用于处理数据库客户请求的方法和系统技术方案

提供用于处理数据库客户请求的机制。由非安全访问本地代理，从客户计算装置接收加密的数据库客户请求(DCR)，作为在所述数据处理系统和所述客户计算装置之间的会话的一部分。所述非安全访问本地代理检索对应于所述会话的数据库会话信息(DSI)地址，并且基于所述加密的DCR的一部分生成第一特定可识别键(UIK)。所述非安全访问本地代理产生DSI映射数据结构，该结构映射所述第一UIK至所述DSI地址。所述数据处理系统的安全访问本地代理使用所述DSI映射数据结构处理所述加密的DCR。

【技术实现步骤摘要】
【国外来华专利技术】用于处理数据库客户请求的方法和系统
技术介绍
本专利技术一般涉及改进的数据处理装置和方法，特别涉及用于通过安全数据库服务器层传播会话属性的机制。现代管理信息环境涌现，增加了安全性能的层级。有时，为保护数据的加密操作既费时又具有昂贵的计算费用。结果，加密操作被典型地保留用于高敏感的政府和金融场合。由于处理器速度提高和存储能力增加，以前仅仅为特别的、昂贵的硬件保留的执行加密操作的能力，如今在很多应用中变得普通。传统的非定制应用(offtheshelfapplications)将加密能力嵌入在软件中，因为这样做不再产生处理瓶颈。而且，由于网络能力持续增长，随着宽带(例如，电缆调制解调器)互联网访问和WiFi能力(例如802.11b/g/n无线)的持续普及，数据传输的纯粹数量提高了对未加密传输(所谓“明码传输”)承担泄露敏感信息的正在增加的风险的认识。存在在传输中加密绝大多数或者全部数据的新兴趋势，因为这样做几乎没有缺点。相应地，在源和目的地传输的数据通常被加密。
技术实现思路
在一个说明性的实施例中，提供一种在包括处理器和存储器的数据处理系统中的方法，用于处理数据库客户请求。该方法包括由所述数据处理系统的非安全访问本地代理，从客户计算装置接收加密的数据库客户请求(DCR)，作为在所述数据处理系统和所述客户计算装置之间的会话的一部分。所述方法进一步包括由所述非安全访问本地代理检索对应于所述会话的数据库会话信息(DSI)地址。另外，所述方法包括由所述非安全访问本地代理基于所述加密的DCR的一部分生成第一特定可识别键(UIK)。进一步地，所述方法包括由所述非安全访问本地代理产生DSI映射数据结构，该结构映射所述第一UIK至所述DSI地址，以及由所述数据处理系统的安全访问本地代理使用所述DSI映射数据结构处理所述加密的DCR。在另一个说明性的实施例中，提供一种包括具有计算机可读程序的计算机可用或可读介质的计算机程序产品。所述计算机可读程序，当在计算装置上执行时，使所述计算装置执行根据所述方法说明性实施例的上面概述的操作的各种多个或者组合。在另一个说明性实施例中，提供一种系统/装置。该系统/装置可包括一个或多个处理器和耦接到所述一个或多个处理器的存储器。该存储器可包括指令，当所述一个或多个处理器执行该指令时，该指令使所述一个或多个处理器根据所述方法说明性实施例的上面概述的操作的各种多个或者组合。这些和其它特征和本专利技术的优点将在下面示例性的本专利技术的实施例的详细描述中进行介绍，或者基于这些详细描述对本领域技术人员而言是显而易见的。附图说明本专利技术，以及优选的使用模式和进一步的专利技术目的以及优点，通过参考下面的说明性实施例的详细描述同时结合相应的附图进行阅读，将更好地被理解，其中：图1是适合与安全数据库访问一起使用的示例性管理信息环境的环境图；图2是适合与非安全数据库访问一起使用的数据存储和检索环境的环境图；图3是依据一个说明性实施例的安全数据库系统的示例性框图；图4是依据一个说明性实施例说明为当前会话从加密数据库客户请求(DCR)和所述数据库会话信息(DSI)地址与UIK的映射提取特定可识别键(UIK)的示例图；图5是根据一个说明性实施例用于在安全数据库系统处理加密数据库客户请求(DCR)的示例性操作的概略流程图；以及图6是说明性实施例可在其中实现的示例性数据处理系统的框图。具体实施方式说明性实施例提供通过安全数据库服务器层传播会话属性。如上所述，加密的数据传输在增长并且特别对数据库访问是主要的。也就是说，数据库访问可能是安全的(加密的)或不安全的(未加密的)。术语“安全”和“非安全”用在这里形容本地代理是指识别该本地代理是否与密码引擎会同工作以加密/解密数据，其中非安全访问本地代理操作明码文本或未加密数据，而安全访问本地代理操作密码引擎和加密的数据。依据数据库访问是安全的还是非安全的，对数据库访问的监视是不同的。美国专利申请公开号为2010/0131758,专利技术名称为“NondestructiveInterceptionofSecureDatainTransit”，公开日为2010年5月27日，其描述了用于安全数据库访问的数据库访问监视机制的例子。利用公开号为2010/0131758的美国专利申请的该机制，通过网络在一接口以安全方式接受客户请求。在数据库服务器层调用加密操作以解密收到的数据库客户请求(DCRs)和加密数据库服务器响应(DSRs)。安全访问本地代理(LA1)，参考公开号为2010/0131758的美国专利申请中的数据库监视代理，在解密之后或在由加密操作的加密之前，拦截明码文本DCRs和DSR数据，不中断数据库服务器和客户计算装置之间的数据主流。所述安全访问本地代理(LA1)转发拦截到的明码文本DCR和DSR数据到外部数据库监视器以进一步分析。图1是适合与安全数据库访问使用的示例性管理信息环境的环境图。如图1所示，管理信息环境100包括通过网络130耦接到主机120的用户节点110-1……110-n(统称110)。用户节点110典型地是个人电脑或可操作地与主机120交互通信的包括图形用户界面(GUI)112的其它本地计算装置。主机120提供服务，比如数据访问和检索服务，通过耦接到对应GUI112的主机应用122-1...122-n(统称122)。主机应用122包括耦接到一个或多个数据库服务器的进程(processes)128以用于执行指令以执行向用户110交付服务。在示例配置中，主机应用122是耦接数据库管理系统(DBMS)124的数据库服务器，用于通过数据库126向用户110提供数据访问和检索服务，因此进程128是数据库服务器或负责耦接接口125和DBMS124的代理进程。典型数据库环境100经常使用数据层安全机制154。这种数据层安全机制聚焦向或来自数据库的数据访问交易(transaction)140,142，而不是在调用应用122上的特权或访问控制列表。数据层安全机制154可以包括外部数据库安全监视器150、数据库监视代理160、或二者的结合，有效定义数据层安全机制(数据库监视器)154。如上所示，数据库126中的数据的安全是最重要的。对应地，数据库监视器154拦截和仔细检查数据访问交易140，要么通过在连接到接口的网络拦截交易140'，要么通过数据库代理152拦截交易140”。因为性能原因，在接口125前，经常在网络连接132上捕获访问交易140，以从主机120卸载安全处理。然而，如下将会讨论的，一些环境仍在主机120上使用数据库监视代理160，这里也作为安全访问本地代理(LA1)。如上所讨论的，许多数据库管理系统124加密数据访问交易140，以避免在从应用GUI112到数据库126的传输中暴露敏感数据项目。数据访问响应142可以被同样覆盖。然而，数据库监视器124(安全访问本地代理(LA1))在明码文本(未加密)数据上运行。相应地，数据库监视器124响应于密码文本转为明码文本，识别拦截点172-1……172-4(统称172)，并且捕获明码文本交易140”用于检查。依赖于加密所采用的特定的DBMS124，拦截点172可以发生在几个地方中的一个。在如拦截点172-4所示的DBMSIPC的拦截(即，端口读取本文档来自技高网...

【技术保护点】
一种在包括处理器和存储器的数据处理系统中用于处理数据库客户请求的方法，包括：由所述数据处理系统的非安全访问本地代理，从客户计算装置接收加密的数据库客户请求(DCR)，作为在所述数据处理系统和所述客户计算装置之间的会话的一部分；由所述非安全访问本地代理检索对应于所述会话的数据库会话信息(DSI)地址；由所述非安全访问本地代理基于所述加密的DCR的一部分生成第一特定可识别键(UIK)；由所述非安全访问本地代理产生DSI映射数据结构，该结构映射所述第一UIK至所述DSI地址；以及由所述数据处理系统的安全访问本地代理使用所述DSI映射数据结构处理所述加密的DCR。

【技术特征摘要】
【国外来华专利技术】2013.03.11 US 13/793,8771.一种在包括处理器和存储器的数据处理系统中用于处理数据库客户请求的方法，包括：由所述数据处理系统的非安全访问本地代理，从客户计算装置接收加密的数据库客户请求DCR，作为在所述数据处理系统和所述客户计算装置之间的会话的一部分；由所述非安全访问本地代理检索对应于所述会话的数据库会话信息DSI地址；由所述非安全访问本地代理基于所述加密的DCR的一部分生成第一特定可识别键UIK；由所述非安全访问本地代理产生DSI映射数据结构，该DSI映射数据结构映射所述第一特定可识别键UIK至所述DSI地址；以及由所述数据处理系统的安全访问本地代理使用所述DSI映射数据结构处理所述加密的DCR，其中使用所述DSI映射数据结构处理所述加密的DCR包括：由所述安全访问本地代理调用密码过程以解密所述加密的DCR；以及响应于拦截所述密码过程的调用，由所述安全访问本地代理基于所述DSI映射数据结构为所述会话检索所述DSI地址，其中基于所述DSI映射数据结构为所述会话检索所述DSI地址包括：由所述安全访问本地代理基于所述加密的DCR生成第二UIK；基于所述第二UIK在所述DSI映射数据结构中执行查找操作，以在所述DSI映射数据结构中识别匹配条目，该条目具有匹配所述第二UIK的匹配UIK；以及从在所述DSI映射数据结构中的匹配条目中检索DSI地址。2.如权利要求1所述的方法，其中使用所述DSI映射数据结构处理所述加密的DCR进一步包括使用所述DSI地址以为所述会话检索DSI数据。3.如权利要求2所述的方法，其中使用所述DSI映射数据结构处理所述加密的DCR进一步包括：向安全装置转发所述加密的DCR和对应于所述DSI地址的DSI数据，其中所述安全装置分析所述加密的DCR和违反安全政策的DSI数据。4.如权利要求3所述的方法，其中所述安全装置基于分析所述加密的DCR和DSI数据的结果，执行一个或多个安全操作。5.如权利要求4所述的方法，其中所述一个或多个安全操作包括以下至少一个：授权从所述数据处理系统到所述客户计算装置的响应；阻止从所述数据处理系统到所述客户计算装置的响应；修改来自所述数据处理系统的响应；向处理所述DCR的用户发送通知；或响应于所述DCR的处理，生成日志条目。6.如权利要求1-5中任一项所述的方法，其中基于所述加密的DCR一部分生成第一UIK包括：提取所述加密的DCR的一部分作为所述会话特定的加密模式；以及保存所述加密的DCR的所述提取的一部分，作为所述第一特定可识别键UIK。7.一种存储有计算机程序的计算机可读介质，其中所述计算机程序当其在计算机上运行时使所述计算机执行如权利要求1至6中任何一项所述的方法的步骤。8.一种数据处理系统，包括：处理器；以及耦接所述处理器的存储器，其中所述存储器包括指令，当由所述处理器执行时，使该处理器：由所述数据处理系统的非安全访问本地代理，从客户计算装置接收加密的数据库客户请求DCR，作为在所述数据处理系统和所述客户计算装置之间的会话的一部分；由所述非安全访问本地代理检索对应于所述会话的数据库会话信息DSI地址；由所述非安全访问本地代理基于所述加密的DCR的一部分生成第一特定可识别键UIK；由所述非安全访问本地代理产生DSI映射数据结构，该DSI映射数据结构映射所述第一特定可识别键UIK至所述DSI地址；以及由所述数据处理系统的安全访问本地代理使用所述DSI映射数据结构处理所述加密的DCR，其中所述...

【专利技术属性】
技术研发人员：L·罗德尼安斯基，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：美国;US