数据库审计方法、装置、设备、系统及存储介质制造方法及图纸

本申请实施例提供了一种数据库审计方法、装置、设备、系统及存储介质。方法包括：获取请求端发送的数据处理请求；在数据处理请求为能够访问加密数据库的合法请求时，则在可信执行环境中，生成与数据处理请求相对应的日志信息，日志信息中包括加密数据库发送的与数据处理请求相对应的数据处理结果；将数据处理结果发送至请求端，并将日志信息加密存储在可信执行环境中。本申请所提供的技术方案，有效地实现了在可信执行环境中实现对日志信息的生成操作，并且将日志信息存储在可信执行环境中，保证了对加密数据库的所有访问操作都在可信执行环境中被诚实完整地记录下来，从而避免审计日志出现被篡改的情况，并能够实现事后的追根溯源操作。根溯源操作。根溯源操作。

【技术实现步骤摘要】
数据库审计方法、装置、设备、系统及存储介质


[0001]本申请涉及数据库
，尤其涉及一种数据库审计方法、装置、设备、系统及存储介质。

技术介绍

[0002]数据库审计(Database Auditing，简称DB Audit)是以安全事件为中心，以全面审计和精确审计为基础，实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行实时告警。
[0003]现有的数据库审计主要有两种实现方式：(1)数据库服务端审计，此种方式主要依赖于在数据库内部逻辑进行插桩，以记录用户操作信息。(2)网络通信监督审计，此种方式主要依赖于网络拦截监督技术记录用户操作信息。然而，上述数据库审计的实现方式虽然能够对用户的操作进行一一记录，但是无法保证审计日志中内容的正确性。

技术实现思路

[0004]本申请实施例提供一种数据库审计方法、装置、设备、系统及存储介质，能够在可信执行环境中生成审计日志，并且可以将所生成的审计日志加密存储在可信执行环境中，有效地降低了甚至防止了日志信息被篡改的风险，进而保证了审计日志中内容的正确性。
[0005]第一方面，本申请实施例提供了一种数据库审计方法，包括：
[0006]获取请求端发送的数据处理请求；
[0007]在所述数据处理请求为能够访问加密数据库的合法请求时，则在可信执行环境中，生成与所述数据处理请求相对应的日志信息，所述日志信息中包括所述加密数据库发送的与所述数据处理请求相对应的数据处理结果；
[0008]将所述数据处理结果发送至请求端，并将所述日志信息加密存储在所述可信执行环境中。
[0009]第二方面，本申请实施例提供了一种数据库审计装置，包括：
[0010]第一获取模块，用于获取请求端发送的数据处理请求；
[0011]第一生成模块，用于在所述数据处理请求为能够访问加密数据库的合法请求时，则在可信执行环境中，生成与所述数据处理请求相对应的日志信息，所述日志信息中包括所述加密数据库发送的与所述数据处理请求相对应的数据处理结果；
[0012]第一处理模块，用于将所述数据处理结果发送至请求端，并将所述日志信息加密存储在所述可信执行环境中。
[0013]第三方面，本申请实施例提供了一种电子设备，包括：存储器、处理器；其中，所述存储器用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器执行时实现上述第一方面所示的数据库审计方法。
[0014]第四方面，本专利技术实施例提供了一种计算机存储介质，用于储存计算机程序，所述计算机程序使计算机执行时实现上述第一方面所示的数据库审计方法。
[0015]第五方面，本专利技术实施例提供了一种计算机程序产品，包括：存储有计算机指令的计算机可读存储介质，当所述计算机指令被一个或多个处理器执行时，致使所述一个或多个处理器执行上述第一方面的数据库审计方法中的步骤。
[0016]第六方面，本专利技术实施例提供了一种数据库审计系统，包括：
[0017]请求端，用于生成数据处理请求，并将所述数据处理请求发送至数据库审计装置；
[0018]数据库审计装置，用于获取请求端发送的数据处理请求；在所述数据处理请求为能够访问加密数据库的合法请求时，则在可信执行环境中，生成与所述数据处理请求相对应的日志信息，所述日志信息中包括所述加密数据库发送的与所述数据处理请求相对应的数据处理结果；将所述数据处理结果发送至请求端，并将所述日志信息加密存储在所述可信执行环境中；
[0019]所述请求端，用于获取所述数据处理结果。
[0020]本申请实施例提供的技术方案，通过获取请求端发送的数据处理请求，在所述数据处理请求为能够访问加密数据库的合法请求时，则在可信执行环境中生成与所述数据处理请求相对应的日志信息，并将所述日志信息加密存储在所述可信执行环境中，有效地实现了可以在可信执行环境中生成日志信息，并将所生成的日志信息存储在可信执行环境中，保证了对加密数据库的所有访问操作都在可信执行环境中被诚实完整地记录下来，从而有效地避免了日志信息可能被恶意程序利用、遭受攻击后被篡改和破坏日志信息的情况出现，解决了审计日志与事后的追根溯源问题，进而提高了数据库审计操作运行的安全可靠性，保证了该方法的实用性。
附图说明
[0021]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0022]图1为本申请实施例提供的用于实现数据库审计方法的系统架构示意图；
[0023]图2为本申请实施例提供的一种数据库审计方法的流程示意图；
[0024]图3为本申请实施例提供的生成与所述数据处理请求相对应的日志信息的流程示意图；
[0025]图4为本申请实施例提供的另一种数据库审计方法的流程示意图；
[0026]图5为本申请实施例提供的基于所述数据处理请求访问所述加密数据库的流程示意图；
[0027]图6为本申请实施例提供的又一种数据库审计方法的流程示意图；
[0028]图7为本申请实施例提供的再一种数据库审计方法的流程示意图；
[0029]图8为本申请实施例提供的另一种数据库审计方法的流程示意图；
[0030]图9为本申请实施例提供的将所述日志信息加密存储在所述可信执行环境中的流程示意图；
[0031]图10为本申请实施例提供的又一种数据库审计方法的流程示意图；
[0032]图11为本申请应用实施例提供的一种数据库审计方法的时序图；
[0033]图12为本申请应用实施例提供的日志加密存储的结构示意图；
[0034]图13为本申请实施例提供的一种数据库审计装置的结构示意图；
[0035]图14为图13所示的数据库审计装置所对应的电子设备的结构示意图。
具体实施方式
[0036]为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0037]在本申请实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义，“多种”一般包含至少两种，但是不排除包含至少一种的情况。
[0038]应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据库审计方法，包括：获取请求端发送的数据处理请求；在所述数据处理请求为能够访问加密数据库的合法请求时，则在可信执行环境中，生成与所述数据处理请求相对应的日志信息，所述日志信息中包括所述加密数据库发送的与所述数据处理请求相对应的数据处理结果；将所述数据处理结果发送至请求端，并将所述日志信息加密存储在所述可信执行环境中。2.根据权利要求1所述的方法，在可信执行环境中，生成与所述数据处理请求相对应的日志信息，包括：在所述可信执行环境中，确定与所述数据处理请求相对应的操作符信息；记录所述加密数据库返回的与所述数据处理请求相对应的数据处理结果；在所述可信执行环境中，基于所述数据处理请求、所述数据处理结果和所述操作符信息，生成所述日志信息。3.根据权利要求1所述的方法，在获取请求端发送的数据处理请求之后，所述方法还包括：在所述可信执行环境中，对所述数据处理请求进行合法性识别；在所述数据处理请求为合法请求时，则允许基于所述数据处理请求访问所述加密数据库；在所述数据处理请求为非法请求时，则禁止基于所述数据处理请求访问所述加密数据库。4.根据权利要求3所述的方法，基于所述数据处理请求访问所述加密数据库，包括：获取与所述数据处理请求相对应的第一登录信息；在所述可信执行环境中，确定与所述第一登录信息相对应的第二登录信息；基于所述第二登录信息访问所述加密数据库。5.根据权利要求3所述的方法，对所述数据处理请求进行合法性识别，包括：在所述可信执行环境中，获取用于标识能够合法登录加密数据库的至少一个标准登录信息；确定与数据处理请求相对应的请求登录信息；基于所述请求登录信息和所述至少一个标准登录信息进行身份认证。6.根据权利要求5所述的方法，在获取用于标识能够合法登录加密数据库的至少一个标准登录信息之前，所述方法还包括：获取登录信息建立请求；基于所述登录信息建立请求，建立至少一个标准登录信息；将所述至少一个标准登录信息加密存储在所述可信执行环境中。7.根据权利要求6所述的方法，在将所述至少一个标准登录信息加密存储在所述可信执行环境中之后，所述方法还包括：获取用于对所述至少一个标准登录信息进行加密存储的登录信息密钥；将所述登录信息密钥加密存...

【专利技术属性】
技术研发人员：宋少威，汪晟，李飞飞，李明煜，夏虞斌，
申请(专利权)人：阿里巴巴中国有限公司，
类型：发明
国别省市：