專利名稱:基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)信息安全保護(hù)系統(tǒng)及信息安全保護(hù)方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全技術(shù)領(lǐng)域,涉及一種信息安全保護(hù)系統(tǒng)���,尤其涉及一種基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)的信息安全保護(hù)系統(tǒng)���,同時(shí)還涉及信息安全保護(hù)方法����。
背景技術(shù):
隨著信息技術(shù)的發(fā)展���,越來越多的企事業(yè)單位采用電子技術(shù)來處理日常事務(wù)�,采用電子文檔方式存儲(chǔ)數(shù)據(jù)具有效率高��、成本低�、轉(zhuǎn)移方便等優(yōu)點(diǎn)。而數(shù)據(jù)庫是這方面的典型代表���,尤其是結(jié)構(gòu)化查詢語句等的發(fā)展���。數(shù)據(jù)庫具有方便共享,減少數(shù)據(jù)冗余����、保持?jǐn)?shù)據(jù)的獨(dú)立性、實(shí)現(xiàn)數(shù)據(jù)集中控制�����、便于方便維護(hù)等優(yōu)點(diǎn)����。而且可以和前端的應(yīng)用很方便的結(jié)合在一起,從而給用戶更好的提供服務(wù)�����。目前基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)已經(jīng)深入到工作的各個(gè)方便����,比如OA系統(tǒng)、ERP系統(tǒng)等�。
同時(shí),在考慮數(shù)據(jù)庫提供的便利性的同時(shí)��,不得不考慮其安全性��。影響其安全性方面主要包含宿主的安全性(所在操作系統(tǒng)的安全性),操作權(quán)限,核心數(shù)據(jù)的加密等�。宿主的安全性主要依靠對(duì)所在操作系統(tǒng)進(jìn)行安全漏洞和防護(hù)系統(tǒng)進(jìn)行維護(hù),操作權(quán)限包括細(xì)顆粒的權(quán)限系統(tǒng)��,而核心數(shù)據(jù)加密則是采用MD5等算法對(duì)密碼等核心數(shù)據(jù)進(jìn)行加密����。但目前所面臨的主要問題是以上方法在面臨現(xiàn)實(shí)使用時(shí)均具有一定的局限性和安全死角���。比如系統(tǒng)管理員非法將服務(wù)器硬盤拔走,數(shù)據(jù)庫開發(fā)人員將公司里面的數(shù)據(jù)攜帶出去�,管理員有意或無意的非法操作導(dǎo)致數(shù)據(jù)庫內(nèi)的信息泄露等。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)信息安全保護(hù)系統(tǒng)��,在能夠保 證應(yīng)用系統(tǒng)正常訪問數(shù)據(jù)庫的前提下���,保證數(shù)據(jù)庫系統(tǒng)的安全性���。同時(shí)提供一整套基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)信息安全保護(hù)方法,以保證數(shù)據(jù)庫系統(tǒng)能夠被正常使用�。本發(fā)明的技術(shù)方案如下一種基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)信息安全保護(hù)系統(tǒng),所述系統(tǒng)包括一個(gè)基于數(shù)據(jù)庫系統(tǒng)端的中心端����、一個(gè)或多個(gè)基于應(yīng)用系統(tǒng)端的終端,以及一個(gè)用于中心端的硬件驗(yàn)證電子密匙��;所述中心端設(shè)置于數(shù)據(jù)庫服務(wù)器上�,包括文檔加密模塊、文檔解密模塊���、身份驗(yàn)證模塊和安全保護(hù)模塊�����;所述終端設(shè)置于應(yīng)用服務(wù)器上�����,包括安全會(huì)話模塊�、安全端口模塊和安全保護(hù)模塊��;各終端分別與中心端相連接��;所述硬件驗(yàn)證電子密匙與中心端相連接��,包括驗(yàn)證信息和權(quán)限信息�。所述中心端使用文檔加密模塊對(duì)數(shù)據(jù)庫文件進(jìn)行透明加密保護(hù),使數(shù)據(jù)庫文件在使用過程中保持加密狀態(tài)�����;所述文檔解密模塊對(duì)數(shù)據(jù)庫文件在傳送過程中進(jìn)行透明解密操作�,使數(shù)據(jù)庫文件能夠被正常使用;所述身份驗(yàn)證模塊與硬件驗(yàn)證電子密匙進(jìn)行強(qiáng)制綁定驗(yàn)證�����;所述安全保護(hù)模塊用于防止非法操作,保護(hù)數(shù)據(jù)庫系統(tǒng)的安全�����。所述終端使用安全會(huì)話模塊與中心端進(jìn)行鏈接��,以此保證應(yīng)用系統(tǒng)在與數(shù)據(jù)庫進(jìn)行會(huì)話時(shí)保持安全狀態(tài)�����;所述安全端口模塊通過建立的安全會(huì)話向數(shù)據(jù)庫發(fā)送端口信息���,只有被驗(yàn)證的端口才能正常向服務(wù)器請(qǐng)求和發(fā)送信息����;所述安全保護(hù)模塊用于預(yù)防終端在建立鏈接或會(huì)話時(shí)被劫持��。所述硬件驗(yàn)證電子密匙中的驗(yàn)證信息用于與中心端進(jìn)行強(qiáng)制驗(yàn)證��,所述權(quán)限信息用于在驗(yàn)證的基礎(chǔ)上對(duì)用戶提供相對(duì)應(yīng)的權(quán)限��。本發(fā)明還提供一種基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)信息安全保護(hù)方法�,包括數(shù)據(jù)庫文件加密步驟用戶在正常安裝中心端并插入硬件驗(yàn)證電子密匙的情況下手動(dòng)對(duì)數(shù)據(jù)庫文件進(jìn)行加密保護(hù)����,加密保護(hù)后的數(shù)據(jù)庫文件不允許任何連接���,只有通過管理員設(shè)定的可信終端和可信端口才可以正常通信���;數(shù)據(jù)庫文件解密步驟用戶在正常安裝中心端并插入硬件驗(yàn)證電子密匙的情況下手動(dòng)對(duì)數(shù)據(jù)庫文件進(jìn)行解密操作,解密操作后的數(shù)據(jù)庫文件可以在其他電腦上正常使用而 無限制�;電子密匙驗(yàn)證步驟通過將中心端的相關(guān)信息與硬件驗(yàn)證電子密匙中的驗(yàn)證信息進(jìn)行匹配�,如果匹配不成功,數(shù)據(jù)庫無法使用�,若匹配成功則激活相應(yīng)的權(quán)限模塊;安全會(huì)話步驟終端先與中心端進(jìn)行地址��、端口驗(yàn)證�����,若成功收到中心端安全驗(yàn)證后的回復(fù)則發(fā)送用戶和操作信息��,若驗(yàn)證成功則可以正常會(huì)話��;反之則無法正常向數(shù)據(jù)庫發(fā)送或提取信息�。所述數(shù)據(jù)庫文件加密的具體步驟如下管理員在安裝有中心端的電腦上插入硬件驗(yàn)證電子密匙��,輸入相關(guān)信息��,中心端同時(shí)讀取硬件驗(yàn)證電子密匙中的驗(yàn)證信息��,將輸入的相關(guān)信息����、硬件驗(yàn)證電子密匙中的驗(yàn)證信息與中心端內(nèi)置的相關(guān)信息進(jìn)行比對(duì)��;若比對(duì)失敗�����,則訪問被拒絕����,用戶無法進(jìn)行相應(yīng)操作;若比對(duì)成功����,用戶可繼續(xù)進(jìn)行下一步操作;當(dāng)用戶選取一個(gè)或多個(gè)數(shù)據(jù)庫文件進(jìn)行手動(dòng)加密操作時(shí)����,中心端自動(dòng)比對(duì)用戶的權(quán)限信息�����,若用戶擁有足夠的權(quán)限進(jìn)行操作�����,則可正常進(jìn)行加密�,反之操作被拒絕���;當(dāng)用戶對(duì)數(shù)據(jù)庫進(jìn)行加密操作后�����,可設(shè)定相應(yīng)的數(shù)據(jù)庫權(quán)限信息,包括可通信IP與端口���,以及是否允許解密操作���。所述數(shù)據(jù)庫文件解密的具體步驟如下管理員在安裝有中心端的電腦上插入硬件驗(yàn)證電子密匙,輸入相關(guān)信息�,中心端同時(shí)讀取硬件驗(yàn)證電子密匙中的驗(yàn)證信息,將輸入的相關(guān)信息��、硬件驗(yàn)證電子密匙中的驗(yàn)證信息與中心端內(nèi)置的相關(guān)信息進(jìn)行比對(duì);若比對(duì)失敗�����,則訪問被拒絕����,用戶無法進(jìn)行相應(yīng)操作;若比對(duì)成功����,用戶可繼續(xù)進(jìn)行下一步操作;當(dāng)用戶選取一個(gè)或多個(gè)數(shù)據(jù)庫文件進(jìn)行手動(dòng)解密操作時(shí)���,中心端自動(dòng)比對(duì)用戶的權(quán)限信息��,若用戶擁有足夠的權(quán)限進(jìn)行操作�,則可正常進(jìn)行解密���,反之操作被拒絕�。所述電子密匙驗(yàn)證的具體步驟如下通過將中心端的相關(guān)信息與硬件驗(yàn)證電子密匙中的驗(yàn)證信息進(jìn)行匹配�����,若匹配失敗,數(shù)據(jù)庫無法使用��;若匹配成功�,則激活相應(yīng)的權(quán)限模塊,其包含以下幾種情況I)若中心端無硬件驗(yàn)證電子密匙�����,則數(shù)據(jù)庫無法正常使用�,但外網(wǎng)連接無限制;2)當(dāng)中心端在插入硬件驗(yàn)證電子密匙時(shí)����,如果中心端取出的硬件驗(yàn)證電子密匙的驗(yàn)證信息與中心端內(nèi)置的相關(guān)信息不匹配,則中心端無法正常使用�����,此時(shí)數(shù)據(jù)庫無法正常使用��,但外網(wǎng)連接無限制��;3)當(dāng)中心端插入硬件驗(yàn)證電子密匙同時(shí)驗(yàn)證信息匹配�,則限制外網(wǎng)連接���,只允許通過合法端口才能正常與數(shù)據(jù)庫進(jìn)行通信���,同時(shí)相應(yīng)的權(quán)限模塊被激活����。
所述安全會(huì)話的具體步驟如下終端先將應(yīng)用系統(tǒng)所在宿主主機(jī)的相關(guān)信息���,包括IP地址信息�����、端口信息發(fā)送給中心端����,中心端進(jìn)行比對(duì)����,若比對(duì)失敗,則訪問被拒絕����;若比對(duì)成功,則將比對(duì)信息返回給終端;終端攜帶相關(guān)的鏈接信息�,包括用戶信息、操作信息發(fā)送給中心端�,此時(shí)中心端進(jìn)行二次比對(duì),若比對(duì)失敗�,則訪問被拒絕;若比對(duì)成功�����,則會(huì)話可正常進(jìn)行�;若中心端在收到終端多次請(qǐng)求,但多次比對(duì)均失敗�����,則激活相應(yīng)的保護(hù)信息����,暫時(shí)中斷與該終端的一切通信驗(yàn)證活動(dòng)。本發(fā)明的有益技術(shù)效果是本發(fā)明通過在數(shù)據(jù)庫系統(tǒng)端和應(yīng)用系統(tǒng)端建立連接�,防止非法用戶或未授權(quán)用戶對(duì)數(shù)據(jù)庫進(jìn)行備份或?qū)С龅炔僮鳌1景l(fā)明提供針對(duì)數(shù)據(jù)庫和應(yīng)用系統(tǒng)安全交互的方法�����,以保證在整個(gè)會(huì)話過程中的安全性�。本發(fā)明可以很好的彌補(bǔ)基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)的安全死角,防止企業(yè)內(nèi)的核心機(jī)密�。本發(fā)明附加的方面和優(yōu)點(diǎn)將在下面具體實(shí)施方式
部分的描述中給出,部分將從下 面的描述中變得明顯���,或通過本發(fā)明的實(shí)踐了解到��。
圖I是本發(fā)明的系統(tǒng)框圖��。圖2是數(shù)據(jù)庫系統(tǒng)初始化加密流程圖�����。圖3是數(shù)據(jù)庫系統(tǒng)解密流程圖��。圖4是硬件驗(yàn)證電子密匙與數(shù)據(jù)庫系統(tǒng)正常協(xié)作流程圖����。圖5是數(shù)據(jù)庫系統(tǒng)與應(yīng)用系統(tǒng)正常通信流程圖�。
具體實(shí)施例方式下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式
做進(jìn)一步說明。本發(fā)明提供一種基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)安全保護(hù)系統(tǒng)��,系統(tǒng)結(jié)構(gòu)如圖I所示��,包括一個(gè)基于數(shù)據(jù)庫系統(tǒng)端的中心端、一個(gè)或多個(gè)基于應(yīng)用系統(tǒng)端的終端���,以及一個(gè)用于中心端的硬件驗(yàn)證電子密匙�。中心端設(shè)置于數(shù)據(jù)庫服務(wù)器上����,包括文檔加密模塊、文檔解密模塊����、身份驗(yàn)證模塊和安全保護(hù)模塊。數(shù)據(jù)庫服務(wù)器上還設(shè)置有數(shù)據(jù)庫系統(tǒng)�。終端設(shè)置于應(yīng)用服務(wù)器上,包括安全會(huì)話模塊����、安全端口模塊和安全保護(hù)模塊。應(yīng)用服務(wù)器上還設(shè)置有應(yīng)用系統(tǒng)�����。各終端分別與中心端相連接��。硬件驗(yàn)證電子密匙與中心端相連接�����,包括驗(yàn)證信息和權(quán)限信息�。基于上述系統(tǒng)����,本發(fā)明所提供的基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)安全保護(hù)方法包括如下步驟流程,結(jié)合圖2 圖5進(jìn)行說明數(shù)據(jù)庫系統(tǒng)初始化加密流程如圖2所示�,管理員在安裝有中心端的電腦上插入硬件驗(yàn)證電子密匙(以下簡(jiǎn)稱EKEY),此時(shí)輸入相關(guān)信息�,中心端會(huì)同時(shí)讀取EKEY中的驗(yàn)證信息,自動(dòng)將輸入的相關(guān)信息����、中心端內(nèi)置的相關(guān)信息、EKEY中的驗(yàn)證信息這三者進(jìn)行對(duì)比�。若比對(duì)失敗,則訪問被拒絕�����,用戶無法進(jìn)行相應(yīng)操作���;若比對(duì)成功���,用戶可繼續(xù)進(jìn)行下一步操作����。當(dāng)用戶選取一個(gè)或多個(gè)數(shù)據(jù)庫文件進(jìn)行手動(dòng)加密操作時(shí)�����,此時(shí)中心端會(huì)自動(dòng)比對(duì)用戶的權(quán)限信息���,若用戶擁有足夠的權(quán)限進(jìn)行操作���,此時(shí)可正常進(jìn)行加密,反之操作被拒絕����。當(dāng)用戶對(duì)數(shù)據(jù)庫進(jìn)行加密操作后,可設(shè)定相應(yīng)的數(shù)據(jù)庫權(quán)限信息�����,例如可通信IP與端口����,是否允許解密操作等���。數(shù)據(jù)庫系統(tǒng)解密流程如圖3所示,管理員在安裝有中心端的電腦上插入EKEY�,此時(shí)輸入相關(guān)信息,中心端會(huì)同時(shí)讀取EKEY中的驗(yàn)證信息�,自動(dòng)將輸入的相關(guān)信息���、中心端內(nèi)置的相關(guān)信息���、EKEY中的驗(yàn)證信息這三者進(jìn)行對(duì)比。若比對(duì)失敗����,則訪問被拒絕,用戶無法進(jìn)行相應(yīng)操作��;若比對(duì)成功���,用戶可繼續(xù)進(jìn)行下一步操作��。當(dāng)用戶選取一個(gè)或多個(gè)數(shù)據(jù)庫文件進(jìn)行手動(dòng)解密操作時(shí)�����,此時(shí)中心端會(huì)自動(dòng)比對(duì)用戶的權(quán)限信息���,若用戶擁有足夠的權(quán)限進(jìn)行操作���,此時(shí)可正常進(jìn)行解密,反之操作被拒絕���。EKEY與數(shù)據(jù)庫正常協(xié)作流程如圖4所示�,通過將中心端的相關(guān)信息與EKEY中的驗(yàn)證信息進(jìn)行匹配���,如果匹配不成功��,則數(shù)據(jù)庫無法使用�;若匹配成功��,則激活相應(yīng)的權(quán)限模塊�����,其包含以下幾種情況 I)若中心端無EKEY�����,則數(shù)據(jù)庫無法正常使用,但外網(wǎng)連接無限制�;2)當(dāng)中心端在插入EKEY的時(shí)候,如果中心端取出的EKEY的驗(yàn)證信息與內(nèi)置的相關(guān)信息不匹配��,則中心端無法正常使用���,此時(shí)數(shù)據(jù)庫無法正常使用�,但外網(wǎng)連接無限制�����;3)當(dāng)中心端插入EKEY同時(shí)驗(yàn)證信息匹配�,則限制外網(wǎng)連接�����,只允許通過合法端口才能正常與數(shù)據(jù)庫進(jìn)行通信�����,同時(shí)相應(yīng)的權(quán)限模塊被激活���。數(shù)據(jù)庫系統(tǒng)與應(yīng)用系統(tǒng)正常通信流程如圖5所示��,終端先將應(yīng)用系統(tǒng)所在的宿主主機(jī)的相關(guān)信息��,例如IP地址信息��、端口信息等發(fā)送給中心端�����,此時(shí)中心端進(jìn)行比對(duì)��,若比對(duì)失敗�,訪問被拒絕;若比對(duì)成功���,則將比對(duì)信息返回給終端��,繼續(xù)進(jìn)行下一步��;此時(shí)終端攜帶相關(guān)的鏈接信息�����,例如用戶信息����、操作信息等發(fā)送給中心端,此時(shí)中心端進(jìn)行二次比對(duì)��,若比對(duì)失敗����,訪問被拒絕;若比對(duì)成功����,則會(huì)話可正常進(jìn)行。若中心端在收到終端多次請(qǐng)求��,但多次比對(duì)均失敗�,則激活相應(yīng)的保護(hù)信息,暫時(shí)中斷與該終端的一切通信驗(yàn)證活動(dòng)�����。以上所述的僅是本發(fā)明的優(yōu)選實(shí)施方式���,本發(fā)明不限于以上實(shí)施例?���?梢岳斫?,本領(lǐng)域技術(shù)人員在不脫離本發(fā)明的基本構(gòu)思的前提下直接導(dǎo)出或聯(lián)想到的其他改進(jìn)和變化�����,均應(yīng)認(rèn)為包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
權(quán)利要求
1.一種基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)信息安全保護(hù)系統(tǒng)�,其特征在于所述系統(tǒng)包括一個(gè)基于數(shù)據(jù)庫系統(tǒng)端的中心端��、一個(gè)或多個(gè)基于應(yīng)用系統(tǒng)端的終端��,以及一個(gè)用于中心端的硬件驗(yàn)證電子密匙��; 所述中心端設(shè)置于數(shù)據(jù)庫服務(wù)器上����,包括文檔加密模塊、文檔解密模塊�、身份驗(yàn)證模塊和安全保護(hù)模塊; 所述終端設(shè)置于應(yīng)用服務(wù)器上����,包括安全會(huì)話模塊�、安全端口模塊和安全保護(hù)模塊�����;各終端分別與中心端相連接��; 所述硬件驗(yàn)證電子密匙與中心端相連接����,包括驗(yàn)證信息和權(quán)限信息。
2.根據(jù)權(quán)利要求I所述基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)信息安全保護(hù)系統(tǒng)����,其特征在于所述中心端使用文檔加密模塊對(duì)數(shù)據(jù)庫文件進(jìn)行透明加密保護(hù),使數(shù)據(jù)庫文件在使用過程中保持加密狀態(tài)�����;所述文檔解密模塊對(duì)數(shù)據(jù)庫文件在傳送過程中進(jìn)行透明解密操作����,使數(shù)據(jù)庫文件能夠被正常使用�;所述身份驗(yàn)證模塊與硬件驗(yàn)證電子密匙進(jìn)行強(qiáng)制綁定驗(yàn)證;所述安全保護(hù)模塊用于防止非法操作�,保護(hù)數(shù)據(jù)庫系統(tǒng)的安全。
3.根據(jù)權(quán)利要求I所述基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)信息安全保護(hù)系統(tǒng),其特征在于所述終端使用安全會(huì)話模塊與中心端進(jìn)行鏈接��,以此保證應(yīng)用系統(tǒng)在與數(shù)據(jù)庫進(jìn)行會(huì)話時(shí)保持安全狀態(tài)�����;所述安全端口模塊通過建立的安全會(huì)話向數(shù)據(jù)庫發(fā)送端口信息���,只有被驗(yàn)證的端口才能正常向服務(wù)器請(qǐng)求和發(fā)送信息��;所述安全保護(hù)模塊用于預(yù)防終端在建立鏈接或會(huì)話時(shí)被劫持��。
4.根據(jù)權(quán)利要求I所述基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)信息安全保護(hù)系統(tǒng)����,其特征在于所述硬件驗(yàn)證電子密匙中的驗(yàn)證信息用于與中心端進(jìn)行強(qiáng)制驗(yàn)證�,所述權(quán)限信息用于在驗(yàn)證的基礎(chǔ)上對(duì)用戶提供相對(duì)應(yīng)的權(quán)限。
5.一種權(quán)利要求I至4中任意一項(xiàng)所述基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)信息安全保護(hù)系統(tǒng)的信息安全保護(hù)方法��,其特征在于包括以下步驟 數(shù)據(jù)庫文件加密步驟用戶在正常安裝中心端并插入硬件驗(yàn)證電子密匙的情況下手動(dòng)對(duì)數(shù)據(jù)庫文件進(jìn)行加密保護(hù)���,加密保護(hù)后的數(shù)據(jù)庫文件不允許任何連接����,只有通過管理員設(shè)定的可信終端和可信端口才可以正常通信; 數(shù)據(jù)庫文件解密步驟用戶在正常安裝中心端并插入硬件驗(yàn)證電子密匙的情況下手動(dòng)對(duì)數(shù)據(jù)庫文件進(jìn)行解密操作��,解密操作后的數(shù)據(jù)庫文件可以在其他電腦上正常使用而無限制�����; 電子密匙驗(yàn)證步驟通過將中心端的相關(guān)信息與硬件驗(yàn)證電子密匙中的驗(yàn)證信息進(jìn)行匹配���,如果匹配不成功��,數(shù)據(jù)庫無法使用�,若匹配成功則激活相應(yīng)的權(quán)限模塊����; 安全會(huì)話步驟終端先與中心端進(jìn)行地址、端口驗(yàn)證���,若成功收到中心端安全驗(yàn)證后的回復(fù)則發(fā)送用戶和操作信息�����,若驗(yàn)證成功則可以正常會(huì)話���;反之則無法正常向數(shù)據(jù)庫發(fā)送或提取信息。
6.根據(jù)權(quán)利要求5所述基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)信息安全保護(hù)方法�����,其特征在于所述數(shù)據(jù)庫文件加密的具體步驟如下管理員在安裝有中心端的電腦上插入硬件驗(yàn)證電子密匙���,輸入相關(guān)信息���,中心端同時(shí)讀取硬件驗(yàn)證電子密匙中的驗(yàn)證信息,將輸入的相關(guān)信息����、硬件驗(yàn)證電子密匙中的驗(yàn)證信息與中心端內(nèi)置的相關(guān)信息進(jìn)行比對(duì);若比對(duì)失敗�,則訪問被拒絕,用戶無法進(jìn)行相應(yīng)操作����;若比對(duì)成功,用戶可繼續(xù)進(jìn)行下一步操作�;當(dāng)用戶選取一個(gè)或多個(gè)數(shù)據(jù)庫文件進(jìn)行手動(dòng)加密操作時(shí),中心端自動(dòng)比對(duì)用戶的權(quán)限信息����,若用戶擁有足夠的權(quán)限進(jìn)行操作�����,則可正常進(jìn)行加密����,反之操作被拒絕����;當(dāng)用戶對(duì)數(shù)據(jù)庫進(jìn)行加密操作后,可設(shè)定相應(yīng)的數(shù)據(jù)庫權(quán)限信息���,包括可通信IP與端口��,以及是否允許解密操作�。
7.根據(jù)權(quán)利要求5所述基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)信息安全保護(hù)方法��,其特征在于所述數(shù)據(jù)庫文件解密的具體步驟如下管理員在安裝有中心端的電腦上插入硬件驗(yàn)證電子密匙�����,輸入相關(guān)信息���,中心端同時(shí)讀取硬件驗(yàn)證電子密匙中的驗(yàn)證信息���,將輸入的相關(guān)信息��、硬件驗(yàn)證電子密匙中的驗(yàn)證信息與中心端內(nèi)置的相關(guān)信息進(jìn)行比對(duì);若比對(duì)失敗��,則訪問被拒絕�����,用戶無法進(jìn)行相應(yīng)操作����;若比對(duì)成功,用戶可繼續(xù)進(jìn)行下一步操作���;當(dāng)用戶選取一個(gè)或多個(gè)數(shù)據(jù)庫文件進(jìn)行手動(dòng)解密操作時(shí)��,中心端自動(dòng)比對(duì)用戶的權(quán)限信息��,若用戶擁有足夠的權(quán)限進(jìn)行操作����,則可正常進(jìn)行解密�����,反之操作被拒絕。
8.根據(jù)權(quán)利要求5所述基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)信息安全保護(hù)方法���,其特征在于所述電子密匙驗(yàn)證的具體步驟如下通過將中心端的相關(guān)信息與硬件驗(yàn)證電子密匙中的驗(yàn)證信息進(jìn)行匹配��,若匹配失敗�����,數(shù)據(jù)庫無法使用����;若匹配成功��,則激活相應(yīng)的權(quán)限模塊����,其包含以下幾種情況1)若中心端無硬件驗(yàn)證電子密匙,則數(shù)據(jù)庫無法正常使用�����,但外網(wǎng)連接無限制;2)當(dāng)中心端在插入硬件驗(yàn)證電子密匙時(shí)�����,如果中心端取出的硬件驗(yàn)證電子密匙的驗(yàn)證信息與中心端內(nèi)置的相關(guān)信息不匹配����,則中心端無法正常使用,此時(shí)數(shù)據(jù)庫無法正常使用�,但外網(wǎng)連接無限制���;3)當(dāng)中心端插入硬件驗(yàn)證電子密匙同時(shí)驗(yàn)證信息匹配�����,則限制外網(wǎng)連接�����,只允許通過合法端口才能正常與數(shù)據(jù)庫進(jìn)行通信��,同時(shí)相應(yīng)的權(quán)限模塊被激活��。
9.根據(jù)權(quán)利要求5所述基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)信息安全保護(hù)方法���,其特征在于所述安全會(huì)話的具體步驟如下終端先將應(yīng)用系統(tǒng)所在宿主主機(jī)的相關(guān)信息�,包括IP地址信息��、端口信息發(fā)送給中心端����,中心端進(jìn)行比對(duì),若比對(duì)失敗��,則訪問被拒絕����;若比對(duì)成功,則將比對(duì)信息返回給終端��;終端攜帶相關(guān)的鏈接信息�����,包括用戶信息�����、操作信息發(fā)送給中心端����,此時(shí)中心端進(jìn)行二次比對(duì)���,若比對(duì)失敗,則訪問被拒絕�;若比對(duì)成功,則會(huì)話可正常進(jìn)行��;若中心端在收到終端多次請(qǐng)求���,但多次比對(duì)均失敗����,則激活相應(yīng)的保護(hù)信息���,暫時(shí)中斷與該終端的一切通信驗(yàn)證活動(dòng)。
全文摘要
本發(fā)明公開一種基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)信息安全保護(hù)系統(tǒng)及信息安全保護(hù)方法����。系統(tǒng)包括基于數(shù)據(jù)庫系統(tǒng)端的中心端、基于應(yīng)用系統(tǒng)端的終端����,以及用于中心端的硬件驗(yàn)證電子密匙����;中心端包括文檔加密模塊�、文檔解密模塊、身份驗(yàn)證模塊和安全保護(hù)模塊��;終端包括安全會(huì)話模塊����、安全端口模塊和安全保護(hù)模塊;硬件驗(yàn)證電子密匙包括驗(yàn)證信息和權(quán)限信息�。通過在數(shù)據(jù)庫系統(tǒng)端和應(yīng)用系統(tǒng)端建立連接,防止非法用戶或未授權(quán)用戶對(duì)數(shù)據(jù)庫進(jìn)行備份或?qū)С龅炔僮?����。本發(fā)明提供針對(duì)數(shù)據(jù)庫和應(yīng)用系統(tǒng)安全交互的方法�,以保證在整個(gè)會(huì)話過程中的安全性。本發(fā)明可以很好的彌補(bǔ)基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)的安全死角��,防止企業(yè)內(nèi)的核心機(jī)密�����。
文檔編號(hào)G06F17/30GK102799831SQ20121031080
公開日2012年11月28日 申請(qǐng)日期2012年8月28日 優(yōu)先權(quán)日2012年8月28日
發(fā)明者耿振民, 劉旭峰 申請(qǐng)人:無錫華御信息技術(shù)有限公司