所述数据库,在所述数据库中进行进一步匹配。
优选的,所述白名单具体为IP地址白名单。
本发明还提供了一种数据库访问管理装置,包括:
白名单匹配模块,用于在监听器接收到访问请求时,查询所述访问请求的来源是否处于预置的白名单中;
访问限制模块,用于在所述访问请求的来源不在所述白名单中时,拒绝所述访问请求。
优选的,该装置还包括:
配置模块,用于修改所述监听器的配置文件,将所述白名单的路径写入所述监听器的配置文件中。
优选的,所述白名单匹配模块,还用于启动后载入所述白名单。
优选的,所述访问限制模块,还用于在所述访问请求的来源在所述白名单中时,将所述访问请求连接至所述数据库,在所述数据库中进行进一步匹配。
本发明提供了一种数据库访问管理方法和装置,数据库的监听器在接收到访问请求时,查询所述访问请求的来源是否处于预置的白名单中,在所述访问请求的来源不在所述白名单中时,所述监听器拒绝所述访问请求。通过基于白名单的监听器访问限制,保证了数据库信息的安全性,实现了低负载的数据库安全保障方案,解决了网络攻击造成数据库信息泄露、影响数据库性能等问题。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明的实施例一提供的一种数据库访问管理方法的流程示意图;
图2为本发明的实施例一提供的数据库访问管理方法与现有的访问方式的访问路径对比示意图;
图3为本发明的实施例二提供的一种数据库访问管理装置的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
K-DB等数据库的监听器在接收到用户的请求后,在监听器上不做任何判断,直接把用户请求接入数据库中,在数据库里面,通过对比数据库里面的系统表判断该请求的用户信息是否合法。这种登录准入机制存在严重的漏洞,黑客可以利用此漏洞很简单的登录到数据库里面进行各种操作,并且在数据库在做判断和准入动作时会带来数据库负载,大量的并发操作将严重影响数据库性能。现阶段,没有一种很好的方法可以在数据库之外,或者说在监听器上来限制或允许用户的准入。
为了解决上述问题,本发明的实施例提供了一种数据库访问管理方法和装置。把用户请求的准入判断机制剥离出数据库层面,集成到监听器上。从监听器上进行白名单准入机制,最大限度降低数据库负载,解决了网络攻击造成数据库信息泄露、影响数据库性能等问题。
首先结合附图,对本发明的实施例一进行说明。
本发明实施例提供了一种数据库访问管理方法,使用该方法完成对访问请求的过滤限制的流程如图1所示,包括:
步骤101、修改所述监听器的配置文件,将所述白名单的路径写入监听器的配置文件中;
本发明实施例中,所述白名单具体为IP地址白名单。
本步骤中,修改监听器配置文件,把白名单文件的路径写入监听器配置文件中,这样在启动监听器后白名单信息就可以自动载入监听器中。
具体的,首先修改监听器配置文件,把白名单触发参数、白名单文件的路径参数等写入监听器配置文件,并且配置好白名单文件(白名单文件内容为允许准入的客户端IP地址信息)。
步骤102、所述监听器启动后载入所述白名单;
本步骤中,启动监听器,监听器将自动载入白名单并开启白名单检查功能。
步骤103、数据库的监听器在接收到访问请求时,查询所述访问请求的来源是否处于预置的白名单中;
本步骤中,用户发出的访问请求等信息在通过监听器时,将由监听器进行过滤,监听器将自动匹配用户的白名单,进行白名单检查。
步骤104、在所述访问请求的来源在所述白名单中时,所述监听器将所述访问请求连接至所述数据库,在所述数据库中进行进一步匹配;
本步骤中,如果访问请求的来源(如用户的IP地址)在白名单中将放行,允许接入数据库,用户请求将被连接至数据库,在数据库中做进一步的匹配,在数据库层面做进一步的用户名和密码的检查等。
步骤105、在所述访问请求的来源不在所述白名单中时,所述监听器拒绝所述访问请求;
本步骤中,如果用户的IP地址不在白名单中将拒绝用户的请求,在监听器上直接限制,禁止用户接入数据库
根据准入的规则,可进行相应白名单内容的调整,然后重新加载监听器即可。实现了随时调整访问限制规则,简单方便。
使用本发明实施例提供的数据库访问管理方法进行访问与现有的访问方式的访问路径如图2所示。其中,虚线箭头表示现有访问方式的访问路径,实线箭头表示本发明实施例提供的方法的访问路径。
下面结合附图,对本发明的实施例二进行说明。
本发明实施例提供了一种数据库访问管理装置,其结构如图3所示,包括:
白名单匹配模块301,用于在监听器接收到访问请求时,查询所述访问请求的来源是否处于预置的白名单中;
访问限制模块302,用于在所述访问请求的来源不在所述白名单中时,拒绝所述访问请求。
优选的,该装置还包括:
配置模块303,用于修改所述监听器的配置文件,将所述白名单的路径写入所述监听器的配置文件中。
优选的,所述白名单匹配模块301,还用于启动后载入所述白名单。
优选的,所述访问限制模块302,还用于在所述访问请求的来源在所述白名单中时,将所述访问请求连接至所述数据库,在所述数据库中进行进一步匹配。
本发明的实施例提供了一种数据库访问管理方法和装置,数据库的监听器在接收到访问请求时,查询所述访问请求的来源是否处于预置的白名单中,在所述访问请求的来源不在所述白名单中时,所述监听器拒绝所述访问请求。通过基于白名单的监听器访问限制,保证了数据库信息的安全性,实现了低负载的数据库安全保障方案,解决了网络攻击造成数据库信息泄露、影响数据库性能等问题。利用监听器去分担数据库层的部分功能,从而降低了数据库的负载,同时也增强了数据库的安全性
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (9)
1.一种数据库访问管理方法,其特征在于,包括:
数据库的监听器在接收到访问请求时,查询所述访问请求的来源是否处于预置的白名单中;
在所述访问请求的来源不在所述白名单中时,所述监听器拒绝所述访问请求。
2.根据权利要求1所述的数据库访问管理方法,其特征在于,该方法还包括:
修改所述监听器的配置文件,将所述白名单的路径写入所述监听器的配置文件中。
3.根据权利要求1所述的数据库访问管理方法,其特征在于,数据库的监听器在接收到访问请求时,查询所述访问请求的来源是否处于预置的白名单中的步骤之前,还包括:
所述监听器启动后载入所述白名单。
4.根据权利要求1所述的数据库访问管理方法,其特征在于,数据库的监听器在接收到访问请求时,查询所述访问请求的来源是否处于预置的白名单中的步骤之后,还包括:
在所述访问请求的来源在所述白名单中时,所述监听器将所述访问请求连接至所述数据库,在所述数据库中进行进一步匹配。
5.根据权利要求1所述的数据库访问管理方法,其特征在于,所述白名单具体为IP地址白名单。
6.一种数据库访问管理装置,其特征在于,包括:
白名单匹配模块,用于在监听器接收到访问请求时,查询所述访问请求的来源是否处于预置的白名单中;
访问限制模块,用于在所述访问请求的来源不在所述白名单中时,拒绝所述访问请求。
7.根据权利要求6所述的数据库访问管理装置,其特征在于,该装置还包括:
配置模块,用于修改所述监听器的配置文件,将所述白名单的路径写入所述监听器的配置文件中。
8.根据权利要求6所述的数据库访问管理装置,其特征在于,
所述白名单匹配模块,还用于启动后载入所述白名单。
9.根据权利要求6所述的数据库访问管理装置,其特征在于,
所述访问限制模块,还用于在所述访问请求的来源在所述白名单中时,将所述访问请求连接至所述数据库,在所述数据库中进行进一步匹配。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711292308.8A CN108038372A (zh) | 2017-12-08 | 2017-12-08 | 一种数据库访问管理方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711292308.8A CN108038372A (zh) | 2017-12-08 | 2017-12-08 | 一种数据库访问管理方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108038372A true CN108038372A (zh) | 2018-05-15 |
Family
ID=62101523
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711292308.8A Pending CN108038372A (zh) | 2017-12-08 | 2017-12-08 | 一种数据库访问管理方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108038372A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111898124A (zh) * | 2020-08-05 | 2020-11-06 | 腾讯科技(深圳)有限公司 | 进程访问控制方法和装置、存储介质及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102624693A (zh) * | 2011-11-28 | 2012-08-01 | 江苏奇异点网络有限公司 | 白名单可排除的网络访问信息采集方法 |
| CN102915374A (zh) * | 2012-11-07 | 2013-02-06 | 北京搜狐新媒体信息技术有限公司 | 一种控制数据库资源访问的方法、装置及系统 |
| CN103455520A (zh) * | 2012-06-04 | 2013-12-18 | 北京三星通信技术研究有限公司 | 安卓数据库访问的方法及设备 |
| CN105468619A (zh) * | 2014-09-03 | 2016-04-06 | 阿里巴巴集团控股有限公司 | 用于数据库连接池的资源分配方法和装置 |
| CN107370759A (zh) * | 2017-08-30 | 2017-11-21 | 安徽天达网络科技有限公司 | 一种基于ip锁定的网络访问控制系统 |
-
2017
- 2017-12-08 CN CN201711292308.8A patent/CN108038372A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102624693A (zh) * | 2011-11-28 | 2012-08-01 | 江苏奇异点网络有限公司 | 白名单可排除的网络访问信息采集方法 |
| CN103455520A (zh) * | 2012-06-04 | 2013-12-18 | 北京三星通信技术研究有限公司 | 安卓数据库访问的方法及设备 |
| CN102915374A (zh) * | 2012-11-07 | 2013-02-06 | 北京搜狐新媒体信息技术有限公司 | 一种控制数据库资源访问的方法、装置及系统 |
| CN105468619A (zh) * | 2014-09-03 | 2016-04-06 | 阿里巴巴集团控股有限公司 | 用于数据库连接池的资源分配方法和装置 |
| CN107370759A (zh) * | 2017-08-30 | 2017-11-21 | 安徽天达网络科技有限公司 | 一种基于ip锁定的网络访问控制系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111898124A (zh) * | 2020-08-05 | 2020-11-06 | 腾讯科技(深圳)有限公司 | 进程访问控制方法和装置、存储介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11741244B2 (en) | Partial policy evaluation | |
| US9348991B2 (en) | User management of authentication tokens | |
| CN104144158B (zh) | 用于基于策略的自动同意的方法和装置 | |
| KR101213806B1 (ko) | 경량 디렉토리 액세스 프로토콜 트래픽의 보안 | |
| US20130247142A1 (en) | Authentication federation system and id provider device | |
| US9231972B2 (en) | Malicious website identifying method and system | |
| JP2014505960A (ja) | アプリケーション証明のためのシステムおよび方法 | |
| JP2008015936A (ja) | サービスシステムおよびサービスシステム制御方法 | |
| CN110968848B (zh) | 基于用户的权限管理方法、装置及计算设备 | |
| US20140181895A1 (en) | Off campus wireless mobile browser and web filtering system | |
| JP2009151751A (ja) | 承認済みファイルと信頼されたドメインのデータベースを作成及び更新する方法及びシステム | |
| CN111400762A (zh) | 一种针对oracle数据库的动态脱敏方法 | |
| CN107426152B (zh) | 云平台虚实互联环境下多任务安全隔离系统及方法 | |
| CN105847300B (zh) | 企业网络边界设备拓扑结构的可视化方法及装置 | |
| CN110149328A (zh) | 接口鉴权方法、装置、设备及计算机可读存储介质 | |
| JP2012203624A (ja) | 業務情報防護装置および業務情報防護方法、並びにプログラム | |
| US20130310002A1 (en) | Mobile Device Validation | |
| CN105704094A (zh) | 应用访问权限控制方法及装置 | |
| US20170132738A1 (en) | Sexual activity consent tracking | |
| CN108038372A (zh) | 一种数据库访问管理方法和装置 | |
| CN114268494A (zh) | 安全访问方法、系统、设备及介质 | |
| US20040220996A1 (en) | Multi-platform computer network and method of simplifying access to the multi-platform computer network | |
| JP2015195042A (ja) | 業務情報防護装置および業務情報防護方法、並びにプログラム | |
| CN106101149A (zh) | 基于访问控制列表的进程访问控制方法及装置 | |
| CN110430213A (zh) | 业务请求处理方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180515 |
|
| RJ01 | Rejection of invention patent application after publication |