本發明專利技術公開了數據庫訪問監管方法,包括以下步驟:1)在數據庫之前部署數據庫監管服務器,通過應用層代理技術攔截對數據庫的訪問,把所有數據庫訪問置于監管服務器控制之下;2)控制連接數據庫的用戶名和口令,對數據庫連接請求采取一次一授權的方式,保證對數據庫連接的可控性;3)通過識別應用系統指紋控制可訪問數據庫的應用系統,保證應用系統的可信性;4)對訪問數據庫的SQL語句進行分析、檢查、審計和控制。本發明專利技術阻斷數據庫用戶隨意直接連接數據庫進行操作,對所有數據庫訪問活動進行監控,能夠有效提高數據庫系統的安全性,克服超級用戶、數據庫管理系統后門和漏洞、應用系統漏洞等可能對數據庫安全的危害。
【技術實現步驟摘要】
本專利技術屬于數據庫領域,特別是數據庫訪問監管方法。
技術介紹
數據庫是存儲數據的倉庫。今天的應用,小到手機應用,大到企業級Web應用,都采用數據庫來存儲要管理的數據。人們已經普遍意識到,數據庫安全是信息安全的最后一道防線,對保護信息社會的信息財富具有決定性作用。雖然近年來數據庫安全的重要性得到了普遍認識,但普遍使用的數據庫管理系統在安全方面卻存在一些不足。數據庫管理系統作為信息系統,首先面臨許多技術上的安全問題。比如拒絕服務攻擊、緩沖區溢出攻擊、SQL注入、通信數據包嗅探、數據庫存儲泄漏、后門、木馬、病毒等。另外,數據庫管理系統和數據庫應用系統一起,面臨如下安全問題:(1)數據庫系統中存在超級用戶,其權限不受約束,這會導致數據庫訪問權限的誤用和濫用,帶來非常嚴重的安全問題。(2)應用系統用數據庫超級用戶身份鏈接數據庫,阻礙數據庫管理系統訪問控制功能、安全審計功能等安全功能的實施,致使數據庫管理系統的許多安全功能無法起到應有的安全保護作用。(3)在應用系統配置文件中明文記錄連接數據庫的用戶名和口令,導致數據庫用戶名和口令泄漏,使所有數據庫管理系統的安全功能形同虛設。(4)未對傳遞給數據庫執行的SQL語句作安全性檢查,導致SQL注入、緩沖區溢出等安全攻擊發生。從上述數據庫和應用系統組成的數據庫系統存在的安全問題中可以看出,對數據庫訪問進行監管非常必要,也非常迫切。這對解決數據庫超級用戶、數據庫管理系統后門、SQL注入等安全問題都有幫助。
技術實現思路
本專利技術針對數據庫系統存在不受監管的超級用戶、后門、SQL注入等安全問題,給出數據庫訪問監管方法,包括以下步驟:1)在數據庫之前部署數據庫監管服務器,通過應用層代理技術攔截對數據庫的訪問,把所有數據庫訪問置于監管服務器控制之下;2)控制連接數據庫的用戶名和口令,對數據庫連接請求采取一次一授權的方式,保證對數據庫連接的可控性;3)通過識別應用系統指紋控制可訪問數據庫的應用系統,保證應用系統的可信性;4)對訪問數據庫的SQL語句進行分析、檢查、審計和控制。由于數據庫訪問監管服務器控制了訪問數據庫的通信,保證數據通信的不可繞過;監管服務器控制了
連接數據庫的身份認證信息,保證數據庫登錄的不可繞過。這樣,即使直接登錄數據庫服務器主機也無法訪問數據庫,保證了數據庫訪問監管的整體不可繞過性。不可繞過是數據庫訪問監管的基礎。在此基礎上,數據庫訪問監管方法還可識別應用系統指紋,保證訪問數據庫的應用系統的安全性;可根據監管策略的配置檢查SQL語句的安全性,記錄審計信息,控制SQL語句執行。通過部署復合標準的數據庫訪問接口,數據庫訪問監管方法不但能夠保證包括應用系統指紋提取在內的安全功能的實現,而且能夠保證安全功能的應用系統透明性,這對保證數據庫監管方法的廣泛適用性至關重要。附圖說明圖1數據庫訪問監管服務器部署位置圖圖2數據庫訪問連接情況圖圖3數據庫訪問監管處理流程圖具體實施方式下面結合附圖對本專利技術作更進一步的說明。數據庫訪問監管方法主要由數據庫訪問監管服務器DBASS(Database Access SupervisingServer)實施,DBASS部署在數據庫應用系統APP(Application)和數據庫管理系統DBMS(Database Management System)之間,如圖1所示。DBASS截斷了APP所在機器和DBMS間的網絡通信,使APP和DBMS之間不能直接進行交互,APP對數據庫的訪問必須經過DBASS處理,這樣DBASS就控制了應用系統到數據庫的連接過程和連接建立后的所有訪問過程。為能獲取應用系統的特征,也為能給應用系統提供透明的安全數據庫訪問支持,需要一個復合標準的安全數據庫訪問接口SecDBAI(Secure DatabaseAccess Interface),如圖2所示。這樣,應用系統APP配置為使用SecDBAI訪問數據庫,應用系統和數據庫訪問監管服務器間建立安全的數據庫訪問連接,而DBASS與數據庫管理系統DBMS間建立數據庫連接。數據庫訪問的監管處理流程如圖3所示。應用系統連接數據庫訪問監管服務器時,提供DBASS管理的身份認證信息而不是DBMS管理的身份信息,即應用系統不知道連接數據庫的真正身份信息。DBASS連接數據庫管理系統的身份信息不向外暴露,因此沒有人可以直接連接數據庫管理系統訪問數據庫。當特殊情況發生,需要登錄數據庫管理系統服務器直接連接數據庫進行特殊操作時,可在嚴格授權情況下從DBASS服務器獲取數據庫超級用戶身份信息,以滿足特殊管理的需要。連接建立好后,應用系統就可以發送SQL語句訪問數據庫。APP將SQL語句傳遞給SecDBAI,SecDBAI通過網絡將SQL語句發送到數據庫訪問監管服務器DBASS,DBASS根據監管策略對SQL語句進行分析檢查。如果SQL語句合法,則交給數據庫管理系統執行,并將執行結果返回給SecDBAI,SecDBAI再返回給應用系統APP。如果不合法,則DBASS記錄告警信息,阻止SQL語句繼續執行,并將檢查結果返回給SecDBAI,SecDBAI再將錯誤狀態返回給應用系統。在數據庫訪問監管服務器DBASS的控制下,數據庫管理系統之外的計算機無法通過網絡直接連接DBMS訪問數據庫,直接登錄DBMS服務器的用戶由于不知曉連接數據庫的用戶身份信息也無法直接登錄數據庫進行操作,這樣就確實保證了訪問數據庫的受控性。而通過DBASS訪問數據庫的所有操作均在配置的監管策略控制之下,不但能防止數據庫訪問權限的誤用和濫用,對數據庫攻擊行為也能識別、審計和阻斷。本文檔來自技高網...
【技術保護點】
數據庫訪問監管方法,包括以下步驟:1)在數據庫之前部署數據庫監管服務器,通過應用層代理技術攔截對數據庫的訪問,把所有數據庫訪問置于監管服務器控制之下;2)控制連接數據庫的用戶名和口令,對數據庫連接請求采取一次一授權的方式,保證對數據庫連接的可控性;3)通過識別應用系統指紋控制可訪問數據庫的應用系統,保證應用系統的可信性;4)對訪問數據庫的SQL語句進行分析、檢查、審計和控制。
【技術特征摘要】
1.數據庫訪問監管方法,包括以下步驟:1)在數據庫之前部署數據庫監管服務器,通過應用層代理技術攔截對數據庫的訪問,把所有數據庫訪問置于監管服務器控制之下;2)控制連接數據庫的用戶名和口令,對數據庫連接請求采取一次一授權的方式,保證對數據庫連接的可控性;3)通過識別應用系統指紋控制可訪問數據庫的應用系統,保證應用系統的可信性;4)對訪問數據庫的SQL語句進行分析、檢查、審計和控制。2.根據權利要求1所述的數據庫訪問監管方法,其特征在于監管服務器部署在數據庫之前,使用應用層代理技術,截斷了數據庫客戶端和服務器的網絡通信,使所有數據庫訪問都在監管服務器控制之下。3.根據權利要求1所述的數據庫訪問監管方法,其特征在于連接數據庫的用戶名和口令由監管服務器控制,因此數據庫管理員或其他人員無法憑借掌握的數據庫用戶信息隨意直接連接數據庫進行操作。4.根據權利要求1所述的數據庫訪問監管方法,其特征在于數據庫連接請求采取一次一授權的方式,防止鏈接請求被重放和連接信息被重用,...
【專利技術屬性】
技術研發人員:黃保華,霍林,覃海生,
申請(專利權)人:廣西大學,
類型:發明
國別省市:廣西;45
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。