本发明专利技术提供了一种数据库安全加固方法、装置及电子设备,包括:获取用户端的认证代理发送的数据库认证请求;根据数据库认证请求中的访问键值在数据库防火墙的密钥表中确定与访问键值所对应的目标访问密钥;采用签名算法对目标访问密钥、加密版本和访问时间进行签名计算,得到防护端签名;将客户端签名和防护端签名进行对比,根据对比结果进行数据库的操作。本发明专利技术的方法中,在流量中传输的信息不包含访问密钥,避免了访问密钥被拦截的风险,并且通过对数据库认证请求进行签名认证的方式实现了数据库的安全加固,可靠性好,不易被绕过,且不影响正常工作,缓解了现有的数据库安全加固的方法可靠性差,不利于正常工作的技术问题。
A Method, Device and Electronic Equipment for Database Security Reinforcement
【技术实现步骤摘要】
一种数据库安全加固方法、装置及电子设备
本专利技术涉及网络安全的
,尤其是涉及一种数据库安全加固方法、装置及电子设备。
技术介绍
应用服务器被入侵(违规运维)后,入侵者可以通过代码扫描、反编译或抓包等手段获取到应用访问数据库的账号密码。当前的数据库防火墙并不能识别出SQL语句(StructuredQueryLanguage,结构化查询语句,是一种数据库查询和程序设计语言,用于存取数据,以及查询、更新和管理关系数据库系统)是应用系统发出的还是入侵者发出的,导致入侵者的SQL语句也会被执行,因此入侵者能产生更大的破坏。为了防止入侵者对数据库的破坏,现有的数据库安全加固方法一般采用IP绑定、账号分权以及账号验证的方式对数据库进行保护。但是,IP绑定的方式易绕过;而账号分权的方式中,如果账号被非法获取,入侵者的SQL语句仍会被执行,达不到保护的作用;在账号验证的方式中,如果账号被盗用,指纹识别或人脸识别易失败干扰正常工作,从而降低工作效率。综上,现有的数据库安全加固的方法可靠性差,不利于正常工作。
技术实现思路
本专利技术的目的在于提供一种数据库安全加固方法、装置及电子设备,以缓解现有的数据库安全加固的方法可靠性差,不利于正常工作的技术问题。本专利技术提供的一种数据库安全加固方法,应用于部署有认证代理的数据库防火墙,所述方法包括:获取用户端的认证代理发送的数据库认证请求,其中,所述数据库认证请求中携带有以下至少一种认证信息:访问键值、加密版本、访问时间和客户端签名;根据所述认证信息中的访问键值在所述数据库防火墙的密钥表中确定与所述访问键值所对应的目标访问密钥;采用签名算法对所述目标访问密钥、所述加密版本和所述访问时间进行签名计算,得到防护端签名;将所述客户端签名和所述防护端签名进行对比,根据对比结果进行数据库的操作。进一步的,所述用户端的认证代理为用户通过控制台在所述数据库防火墙上下载注册得到的;其中,在进行所述用户端的认证代理的注册时,所述用户端的认证代理随机生成所述用户端的密钥对,并将所述密钥对和所述加密版本分别保存至所述数据库防火墙的密钥表和所述用户端的认证代理,所述密钥对包括:所述访问键值和访问密钥,所述密钥对与所述用户端的认证代理具有绑定关系。进一步的,所述客户端签名为所述用户端的认证代理采用所述签名算法对所述访问密钥、所述加密版本和所述访问时间进行签名计算得到的。进一步的,所述签名算法包括:sign函数。进一步的,根据对比结果进行数据库的操作包括:如果所述对比结果为所述客户端签名和所述防护端签名相同,则允许继续进行所述数据库的操作;如果所述对比结果为所述客户端签名和所述防护端签名不相同,则阻止进行所述数据库的操作。本专利技术还提供了一种数据库安全加固装置,应用于部署有认证代理的数据库防火墙,所述装置包括:获取模块,用于获取用户端的认证代理发送的数据库认证请求,其中,所述数据库认证请求中携带有以下至少一种认证信息:访问键值、加密版本、访问时间和客户端签名;确定模块,用于根据所述认证信息中的访问键值在所述数据库防火墙的密钥表中确定与所述访问键值所对应的目标访问密钥;签名计算模块,用于采用签名算法对所述目标访问密钥、所述加密版本和所述访问时间进行签名计算,得到防护端签名;对比模块,用于将所述客户端签名和所述防护端签名进行对比,根据对比结果进行数据库的操作。进一步的,所述用户端的认证代理为用户通过控制台在所述数据库防火墙上下载注册得到的;其中,在进行所述用户端的认证代理的注册时,所述用户端的认证代理随机生成所述用户端的密钥对,并将所述密钥对和所述加密版本分别保存至所述数据库防火墙的密钥表和所述用户端的认证代理,所述密钥对包括:所述访问键值和访问密钥,所述密钥对与所述用户端的认证代理具有绑定关系。进一步的,所述客户端签名为所述用户端的认证代理采用所述签名算法对所述访问密钥、所述加密版本和所述访问时间进行签名计算得到的。本专利技术还提供了一种电子设备,包括存储器、处理器,所述存储器上存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述内容中所述的方法的步骤。本专利技术还提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行上述内容中所述的方法。在本专利技术实施例中,部署有认证代理的数据库防火墙先获取用户端的认证代理发送的数据库认证请求;然后,根据数据库认证请求中的认证信息中的访问键值在数据库防火墙的密钥表中确定与访问键值所对应的目标访问密钥;进而,采用签名算法对目标访问密钥、加密版本和访问时间进行签名计算,得到防护端签名;最后,将客户端签名和防护端签名进行对比,根据对比结果进行数据库的操作。通过上述的描述可知,本专利技术的数据库安全加固方法中,在流量中传输的信息只包含访问键值、加密版本、访问时间和客户端签名,而访问密钥并不在流量中传输,避免了访问密钥被拦截的风险,数据库防火墙在接收到上述信息后,会在自身维护的密钥表中查询得到与访问键值所对应的目标访问密钥,并进一步对目标访问密钥、加密版本和访问时间进行签名计算,得到防护端签名,最后,将客户端签名与防护端签名进行对比,根据对比结果确定是否继续进行数据库的操作,也就是通过对数据库认证请求进行签名认证的方式实现了数据库的安全加固,可靠性好,不易被绕过,且不影响正常工作,缓解了现有的数据库安全加固的方法可靠性差,不利于正常工作的技术问题。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种数据库安全加固方法的流程图;图2为本专利技术实施例提供的数据库安全加固系统的结构示意图;图3为本专利技术实施例提供的一种数据库安全加固装置的示意图;图4为本专利技术实施例提供的一种电子设备的示意图。具体实施方式下面将结合实施例对本专利技术的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。为便于对本实施例进行理解,首先对本专利技术实施例所公开的一种数据库安全加固方法进行详细介绍。实施例一:根据本专利技术实施例,提供了一种数据库安全加固方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。图1是根据本专利技术实施例的一种数据库安全加固方法的流程图,该方法应用于部署有认证代理的数据库防火墙,如图1所示,该方法包括如下步骤:步骤S102,获取用户端的认证代理发送的数据库认证请求,其中,数据库认证请求中携带有以下至少一种认证信息:访问键值、加密版本、访问时间和客户端签名;在本专利技术实施例中,认证代理是本专利技术中的实体部分,参考图2所示,认证代理部署在数据库防火墙,数据库防火墙是自主开发或第三方提供的数据库安全防护系统。用户端在访问数据本文档来自技高网...
【技术保护点】
1.一种数据库安全加固方法,其特征在于,应用于部署有认证代理的数据库防火墙,所述方法包括:获取用户端的认证代理发送的数据库认证请求,其中,所述数据库认证请求中携带有以下至少一种认证信息:访问键值、加密版本、访问时间和客户端签名;根据所述认证信息中的访问键值在所述数据库防火墙的密钥表中确定与所述访问键值所对应的目标访问密钥;采用签名算法对所述目标访问密钥、所述加密版本和所述访问时间进行签名计算,得到防护端签名;将所述客户端签名和所述防护端签名进行对比,根据对比结果进行数据库的操作。
【技术特征摘要】
1.一种数据库安全加固方法,其特征在于,应用于部署有认证代理的数据库防火墙,所述方法包括:获取用户端的认证代理发送的数据库认证请求,其中,所述数据库认证请求中携带有以下至少一种认证信息:访问键值、加密版本、访问时间和客户端签名;根据所述认证信息中的访问键值在所述数据库防火墙的密钥表中确定与所述访问键值所对应的目标访问密钥;采用签名算法对所述目标访问密钥、所述加密版本和所述访问时间进行签名计算,得到防护端签名;将所述客户端签名和所述防护端签名进行对比,根据对比结果进行数据库的操作。2.根据权利要求1所述的方法,其特征在于,所述用户端的认证代理为用户通过控制台在所述数据库防火墙上下载注册得到的;其中,在进行所述用户端的认证代理的注册时,所述用户端的认证代理随机生成所述用户端的密钥对,并将所述密钥对和所述加密版本分别保存至所述数据库防火墙的密钥表和所述用户端的认证代理,所述密钥对包括:所述访问键值和访问密钥,所述密钥对与所述用户端的认证代理具有绑定关系。3.根据权利要求2所述的方法,其特征在于,所述客户端签名为所述用户端的认证代理采用所述签名算法对所述访问密钥、所述加密版本和所述访问时间进行签名计算得到的。4.根据权利要求1或3所述的方法,其特征在于,所述签名算法包括:sign函数。5.根据权利要求1所述的方法,其特征在于,根据对比结果进行数据库的操作包括:如果所述对比结果为所述客户端签名和所述防护端签名相同,则允许继续进行所述数据库的操作;如果所述对比结果为所述客户端签名和所述防护端签名不相同,则阻止进行所述数据库的操作。6.一种数据库安全加固装置...
【专利技术属性】
技术研发人员:张力,范渊,刘博,龙文洁,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。