一种面向隐私计算的可扩容数据细粒度访问控制系统技术方案

本发明专利技术通过网络安全领域的方法，实现了一种面向隐私计算的可扩容数据细粒度访问控制系统。通过设置管理中心服务、高可用代理、数据代理服务三个部分构成一个完整的功能系统；管理中心服务由管理员管理，设置管理认证用户、管理安全防护策略，以及将策略规则下发到数据代理服务和高可用代理的下发规则策略三个功能模块；高可用代理通过代理端口转发给数据库代理服务；数据代理服务串行在业务系统跟数据库之间控制业务系统对数据库的访问。本发明专利技术提供的系统通过动态增加数据库代理服务的方式，实现了对高并发数据库请求下的，数据访问控制能力的横向扩展；通过对SQL进行深度解析实现更加精细的业务系统或数据库管理员对数据库的访问控制。的访问控制。的访问控制。

【技术实现步骤摘要】
一种面向隐私计算的可扩容数据细粒度访问控制系统


[0001]本专利技术涉及数据安全
，尤其涉及一种面向隐私计算的可扩容数据细粒度访问控制系统。

技术介绍

[0002]在隐私计算平台处理数据之前，常常需要缓存待处理数据到本地数据库中，而在运维过程中，这些敏感数据可能被数据库管理员或三方数据库运维人员进行访问。本系统串入到隐私计算平台与数据库之间，通过对数据库请求的访问控制，实现对敏感数据的安全防护。另外隐私计算平台常常需要部署在开放网络上，与异地对方隐私节点进行数据交换计算，这样就容易受到来自互联网的攻击和入侵，数据安全存在较大风险。而本系统也可以通过访问控制与异常行为分析解决此类问题。
[0003]目前数据库访问控制技术，主要采用单机或主备方式串入在业务系统与数据库之间，对每次数据库请求进行授权判断。这种方式在负载变大时，需要手动增加新的控制节点，无法实现快速扩容，而本系统支持云化部署，并可通过动态扩容支撑大量的数据库请求的访问控制；另外一方面，现有访问控制策略主要为目的IP地址、数据库名、表、字段，但缺少源IP地址、时间窗口等更细粒度的访问控制；最后本系统支持传统数据库、大数据库等多种数据库协议的深度解析，并且具有攻击脚本检测能力，防止数据使用不合规、恶意窃取等安全事件发生。
[0004]目前的数据库安全防护技术存在以下不足：
[0005]1)当数据库请求访问负载突然增大后，往往无法及时扩容来支撑大量的访问请求。
[0006]2)对用户连接数据库请求很难做到更加细粒度的访问控制，如：数据库字段，源IP地址、时间维度的控制等。无法满足灵活多变的访问控制需求。
[0007]3)目前此类系统支持的数据库协议相对比较少，而且不具备深度协议解析与异常行为分析能力。而本系统支持很多主流的关系型数据库、非关系型数据库协议，以及大数据平台协议。同时通过协议的深度解析，实现对内容还原，并基于内置的异常行为检测脚本，实现对不合规操作，以及攻击行为进行告警。

技术实现思路

[0008]为此，本专利技术首先提出一种面向隐私计算的可扩容数据细粒度访问控制系统，通过设置管理中心服务、高可用代理、数据代理服务三个部分构成一个完整的功能系统；其中管理中心服务由管理员管理，设置管理认证用户、管理安全防护策略，以及将策略规则下发到数据代理服务和高可用代理的下发规则策略三个功能模块；
[0009]所述高可用代理部分用可横向扩展的技术部署方案，数据库管理员和业务系统发送接收访问数据库的数据包，通过代理端口转发给数据库代理服务；
[0010]所述数据代理服务设置代理层和控制层结构，串行在业务系统跟数据库之间，接
收业务系统访问数据库资产的请求报文，分析报文内容，结合安全访问策略内容来控制业务系统对数据库的访问。
[0011]所述高可用代理服务的具体架构为：采用可横向扩展的部署方案处理高并发的数据请求，实现策略解析、数据请求转发，所述策略解析具体过程为：解析管理中心服务下发的端口映射策略规则，根据策略规则中的内容，启动端口映射代理进程；所述数据请求转发具体过程为：数据请求转发按照代理端口映射规则，将接收的数据请求转发到目的主机的端口上，完成数据请求转发；
[0012]同时在高并发负载情况下，通过监控代理服务的keepalived节点负载情况，动态增加keepalived节点和代理节点，并将新的大量数据库连接请求转发到新增的数据代理服务节点上，实现数据代理服务对高并发的数据库请求的支持；
[0013]通过数据代理服务对业务系统访问数据库的报文进行分析实现更细粒度的数据访问控制，并结合细粒度的访问控制策略，更加精细地控制到表字段级别、时间维度；
[0014]数据库代理服务接收业务系统连接数据请求报文后，解析报文内容，提取报文中的sql脚本、操作用户。之后再解析sql脚本，获取脚本中操作数据库指令、目标数据库、表、字段信息，并结合管理中心服务下发的安全访问控制策略控制数据库访问。
[0015]所述动态增加keepalived节点和代理节点，并将新的大量数据库连接请求转发到新增的数据代理服务节点的具体方法为：首先将数据代理服务封装成Docker容器：将keepalived服务封装到容器中，以便在增加keepalived节点的时候快速部署；之后发布Docker容器：将容器发布到云平台，供下一步动态增加代理服务节点使用；之后设定keepalived负载指标：对keepalived节点设置负载值，当节点的负载数据接近这个指标值时，说明当前节点压力较大，不再接收新的连接请求；接着循环检查keepalived负载情况：高可用代理服务通过循环检查keepalived节点的负载情况，判断是否达到了负载要求，当每个节点都达到了负载指定的数值，需要新增keepalived节点，分担连接请求压力；之后增加代理服务节点：从云服务上下载Docker容器，启动并部署新的keepalived节点；最后设置转发规则：将新增的数据库连接请求分配到新增的keepalived节点，分担代理服务的连接压力。定期循环检查keepalived节点的负载情况，确保代理服务稳定工作。
[0016]所述结合管理中心服务下发的安全访问控制策略控制数据库访问的具体方法为：在接收业务系统请求报文后，通过十二个步骤实现，其中步骤一为代理服务首先接收业务系统连接数据请求报文，读取报文的全部内容；步骤二为解析报文内容：得到全部的报文内容后，对报文内容进行解析，得到数据库请求的内容；步骤三为提取操作数据库信息：通过对请求数据库内容的分析，提取报文中的sql脚本、操作用户，解析sql脚本，获取脚本中操作数据库指令、目标数据库、表、字段信息；步骤四为遍历安全访问策略：循环遍历中心服务端下发的安全防护策略，用数据库请求信息中的内容对策略进行匹配；步骤五为通过用户名筛选策略：通过请求信息中的用户名进行策略匹配；如果匹配进行下一步判断；步骤六为通过数据库名称筛选策略：通过数据库名称筛选：通过请求信息中的数据库名称对当前策略进行筛选，如果符合进行下一步筛选；步骤七为通过表名称进行筛选策略：通过请求信息中的表名称对当前策略进行筛选，如果匹配进行下一步筛选；步骤八为通过字段名称筛选策略：通过请求信息中的字段内容进行策略筛选判断是否匹配，如果匹配进行下一步验证；步骤九为验证策略是否匹配：对通过步骤五到步骤八筛选匹配出来的策略进行验证，判断
是否匹配，如果匹配，进行下一步验证；步骤十为验证时间是否匹配：根据当前时间验证策略中要求的时间是否匹配，如果匹配，当前策略命中，将当前策略中规定的放行或阻断结果作为验证结果返回到代理层，进行处理；步骤十一为生成阻断报文：如果策略阻断当前请求，则生成阻断报文；并将阻断报文返回给业务系统；步骤十二为发送原始报文都给数据库：如果策略放行当前请求，则将原始报文发送到数据库，完成业务请求；
[0017]所述数据代理服务作为数据库代理服务，串行在业务系统跟数据库之间，内部设置有代理层和控制层层两个模块，其中代理层本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向隐私计算的可扩容数据细粒度访问控制系统，其特征在于：通过设置管理中心服务、高可用代理、数据代理服务三个部分构成一个完整的功能系统；其中管理中心服务由管理员管理，设置管理认证用户、管理安全防护策略，以及将策略规则下发到数据代理服务和高可用代理的下发规则策略三个功能模块；所述高可用代理部分用可横向扩展的技术部署方案，数据库管理员和业务系统发送接收访问数据库的数据包，通过代理端口转发给数据库代理服务；所述数据代理服务设置代理层和控制层结构，串行在业务系统跟数据库之间，接收业务系统访问数据库资产的请求报文，分析报文内容，结合安全访问策略内容来控制业务系统对数据库的访问。2.如权利要求1所述的一种面向隐私计算的可扩容数据细粒度访问控制系统，其特征在于：所述高可用代理服务的具体架构为：采用可横向扩展的部署方案处理高并发的数据请求，实现策略解析、数据请求转发，所述策略解析具体过程为：解析管理中心服务下发的端口映射策略规则，根据策略规则中的内容，启动端口映射代理进程；所述数据请求转发具体过程为：数据请求转发按照代理端口映射规则，将接收的数据请求转发到目的主机的端口上，完成数据请求转发；同时在高并发负载情况下，通过监控代理服务的keepalived节点负载情况，动态增加keepalived节点和代理节点，并将新的大量数据库连接请求转发到新增的数据代理服务节点上，实现数据代理服务对高并发的数据库请求的支持；通过数据代理服务对业务系统访问数据库的报文进行分析实现更细粒度的数据访问控制，并结合细粒度的访问控制策略，更加精细地控制到表字段级别、时间维度；数据库代理服务接收业务系统连接数据请求报文后，解析报文内容，提取报文中的sql脚本、操作用户。之后再解析sql脚本，获取脚本中操作数据库指令、目标数据库、表、字段信息，并结合管理中心服务下发的安全访问控制策略控制数据库访问。3.如权利要求2所述的一种面向隐私计算的可扩容数据细粒度访问控制系统，其特征在于：所述动态增加keepalived节点和代理节点，并将新的大量数据库连接请求转发到新增的数据代理服务节点的具体方法为：首先将数据代理服务封装成Docker容器：将keepalived服务封装到容器中，以便在增加keepalived节点的时候快速部署；之后发布Docker容器：将容器发布到云平台，供下一步动态增加代理服务节点使用；之后设定keepalived负载指标：对keepalived节点设置负载值，当节点的负载数据接近这个指标值时，说明当前节点压力较大，不再接收新的连接请求；接着循环检查keepalived负载情况：高可用代理服务通过循环检查keepalived节点的负载情况，判断是否达到了负载要求，当每个节点都达到了负载指定的数值，需要新增keepalived节点，分担连接请求压力；之后增加代理服务节点：从云服务上下载Docker容器，启动并部署新的keepalived节点；最后设置转发规则：将新增的数据库连接请求分配到新增的keepalived节点，分担代理服务的连接压力。定期循环检查keepalived节点的负载情况，确保代理服务稳定工作。4.如权利要求3所述的一种面向隐私计算的可扩容数据细粒度访问控制系统，其特征在于：所述结合管理中心服务下发的安全访问控制策略控制数据库访问的具体方法为：在接收业务系统请求报文后，通过十二个步骤实现，其中步骤一为代理服务首先接收业务系统连接数据请求报文，读取报文的全部内容；步骤二为解析报文内容：得到全部的报文内容
后，...

【专利技术属性】
技术研发人员：刘旭东，李博，薛晨，刘永生，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：