CN115150199B - 一种数据库运维客户端账户管控方法、系统、设备及介质 - Google Patents
一种数据库运维客户端账户管控方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN115150199B CN115150199B CN202211068026.0A CN202211068026A CN115150199B CN 115150199 B CN115150199 B CN 115150199B CN 202211068026 A CN202211068026 A CN 202211068026A CN 115150199 B CN115150199 B CN 115150199B
- Authority
- CN
- China
- Prior art keywords
- database
- maintenance
- client
- connection
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
- G06F16/252—Integrating or interfacing systems involving database management systems between a Database Management System and a front-end application
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出了一种数据库运维客户端账户管控方法、系统、设备及介质,涉及数据库运维技术领域。包括利用网络监控子模块实时监控运维终端上访问数据库的连接;通过运维终端打开数据库客户端,并配置连接信息;设置有网络监控模块,实时监控数据库访问连接;运维人员通过数据库客户端对数据库进行通讯和操作;当网络监控模块发现任一数据库客户端尝试操作处于管控列表中的数据库时,将关联的连接指纹,发送至运维管控系统所在的服务器上;通过网络监控模块获取报文序列号;并与运维管控客户端发送的连接指纹进行对比,若相同,则将其提交至数据库服务器进行执行。其能够基于操作员身份进行管控;同时减轻操作人员操作过程的复杂程度。
Description
技术领域
本发明涉及数据库运维技术领域,具体而言,涉及一种数据库运维客户端账户管控方法、系统、设备及介质。
背景技术
现有的运维管控系统,可以粗略地分为两类。第一类,基于数据库连接的管控;第二类,基于操作员身份的管控。其中的第一类,基于连接的管控,无法清晰地界定操作员的物理身份,仅能从数据库操作的行为维度进行区分;例如,当前SQL执行语句操作的登录数据库用户名、SQL执行语句的操作类型(select、update、insert等)、操作对象(表、列、行等)以及影响范围(即影响行数)等等,如果有多个运维人员使用同一个数据库账号,则无法对其身份进行明确地区分。而第二类,是在基于第一类管控的基础上,增加基于操作员身份的管控。目前已有的实现机制,一般是通过秘密口令进行身份鉴权;通常情况下,数据库运维行为在执行的过程中,会受到运维系统(即运维系统的子模块,一般是数据库代理服务或数据库访问网关)的逐条扫描,在数据库操作行为维度被管控系统允许的操作语句,会被进一步被提交至数据库服务端执行,反之,不被允许的语句,则需要提交操作员身份证明。目前已有的实现机制中,操作员身份证明的方式使用如下逻辑实现的:
1、SQL执行被阻断(客户端执行SQL失败);2、运维人员在服务端获取(运维系统在web管理的操作界面上提供该功能)基于当前SQL该执行的临时秘密口令;运维人员在运维客户端上执行上一步获取的临时秘密口令;运维人员重新执行第1步的SQL;运维系统通过关联的临时秘密口令确认当前SQL对应的操作员身份,提交SQL至数据库服务器执行。
而根据上述步骤第一类实现无法基于操作员身份进行管控;第二类实现可以实现基于操作员身份进行管控,但对于操作员来说,操作起来比较复杂。
发明内容
本发明的目的在于提供一种数据库运维客户端账户管控方法,其能够基于操作员身份进行管控;同时减轻操作人员操作过程的复杂程度。
本发明的实施例是这样实现的:
第一方面,本申请实施例提供一种数据库运维客户端账户管控方法,其包括预设数据库以及与数据库连接的运维终端,在运维终端设置数据库客户端和运维管控客户端,同时在数据库与运维终端之间部署运维管控系统;运维人员在运维终端上打开运维管控客户端,输入账号口令进行登录;运维管控客户端处于登录状态后,利用网络监控子模块实时监控运维终端上访问数据库的连接;运维人员通过运维终端打开数据库客户端,并配置需要运维的数据库的连接信息;运维管控系统上设置有网络监控模块,网络监控模块实时监控所有受到管控的数据库访问连接;运维人员通过数据库客户端对数据库进行通讯和操作;当网络监控模块发现任一数据库客户端尝试操作处于管控列表中的数据库时,将关联的连接指纹,发送至运维管控系统所在的服务器上;运维管控系统通过网络监控模块,获取当前执行语句的连接建立会话的报文序列号;将报文序列号与运维管控客户端发送的连接指纹进行对比,若相同,则将其提交至数据库服务器进行执行。
在本发明的一些实施例中,运维人员通过数据库客户端对数据库进行通讯和操作的步骤包括:建立数据库客户端和数据库的TCP会话;数据库客户端发送数据库账号和口令进行认证;数据库客户端提交执行语句。
在本发明的一些实施例中,建立数据库客户端和数据库的TCP会话的步骤包括:将数据库客户端和数据库的代理网关建立连接,代理网关与数据库服务器建立连接。
在本发明的一些实施例中,将关联的连接指纹,发送至运维管控系统所在的服务器上的步骤包括:将关联的TCP会话的三次握手中的SYN报文的序列号作为连接指纹,发送至运维管控系统所在的服务器上。
在本发明的一些实施例中,利用网络监控子模块实时监控该终端上访问数据库的连接的步骤包括:利用网络监控子模块通过实时捕获网络流量进行分析,实时监控该终端上访问数据库的TCP连接。
在本发明的一些实施例中,利用网络监控子模块实时监控运维终端上访问数据库的连接的步骤包括:利用网络监控子模块,以运维客户端的IP地址或/和运维终端的网口物理地址作为管控参数,实时监控运维终端上访问数据库的连接。
在本发明的一些实施例中,执行语句采用基于结构化查询语言的执行语句。
第二方面,本申请实施例提供一种数据库运维客户端账户管控系统,其包括预设模块,用于预设数据库以及与数据库连接的运维终端,在运维终端设置数据库客户端和运维管控客户端,同时在数据库与运维终端之间部署运维管控系统;登录模块,用于运维人员在运维终端上打开运维管控客户端,输入账号口令进行登录;运维管控客户端处于登录状态后,利用网络监控子模块实时监控运维终端上访问数据库的连接;配置模块,用于运维人员通过运维终端打开数据库客户端,并配置需要运维的数据库的连接信息;实时监控模块,用于运维管控系统上设置有网络监控模块,网络监控模块实时监控所有受到管控的数据库访问连接;运维人员通过数据库客户端对数据库进行通讯和操作;连接指纹生成和发送模块,用于当网络监控模块发现任一数据库客户端尝试操作处于管控列表中的数据库时,将关联的连接指纹,发送至运维管控系统所在的服务器上;比对模块,用于运维管控系统通过网络监控模块,获取当前执行语句的连接建立会话的报文序列号;将报文序列号与运维管控客户端发送的连接指纹进行对比,若相同,则将其提交至数据库服务器进行执行。
第三方面,本申请实施例提供一种电子设备,包括至少一个处理器、至少一个存储器和数据总线;其中:处理器与存储器通过数据总线完成相互间的通信;存储器存储有可被处理器执行的程序指令,处理器调用程序指令以执行一种数据库运维客户端账户管控方法。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现一种数据库运维客户端账户管控方法。
相对于现有技术,本发明的实施例至少具有如下优点或有益效果:
利用运维管控人员在登录运维管控客户端之后,无需再进行其他额外的身份验证操作,可以流畅、安全地进行运维操作,极大地提高运维人员的操作体验。另外数据库客户端的通过TCP连接与数据库服务器进行通讯(当然,本设计始终是使用代理子模块作为中间媒介)。而TCP在OSI参考模型(TCP/IP 7层模型)中处于第四层(传输层)。根据RFC793(TCP传输控制协议的一种),TCP连接的ISS(initial send sequence number)是一个有限集合(即2的32次方),每个TCP进行初始化的时候,需要选出一个新的ISS,本设计利用ISS的随机性作为连接指纹,以提高安全性,在此场景中的安全强度已足够。由此达到基于操作员身份进行管控;同时减轻操作人员操作过程的复杂程度。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明中一种数据库运维客户端账户管控方法的流程图;
图2为本发明中一种数据库运维客户端账户管控方法的拓扑图;
图3为本发明中一种数据库运维客户端账户管控方法的时序图;
图4为本发明中一种数据库运维客户端账户管控系统的结构示意图;
图5为本发明中一种电子设备的结构示意图。
图标:1、预设模块;2、登录模块;3、配置模块;4、实时监控模块;5、连接指纹生成和发送模块;6、比对模块;7、处理器;8、存储器;9、数据总线。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
需要说明的是,在本文中,术语“包括”、或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
在本申请的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的各个实施例及实施例中的各个特征可以相互组合。
实施例1
请参阅图1,为本申请实施例提供的一种数据库运维客户端账户管控方法,其主要原理为利用运维管控人员在登录运维管控客户端之后,无需再进行其他额外的身份验证操作,可以流畅、安全地进行运维操作,极大地提高运维人员的操作体验。另外数据库客户端的通过TCP连接与数据库服务器进行通讯(当然,本设计始终是使用代理子模块作为中间媒介)。而TCP在OSI参考模型(TCP/IP 7层模型)中处于第四层(传输层)。根据RFC793(TCP传输控制协议的一种),TCP连接的ISS(initial send sequence number)是一个有限集合(即2的32次方),每个TCP进行初始化的时候,需要选出一个新的ISS,本设计利用ISS的随机性作为连接指纹,以提高安全性,在此场景中的安全强度已足够。由此达到基于操作员身份进行管控;同时减轻操作人员操作过程的复杂程度。
S1:预设数据库以及与数据库连接的运维终端,在运维终端设置数据库客户端和运维管控客户端,同时在数据库与运维终端之间部署运维管控系统;
数据库客户端和运维管控客户端相关软件运行在如图2所述的拓扑图中的运维终端上,运维人员对数据库的运维操作,是通过数据库客户端操作数据库实现的。部署了运维管控系统的环境中,数据库客户端逻辑上无法直接访问数据库,而是通过运维管控系统作为中间媒介来访问数据库。
S2:运维人员在运维终端上打开运维管控客户端,输入账号口令进行登录;运维管控客户端处于登录状态后,利用网络监控子模块实时监控运维终端上访问数据库的连接;
这里监控主要是通过实时捕获网络流量进行分析,从而实现的。另外输入账号口令则是为了提高安全性。
S3:运维人员通过运维终端打开数据库客户端,并配置需要运维的数据库的连接信息;
由于数据库内的数据类型不同,对于不同类型数据的维护需要配置不同的连接信息。
S4:运维管控系统上设置有网络监控模块,网络监控模块实时监控所有受到管控的数据库访问连接;运维人员通过数据库客户端对数据库进行通讯和操作;
而作为中间媒介的运维管控系统,其需要对数据库进行的访问进行监控,由此设置网络监控模块,主要是对行为操作数据进行记录和管控。而对于其中的通讯和操作,则具体方式为:先建立数据库客户端和数据库的TCP会话;其次再数据库客户端发送数据库账号和口令进行认证;而后数据库客户端提交执行语句,最后进行执行。
S5:当网络监控模块发现任一数据库客户端尝试操作处于管控列表中的数据库时,将关联的连接指纹,发送至运维管控系统所在的服务器上;
其中运维管控客户端的网络监控模块如果发现有数据库客户端尝试操作处于管控列表中的数据库时,会将关联的TCP会话的三次握手中的SYN报文的序列号(TCPSequence Number)作为连接指纹,发送至运维管控系统服务器。
S6:运维管控系统通过网络监控模块,获取当前执行语句的连接建立会话的报文序列号;将报文序列号与运维管控客户端发送的连接指纹进行对比,若相同,则将其提交至数据库服务器进行执行。
在运维管控系统收到数据库客户端提交的SQL执行语句的同时(理论上也有可能在此之前一点点时间,但基本等同于同时),也会收到运维管控终端发过来的TCP连接指纹;通过服务端的网络监控模块,获取当前SQL执行语句的TCP连接建立会话的SYN报文的序列号,从而进行后续对比。具体时序流程如图3所示。
在本发明的一些实施例中,运维人员通过数据库客户端对数据库进行通讯和操作的步骤包括:建立数据库客户端和数据库的TCP会话;数据库客户端发送数据库账号和口令进行认证;数据库客户端提交执行语句。
在本发明的一些实施例中,建立数据库客户端和数据库的TCP会话的步骤包括:将数据库客户端和数据库的代理网关建立连接,代理网关与数据库服务器建立连接。
在本发明的一些实施例中,将关联的连接指纹,发送至运维管控系统所在的服务器上的步骤包括:将关联的TCP会话的三次握手中的SYN报文的序列号作为连接指纹,发送至运维管控系统所在的服务器上。
在本发明的一些实施例中,利用网络监控子模块实时监控该终端上访问数据库的连接的步骤包括:利用网络监控子模块通过实时捕获网络流量进行分析,实时监控该终端上访问数据库的TCP连接。
首先网络流量分析是记录和分析网络流量以出于性能、安全性、网络操作、管理和排障为目的分析网络流量的过程。它是使用自动技术检查网络流量中的详细级别细节和统计信息的过程。其可以深入了解流经网络的流量、网络数据包或数据的类型。网络流量分析是通过采集收集的流量方式进行分析网络带宽利用率、网络性能质量、协议分布、应用程序传输质量。有助于使用网络流量分析来识别流量中的任何恶意或可疑数据包。同样,网络管理员分析下载/上传速度,吞吐量,内容、网络传输性能、应用程序交互能力等,以了解网络操作和流量行为;攻击者/入侵者还使用网络流量分析来分析网络流量模式并识别任何侵入或检索敏感数据的漏洞或手段。
在本发明的一些实施例中,利用网络监控子模块实时监控运维终端上访问数据库的连接的步骤包括:利用网络监控子模块,以运维客户端的IP地址或/和运维终端的网口物理地址作为管控参数,实时监控运维终端上访问数据库的连接。
使用运维客户端的IP地址,或者运维终端的网口物理地址(MAC)作为管控参数时,当运维管控客户端与运维终端跨越了NAT设备(如企业VPN)的时候,在运维管控系统来看,客户端IP和MAC地址均会发生了变化。而大部分时候,各类NAT设备和网关类设备,均不会对传输层做改动,由此使得适用场景更加广泛。
在本发明的一些实施例中,执行语句采用基于结构化查询语言的执行语句。
SQL语言是当前广泛使用的关系数据库标准语言,其是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统。与其他程序设计语言(如C语言、Java等)不同的是,SQL由很少的关键字组成,每个SQL语句通过一个或多个关键字构成。其具有使用方式灵活、语言简洁以及语法简单等优点。
实施例2
请参阅图4,为本发明提供的一种数据库运维客户端账户管控系统,包括预设模块1,用于预设数据库以及与数据库连接的运维终端,在运维终端设置数据库客户端和运维管控客户端,同时在数据库与运维终端之间部署运维管控系统;登录模块2,用于运维人员在运维终端上打开运维管控客户端,输入账号口令进行登录;运维管控客户端处于登录状态后,利用网络监控子模块实时监控运维终端上访问数据库的连接;配置模块3,用于运维人员通过运维终端打开数据库客户端,并配置需要运维的数据库的连接信息;实时监控模块4,用于运维管控系统上设置有网络监控模块,网络监控模块实时监控所有受到管控的数据库访问连接;运维人员通过数据库客户端对数据库进行通讯和操作;连接指纹生成和发送模块5,用于当网络监控模块发现任一数据库客户端尝试操作处于管控列表中的数据库时,将关联的连接指纹,发送至运维管控系统所在的服务器上;比对模块6,用于运维管控系统通过网络监控模块,获取当前执行语句的连接建立会话的报文序列号;将报文序列号与运维管控客户端发送的连接指纹进行对比,若相同,则将其提交至数据库服务器进行执行。
实施例3
请参阅图5,为本发明提供的一种电子设备,包括至少一个处理器7、至少一个存储器8和数据总线9;其中:处理器7与存储器8通过数据总线9完成相互间的通信;存储器8存储有可被处理器7执行的程序指令,处理器7调用程序指令以执行一种数据库运维客户端账户管控方法。例如实现:
预设数据库以及与数据库连接的运维终端,在运维终端设置数据库客户端和运维管控客户端,同时在数据库与运维终端之间部署运维管控系统;运维人员在运维终端上打开运维管控客户端,输入账号口令进行登录;运维管控客户端处于登录状态后,利用网络监控子模块实时监控运维终端上访问数据库的连接;运维人员通过运维终端打开数据库客户端,并配置需要运维的数据库的连接信息;运维管控系统上设置有网络监控模块,网络监控模块实时监控所有受到管控的数据库访问连接;运维人员通过数据库客户端对数据库进行通讯和操作;当网络监控模块发现任一数据库客户端尝试操作处于管控列表中的数据库时,将关联的连接指纹,发送至运维管控系统所在的服务器上;运维管控系统通过网络监控模块,获取当前执行语句的连接建立会话的报文序列号;将报文序列号与运维管控客户端发送的连接指纹进行对比,若相同,则将其提交至数据库服务器进行执行。
实施例4
本发明提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器7执行时实现一种数据库运维客户端账户管控方法。例如实现:
预设数据库以及与数据库连接的运维终端,在运维终端设置数据库客户端和运维管控客户端,同时在数据库与运维终端之间部署运维管控系统;运维人员在运维终端上打开运维管控客户端,输入账号口令进行登录;运维管控客户端处于登录状态后,利用网络监控子模块实时监控运维终端上访问数据库的连接;运维人员通过运维终端打开数据库客户端,并配置需要运维的数据库的连接信息;运维管控系统上设置有网络监控模块,网络监控模块实时监控所有受到管控的数据库访问连接;运维人员通过数据库客户端对数据库进行通讯和操作;当网络监控模块发现任一数据库客户端尝试操作处于管控列表中的数据库时,将关联的连接指纹,发送至运维管控系统所在的服务器上;运维管控系统通过网络监控模块,获取当前执行语句的连接建立会话的报文序列号;将报文序列号与运维管控客户端发送的连接指纹进行对比,若相同,则将其提交至数据库服务器进行执行。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其它的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (9)
1.一种数据库运维客户端账户管控方法,其特征在于,包括:
预设数据库以及与所述数据库连接的运维终端,在所述运维终端设置数据库客户端和运维管控客户端,同时在所述数据库与所述运维终端之间部署运维管控系统;
运维人员在所述运维终端上打开所述运维管控客户端,输入账号口令进行登录;所述运维管控客户端处于登录状态后,利用网络监控子模块实时监控所述运维终端上访问数据库的连接;
所述运维人员通过所述运维终端打开数据库客户端,并配置需要运维的数据库的连接信息;
所述运维管控系统上设置有网络监控模块,所述网络监控模块实时监控所有受到管控的数据库访问连接;所述运维人员通过所述数据库客户端对所述数据库进行通讯和操作;
当所述运维管控客户端的网络监控子模块发现任一所述数据库客户端尝试操作处于管控列表中的数据库时,将关联的TCP会话的三次握手中的SYN报文的序列号作为连接指纹,发送至运维管控系统所在的服务器上;
所述运维管控系统通过所述网络监控模块,获取当前执行语句的连接建立会话的报文序列号;将所述报文序列号与所述连接指纹进行对比,若相同,则将其提交至数据库服务器进行执行。
2.如权利要求1所述的一种数据库运维客户端账户管控方法,其特征在于,所述运维人员通过所述数据库客户端对所述数据库进行通讯和操作的步骤包括:
建立所述数据库客户端和所述数据库的TCP会话;
所述数据库客户端发送数据库账号和口令进行认证;
数据库客户端提交执行语句。
3.如权利要求2所述的一种数据库运维客户端账户管控方法,其特征在于,建立所述数据库客户端和所述数据库的TCP会话的步骤包括:
将所述数据库客户端和所述数据库的代理网关建立连接,所述代理网关与所述数据库服务器建立连接。
4.如权利要求1所述的一种数据库运维客户端账户管控方法,其特征在于,利用网络监控子模块实时监控该终端上访问数据库的连接的步骤包括:
利用网络监控子模块通过实时捕获网络流量进行分析,实时监控该终端上访问数据库的TCP连接。
5.如权利要求1所述的一种数据库运维客户端账户管控方法,其特征在于,利用网络监控子模块实时监控所述运维终端上访问数据库的连接的步骤包括:
利用网络监控子模块,以所述运维客户端的IP地址或/和所述运维终端的网口物理地址作为管控参数,实时监控所述运维终端上访问数据库的连接。
6.如权利要求1-2任一项所述的一种数据库运维客户端账户管控方法,其特征在于,所述执行语句采用基于结构化查询语言的执行语句。
7.一种数据库运维客户端账户管控系统,其特征在于,包括:
预设模块,用于预设数据库以及与所述数据库连接的运维终端,在所述运维终端设置数据库客户端和运维管控客户端,同时在所述数据库与所述运维终端之间部署运维管控系统;
登录模块,用于运维人员在所述运维终端上打开所述运维管控客户端,输入账号口令进行登录;所述运维管控客户端处于登录状态后,利用网络监控子模块实时监控所述运维终端上访问数据库的连接;
配置模块,用于所述运维人员通过所述运维终端打开数据库客户端,并配置需要运维的数据库的连接信息;
实时监控模块,用于所述运维管控系统上设置有网络监控模块,所述网络监控模块实时监控所有受到管控的数据库访问连接;所述运维人员通过所述数据库客户端对所述数据库进行通讯和操作;
连接指纹生成和发送模块,用于当所述运维管控客户端的网络监控子模块发现任一所述数据库客户端尝试操作处于管控列表中的数据库时,将关联的TCP会话的三次握手中的SYN报文的序列号作为连接指纹,发送至运维管控系统所在的服务器上;
比对模块,用于所述运维管控系统通过所述网络监控模块,获取当前执行语句的连接建立会话的报文序列号;将所述报文序列号与所述连接指纹进行对比,若相同,则将其提交至数据库服务器进行执行。
8.一种电子设备,其特征在于,包括至少一个处理器、至少一个存储器和数据总线;其中:所述处理器与所述存储器通过所述数据总线完成相互间的通信;所述存储器存储有被所述处理器执行的程序指令,所述处理器调用所述程序指令以执行如权利要求1-5任一项所述的方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1-5中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211068026.0A CN115150199B (zh) | 2022-09-02 | 2022-09-02 | 一种数据库运维客户端账户管控方法、系统、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211068026.0A CN115150199B (zh) | 2022-09-02 | 2022-09-02 | 一种数据库运维客户端账户管控方法、系统、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115150199A CN115150199A (zh) | 2022-10-04 |
| CN115150199B true CN115150199B (zh) | 2023-01-31 |
Family
ID=83415206
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211068026.0A Active CN115150199B (zh) | 2022-09-02 | 2022-09-02 | 一种数据库运维客户端账户管控方法、系统、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115150199B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475727A (zh) * | 2013-09-18 | 2013-12-25 | 浪潮电子信息产业股份有限公司 | 一种基于桥模式的数据库审计方法 |
| CN103491061A (zh) * | 2012-06-13 | 2014-01-01 | 华为技术有限公司 | 缓解攻击方法、序列号提供方法及设备 |
| CN103685315A (zh) * | 2013-12-30 | 2014-03-26 | 曙光云计算技术有限公司 | 一种防御拒绝服务攻击的方法及系统 |
| CN108366090A (zh) * | 2018-01-09 | 2018-08-03 | 国网安徽省电力公司阜阳供电公司 | 一种调度数据网远程访问加固及集中监控的系统 |
| CN111177112A (zh) * | 2019-12-06 | 2020-05-19 | 陕西上讯信息技术有限公司 | 基于运维管理系统的数据库阻断方法、装置及电子设备 |
| CN111586032A (zh) * | 2020-03-07 | 2020-08-25 | 浙江齐治科技股份有限公司 | 一种堡垒机 |
| CN112131205A (zh) * | 2020-09-21 | 2020-12-25 | 上海上讯信息技术股份有限公司 | 一种数据库阻断方法及设备 |
| CN112398860A (zh) * | 2020-11-17 | 2021-02-23 | 珠海大横琴科技发展有限公司 | 一种安全控制的方法和装置 |
| CN114756530A (zh) * | 2022-06-15 | 2022-07-15 | 北京安华金和科技有限公司 | 一种基于堡垒机的客户端信息处理方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104166812B (zh) * | 2014-06-25 | 2017-05-24 | 中国航天科工集团第二研究院七〇六所 | 一种基于独立授权的数据库安全访问控制方法 |
| US10009348B2 (en) * | 2016-05-11 | 2018-06-26 | International Business Machines Corporation | Hybrid database access control in external-to-database security systems |
-
2022
- 2022-09-02 CN CN202211068026.0A patent/CN115150199B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103491061A (zh) * | 2012-06-13 | 2014-01-01 | 华为技术有限公司 | 缓解攻击方法、序列号提供方法及设备 |
| CN103475727A (zh) * | 2013-09-18 | 2013-12-25 | 浪潮电子信息产业股份有限公司 | 一种基于桥模式的数据库审计方法 |
| CN103685315A (zh) * | 2013-12-30 | 2014-03-26 | 曙光云计算技术有限公司 | 一种防御拒绝服务攻击的方法及系统 |
| CN108366090A (zh) * | 2018-01-09 | 2018-08-03 | 国网安徽省电力公司阜阳供电公司 | 一种调度数据网远程访问加固及集中监控的系统 |
| CN111177112A (zh) * | 2019-12-06 | 2020-05-19 | 陕西上讯信息技术有限公司 | 基于运维管理系统的数据库阻断方法、装置及电子设备 |
| CN111586032A (zh) * | 2020-03-07 | 2020-08-25 | 浙江齐治科技股份有限公司 | 一种堡垒机 |
| CN112131205A (zh) * | 2020-09-21 | 2020-12-25 | 上海上讯信息技术股份有限公司 | 一种数据库阻断方法及设备 |
| CN112398860A (zh) * | 2020-11-17 | 2021-02-23 | 珠海大横琴科技发展有限公司 | 一种安全控制的方法和装置 |
| CN114756530A (zh) * | 2022-06-15 | 2022-07-15 | 北京安华金和科技有限公司 | 一种基于堡垒机的客户端信息处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115150199A (zh) | 2022-10-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Wang et al. | ThingPot: an interactive Internet-of-Things honeypot | |
| US7581249B2 (en) | Distributed intrusion response system | |
| US9210193B2 (en) | System and method for flexible network access control policies in a network environment | |
| Vigna et al. | NetSTAT: A network-based intrusion detection system | |
| US10938819B2 (en) | Poisoning protection for process control switches | |
| US7917647B2 (en) | Method and apparatus for rate limiting | |
| US7143439B2 (en) | Efficient evaluation of rules | |
| US8248958B1 (en) | Remote validation of network device configuration using a device management protocol for remote packet injection | |
| US7047288B2 (en) | Automated generation of an english language representation of a formal network security policy specification | |
| US20230273853A1 (en) | Securing an application based on auto-learning and auto-mapping of application services and apis | |
| EP1956463A2 (en) | Method and apparatus for providing network security based on device security status | |
| US20070226358A1 (en) | Delegated network management system and method of using the same | |
| US20040015579A1 (en) | Method and apparatus for enterprise management | |
| US20040103315A1 (en) | Assessment tool | |
| US20030061506A1 (en) | System and method for security policy | |
| US20210279332A1 (en) | System and method for automatic generation of malware detection traps | |
| WO2001099031A2 (en) | User interface for a security policy system and method | |
| CN103384246A (zh) | 安全监察系统登录助手方法 | |
| WO2001099373A2 (en) | System and method for security policy | |
| CN115150199B (zh) | 一种数据库运维客户端账户管控方法、系统、设备及介质 | |
| CN116346381A (zh) | 攻击成功识别方法及防护系统 | |
| Vigna | Network intrusion detection: dead or alive? | |
| Sahu et al. | Generation of firewall configurations for a large scale synthetic power system | |
| Kern et al. | Securing Industrial Remote Maintenance Sessions using Software-Defined Networking | |
| Frank et al. | Securing smart homes with openflow |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |