CN112395585B - 数据库服务登录方法、装置、设备及可读存储介质 - Google Patents
数据库服务登录方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN112395585B CN112395585B CN201910755464.6A CN201910755464A CN112395585B CN 112395585 B CN112395585 B CN 112395585B CN 201910755464 A CN201910755464 A CN 201910755464A CN 112395585 B CN112395585 B CN 112395585B
- Authority
- CN
- China
- Prior art keywords
- terminal
- behavior
- initiating
- central control
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000000977 initiatory effect Effects 0.000 claims description 216
- 230000006399 behavior Effects 0.000 claims description 156
- 230000004044 response Effects 0.000 claims description 33
- 238000004590 computer program Methods 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000012954 risk control Methods 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 8
- 238000012795 verification Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 4
- 238000011144 upstream manufacturing Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种数据库服务登录方法、装置、设备及可读存储介质,涉及信息网络安全领域,可以通过已打点终端标识列表来控制对数据库的登录请求,采用身份验证的方式实现对终端的识别,避免在密码发生盗用时可能造成的恶意登录,提高了数据库服务登录的防护能力,安全性较好。所述方法包括:根据接收到的至少一个终端的打点请求,生成已打点终端标识列表,所述已打点终端标识列表包括至少一个在所述中控上成功打点的终端的标识;当监控到数据库登录请求时,确定发送所述数据库登录请求的终端的目标标识;如果所述已打点终端标识列表中包括所述目标标识,则允许所述数据库登录请求的执行,将所述数据库登录请求放行。
Description
技术领域
本发明涉及信息网络安全领域,特别是涉及一种数据库服务登录方法、装置、设备及可读存储介质。
背景技术
脱库目前是信息窃取方面会遇到的最大危害之一。最早的脱库,很多都是通过利用服务器、网站漏洞,去渗透上游服务,从而完成脱库行为。但随着网站服务器安全建设的增强,通常网站持有的数据库权限能力都被限制的较低,通过传统方式攻击网站服务器,去获取数据库中数据的方式的效果在降低。随着攻防技术的发展,新的攻击途径逐渐被挖掘出来。
相关技术中,每一个数据库都存在一个或多个DBA(Database Administrator,数据库管理员),他们通过工具或者脚本对数据库进行定期维护和优化。
在实现本发明的过程中,发明人发现相关技术至少存在以下问题:
这部分操作的来源,不是来源于上游服务器,而是从DBA的管理环境直接对数据库进行管理,而且DBA的权限通常非常大,对数据库几乎具备全部的操作前线。通过社工或者内网环境进行攻击,渗透到具备数据库权限的环境,从而对数据库具备全部的权限,完成脱库或者制造更大的危害已经成为更有效的方式。与显性攻击相比,来自DBA的环境,并使用正确账号密码对数据库进行的管理维护是难以识别和发现的,导致数据库服务登录的防护能力较低,安全性较差。
发明内容
有鉴于此,本发明提供了一种数据库服务登录方法、装置、设备及可读存储介质,主要目的在于解决目前数据库服务登录的防护能力较低,安全性较差的问题。
依据本发明第一方面,提供了一种数据库服务登录方法,该方法应用于中控,包括:
根据接收到的至少一个终端的打点请求,生成已打点终端标识列表,所述已打点终端标识列表包括至少一个在所述中控上成功打点的终端的标识;
当监控到数据库登录请求时,确定发送所述数据库登录请求的终端的目标标识;
如果所述已打点终端标识列表中包括所述目标标识,则允许所述数据库登录请求的执行,将所述数据库登录请求放行。
在另一个实施例中,所述根据接收到的至少一个终端的打点请求,生成已打点终端标识列表,包括:
接收所述至少一个终端的打点请求,对所述至少一个终端的打点请求进行解密,在所述至少一个终端的打点请求中提取所述至少一个终端的标识;
对所述至少一个终端的标识进行统计,生成所述已打点终端标识列表。
在另一个实施例中,所述当监控到数据库登录请求时,确定发送所述数据库登录请求的终端的目标标识之后,所述方法还包括:
如果所述已打点终端标识列表中未包括所述目标标识,则将所述目标标识上报;
若在上报所述目标标识后接收到允许响应,则允许所述数据库登录请求的执行,将所述数据库登录请求放行;
若在上报所述目标标识后接收到禁止响应,则对所述数据库登录请求进行拦截。
依据本发明第二方面,提供了一种数据库服务登录方法,该方法应用于终端,包括:
当检测到数据库登录的发起行为时,确定所述发起行为的发起方式,所述发起方式至少为主动发起或被动发起中的任一个;
如果所述发起行为的发起方式为主动发起,则生成打点请求,将所述打点请求传输至中控,所述打点请求携带所述终端的标识;
生成数据库登录请求,将所述数据库登录请求传输制所述中控。
在另一个实施例中,所述当检测到数据库登录的发起行为时,确定所述发起行为的发起方式,包括:
当检测到所述发起行为时,查询所述发起行为对应的行为权限集,所述行为权限集包括至少一个所述发起行为具有的行为权限;
如果所述行为权限集中包括预设数目的主要行为权限,则确定所述发起行为的发起方式为主动发起,所述主要行为权限用于评定所述终端中的行为的发起方式;
如果所述行为权限集中未包括预设数目的所述主要行为权限,则确定所述发起行为的发起方式为被动发起。
在另一个实施例中,所述当检测到数据库登录的发起行为时,确定所述发起行为的发起方式之后,所述方法还包括:
如果所述发起行为的发起方式为被动发起,则展示失败响应,结束当前流程。
依据本发明第三方面,提供了一种数据库服务登录装置,该装置应用于中控,包括:
生成模块,用于根据接收到的至少一个终端的打点请求,生成已打点终端标识列表,所述已打点终端标识列表包括至少一个在所述中控上成功打点的终端的标识;
确定模块,用于当监控到数据库登录请求时,确定发送所述数据库登录请求的终端的目标标识;
放行模块,用于如果所述已打点终端标识列表中包括所述目标标识,则允许所述数据库登录请求的执行,将所述数据库登录请求放行。
在另一个实施例中,所述生成模块,包括:
接收单元,用于接收所述至少一个终端的打点请求,对所述至少一个终端的打点请求进行解密,在所述至少一个终端的打点请求中提取所述至少一个终端的标识;
统计单元,用于对所述至少一个终端的标识进行统计,生成所述已打点终端标识列表。
在另一个实施例中,所述装置还包括:
上报模块,用于如果所述已打点终端标识列表中未包括所述目标标识,则将所述目标标识上报;
所述放行模块,用于若在上报所述目标标识后接收到允许响应,则允许所述数据库登录请求的执行,将所述数据库登录请求放行;
拦截模块,用于若在上报所述目标标识后接收到禁止响应,则对所述数据库登录请求进行拦截。
依据本发明第四方面,提供了一种数据库服务登录装置,该装置应用于终端,包括:
确定模块,用于当检测到数据库登录的发起行为时,确定所述发起行为的发起方式,所述发起方式至少为主动发起或被动发起中的任一个;
生成模块,用于如果所述发起行为的发起方式为主动发起,则生成打点请求,将所述打点请求传输至中控,所述打点请求携带所述终端的标识;
传输模块,用于生成数据库登录请求,将所述数据库登录请求传输制所述中控。
在另一个实施例中,所述确定模块,包括:
查询单元,用于当检测到所述发起行为时,查询所述发起行为对应的行为权限集,所述行为权限集包括至少一个所述发起行为具有的行为权限;
确定单元,用于如果所述行为权限集中包括预设数目的主要行为权限,则确定所述发起行为的发起方式为主动发起,所述主要行为权限用于评定所述终端中的行为的发起方式;
所述确定单元,还用于如果所述行为权限集中未包括预设数目的所述主要行为权限,则确定所述发起行为的发起方式为被动发起。
在另一个实施例中,所述装置还包括:
展示模块,用于如果所述发起行为的发起方式为被动发起,则展示失败响应,结束当前流程。
依据本发明第五方面,提供了一种设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面至第二方面所述方法的步骤。
依据本发明第六方面,提供了一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面至第二方面所述的方法的步骤。
借由上述技术方案,本发明提供的一种数据库服务登录方法、装置、设备及可读存储介质,本发明根据接收到的至少一个终端的打点请求,生成已打点终端标识列表,当监控到数据库登录请求时,确定发送数据库登录请求的终端的目标标识,如果已打点终端标识列表中包括目标标识,则允许数据库登录请求的执行,将数据库登录请求放行,使得通过已打点终端标识列表来控制对数据库的登录请求,采用身份验证的方式实现对终端的识别,避免在密码发生盗用时可能造成的恶意登录,提高了数据库服务登录的防护能力,安全性较好。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1A示出了本发明实施例提供的一种数据库服务登录方法流程示意图;
图1B示出了本发明实施例提供的一种数据库服务登录方法流程示意图;
图2A示出了本发明实施例提供的一种数据库服务登录方法交互示意图;
图2B示出了本发明实施例提供的一种数据库服务登录方法流程示意图;
图2C示出了本发明实施例提供的一种数据库服务登录方法流程示意图;
图3A示出了本发明实施例提供的一种数据库服务登录装置的结构示意图;
图3B示出了本发明实施例提供的一种数据库服务登录装置的结构示意图;
图3C示出了本发明实施例提供的一种数据库服务登录装置的结构示意图;
图4A示出了本发明实施例提供的一种数据库服务登录装置的结构示意图;
图4B示出了本发明实施例提供的一种数据库服务登录装置的结构示意图;
图5示出了本发明实施例提供的一种设备的装置结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种数据库服务登录方法,如图1A所示,该方法应用于中控,包括:
101、根据接收到的至少一个终端的打点请求,生成已打点终端标识列表,已打点终端标识列表包括至少一个在中控上成功打点的终端的标识。
102、当监控到数据库登录请求时,确定发送数据库登录请求的终端的目标标识。
103、如果已打点终端标识列表中包括目标标识,则允许数据库登录请求的执行,将数据库登录请求放行。
本发明提供的方法,根据接收到的至少一个终端的打点请求,生成已打点终端标识列表,当监控到数据库登录请求时,确定发送数据库登录请求的终端的目标标识,如果已打点终端标识列表中包括目标标识,则允许数据库登录请求的执行,将数据库登录请求放行,使得通过已打点终端标识列表来控制对数据库的登录请求,采用身份验证的方式实现对终端的识别,避免在密码发生盗用时可能造成的恶意登录,提高了数据库服务登录的防护能力,安全性较好。
本发明实施例提供了一种数据库服务登录方法,如图1B所示,该方法应用于终端,包括:
104、当检测到数据库登录的发起行为时,确定所述发起行为的发起方式,所述发起方式至少为主动发起或被动发起中的任一个。
105、如果所述发起行为的发起方式为主动发起,则生成打点请求,将所述打点请求传输至中控,所述打点请求携带所述终端的标识。
106、生成数据库登录请求,将数据库登录请求传输制中控。
本发明提供的方法,当检测到数据库登录的发起行为时,确定发起行为的发起方式,如果发起行为的发起方式为主动发起,则生成打点请求,将打点请求传输至中控,生成数据库登录请求,将数据库登录请求传输制中控,使得通过已打点终端标识列表来控制对数据库的登录请求,采用身份验证的方式实现对终端的识别,避免在密码发生盗用时可能造成的恶意登录,提高了数据库服务登录的防护能力,安全性较好。
本发明实施例提供了一种数据库服务登录方法,如图2A所示,该方法涉及到中控和终端之间的交互,包括:
201、当终端检测到数据库登录的发起行为时,确定发起行为的发起方式,如果发起行为的发起方式为被动发起,则终端执行下述步骤202;如果发起行为的发起方式为主动发起,则终端执行下述步骤203。
在网络环境中,数据经常被存储在数据库中,并对外提供数据服务,常见的数据库有mssql、postgres、mysql、redis、mongodb等,他们对外提供不同的协议,允许对数据库做查询和增删改操作。除了正常提供服务给上游服务器,DBA也可以使用工具或者脚本直接对数据库进行管理和维护。
在本发明实施例中,发起方式至少为主动发起或被动发起中的任一个。其中,主动发起也即用户通过键盘、鼠标、触屏等交互设备来主动进行的发起操作,比如鼠标双击桌面上的某一程序图标,将程序执行起来,再通过程序菜单打开某一文件。被动发起也即应用程序自身请求执行的,很有可能是攻击者操纵应用程序实现的。考虑到在用户主动操作下的发起行为(也即主动发起),与程序自动实施的行为(也即被动发起)相比,会有不同的行为权限授予,比如winword.exe(微软的办公套件),在用户主动操作下,可以读写任意位置的任意文档类文件,但在程序自动实施的情况下,它只能操作它自己创建的文件(也即临时文件),因此,可以通过发起行为的行为权限集确定发起行为的发起方式,从而按照发起方式的不同执行不同的流程。
具体地,在根据发起行为的行为权限集确定发起行为的发起方式时,首先,查询发起行为对应的行为权限集,行为权限集包括至少一个发起行为具有的行为权限。随后,设置用于评定终端中的行为的发起方式的主要行为权限,如果行为权限集中包括预设数目的主要行为权限,则确定发起行为的发起方式为主动发起;如果行为权限集中未包括预设数目的主要行为权限,则确定发起行为的发起方式为被动发起。
当确定了发起行为的发起方式后,如果发起行为的发起方式为被动发起,则表示该发起行为是应用程序自动实施的行为,不是用户的主观意愿,很可能是违法的行为,因此,终端需要停止本次操作,也即执行下述步骤202。如果发起行为的发起方式为主动发起,则表示该发起行为是用户手动发起的,属于用户自愿发起的行为,本次发起行为是允许执行的,因此,终端需要继续执行其他的用于肯定本次发起行为的操作,也即执行下述步骤203。
需要说明的是,为了实现对发起行为的发起方式进行检测,终端中可以安装F&C(Attack Found and Risk Control System,攻击发现与风险控制系统),基于F&C来实现上述过程。
202、如果发起行为的发起方式为被动发起,则终端展示失败响应,结束当前流程。
在本发明实施例中,如果发起行为的发起方式为被动发起,则表示该发起行为是应用程序自动实施的行为,不是用户的主观意愿,很可能是违法的行为,因此,终端展示失败响应,结束当前流程。
203、如果发起行为的发起方式为主动发起,则终端生成打点请求,将打点请求传输至中控。
在本发明实施例中,如果发起行为的发起方式为主动发起,则表示该发起行为是用户手动发起的,属于用户自愿发起的行为,本次发起行为是允许执行的,因此,终端生成打点请求,将打点请求传输至中控。
其中,中控为F&C的网络管理中心,包含用户管理、终端管理、终端策略等功能。为了证明自己的身份,终端会在打点请求携带终端的标识,以便后续的执行过程中可以按照终端的标识对已经打点或者尚未打点的终端进行区分。具体地,终端的标识可为MID(Machine Unique Identity,机器唯一标识)形式的,终端在生成打点请求时,还可以通过对标识加密的方式生成打点请求,或者直接对标识进行打包生成打点请求,本发明对生成打点请求的方式不进行具体限定。具体地,终端在进行加密时,可以采用私钥进行加密,以便中控后续可以采用公钥进行解密。或者终端还可以使用通用密钥进行加密,以便中控后续可以采用通用密钥进行解密。本发明对终端是否对标识进行加密以及对标识进行加密采用的方式不进行具体限定。
204、中控根据接收到的至少一个终端的打点请求,生成已打点终端标识列表。
在本发明实施例中,由于终端已经为通过发起方式检测的发起行为生成了打点请求,并将打点请求传输给了中控,因此,中控会接收到终端的打点请求。中控接收到终端的打点请求后,会在打点请求中提取终端的标识。考虑到中控可能会在同一时间接收到大量终端的打点请求,因此,中控会基于提取到的重点的标识,生成包括至少一个在中控上成功打点的终端的标识的已打点终端标识列表,以便后续可以将该已打点终端标识列表发送给服务器,使得服务器可以基于该已打点终端标识列表确定当前有哪些终端请求进行数据库登录,从而对这些终端的身份进行验证。
其中,由于中控接收到的打点请求可能是加密过的,因此,中控器在接收到打点请求后,对打点请求进行解密,得到打点请求中携带的标识。在实际应用的过程中,如果打点请求是采用私钥进行加密的,则中控可以采用公钥进行解密;如果打点请求是采用通用密钥进行加密的,则中控也可以采用通用密钥进行解密,解密的方式依照终端对打点请求加密的方式确定。
205、当中控监控到数据库登录请求时,确定发送数据库登录请求的终端的目标标识,如果已打点终端标识列表中包括目标标识,则执行下述步骤206;如果已打点终端标识列表中未包括目标标识,则执行下述步骤207。
在本发明实施例中,当中控监控到数据库登录请求时,确定发送数据库登录请求的终端的目标标识,并查询已打点终端标识列表中是否包括了目标标识,也即该发送数据库登录请求的终端是否在中控上成功打点过。如果已打点终端标识列表包括该目标标识,则表示该目标标识对应的终端已经在中控上打点过,可以对数据库进行登录,因此,执行下述步骤206。如果已打点终端标识列表不包括该目标标识,则表示该目标标识对应的终端尚未在中控上打点,该目标标识指示的终端是可疑的,需要进一步的确认,因此,执行下述步骤207。
206、如果已打点终端标识列表中包括目标标识,则允许数据库登录请求的执行,将数据库登录请求放行。
在本发明实施例中,如果已打点终端标识列表包括该目标标识,则表示该目标标识对应的终端已经在中控上打点过,可以对数据库进行登录,因此,服务器允许数据库登录请求的执行,将数据库登录请求放行。
207、如果已打点终端标识列表中未包括目标标识,则将目标标识上报,若在上报目标标识后接收到允许响应,则执行下述步骤208;若在上报目标标识后接收到禁止响应,则执行下述步骤209。
在本发明实施例中,如果已打点终端标识列表中未包括目标标识,则表示该目标标识对应的终端尚未在中控上打点,该目标标识指示的终端是可疑的,需要进一步的确认,因此,将目标标识上报,以便对目标标识进行进一步的确认。
其中,中控可将目标标识上报至F&C,由工作人员在F&C中对目标标识进行进一步的确认,或者由F&C对目标标识进行黑白名单的识别,从而确定是否允许目标标识指示的终端登录数据库。其中,F&C会将确认后的结果以响应的形式反馈给中控,这样,若在上报目标标识后接收到允许响应,则表示F&C已经对目标标识完成了确认,确认允许目标标识指示的终端登录数据库,因此执行下述步骤2082。若在上报目标标识后接收到禁止响应,则表示F&C已经对目标标识完成了确认,确认不允许目标标识指示的终端登录数据库,因此执行下述步骤209。
208、若在上报目标标识后接收到允许响应,则允许数据库登录请求的执行,将数据库登录请求放行。
在本发明实施例中,若在上报目标标识后接收到允许响应,则表示F&C已经对目标标识完成了确认,确认允许目标标识指示的终端登录数据库,允许数据库登录请求的执行,将数据库登录请求放行。
209、若在上报目标标识后接收到禁止响应,则对数据库登录请求进行拦截。
在本发明实施例中,若在上报目标标识后接收到禁止响应,则表示F&C已经对目标标识完成了确认,确认不允许目标标识指示的终端登录数据库,对数据库登录请求进行拦截。
综上,终端中涉及的整个操作过程如图2B所示,终端在检测到数据库登录的发起行为后,通过判断发起行为的发起方式来确定是否是用户操作的。如果确定是用户操作,则基于自身的标识向中控打点,并结束流程;如果确定不是用户操作,则不基于自身的标识向中控打点,同时结束流程。
中控中涉及的整个操作过程如图2C所示,根据至少一个终端的打点请求生成已打点终端标识列表。当监控到数据库登录请求时,获取终端的目标标识,并判断已打点终端标识列表是否包括目标标识。如果已打点终端标识列表包括目标标识,则通知放行数据库登录请求,并结束流程。如果已打点终端标识列表不包括目标标识,则将目标标识上报给F&C,由F&C确定是否允许数据库登录请求放行。若允许数据库登录请求放行,则通知放行,并结束流程;若不允许数据库登录请求放行,则通知拦截数据库登录请求,同时结束流程。
本发明实施例提供的方法,根据接收到的至少一个终端的打点请求,生成已打点终端标识列表,当监控到数据库登录请求时,确定发送数据库登录请求的终端的目标标识,如果已打点终端标识列表中包括目标标识,则允许数据库登录请求的执行,将数据库登录请求放行,使得通过已打点终端标识列表来控制对数据库的登录请求,采用身份验证的方式实现对终端的识别,避免在密码发生盗用时可能造成的恶意登录,提高了数据库服务登录的防护能力,安全性较好。
进一步地,作为图1A所述方法的具体实现,本发明实施例提供了一种数据库服务登录装置,如图3A所示,所述装置包括:生成模块301,确定模块302和放行模块303。
该生成模块301,用于根据接收到的至少一个终端的打点请求,生成已打点终端标识列表,所述已打点终端标识列表包括至少一个在所述中控上成功打点的终端的标识;
该确定模块302,用于当监控到数据库登录请求时,确定发送所述数据库登录请求的终端的目标标识;
该放行模块303,用于如果所述已打点终端标识列表中包括所述目标标识,则允许所述数据库登录请求的执行,将所述数据库登录请求放行。
在具体的应用场景中,如图3B所示,该生成模块301,包括:接收单元3011和统计单元3012。
该接收单元3011,用于接收所述至少一个终端的打点请求,对所述至少一个终端的打点请求进行解密,在所述至少一个终端的打点请求中提取所述至少一个终端的标识;
该统计单元3012,用于对所述至少一个终端的标识进行统计,生成所述已打点终端标识列表。
在具体的应用场景中,如图3C所示,该装置还包括:上报模块304和拦截模块305。
该上报模块304,用于如果所述已打点终端标识列表中未包括所述目标标识,则将所述目标标识上报;
该放行模块303,还用于若在上报所述目标标识后接收到允许响应,则允许所述数据库登录请求的执行,将所述数据库登录请求放行;
该拦截模块305,用于若在上报所述目标标识后接收到禁止响应,则对所述数据库登录请求进行拦截。
本发明实施例提供的装置,根据接收到的至少一个终端的打点请求,生成已打点终端标识列表,当监控到数据库登录请求时,确定发送数据库登录请求的终端的目标标识,如果已打点终端标识列表中包括目标标识,则允许数据库登录请求的执行,将数据库登录请求放行,使得通过已打点终端标识列表来控制对数据库的登录请求,采用身份验证的方式实现对终端的识别,避免在密码发生盗用时可能造成的恶意登录,提高了数据库服务登录的防护能力,安全性较好。
进一步地,作为图1B所述方法的具体实现,本发明实施例提供了一种数据库服务登录装置,如图4A所示,所述装置包括:确定模块401,生成模块402和传输模块403。
该确定模块401,用于当检测到数据库登录的发起行为时,确定所述发起行为的发起方式,所述发起方式至少为主动发起或被动发起中的任一个;
该生成模块402,用于如果所述发起行为的发起方式为主动发起,则生成打点请求,将所述打点请求传输至中控,所述打点请求携带所述终端的标识;
该传输模块403,用于生成数据库登录请求,将所述数据库登录请求传输制所述中控。
在具体的应用场景中,如图4B所示,该确定模块401,包括:查询单元4011和确定单元4012。
该查询单元4011,用于当检测到所述发起行为时,查询所述发起行为对应的行为权限集,所述行为权限集包括至少一个所述发起行为具有的行为权限;
该确定单元4012,用于如果所述行为权限集中包括预设数目的主要行为权限,则确定所述发起行为的发起方式为主动发起,所述主要行为权限用于评定所述终端中的行为的发起方式;
该确定单元4012,还用于如果所述行为权限集中未包括预设数目的所述主要行为权限,则确定所述发起行为的发起方式为被动发起。
本发明实施例提供的装置,当检测到数据库登录的发起行为时,确定发起行为的发起方式,如果发起行为的发起方式为主动发起,则生成打点请求,将打点请求传输至中控,生成数据库登录请求,将数据库登录请求传输制中控,使得通过已打点终端标识列表来控制对数据库的登录请求,采用身份验证的方式实现对终端的识别,避免在密码发生盗用时可能造成的恶意登录,提高了数据库服务登录的防护能力,安全性较好。
需要说明的是,本发明实施例提供的一种数据库服务登录装置所涉及各功能单元的其他相应描述,可以参考图1A至图1B和图2A至图2C中的对应描述,在此不再赘述。
在示例性实施例中,参见图5,还提供了一种设备,该设备500包括通信总线、处理器、存储器和通信接口,还可以包括、输入输出接口和显示设备,其中,各个功能单元之间可以通过总线完成相互间的通信。该存储器存储有计算机程序,处理器,用于执行存储器上所存放的程序,执行上述实施例中的数据库服务登录方法。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述的数据库服务登录方法的步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (12)
1.一种数据库服务登录方法,其特征在于,所述方法应用于中控,包括:
根据接收到的至少一个终端的打点请求,生成已打点终端标识列表,所述已打点终端标识列表包括至少一个在所述中控上成功打点的终端的标识,所述打点请求在终端确定发起行为的发起方式为主动发起时生成,其中,所述终端在检测到数据库登录的发起行为时,确定所述发起行为的发起方式,所述发起方式至少为主动发起或被动发起中的任一个,所述中控将所述已打点终端标识列表发送至服务器,使得所述服务器将所述至少一个在所述中控上成功打点的终端作为当前请求进行数据库登录的终端,对所述终端的身份进行验证;
当监控到数据库登录请求时,确定发送所述数据库登录请求的终端的目标标识;
如果所述已打点终端标识列表中包括所述目标标识,则允许所述数据库登录请求的执行,将所述数据库登录请求放行;
其中,所述当监控到数据库登录请求时,确定发送所述数据库登录请求的终端的目标标识之后,如果所述已打点终端标识列表中未包括所述目标标识,则将所述目标标识上报至攻击发现与风险控制系统F&C,由所述F&C对所述目标标识进行黑白名单的识别,以及由所述F&C将确认后的结果以响应的形式反馈给所述中控;若在上报所述目标标识后接收到允许响应,则允许所述数据库登录请求的执行,将所述数据库登录请求放行,以及若在上报所述目标标识后接收到禁止响应,则对所述数据库登录请求进行拦截。
2.根据权利要求1所述的方法,其特征在于,所述根据接收到的至少一个终端的打点请求,生成已打点终端标识列表,包括:
接收所述至少一个终端的打点请求,对所述至少一个终端的打点请求进行解密,在所述至少一个终端的打点请求中提取所述至少一个终端的标识;
对所述至少一个终端的标识进行统计,生成所述已打点终端标识列表。
3.一种数据库服务登录方法,其特征在于,所述方法应用于终端,包括:
当检测到数据库登录的发起行为时,确定所述发起行为的发起方式,所述发起方式至少为主动发起或被动发起中的任一个;
如果所述发起行为的发起方式为主动发起,则生成打点请求,将所述打点请求传输至中控,所述打点请求携带所述终端的标识;
生成数据库登录请求,将所述数据库登录请求传输制所述中控,以使所述中控根据接收到的至少一个终端的打点请求,生成已打点终端标识列表,其中,所述已打点终端标识列表包括至少一个在所述中控上成功打点的终端的标识,所述中控将所述已打点终端标识列表发送至服务器,使得所述服务器将所述至少一个在所述中控上成功打点的终端作为当前请求进行数据库登录的终端,对所述终端的身份进行验证;
其中,如果所述中控识别到所述已打点终端标识列表中未包括所述终端的标识,则所述中控将所述终端的标识上报至攻击发现与风险控制系统F&C,由所述F&C对所述中控上报的所述终端的标识进行黑白名单的识别,以及由所述F&C将确认后的结果以响应的形式反馈给所述中控;若在上报所述终端的标识后所述中控接收到允许响应,则所述中控允许所述数据库登录请求的执行,将所述数据库登录请求放行,以及若在上报所述终端的标识后所述中控接收到禁止响应,则所述中控对所述数据库登录请求进行拦截。
4.根据权利要求3所述的方法,其特征在于,所述当检测到数据库登录的发起行为时,确定所述发起行为的发起方式,包括:
当检测到所述发起行为时,查询所述发起行为对应的行为权限集,所述行为权限集包括至少一个所述发起行为具有的行为权限;
如果所述行为权限集中包括预设数目的主要行为权限,则确定所述发起行为的发起方式为主动发起,所述主要行为权限用于评定所述终端中的行为的发起方式;
如果所述行为权限集中未包括预设数目的所述主要行为权限,则确定所述发起行为的发起方式为被动发起。
5.根据权利要求3所述的方法,其特征在于,所述当检测到数据库登录的发起行为时,确定所述发起行为的发起方式之后,所述方法还包括:
如果所述发起行为的发起方式为被动发起,则展示失败响应,结束当前流程。
6.一种数据库服务登录装置,其特征在于,所述装置应用于中控,包括:
生成模块,用于根据接收到的至少一个终端的打点请求,生成已打点终端标识列表,所述已打点终端标识列表包括至少一个在所述中控上成功打点的终端的标识,所述打点请求在终端确定发起行为的发起方式为主动发起时生成,其中,所述终端在检测到数据库登录的发起行为时,确定所述发起行为的发起方式,所述发起方式至少为主动发起或被动发起中的任一个,所述中控将所述已打点终端标识列表发送至服务器,使得所述服务器将所述至少一个在所述中控上成功打点的终端作为当前请求进行数据库登录的终端,对所述终端的身份进行验证;
确定模块,用于当监控到数据库登录请求时,确定发送所述数据库登录请求的终端的目标标识;
放行模块,用于如果所述已打点终端标识列表中包括所述目标标识,则允许所述数据库登录请求的执行,将所述数据库登录请求放行;
其中,所述当监控到数据库登录请求时,确定发送所述数据库登录请求的终端的目标标识之后,如果所述已打点终端标识列表中未包括所述目标标识,则将所述目标标识上报至攻击发现与风险控制系统F&C,由所述F&C对所述目标标识进行黑白名单的识别,以及由所述F&C将确认后的结果以响应的形式反馈给所述中控;若在上报所述目标标识后接收到允许响应,则允许所述数据库登录请求的执行,将所述数据库登录请求放行,以及若在上报所述目标标识后接收到禁止响应,则对所述数据库登录请求进行拦截。
7.根据权利要求6所述的装置,其特征在于,所述生成模块,包括:
接收单元,用于接收所述至少一个终端的打点请求,对所述至少一个终端的打点请求进行解密,在所述至少一个终端的打点请求中提取所述至少一个终端的标识;
统计单元,用于对所述至少一个终端的标识进行统计,生成所述已打点终端标识列表。
8.一种数据库服务登录装置,其特征在于,所述装置应用于终端,包括:
确定模块,用于当检测到数据库登录的发起行为时,确定所述发起行为的发起方式,所述发起方式至少为主动发起或被动发起中的任一个;
生成模块,用于如果所述发起行为的发起方式为主动发起,则生成打点请求,将所述打点请求传输至中控,所述打点请求携带所述终端的标识;
传输模块,用于生成数据库登录请求,将所述数据库登录请求传输制所述中控,以使所述中控根据接收到的至少一个终端的打点请求,生成已打点终端标识列表,其中,所述已打点终端标识列表包括至少一个在所述中控上成功打点的终端的标识,所述中控将所述已打点终端标识列表发送至服务器,使得所述服务器将所述至少一个在所述中控上成功打点的终端作为当前请求进行数据库登录的终端,对所述终端的身份进行验证;
其中,如果所述中控识别到所述已打点终端标识列表中未包括所述终端的标识,则所述中控将所述终端的标识上报至攻击发现与风险控制系统F&C,由所述F&C对所述中控上报的所述终端的标识进行黑白名单的识别,以及由所述F&C将确认后的结果以响应的形式反馈给所述中控;若在上报所述终端的标识后所述中控接收到允许响应,则所述中控允许所述数据库登录请求的执行,将所述数据库登录请求放行,以及若在上报所述终端的标识后所述中控接收到禁止响应,则所述中控对所述数据库登录请求进行拦截。
9.根据权利要求8所述的装置,其特征在于,所述确定模块,包括:
查询单元,用于当检测到所述发起行为时,查询所述发起行为对应的行为权限集,所述行为权限集包括至少一个所述发起行为具有的行为权限;
确定单元,用于如果所述行为权限集中包括预设数目的主要行为权限,则确定所述发起行为的发起方式为主动发起,所述主要行为权限用于评定所述终端中的行为的发起方式;
所述确定单元,还用于如果所述行为权限集中未包括预设数目的所述主要行为权限,则确定所述发起行为的发起方式为被动发起。
10.根据权利要求8所述的装置,其特征在于,所述装置还包括:
展示模块,用于如果所述发起行为的发起方式为被动发起,则展示失败响应,结束当前流程。
11.一种数据库服务登录设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述方法的步骤。
12.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910755464.6A CN112395585B (zh) | 2019-08-15 | 2019-08-15 | 数据库服务登录方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910755464.6A CN112395585B (zh) | 2019-08-15 | 2019-08-15 | 数据库服务登录方法、装置、设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112395585A CN112395585A (zh) | 2021-02-23 |
CN112395585B true CN112395585B (zh) | 2023-01-06 |
Family
ID=74601880
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910755464.6A Active CN112395585B (zh) | 2019-08-15 | 2019-08-15 | 数据库服务登录方法、装置、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112395585B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004032421A1 (fr) * | 2002-10-01 | 2004-04-15 | Huawei Technologies Co., Ltd. | Procede d'adjonction de dispositifs a un systeme de gestion |
JP2005267529A (ja) * | 2004-03-22 | 2005-09-29 | Fujitsu Ltd | ログイン認証方式、ログイン認証システム、認証プログラム、通信プログラムおよび記憶媒体 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100250921A1 (en) * | 2009-03-27 | 2010-09-30 | Gil Spencer | Authorizing a Login Request of a Remote Device |
CN102497635B (zh) * | 2011-11-28 | 2015-07-08 | 宇龙计算机通信科技(深圳)有限公司 | 服务器、终端和账户密码获取方法 |
CN108846287A (zh) * | 2018-06-26 | 2018-11-20 | 北京奇安信科技有限公司 | 一种检测漏洞攻击的方法及装置 |
CN109492378B (zh) * | 2018-11-26 | 2024-06-18 | 平安科技(深圳)有限公司 | 一种基于设备识别码的身份验证方法、服务器及介质 |
CN110062380A (zh) * | 2019-04-28 | 2019-07-26 | 广东电网有限责任公司 | 一种移动应用系统的连接访问请求安全检测方法 |
-
2019
- 2019-08-15 CN CN201910755464.6A patent/CN112395585B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004032421A1 (fr) * | 2002-10-01 | 2004-04-15 | Huawei Technologies Co., Ltd. | Procede d'adjonction de dispositifs a un systeme de gestion |
JP2005267529A (ja) * | 2004-03-22 | 2005-09-29 | Fujitsu Ltd | ログイン認証方式、ログイン認証システム、認証プログラム、通信プログラムおよび記憶媒体 |
Also Published As
Publication number | Publication date |
---|---|
CN112395585A (zh) | 2021-02-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10057282B2 (en) | Detecting and reacting to malicious activity in decrypted application data | |
JP6386069B2 (ja) | 接続管理方法、装置、電子設備、プログラム、及び記録媒体 | |
CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
CN114900338B (zh) | 一种加密解密方法、装置、设备和介质 | |
KR102581873B1 (ko) | 전자기기의 패스워드 업데이트 방법, 장치, 기기 및 저장매체 | |
CN106302328B (zh) | 敏感用户数据处理系统和方法 | |
CN102144193B (zh) | 在自动化系统中同意对基于计算机的对象的访问权限的方法、设备和自动化系统 | |
CN107483495B (zh) | 一种大数据集群主机管理方法、管理系统及服务端 | |
CN103310161A (zh) | 一种用于数据库系统的防护方法及系统 | |
CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
CN103118022B (zh) | 一种无密码异端登陆验证方法 | |
CN110225017B (zh) | 基于联盟区块链的身份验证方法、设备及存储介质 | |
CN112688972B (zh) | 一种保护账号安全的方法及系统 | |
CN104883364B (zh) | 一种判断用户访问服务器异常的方法及装置 | |
CN111314381A (zh) | 安全隔离网关 | |
WO2015169003A1 (zh) | 一种账户分配方法和装置 | |
CN112398787B (zh) | 邮箱登录验证的方法、装置、计算机设备及存储介质 | |
CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
CN114157438A (zh) | 网络设备管理方法、装置及计算机可读存储介质 | |
CN113922975A (zh) | 一种安全控制方法、服务器、终端、系统和存储介质 | |
CN112395585B (zh) | 数据库服务登录方法、装置、设备及可读存储介质 | |
CN105100030B (zh) | 访问控制方法、系统和装置 | |
CN116996238A (zh) | 一种网络异常访问的处理方法以及相关装置 | |
KR101286767B1 (ko) | 동적 해싱을 이용한 애플리케이션 프로그램 검증 방법 | |
CN110278127B (zh) | 一种基于安全传输协议的Agent部署方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |