[发明专利]一种基于独立授权的数据库安全访问控制方法

摘要

一种基于独立授权的数据库安全访问控制方法属于数据库安全领域。该方法采用与数据库系统松耦合的设计思路，通过将数据库访问行为与USBKey绑定，实现基于用户而非数据库账号的访问控制，将数据库访问行为与终端用户相关联，做到针对终端用户的行为管控和审计；通过引入前置访问控制，对数据库访问语句进行分析和监测，屏蔽数据库攻击行为，管控和审计内部人员操作行为，减少数据库攻击行为造成的信息损失；通过对数据库访问请求进行重新封装，避免监听嗅探攻击。本技术通过增加独立于数据库管理系统的身份认证、访问控制以及安全传输等手段，在不改变现有应用系统使用模式的前提下，实现对多平台下的异构数据库管理系统的安全增强。

主权项

一种基于独立授权的数据库安全访问控制方法，其特征在于：访问控制服务器串接在数据库服务器之前，并连接到防火墙；防火墙还分别连接到应用服务器和访问控制服务器上；具体工作流程分为终端关联和访问控制两个阶段，终端关联阶段工作流程如下：步骤1：终端向应用服务器发起访问请求，建立通信通道；步骤2：应用服务器验证终端身份；终端将USBKey中的证书信息发送至应用服务器，应用服务器通过认证服务器完成对终端的身份认证；步骤3：应用服务器上部署的身份关联探针获取终端用户身份信息，并将终端用户身份与其后续的数据库访问行为进行关联；步骤4：应用服务器向数据库服务器发起访问请求，访问控制服务器接管访问请求，与应用服务器建立通信通道；步骤5：访问控制服务器通过认证服务器验证应用服务器身份；访问控制阶段工作流程如下：步骤1：在完成身份关联后，终端向应用服务器发起访问请求，准备通过应用进行数据库操作；步骤2：应用服务器对用户的访问请求进行响应，根据终端的操作生成数据库访问请求；步骤3：客户端通过过滤驱动截获数据库访问请求，根据用身份关联探针获取的用户身份与访问行为的关联信息，将访问请求对应的终端身份与访问请求一起封装为专用访问协议；步骤4：客户端将专用访问请求进行转发；步骤5：前置的访问控制服务器代替数据库服务器接管访问请求，丢弃非专用访问协议的请求，并还原数据库访问请求，提取终端身份信息；步骤6：访问控制服务器根据预置的访问控制规则，对访问请求进行过滤；步骤7：访问控制服务器在完成访问请求过滤后，将访问请求转送至数据库服务器；步骤8：数据库服务器在操作执行结束后，返回数据库操作结果；步骤9：访问控制服务器对返回的数据库操作结果进行协议转换；步骤10：访问控制服务器将数据库操作结果返回应用服务器；步骤11：应用服务器上的客户端截获返回的结果，对返回结果进行还原；步骤12：应用服务器根据返回结果，对用户的应用请求进行响应，将应用执行结果返回至终端用户。