專利名稱:基于數(shù)據(jù)庫(kù)協(xié)議代理的前置式數(shù)據(jù)庫(kù)訪問(wèn)控制方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種數(shù)據(jù)庫(kù)訪問(wèn)控制方法和系統(tǒng)���,具體是一種基于數(shù)據(jù)庫(kù)協(xié)議代理方
式�,對(duì)客戶端和服務(wù)器完全透明���,獨(dú)立于數(shù)據(jù)庫(kù)管理系統(tǒng)之外����,并前置于數(shù)據(jù)庫(kù)管理系統(tǒng)的 訪問(wèn)控制方法和系統(tǒng)����。
背景技術(shù):
數(shù)據(jù)庫(kù)已成為現(xiàn)代計(jì)算機(jī)系統(tǒng)的必備部件,幾乎所有的行業(yè)都將業(yè)務(wù)運(yùn)營(yíng)的關(guān)鍵 數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)之上�����。當(dāng)前的數(shù)據(jù)庫(kù)訪問(wèn)控制方法通過(guò)數(shù)據(jù)庫(kù)管理系統(tǒng)(DBMS)中的訪 問(wèn)控制器(包括身份認(rèn)證過(guò)程和訪問(wèn)策略控制過(guò)程)來(lái)實(shí)現(xiàn)�����。 參見圖l,其是當(dāng)前流行數(shù)據(jù)庫(kù)管理系統(tǒng)結(jié)構(gòu)示意圖���。偵聽器110��、訪問(wèn)控制器 120和執(zhí)行器130作為數(shù)據(jù)庫(kù)管理系統(tǒng)密不可分的模塊���,每一次客戶端的正常或異常訪問(wèn)�, 都會(huì)引起偵聽器110、訪問(wèn)控制器120和執(zhí)行器130的動(dòng)作��,消耗系統(tǒng)資源�,并且不可預(yù)期。 在極端的情況下�����,惡意攻擊訪問(wèn)控制認(rèn)證器120�����,會(huì)導(dǎo)致整個(gè)數(shù)據(jù)庫(kù)服務(wù)器宕機(jī)���。 一些特殊 的訪問(wèn)控制要求��,也只能用訪問(wèn)控制器120特定的處理方式來(lái)完成�����。例如��,需要限制某個(gè) 用戶只能在特定的時(shí)間窗口 (例如工作目的早上9:00到下午17:00)通過(guò)特定的IP訪問(wèn) 數(shù)據(jù)庫(kù)����,需要編寫特定的程序來(lái)實(shí)現(xiàn)�。當(dāng)前主流商業(yè)數(shù)據(jù)庫(kù)管理系統(tǒng)的密碼處理算法基本 被公開,再加上用戶身份認(rèn)證丟失����、保管不善、使用隨意等狀況普遍存在��,如果要求在訪問(wèn) 控制器120上實(shí)現(xiàn)基于動(dòng)態(tài)密碼(例如60秒自動(dòng)變更密碼的令牌方式)的訪問(wèn)控制也是 目前數(shù)據(jù)庫(kù)管理系統(tǒng)所不能輕易勝任的一個(gè)復(fù)雜過(guò)程�����。在訪問(wèn)控制器120存在漏洞時(shí)��,還 會(huì)嚴(yán)重威脅數(shù)據(jù)庫(kù)安全。 一項(xiàng)由商業(yè)數(shù)據(jù)庫(kù)廠商委托第三方的調(diào)查顯示����,利用訪問(wèn)控制器 120實(shí)現(xiàn)最基本的訪問(wèn)監(jiān)視功能也實(shí)際上被用戶放棄,緣由就是不能接受不可預(yù)期的性能 開銷�。不難推斷,當(dāng)前不安全也不實(shí)用的數(shù)據(jù)庫(kù)訪問(wèn)控制方法是一系列數(shù)據(jù)泄密����、數(shù)據(jù)篡改 以及數(shù)據(jù)搗毀事件根源。
發(fā)明內(nèi)容
本發(fā)明的目的是在不改造現(xiàn)有客戶端和數(shù)據(jù)庫(kù)結(jié)構(gòu)的前提下提供一種全新的數(shù)
據(jù)庫(kù)訪問(wèn)控制方法和系統(tǒng)�����,以解決當(dāng)前數(shù)據(jù)庫(kù)訪問(wèn)控制的缺陷����。本發(fā)明提供了一種基于數(shù)
據(jù)庫(kù)協(xié)議代理的前置式數(shù)據(jù)庫(kù)訪問(wèn)控制方法和系統(tǒng)。其技術(shù)方案包括 —種基于數(shù)據(jù)庫(kù)協(xié)議代理的前置式數(shù)據(jù)庫(kù)訪問(wèn)控制方法�����,包括 a��、數(shù)據(jù)庫(kù)協(xié)議代理偵聽網(wǎng)絡(luò)上的數(shù)據(jù)庫(kù)協(xié)議包����,通過(guò)協(xié)議解析�,進(jìn)行身份認(rèn)證以
及訪問(wèn)控制策略判定���,若判定為真,則執(zhí)行步驟b����,若判定為假,則執(zhí)行步驟c ; b����、數(shù)據(jù)庫(kù)協(xié)議代理依據(jù)數(shù)據(jù)庫(kù)策略動(dòng)作對(duì)數(shù)據(jù)庫(kù)協(xié)議包重組后發(fā)送給數(shù)據(jù)庫(kù),由
數(shù)據(jù)庫(kù)進(jìn)行后續(xù)處理并給數(shù)據(jù)庫(kù)協(xié)議代理返回結(jié)果信息�,再由數(shù)據(jù)庫(kù)協(xié)議代理依據(jù)客戶端
策略動(dòng)作對(duì)數(shù)據(jù)庫(kù)協(xié)議包重組后返回客戶端,執(zhí)行步驟a或結(jié)束�; c、將錯(cuò)誤信息封裝成數(shù)據(jù)庫(kù)協(xié)議包返回客戶端��,執(zhí)行步驟a或結(jié)束�����。 步驟a所述協(xié)議解析是指識(shí)別出數(shù)據(jù)庫(kù)操作符和操作串���,數(shù)據(jù)庫(kù)操作符包括數(shù)據(jù)庫(kù)連接操作符和數(shù)據(jù)庫(kù)訪問(wèn)操作符�。數(shù)據(jù)庫(kù)連接操作符的操作串是一個(gè)五元組(數(shù)據(jù) 庫(kù)名稱,IP地址�����,TCP端口�����,用戶名�,密碼)。該操作串被用于身份認(rèn)證以及訪問(wèn)策略控制���。 數(shù)據(jù)庫(kù)訪問(wèn)操作符的操作串是一個(gè)二元組(SQL或其擴(kuò)展語(yǔ)句��,綁定參數(shù)向量)���。該操作串 被用于訪問(wèn)策略控制。 步驟b所述數(shù)據(jù)庫(kù)策略動(dòng)作是指如何修改發(fā)送給數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)協(xié)議包的動(dòng)作 定義�,進(jìn)一步包括數(shù)據(jù)庫(kù)連接操作串和數(shù)據(jù)庫(kù)訪問(wèn)操作串的修改要求。 步驟b所述客戶端策略動(dòng)作是指如何修改發(fā)送給客戶端的數(shù)據(jù)庫(kù)協(xié)議包的動(dòng)作 定義��,進(jìn)一步包括返回碼和返回串的修改要求����。 步驟b�、c所述執(zhí)行步驟a或結(jié)束�,由訪問(wèn)控制動(dòng)作來(lái)定義,對(duì)于執(zhí)行步驟a意味著 客戶端與數(shù)據(jù)庫(kù)協(xié)議代理�、數(shù)據(jù)庫(kù)協(xié)議代理與數(shù)據(jù)庫(kù)仍然保持連接,而對(duì)于結(jié)束���,意味著客 戶端與數(shù)據(jù)庫(kù)協(xié)議代理���、數(shù)據(jù)庫(kù)協(xié)議代理與客戶端的連接關(guān)閉��。所述訪問(wèn)控制動(dòng)作��,包括繼 續(xù)執(zhí)行�����、停止執(zhí)行�、修改后執(zhí)行、放棄執(zhí)行�����。其中繼續(xù)執(zhí)行、修改后執(zhí)行和放棄執(zhí)行會(huì)導(dǎo)致步 驟a���,停止執(zhí)行會(huì)導(dǎo)致結(jié)束����。 所述數(shù)據(jù)庫(kù)進(jìn)行后續(xù)處理���,進(jìn)一步包括偵聽器110��、控制器120和執(zhí)行器130的 處理�����。從而認(rèn)定前置式數(shù)據(jù)庫(kù)訪問(wèn)控制方法實(shí)際上是一種雙重?cái)?shù)據(jù)庫(kù)訪問(wèn)方法�����。在實(shí)際應(yīng) 用時(shí)��,訪問(wèn)控制可側(cè)重于加載在數(shù)據(jù)庫(kù)協(xié)議代理之上�,避免不必要的數(shù)據(jù)庫(kù)后續(xù)處理開銷����。
進(jìn)一步�,可控制數(shù)據(jù)庫(kù)協(xié)議代理的起停狀態(tài)實(shí)現(xiàn)客戶端的可用控制��,而無(wú)需起停 數(shù)據(jù)庫(kù)���。 進(jìn)一步�,數(shù)據(jù)庫(kù)可以同時(shí)偵聽來(lái)自客戶端和數(shù)據(jù)庫(kù)協(xié)議代理的請(qǐng)求�����,此為混合模 式的數(shù)據(jù)庫(kù)訪問(wèn)控制方法�。在實(shí)際應(yīng)用時(shí),可將信任客戶端直接接入數(shù)據(jù)庫(kù)�,而將不信任客 戶端經(jīng)由數(shù)據(jù)庫(kù)協(xié)議代理再接入數(shù)據(jù)庫(kù)��。 進(jìn)一步�,數(shù)據(jù)庫(kù)協(xié)議代理可以同時(shí)偵聽來(lái)自客戶端和另一個(gè)數(shù)據(jù)庫(kù)協(xié)議代理的請(qǐng) 求,此為多級(jí)模式的數(shù)據(jù)庫(kù)訪問(wèn)控制方法��。在實(shí)際應(yīng)用時(shí)����,可將復(fù)雜的訪問(wèn)控制分散在多個(gè) 數(shù)據(jù)庫(kù)協(xié)議代理上,從而形成訪問(wèn)控制網(wǎng)絡(luò)�����。 —種基于數(shù)據(jù)庫(kù)協(xié)議代理的前置式數(shù)據(jù)庫(kù)訪問(wèn)控制系統(tǒng),包括偵聽器����、訪問(wèn)控制 器和轉(zhuǎn)發(fā)器。其中 所述偵聽器��,用于偵聽特定TCP端口的數(shù)據(jù)庫(kù)協(xié)議包��,并將合法的數(shù)據(jù)庫(kù)協(xié)議包 發(fā)送給訪問(wèn)控制器�; 所述訪問(wèn)控制器,用于解析數(shù)據(jù)庫(kù)協(xié)議包的數(shù)據(jù)庫(kù)連接操作串和數(shù)據(jù)庫(kù)訪問(wèn)操作 串����,并依據(jù)預(yù)先定義的認(rèn)證要求和策略控制要求進(jìn)行判定; 所述轉(zhuǎn)發(fā)器����,用于依據(jù)數(shù)據(jù)庫(kù)策略動(dòng)作對(duì)數(shù)據(jù)庫(kù)協(xié)議包重組后發(fā)送給數(shù)據(jù)庫(kù)。
所述轉(zhuǎn)發(fā)器�����,進(jìn)一步用于依據(jù)客戶端策略動(dòng)作對(duì)數(shù)據(jù)庫(kù)協(xié)議包重組后返回客戶
丄山順。 所述轉(zhuǎn)發(fā)器���,進(jìn)一步用于將錯(cuò)誤信息封裝成數(shù)據(jù)庫(kù)協(xié)議包返回客戶端���。 進(jìn)一步,系統(tǒng)與客戶端���、數(shù)據(jù)庫(kù)工作在同一數(shù)據(jù)庫(kù)協(xié)議層�,從而使得客戶端與系統(tǒng)
的通信���,以及系統(tǒng)與數(shù)據(jù)庫(kù)的通信構(gòu)成會(huì)話接續(xù)��。 本發(fā)明的關(guān)鍵是引入了基于數(shù)據(jù)庫(kù)協(xié)議的代理機(jī)制��,從而使客戶端����、數(shù)據(jù)庫(kù)協(xié)議 代理和數(shù)據(jù)庫(kù)工作在同一數(shù)據(jù)庫(kù)協(xié)議層�����。數(shù)據(jù)庫(kù)協(xié)議代理的前置判斷如果為真��,則繼續(xù)遞 交到數(shù)據(jù)庫(kù)��,如果為假����,則直接返回。進(jìn)一步�,可限定數(shù)據(jù)庫(kù)協(xié)議代理的起停狀態(tài)實(shí)現(xiàn)客戶端可用控制。進(jìn)一步����,基于數(shù)據(jù)庫(kù)協(xié)議的代理機(jī)制支持混合模式和多級(jí)模式的數(shù)據(jù)庫(kù)訪問(wèn) 控制。因此���,本發(fā)明實(shí)現(xiàn)了一種高效���、安全、透明���、隔離��、專門��、靈活��、實(shí)時(shí)����、可視的數(shù)據(jù)庫(kù)安全 控制方法。高效是指盡可能少地影響現(xiàn)有數(shù)據(jù)庫(kù)性能����;安全是指能提供額外的數(shù)據(jù)庫(kù)安全 能力;透明是指不影響現(xiàn)有應(yīng)用的改造��;隔離是將數(shù)據(jù)庫(kù)連接操作串的五元組屏蔽�,避免 惡意攻擊,不將額外負(fù)載引入數(shù)據(jù)庫(kù)服務(wù)器�,代理實(shí)現(xiàn)的安全控制機(jī)制先于數(shù)據(jù)庫(kù)管理系 統(tǒng)本身的安全控制機(jī)制;專門是僅收集特定數(shù)據(jù)庫(kù)訪問(wèn)�,不涉及其他信息的采集;靈活是 指能夠方便地通過(guò)加載策略實(shí)現(xiàn)多樣的安全控制方法�;實(shí)時(shí)是指零等待地獲取所有數(shù)據(jù)庫(kù) 訪問(wèn)語(yǔ)句?���?梢暿悄苤庇^地監(jiān)視及分析任意時(shí)間點(diǎn)的數(shù)據(jù)庫(kù)訪問(wèn)。從而有效地控制數(shù)據(jù)庫(kù) 訪問(wèn)安全��,進(jìn)而規(guī)避數(shù)據(jù)泄露�、數(shù)據(jù)篡改、惡意刪除�����、非法訪問(wèn)等風(fēng)險(xiǎn)事件發(fā)生����。
圖1是當(dāng)前流行數(shù)據(jù)庫(kù)管理系統(tǒng)結(jié)構(gòu)示意圖; 圖2是根據(jù)本發(fā)明一實(shí)施例實(shí)現(xiàn)的基于數(shù)據(jù)庫(kù)協(xié)議代理的前置式數(shù)據(jù)庫(kù)訪問(wèn)控 制方法流程示意圖�����; 圖3是根據(jù)本發(fā)明一實(shí)施例實(shí)現(xiàn)的混合模式的數(shù)據(jù)庫(kù)訪問(wèn)控制方法交互示意圖�����;
圖4是根據(jù)本發(fā)明一實(shí)施例實(shí)現(xiàn)的多級(jí)模式的數(shù)據(jù)庫(kù)訪問(wèn)控制方法交互示意圖����;
圖5是根據(jù)本發(fā)明一實(shí)施例實(shí)現(xiàn)的基于數(shù)據(jù)庫(kù)協(xié)議代理的前置式數(shù)據(jù)庫(kù)訪問(wèn)控 制系統(tǒng)結(jié)構(gòu)示意圖。
具體實(shí)施例方式
本發(fā)明的思路是引入基于數(shù)據(jù)庫(kù)協(xié)議的代理�����,使客戶端�、數(shù)據(jù)庫(kù)協(xié)議代理和數(shù)據(jù) 庫(kù)處于同一數(shù)據(jù)庫(kù)協(xié)議層次����,不改造現(xiàn)有客戶端和數(shù)據(jù)庫(kù)結(jié)構(gòu)�����,實(shí)現(xiàn)前置式地實(shí)施數(shù)據(jù)庫(kù) 訪問(wèn)控制���,進(jìn)而控制并審計(jì)整個(gè)數(shù)據(jù)庫(kù)通道��。 下面結(jié)合附圖及具體實(shí)施例��,對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明�����。 圖2是根據(jù)本發(fā)明一實(shí)施例實(shí)現(xiàn)的基于數(shù)據(jù)庫(kù)協(xié)議代理的前置式數(shù)據(jù)庫(kù)訪問(wèn)控 制方法流程示意圖���。 步驟210,數(shù)據(jù)庫(kù)協(xié)議代理偵聽網(wǎng)絡(luò)上的Oracle協(xié)議(TNS)包���,通過(guò)協(xié)議解析��,進(jìn) 行身份認(rèn)證和訪問(wèn)控制策略判定�,若判定為真,則執(zhí)行步驟220��,若判定為假����,則執(zhí)行步驟
230 ; 步驟220��,數(shù)據(jù)庫(kù)協(xié)議代理依據(jù)數(shù)據(jù)庫(kù)策略動(dòng)作對(duì)TNS包重組后發(fā)送給Oracle數(shù)
據(jù)庫(kù)�,由數(shù)據(jù)庫(kù)進(jìn)行后續(xù)處理并給數(shù)據(jù)庫(kù)協(xié)議代理返回結(jié)果信息,再由數(shù)據(jù)庫(kù)協(xié)議代理依
據(jù)客戶端策略動(dòng)作對(duì)TNS包重組后返回客戶端�,執(zhí)行步驟a或結(jié)束; 步驟230�,將錯(cuò)誤信息封裝成TNS包返回客戶端,執(zhí)行步驟a或結(jié)束��。 圖3是根據(jù)本發(fā)明一實(shí)施例實(shí)現(xiàn)的混合模式的數(shù)據(jù)庫(kù)訪問(wèn)控制方法交互示意圖��。 客戶端310通過(guò)數(shù)據(jù)庫(kù)協(xié)議代理330接入Oracle數(shù)據(jù)庫(kù)340 ; 客戶端320直接接入Oracle數(shù)據(jù)庫(kù)340�����。 圖4是根據(jù)本發(fā)明一實(shí)施例實(shí)現(xiàn)的混合模式的數(shù)據(jù)庫(kù)訪問(wèn)控制方法交互示意圖��。
客戶端401通過(guò)數(shù)據(jù)庫(kù)協(xié)議代理405��,再通過(guò)數(shù)據(jù)庫(kù)協(xié)議代理408接入Oracle數(shù) 據(jù)庫(kù)41Q ;
5
客戶端402通過(guò)數(shù)據(jù)庫(kù)協(xié)議代理406,再通過(guò)數(shù)據(jù)庫(kù)協(xié)議代理408接入Oracle數(shù) 據(jù)庫(kù)410 ; 客戶端403通過(guò)數(shù)據(jù)庫(kù)協(xié)議代理406�����,再通過(guò)數(shù)據(jù)庫(kù)協(xié)議代理408接入Oracle數(shù) 據(jù)庫(kù)410 ; 客戶端404通過(guò)數(shù)據(jù)庫(kù)協(xié)議代理407�����,再通過(guò)數(shù)據(jù)庫(kù)協(xié)議代理409接入Oracle數(shù) 據(jù)庫(kù)410����。 本發(fā)明還公開了一種基于數(shù)據(jù)庫(kù)協(xié)議代理的前置式數(shù)據(jù)庫(kù)訪問(wèn)控制系統(tǒng),包括 偵聽器501���、訪問(wèn)控制器502和轉(zhuǎn)發(fā)器503���。其中 偵聽器501,用于偵聽特定TCP端口 (例如1600)的TNS包���,并將合法的TNS包發(fā) 送給訪問(wèn)控制器502 ; 訪問(wèn)控制器502��,用于解析TNS包的數(shù)據(jù)庫(kù)連接操作串和數(shù)據(jù)庫(kù)訪問(wèn)操作串����,并依 據(jù)預(yù)先定義的認(rèn)證要求和策略控制要求進(jìn)行判定; 轉(zhuǎn)發(fā)器503���,用于依據(jù)數(shù)據(jù)庫(kù)策略動(dòng)作對(duì)TNS包重組后發(fā)送給Oracle數(shù)據(jù)庫(kù)���。
轉(zhuǎn)發(fā)器503���,進(jìn)一步用于依據(jù)客戶端策略動(dòng)作對(duì)TNS包重組后返回客戶端。
再有�����,轉(zhuǎn)發(fā)器503�����,還用于將錯(cuò)誤信息封裝成TNS包返回客戶端�����。
進(jìn)一步��,系統(tǒng)與客戶端�����、數(shù)據(jù)庫(kù)工作在同一數(shù)據(jù)庫(kù)協(xié)議層,從而使得客戶端與系統(tǒng) 的通信�����,以及系統(tǒng)與數(shù)據(jù)庫(kù)的通信構(gòu)成會(huì)話接續(xù)��。 對(duì)于客戶端而言���,本系統(tǒng)提供了類似數(shù)據(jù)庫(kù)的五元組�,因此對(duì)客戶端應(yīng)用完全透 明����,客戶端不需要進(jìn)行特別的代理配置,只是以一個(gè)五元組替換另一個(gè)五元組��。同時(shí),因?yàn)?本系統(tǒng)前置于數(shù)據(jù)庫(kù)�����,也屏蔽了真實(shí)的數(shù)據(jù)庫(kù)五元組,隔離了可能的惡意攻擊�,也規(guī)避了由 此產(chǎn)生的性能開銷。由于在數(shù)據(jù)庫(kù)之外的五元組存在��,密碼算法可以有更多選擇��,可配置實(shí) 現(xiàn)基于令牌的動(dòng)態(tài)密碼�。 本發(fā)明方法及系統(tǒng)不限于Oracle??梢詰?yīng)用于任何C/S (包括B/S)結(jié)構(gòu)的數(shù)據(jù)庫(kù) 管理系統(tǒng)。如Sybase�����、 SQLServer、 DB2�、 MySQL等。 以上所述僅為本發(fā)明的實(shí)施例而已���,并非用于限定本發(fā)明的保護(hù)范圍���。凡在本發(fā) 明的精神和原則之內(nèi)所作的任何修改、等同替換���、改進(jìn)等���,均包含在本發(fā)明的保護(hù)范圍內(nèi)����。
權(quán)利要求
一種基于數(shù)據(jù)庫(kù)協(xié)議代理的數(shù)據(jù)庫(kù)訪問(wèn)控制方法����,其特征在于��,包括a��、數(shù)據(jù)庫(kù)協(xié)議代理偵聽網(wǎng)絡(luò)上的數(shù)據(jù)庫(kù)協(xié)議包��,通過(guò)協(xié)議解析��,進(jìn)行身份認(rèn)證和訪問(wèn)控制策略判斷��,若判斷為真�,則執(zhí)行步驟b����,若判斷為假,則執(zhí)行步驟c;b��、數(shù)據(jù)庫(kù)協(xié)議代理依據(jù)數(shù)據(jù)庫(kù)策略動(dòng)作對(duì)數(shù)據(jù)庫(kù)協(xié)議包重組后發(fā)送給數(shù)據(jù)庫(kù)���,由數(shù)據(jù)庫(kù)進(jìn)行后續(xù)處理并給數(shù)據(jù)庫(kù)協(xié)議代理返回結(jié)果信息,再由數(shù)據(jù)庫(kù)協(xié)議代理依據(jù)客戶端策略動(dòng)作對(duì)數(shù)據(jù)庫(kù)協(xié)議包重組后返回客戶端����,執(zhí)行步驟a或結(jié)束;c����、將錯(cuò)誤信息封裝成數(shù)據(jù)庫(kù)協(xié)議包返回客戶端���,執(zhí)行步驟a或結(jié)束。
2. 根據(jù)權(quán)利要求l所述的方法���,其特征在于�,步驟a所述判斷是根據(jù)數(shù)據(jù)庫(kù)協(xié)議包中的 標(biāo)識(shí)進(jìn)行判定的�����。進(jìn)一步,該識(shí)別標(biāo)識(shí)包括數(shù)據(jù)庫(kù)連接操作串和數(shù)據(jù)庫(kù)訪問(wèn)操作串����。
3. 根據(jù)權(quán)利要求1所述的方法,其特征在于����,步驟b所述數(shù)據(jù)庫(kù)協(xié)議包重組包括對(duì)數(shù)據(jù) 庫(kù)協(xié)議包中的數(shù)據(jù)庫(kù)連接操作串和數(shù)據(jù)庫(kù)訪問(wèn)操作串的變更,以及對(duì)數(shù)據(jù)庫(kù)協(xié)議包中的狀 態(tài)碼和狀態(tài)串的變更�����。
4. 根據(jù)權(quán)利要求1所述的方法�,其特征在于,步驟b�����、 c所述執(zhí)行步驟a或結(jié)束由訪問(wèn) 控制動(dòng)作來(lái)定義��,對(duì)于執(zhí)行步驟a意味著客戶端與數(shù)據(jù)庫(kù)協(xié)議代理�����、數(shù)據(jù)庫(kù)協(xié)議代理與數(shù) 據(jù)庫(kù)仍然保持連接����,而對(duì)于結(jié)束���,意味著客戶端與數(shù)據(jù)庫(kù)協(xié)議代理、數(shù)據(jù)庫(kù)協(xié)議代理與客戶 端的連接關(guān)閉���。所述訪問(wèn)控制動(dòng)作,包括繼續(xù)執(zhí)行�����、停止執(zhí)行�、修改后執(zhí)行、放棄執(zhí)行�。其中 繼續(xù)執(zhí)行、修改后執(zhí)行和放棄執(zhí)行會(huì)導(dǎo)致步驟a�,停止執(zhí)行會(huì)導(dǎo)致結(jié)束。
5. 根據(jù)權(quán)利要求1所述的方法���,其特征在于,數(shù)據(jù)庫(kù)協(xié)議代理前置于數(shù)據(jù)庫(kù)���,在數(shù)據(jù)庫(kù) 訪問(wèn)到達(dá)數(shù)據(jù)庫(kù)之前提前獨(dú)立實(shí)施訪問(wèn)控制驗(yàn)證����,并可以阻斷客戶端和數(shù)據(jù)庫(kù)的通道,從 而通過(guò)控制數(shù)據(jù)庫(kù)協(xié)議代理實(shí)現(xiàn)客戶端可用控制�。
6. 根據(jù)權(quán)利要求1所述的方法,其特征在于���,數(shù)據(jù)庫(kù)可以同時(shí)偵聽來(lái)自客戶端和數(shù)據(jù) 庫(kù)協(xié)議代理的請(qǐng)求�,也就是支持混合模式的數(shù)據(jù)庫(kù)訪問(wèn)控制����。
7. 根據(jù)權(quán)利要求1所述的方法,其特征在于���,數(shù)據(jù)庫(kù)協(xié)議代理可以同時(shí)偵聽來(lái)自客戶 端和另一個(gè)數(shù)據(jù)庫(kù)協(xié)議代理的請(qǐng)求��,也就是支持多級(jí)模式的數(shù)據(jù)庫(kù)訪問(wèn)控制�����。
8. —種基于數(shù)據(jù)庫(kù)協(xié)議代理的數(shù)據(jù)庫(kù)訪問(wèn)控制系統(tǒng)��,其特征在于����,包括偵聽器、訪問(wèn) 控制器和轉(zhuǎn)發(fā)器��。其中所述偵聽器���,用于偵聽特定TCP端口的數(shù)據(jù)庫(kù)協(xié)議包���,并將合法的數(shù)據(jù)庫(kù)協(xié)議包發(fā)送 給訪問(wèn)控制器;所述訪問(wèn)控制器���,用于解析數(shù)據(jù)庫(kù)協(xié)議包的數(shù)據(jù)庫(kù)連接操作串和數(shù)據(jù)庫(kù)訪問(wèn)操作串����, 并依據(jù)預(yù)先定義的認(rèn)證要求和策略控制要求進(jìn)行判定�����;所述轉(zhuǎn)發(fā)器��,用于依據(jù)數(shù)據(jù)庫(kù)策略動(dòng)作對(duì)數(shù)據(jù)庫(kù)協(xié)議包重組后發(fā)送給數(shù)據(jù)庫(kù)����。
9. 根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于����,所述的轉(zhuǎn)發(fā)器,進(jìn)一步用于依據(jù)客戶端策 略動(dòng)作對(duì)數(shù)據(jù)庫(kù)協(xié)議包重組后返回客戶端����。
10. 根據(jù)權(quán)利要求8所述系統(tǒng),其特征在于���,所述轉(zhuǎn)發(fā)器�,進(jìn)一步用于將錯(cuò)誤信息封裝 成數(shù)據(jù)庫(kù)協(xié)議包返回客戶端���。
11. 根據(jù)權(quán)利要求8所述的系統(tǒng)�,其特征在于��,系統(tǒng)與客戶端�、數(shù)據(jù)庫(kù)工作在同一數(shù)據(jù) 庫(kù)協(xié)議層,從而使得客戶端與系統(tǒng)的通信��,以及系統(tǒng)與數(shù)據(jù)庫(kù)的通信構(gòu)成會(huì)話接續(xù)����。
全文摘要
本發(fā)明公開了一種數(shù)據(jù)庫(kù)訪問(wèn)控制方法,關(guān)鍵是����,引入了基于數(shù)據(jù)庫(kù)協(xié)議的代理機(jī)制�����,使客戶端���、數(shù)據(jù)庫(kù)協(xié)議代理和數(shù)據(jù)庫(kù)工作在同一數(shù)據(jù)庫(kù)協(xié)議層,從而在不改造客戶端和數(shù)據(jù)庫(kù)結(jié)構(gòu)的前提下����,實(shí)現(xiàn)前置式實(shí)施數(shù)據(jù)庫(kù)訪問(wèn)控制首先由數(shù)據(jù)庫(kù)協(xié)議代理進(jìn)行身份認(rèn)證以及訪問(wèn)策略判斷,如果為真�,則繼續(xù)轉(zhuǎn)發(fā)給數(shù)據(jù)庫(kù)作后續(xù)正常處理,如果為假�,則返回客戶端或結(jié)束。本發(fā)明還同時(shí)公開了一個(gè)基于數(shù)據(jù)庫(kù)協(xié)議代理的前置式數(shù)據(jù)庫(kù)訪問(wèn)控制系統(tǒng)���。應(yīng)用本發(fā)明���,一方面可以避免不必要的后續(xù)數(shù)據(jù)庫(kù)處理造成的資源開銷和可能安全漏洞,進(jìn)而控制并審計(jì)整個(gè)數(shù)據(jù)庫(kù)通道�����,另一方面可以靈活、安全���、實(shí)時(shí)、可視地實(shí)施復(fù)雜的訪問(wèn)控制要求����。
文檔編號(hào)H04L29/06GK101739422SQ200810217170
公開日2010年6月16日 申請(qǐng)日期2008年11月5日 優(yōu)先權(quán)日2008年11月5日
發(fā)明者方正江, 羅愛(ài)平 申請(qǐng)人:深圳市守望網(wǎng)絡(luò)技術(shù)有限公司