CN111695152A - 一种基于安全代理的MySQL数据库防护方法 - Google Patents

Abstract

本发明公开了一种基于安全代理的MySQL数据库防护方法，包括以下步骤：S1.用户发起注册请求，代理端初始化，用户根据代理端的证书的有效性决定是否继续注册，代理端根据注册结果决定是否允许用户注册；S2.注册成功的用户发起登录请求，代理端对用户进行双因子认证，若通过认证，允许用户执行SQL语句，否则，认证失败，客户端中止认证过程；S3.对于通过双因子认证的用户执行SQL命令，安全代理处理SQL语句，返回执行结果或拦截SQL语句。本发明采取安全代理技术，提供了MySQL数据库的安全防护机制，保障了MySQL数据库的安全。

Description

一种基于安全代理的MySQL数据库防护方法

技术领域

本发明涉及一种基于安全代理的MySQL数据库防护方法，属于信息安全技术领域。

背景技术

MySQL数据库面临的安全威胁主要来自于三个方面：第三方组件、数据库自身系统和人为因素。第三方组件和数据库自身系统的漏洞属于产品的缺陷，通常依赖于厂商和组件提供方发布补丁来修复。人为因素通常是数据库安全研究的重点。人为因素的安全性体现在身份认证和SQL语句执行上。

MySQL数据库使用身份认证技术来保证用户是数据库的合法使用者。用户通过输入口令来完成身份认证过程。在数据库的身份认证过程中，容易遭受以下三类安全攻击：①监听：非法用户通过网络监听来获取用户口令；②口令猜测：非法用户利用从系统中截获的用户信息，或是利用社会工程学获取的用户信息来猜测用户口令；③重放攻击：非法用户获得已通过认证的用户认证包，并将其再发送一次来达到欺骗系统的目的。

除了身份认证过程之外，MySQL数据库在SQL语句执行过程中也容易遭受威胁。这种威胁来自于SQL语句本身，包括SQL注入和SQL高危操作。SQL高危操作主要来自于数据库的合法使用者，比如恶意删除用户数据、非法操作导致数据库服务器宕机等。SQL注入是MySQL在SQL语句执行过程中容易遭受的另一安全威胁。即使目前已有许多针对SQL注入的防御方法，但是随着网络技术的不断发展，攻击手段也在不断进化。同时，程序员素质的参差不齐，安全意识和经验也各不一样，所以仍然会有许多系统存在着SQL注入漏洞。

因此，本领域的技术人员致力于开发一种基于安全代理的MySQL数据库防护方法，通过多重保护，为MySQL数据库提供全方位的安全。

发明内容

发明目的：本发明提供一种基于安全代理的MySQL数据库防护方法，该方法在以安全代理的方式提高MySQL数据库的安全性。

技术方案：本发明所述的一种基于安全代理的MySQL数据库防护方法，包括以下步骤：

S1.用户发起注册请求，代理端初始化，用户根据代理端的证书的有效性决定是否继续注册，代理端根据注册结果决定是否允许用户注册；

S2.注册成功的用户发起登录请求，代理端对用户进行双因子认证，若通过认证，允许用户执行SQL语句，否则，认证失败，客户端中止认证过程；

S3.对于通过双因子认证的用户执行SQL命令，安全代理处理SQL语句，返回执行结果或拦截SQL语句。

进一步地，步骤S1的具体方法如下：

S11.用户发起注册请求；

S12.代理端初始化，将代理端包含代理端公钥K_PR的证书传输给客户端；

S13.客户端接收到代理端传输的证书后，验证证书的有效性，若证书无效，则终止认证过程；否则，客户端生成用于在注册和认证阶段和代理端通信的会话密钥K_C，并使用代理端公钥K_PR加密传输用户名username、密码哈希值SHA(password)、在注册和认证阶段和代理端通信的会话密钥K_C和设备识别码deviceID；

S14.代理端使用代理端私钥K_PS解密客户端消息得到用户名username、密码哈希值SHA(password)和在注册和认证阶段和代理端通信的会话密钥K_C，将其存储至MySQL服务端，并将用户名username和二次哈希值SHA(SHA(password))存储至用户列表，使该用户为MySQL服务端合法用户；

S15.若服务端发现已存在该用户则向安全代理返回错误消息，否则返回成功消息表示存储成功；

S16.代理端根据服务端的返回信息，向客户端返回注册结果，若注册成功，则根据设备识别码deviceID生成一次性口令算法使用密钥K_T，存储在代理端，然后使用在注册和认证阶段和代理端通信的会话密钥K_C加密一次性口令算法使用密钥K_T和起始时间戳T₀并发送给客户端，客户端收到后使用在注册和认证阶段和代理端通信的会话密钥K_C解密得到一次性口令算法使用密钥K_T和起始时间戳T₀并存储；

进一步地，步骤S2的具体方法如下：

S21.客户端发起登录请求，并发送代理端公钥K_PR加密的随机数RNUM、用户名username、密码哈希值SHA(passwoed)和命令执行阶段的会话密钥K_S；

S22.代理端使用代理端私钥K_PS解密客户端消息得到随机数、用户名和密码哈希值，并使用该用户的用户名向服务端发起查询请求，查询该用户的信息；

S23.服务端接收代理端的查询请求，返回该用户的用户名username、二次哈希值SHA(SHA(password))和在注册和认证阶段和代理端通信的会话密钥K_C；

S24.代理端接收服务端的查询结果，进行密码校验，若密码一致，则返回消息要求客户端输入一次性口令，否则返回认证失败，同时，向客户端返回使用命令执行阶段的会话密钥K_S加密的随机数RNUM，返回的整个消息使用在注册和认证阶段和代理端通信的会话密钥K_C加密；

S25.客户端使用在注册和认证阶段和代理端通信的会话密钥K_C解密代理端的数据，获得消息和加密的RNUM，使用命令执行阶段的会话密钥K_S解密得到随机数RNUM′与加密的随机数RNUM比较，若不一致则停止认证过程；若一致，则根据下列公式计算一次性口令TOTP：

TOTP＝HOTP(K_T,T)

其中HMAC、HOTP和T为计算使用的中间函数与参数：

HOTP(K,C)＝Truncate(HMAC(K,C))mod 10^d

HMAC(K,m)＝H((K′XOR opad)||H((K′XOR ipad)||m))

式中K表示所使用的密钥，m表示要加密的消息，K′表示当使用SHA-1、MD5等散列函数而K长度不足时在K尾部补0后得到的值，XOR表示异或运算，ipad和opad分别表示内外层HASH填充值，C表示输入的参数值，Truncate表示将HMAC值转换为32位无符号整数的函数，d表示HOTP口令的位数，T表示时间计数器值，用于表示当前的时间戳，floor表示向下取整函数，unixtime为时间戳函数，now表示当前时间，T₀表示约定的起始时间戳，TX表示哈希值的有效期，K_T表示一次性口令算法所使用的密钥。

同时，客户端生成用于下一次认证过程客户端与服务端的会话密钥K′_C用于下一次认证，然后发送使用代理端公钥K_PR加密的一次性口令TOTP和用于下一次认证过程客户端与服务端的会话密钥K′_C至代理端；

S26.代理端根据步骤S25.中的公式和下列公式计算当前时间前后各三个共计七个一次性口令：

式中T表示时间计数器值，用于表示当前的时间戳，floor表示向下取整函数，unixtime为时间戳函数，now表示当前时间，T₀表示约定的起始时间戳，TX表示哈希值的有效期，offset表示当前时间漂移值。

并与客户端发送的一次性口令TOTP逐一比对，若存在一致的一次性口令，则更新时间漂移值offset、在注册和认证阶段和代理端通信的会话密钥K_C，并返回认证成功；否则，返回认证失败，并记录错误次数，当达到错误次数的阈值时，禁止该用户登录。

进一步地，步骤S3的具体方法如下：

S31.将主机IP与IP地址黑名单中的IP地址进行匹配，如果匹配上，则丢弃该来源所有请求，若没有匹配上，则转步骤S32；

S32.预处理SQL语句；

S33.判断字符串的长度sLen是否合法，若sLen＝0则拦截该查询，否则转步骤S34；

S34.计算SQL语句特征码：初始化sql_state变量，该变量包含tokenvec、fingerprint，tokenvec是一个对象数组，存储SQL语句中每一个字符对应的类型type、长度len和值val，fingerprint变量存储的值即为最终生成的特征码值；然后，执行sqli_fingerprint函数，对SQL语句进行词法分析和语法分析，根据SQL语句中每一个字符的类型给sql_state.tokenvec赋值；再根据词法与语法分析转换表，将SQL语句转换为特征码，并记录在变量sql_state.fingerprint中；最后，执行sqli_fold函数，对特征码进行折叠，最终生成5位SQL特征码，覆盖变量sql_state_fingerprint；

S35.将sql_state.fingerprint的值与特征库中存储的SQL注入特征语句进行比对，若存在该指纹，则拦截该语句，否则转步骤S36；

S36.将SQL语句与SQL黑名单中的语句一一比对，若匹配成功，则拦截该语句，否则，放行该语句并返回执行结果。

有益效果：

相对于现有技术，本发明具有以下优点：

1.结合安全代理和双因子认证技术，增强了MySQL数据库身份认证的安全性，能够有效抵御身份认证过程中的口令猜测攻击、重放攻击等安全攻击；

2.使用SQL特征库以及SQL黑名单过滤SQL语句，增强了MySQL数据库在SQL语句执行过程中的安全性，能够有效过滤SQL注入语句和SQL高危操作。

附图说明

图1为本发明具体实施方式的流程图。

图2为主机IP地址黑名单过滤流程。

图3为双因子认证过程。

图4为SQL语句过滤流程。

具体实施方式

下面将结合附图对本发明作进一步描述。

图1描述了本发明具体执行步骤。

本发明所述的一种基于安全代理的MySQL数据库防护方法，包括以下步骤：

S1.用户发起注册请求，代理端初始化，用户根据代理端的证书的有效性决定是否继续注册，代理端根据注册结果决定是否允许用户注册；

S2.注册成功的用户发起登录请求，代理端对用户进行双因子认证，若通过认证，允许用户执行SQL语句，否则，认证失败，客户端中止认证过程；

S3.对于通过双因子认证的用户执行SQL命令，安全代理处理SQL语句，返回执行结果或拦截SQL语句。

非法用户在对MySQL进行攻击时，该用户的IP对数据库端口的访问频率会很高。建立IP地址黑名单来过滤一些有着异常行为的主机，这能够对可能存在的攻击行为进行初步过滤。代理识别数据包中的主机IP地址，若该主机IP存在于管理员配置的主机IP地址黑名单中，则丢弃该来源的数据包。管理员通过修改配置文件来进行主机IP地址黑名单的管理。

具体执行过程如图2所示。

步骤S1的具体方法如下：

S11.用户发起注册请求；

S12.代理端初始化，将代理端包含代理端公钥K_PR的证书传输给客户端；

S13.客户端接收到代理端传输的证书后，验证证书的有效性，若证书无效，则终止认证过程；否则，客户端生成用于在注册和认证阶段和代理端通信的会话密钥K_C，并使用代理端公钥K_PR加密传输用户名username、密码哈希值SHA(password)、在注册和认证阶段和代理端通信的会话密钥K_C和设备识别码deviceID；

S14.代理端使用代理端私钥K_PS解密客户端消息得到用户名username、密码哈希值SHA(password)和在注册和认证阶段和代理端通信的会话密钥K_C，将其存储至MySQL服务端，并将用户名username和二次哈希值SHA(SHA(password))存储至用户列表，使该用户为MySQL服务端合法用户；

S15.若服务端发现已存在该用户则向安全代理返回错误消息，否则返回成功消息表示存储成功；

S16.代理端根据服务端的返回信息，向客户端返回注册结果，若注册成功，则根据设备识别码deviceID生成一次性口令算法使用密钥K_T，存储在代理端，然后使用在注册和认证阶段和代理端通信的会话密钥K_C加密一次性口令算法使用密钥K_T和起始时间戳T₀并发送给客户端，客户端收到后使用在注册和认证阶段和代理端通信的会话密钥K_C解密得到一次性口令算法使用密钥K_T和起始时间戳T₀并存储；

双因子认证的流程如图3所示，具体认证步骤如下：

S21.客户端发起登录请求，并发送代理端公钥K_PR加密的随机数RNUM、用户名username、密码哈希值SHA(password)和命令执行阶段的会话密钥K_S；

S22.代理端使用代理端私钥K_PS解密客户端消息得到随机数、用户名和密码哈希值，并使用该用户的用户名向服务端发起查询请求，查询该用户的信息；

S23.服务端接收代理端的查询请求，返回该用户的用户名username、二次哈希值SHA(SHA(password))和在注册和认证阶段和代理端通信的会话密钥K_C；

S24.代理端接收服务端的查询结果，进行密码校验，若密码一致，则返回消息要求客户端输入一次性口令，否则返回认证失败，同时，向客户端返回使用命令执行阶段的会话密钥K_S加密的随机数RNUM，返回的整个消息使用在注册和认证阶段和代理端通信的会话密钥K_C加密；

S25.客户端使用在注册和认证阶段和代理端通信的会话密钥K_C解密代理端的数据，获得消息和加密的RNUM，使用命令执行阶段的会话密钥K_S解密得到随机数RNUM′与加密的随机数RNUM比较，若不一致则停止认证过程；若一致，则根据下列公式计算一次性口令TOTP：

TOTP＝HOTP(K_T,T)

其中HMAC、HOTP和T为计算使用的中间函数与参数：

HOTP(K,C)＝Truncate(HMAC(K,C))mod 10^d

HMAC(K,m)＝H((K′XOR opad)||H((K′XOR ipad)||m))

式中K表示所使用的密钥，m表示要加密的消息，K′表示当使用SHA-1、MD5等散列函数而K长度不足时在K尾部补0后得到的值，XOR表示异或运算，ipad和opad分别表示内外层HASH填充值，C表示输入的参数值，Truncate表示将HMAC值转换为32位无符号整数的函数，d表示HOTP口令的位数，T表示时间计数器值，用于表示当前的时间戳，floor表示向下取整函数，unixtime为时间戳函数，now表示当前时间，T₀表示约定的起始时间戳，TX表示哈希值的有效期，K_T表示一次性口令算法所使用的密钥。

同时，客户端生成用于下一次认证过程客户端与服务端的会话密钥K′_C用于下一次认证，然后发送使用代理端公钥K_PR加密的一次性口令TOTP和用于下一次认证过程客户端与服务端的会话密钥K′_C至代理端；

S26.代理端根据步骤S25.中的公式和下列公式计算当前时间前后各三个共计七个一次性口令：

式中T表示时间计数器值，用于表示当前的时间戳，floor表示向下取整函数，unixtime为时间戳函数，now表示当前时间，T₀表示约定的起始时间戳，TX表示哈希值的有效期，offset表示当前时间漂移值。

并与客户端发送的一次性口令TOTP逐一比对，若存在一致的一次性口令，则更新时间漂移值offset、在注册和认证阶段和代理端通信的会话密钥K_C，并返回认证成功；否则，返回认证失败，并记录错误次数，当达到错误次数的阈值时，禁止该用户登录。

SQL语句过滤流程如图4所示：

S31.将主机IP与IP地址黑名单中的IP地址进行匹配，如果匹配上，则丢弃该来源所有请求，若没有匹配上，则转步骤S32；

S32.预处理SQL语句；

S33.判断字符串的长度sLen是否合法，若sLen＝0则拦截该查询，否则转步骤S34；

S34.计算SQL语句特征码：初始化sql_state变量，该变量包含tokenvec、fingerprint，tokenvec是一个对象数组，存储SQL语句中每一个字符对应的类型type、长度len和值val，fingerprint变量存储的值即为最终生成的特征码值；然后，执行sqli_fingerprint函数，对SQL语句进行词法分析和语法分析，根据SQL语句中每一个字符的类型给sql_state.tokenvec赋值；再根据词法与语法分析转换表，将SQL语句转换为特征码，并记录在变量sql_state.fingerprint中；最后，执行sqli_fold函数，对特征码进行折叠，最终生成5位SQL特征码，覆盖变量sql_state_fingerprint；

S35.将sql_state.fingerprint的值与特征库中存储的SQL注入特征语句进行比对，若存在该指纹，则拦截该语句，否则转步骤S36；

S36.将SQL语句与SQL黑名单中的语句一一比对，若匹配成功，则拦截该语句，否则，放行该语句并返回执行结果。

SQL黑名单基于SQL注入过滤中使用的特征提取算法，维护一张SQL语句黑名单，该黑名单可以是数据库系统的管理员手动添加具体的SQL语句模板。同时，考虑到数据库运行效率以及敏感数据泄漏的问题，对于执行时间过长以及查询频率过高的SQL语句也需要加入黑名单。

Claims (4)

1.一种基于安全代理的MySQL数据库防护方法，其特征在于，该方法包括以下步骤：

S1.用户发起注册请求，代理端初始化，用户根据代理端的证书的有效性决定是否继续注册，代理端根据注册结果决定是否允许用户注册；

S2.注册成功的用户发起登录请求，代理端对用户进行双因子认证，若通过认证，允许用户执行SQL语句，否则，认证失败，客户端中止认证过程；

S3.对于通过双因子认证的用户执行SQL命令，安全代理处理SQL语句，返回执行结果或拦截SQL语句。

2.根据权利要求1所述的基于安全代理的MySQL数据库防护方法，其特征在于，步骤S1的具体方法如下：

S11.用户发起注册请求；

S12.代理端初始化，将代理端包含代理端公钥K_PR的证书传输给客户端；

S13.客户端接收到代理端传输的证书后，验证证书的有效性，若证书无效，则终止认证过程；否则，客户端生成用于在注册和认证阶段和代理端通信的会话密钥K_C，并使用代理端公钥K_PR加密传输用户名username、密码哈希值SHA(password)、在注册和认证阶段和代理端通信的会话密钥K_C和设备识别码deviceID；

S14.代理端使用代理端私钥K_PS解密客户端消息得到用户名username、密码哈希值SHA(password)和在注册和认证阶段和代理端通信的会话密钥K_C，将其存储至MySQL服务端，并将用户名username和二次哈希值SHA(SHA(password))存储至用户列表，使该用户为MySQL服务端合法用户；

S15.若服务端发现已存在该用户则向安全代理返回错误消息，否则返回成功消息表示存储成功；

S16.代理端根据服务端的返回信息，向客户端返回注册结果，若注册成功，则根据设备识别码deviceID生成一次性口令算法使用密钥K_T，存储在代理端，然后使用在注册和认证阶段和代理端通信的会话密钥K_C加密一次性口令算法使用密钥K_T和起始时间戳T₀并发送给客户端，客户端收到后使用在注册和认证阶段和代理端通信的会话密钥K_C解密得到一次性口令算法使用密钥K_T和起始时间戳T₀并存储。

3.根据权利要求1所述的基于安全代理的MySQL数据库防护方法，其特征在于，步骤S2的具体方法如下：

S21.客户端发起登录请求，并发送代理端公钥K_PR加密的随机数RNUM、用户名username、密码哈希值SHA(password)和命令执行阶段的会话密钥K_S；

S22.代理端使用代理端私钥K_PS解密客户端消息得到随机数、用户名和密码哈希值，并使用该用户的用户名向服务端发起查询请求，查询该用户的信息；

S23.服务端接收代理端的查询请求，返回该用户的用户名username、二次哈希值SHA(SHA(password))和在注册和认证阶段和代理端通信的会话密钥K_C；

S24.代理端接收服务端的查询结果，进行密码校验，若密码一致，则返回消息要求客户端输入一次性口令，否则返回认证失败，同时，向客户端返回使用命令执行阶段的会话密钥K_S加密的随机数RNUM，返回的整个消息使用在注册和认证阶段和代理端通信的会话密钥K_C加密；

S25.客户端使用在注册和认证阶段和代理端通信的会话密钥K_C解密代理端的数据，获得消息和加密的RNUM，使用命令执行阶段的会话密钥K_S解密得到随机数RNUM′与加密的随机数RNUM比较，若不一致则停止认证过程；若一致，则根据下列公式计算一次性口令TOTP：

TOTP＝HOTP(K_T，T)

其中HMAC、HOTP和T为计算使用的中间函数与参数：

HOTP(K，C)＝Truncate(HMAC(K，C))mod 10^d

HMAC(K，m)＝H((K′XOR opad)||H((K′XOR ipad)||m))

式中K表示所使用的密钥，m表示要加密的消息，K′表示当使用SHA-1、MD5等散列函数而K长度不足时在K尾部补0后得到的值，XOR表示异或运算，ipad和opad分别表示内外层HASH填充值，C表示输入的参数值，Truncate表示将HMAC值转换为32位无符号整数的函数，d表示HOTP口令的位数，T表示时间计数器值，用于表示当前的时间戳，表示向下取整函数，unixtime为时间戳函数，now表示当前时间，T₀表示约定的起始时间戳，TX表示哈希值的有效期，K_T表示一次性口令算法所使用的密钥。

同时，客户端生成用于下一次认证过程客户端与服务端的会话密钥K′_C用于下一次认证，然后发送使用代理端公钥K_PR加密的一次性口令TOTP和用于下一次认证过程客户端与服务端的会话密钥K′_C至代理端；

S26.代理端根据步骤S25.中的公式和下列公式计算当前时间前后各三个共计七个一次性口令：

式中T表示时间计数器值，用于表示当前的时间戳，floor表示向下取整函数，unixtime为时间戳函数，now表示当前时间，T₀表示约定的起始时间戳，TX表示哈希值的有效期，offset表示当前时间漂移值。

并与客户端发送的一次性口令TOTP逐一比对，若存在一致的一次性口令，则更新时间漂移值offset、在注册和认证阶段和代理端通信的会话密钥K_C，并返回认证成功；否则，返回认证失败，并记录错误次数，当达到错误次数的阈值时，禁止该用户登录。

4.根据权利要求1所述的基于安全代理的MySQL数据库防护方法，其特征在于，步骤S3的具体方法如下：

S31.将主机IP与IP地址黑名单中的IP地址进行匹配，如果匹配上，则丢弃该来源所有请求，若没有匹配上，则转步骤S32；

S32.预处理SQL语句；

S33.判断字符串的长度sLen是否合法，若sLen＝0则拦截该查询，否则转步骤S34；

S34.计算SQL语句特征码：初始化sql_state变量，该变量包含tokenvec、fingerprint，tokenvec是一个对象数组，存储SQL语句中每一个字符对应的类型type、长度len和值val，fingerprint变量存储的值即为最终生成的特征码值；然后，执行sqli_fingerprint函数，对SQL语句进行词法分析和语法分析，根据SQL语句中每一个字符的类型给sql_state.tokenvec赋值；再根据词法与语法分析转换表，将SQL语句转换为特征码，并记录在变量sql_state.fingerprint中；最后，执行sqli_fold函数，对特征码进行折叠，最终生成5位SQL特征码，覆盖变量sql_state_fingerprint；

S35.将sql_state.fingerprint的值与特征库中存储的SQL注入特征语句进行比对，若存在该指纹，则拦截该语句，否则转步骤S36；

S36.将SQL语句与SQL黑名单中的语句一一比对，若匹配成功，则拦截该语句，否则，放行该语句并返回执行结果。

Images