《一种保护数据库的方法.pdf》由会员分享,可在线阅读,更多相关《一种保护数据库的方法.pdf(6页完整版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 102508931 A (43)申请公布日 2012.06.20 C N 1 0 2 5 0 8 9 3 1 A *CN102508931A* (21)申请号 201110409951.0 (22)申请日 2011.12.12 G06F 17/30(2006.01) G06F 21/22(2006.01) (71)申请人山东瀚高科技有限公司 地址 250100 山东省济南市历城区红楼南路 44号 (72)发明人权宗亮 卢健 韩永利 (54) 发明名称 一种保护数据库的方法 (57) 摘要 本发明提供一种保护数据库的方法,包括由 验证机制和若干规则组成的保护层,每个规则。
2、包 含一种允许或拒绝访问数据库的验证定义,当接 收到用户访问请求时,在到达数据库进行用户/ 密码对验证之前,由保护层对该连接请求进行验 证,根据所有规则定义判定允许还是拒绝该请求, 本方法可以使被保护数据库只能被指定范围的网 络域访问,能够保证即使在数据库内部用户和密 码泄露的墙况下,也能有效阻断数据泄露的可能 性。客户连接必须符合指定的传输和验证方式,通 过本方法可以强制要求传输过程加密和采用更加 严格的验证方式,防止通过网络偷窥获得密码和 数据。 (51)Int.Cl. 权利要求书1页 说明书3页 附图1页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 1 页 说。
3、明书 3 页 附图 1 页 1/1页 2 1.一种保护数据库的方法,其特征在于,包括由验证机制和若干规则组成的保护层,每 个规则包含一种允许或拒绝访问数据库的验证定义,当接收到用户访问请求时,在到达数 据库进行用户/密码对验证之前,由保护层对该连接请求进行验证,根据所有规则定义判 定允许还是拒绝该请求,验证步骤如下: 1)包括网络或本地访问客户端发起连接请求,保护层接收请求并获取该请求的详细信 息; 2)针对每一个规则定义循环验证; a)如果是物理地址规则,进入物理地址验证步骤b),否则进入d); b)如果发起请求的物理地址不匹配当前规则定义物理地址或范围,返回a);如果当前 规则不允许发起请。
4、求的客户端物理地址访问数据库,拒绝本次请求,否则进入步骤c); c)如果当前规则要求绑定逻辑地址,验证发起请求的逻辑地址是否与当前规则指定的 逻辑地址或范围匹配,若不匹配则拒绝本次申请,匹配则进入加密验证步骤e); d)如果发起请求的逻辑地址与当前规则定义的逻辑地址或范围不匹配,返回a);若当 前规则不允许发起请求的客户端逻辑地址访问数据库,拒绝本次请求,否则进入步骤e); e)如果发起请求的客户端发出的请求采用的加密方式没有满足当前规则要求的加密 等级,拒绝本次请求,否则进入步骤f); f)如果发起请求的客户端采用的数据库“用户/密码对”验证方式不符合当前规则要 求的方式,拒绝本次请求,否则。
5、将该请求转发至数据库进入步骤4; 3)如果没有任何规则允许本次请求访问数据库,拒绝并结束验证过程; 4)数据库对“用户/密码对”验证后将结果通知保护层,如果本次请求通过了数据库验 证,保护层允许该请求继续访问数据库,如果没有通过数据库验证,拒绝本次请求并结束验 证过程。 权 利 要 求 书CN 102508931 A 1/3页 3 一种保护数据库的方法 技术领域 0001 本发明涉及计算机技术领域,具体地说是一种保护数据库系统免受攻击和消除潜 在威胁的保护数据库的方法。 背景技术 0002 传统数据库系统一般采用用户/密码对的保护方式,该方法能够一定程度上保护 数据安全。但是面对日益复杂的网络。
6、结构,以及潜在系统漏洞的不可预知性,传统方法已经 无法全面保护数据库。数据库使用的若干端口不得不要求系统防火墙开放,这样才能允许 外部应用的访问,此时系统防火墙对数据库的直接保护已经失去作用,数据库已经对整个 网络开放。现在计算机系统越来越强大,运行的各种软硬件也越来越复杂,随之而来的是更 多各种安全漏洞,如何保证数据安全已经是当代计算机技术的一个重大课题。同时,网络技 术的发展和应用,也使得数据库用户自身的网络结构越来越复杂,接入的网络设备型号和 品牌越来越庞杂,复杂网络环境下的数据保护问题越来越受到数据库用户的密切关注。 发明内容 0003 本发明的技术任务是解决现有技术的不足,提供一种新。
7、式保护数据库的方法。 0004 本发明的技术方案是按以下方式实现的,包括由验证机制和若干规则组成的保护 层,每个规则包含一种允许或拒绝访问数据库的验证定义,当接收到用户访问请求时,在到 达数据库进行用户/密码对验证之前,由保护层对该连接请求进行验证,根据所有规则定 义判定允许还是拒绝该请求,验证步骤如下: 0005 1)包括网络或本地访问客户端发起连接请求,保护层接收请求并获取该请求的详 细信息; 0006 2)针对每一个规则定义循环验证; 0007 g)如果是物理地址规则,进入物理地址验证步骤b),否则进入d); 0008 h)如果发起请求的物理地址不匹配当前规则定义物理地址或范围,返回a)。
8、;如 果当前规则不允许发起请求的客户端物理地址访问数据库,拒绝本次请求,否则进入步骤 c); 0009 i)如果当前规则要求绑定逻辑地址,验证发起请求的逻辑地址是否与当前规则指 定的逻辑地址或范围匹配,若不匹配则拒绝本次申请,匹配则进入加密验证步骤e); 0010 j)如果发起请求的逻辑地址与当前规则定义的逻辑地址或范围不匹配,返回 0011 k)a);若当前规则不允许发起请求的客户端逻辑地址访问数据库,拒绝本次请求, 否则进入步骤e); 0012 l)如果发起请求的客户端发出的请求采用的加密方式没有满足当前规则要求的 加密等级,拒绝本次请求,否则进入步骤f); 0013 m)如果发起请求的客。
9、户端采用的数据库“用户/密码对”验证方式不符合当前规 则要求的方式,拒绝本次请求,否则将该请求转发至数据库进入步骤4; 说 明 书CN 102508931 A 2/3页 4 0014 3)如果没有任何规则允许本次请求访问数据库,拒绝并结束验证过程; 0015 4)数据库对“用户/密码对”验证后将结果通知保护层,如果本次请求通过了数据 库验证,保护层允许该请求继续访问数据库,如果没有通过数据库验证,拒绝本次请求并结 束验证过程。 0016 本发明的有益效果是:本方法在现有传统的数据库用户认证机制之上增加了更严 密的防护,所有试图连接数据库的请求在到达数据库进行验证之前,首先对发起请求的客 户端逻。
10、辑和物理地址进行验证。本方法可以使被保护数据库只能被指定范围的网络域访 问,能够保证即使在数据库内部用户和密码泄露的墙况下,也能有效阻断数据泄露的可能 性。客户连接必须符合指定的传输和验证方式,通过本方法可以强制要求传输过程加密和 采用更加严格的验证方式,防止通过网络偷窥获得密码和数据。 附图说明 0017 图1是验证步骤流程图; 具体实施方式 0018 下面结合附图对本发明的保护数据库的方法作进一步详细说明。 0019 本发明的保护数据库的方法,包括由验证机制和若干规则组成的保护层,每个规 则包含一种允许或拒绝访问数据库的验证定义,当接收到用户访问请求时,在到达数据库 进行用户/密码对验证之。
11、前,由保护层对该连接请求进行验证,根据所有规则定义判定允 许还是拒绝该请求。验证过程如下图所示: 0020 1)访问客户端(网络或本地)发起连接请求,保护层接收请求并获取该请求的详 细信息; 0021 2)针对每一个规则定义循环验证; 0022 n)如果是物理地址规则,进入物理地址验证步骤b),否则进入d); 0023 o)如果发起请求的物理地址不匹配当前规则定义的物理地址或范围,返回a)采 用下一条规则继续验证过程;如果当前规则不允许发起请求的客户端物理地址访问数据 库,拒绝本次请求,否则进入步骤c); 0024 p)如果当前规则要求绑定逻辑地址,验证发起请求的逻辑地址是否与当前规则指 定的。
12、逻辑地址或范围匹配,若不匹配则拒绝本次申请,匹配则进入加密验证q)步骤e); 0025 r)如果发起请求的逻辑地址与当前规则定义的逻辑地址或范围不匹配,返回a) 采用下一条规则继续验证过程;若当前规则不允许发起请求的客户端逻辑地址访问数据 库,拒绝本次请求,否则进入步骤e); 0026 s)如果发起请求的客户端发出的请求采用的加密方式没有满足当前规则要求的 加密等级,拒绝本次请求,否则进入步骤f); 0027 t)如果发起请求的客户端采用的数据库“用户/密码对”验证方式不符合当前规 则要求的方式,拒绝本次请求,否则将该请求转发至数据库进入步骤4; 0028 3)如果没有任何规则允许本次请求访问数据库,拒绝并结束验证过程; 0029 4)数据库对“用户/密码对”验证后将结果通知保护层,如果本次请求也通过了数 据库验证,保护层允许该请求继续访问数据库,如果没有通过数据库验证,拒绝本次请求并 说 明 书CN 102508931 A 3/3页 5 结束验证过程。 0030 除本发明的说明书公开的技术特征外均为本专业技术人员的公职技术。 说 明 书CN 102508931 A 1/1页 6 图1 说 明 书 附 图CN 102508931 A 。