一种网关数据交互方法、装置、计算机设备及存储介质制造方法及图纸

本发明专利技术公开了一种网关数据交互方法，应用于数据库网关安全领域，用于解决数据库网关与数据库交互时安全性低的问题，数据库网关端和数据库端被划分为安全区域和非安全区域，数据库网关端安全区域和数据库端安全区域进行远程证明，通过数据库网关端安全区域和数据库端安全区域对自身的可信计算基进行度量得到度量值，并使用证明证书对其度量值进行签名生成签名信息。数据数网关端和数据库端验证对方的度量值和签名信息确保对方的可信程度，以构建数据库网关端与数据库端之间的可信关系，提高数据交互的安全。

【技术实现步骤摘要】
一种网关数据交互方法、装置、计算机设备及存储介质
本专利技术涉及数据库网关安全领域，尤其涉及一种网关数据交互方法、装置、计算机设备及存储介质。
技术介绍
大数据时代的数据处理和分析需要通过多数据库互通聚合来完成复杂的计算逻辑，数据库的互通是云计算中的常见需求。数据库网关(DatabaseGateway)是一种用于数据库代理，拥有数据库访问控制、数据库权限管理、数据库访问追溯等功能的数据库管理组件，可实现数据库间互通。但因数据库网关暴露在公网环境下，因此非常容易遭受攻击。攻击形式包括但不限于黑客、病毒、rootkit等恶意软件，在应用层、操作系统层、硬件层对数据库网关展开攻击。用户在使用过程中往往难以察觉到数据库已经遭到窃取，从而形成高级长期威胁(APT，AdvancedPersistentThreat)。此外，来自内部人员的恶意或者无意的非授权访问也可能造成数据泄漏。现有的数据库网关端保护方案，基于虚拟化技术的系统资源隔离和监控，如Hypervisor为数据库网关端构建一个隔离的空间运行，但hypervisor技术自身的漏洞可能会威胁到整个系统；基于TPM(TrustedPlatformModule，可信平台模块)的可信架构在程序加载时进行完整性度量，但却难以保证程序在运行时仍然是可信的；基于病毒查杀，如云平台的agent等，通过实时检测进出流量、指令、内存及文件等，进行威胁监测，但基于病毒查杀的方案在数据库网关端的大数据量情景下，对资源侵占较高且对未知威胁应对能力弱。大多数数据库网关和数据库交互的保护方案不适用于ARM处理器平台。ARMTrustzone是ARM推出的旨在以硬件为安全强制保障的安全技术。Trustzone将应用程序分别放置在普通区域和安全区域运行，需要保护的内容将在安全区域内收到保护。本专利技术针对目前逐渐增多的ARM架构服务器和ARM架构个人计算机和移动设备，提出一种只要CPU(CentralProcessingUnit，中央处理器)可信，就确保数据库网关运行时安全的数据库网关和数据库交互方案，提高数据库网关端对未知威胁的防御能力，使数据库网关更安全。
技术实现思路
本专利技术实施例提供一种网关数据交互方法、装置、计算机设备及存储介质，以解决在大数据时代下，ARM架构中数据库网关易被攻击、数据库端的数据易被泄露或窃取的的问题。根据本申请的一方面提供一种网关数据交互方法，所述方法应用于数据库网关端，所述数据库网关端被划分为安全区域和非安全区域，包括以下步骤：所述数据库网关端非安全区域将接收来自用户端的用户请求和用户身份信息通过第一代理转发至所述数据库网关端安全区域，所述第一代理控制所述数据网关端安全区域运行，并控制所述数据库网关端非安全区域睡眠；所述数据库网关端安全区域接收所述用户请求和所述用户身份信息，并对所述用户请求和用户身份信息进行验证；所述用户请求和所述用户身份信息验证通过后，所述数据库网关端安全区域向数据库端安全区域间发起远程证明；远程证明成功后，数据库网关端安全区域将所述用户请求发送至所述数据库端安全区域，供所述数据库端安全区域执行所述用户请求；接收来自所述数据库端安全区域根据请求结果进行处理的第一处理结果时，所述第一代理控制所述数据网关端非安全区域运行，并控制所述数据库网关端安全区域睡眠，通过所述数据库网关端非安全区域接收所述第一处理结果；所述第一代理控制所述数据库网关端安全区域运行，并控制所述数据库网关端非安全区域睡眠，将所述第一处理结果通过第一代理转发至所述数据库网关端安全区域；所述数据库网关端安全区域接收所述第一处理结果并将所述第一处理结果通过第一代理转发至所述数据库网关端非安全区域，所述第一代理控制所述数据库网关端非安全区域运行，并控制所述数据库网关端安全区域睡眠；所述数据库网关端非安全区域将所述第一处理结果返回给所述用户端。根据本申请的一方面提供一种网关数据交互方法，所述方法应用于数据库端，所述数据库端被划分为安全区域和非安全区域，包括以下步骤：接收到数据库网关端安全区域向所述数据库端安全区域间发起的远程证明时，所述数据库端安全区域与所述数据库网关端安全区域进行远程证明；远程证明成功后，所述数据库端安全区域接收所述数据库网关端安全区域发送的用户请求；所述数据库端安全区域将所述用户请求通过第二代理转发至所述数据库端非安全区域，所述第二代理控制所述数据端非安全区域运行，并控制所述数据库端安全区域睡眠；所述数据库端非安全区域调用数据库执行所述用户请求，得到第一处理结果；所述数据库将所述第一处理结果通过第二代理转发至所述数据库端安全区域，所述第二代理控制所述数据端安全区域运行，并控制所述数据库端非安全区域睡眠；所述数据库端安全区域将所述第一处理结果发送至所述数据库网关端非安全区域，供所述数据库网关端非安全区域将所述第一处理结果返回给用户端。根据本申请的一方面提供一种网关数据第一交互装置，包括：第一接收模块，用于所述数据库网关端非安全区域将接收来自用户端的用户请求和用户身份信息通过第一代理转发至所述数据库网关端安全区域，所述第一代理控制所述数据网关端安全区域运行，并控制所述数据库网关端非安全区域睡眠；第一验证模块，用于所述数据库网关端安全区域接收所述用户请求和所述用户身份信息，并对所述用户请求和用户身份信息进行验证；第一远程证明模块，用于所述用户请求和所述用户身份信息验证通过后，所述数据库网关端安全区域向数据库端安全区域间发起远程证明；第一发送模块，用于远程证明成功后，数据库网关端安全区域将所述用户请求发送至所述数据库端安全区域，供所述数据库端安全区域执行所述用户请求；第一代理模块，用于接收来自所述数据库端安全区域根据请求结果进行处理的第一处理结果时，所述第一代理控制所述数据网关端非安全区域运行，并控制所述数据库网关端安全区域睡眠，通过所述数据库网关端非安全区域接收所述第一处理结果；第二代理模块，用于所述第一代理控制所述数据库网关端安全区域运行，并控制所述数据库网关端非安全区域睡眠，将所述第一处理结果通过第一代理转发至所述数据库网关端安全区域；第二接收模块，用于所述数据库网关端安全区域接收所述第一处理结果并将所述第一处理结果通过第一代理转发至所述数据库网关端非安全区域，所述第一代理控制所述数据库网关端非安全区域运行，并控制所述数据库网关端安全区域睡眠；第二发送模块，用于所述数据库网关端非安全区域将所述第一处理结果返回给所述用户端。根据本申请的一方面提供一种网关数据第二交互装置，包括：第二远程证明模块，用于接收到数据库网关端安全区域向所述数据库端安全区域间发起的远程证明时，所述数据库端安全区域与所述数据库网关端安全区域进行远程证明；第三接收模块，用于远程证明成功后，所述数据库端安全区域接收所述数据库网关端安全区域发送的用户请求；第三代理模块，用于所述数据库端安本文档来自技高网...

【技术保护点】
1.一种网关数据交互方法，所述方法应用于数据库网关端，所述数据库网关端被划分为安全区域和非安全区域，其特征在于，所述方法包括以下步骤：/n所述数据库网关端非安全区域将接收来自用户端的用户请求和用户身份信息通过第一代理转发至所述数据库网关端安全区域，所述第一代理控制所述数据网关端安全区域运行，并控制所述数据库网关端非安全区域睡眠；/n所述数据库网关端安全区域接收所述用户请求和所述用户身份信息，并对所述用户请求和用户身份信息进行验证；/n所述用户请求和所述用户身份信息验证通过后，所述数据库网关端安全区域向数据库端安全区域间发起远程证明；/n远程证明成功后，数据库网关端安全区域将所述用户请求发送至所述数据库端安全区域，供所述数据库端安全区域执行所述用户请求；/n接收来自所述数据库端安全区域根据请求结果进行处理的第一处理结果时，所述第一代理控制所述数据网关端非安全区域运行，并控制所述数据库网关端安全区域睡眠，通过所述数据库网关端非安全区域接收所述第一处理结果；/n所述第一代理控制所述数据库网关端安全区域运行，并控制所述数据库网关端非安全区域睡眠，将所述第一处理结果通过第一代理转发至所述数据库网关端安全区域；/n所述数据库网关端安全区域接收所述第一处理结果并将所述第一处理结果通过第一代理转发至所述数据库网关端非安全区域，所述第一代理控制所述数据库网关端非安全区域运行，并控制所述数据库网关端安全区域睡眠；/n所述数据库网关端非安全区域将所述第一处理结果返回给所述用户端。/n...

【技术特征摘要】
1.一种网关数据交互方法，所述方法应用于数据库网关端，所述数据库网关端被划分为安全区域和非安全区域，其特征在于，所述方法包括以下步骤：
所述数据库网关端非安全区域将接收来自用户端的用户请求和用户身份信息通过第一代理转发至所述数据库网关端安全区域，所述第一代理控制所述数据网关端安全区域运行，并控制所述数据库网关端非安全区域睡眠；
所述数据库网关端安全区域接收所述用户请求和所述用户身份信息，并对所述用户请求和用户身份信息进行验证；
所述用户请求和所述用户身份信息验证通过后，所述数据库网关端安全区域向数据库端安全区域间发起远程证明；
远程证明成功后，数据库网关端安全区域将所述用户请求发送至所述数据库端安全区域，供所述数据库端安全区域执行所述用户请求；
接收来自所述数据库端安全区域根据请求结果进行处理的第一处理结果时，所述第一代理控制所述数据网关端非安全区域运行，并控制所述数据库网关端安全区域睡眠，通过所述数据库网关端非安全区域接收所述第一处理结果；
所述第一代理控制所述数据库网关端安全区域运行，并控制所述数据库网关端非安全区域睡眠，将所述第一处理结果通过第一代理转发至所述数据库网关端安全区域；
所述数据库网关端安全区域接收所述第一处理结果并将所述第一处理结果通过第一代理转发至所述数据库网关端非安全区域，所述第一代理控制所述数据库网关端非安全区域运行，并控制所述数据库网关端安全区域睡眠；
所述数据库网关端非安全区域将所述第一处理结果返回给所述用户端。


2.根据权利要求1所述的网关数据交互方法，其特征在于，所述远程证明包括以下步骤：
所述数据库网关端安全区域向数据库端安全区域发起远程证明；
建立所述数据库网关端安全区域和所述数据库端安全区域间的第一安全信道；
所述数据库网关端对自身的可信计算基进行度量得到第一度量值，使用数据库网关端的证明证书对所述第一度量值进行签名生成第一签名信息；
所述数据库网关端安全区域将所述第一度量值和所述第一签名信息经所述第一安全信道发送至所述数据库端安全区域，供所述数据库端安全区域对所述第一度量值和所述第一签名信息进行验证，并在所述第一度量值和所述第一签名信息验证通过时反馈第二度量值和第二签名信息；
所述数据库网关端安全区域接收到所述数据库端安全区域发送的第二度量值和第二签名信息时，对所述第二度量值和所述第二签名信息进行验证；
所述第二度量值和所述第二签名信息验证通过时，所述远程证明成功，数据库网关端安全区域将所述用户请求发送至所述数据库端安全区域。


3.根据权利要求2所述的网关数据交互方法，其特征在于，所述对所述第二度量值和所述第二签名信息进行验证的步骤包括以下：
所述数据库网关端安全区域通过第一代理将所述第二度量值和所述第二签名信息发送至所述数据库网关端非安全区域，所述第一代理控制所述数据库网关端非安全区域运行，并控制所述数据库网关端安全区域睡眠；
所述数据库网关端非安全区域对所述第二度量值和所述第二签名信息进行验证，验证通过则生成第二验证报告并通过第一代理将所述第二验证报告发送至所述数据库网关端安全区域；
所述第一代理控制所述数据库网关端安全区域运行，并控制所述数据库网关端非安全区域睡眠，所述数据库网关端安全区域接收所述第二验证报告时确定所述数据库端可信，将所述用户请求发送至所述数据库端安全区域。


4.一种网关数据交互方法，所述方法应用于数据库端，所述数据库端被划分为安全区域和非安全区域，其特征在于，所述方法包括以下步骤：
接收到数据库网关端安全区域向所述数据库端安全区域间发起的远程证明时，所述数据库端安全区域与所述数据库网关端安全区域进行远程证明；
远程证明成功后，所述数据库端安全区域接收所述数据库网关端安全区域发送的用户请求；
所述数据库端安全区域将所述用户请求通过第二代理转发至所述数据库端非安全区域，所述第二代理控制所述数据端非安全区域运行，并控制所述数据库端安全区域睡眠；
所述数据库端非安全区域调用数据库执行所述用户请求，得到第一处理结果；
所述数据库将所述第一处理结果通过第二代理转发至所述数据库端安全区域，所述第二代理控制所述数据端安全区域运行，并控制所述数据库端非安全区域睡眠；
所述数据库端安全区域将所述第一处理结果发送至所述数据库网关端非安全区域，供所述数据库网关端非安全区域将所述第一处理结果返回给用户端。


5.根据权利要求4所述的网关数据交互方法，其特征在于，所述远程证明包括以下步骤：
建立所述数据库端安全区域和所述数据库网关端安全区域间的第二安全信道；
所述数据库端安全...

【专利技术属性】
技术研发人员：郭泰彪，陈晓红，胡东滨，
申请(专利权)人：湖南红普创新科技发展有限公司，
类型：发明
国别省市：湖南;43