一種基于獨(dú)立授權(quán)的數(shù)據(jù)庫安全訪問控制方法

一種基于獨(dú)立授權(quán)的數(shù)據(jù)庫安全訪問控制方法
【專利摘要】一種基于獨(dú)立授權(quán)的數(shù)據(jù)庫安全訪問控制方法屬于數(shù)據(jù)庫安全領(lǐng)域。該方法采用與數(shù)據(jù)庫系統(tǒng)松耦合的設(shè)計(jì)思路，通過將數(shù)據(jù)庫訪問行為與USBKey綁定，實(shí)現(xiàn)基于用戶而非數(shù)據(jù)庫賬號(hào)的訪問控制，將數(shù)據(jù)庫訪問行為與終端用戶相關(guān)聯(lián)，做到針對(duì)終端用戶的行為管控和審計(jì)；通過引入前置訪問控制，對(duì)數(shù)據(jù)庫訪問語句進(jìn)行分析和監(jiān)測(cè)，屏蔽數(shù)據(jù)庫攻擊行為，管控和審計(jì)內(nèi)部人員操作行為，減少數(shù)據(jù)庫攻擊行為造成的信息損失；通過對(duì)數(shù)據(jù)庫訪問請(qǐng)求進(jìn)行重新封裝，避免監(jiān)聽嗅探攻擊。本技術(shù)通過增加獨(dú)立于數(shù)據(jù)庫管理系統(tǒng)的身份認(rèn)證、訪問控制以及安全傳輸?shù)仁侄危诓桓淖儸F(xiàn)有應(yīng)用系統(tǒng)使用模式的前提下，實(shí)現(xiàn)對(duì)多平臺(tái)下的異構(gòu)數(shù)據(jù)庫管理系統(tǒng)的安全增強(qiáng)。
【專利說明】一種基于獨(dú)立授權(quán)的數(shù)據(jù)庫安全訪問控制方法

【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于數(shù)據(jù)庫安全領(lǐng)域，是一種基于獨(dú)立授權(quán)的數(shù)據(jù)庫安全訪問控制技術(shù)。

【背景技術(shù)】
[0002]數(shù)據(jù)庫系統(tǒng)是信息系統(tǒng)中的基礎(chǔ)平臺(tái)，許多政府機(jī)構(gòu)、軍事部門、企業(yè)公司的關(guān)鍵業(yè)務(wù)系統(tǒng)運(yùn)行在數(shù)據(jù)庫平臺(tái)上，數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)為眾多用戶所共享，如果數(shù)據(jù)庫安全無法保證，其上的應(yīng)用系統(tǒng)也會(huì)被非法訪問或破壞。盡管目前成熟的商用數(shù)據(jù)庫管理系都具有諸如身份認(rèn)證、訪問控制、審計(jì)等安全功能，為數(shù)據(jù)庫安全提供了一定的安全保障，但是在數(shù)據(jù)庫安全方面還存在以下問題:
[0003]1.內(nèi)部人員攻擊行為。80 %的數(shù)據(jù)庫數(shù)據(jù)丟失都是由內(nèi)部人員對(duì)數(shù)據(jù)庫的攻擊造成的，數(shù)據(jù)庫維護(hù)人員、外包人員、開發(fā)人員在工作過程中都可以獲取較高的數(shù)據(jù)庫訪問權(quán)限、甚至數(shù)據(jù)庫管理員權(quán)限，該類人員有意或者無意的高危操作將對(duì)數(shù)據(jù)庫造成巨大的破壞；另外具有正常業(yè)務(wù)權(quán)限的操作人員在利益的誘惑下，可以通過正常的業(yè)務(wù)操作，將系統(tǒng)中的敏感信息導(dǎo)出。
[0004]2.數(shù)據(jù)庫攻擊。數(shù)據(jù)庫是黑客攻擊的集中目標(biāo)，利用Web應(yīng)用漏洞進(jìn)行SQL注入，在網(wǎng)絡(luò)中進(jìn)行監(jiān)聽嗅探，利用截獲的數(shù)據(jù)庫訪問報(bào)文進(jìn)行數(shù)據(jù)庫操作行為還原、重放攻擊都是黑客常用的數(shù)據(jù)庫攻擊行為，這些攻擊行為將造成數(shù)據(jù)泄漏、數(shù)據(jù)篡改、數(shù)據(jù)損壞、數(shù)據(jù)丟失等嚴(yán)重后果；熟悉數(shù)據(jù)庫內(nèi)部結(jié)構(gòu)的人員也有能力發(fā)起對(duì)數(shù)據(jù)庫的攻擊，借助正常業(yè)務(wù)權(quán)限通過推理查詢等手段，獲取超越其訪問權(quán)限的信息。
[0005]3.數(shù)據(jù)庫漏洞?！袄忡R門”事件暴露出了使用國外商用數(shù)據(jù)庫系統(tǒng)等基礎(chǔ)設(shè)施所帶來的嚴(yán)重安全隱患，國外數(shù)據(jù)庫廠商、情報(bào)部門可以利用數(shù)據(jù)庫管理系統(tǒng)自身的安全漏洞、后門等，對(duì)數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行監(jiān)視和竊取，數(shù)據(jù)庫系統(tǒng)存在漏洞等安全隱患，附屬其上的安全保密機(jī)制便形同虛設(shè)。
[0006]4.三層架構(gòu)模式下無法對(duì)用戶行為進(jìn)行管控。目前主流的應(yīng)用系統(tǒng)都是基于三層架構(gòu)部署的，以B/S結(jié)構(gòu)的系統(tǒng)為例，三層分別為前臺(tái)Web瀏覽器、中間件或Web服務(wù)器、數(shù)據(jù)庫服務(wù)器。在該模式中，對(duì)后臺(tái)數(shù)據(jù)的訪問是通過Web應(yīng)用服務(wù)器或中間件來執(zhí)行的，即使采取細(xì)粒度訪問控制，也只能針對(duì)Web應(yīng)用服務(wù)器或中間件進(jìn)行控制，無法區(qū)分訪問請(qǐng)求是由哪個(gè)前臺(tái)Web用戶發(fā)起的，因此也就難以實(shí)現(xiàn)對(duì)用戶訪問行為進(jìn)行管控和審計(jì)。


【發(fā)明內(nèi)容】

[0007]本發(fā)明為了解決數(shù)據(jù)庫系統(tǒng)在內(nèi)部人員攻擊、數(shù)據(jù)庫攻擊、數(shù)據(jù)庫漏洞、三層架構(gòu)下用戶行為管控等方面面臨的安全威脅，提出了一種基于獨(dú)立授權(quán)的數(shù)據(jù)庫安全訪問控制技術(shù)。該安全技術(shù)采用與數(shù)據(jù)庫系統(tǒng)松耦合的設(shè)計(jì)思路，通過將數(shù)據(jù)庫訪問行為與USBKey綁定，實(shí)現(xiàn)基于用戶而非數(shù)據(jù)庫賬號(hào)的訪問控制，將數(shù)據(jù)庫訪問行為與終端用戶相關(guān)聯(lián)，做到針對(duì)終端用戶的行為管控和審計(jì)；通過引入前置訪問控制，對(duì)數(shù)據(jù)庫訪問語句進(jìn)行分析和監(jiān)測(cè)，屏蔽數(shù)據(jù)庫攻擊行為，管控和審計(jì)內(nèi)部人員操作行為，減少數(shù)據(jù)庫攻擊行為造成的信息損失；通過對(duì)數(shù)據(jù)庫訪問請(qǐng)求進(jìn)行重新封裝，避免監(jiān)聽嗅探攻擊。
[0008]一種基于獨(dú)立授權(quán)的數(shù)據(jù)庫安全訪問控制方法，其特征在于:訪問控制服務(wù)器串接在數(shù)據(jù)庫服務(wù)器之前，并連接到防火墻；防火墻還分別連接到應(yīng)用服務(wù)器和應(yīng)用服務(wù)器上；
[0009]具體工作流程分為終端關(guān)聯(lián)和訪問控制兩個(gè)階段，終端關(guān)聯(lián)階段工作流程如下:
[0010]步驟1:終端向應(yīng)用服務(wù)器發(fā)起訪問請(qǐng)求，建立通信通道；
[0011]步驟2:應(yīng)用服務(wù)器驗(yàn)證終端身份；終端將USBKey中的證書信息發(fā)送至應(yīng)用服務(wù)器，應(yīng)用服務(wù)器通過認(rèn)證服務(wù)器完成對(duì)終端的身份認(rèn)證；
[0012]步驟3:應(yīng)用服務(wù)器上部署的身份關(guān)聯(lián)探針獲取終端用戶身份信息，并將終端用戶身份與其后續(xù)的數(shù)據(jù)庫訪問行為進(jìn)行關(guān)聯(lián)；
[0013]步驟4:應(yīng)用服務(wù)器向數(shù)據(jù)庫服務(wù)器發(fā)起訪問請(qǐng)求，訪問控制服務(wù)器接管訪問請(qǐng)求，與應(yīng)用服務(wù)器建立通信通道；
[0014]步驟5:訪問控制服務(wù)器通過認(rèn)證服務(wù)器驗(yàn)證應(yīng)用服務(wù)器身份；
[0015]訪問控制階段工作流程如下:
[0016]步驟1:在完成身份關(guān)聯(lián)后，終端向應(yīng)用服務(wù)器發(fā)起訪問請(qǐng)求，準(zhǔn)備通過應(yīng)用進(jìn)行數(shù)據(jù)庫操作；
[0017]步驟2:應(yīng)用服務(wù)器對(duì)用戶的訪問請(qǐng)求進(jìn)行響應(yīng)，根據(jù)終端的操作生成數(shù)據(jù)庫訪問請(qǐng)求；
[0018]步驟3:客戶端通過過濾驅(qū)動(dòng)截獲數(shù)據(jù)庫訪問請(qǐng)求，根據(jù)用身份關(guān)聯(lián)探針獲取的用戶身份與訪問行為的關(guān)聯(lián)信息，將訪問請(qǐng)求對(duì)應(yīng)的終端身份與訪問請(qǐng)求一起封裝為專用訪問協(xié)議；
[0019]步驟4:客戶端將專用訪問請(qǐng)求進(jìn)行轉(zhuǎn)發(fā)；
[0020]步驟5:前置的訪問控制服務(wù)器代替數(shù)據(jù)庫服務(wù)器接管訪問請(qǐng)求，丟棄非專用訪問協(xié)議的請(qǐng)求，并還原數(shù)據(jù)庫訪問請(qǐng)求，提取終端身份信息；
[0021]步驟6:訪問控制服務(wù)器根據(jù)預(yù)置的訪問控制規(guī)則，對(duì)訪問請(qǐng)求進(jìn)行過濾；
[0022]步驟7:訪問控制服務(wù)器在完成訪問請(qǐng)求過濾后，將訪問請(qǐng)求轉(zhuǎn)送至數(shù)據(jù)庫服務(wù)器；
[0023]步驟8:數(shù)據(jù)庫服務(wù)器在操作執(zhí)行結(jié)束后，返回?cái)?shù)據(jù)庫操作結(jié)果；
[0024]步驟9:訪問控制服務(wù)器對(duì)返回的數(shù)據(jù)庫操作結(jié)果進(jìn)行協(xié)議轉(zhuǎn)換；
[0025]步驟10:訪問控制服務(wù)器將數(shù)據(jù)庫操作結(jié)果返回應(yīng)用服務(wù)器；
[0026]步驟11:應(yīng)用服務(wù)器上的客戶端截獲返回的結(jié)果，對(duì)返回結(jié)果進(jìn)行還原；
[0027]步驟12:應(yīng)用服務(wù)器根據(jù)返回結(jié)果，對(duì)用戶的應(yīng)用請(qǐng)求進(jìn)行響應(yīng)，將應(yīng)用執(zhí)行結(jié)果返回至終端用戶。
[0028]本技術(shù)通過增加獨(dú)立于數(shù)據(jù)庫管理系統(tǒng)的身份認(rèn)證、訪問控制以及安全傳輸?shù)仁侄?，在不改變現(xiàn)有應(yīng)用系統(tǒng)使用模式的前提下，實(shí)現(xiàn)對(duì)多平臺(tái)下的異構(gòu)數(shù)據(jù)庫管理系統(tǒng)的安全增強(qiáng)。

【專利附圖】

【附圖說明】
[0029]圖1軟件系統(tǒng)組成
[0030]圖2數(shù)據(jù)管控系統(tǒng)軟件的體系架構(gòu)
[0031]圖3工作流程圖
[0032]圖4身份關(guān)聯(lián)探針工作機(jī)制
[0033]圖5身份關(guān)聯(lián)探針學(xué)習(xí)過程
[0034]圖6安全通信模塊工作機(jī)制
[0035]圖7授權(quán)管理模塊組成
[0036]圖8授權(quán)管理原理
[0037]圖9訪問控制模塊組成
[0038]圖10訪問過濾工作流程
[0039]圖1ISQL分析流程
[0040]圖12訪問阻斷模式工作流程
[0041]圖13安全審計(jì)代理模塊
[0042]圖14安全審計(jì)工作流程

【具體實(shí)施方式】
[0043]本發(fā)明的核心為數(shù)據(jù)庫安全訪問控制控制軟件，如圖1所示，軟件包括客戶端和服務(wù)端兩部分，共7個(gè)模塊組成。
[0044]數(shù)據(jù)庫安全訪問控制軟件七個(gè)功能模塊主要功能分別為:
[0045]>身份關(guān)聯(lián)探針:身份關(guān)聯(lián)探針部署在應(yīng)用服務(wù)器上，負(fù)責(zé)獲取前端用戶的身份信息，并將用戶身份信息與訪問控制請(qǐng)求的對(duì)應(yīng)關(guān)系發(fā)送至數(shù)據(jù)庫安全訪問控制軟件；
[0046]>安全通信模塊:安全通信模塊部署在應(yīng)用服務(wù)器和訪問控制服務(wù)器上，負(fù)責(zé)實(shí)現(xiàn)應(yīng)用服務(wù)器到數(shù)據(jù)庫服務(wù)器之間的安全數(shù)據(jù)交換；
[0047]>身份獲取模塊:身份獲取模塊在訪問控制服務(wù)器收到訪問請(qǐng)求時(shí)，獲取訪問發(fā)起端用戶的USBKey身份信息；
[0048]>授權(quán)管理模塊:授權(quán)管理模塊基于終端用戶的USBKey身份信息，提供獨(dú)立于數(shù)據(jù)庫管理系統(tǒng)的細(xì)粒度授權(quán)和權(quán)限管理等功能；
[0049]>訪問控制模塊:訪問控制模塊根據(jù)終端用戶的USBKey身份信息，對(duì)訪問請(qǐng)求進(jìn)行基于預(yù)定規(guī)則的訪問過濾和基于USBKey的訪問控制；
[0050]>安全審計(jì)模塊:安全審計(jì)模塊記錄不同用戶訪問數(shù)據(jù)的各類操作和執(zhí)行結(jié)果，為數(shù)據(jù)庫訪問行為分析和攻擊溯源提供支撐；
[0051]>配置管理模塊:配置管理模塊對(duì)數(shù)據(jù)庫訪問控制安全增強(qiáng)軟件進(jìn)行統(tǒng)一配置和管理。
[0052]數(shù)據(jù)庫安全訪問控制軟件的體系架構(gòu)如圖2所示:
[0053]客戶端軟件部署在訪問數(shù)據(jù)庫的應(yīng)用服務(wù)器上，服務(wù)端軟件在串接于數(shù)據(jù)庫服務(wù)器之前的訪問控制服務(wù)器上?？蛻舳塑浖捎眠^濾驅(qū)動(dòng)技術(shù)，對(duì)應(yīng)用服務(wù)器產(chǎn)生的數(shù)據(jù)庫訪問請(qǐng)求進(jìn)行攔截處理，因此無需對(duì)應(yīng)用服務(wù)器承載的應(yīng)用進(jìn)行修改；訪問控制服務(wù)器串接在數(shù)據(jù)庫服務(wù)器之前，在訪問請(qǐng)求到達(dá)數(shù)據(jù)庫之前，根據(jù)訪問發(fā)起用戶的權(quán)限信息進(jìn)行訪問控制、攻擊語句屏蔽，保證數(shù)據(jù)庫存儲(chǔ)信息的安全可控；另外通過增加安全通信模塊，實(shí)現(xiàn)應(yīng)用服務(wù)器到數(shù)據(jù)庫(訪問控制服務(wù)器)之間的加密通信，防止監(jiān)聽嗅探等數(shù)據(jù)庫攻擊手段。
[0054]數(shù)據(jù)庫安全訪問控制軟件的工作流程如圖3所示。
[0055]數(shù)據(jù)庫安全訪問控制軟件的工作流程可以分為終端關(guān)聯(lián)和訪問控制兩個(gè)階段，終端關(guān)聯(lián)階段工作流程如下:
[0056]步驟1:終端向應(yīng)用服務(wù)器發(fā)起訪問請(qǐng)求，建立通信通道；
[0057]步驟2:應(yīng)用服務(wù)器驗(yàn)證終端身份；終端將USBKey中的證書信息發(fā)送至應(yīng)用服務(wù)器，應(yīng)用服務(wù)器通過認(rèn)證服務(wù)器完成對(duì)終端的身份認(rèn)證；
[0058]步驟3:應(yīng)用服務(wù)器上部署的身份關(guān)聯(lián)探針獲取終端用戶身份信息，并將終端用戶身份與其后續(xù)的數(shù)據(jù)庫訪問行為進(jìn)行關(guān)聯(lián)；
[0059]步驟4:應(yīng)用服務(wù)器向數(shù)據(jù)庫服務(wù)器發(fā)起訪問請(qǐng)求，訪問控制服務(wù)器接管訪問請(qǐng)求，與應(yīng)用服務(wù)器建立通信通道；
[0060]步驟5:訪問控制服務(wù)器通過認(rèn)證服務(wù)器驗(yàn)證應(yīng)用服務(wù)器身份。
[0061]訪問控制階段工作流程如下:
[0062]步驟1:在完成身份關(guān)聯(lián)后，終端向應(yīng)用服務(wù)器發(fā)起訪問請(qǐng)求，準(zhǔn)備通過應(yīng)用進(jìn)行數(shù)據(jù)庫操作；
[0063]步驟2:應(yīng)用服務(wù)器對(duì)用戶的訪問請(qǐng)求進(jìn)行響應(yīng)，根據(jù)終端的操作生成數(shù)據(jù)庫訪問請(qǐng)求；
[0064]步驟3:客戶端通過過濾驅(qū)動(dòng)截獲數(shù)據(jù)庫訪問請(qǐng)求，根據(jù)用身份關(guān)聯(lián)探針獲取的用戶身份與訪問行為的關(guān)聯(lián)信息，將訪問請(qǐng)求對(duì)應(yīng)的終端身份與訪問請(qǐng)求一起封裝為專用訪問協(xié)議；
[0065]步驟4:客戶端將專用訪問請(qǐng)求進(jìn)行轉(zhuǎn)發(fā)；
[0066]步驟5:前置的訪問控制服務(wù)器代替數(shù)據(jù)庫服務(wù)器接管訪問請(qǐng)求，丟棄非專用訪問協(xié)議的請(qǐng)求，并還原數(shù)據(jù)庫訪問請(qǐng)求，提取終端身份信息；
[0067]步驟6:訪問控制服務(wù)器根據(jù)預(yù)置的訪問控制規(guī)則，對(duì)訪問請(qǐng)求進(jìn)行過濾，訪問規(guī)則包括黑白名單規(guī)則、SQL特征規(guī)則、基于USBKey的授權(quán)規(guī)則、模式規(guī)則等；
[0068]步驟7:訪問控制服務(wù)器在完成訪問請(qǐng)求過濾后，將訪問請(qǐng)求轉(zhuǎn)送至數(shù)據(jù)庫服務(wù)器；
[0069]步驟8:數(shù)據(jù)庫服務(wù)器在操作執(zhí)行結(jié)束后，返回?cái)?shù)據(jù)庫操作結(jié)果；
[0070]步驟9:訪問控制服務(wù)器對(duì)返回的數(shù)據(jù)庫操作結(jié)果進(jìn)行協(xié)議轉(zhuǎn)換；
[0071]步驟10:訪問控制服務(wù)器將數(shù)據(jù)庫操作結(jié)果返回應(yīng)用服務(wù)器；
[0072]步驟11:應(yīng)用服務(wù)器上的客戶端截獲返回的結(jié)果，對(duì)返回結(jié)果進(jìn)行還原；
[0073]步驟12:應(yīng)用服務(wù)器根據(jù)返回結(jié)果，對(duì)用戶的應(yīng)用請(qǐng)求進(jìn)行響應(yīng)，將應(yīng)用執(zhí)行結(jié)果返回至終端用戶。
[0074]下面結(jié)合數(shù)據(jù)庫安全訪問控制軟件模塊功能，對(duì)本
【發(fā)明內(nèi)容】
進(jìn)行詳細(xì)說明。
[0075]身份關(guān)聯(lián)探針
[0076]身份關(guān)聯(lián)探針部署在應(yīng)用服務(wù)器上，負(fù)責(zé)獲取前端用戶的身份信息，并將用戶身份信息與訪問請(qǐng)求的對(duì)應(yīng)關(guān)系發(fā)送至數(shù)據(jù)庫安全訪問控制軟件，身份關(guān)聯(lián)探針的工作機(jī)制如圖4所示。
[0077]目前80%的應(yīng)用系統(tǒng)都是基于B/S結(jié)構(gòu)的三層部署模式，在這種部署方式中，所有對(duì)后臺(tái)數(shù)據(jù)庫訪問都是通過Web應(yīng)用服務(wù)器或中間件來執(zhí)行的，前端Web用戶并不會(huì)直接對(duì)數(shù)據(jù)庫進(jìn)行操作。身份關(guān)聯(lián)探針將Web應(yīng)用的用戶身份與該用戶針對(duì)數(shù)據(jù)庫進(jìn)行的操作進(jìn)行關(guān)聯(lián)，將數(shù)據(jù)庫操作序列對(duì)應(yīng)的用戶身份信息通過安全通信模塊融入數(shù)據(jù)庫訪問請(qǐng)求，實(shí)現(xiàn)對(duì)終端用戶數(shù)據(jù)庫操作全過程的記錄、管控。
[0078]身份關(guān)聯(lián)探針通過自動(dòng)學(xué)習(xí)，在用戶訪問序列(HTTP操作)和數(shù)據(jù)庫操作序列(SQL語句)之間建立關(guān)系模型，另外結(jié)合用戶訪問序列與數(shù)據(jù)庫操作序列之間的時(shí)序關(guān)聯(lián)關(guān)系，建立用戶HTTP操作到SQL語句操作的關(guān)聯(lián)規(guī)則。身份關(guān)聯(lián)探針的學(xué)習(xí)過程如圖5所
/Jn ο
[0079]身份關(guān)聯(lián)探針的學(xué)習(xí)過程如下:
[0080]步驟1:設(shè)置訓(xùn)練起點(diǎn)及訓(xùn)練目標(biāo)；身份關(guān)聯(lián)探針能夠記錄用戶訪問序列，在訓(xùn)練開始前，身份關(guān)聯(lián)探針設(shè)置訓(xùn)練起點(diǎn)及訓(xùn)練目標(biāo)，以之后的訪問序列及數(shù)據(jù)庫操作序列為訓(xùn)練數(shù)據(jù)；
[0081]步驟2:設(shè)定匹配模板；根據(jù)應(yīng)用系統(tǒng)特點(diǎn)，設(shè)定規(guī)則訓(xùn)練模型的匹配模板，設(shè)定內(nèi)容包括正常用戶的使用頻率、對(duì)應(yīng)的數(shù)據(jù)庫操作類型等內(nèi)容；
[0082]步驟3:基于模板和訪問流量進(jìn)行模型訓(xùn)練；根據(jù)設(shè)定的匹配模板，利用網(wǎng)絡(luò)中正常業(yè)務(wù)訪問數(shù)據(jù)進(jìn)行模型在線學(xué)習(xí)；
[0083]步驟4:模型成熟度判定；當(dāng)訓(xùn)練樣本達(dá)到訓(xùn)練目標(biāo)是，對(duì)模型成熟度進(jìn)行判定，若成熟度滿足訓(xùn)練目標(biāo)，對(duì)模型進(jìn)行固化；
[0084]步驟5:修改模型，重新訓(xùn)練；當(dāng)模型成熟度不滿足訓(xùn)練目標(biāo)，修改模型，對(duì)模型進(jìn)行重新訓(xùn)練；當(dāng)模型已經(jīng)固化后，成熟度判定負(fù)責(zé)對(duì)正常的業(yè)務(wù)數(shù)據(jù)進(jìn)行監(jiān)測(cè)，對(duì)模型進(jìn)行更新和修正。
[0085]安全通信模塊
[0086]安全通信模塊部署在應(yīng)用服務(wù)器和訪問控制服務(wù)器上，負(fù)責(zé)實(shí)現(xiàn)應(yīng)用服務(wù)器到數(shù)據(jù)庫服務(wù)器之間的安全數(shù)據(jù)交換，Linux環(huán)境下，安全通信模塊的工作機(jī)制如圖6所示。
[0087]安全通信路徑建立過程如下:
[0088](I)客戶端截獲用戶訪問數(shù)據(jù)庫的請(qǐng)求(Linux環(huán)境下采用Netfilter機(jī)制在網(wǎng)絡(luò)層完成數(shù)據(jù)包截獲)，將數(shù)據(jù)包中的數(shù)據(jù)庫應(yīng)用請(qǐng)求和身份關(guān)聯(lián)探針獲取的終端身份一起進(jìn)行加密，轉(zhuǎn)換為系統(tǒng)專用格式；
[0089](2)客戶端將專用格式數(shù)據(jù)包發(fā)送至訪問控制服務(wù)器；
[0090](3)訪問控制服務(wù)器上的訪問控制服務(wù)端驗(yàn)證訪問請(qǐng)求的協(xié)議類型，丟棄非系統(tǒng)專用格式的訪問請(qǐng)求；
[0091](4)訪問控制服務(wù)端將系統(tǒng)專用格式訪問請(qǐng)求進(jìn)行解密，還原數(shù)據(jù)庫應(yīng)用請(qǐng)求和終端身份信息，實(shí)現(xiàn)應(yīng)用服務(wù)器到訪問控制服務(wù)器的安全通道建立。
[0092]身份獲取模塊
[0093]訪問控制服務(wù)端在接收到專用訪問協(xié)議后，通過安全通信模塊對(duì)專用訪問協(xié)議進(jìn)行還原，身份獲取模塊在協(xié)議還原過程中，將負(fù)載其中的終端用戶身份信息進(jìn)行還原。該模塊為授權(quán)管理模塊、訪問控制模塊、安全審計(jì)模塊提供身份信息。
[0094]授權(quán)管理模塊
[0095]授權(quán)管理模塊基于終端用戶、應(yīng)用服務(wù)器的身份信息，為終端用戶、應(yīng)用服務(wù)器提供獨(dú)立于數(shù)據(jù)庫管理系統(tǒng)的細(xì)粒度授權(quán)和權(quán)限管理等功能。
[0096]授權(quán)管理模塊基于終端用戶、應(yīng)用服務(wù)器的身份信息，為終端用戶、應(yīng)用服務(wù)器提供獨(dú)立于數(shù)據(jù)庫管理系統(tǒng)的細(xì)粒度授權(quán)和權(quán)限管理等功能。授權(quán)管理模塊主要包括用戶身份管理、用戶授權(quán)及策略管理三個(gè)子功能模塊，如圖7所示。
[0097]a)用戶身份管理子模塊
[0098]用戶身份管理子模塊提供終端用戶、應(yīng)用服務(wù)器與USBKey的綁定，USBKey注冊(cè)、查詢、修改等一系列身份管理功能，并提供對(duì)應(yīng)的賬號(hào)集中管理與維護(hù)功能。
[0099]b)用戶授權(quán)子模塊
[0100]用戶授權(quán)子模塊將具有相同權(quán)限的終端用戶、應(yīng)用服務(wù)器進(jìn)行歸類形成群體，將資源歸類后形成權(quán)限進(jìn)而形成角色，最后建立群體到角色的映射，形成用戶權(quán)限列表，實(shí)現(xiàn)用戶授權(quán)。
[0101]c)策略管理子模塊
[0102]策略管理子模塊根據(jù)用戶授權(quán)子模塊提供的資源授權(quán)信息，為各基表、視圖生成訪問控制策略；根據(jù)用戶授權(quán)子模塊提供的角色一授權(quán)映射，將需要保護(hù)的基表與用戶進(jìn)行關(guān)聯(lián)或者主客體標(biāo)記，形成用戶權(quán)限列表對(duì)應(yīng)的授權(quán)策略。當(dāng)用戶權(quán)限列表發(fā)生改變時(shí)，策略管理子模塊根據(jù)變化內(nèi)容，同步修改授權(quán)策略。
[0103]授權(quán)管理模塊的工作原理如圖8所示。
[0104]授權(quán)管理模塊的工作流程如下:
[0105](I)授權(quán)管理模塊的用戶身份管理子模塊通過證書管理系統(tǒng)/USBKey登記表，獲取USBKey列表；
[0106](2)用戶身份管理子模塊根據(jù)終端用戶與USBKey的對(duì)應(yīng)關(guān)系，將終端用戶與USBKey進(jìn)行關(guān)聯(lián)綁定，形成身份關(guān)聯(lián)列表；
[0107](3)用戶身份管理子模塊將身份關(guān)聯(lián)列表發(fā)送至訪問控制模塊的訪問過濾子模塊，訪問過濾子模塊依據(jù)身份關(guān)聯(lián)列表生成白名單規(guī)則；
[0108](4)用戶身份管理子模塊將身份關(guān)聯(lián)列表發(fā)送至用戶授權(quán)子模塊，安全管理員根據(jù)用戶權(quán)限，通過用戶授權(quán)子模塊將身份關(guān)聯(lián)列表中的用戶信息進(jìn)行角色映射，形成角色信息表;
[0109](5)用戶授權(quán)子模塊根據(jù)數(shù)據(jù)庫管理系統(tǒng)中的資源列表，制定授權(quán)信息表，授權(quán)信息表中內(nèi)容包括可訪問的資源(數(shù)據(jù)庫表、記錄、字段)以及能夠執(zhí)行的操作(查詢、插入、更改、刪除)；
[0110](6)用戶授權(quán)子模塊將授權(quán)信息表中的資源和對(duì)應(yīng)的操作抽象為權(quán)限，形成權(quán)限信息表;
[0111](7)安全管理員通過用戶授權(quán)子模塊，為角色分配權(quán)限，將角色信息表與權(quán)限信息表進(jìn)行關(guān)聯(lián)；
[0112](8)訪問過濾子模塊根據(jù)授權(quán)信息表，為被保護(hù)的系統(tǒng)表生成訪問控制函數(shù)；
[0113](9)策略管理子模塊根據(jù)權(quán)限信息表，為訪問過濾子模塊提供訪問控制策略，完成基于USBKey的授權(quán)管理。
[0114]訪問控制模塊
[0115]訪問控制模塊根據(jù)訪問發(fā)起端用戶身份，對(duì)訪問請(qǐng)求進(jìn)行基于預(yù)定規(guī)則的訪問過濾和基于USBKey的訪問控制。
[0116]訪問控制模塊提供黑白名單過濾，對(duì)已知數(shù)據(jù)庫攻擊行為進(jìn)行屏蔽；同時(shí)采用透明多層視圖的方法實(shí)現(xiàn)基于角色的細(xì)粒度訪問控制功能，屏蔽用戶對(duì)系統(tǒng)表的直接訪問，對(duì)系統(tǒng)表進(jìn)行保護(hù)。訪問控制模塊主要包括訪問過濾、規(guī)則管理和阻斷告警三個(gè)子功能模塊組成，如圖9所示。
[0117]在訪問控制過程中，各模塊的功能分別為:
[0118]a)訪問過濾子模塊
[0119]訪問過濾子模塊提供基于規(guī)則的訪問過濾功能，包括白名單規(guī)則、黑名單規(guī)則、關(guān)鍵字規(guī)則等，每種規(guī)則都可以從身份信息、IP、MAC、時(shí)間段、用戶名、數(shù)據(jù)庫名、表明、字段名等細(xì)粒度的條件進(jìn)行設(shè)置，訪問過濾子模塊的工作流程如圖10所示。
[0120]例外規(guī)則為主體規(guī)則中的例外情況提供處理依據(jù)，具有速度快的特點(diǎn)；
[0121]核心規(guī)則為系統(tǒng)的主體規(guī)則，基于SQL語句分類進(jìn)行授權(quán)判斷；
[0122]后置規(guī)則對(duì)主體規(guī)則的修正補(bǔ)充，放寬或者收緊處理策略，另外還負(fù)責(zé)處理之前規(guī)則未完成匹配的語句。
[0123]核心規(guī)則過濾以及后續(xù)訪問管理需要對(duì)數(shù)據(jù)庫訪問請(qǐng)求進(jìn)行分析，對(duì)訪問語句的分析過程如圖11所示。
[0124]訪問過濾子模塊采用遞歸的方式實(shí)現(xiàn)對(duì)SQL語句的解析，具體過程如下:
[0125]I)識(shí)別語句首個(gè)單詞符號(hào):若單詞符號(hào)為UPDATE、INSERT、DELETE則轉(zhuǎn)至2)，若單詞符號(hào)為SELECT則轉(zhuǎn)至3)，若單詞符號(hào)為FROM、WHERE則轉(zhuǎn)至6)；
[0126]2)根據(jù)單詞符號(hào)類型，識(shí)別對(duì)應(yīng)單詞符號(hào)后的表名，將其存入HashSet中，之后轉(zhuǎn)至I);
[0127]3)識(shí)別SELECT單詞符號(hào)后的字段名，并存入HashSet中，若SELECT后包含JOIN等關(guān)鍵字則轉(zhuǎn)至4)，若SELECT后語句包含“(”，則轉(zhuǎn)至5)；
[0128]4)獲取JOIN、UN1N、MINUS等關(guān)鍵字后的表名，將其存入HashSet中，之后轉(zhuǎn)至I);
[0129]5)查找對(duì)應(yīng)的“)”，對(duì)與之間子句，進(jìn)行SQL解析遞歸調(diào)用；
[0130]6)取得FROM、WHERE之后的子句，進(jìn)行SQL解析遞歸調(diào)用。
[0131]訪問過濾子模塊對(duì)SQL語句進(jìn)行解析，將訪問請(qǐng)求中涉及的操作類型和對(duì)應(yīng)的數(shù)據(jù)表項(xiàng)記錄在HashSet中，通過與對(duì)應(yīng)黑白名單進(jìn)行對(duì)比，確定是否對(duì)語句進(jìn)行過濾。
[0132]核心規(guī)則根據(jù)授權(quán)管理模塊提供的授權(quán)規(guī)則，實(shí)現(xiàn)基于USBKey身份的細(xì)粒度訪問控制，訪問控制原理如圖12所示。
[0133]I)訪問請(qǐng)求經(jīng)過初步訪問過濾后交由訪問管理子模塊，訪問管理子模塊通過用戶身份獲取模塊，獲取當(dāng)前訪問請(qǐng)求發(fā)起端；
[0134]2)訪問管理子模塊根據(jù)獲取的用戶身份信息，向授權(quán)管理模塊請(qǐng)求對(duì)應(yīng)的授權(quán)信息表;
[0135]3)訪問管理子模塊根據(jù)訪問過濾子模塊的SQL分析結(jié)果，獲取訪問請(qǐng)求涉及的表名、操作類型信息；
[0136]4)訪問管理子模塊根據(jù)授權(quán)信息表，判斷訪問是否滿足對(duì)應(yīng)權(quán)限，對(duì)于滿足權(quán)限的訪問請(qǐng)求進(jìn)行放行，對(duì)于不符合權(quán)限要求的訪問請(qǐng)求進(jìn)行阻斷。
[0137]b)規(guī)則管理子模塊
[0138]規(guī)則管理子模塊根據(jù)授權(quán)管理模塊提供的用戶權(quán)限列表，管理各用戶、基表、視圖的訪問控制策略。規(guī)則管理模塊根據(jù)訪問控制策略，將需要保護(hù)的基表與用戶進(jìn)行關(guān)聯(lián)或者主客體標(biāo)記，形成用戶權(quán)限列表；規(guī)則管理模塊接收授權(quán)管理模塊的權(quán)限列表，根據(jù)預(yù)先建立策略模板對(duì)用戶權(quán)限列表中的每一項(xiàng)記錄生成一條訪問控制策略，訪問控制粒度涵蓋對(duì)表、列、元素、記錄級(jí)。當(dāng)用戶權(quán)限列表發(fā)生改變時(shí)，策略管理子模塊根據(jù)變化內(nèi)容，同步修改管理策略。
[0139]另外，規(guī)則管理模塊根據(jù)訪問發(fā)起端的USBKey信息，將對(duì)應(yīng)的規(guī)則提供給訪問過濾子模塊。
[0140]c)阻斷告警子模塊
[0141 ] 阻斷告警子模塊在發(fā)現(xiàn)數(shù)據(jù)庫攻擊行為、違規(guī)訪問時(shí)對(duì)訪問語句進(jìn)行過濾控制，根據(jù)預(yù)先制定的策略進(jìn)行響應(yīng)，響應(yīng)方式包括攔截語句、中斷會(huì)話等，同時(shí)發(fā)出告警信息。
[0142]安全審計(jì)模塊
[0143]安全審計(jì)模塊提供對(duì)數(shù)據(jù)庫訪問控制安全增強(qiáng)軟件的日志進(jìn)行集中采集、集中管理。安全審計(jì)模塊負(fù)責(zé)對(duì)用戶連接數(shù)據(jù)庫、用戶行為特征、操作行為等重要事件和違規(guī)操作進(jìn)行審計(jì)記錄。主要審計(jì)項(xiàng)描述如下所示:
[0144]I)用戶連接數(shù)據(jù)庫審計(jì):審計(jì)用戶連接數(shù)據(jù)庫的信息，審計(jì)內(nèi)容包括時(shí)間、USBKeyID、訪問對(duì)象、操作事件類型、處理結(jié)果；
[0145]2)用戶行為特征審計(jì):審計(jì)用戶使用數(shù)據(jù)庫的行為特征，審計(jì)內(nèi)容包括登錄IP、登錄時(shí)長(zhǎng)、登錄間歇、訪問對(duì)象、操作類型、操作間歇；
[0146]3)操作行為審計(jì):審計(jì)用戶的數(shù)據(jù)庫操作行為，可對(duì)非授權(quán)用戶訪問行為、數(shù)據(jù)庫攻擊行為、越權(quán)訪問行為進(jìn)行審計(jì)，審計(jì)內(nèi)容包括時(shí)間、主客體名稱、事件類型、事件處理結(jié)果。
[0147]安全審計(jì)模塊通過在身份獲取模塊、授權(quán)管理模塊、訪問控制模塊中嵌入安全審計(jì)代理將各種安全審計(jì)信息進(jìn)行集中采集，解析后生成歸一化的結(jié)構(gòu)數(shù)據(jù)并存儲(chǔ)，供上層應(yīng)用二次分析和展示。如圖13所示。
[0148]安全審計(jì)模塊的工作流程如圖14所示。
[0149]配置管理模塊
[0150]配置管理模塊提供對(duì)數(shù)據(jù)庫訪問控制安全增強(qiáng)軟件的運(yùn)行參數(shù)、策略的統(tǒng)一配置管理。包括軟件基本參數(shù)配置、黑白名單配置、訪問控制策略配置、審計(jì)告警策略配置四個(gè)功能子模塊。
[0151]I)軟件基本參數(shù)配置:軟件基本參數(shù)配置管理主要負(fù)責(zé)確定軟件的工作模式，并完成軟件的初始化配置。對(duì)于主路模式，軟件初始化配置包括管理員初始化、訪問控制策略初始化、訪問控制服務(wù)器初始化、密碼認(rèn)證網(wǎng)關(guān)信息路由初始化、安全管理設(shè)備路由初始化；對(duì)于旁路模式，數(shù)據(jù)庫訪問控制安全增強(qiáng)軟件初始化配置包括管理員初始化、訪問控制策略初始化、密碼認(rèn)證網(wǎng)關(guān)路由初始化、訪問控制服務(wù)器路由初始化。
[0152]2)黑白名單配置:黑白名單配置主要負(fù)責(zé)制定用戶黑白名單、訪問語句黑名單、源地址黑白名單以及其它規(guī)則的黑白名單。
[0153]3)訪問控制策略配置:訪問控制策略配置主要負(fù)責(zé)配置各種訪問規(guī)則的選用和訪問控制機(jī)制的選用。訪問規(guī)則包括各種黑白名單規(guī)則、授權(quán)檢驗(yàn)函數(shù)等；訪問控制機(jī)制包括訪問阻斷和訪問改寫兩種。
[0154]4)審計(jì)告警策略配置:審計(jì)告警策略配置主要負(fù)責(zé)審計(jì)策略的配置、違規(guī)事件定義以及違規(guī)事件響應(yīng)策略制定。
【權(quán)利要求】
1.一種基于獨(dú)立授權(quán)的數(shù)據(jù)庫安全訪問控制方法，其特征在于:訪問控制服務(wù)器串接在數(shù)據(jù)庫服務(wù)器之前，并連接到防火墻；防火墻還分別連接到應(yīng)用服務(wù)器和應(yīng)用服務(wù)器上； 具體工作流程分為終端關(guān)聯(lián)和訪問控制兩個(gè)階段，終端關(guān)聯(lián)階段工作流程如下: 步驟1:終端向應(yīng)用服務(wù)器發(fā)起訪問請(qǐng)求，建立通信通道； 步驟2:應(yīng)用服務(wù)器驗(yàn)證終端身份；終端將USBKey中的證書信息發(fā)送至應(yīng)用服務(wù)器，應(yīng)用服務(wù)器通過認(rèn)證服務(wù)器完成對(duì)終端的身份認(rèn)證； 步驟3:應(yīng)用服務(wù)器上部署的身份關(guān)聯(lián)探針獲取終端用戶身份信息，并將終端用戶身份與其后續(xù)的數(shù)據(jù)庫訪問行為進(jìn)行關(guān)聯(lián)； 步驟4:應(yīng)用服務(wù)器向數(shù)據(jù)庫服務(wù)器發(fā)起訪問請(qǐng)求，訪問控制服務(wù)器接管訪問請(qǐng)求，與應(yīng)用服務(wù)器建立通信通道； 步驟5:訪問控制服務(wù)器通過認(rèn)證服務(wù)器驗(yàn)證應(yīng)用服務(wù)器身份； 訪問控制階段工作流程如下: 步驟1:在完成身份關(guān)聯(lián)后，終端向應(yīng)用服務(wù)器發(fā)起訪問請(qǐng)求，準(zhǔn)備通過應(yīng)用進(jìn)行數(shù)據(jù)庫操作； 步驟2:應(yīng)用服務(wù)器對(duì)用戶的訪問請(qǐng)求進(jìn)行響應(yīng)，根據(jù)終端的操作生成數(shù)據(jù)庫訪問請(qǐng)求； 步驟3:客戶端通過過濾驅(qū)動(dòng)截獲數(shù)據(jù)庫訪問請(qǐng)求，根據(jù)用身份關(guān)聯(lián)探針獲取的用戶身份與訪問行為的關(guān)聯(lián)信息，將訪問請(qǐng)求對(duì)應(yīng)的終端身份與訪問請(qǐng)求一起封裝為專用訪問協(xié)議； 步驟4:客戶端將專用訪問請(qǐng)求進(jìn)行轉(zhuǎn)發(fā)； 步驟5:前置的訪問控制服務(wù)器代替數(shù)據(jù)庫服務(wù)器接管訪問請(qǐng)求，丟棄非專用訪問協(xié)議的請(qǐng)求，并還原數(shù)據(jù)庫訪問請(qǐng)求，提取終端身份信息； 步驟6:訪問控制服務(wù)器根據(jù)預(yù)置的訪問控制規(guī)則，對(duì)訪問請(qǐng)求進(jìn)行過濾； 步驟7:訪問控制服務(wù)器在完成訪問請(qǐng)求過濾后，將訪問請(qǐng)求轉(zhuǎn)送至數(shù)據(jù)庫服務(wù)器； 步驟8:數(shù)據(jù)庫服務(wù)器在操作執(zhí)行結(jié)束后，返回?cái)?shù)據(jù)庫操作結(jié)果； 步驟9:訪問控制服務(wù)器對(duì)返回的數(shù)據(jù)庫操作結(jié)果進(jìn)行協(xié)議轉(zhuǎn)換； 步驟10:訪問控制服務(wù)器將數(shù)據(jù)庫操作結(jié)果返回應(yīng)用服務(wù)器； 步驟11:應(yīng)用服務(wù)器上的客戶端截獲返回的結(jié)果，對(duì)返回結(jié)果進(jìn)行還原； 步驟12:應(yīng)用服務(wù)器根據(jù)返回結(jié)果，對(duì)用戶的應(yīng)用請(qǐng)求進(jìn)行響應(yīng)，將應(yīng)用執(zhí)行結(jié)果返回至終端用戶。
【文檔編號(hào)】G06F21/31GK104166812SQ201410294430
【公開日】2014年11月26日 申請(qǐng)日期:2014年6月25日 優(yōu)先權(quán)日:2014年6月25日
【發(fā)明者】孟憲哲, 曾穎明, 曾淑娟, 陳志浩, 毛俐旻 申請(qǐng)人:中國航天科工集團(tuán)第二研究院七〇六所, 北京航天愛威電子技術(shù)有限公司