CN109614819B - 一种利用插件提高数据库安全的方法 - Google Patents

一种利用插件提高数据库安全的方法 Download PDF

Info

Publication number
CN109614819B
CN109614819B CN201811463852.9A CN201811463852A CN109614819B CN 109614819 B CN109614819 B CN 109614819B CN 201811463852 A CN201811463852 A CN 201811463852A CN 109614819 B CN109614819 B CN 109614819B
Authority
CN
China
Prior art keywords
strategy
database
encryption
right control
plug
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811463852.9A
Other languages
English (en)
Other versions
CN109614819A (zh
Inventor
杨海峰
刘思成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Dbsec Technology Co ltd
Original Assignee
Beijing Dbsec Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Dbsec Technology Co ltd filed Critical Beijing Dbsec Technology Co ltd
Priority to CN201811463852.9A priority Critical patent/CN109614819B/zh
Publication of CN109614819A publication Critical patent/CN109614819A/zh
Application granted granted Critical
Publication of CN109614819B publication Critical patent/CN109614819B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/52Program synchronisation; Mutual exclusion, e.g. by means of semaphores
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明涉及一种利用插件提高数据库安全的方法,包括以下步骤:将数据库插件、策略同步程序部署在数据库服务器上,将权控加密机部署在另外一台计算机上;在目标敏感表中添加加密算法和权限控制;权控加密机将策略同步到数据库服务器的策略同步程序上;策略同步程序将加密和权控策略同步到数据库插件处,进行权控加密机和策略同步程序同步策略和策略的使用;数据库运行时,数据库插件对加密和权限进行额外的控制,使表的访问权限不仅来源于数据库本身权限,还来自于加密权控机的控制。本发明在数据库之外的权控加密机上生成密钥并存储,避免本地存储带来的风险;在权控方面加强了对高级账号的控制能力,防止高权限用户非法访问敏感数据。

Description

一种利用插件提高数据库安全的方法
技术领域
本发明属于数据库安全技术领域,尤其是一种利用插件提高数据库安全的方法。
背景技术
随着中国数据安全战略的推广,数据库作为存储单位是数据安全的重中之重。根据中国的国情,数据库安全广泛存在两类安全问题:一类是加密安全问题,加密安全问题又可细分为加密算法安全性问题和密钥存储位置安全问题,现有的加密算法主要使用的是AES加密算法,其安全性能差;另一类是特殊账号权限控制问题,目前,在权控方面数据库缺乏对高级账号的控制能力,导致高级账号的权控缺乏一定的限制。例如MYSQL数据库的root账号,数据库中的任何数据都会被root账号所访问,以至于数据的安全完全依赖于账号掌握者的道德约束,不能阻止高权限用户(root)非法访问敏感数据。
发明内容
本发明的目的在于克服现有技术的不足,提出一种利用插件提高数据库安全的方法,解决数据库存在的加密安全问题以及对特殊账号权限控制问题。
本发明解决其技术问题是采取以下技术方案实现的:
一种利用插件提高数据库安全的方法,包括以下步骤:
步骤1、将数据库插件、策略同步程序部署在数据库服务器上,将权控加密机部署在另外一台计算机上,所述数据库插件用于控制数据库的加密算法和密钥以及额外的权控;所述策略同步程序用于将最新策略同步到数据库本地插件中;所述权控加密机用于加密和权控的策略配置;
步骤2、在目标敏感表中添加加密算法和权限控制;
步骤3、配置完策略后,权控加密机将策略同步到数据库服务器的策略同步程序上;
步骤4、策略同步程序将加密和权控策略同步到数据库插件处,进行权控加密机和策略同步程序同步策略和策略的使用;
步骤5、数据库运行时,数据库插件对加密和权限进行额外的控制,使表的访问权限不仅来源于数据库本身权限,还来自于加密权控机的控制。
所述步骤1的权控加密机的策略配置包括:设置加密规则、加密对象和权控对象、权控制操作规则。
所述权控加密机和策略同步程序同步策略方法为:权控加密机和策略同步程序之间通过网络进行连接,每一秒触发一次心跳,如果权控加密机处策略改变,则权控加密机主动断开连接;权控加密机将策略推送到策略同步程序;策略同步程序和权控加密机之间维持心跳直到下次策略变更。
所述策略的使用方法为:策略同步程序把策略放置于共享内存中;数据库插件在遇到需要处理的行为时,从共享内存中捞取策略;根据策略要求处理数据库行为,最终返回成功或失败处理。本发明的优点和积极效果是:
本发明在保留AES加密算法的前提下,利用插件在数据库中加入SM4加密算法,数据可以使用SM4加密算法能够更好地符合等保需求,并且在数据库之外的权控加密机上生成密钥并存储,避免本地存储带来的风险。本发明在权控方面补足了数据库缺乏对高级账号的控制能力,避免了只依靠道德约束的风险,可以对root账号能否访问数据进行权控,从技术手段阻止高权限用户(root)非法访问敏感数据。
附图说明
图1是本发明的系统架构原理图;
图2是本发明的权控加密机和策略同步程序同步策略;
图3是本发明的权控加密机和数据库插件同步策略。
具体实施方式
以下结合附图对本发明实施例做进一步详述。
如图1所示,本发明增加了如下三个关键组成部分:第一部分是数据库插件,第二部分是策略同步程序,第三部分是权控加密机,三个部分协同控制增强数据库安全。数据库插件负责控制数据库加密和权控流程。权控加密机负责设置加密规则、加密对象和权控对象、权控制操作等规则。策略同步程序负责把最新策略同步到数据库本地插件中。在数据库原本策略之外,权控和加密策略会直接限制或影响数据库的结果。
基于上述说明,本发明包括以下步骤:
步骤1、将数据库插件、策略同步程序部署在数据库服务器上,将权控加密机部署在另外一台计算机上。其中,数据库插件主要负责控制数据库的加密算法和密钥以及额外的权控;策略同步程序主要负责将最新策略同步到数据库本地插件中;权控加密机主要负责加密和权控的策略配置,如设置加密规则、加密对象和权控对象、权控制操作等规则。
步骤2、在目标敏感表中添加加密算法和权限控制。
步骤3、配置完策略后,权控加密机将策略同步到数据库服务器的策略同步程序上。
步骤4、策略同步程序将加密和权控策略同步到数据库插件处,进行权控加密机和策略同步程序同步策略和策略的使用。
在本步骤中,权控加密机和策略同步程序同步策略方法,如图2所示:权控加密机和策略同步程序之间是通过网络进行连接。每一秒触发一次心跳。如果权控加密机处策略改变,则权控加密机主动断开连接。权控加密机会把策略推送到策略同步程序。之后策略同步程序和权控加密机之间维持心跳直到下次策略变更。
除了策略同步外策略使用也十分关键。策略的使用主要牵扯策略同步程序和数据库插件。如图3所示,策略同步程序把策略放置于共享内存中。数据库插件在遇到需要处理的行为时,从共享内存中捞取策略。根据策略要求处理数据库行为。最终返回成功或失败处理。
步骤5、数据库运行时,数据库插件会对加密和权限进行额外的控制。使表的访问权限不仅来源于数据库本身权限,还来自于我们加密权控机的控制。
需要强调的是,本发明所述的实施例是说明性的,而不是限定性的,因此本发明包括并不限于具体实施方式中所述的实施例,凡是由本领域技术人员根据本发明的技术方案得出的其他实施方式,同样属于本发明保护的范围。

Claims (4)

1.一种利用插件提高数据库安全的方法,其特征在于包括以下步骤:
步骤1、将数据库插件、策略同步程序部署在数据库服务器上,将权控加密机部署在另外一台计算机上,所述数据库插件用于控制数据库的加密算法和密钥以及额外的权控;所述策略同步程序用于将最新策略同步到数据库本地插件中;所述权控加密机用于加密和权控的策略配置;
步骤2、在目标敏感表中添加加密算法和权限控制;
步骤3、配置完策略后,权控加密机将策略同步到数据库服务器的策略同步程序上;
步骤4、策略同步程序将加密和权控策略同步到数据库插件处,进行权控加密机和策略同步程序同步策略和策略的使用;
步骤5、数据库运行时,数据库插件对加密和权限进行额外的控制,使表的访问权限不仅来源于数据库本身权限,还来自于加密权控机的控制。
2.根据权利要求1所述的一种利用插件提高数据库安全的方法,其特征在于:所述步骤1的权控加密机的策略配置包括:设置加密规则、加密对象和权控对象、权控制操作规则。
3.根据权利要求1或2所述的一种利用插件提高数据库安全的方法,其特征在于:所述权控加密机和策略同步程序同步策略方法为:权控加密机和策略同步程序之间通过网络进行连接,每一秒触发一次心跳,如果权控加密机处策略改变,则权控加密机主动断开连接;权控加密机将策略推送到策略同步程序;策略同步程序和权控加密机之间维持心跳直到下次策略变更。
4.根据权利要求1或2所述的一种利用插件提高数据库安全的方法,其特征在于:所述策略的使用方法为:策略同步程序把策略放置于共享内存中;数据库插件在遇到需要处理的行为时,从共享内存中捞取策略;根据策略要求处理数据库行为,最终返回成功或失败处理。
CN201811463852.9A 2018-12-03 2018-12-03 一种利用插件提高数据库安全的方法 Active CN109614819B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811463852.9A CN109614819B (zh) 2018-12-03 2018-12-03 一种利用插件提高数据库安全的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811463852.9A CN109614819B (zh) 2018-12-03 2018-12-03 一种利用插件提高数据库安全的方法

Publications (2)

Publication Number Publication Date
CN109614819A CN109614819A (zh) 2019-04-12
CN109614819B true CN109614819B (zh) 2023-04-11

Family

ID=66006182

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811463852.9A Active CN109614819B (zh) 2018-12-03 2018-12-03 一种利用插件提高数据库安全的方法

Country Status (1)

Country Link
CN (1) CN109614819B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112613075A (zh) * 2020-12-31 2021-04-06 北京安华金和科技有限公司 权限的确定方法及装置、存储介质及电子装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108804613A (zh) * 2018-05-30 2018-11-13 国网山东省电力公司经济技术研究院 一种多源数据库实时融合系统及其融合方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070088707A1 (en) * 2004-09-15 2007-04-19 Scott Durgin Method for providing extensible software components within a distributed synchronization system
CN103401840B (zh) * 2013-07-03 2016-03-16 厦门锐思特软件科技有限公司 一种应用于业务系统的保护方法及系统
CN104992123A (zh) * 2015-04-16 2015-10-21 中安比特(江苏)软件技术有限公司 一种数据库透明加密方法
CN107066872B (zh) * 2016-12-21 2020-07-31 阿里巴巴集团控股有限公司 插件权限控制方法及装置、插件系统
CN106934298B (zh) * 2017-03-06 2019-12-31 戴林 一种通用数据库透明加密系统
CN108011892B (zh) * 2017-12-26 2021-04-27 成都智库二八六一信息技术有限公司 一种基于安全管理服务器的数据库安全管理方法
CN108900483B (zh) * 2018-06-13 2021-02-09 江苏物联网研究发展中心 云存储细粒度访问控制方法、数据上传和数据访问方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108804613A (zh) * 2018-05-30 2018-11-13 国网山东省电力公司经济技术研究院 一种多源数据库实时融合系统及其融合方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Fabrizio Ciancetta 等.Plug-n-Play Smart Sensor Based on Web Service.《 IEEE Sensors Journal 》.2007,第7卷(第5期),第 882 - 889页. *
冯志媚.基于DEC的应用层与数据层数据同步问题研究.《中国优秀硕士学位论文全文数据库 信息科技辑》.2016,(第4期),第I138-837页. *

Also Published As

Publication number Publication date
CN109614819A (zh) 2019-04-12

Similar Documents

Publication Publication Date Title
EP3120290B1 (en) Techniques to provide network security through just-in-time provisioned accounts
US9594922B1 (en) Non-persistent shared authentication tokens in a cluster of nodes
CN103763313B (zh) 一种文档保护方法和系统
CN107111724A (zh) 保护非受信设备上的数据
CN106104558A (zh) 用于跨设备受信应用的安全硬件
CN111181975B (zh) 一种账号管理方法、装置、设备及存储介质
CN104639650B (zh) 一种细粒度分布式接口访问控制方法及装置
CN106575342A (zh) 包括关系数据库的内核程序、以及用于执行所述程序的方法和装置
WO2017112641A1 (en) Dynamic management of protected file access
CN107145531B (zh) 分布式文件系统及分布式文件系统的用户管理方法
CN101719210A (zh) 基于linux平台数字版权管理的文件使用控制方法
CN106533694B (zh) Openstack令牌访问保护机制的实现方法及系统
CN104219232B (zh) 一种块式分布式文件系统的文件安全控制方法
CN111082926A (zh) 密钥同步方法及系统
CN109936546B (zh) 数据加密存储方法和装置以及计算设备
CN111090883A (zh) 一种基于数据库插件的动态脱敏方法
CN102362281A (zh) 策略生成和转换系统、策略分配系统及其方法和程序
CN104270754A (zh) 一种用户识别卡鉴权方法和装置
CN109614819B (zh) 一种利用插件提高数据库安全的方法
CN110826086A (zh) 跨租户授权方法、装置、计算机设备及存储介质
CN109889334A (zh) 嵌入式固件加密方法、装置、wifi设备及存储介质
CN102073824A (zh) 一种加密文档唯一标识的生成和更新的方法
WO2017112640A1 (en) Obtaining a decryption key from a mobile device
CN102289610A (zh) 嵌入式设备离线数字版权管理证书控管系统及其方法
CN108388792A (zh) 一种办公操作系统加固方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant