本申请公开了一种数据库加密后的审计处理方法和装置,该方法包括:从待审计的会话中抓取与数据库进行交互的数据包,其中,抓取到数据包用于审计;判断所述数据包中的数据是否为加密数据,如果是加密数据则获取所述会话的标识信息;在所述数据库存储密钥的空间中查找该标识信息所对应的密钥;使用所述会话的标识信息对应的密钥对抓取到的基于所述会话的数据包进行解密;将解密后的所述数据包发往审计功能进行审计。功能进行审计。功能进行审计。
【技术实现步骤摘要】
一种数据库加密后的审计处理方法和装置
[0001]本申请涉及到数据处理领域,具体而言,涉及一种数据库加密后的审计处理方法和装置。
技术介绍
[0002]在一些数据库中支持高级加密,例如,在oracle中明数据加密包括列加密和表空间加密,这就是一种高级加密。在高级加密中,表空间加密可以加密整个表空间,该表空间里创建的对象加密和自动解密,加密表空间里的所有数据以加密的格式被存储在磁盘上;有必要的权限来查看或修改的授权用户可以透明解密数据。表空间的密钥单独保存。
[0003]另外,还有一种情况,是在数据传输过程中还有可能进行的加密,上述加密方式,对于数据库来说是比较安全的,但是对于数据审计来说在现有技术中没有获取高级加密密钥的方式,因此,无法对于高级加密的数据库内容进行审计。
技术实现思路
[0004]本申请实施例提供了一种数据库加密后的审计处理方法和装置,以至少解决现有技术中无法对高级加密的数据库中的数据进行审计的问题。
[0005]根据本申请的一个方面,提供了一种数据库加密后的审计处理方法,包括:从待审计的会话中抓取与数据库进行交互的数据包,其中,抓取到数据包用于审计;判断所述数据包中的数据是否为加密数据,如果是加密数据则获取所述会话的标识信息;在所述数据库存储密钥的空间中查找该标识信息所对应的密钥;使用所述会话的标识信息对应的密钥对抓取到的基于所述会话的数据包进行解密;将解密后的所述数据包发往审计功能进行审计。
[0006]进一步地,在所述数据库存储密钥的空间中查找该标识信息所对应的密钥包括:使用预先配置的账号在所述数据库存储密钥的空间中查找所述标识信息对应的密钥,其中,所述预先配置的账号是配置在所述数据库上的,所述预先配置的账号与所述数据库为互信账号,其中,所述互信账号具有查找密钥的权限。
[0007]进一步地,在所述数据库存储密钥的空间为数据库中的一张表的情况下,所述预先配置的账号预先被赋予读取所述表的权限。
[0008]进一步地,还包括:将未解密的所述数据包和所述密钥发往所述审计功能进行保存。
[0009]根据本申请的另一个方面,还提供了一种数据库加密后的审计处理装置,包括:抓取模块,用于从待审计的会话中抓取与数据库进行交互的数据包,其中,抓取到数据包用于审计;判断模块,用于判断所述数据包中的数据是否为加密数据,如果是加密数据则获取所述会话的标识信息;查找模块,用于在所述数据库存储密钥的空间中查找该标识信息所对应的密钥;解密模块,用于使用所述会话的标识信息对应的密钥对抓取到的基于所述会话的数据包进行解密;发送模块,用于将解密后的所述数据包发往审计功能进行审计。
[0010]进一步地,所述查找模块用于:使用预先配置的账号在所述数据库存储密钥的空间中查找所述标识信息对应的密钥,其中,所述预先配置的账号是配置在所述数据库上的,所述预先配置的账号与所述数据库为互信账号,其中,所述互信账号具有查找密钥的权限。
[0011]进一步地,在所述数据库存储密钥的空间为数据库中的一张表的情况下,所述预先配置的账号预先被赋予读取所述表的权限。
[0012]进一步地,所述发送模块还用于:将未解密的所述数据包和所述密钥发往所述审计功能进行保存。
[0013]根据本申请的另一个方面,还提供了一种处理器,用于运行软件,所述软件用于执行上述的方法。
[0014]根据本申请的另一个方面,还提供了一种存储器,用于存储软件,所述软件用于执行上所述的方法。
[0015]在本申请实施例中,采用了从待审计的会话中抓取与数据库进行交互的数据包,其中,抓取到数据包用于审计;判断所述数据包中的数据是否为加密数据,如果是加密数据则获取所述会话的标识信息;在所述数据库存储密钥的空间中查找该标识信息所对应的密钥;使用所述会话的标识信息对应的密钥对抓取到的基于所述会话的数据包进行解密;将解密后的所述数据包发往审计功能进行审计。通过本申请解决了现有技术中无法对高级加密的数据库中的数据进行审计的问题,为审计数据库中高级加密的数据提供了可能。
附图说明
[0016]构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:图1是根据本申请实施例的数据库加密后的审计处理方法的流程图。
具体实施方式
[0017]需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
[0018]需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
[0019]在本实施例中提供了一种数据库加密后的审计处理方法,图1是根据本申请实施例的数据库加密后的审计处理方法的流程图,如图1所示,该流程包括如下步骤:步骤S102,从待审计的会话中抓取与数据库进行交互的数据包,其中,抓取到数据包用于审计;步骤S104,判断所述数据包中的数据是否为加密数据,如果是加密数据则获取所述会话的标识信息;步骤S106,在所述数据库存储密钥的空间中查找该标识信息所对应的密钥;在一个可选的实施方式中,可以使用预先配置的账号在所述数据库存储密钥的空间中查找所述标识信息对应的密钥,其中,所述预先配置的账号是配置在所述数据库上的,所述预先配置的账号与所述数据库为互信账号,其中,所述互信账号具有查找密钥的权限。
[0020]存储密钥的空间可能存在多种方式,在所述数据库存储密钥的空间为数据库中的一张表的情况下,所述预先配置的账号预先被赋予读取所述表的权限。
[0021]步骤S108,使用所述会话的标识信息对应的密钥对抓取到的基于所述会话的数据包进行解密;由于解密的过程会消耗资源,在一个可以选择增加的实施方式中,抓取数据包使用第一进程,对抓取到的数据进行解密可以使用第二进程,其中,所述第一进程和所述第二进程为不同的进程。这样可以有效提高解密速度。可选地,还可判断所述第二进程占用的资源的情况,如果所述第二进程占用的计算资源大于阈值,则说明解密消耗了大量的资源,此时可以将未解密的数据包发往另一个服务器中的解密服务,在发送未解密数据包的时候,将获取到的密钥也发往所述另一个服务器中的解密服务。这样可以使用单独的服务器进行解密提高解密速度。
[0022]使用默认的解密算法进行解密,其中,所述解密算法是预先从所述数据库获取到的。在使用所述默认的解密算法解密失败的情况下,获取所述会话信息中会话标识,根据所述会话标识从所述数据库中获取解密算法,如果获取到对应的解密算法,则使用该解密算法进行解密。
[0023]在无法获取到解密算法、或者无法获取到解密秘钥、或者解密失败的情况下,从所述会话中获取访问数据库的访问方,并将所述访问方的信息(例如,所述访问方发起访问所使用的网络地址信息、所述访问方访问所述数据库使用的用户名和密码等本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据库加密后的审计处理方法,其特征在于,包括:从待审计的会话中抓取与数据库进行交互的数据包,其中,抓取到数据包用于审计;判断所述数据包中的数据是否为加密数据,如果是加密数据则获取所述会话的标识信息;在所述数据库存储密钥的空间中查找该标识信息所对应的密钥;使用所述会话的标识信息对应的密钥对抓取到的基于所述会话的数据包进行解密;将解密后的所述数据包发往审计功能进行审计。2.根据权利要求1所述的方法,其特征在于,在所述数据库存储密钥的空间中查找该标识信息所对应的密钥包括:使用预先配置的账号在所述数据库存储密钥的空间中查找所述标识信息对应的密钥,其中,所述预先配置的账号是配置在所述数据库上的,所述预先配置的账号与所述数据库为互信账号,其中,所述互信账号具有查找密钥的权限。3.根据权利要求2所述的方法,其特征在于,在所述数据库存储密钥的空间为数据库中的一张表的情况下,所述预先配置的账号预先被赋予读取所述表的权限。4.根据权利要求1至3中任一项所述的方法,其特征在于,还包括:将未解密的所述数据包和所述密钥发往所述审计功能进行保存。5.一种数据库加密后的审计处理装置,其特征在于,包括:抓取模块,用于从待审计的会话中抓取与数据库进行交互的数据包,其中,...
【专利技术属性】
技术研发人员:杨海峰,李彦君,
申请(专利权)人:北京安华金和科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。