CN110704825A - 一种数据访问身份认证方法 - Google Patents

一种数据访问身份认证方法 Download PDF

Info

Publication number
CN110704825A
CN110704825A CN201910984724.7A CN201910984724A CN110704825A CN 110704825 A CN110704825 A CN 110704825A CN 201910984724 A CN201910984724 A CN 201910984724A CN 110704825 A CN110704825 A CN 110704825A
Authority
CN
China
Prior art keywords
data access
user
fingerprint
data
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910984724.7A
Other languages
English (en)
Other versions
CN110704825B (zh
Inventor
程国冰
范渊
刘博�
龙文洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN201910984724.7A priority Critical patent/CN110704825B/zh
Publication of CN110704825A publication Critical patent/CN110704825A/zh
Application granted granted Critical
Publication of CN110704825B publication Critical patent/CN110704825B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种数据访问身份认证方法,通过将所有用户的独有的数据访问指纹保存在用户指纹库中,获取并解析数据访问流量,得到当前用户的数据访问身份信息值集合,将其与用户指纹库中的任一数据访问指纹匹配,通过则允许进行数据访问,否则拦截当前用户的数据访问请求。本发明将获取到的数据服务器流量,进行解析得到访问端信息,与用户指纹库中的数据访问指纹进行比对,判断访问者身份是否合法,通过采集数据访问者在数据生命周期内所涉及的信息,利用这些信息作为数据访问身份认证,提高数据库身份验证的安全性,数据库的安全环境有保障,保证数据的防窃取防滥用防误用。

Description

一种数据访问身份认证方法
技术领域
本发明涉及鉴定,即确定身份或安全负责人的授权的技术领域,特别涉及一种数据访问身份认证方法。
背景技术
现在的网络环境中,数据在多个系统、产品、业务环节中频繁快速流转,以数据为中心的安全将数据的防窃取防滥用防误用作为主线、在数据的生命周期内以各不同环节所涉及的信息系统、运行环境、业务场景和操作人员等作为围绕数据安全保护的支撑。
现有技术中,对于数据访问采用了一定的身份认证方法。
专利号为201410409637.6的发明专利提供了数据库身份验证方法及系统,当口令生成端接收到应用程序的数据库访问指令时,生成与所述应用程序对应的第一动态口令,并将所述第一动态口令发送至口令验证端,口令验证端当接收到应用程序对应的第一动态口令时,生成第二动态口令,并比对所述第一动态口令与所述第二动态口令是否一致,当比对一致时,将数据库的账号及密码返回至应用程序,口令生成端触发应用程序依据该账号及密码创建与数据库的连接,以使数据库对该连接进行身份验证;采用动态口令方式进行身份验证。然而,这种身份认证方法需要给出动态口令,在动态口令形成的过程中容易发生劫持,黑客可以通过其他方式获知动态口令,进而导致数据库的安全环境遭到挑战,无法保证数据的防窃取防滥用防误用。
发明内容
本发明解决了现有技术中,数据库身份验证过程中容易发生劫持,黑客可以通过其他方式获知验证信息,进而导致数据库的安全环境遭到挑战,无法保证数据的防窃取防滥用防误用的问题,提供了一种优化的数据访问身份认证方法。
本发明所采用的技术方案是,一种数据访问身份认证方法,所述方法包括以下步骤:
步骤1:所有用户生成独占的数据访问指纹,计算指纹码保存在用户指纹库中;
步骤2:获取数据访问流量;
步骤3:解析数据访问流量,得到当前用户的数据访问身份信息值集合;
步骤4:比对当前用户的身份信息值集合是否与用户指纹库中的任一数据访问指纹匹配;
步骤5:若匹配通过,则允许进行数据访问,否则,拦截当前用户的数据访问请求。
优选地,所述步骤1包括以下步骤:
步骤1.1:设置数据访问环境信息维度集合I,I={I1,I2,…,In-1,In},2<n≤10;
步骤1.2:采集数据访问环境信息维度集合I中各个元素的信息;
步骤1.3:任一用户从集合I中选择信息维度并录入自身信息,构建对应自身的用户数据访问身份信息维度集合S,S={S1,S2,…,Sm-1,Sm},2<m≤n;
步骤1.4:为所述用户选择集合S中的元素的取值;
步骤1.5:将步骤1.4的取值进行拼接,进行哈希计算并生成唯一的哈希值,作为指纹码保存在用户指纹库中。
优选地,所述步骤1.1中,集合I的元素包括客户端主机IP、客户端主机MAC、数据访问客户端工具和数据访问客户端应用。
优选地,所述步骤1.3中,集合S的元素包括用户对应的客户端主机IP、客户端主机MAC和数据访问客户端应用。
优选地,所述步骤1.4中,用户递交用户数据访问环境信息,管理员审核通过后将该用户的数据访问环境信息导入,或管理员通过界面选择用户数据访问身份信息。
优选地,所述步骤2中,通过配置数据端服务地址和端口,镜像获取数据访问流量。
优选地,所述步骤4包括以下步骤:
步骤4.1:将当前用户的身份信息值集合拼接后进行哈希计算;
步骤4.2:将计算得到的哈希值与用户指纹库中的指纹码进行匹配。
本发明提供了一种优化的数据访问身份认证方法,通过将所有用户的独有的数据访问指纹保存在用户指纹库中,获取并解析数据访问流量,得到当前用户的数据访问身份信息值集合,将其与用户指纹库中的任一数据访问指纹匹配,通过则允许进行数据访问,否则拦截当前用户的数据访问请求。
本发明将获取到的数据服务器流量,进行解析得到访问端信息,与用户指纹库中的数据访问指纹进行比对,判断访问者身份是否合法,通过采集数据访问者在数据生命周期内所涉及的信息,利用这些信息作为数据访问身份认证,提高数据库身份验证的安全性,数据库的安全环境有保障,保证数据的防窃取防滥用防误用。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种数据访问身份认证方法,所述方法包括以下步骤。
步骤1:所有用户生成独占的数据访问指纹,计算指纹码保存在用户指纹库中。
所述步骤1包括以下步骤:
步骤1.1:设置数据访问环境信息维度集合I,I={I1,I2,…,In-1,In},2<n≤10;
所述步骤1.1中,集合I的元素包括客户端主机IP、客户端主机MAC、数据访问客户端工具和数据访问客户端应用。
步骤1.2:采集数据访问环境信息维度集合I中各个元素的信息;
步骤1.3:任一用户从集合I中选择信息维度并录入自身信息,构建对应自身的用户数据访问身份信息维度集合S,S={S1,S2,…,Sm-1,Sm},2<m≤n;
所述步骤1.3中,集合S的元素包括用户对应的客户端主机IP、客户端主机MAC和数据访问客户端应用。
步骤1.4:为所述用户选择集合S中的元素的取值;
所述步骤1.4中,用户递交用户数据访问环境信息,管理员审核通过后将该用户的数据访问环境信息导入,或管理员通过界面选择用户数据访问身份信息。
步骤1.5:将步骤1.4的取值进行拼接,进行哈希计算并生成唯一的哈希值,作为指纹码保存在用户指纹库中。
本发明中,集合I的元素包括但不限于客户端主机IP、客户端主机MAC、数据访问客户端工具、数据访问客户端应用;集合S的元素包括但不限于用户对应的客户端主机IP、客户端主机MAC和数据访问客户端应用;集合S中的任一元素必然属于集合I。
本发明中,远程连接工具包括SQLclient、DbVisualizer、0ralceDatabaseClient等,数据访问客户端应用包括Web管理界面、运维管理、管理员界面等。
本发明中,步骤1.4的取值包括:
(1)用户通过流程递交用户数据访问环境信息,管理员审核通过后将该用户的数据访问环境信息导入;比如管理员接收到用户B的数据访问申请信息如下:客户端主机IP为192.168.10.10、客户端主机MAC为09:10:34:1E:8D:20、远程连接工具为SQLclient;
特别说明,导入远程访问工具或应用必须是在步骤1.2的维度值里;
(2)管理用通过界面选择用户数据访问身份信息;比如将用户A的客户端主机IP、客户端主机MAC指定为08:00:20:0A:8C:6D、192.168.10.2,将数据访问客户端应用指定为运维管理。
本发明中,身份认证规则由用户定制决定,用户选取与自身相关的用户信息值并进行逻辑组合,生成用户数据访问独占的指纹;一般情况下,p=m,即所有的元素值同时满足,才可认为身份认证通过,基于实施例,即张三&SQL Client&SecuCRT为当前用户独占的数据访问指纹。
步骤2:获取数据访问流量。
所述步骤2中,通过配置数据端服务地址和端口,镜像获取数据访问流量。
步骤3:解析数据访问流量,得到当前用户的数据访问身份维度信息值。
本发明中,显而易见,当前用户的数据访问身份信息值集合中的元素个数小于等于10。
步骤4:比对当前用户的身份信息值集合是否与用户指纹库中的任一数据访问指纹匹配。
所述步骤4包括以下步骤:
步骤4.1:将当前用户的身份信息值集合拼接后进行哈希计算;
步骤4.2:将计算得到的哈希值与用户指纹库中的指纹码进行匹配。
步骤5:若匹配通过,则允许进行数据访问,否则,拦截当前用户的数据访问请求。
本发明中,基于上述实施例,另当前用户的数据访问身份信息值集合为V,则应存在V1=张三、V2=SQL Client、V3=SecuCRT时,允许连接,进行数据访问。
本发明中,在拦截当前用户的数据访问请求后,可以基于用户需求返回步骤2或结束。
本发明通过将所有用户的独有的数据访问指纹保存在用户指纹库中,获取并解析数据访问流量,得到当前用户的数据访问身份信息值集合,将其与用户指纹库中的任一数据访问指纹匹配,通过则允许进行数据访问,否则拦截当前用户的数据访问请求。
本发明将获取到的数据服务器流量,进行解析得到访问端信息,与用户指纹库中的数据访问指纹进行比对,判断访问者身份是否合法,通过采集数据访问者在数据生命周期内所涉及的信息,利用这些信息作为数据访问身份认证,提高数据库身份验证的安全性,数据库的安全环境有保障,保证数据的防窃取防滥用防误用。

Claims (7)

1.一种数据访问身份认证方法,其特征在于:所述方法包括以下步骤:
步骤1:所有用户生成独占的数据访问指纹,计算指纹码保存在用户指纹库中;
步骤2:获取数据访问流量;
步骤3:解析数据访问流量,得到当前用户的数据访问身份信息值集合;
步骤4:比对当前用户的身份信息值集合是否与用户指纹库中的任一数据访问指纹匹配;
步骤5:若匹配通过,则允许进行数据访问,否则,拦截当前用户的数据访问请求。
2.根据权利要求1所述的一种数据访问身份认证方法,其特征在于:所述步骤1包括以下步骤:
步骤1.1:设置数据访问环境信息维度集合I,I={I1,I2,…,In-1,In},2<n≤10;
步骤1.2:采集数据访问环境信息维度集合I中各个元素的信息;
步骤1.3:任一用户从集合I中选择信息维度并录入自身信息,构建对应自身的用户数据访问身份信息维度集合S,S={S1,S2,…,Sm-1,Sm},2<m≤n;
步骤1.4:为所述用户选择集合S中的元素的取值;
步骤1.5:将步骤1.4的取值进行拼接,进行哈希计算并生成唯一的哈希值,作为指纹码保存在用户指纹库中。
3.根据权利要求2所述的一种数据访问身份认证方法,其特征在于:所述步骤1.1中,集合I的元素包括客户端主机IP、客户端主机MAC、数据访问客户端工具和数据访问客户端应用。
4.根据权利要求2所述的一种数据访问身份认证方法,其特征在于:所述步骤1.3中,集合S的元素包括用户对应的客户端主机IP、客户端主机MAC和数据访问客户端应用。
5.根据权利要求2所述的一种数据访问身份认证方法,其特征在于:所述步骤1.4中,用户递交用户数据访问环境信息,管理员审核通过后将该用户的数据访问环境信息导入,或管理员通过界面选择用户数据访问身份信息。
6.根据权利要求1所述的一种数据访问身份认证方法,其特征在于:所述步骤2中,通过配置数据端服务地址和端口,镜像获取数据访问流量。
7.根据权利要求1所述的一种数据访问身份认证方法,其特征在于:所述步骤4包括以下步骤:
步骤4.1:将当前用户的身份信息值集合拼接后进行哈希计算;
步骤4.2:将计算得到的哈希值与用户指纹库中的指纹码进行匹配。
CN201910984724.7A 2019-10-16 2019-10-16 一种数据访问身份认证方法 Active CN110704825B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910984724.7A CN110704825B (zh) 2019-10-16 2019-10-16 一种数据访问身份认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910984724.7A CN110704825B (zh) 2019-10-16 2019-10-16 一种数据访问身份认证方法

Publications (2)

Publication Number Publication Date
CN110704825A true CN110704825A (zh) 2020-01-17
CN110704825B CN110704825B (zh) 2021-10-26

Family

ID=69201105

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910984724.7A Active CN110704825B (zh) 2019-10-16 2019-10-16 一种数据访问身份认证方法

Country Status (1)

Country Link
CN (1) CN110704825B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100333213A1 (en) * 2009-06-24 2010-12-30 Craig Stephen Etchegoyen Systems and Methods for Determining Authorization to Operate Licensed Software Based on a Client Device Fingerprint
CN103853986A (zh) * 2014-01-03 2014-06-11 李凤华 一种访问控制方法和装置
CN104036000A (zh) * 2014-06-13 2014-09-10 赵维佺 一种数据库审计方法、装置及系统
CN104158857A (zh) * 2014-07-25 2014-11-19 中南大学 一种提供网络化操作系统服务的装置和方法
CN105868603A (zh) * 2015-02-05 2016-08-17 开利公司 基于配置数据的用于访问资源的指纹
CN109766678A (zh) * 2018-12-12 2019-05-17 同济大学 面向移动端设备指纹识别认证方法、系统、介质及设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100333213A1 (en) * 2009-06-24 2010-12-30 Craig Stephen Etchegoyen Systems and Methods for Determining Authorization to Operate Licensed Software Based on a Client Device Fingerprint
CN103853986A (zh) * 2014-01-03 2014-06-11 李凤华 一种访问控制方法和装置
CN104036000A (zh) * 2014-06-13 2014-09-10 赵维佺 一种数据库审计方法、装置及系统
CN104158857A (zh) * 2014-07-25 2014-11-19 中南大学 一种提供网络化操作系统服务的装置和方法
CN105868603A (zh) * 2015-02-05 2016-08-17 开利公司 基于配置数据的用于访问资源的指纹
CN109766678A (zh) * 2018-12-12 2019-05-17 同济大学 面向移动端设备指纹识别认证方法、系统、介质及设备

Also Published As

Publication number Publication date
CN110704825B (zh) 2021-10-26

Similar Documents

Publication Publication Date Title
CN106330850B (zh) 一种基于生物特征的安全校验方法及客户端、服务器
US20170230418A1 (en) Monitoring user authenticity
US11399045B2 (en) Detecting fraudulent logins
EP3211825B1 (en) Trusted terminal verification method and apparatus
CN108965222B (zh) 身份认证方法、系统及计算机可读存储介质
CN110851274A (zh) 资源访问控制方法、装置、设备及存储介质
CN112714093A (zh) 一种账号异常检测方法、装置、系统及存储介质
CN110290150A (zh) 一种虚拟专用网络vpn的登录验证方法及登录验证装置
CN113221128B (zh) 账号和密码的存储方法及注册管理系统
EP3937040B1 (en) Systems and methods for securing login access
CN108156175A (zh) 云计算平台下对共享存储信息的访问方法
CN111918287A (zh) 一种信息处理方法和装置
CN115348037A (zh) 一种终端设备的身份认证方法、装置和设备
CN115758398A (zh) 门禁数据处理方法、装置、门禁系统及存储介质
US10042989B2 (en) Device activation
CN104703180A (zh) 基于移动互联网智能终端的一种隐形多重认证方法
CN107818255B (zh) 一种基于指纹识别加密增强系统安全的方法
CN110704825B (zh) 一种数据访问身份认证方法
CN112615828A (zh) 一种基于云计算网络的知识产权运营系统及智能授权方法
CN108965335B (zh) 防止恶意访问登录接口的方法、电子设备及计算机介质
US11551496B1 (en) Access control systems, devices, and methods therefor
CN111611561A (zh) 一种面向边缘分级用户的认证授权统一管控方法
CN106921632B (zh) 无线热点接入控制方法及装置
CN114338602A (zh) 网络设备的识别方法及其装置、计算机可读存储介质
US11030293B2 (en) Method and system for configurable device fingerprinting

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant