CN112906025A - 数据库管控方法、装置、设备及存储介质 - Google Patents
数据库管控方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112906025A CN112906025A CN202110236688.3A CN202110236688A CN112906025A CN 112906025 A CN112906025 A CN 112906025A CN 202110236688 A CN202110236688 A CN 202110236688A CN 112906025 A CN112906025 A CN 112906025A
- Authority
- CN
- China
- Prior art keywords
- data packet
- forwarded
- target
- control
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种数据库管控方法、装置、设备及存储介质。其中,方法包括:通过内核模块获取目标客户端发送的访问请求数据包;通过内核模块在确定访问请求数据包为目标协议数据包的情况下,将目标协议数据包发送至管控模块;通过管控模块根据预设管控策略,对接收到的目标协议数据包进行管控改写处理,得到待转发数据包,并将待转发数据包发送至内核模块;通过内核模块对接收到的待转发数据包进行路由映射处理,并根据路由映射处理结果完成对所述待转发数据包的管控转发处理。本发明实施例实现以简单的部署方式对数据库进行管控,对系统的兼容性高,同时实现了端口复用的目的,使得系统的单台业务承载量得到了很好的提升。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种数据库管控方法、装置、设备及存储介质。
背景技术
现有技术中,实现针对不同数据库或数据库主机服务器的访问操作管控,通常有以下两种方法:其一是通过对数据库客户端工具进行改造,从工具侧实现代理以达到管控目的;其二是在数据库客户端工具与目标数据库或主机服务器中间架设一层基于应用层实现的代理。
但在现有技术提供的上述方法中,通过对客户端工具进行改造实现管控,需要针对所有的客户端工具以及该客户端工具的所有版本进行改造才能满足管控需求,当出现一种新的客户端工具或客户端工具版本有升级时需要重新进行开发,客户端工具与系统之间的强耦合,导致需要耗费大量的开发维护成本,且支持范围受限。通过基于应用层的代理实现管控,需要同时架设代理服务端与代理客户端,由代理服务端对接客户端工具,将收到的请求再通过代理客户端转发给目标数据库或主机服务器,增加了系统的复杂性,同时,代理服务端将请求透传给代理客户端时会导致端口资源浪费,限制了业务的承载量,且涉及的多流程交互易导致性能损耗的问题。此外,现有技术所提供的两种方法均无法解决第三方通过非法端口探测以及ddos(distributed denial of service attack,分布式拒绝服务攻击)造成的安全问题。
发明内容
本发明实施例提供一种数据库管控方法、装置、设备及存储介质,实现以简单的部署方式对数据库进行管控,对系统的兼容性高,同时实现了端口复用的目的,使得系统的单台业务承载量得到了很好的提升。
第一方面,本发明实施例提供了一种方法,应用于协议代理服务器,所述协议代理服务器包括内核模块和管控模块,包括:
通过所述内核模块获取目标客户端发送的访问请求数据包;
通过所述内核模块在确定所述访问请求数据包为目标协议数据包的情况下,将所述目标协议数据包发送至所述管控模块;
通过所述管控模块根据预设管控策略,对接收到的所述目标协议数据包进行管控改写处理,得到待转发数据包,并将所述待转发数据包发送至所述内核模块;
通过所述内核模块对接收到的所述待转发数据包进行路由映射处理,并根据路由映射处理结果完成对所述待转发数据包的管控转发处理。
第二方面,本发明实施例还提供了一种数据库管控装置,配置于协议代理服务器,包括:
内核模块,用于获取目标客户端发送的访问请求数据包;在确定所述访问请求数据包为目标协议数据包的情况下,将所述目标协议数据包发送至所述管控模块;对接收到的所述待转发数据包进行路由映射处理,并根据路由映射处理结果完成对所述待转发数据包的管控转发处理;
管控模块,用于根据预设管控策略,对接收到的所述目标协议数据包进行管控改写处理,得到待转发数据包,并将所述待转发数据包发送至所述内核模块。
第三方面,本发明实施例还提供了一种服务器设备,所述服务器设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本发明任意实施例所提供的数据库管控方法。
第四方面,本发明实施例还提供了一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明任意实施例所提供的数据库管控方法。
本发明实施例通过在协议代理服务器中部署管控模块,通过管控模块对内核模块拦截到的数据包进行管控改写处理,并通过内核模块完成对数据包的路由与转发,实现以简单的部署方式对数据库进行管控,对系统的兼容性高,避免了现有技术中从工具侧实现管控造成的开发维护成本过高且支持范围受限的问题,同时并未占用系统的资源端口,实现了端口复用的目的,使得系统的单台业务承载量得到了很好的提升。
附图说明
图1为本发明实施例一提供的一种数据库管控方法的流程图。
图2为本发明实施例二提供的一种数据库管控方法的流程图。
图3为本发明实施例二提供的一种数据库管控方法的流程示意图。
图4为本发明实施例二提供的一种路由映射处理方法的流程示意图。
图5为本发明实施例三提供的一种数据库管控装置的结构示意图。
图6为本发明实施例四提供的一种服务器设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。
另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
实施例一
图1是本发明实施例一提供的一种数据库管控方法的流程图,本实施例可适用于通过协议代理服务器对数据库进行管控的情况,该方法可以由本发明实施例提供的数据库管控装置来执行,该装置可以由软件和/或硬件的方式来实现,并一般可集成在计算机设备中,例如协议代理服务器。相应的,如图1所示,该方法包括如下操作:
S110、通过所述内核模块获取目标客户端发送的访问请求数据包。
其中,协议代理服务器可以是在客户端工具和数据库服务器之间提供代理服务的服务器。内核模块可以是协议代理服务器中,用于在客户端工具和数据库服务器之间进行数据转发的功能模块。目标客户端可以是需要访问数据库的客户端工具。访问请求数据包可以是负载有目标客户端对数据库的访问请求的数据包。
相应的,目标客户端需要访问数据库时,可以向外发送访问请求数据包,目的端可以是数据库的服务器端口。访问请求数据包中负载的数据可以包括发送访问请求数据包的源端口的地址,例如可以包括目标客户端的源IP地址(Internet Protocol Address,网际协议地址)和目标客户端发送访问请求数据包的端口的源端口地址,可以包括接收访问请求的目的端的地址,例如可以是数据库服务器的目的IP地址和数据库服务器端口的目的端口地址,以及可以包括访问请求的内容数据。当目标客户端向外发送访问请求数据包时,协议代理服务器可以通过内核模块获取访问请求数据包。
可选的,协议代理服务器可以基于TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制/因特网互联)协议栈提供协议代理服务,可以部署于Linux服务器上,采用逻辑串联的方式部署在目标客户端和数据库服务器之间。进一步可选的,当目标客户端向外发送访问请求数据包时,协议代理服务器通过内核模块,可以基于Netlink(套接字)协议栈技术拦截访问请求数据包,例如可以通过内核模块注册nf_ip_pre_routing钩子函数,以实现对访问请求数据包的获取。
S120、通过所述内核模块在确定所述访问请求数据包为目标协议数据包的情况下,将所述目标协议数据包发送至所述管控模块。
其中,目标协议数据包可以是与协议代理服务器采用同一通信协议进行传输的数据包,例如可以是TCP/IP协议通信中的数据包。管控模块可以是协议代理服务器中,用于实现数据库管控的功能模块,可以与内核模块进行数据传输。
相应的,协议代理服务器通过内核模块获取到访问请求数据包后,可以根据访问请求数据包的头部确定数据包采用的通信协议类型。示例性的,若访问请求数据包具有TCP头部,则可以确定访问请求数据包为TCP/IP协议通信中的数据包。进一步的,协议代理服务器可以通过管控模块对目标协议数据包进行管控,从而实现对数据库服务器的访问管控,因此,在确定访问请求数据包为目标协议数据包的情况下,可以将其发送至管控模块。
可选的,通过所述内核模块在确定所述访问请求数据包不是目标协议数据包,或所述访问请求数据包对应于非管控端口的情况下,可以将访问请求数据包放行。具体的,访问请求数据包不是目标协议数据包,则协议代理服务器不具备该访问请求数据包采用的通信协议,从而无法对其进行管控,可以将其放行。访问请求数据包对应于非管控端口,则可以说明目标客户端中发送该访问请求数据包的端口可以被信任,无需进行管控,可以将该访问请求数据包放行。内核模块将访问请求数据包放行,例如可以是根据访问请求数据包中的访问请求目的端的地址将其发送至相应的数据库服务器端口。
S130、通过所述管控模块根据预设管控策略,对接收到的所述目标协议数据包进行管控改写处理,得到待转发数据包,并将所述待转发数据包发送至所述内核模块。
其中,预设管控策略可以包括不同客户端工具对数据库的访问权限。管控改写处理可以是根据预设管控策略对目标协议数据包进行访问权限鉴定,并根据访问权限鉴定的结果对目标协议数据包进行改写的操作。待转发数据包可以是通过对目标协议数据包进行管控改写处理生成的数据包。
相应的,预设管控策略可以根据不同客户端工具对数据库的访问权限进行预先设置。管控模块接收到目标协议数据包后,可以获取目标协议数据包中的访问请求源端口和目的端的地址、访问请求的内容数据,从而对目标协议数据包进行管控改写处理时,可以在预设管控策略中获取目标客户端端口对数据库服务器端口的访问权限,确定目标协议数据包负载的访问请求是否可以被允许。
进一步的,可以对不被允许的访问请求对应的目标协议数据包进行改写,例如可以将其中的目的端地址改写为预设的虚拟服务器端口地址,以使目标协议数据包无法被转发至原本目的端地址指示的数据库服务器端口,和/或将其中没有权限的访问请求删除或根据预设规则改写为其他数据,以使访问请求中不再包括权限允许范围之外的内容。可选的,还可以对可以允许的访问请求对应的目标协议数据包进行改写,例如可以包括对其中的访问请求的内容数据进行数据处理,例如可以是进行数据加密处理或数据脱敏处理等,以提高转发至数据库服务器的数据的安全性。完成对目标协议数据包的管控改写处理后,可以得到待转发数据包,可以确定其对应的访问请求在访问权限允许的范围内。
S140、通过所述内核模块对接收到的所述待转发数据包进行路由映射处理,并根据路由映射处理结果完成对所述待转发数据包的管控转发处理。
其中,路由映射处理可以是确定对待转发数据包的转发路径的操作。路由映射处理结果可以是完成对待转发数据包的路由映射处理或路由映射处理失败。管控转发处理可以是根据转发路径执行对待转发数据包的转发,或不执行对待转发数据包的转发。
相应的,内核模块接收到待转发数据包之后,可以获取待转发数据包中的目的端地址,即可以确定需要将待转发数据包发送至该地址。内核模块根据确定的目的端地址,可以获取到目标客户端端口与该目的端之间进行通信的情况,若可以确定当前情况下,两者之间的通信状态正常,则可以进一步确定待转发数据包在两者之间的转发路径,完成对待转发数据包的路由映射处理。若无法确定当前情况下目标客户端端口与目的端之间的通信状态正常,则不再进一步确定待转发数据包的转发路径,路由映射处理结果为路由映射处理失败。
进一步的,若路由映射处理结果为完成对待转发数据包的路由映射处理,则可以根据转发路径执行对待转发数据包的转发,将待转发数据包发送至目的端地址相应的数据库服务器端口。可选的,内核模块可以通过网卡将待转发数据包发送至目的端地址相应的数据库服务器端口。若路由映射处理结果为路由映射处理失败,则不执行转发操作,由此完成对待转发数据包的管控转发处理,可以避免权限允许范围之外的访问请求被发送至数据库服务器端口,实现数据库管控。
本发明实施例提供了一种数据库管控方法,通过在协议代理服务器中部署管控模块,通过管控模块对内核模块拦截到的数据包进行管控改写处理,并通过内核模块完成对数据包的路由与转发,实现以简单的部署方式对数据库进行管控,对系统的兼容性高,避免了现有技术中从工具侧实现管控造成的开发维护成本过高且支持范围受限的问题,同时并未占用系统的资源端口,实现了端口复用的目的,使得系统的单台业务承载量得到了很好的提升。
实施例二
图2为本发明实施例二提供的一种数据库管控方法的流程图。本发明实施例以上述实施例为基础进行具体化,在本发明实施例中,给出了通过所述内核模块对接收到的所述待转发数据包进行路由映射处理的具体可选的实现方式。
如图2所示,本发明实施例的方法具体包括:
S210、通过所述内核模块获取目标客户端发送的访问请求数据包。
S220、通过所述内核模块在确定所述访问请求数据包为目标协议数据包的情况下,将所述目标协议数据包发送至所述管控模块。
S230、通过所述管控模块根据预设管控策略,对接收到的所述目标协议数据包进行管控改写处理,得到待转发数据包,并将所述待转发数据包发送至所述内核模块。
在本发明的一个可选实施例中,通过所述管控模块根据预设管控策略,对接收到的所述目标协议数据包进行管控改写处理,得到待转发数据包,包括:通过所述管控模块根据预设管控策略,对所述目标协议数据包进行分析控制处理;通过所述管控模块根据分析控制处理结果,在确定所述目标协议数据包不具有访问权限的情况下,将所述目标协议数据包中目标数据改写为访问异常数据,得到访问异常数据包;通过所述管控模块将所述访问异常数据包确定为待转发数据包。
其中,分析控制处理可以是根据预设管控策略对目标协议数据包进行访问权限鉴定的操作。目标数据可以是目标协议数据包负载的访问请求。访问异常数据可以是对目标协议数据包不具有访问权限的反馈消息数据。访问异常数据包可以是用于反馈至目标客户端的数据包,负载有访问异常数据。
相应的,通过管控模块对目标协议数据包进行分析控制处理时,管控模块可以通过预设的数据包解析过程,获取目标协议数据包中的访问请求源端口和目的端的地址、访问请求的内容数据,从而可以在预设管控策略中获取该目标客户端端口对目的端数据库服务器端口的访问权限,确定目标协议数据包负载的访问请求是否具有权限。可选的,分析控制处理具体可以包括但不限于对目标协议数据包进行访问权限合法性检验、操作管控和操作审计。
进一步的,在确定目标协议数据包不具有访问权限的情况下,即其负载的访问请求不在预设管控策略规定的权限的可允许范围内,则可以将目标协议数据包中的目标数据改写为访问异常数据。可选的,将目标协议数据包中目标数据改写为访问异常数据,可以包括将目标协议数据包中的访问请求的内容数据改写为对目标协议数据包不具有访问权限的反馈消息的内容数据,同时将目标协议数据包中的目的端地址改写为目标客户端的端口地址,以使改写后得到的访问异常数据包可以负载有对目标协议数据包不具有访问权限的反馈消息内容数据,并被转发至目标客户端,从而目标客户端可以根据接收到的访问异常数据包得知其访问请求不具有权限。
上述实施方式提供了一种在确定目标协议数据包不具有访问权限的情况下,对目标协议数据包进行改写的具体方法,实现了对发送至数据库的访问请求的管控,同时可以在访问请求不具有权限时,及时生成相应的反馈消息以通知客户端。
在本发明的一个可选实施例中,通过所述管控模块根据预设管控策略,对接收到的所述目标协议数据包进行管控改写处理,得到待转发数据包,包括:通过所述管控模块根据预设管控策略,对所述目标协议数据包进行分析控制处理;通过所述管控模块根据分析控制处理结果,在确定所述目标协议数据包具有访问权限的情况下,对所述目标协议数据包中目标数据进行数据脱敏处理,得到目标脱敏数据包;通过所述管控模块将所述目标脱敏数据包确定为待转发数据包。
其中,数据脱敏处理可以是根据预设规则对目标数据进行修改,以使原本的目标数据无法被直接读取的操作。目标脱敏数据包可以是用于转发至数据库服务器端口的数据包,负载有经过数据脱敏处理的目标数据。
相应的,在确定目标协议数据包具有访问权限的情况下,即其负载的访问请求具有权限,则可以将该访问请求发送至目的端数据库服务器端口,以完成相应的数据库业务。由于目标协议数据包负载的目标数据中可能包括访问请求相关的敏感数据,则可以通过对目标数据进行数据脱敏处理,使发送至数据库服务器端口的目标脱敏数据包负载的数据无法被直接读取,可以确保目标数据的安全性。
S240、通过所述内核模块对接收到的所述待转发数据包进行路由映射处理,并根据路由映射处理结果完成对所述待转发数据包的管控转发处理。
在本发明的一个可选实施例中,S240具体可以包括:
S241、通过所述内核模块调用所述待转发数据包匹配的已注册服务。
其中,已注册服务可以是用于对待转发数据包进行路由映射处理的功能组件。
相应的,内核模块可以根据待转发数据包中的源端口地址和目的端地址,确定出与待转发数据包匹配的已注册服务。已注册服务可以对待转发数据包进行路由映射处理,以确定待转发数据包的转发路径。
S242、通过所述内核模块根据所述已注册服务确定所述待转发数据包的会话状态。
其中,会话状态可以是待转发数据包对应的目标客户端端口和目的端数据库服务器端口之间的通信状态。
相应的,已注册服务可以根据待转发数据包中的源端口地址和目的端地址,分别确定出发送待转发数据包的目标客户端端口和待转发数据包的目的端数据库服务器端口,通过判断在当前时刻的前一时刻,目标客户端端口与目的端数据库服务器端口是否建立了通信连接,确定当前情况下两者之间的会话状态。具体的,若前一时刻已成功建立通信连接,则当前会话正常;若前一时刻未成功建立通信连接,则可以进一步判断待转发数据包负载的访问请求是否为目标客户端端口初次对目的端数据库服务器端口发送的建立通信连接的请求,若是,则可以确定会话正常,否则,可以确定会话异常。
在本发明的一个可选实施例中,通过所述内核模块根据所述已注册服务确定所述待转发数据包的会话状态,包括:通过所述内核模块根据所述已注册服务获取所述待转发数据包的路由地址数据,并根据所述路由地址数据获取所述待处理数据包匹配的目标存储空间;通过所述内核模块在确定所述目标存储空间中包括所述待转发数据包匹配的目标会话数据时,确定所述待转发数据包的会话状态为会话正常。
其中,路由地址数据可以是待转发数据包负载的源端口地址和目的端地址。目标存储空间可以是用于存储目标客户端端口与目的端数据库服务器端口进行通信所产生的数据的内存空间。目标会话数据可以是目标客户端端口与目的端数据库服务器端口在前一时刻进行通信所产生的数据。
相应的,内核模块根据已注册服务,可以在待转发数据包负载的数据中获取待转发数据包的路由地址数据,并可以根据路由地址数据获取匹配的目标存储空间。可选的,内核模块可以根据已注册服务,获取待转发数据包的路由地址数据,包括源IP地址、源端口地址、目的IP地址和目的端口地址,根据路由地质数据生成hash(哈希)值,从而快速定位到目标存储空间。
进一步的,若目标存储空间中存储有匹配的目标会话数据,可以说明当前时刻,目标客户端端口与目的端数据库服务器端口之间成功建立了通信连接,则可以确定会话状态为会话正常。若目标存储空间中没有匹配的目标会话数据,可以说明当前时刻,目标客户端端口与目的端数据库服务器端口之间没有建立通信连接,则无法确定会话状态为会话正常或会话异常,可选的,可以进一步判断待转发数据包负载的访问请求是否为目标客户端端口向目的端数据库服务器端口发送的建立通信连接的请求,若是,则可以确定会话状态正常,否则,可以确定会话状态异常。
在本发明的一个可选实施例中,在通过所述内核模块调用所述待转发数据包匹配的已注册服务之前,还包括:通过所述内核模块获取所述待转发数据包的路由类型,在确定所述路由类型为第一路由类型的情况下,在根据所述路由地址数据获取所述待处理数据包匹配的目标存储空间之后,还包括:通过所述内核模块在确定所述目标存储空间中不包括所述待转发数据包匹配的目标会话数据的情况下,判断所述待转发数据包是否为握手消息数据;通过所述内核模块在确定所述待转发数据包是握手消息数据的情况下,确定所述待转发数据包的会话状态为会话正常;通过所述内核模块在确定所述待转发数据包不是握手消息数据的情况下,确定所述待转发数据包的会话状态为会话异常。
其中,路由类型可以表征待转发数据包的发送方向。第一路由类型可以是表征的发送方向为发送至数据库服务器端口的路由类型。握手消息数据可以是用于请求与数据库服务器端口建立通信连接的消息数据。
相应的,待转发数据包的路由类型为第一路由类型,可以说明待转发数据包是被发送至数据库服务器的,其可以是在目标客户端端口在与数据库服务器端口建立连接后发送的访问请求,也可以是初次请求建立连接的访问请求。因此,在根据目标存储空间中不包括目标会话数据,确定目标客户端端口与数据库服务器端口之间没有建立过通信连接的情况下,可以进一步通过判断待转发数据包是否为握手消息数据,确定待转发数据包是否用于初次请求建立连接。可选的,握手消息数据可以是SYN(Synchronize Sequence Numbers,同步序列编号)包。若待转发数据包是握手消息,则确定待转发数据包用于初次请求建立连接,目标存储空间中不包括目标会话数据的情况为会话状态正常的情况;若待转发数据包不是握手消息,且目标客户端端口与数据库服务器端口之间没有建立过通信连接,则目标存储空间中不包括目标会话数据的情况为异常情况。
在本发明的一个可选实施例中,通过所述内核模块获取所述待转发数据包的路由类型,在确定所述路由类型为第二路由类型的情况下,在根据所述路由地址数据获取所述待处理数据包匹配的目标存储空间之后,还包括:通过所述内核模块在确定所述目标存储空间中不包括所述待转发数据包匹配的目标会话数据的情况下,确定所述待转发数据包的会话状态为会话异常。
其中,第二路由类型可以是表征的发送方向为发送至目标客户端端口的路由类型。
相应的,待转发数据包的路由类型为第二路由类型,可以说明待转发数据包是被发送至目标客户端的,则正常情况下,目标客户端端口已经与数据库服务器端口建立了连接。因此,在根据目标存储空间中不包括目标会话数据,确定目标客户端端口与目标数据库服务器端口之间没有建立过通信连接的情况下,可以直接确定待转发数据包的会话状态为会话异常。
S243、通过所述内核模块判断所述会话状态是否为会话异常,若是,则执行步骤244,否则,执行步骤245。
S244、通过所述内核模块对所述待转发数据包进行吞噬处理,得到路由映射处理结果。
其中,吞噬处理可以是将待转发数据包丢弃而不对目标客户端进行任何反馈的操作。
相应的,对于会话异常的待转发数据包,内核模块可以对其进行吞噬处理,则路由映射处理结果为路由映射处理失败。
上述实施方式通过将会话异常状态的待转发数据包直接吞噬,而不对目标客户端进行任何反馈,避免在异常情况下将协议代理服务器的端口暴露给目标服务器,可以有效解决第三方通过非法端口探测以及ddos造成的安全问题。
S245、通过所述内核模块获取所述待转发数据包的目标资源地址,并根据所述目标资源地址对所述待转发数据包进行封装,得到路由映射处理结果。
其中,目标资源地址可以是待转发数据包的转发路径中各节点的地址。
相应的,对于会话正常的待转发数据包,内核模块可以通过对目标会话数据进行分析,得到目标资源地址。进一步的,可以根据确定出的目标资源地址对待转发数据包进行封装,以使待转发数据包可以通过确定出的转发路径被继续转发,得到的路由映射处理结果为完成路由映射处理。
S246、根据路由映射处理结果完成对所述待转发数据包的管控转发处理。
示例性的,图3为本发明实施例提供的一种数据库管控方法的流程示意图。如图3所示,基于TCP/IP协议栈的协议代理服务器通过内核模块注册nf_ip_pre_routing钩子函数完成数据包的拦截注册,当客户端工具发起数据库访问操作时,可以通过内核模块拦截数据包,其中,可以对非TCP/IP协议的数据包或非管控端口的数据包直接放行。内核模块基于Netlink技术实现与客户端工具进行通信,并将拦截到的数据包转发给管控模块处理。继而管控模块可以根据系统策略配置的处理方式完成数据包的处理过程,包含但不仅限于访问权限合法性检验、操作管控、操作审计等功能,通过应用层服务完成数据包应用层的改包操作后,基于Netlink技术将数据包返回给内核模块。内核模块封装数据包头并将数据包发送给操作系统网卡,由网卡硬件转发给目标服务器,完成数据的路由转发功能。
示例性的,图4为本发明实施例提供的一种路由映射处理方法的流程示意图。如图4所示,通过内核模块收到数据包时,根据目的端的IP地址、端口地址判断该数据包的路由类型是否为从客户端发往服务端口的正向数据包,或是从服务端返回给客户端的逆向数据包。当确定数据包为正向数据包时,可以调用相应的正向数据包处理模块,判断是否已有注册能处理该数据包的服务,若有,则将数据包转发到该服务以进行进一步处理。注册服务接收到数据包后,根据源IP地址、源端口地址、目的IP地址、目的端口地址,生成hash值快速定位到对应的会话的内存空间,并判断是否已存在会话信息。若不存在会话信息且为非SYN包,则标识该会话异常,直接吞噬即可;若存在会话信息,则取出会话信息以进行应用层协议的分析处理,并结束流程。当确定数据包为逆向数据包时,可以调用相应的逆向数据包处理模块,若不存在会话信息,则直接吞噬处理;若存在会话信息,则取出会话信息以进行应用层协议的分析处理,并结束流程。
本发明实施例提供了一种数据库管控方法,通过在协议代理服务器中部署管控模块,通过管控模块对内核模块拦截到的数据包进行管控改写处理,并通过内核模块完成对数据包的路由与转发,实现以简单的部署方式对数据库进行管控,对系统的兼容性高,避免了现有技术中从工具侧实现管控造成的开发维护成本过高且支持范围受限的问题,同时并未占用系统的资源端口,实现了端口复用的目的,使得系统的单台业务承载量得到了很好的提升;进一步地,通过数据包匹配的会话信息进一步确认客户端工具与数据库之间的通信状态,及时排查异常情况,并将异常情况下的数据包直接吞噬,以使非法客户端无法感知协议代理服务器端口,有效解决第三方通过非法端口探测以及ddos造成的安全问题。
实施例三
图5为本发明实施例三提供的一种数据库管控装置的结构示意图,如图5所示,所述装置包括:内核模块310和管控模块320。
其中,内核模块310,用于获取目标客户端发送的访问请求数据包;在确定所述访问请求数据包为目标协议数据包的情况下,将所述目标协议数据包发送至管控模块320;对接收到的所述待转发数据包进行路由映射处理,并根据路由映射处理结果完成对所述待转发数据包的管控转发处理;管控模块320,用于根据预设管控策略,对接收到的所述目标协议数据包进行管控改写处理,得到待转发数据包,并将所述待转发数据包发送至内核模块310。
在本发明实施例的一个可选实施方式中,所述管控模块320,具体可以用于:根据预设管控策略,对所述目标协议数据包进行分析控制处理;根据分析控制处理结果,在确定所述目标协议数据包不具有访问权限的情况下,将所述目标协议数据包中目标数据改写为访问异常数据,得到访问异常数据包;将所述访问异常数据包确定为待转发数据包。
在本发明实施例的一个可选实施方式中,所述管控模块320,具体可以用于:根据预设管控策略,对所述目标协议数据包进行分析控制处理;根据分析控制处理结果,在确定所述目标协议数据包具有访问权限的情况下,对所述目标协议数据包中目标数据进行数据脱敏处理,得到目标脱敏数据包;将所述目标脱敏数据包确定为待转发数据包。
在本发明实施例的一个可选实施方式中,所述内核模块310,具体可以用于:调用所述待转发数据包匹配的已注册服务;根据所述已注册服务确定所述待转发数据包的会话状态;在确定所述会话状态为会话异常的情况下,对所述待转发数据包进行吞噬处理,得到路由映射处理结果;在确定所述会话状态为会话正常的情况下,获取所述待转发数据包的目标资源地址,并根据所述目标资源地址对所述待转发数据包进行封装,得到路由映射处理结果。
在本发明实施例的一个可选实施方式中,所述内核模块310,具体可以用于:根据所述已注册服务获取所述待转发数据包的路由地址数据,并根据所述路由地址数据获取所述待处理数据包匹配的目标存储空间;在确定所述目标存储空间中包括所述待转发数据包匹配的目标会话数据时,确定所述待转发数据包的会话状态为会话正常。
在本发明实施例的一个可选实施方式中,所述内核模块310,还可以用于:在调用所述待转发数据包匹配的已注册服务之前,获取所述待转发数据包的路由类型,在确定所述路由类型为第一路由类型的情况下,在根据所述路由地址数据获取所述待处理数据包匹配的目标存储空间之后,在确定所述目标存储空间中不包括所述待转发数据包匹配的目标会话数据的情况下,判断所述待转发数据包是否为握手消息数据;在确定所述待转发数据包是握手消息数据的情况下,确定所述待转发数据包的会话状态为会话正常;在确定所述待转发数据包不是握手消息数据的情况下,确定所述待转发数据包的会话状态为会话异常。
在本发明实施例的一个可选实施方式中,所述内核模块310,还可以用于:获取所述待转发数据包的路由类型,在确定所述路由类型为第二路由类型的情况下,在根据所述路由地址数据获取所述待处理数据包匹配的目标存储空间之后,在确定所述目标存储空间中不包括所述待转发数据包匹配的目标会话数据的情况下,确定所述待转发数据包的会话状态为会话异常。
上述装置可执行本发明任意实施例所提供的数据库管控方法,具备执行数据库管控方法相应的功能模块和有益效果。
本发明实施例提供了一种数据库管控装置,通过在协议代理服务器中部署管控模块,通过管控模块对内核模块拦截到的数据包进行管控改写处理,并通过内核模块完成对数据包的路由与转发,实现以简单的部署方式对数据库进行管控,对系统的兼容性高,避免了现有技术中从工具侧实现管控造成的开发维护成本过高且支持范围受限的问题,同时并未占用系统的资源端口,实现了端口复用的目的,使得系统的单台业务承载量得到了很好的提升。
实施例四
图6为本发明实施例四提供的一种服务器设备的结构示意图。图6示出了适于用来实现本发明实施方式的示例性计算机设备12的框图。图6显示的计算机设备12仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图6所示,服务器设备12以通用计算设备的形式表现。服务器设备12的组件可以包括但不限于:一个或者多个处理器16,存储器28,连接不同系统组件(包括存储器28和处理器16)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
服务器设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被服务器设备12访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。服务器设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图6未显示,通常称为“硬盘驱动器”)。尽管图6中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在例如存储器28中,这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
服务器设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该服务器设备12交互的设备通信,和/或与使得该服务器设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且,服务器设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与服务器设备12的其它模块通信。应当明白,尽管图6中未示出,可以结合服务器设备12使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理器16通过运行存储在存储器28中的程序,从而执行各种功能应用以及数据处理,实现本发明实施例所提供的数据库管控方法:通过所述内核模块获取目标客户端发送的访问请求数据包;通过所述内核模块在确定所述访问请求数据包为目标协议数据包的情况下,将所述目标协议数据包发送至所述管控模块;通过所述管控模块根据预设管控策略,对接收到的所述目标协议数据包进行管控改写处理,得到待转发数据包,并将所述待转发数据包发送至所述内核模块;通过所述内核模块对接收到的所述待转发数据包进行路由映射处理,并根据路由映射处理结果完成对所述待转发数据包的管控转发处理。
实施例五
本发明实施例五提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时,实现本发明实施例所提供的数据库管控方法:通过所述内核模块获取目标客户端发送的访问请求数据包;通过所述内核模块在确定所述访问请求数据包为目标协议数据包的情况下,将所述目标协议数据包发送至所述管控模块;通过所述管控模块根据预设管控策略,对接收到的所述目标协议数据包进行管控改写处理,得到待转发数据包,并将所述待转发数据包发送至所述内核模块;通过所述内核模块对接收到的所述待转发数据包进行路由映射处理,并根据路由映射处理结果完成对所述待转发数据包的管控转发处理。
可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或计算机设备上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种数据库管控方法,其特征在于,应用于协议代理服务器,所述协议代理服务器包括内核模块和管控模块,包括:
通过所述内核模块获取目标客户端发送的访问请求数据包;
通过所述内核模块在确定所述访问请求数据包为目标协议数据包的情况下,将所述目标协议数据包发送至所述管控模块;
通过所述管控模块根据预设管控策略,对接收到的所述目标协议数据包进行管控改写处理,得到待转发数据包,并将所述待转发数据包发送至所述内核模块;
通过所述内核模块对接收到的所述待转发数据包进行路由映射处理,并根据路由映射处理结果完成对所述待转发数据包的管控转发处理。
2.根据权利要求1所述的方法,其特征在于,通过所述管控模块根据预设管控策略,对接收到的所述目标协议数据包进行管控改写处理,得到待转发数据包,包括:
通过所述管控模块根据预设管控策略,对所述目标协议数据包进行分析控制处理;
通过所述管控模块根据分析控制处理结果,在确定所述目标协议数据包不具有访问权限的情况下,将所述目标协议数据包中目标数据改写为访问异常数据,得到访问异常数据包;
通过所述管控模块将所述访问异常数据包确定为待转发数据包。
3.根据权利要求1所述的方法,其特征在于,通过所述管控模块根据预设管控策略,对接收到的所述目标协议数据包进行管控改写处理,得到待转发数据包,包括:
通过所述管控模块根据预设管控策略,对所述目标协议数据包进行分析控制处理;
通过所述管控模块根据分析控制处理结果,在确定所述目标协议数据包具有访问权限的情况下,对所述目标协议数据包中目标数据进行数据脱敏处理,得到目标脱敏数据包;
通过所述管控模块将所述目标脱敏数据包确定为待转发数据包。
4.根据权利要求1所述的方法,其特征在于,通过所述内核模块对接收到的所述待转发数据包进行路由映射处理,包括:
通过所述内核模块调用所述待转发数据包匹配的已注册服务;
通过所述内核模块根据所述已注册服务确定所述待转发数据包的会话状态;
通过所述内核模块在确定所述会话状态为会话异常的情况下,对所述待转发数据包进行吞噬处理,得到路由映射处理结果;
通过所述内核模块在确定所述会话状态为会话正常的情况下,获取所述待转发数据包的目标资源地址,并根据所述目标资源地址对所述待转发数据包进行封装,得到路由映射处理结果。
5.根据权利要求4所述的方法,其特征在于,通过所述内核模块根据所述已注册服务确定所述待转发数据包的会话状态,包括:
通过所述内核模块根据所述已注册服务获取所述待转发数据包的路由地址数据,并根据所述路由地址数据获取所述待处理数据包匹配的目标存储空间;
通过所述内核模块在确定所述目标存储空间中包括所述待转发数据包匹配的目标会话数据时,确定所述待转发数据包的会话状态为会话正常。
6.根据权利要求5所述的方法,其特征在于,在通过所述内核模块调用所述待转发数据包匹配的已注册服务之前,还包括:
通过所述内核模块获取所述待转发数据包的路由类型;
在确定所述路由类型为第一路由类型的情况下,在根据所述路由地址数据获取所述待处理数据包匹配的目标存储空间之后,还包括:
通过所述内核模块在确定所述目标存储空间中不包括所述待转发数据包匹配的目标会话数据的情况下,判断所述待转发数据包是否为握手消息数据;
通过所述内核模块在确定所述待转发数据包是握手消息数据的情况下,确定所述待转发数据包的会话状态为会话正常;
通过所述内核模块在确定所述待转发数据包不是握手消息数据的情况下,确定所述待转发数据包的会话状态为会话异常。
7.根据权利要求6所述的方法,其特征在于,在通过所述内核模块获取所述待转发数据包的路由类型之后,在确定所述路由类型为第二路由类型的情况下,在根据所述路由地址数据获取所述待处理数据包匹配的目标存储空间之后,还包括:
通过所述内核模块在确定所述目标存储空间中不包括所述待转发数据包匹配的目标会话数据的情况下,确定所述待转发数据包的会话状态为会话异常。
8.一种数据库管控装置,其特征在于,配置于协议代理服务器,包括:
内核模块,用于获取目标客户端发送的访问请求数据包;在确定所述访问请求数据包为目标协议数据包的情况下,将所述目标协议数据包发送至所述管控模块;对接收到的所述待转发数据包进行路由映射处理,并根据路由映射处理结果完成对所述待转发数据包的管控转发处理;
管控模块,用于根据预设管控策略,对接收到的所述目标协议数据包进行管控改写处理,得到待转发数据包,并将所述待转发数据包发送至所述内核模块。
9.一种服务器设备,其特征在于,所述服务器设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的数据库管控方法。
10.一种计算机存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一所述的数据库管控方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110236688.3A CN112906025B (zh) | 2021-03-03 | 2021-03-03 | 数据库管控方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110236688.3A CN112906025B (zh) | 2021-03-03 | 2021-03-03 | 数据库管控方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112906025A true CN112906025A (zh) | 2021-06-04 |
| CN112906025B CN112906025B (zh) | 2022-01-07 |
Family
ID=76107652
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110236688.3A Active CN112906025B (zh) | 2021-03-03 | 2021-03-03 | 数据库管控方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112906025B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113806808A (zh) * | 2021-09-24 | 2021-12-17 | 四川新网银行股份有限公司 | 一种分布式环境下无侵入的数据脱敏方法及系统 |
| CN114036569A (zh) * | 2021-11-25 | 2022-02-11 | 江苏安超云软件有限公司 | 基于eBPF的数据安全传输方法及装置 |
| CN114339756A (zh) * | 2021-12-17 | 2022-04-12 | 北京北信源软件股份有限公司 | 无线设备的准入和访问策略控制方法、装置及系统 |
| CN114466046A (zh) * | 2022-02-23 | 2022-05-10 | 石家庄通合电子科技股份有限公司 | 一种数据转发方法及电源模块 |
| CN115086432A (zh) * | 2022-06-10 | 2022-09-20 | 深圳云创数安科技有限公司 | 基于网关监督的数据处理方法、装置、设备及存储介质 |
| WO2023056812A1 (zh) * | 2021-10-09 | 2023-04-13 | 中兴通讯股份有限公司 | 数据处理方法、装置及计算机可读存储介质 |
| CN117313161A (zh) * | 2023-11-29 | 2023-12-29 | 中邮消费金融有限公司 | 数据脱敏方法、组件、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6839769B2 (en) * | 2001-05-31 | 2005-01-04 | Intel Corporation | Limiting request propagation in a distributed file system |
| CN102130838A (zh) * | 2011-04-02 | 2011-07-20 | 南京邮电大学 | 一种基于阿瑞斯协议的对等网络缓存系统的实现方法 |
| CN106856434A (zh) * | 2015-12-08 | 2017-06-16 | 阿里巴巴集团控股有限公司 | 访问请求转换的方法和装置 |
| CN108154047A (zh) * | 2017-12-25 | 2018-06-12 | 网智天元科技集团股份有限公司 | 一种数据脱敏方法和装置 |
| CN110995657A (zh) * | 2019-11-11 | 2020-04-10 | 广州市品高软件股份有限公司 | 一种基于数据标签的数据访问方法、服务端及系统 |
| CN111367983A (zh) * | 2020-03-10 | 2020-07-03 | 中国联合网络通信集团有限公司 | 数据库访问方法、系统、设备和存储介质 |
| CN112351099A (zh) * | 2020-11-06 | 2021-02-09 | 北京金山云网络技术有限公司 | 数据访问方法、装置和服务器 |
-
2021
- 2021-03-03 CN CN202110236688.3A patent/CN112906025B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6839769B2 (en) * | 2001-05-31 | 2005-01-04 | Intel Corporation | Limiting request propagation in a distributed file system |
| CN102130838A (zh) * | 2011-04-02 | 2011-07-20 | 南京邮电大学 | 一种基于阿瑞斯协议的对等网络缓存系统的实现方法 |
| CN106856434A (zh) * | 2015-12-08 | 2017-06-16 | 阿里巴巴集团控股有限公司 | 访问请求转换的方法和装置 |
| CN108154047A (zh) * | 2017-12-25 | 2018-06-12 | 网智天元科技集团股份有限公司 | 一种数据脱敏方法和装置 |
| CN110995657A (zh) * | 2019-11-11 | 2020-04-10 | 广州市品高软件股份有限公司 | 一种基于数据标签的数据访问方法、服务端及系统 |
| CN111367983A (zh) * | 2020-03-10 | 2020-07-03 | 中国联合网络通信集团有限公司 | 数据库访问方法、系统、设备和存储介质 |
| CN112351099A (zh) * | 2020-11-06 | 2021-02-09 | 北京金山云网络技术有限公司 | 数据访问方法、装置和服务器 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113806808A (zh) * | 2021-09-24 | 2021-12-17 | 四川新网银行股份有限公司 | 一种分布式环境下无侵入的数据脱敏方法及系统 |
| WO2023056812A1 (zh) * | 2021-10-09 | 2023-04-13 | 中兴通讯股份有限公司 | 数据处理方法、装置及计算机可读存储介质 |
| CN114036569A (zh) * | 2021-11-25 | 2022-02-11 | 江苏安超云软件有限公司 | 基于eBPF的数据安全传输方法及装置 |
| CN114339756A (zh) * | 2021-12-17 | 2022-04-12 | 北京北信源软件股份有限公司 | 无线设备的准入和访问策略控制方法、装置及系统 |
| CN114339756B (zh) * | 2021-12-17 | 2024-04-26 | 北京北信源软件股份有限公司 | 无线设备的准入和访问策略控制方法、装置及系统 |
| CN114466046A (zh) * | 2022-02-23 | 2022-05-10 | 石家庄通合电子科技股份有限公司 | 一种数据转发方法及电源模块 |
| CN114466046B (zh) * | 2022-02-23 | 2024-03-22 | 石家庄通合电子科技股份有限公司 | 一种数据转发方法及电源模块 |
| CN115086432A (zh) * | 2022-06-10 | 2022-09-20 | 深圳云创数安科技有限公司 | 基于网关监督的数据处理方法、装置、设备及存储介质 |
| CN115086432B (zh) * | 2022-06-10 | 2024-06-04 | 深圳云创数安科技有限公司 | 基于网关监督的数据处理方法、装置、设备及存储介质 |
| CN117313161A (zh) * | 2023-11-29 | 2023-12-29 | 中邮消费金融有限公司 | 数据脱敏方法、组件、设备及存储介质 |
| CN117313161B (zh) * | 2023-11-29 | 2024-05-17 | 中邮消费金融有限公司 | 数据脱敏方法、组件、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112906025B (zh) | 2022-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112906025B (zh) | 数据库管控方法、装置、设备及存储介质 | |
| US11824962B2 (en) | Methods and apparatus for sharing and arbitration of host stack information with user space communication stacks | |
| US10972432B2 (en) | Flexible network security system and method for permitting trusted process | |
| US8006296B2 (en) | Method and system for transmitting information across a firewall | |
| EP1924929B1 (en) | Method and computer program product for sharing a port with multiple processes | |
| US5761421A (en) | System and method for secure peer-to-peer communication between downloaded programs | |
| WO2023005773A1 (zh) | 基于远程直接数据存储的报文转发方法、装置、网卡及设备 | |
| US20090055930A1 (en) | Content Security by Network Switch | |
| US20070255861A1 (en) | System and method for providing dynamic network firewall with default deny | |
| KR20080002741A (ko) | 서버에 클라이언트 식별 정보를 제공하는 시스템 및 방법 | |
| US7975294B2 (en) | VPN management | |
| US11005813B2 (en) | Systems and methods for modification of p0f signatures in network packets | |
| US10516652B1 (en) | Security association management | |
| US7333430B2 (en) | Systems and methods for passing network traffic data | |
| CN114125027B (zh) | 一种通信建立方法、装置、电子设备及存储介质 | |
| US20120144036A1 (en) | Network location based processing of data communication connection requests | |
| CN113612800B (zh) | 网络攻击处理方法、装置、系统、设备、介质和程序产品 | |
| US7644266B2 (en) | Apparatus, system, and method for message level security | |
| US8279869B1 (en) | Reliable communication channel over existing TCP connection | |
| US20050144290A1 (en) | Arbitrary java logic deployed transparently in a network | |
| US7613825B2 (en) | Hierarchical packet processing system and method, relay device and server | |
| US20200177544A1 (en) | Secure internet gateway | |
| KR101971995B1 (ko) | 보안을 위한 보안 소켓 계층 복호화 방법 | |
| US11818173B2 (en) | Reducing memory footprint after TLS connection establishment | |
| US20060026287A1 (en) | Embedded processes as a network service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |