【技术实现步骤摘要】
一种网关数据交互方法、装置、计算机设备及存储介质
本专利技术涉及数据库网关安全领域,尤其涉及一种网关数据交互方法、装置、计算机设备及存储介质。
技术介绍
大数据时代的数据处理和分析需要通过多数据库互通聚合来完成复杂的计算逻辑,数据库的互通是云计算中的常见需求。数据库网关(DatabaseGateway)是一种用于数据库代理,拥有数据库访问控制、数据库权限管理、数据库访问追溯等功能的数据库管理组件,可实现数据库间互通。但因数据库网关暴露在公网环境下,因此非常容易遭受攻击。攻击形式包括但不限于黑客、病毒、rootkit等恶意软件,在应用层、操作系统层、硬件层对数据库网关展开攻击。用户在使用过程中往往难以察觉到数据库已经遭到窃取,从而形成高级长期威胁(APT,AdvancedPersistentThreat)。此外,来自内部人员的恶意或者无意的非授权访问也可能造成数据泄漏。现有的数据库网关端保护方案,基于虚拟化技术的系统资源隔离和监控,如Hypervisor为数据库网关端构建一个隔离的空间运行,但hypervisor技术自身的漏洞可能会威胁到整个系统;基于TPM(TrustedPlatformModule,可信平台模块)的可信架构在程序加载时进行完整性度量,但却难以保证程序在运行时仍然是可信的;基于病毒查杀,如云平台的agent等,通过实时检测进出流量、指令、内存及文件等,进行威胁监测,但基于病毒查杀的方案在数据库网关端的大数据量情景下,对资源侵占较高且对未知威胁应对能力弱。大多数数据库网关和数据库交互的保 ...
【技术保护点】
1.一种网关数据交互方法,所述方法应用于数据库网关端,所述数据库网关端被划分为安全区域和非安全区域,其特征在于,所述方法包括以下步骤:/n所述数据库网关端非安全区域将接收来自用户端的用户请求和用户身份信息通过第一代理转发至所述数据库网关端安全区域,所述第一代理控制所述数据网关端安全区域运行,并控制所述数据库网关端非安全区域睡眠;/n所述数据库网关端安全区域接收所述用户请求和所述用户身份信息,并对所述用户请求和用户身份信息进行验证;/n所述用户请求和所述用户身份信息验证通过后,所述数据库网关端安全区域向数据库端安全区域间发起远程证明;/n远程证明成功后,数据库网关端安全区域将所述用户请求发送至所述数据库端安全区域,供所述数据库端安全区域执行所述用户请求;/n接收来自所述数据库端安全区域根据请求结果进行处理的第一处理结果时,所述第一代理控制所述数据网关端非安全区域运行,并控制所述数据库网关端安全区域睡眠,通过所述数据库网关端非安全区域接收所述第一处理结果;/n所述第一代理控制所述数据库网关端安全区域运行,并控制所述数据库网关端非安全区域睡眠,将所述第一处理结果通过第一代理转发至所述数据库网 ...
【技术特征摘要】
1.一种网关数据交互方法,所述方法应用于数据库网关端,所述数据库网关端被划分为安全区域和非安全区域,其特征在于,所述方法包括以下步骤:
所述数据库网关端非安全区域将接收来自用户端的用户请求和用户身份信息通过第一代理转发至所述数据库网关端安全区域,所述第一代理控制所述数据网关端安全区域运行,并控制所述数据库网关端非安全区域睡眠;
所述数据库网关端安全区域接收所述用户请求和所述用户身份信息,并对所述用户请求和用户身份信息进行验证;
所述用户请求和所述用户身份信息验证通过后,所述数据库网关端安全区域向数据库端安全区域间发起远程证明;
远程证明成功后,数据库网关端安全区域将所述用户请求发送至所述数据库端安全区域,供所述数据库端安全区域执行所述用户请求;
接收来自所述数据库端安全区域根据请求结果进行处理的第一处理结果时,所述第一代理控制所述数据网关端非安全区域运行,并控制所述数据库网关端安全区域睡眠,通过所述数据库网关端非安全区域接收所述第一处理结果;
所述第一代理控制所述数据库网关端安全区域运行,并控制所述数据库网关端非安全区域睡眠,将所述第一处理结果通过第一代理转发至所述数据库网关端安全区域;
所述数据库网关端安全区域接收所述第一处理结果并将所述第一处理结果通过第一代理转发至所述数据库网关端非安全区域,所述第一代理控制所述数据库网关端非安全区域运行,并控制所述数据库网关端安全区域睡眠;
所述数据库网关端非安全区域将所述第一处理结果返回给所述用户端。
2.根据权利要求1所述的网关数据交互方法,其特征在于,所述远程证明包括以下步骤:
所述数据库网关端安全区域向数据库端安全区域发起远程证明;
建立所述数据库网关端安全区域和所述数据库端安全区域间的第一安全信道;
所述数据库网关端对自身的可信计算基进行度量得到第一度量值,使用数据库网关端的证明证书对所述第一度量值进行签名生成第一签名信息;
所述数据库网关端安全区域将所述第一度量值和所述第一签名信息经所述第一安全信道发送至所述数据库端安全区域,供所述数据库端安全区域对所述第一度量值和所述第一签名信息进行验证,并在所述第一度量值和所述第一签名信息验证通过时反馈第二度量值和第二签名信息;
所述数据库网关端安全区域接收到所述数据库端安全区域发送的第二度量值和第二签名信息时,对所述第二度量值和所述第二签名信息进行验证;
所述第二度量值和所述第二签名信息验证通过时,所述远程证明成功,数据库网关端安全区域将所述用户请求发送至所述数据库端安全区域。
3.根据权利要求2所述的网关数据交互方法,其特征在于,所述对所述第二度量值和所述第二签名信息进行验证的步骤包括以下:
所述数据库网关端安全区域通过第一代理将所述第二度量值和所述第二签名信息发送至所述数据库网关端非安全区域,所述第一代理控制所述数据库网关端非安全区域运行,并控制所述数据库网关端安全区域睡眠;
所述数据库网关端非安全区域对所述第二度量值和所述第二签名信息进行验证,验证通过则生成第二验证报告并通过第一代理将所述第二验证报告发送至所述数据库网关端安全区域;
所述第一代理控制所述数据库网关端安全区域运行,并控制所述数据库网关端非安全区域睡眠,所述数据库网关端安全区域接收所述第二验证报告时确定所述数据库端可信,将所述用户请求发送至所述数据库端安全区域。
4.一种网关数据交互方法,所述方法应用于数据库端,所述数据库端被划分为安全区域和非安全区域,其特征在于,所述方法包括以下步骤:
接收到数据库网关端安全区域向所述数据库端安全区域间发起的远程证明时,所述数据库端安全区域与所述数据库网关端安全区域进行远程证明;
远程证明成功后,所述数据库端安全区域接收所述数据库网关端安全区域发送的用户请求;
所述数据库端安全区域将所述用户请求通过第二代理转发至所述数据库端非安全区域,所述第二代理控制所述数据端非安全区域运行,并控制所述数据库端安全区域睡眠;
所述数据库端非安全区域调用数据库执行所述用户请求,得到第一处理结果;
所述数据库将所述第一处理结果通过第二代理转发至所述数据库端安全区域,所述第二代理控制所述数据端安全区域运行,并控制所述数据库端非安全区域睡眠;
所述数据库端安全区域将所述第一处理结果发送至所述数据库网关端非安全区域,供所述数据库网关端非安全区域将所述第一处理结果返回给用户端。
5.根据权利要求4所述的网关数据交互方法,其特征在于,所述远程证明包括以下步骤:
建立所述数据库端安全区域和所述数据库网关端安全区域间的第二安全信道;
所述数据库端安全...
【专利技术属性】
技术研发人员:郭泰彪,陈晓红,胡东滨,
申请(专利权)人:湖南红普创新科技发展有限公司,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。