本申請(qǐng)實(shí)施例提供一種安全訪問(wèn)數(shù)據(jù)庫(kù)的方法及裝置，所述方法包括：獲取訪問(wèn)用戶的用戶屬性信息以及SQL語(yǔ)句，其中，所述用戶屬性信息包括：用戶名，用戶登錄的IP地址和訪問(wèn)時(shí)間；采用語(yǔ)法分析解析所述SQL語(yǔ)句得到SQL屬性信息、操作類(lèi)型以及操作對(duì)象，其中，所述SQL屬性信息包括所述SQL語(yǔ)句的執(zhí)行時(shí)間戳，所述操作類(lèi)型包括數(shù)據(jù)定義操作、數(shù)據(jù)查詢操作、數(shù)據(jù)增加操作、數(shù)據(jù)更新操作、數(shù)據(jù)插入操作或數(shù)據(jù)控制操作；根據(jù)所述用戶屬性信息、所述SQL屬性信息、所述操作類(lèi)型、所述操作對(duì)象和權(quán)限規(guī)則確認(rèn)所述訪問(wèn)用戶具有操作權(quán)限。本申請(qǐng)的一些實(shí)施例可以基于更細(xì)粒度的信息與權(quán)限規(guī)則進(jìn)行匹配，進(jìn)而提升對(duì)數(shù)據(jù)庫(kù)的安全訪問(wèn)控制。

技術(shù)領(lǐng)域

本申請(qǐng)涉及數(shù)據(jù)庫(kù)訪問(wèn)領(lǐng)域，具體而言本申請(qǐng)實(shí)施例涉及一種安全訪問(wèn)數(shù)據(jù)庫(kù)的方法及裝置。

背景技術(shù)

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，數(shù)據(jù)庫(kù)的應(yīng)用十分廣泛，深入到各個(gè)領(lǐng)域，但隨之而來(lái)產(chǎn)生了數(shù)據(jù)的安全問(wèn)題。如何保證數(shù)據(jù)庫(kù)自身的安全，已經(jīng)成為現(xiàn)代數(shù)據(jù)庫(kù)系統(tǒng)的主要評(píng)測(cè)指標(biāo)之一。在這種背景下需要一款產(chǎn)品或者技術(shù)，管理和限制用戶的操作權(quán)限和相應(yīng)資源，以非法可知可控為目標(biāo)，確保數(shù)據(jù)庫(kù)數(shù)據(jù)資源的安全性和可靠性。

發(fā)明內(nèi)容

本申請(qǐng)實(shí)施例的目的在于提供一種安全訪問(wèn)數(shù)據(jù)庫(kù)的方法及裝置，本申請(qǐng)的一些實(shí)施例可以進(jìn)行對(duì)多種資源的訪問(wèn)控制，避免非法人員繞行訪問(wèn)數(shù)據(jù)庫(kù)資源，在一些實(shí)施例中，可以實(shí)現(xiàn)安全訪問(wèn)控制設(shè)備的靈活部署(例如，旁路或者串聯(lián))；本申請(qǐng)的一些實(shí)施例還采用了對(duì)結(jié)構(gòu)化查詢語(yǔ)言SQL(Structured Query Language)語(yǔ)句深度分析技術(shù)，可以對(duì)SQL的所有信息進(jìn)行提取，提高了規(guī)則匹配時(shí)的準(zhǔn)確度。

第一方面，本申請(qǐng)實(shí)施例提供一種安全訪問(wèn)數(shù)據(jù)庫(kù)的方法，所述方法包括：獲取訪問(wèn)用戶的用戶屬性信息以及SQL語(yǔ)句，其中，所述用戶屬性信息包括：用戶名，用戶登錄的IP地址和訪問(wèn)時(shí)間；采用語(yǔ)法分析解析所述SQL語(yǔ)句得到SQL屬性信息、操作類(lèi)型以及操作對(duì)象，其中，所述SQL屬性信息包括所述SQL語(yǔ)句的執(zhí)行時(shí)間戳，所述操作類(lèi)型包括數(shù)據(jù)定義操作、數(shù)據(jù)查詢操作、數(shù)據(jù)增加操作、數(shù)據(jù)更新操作、數(shù)據(jù)插入操作或數(shù)據(jù)控制操作；根據(jù)所述用戶屬性信息、所述SQL屬性信息、所述操作類(lèi)型、所述操作對(duì)象和權(quán)限規(guī)則確認(rèn)所述訪問(wèn)用戶具有操作權(quán)限。

本申請(qǐng)的一些實(shí)施例采用詞法語(yǔ)法分析SQL語(yǔ)句以切分出更細(xì)粒度的信息，基于更細(xì)粒度的信息與權(quán)限規(guī)則匹配，以提升對(duì)數(shù)據(jù)庫(kù)的安全訪問(wèn)控制。

在一些實(shí)施例中，所述采用語(yǔ)法分析解析所述SQL語(yǔ)句得到SQL屬性信息、操作類(lèi)型以及操作對(duì)象，包括：捕獲所述SQL語(yǔ)句的各字段；從所述各字段中提取有效信息，其中，所述有效信息是根據(jù)為各所述操作類(lèi)型制定的成分模板確定的。

本申請(qǐng)的一些實(shí)施例對(duì)SQL語(yǔ)句進(jìn)行語(yǔ)法詞法分析以獲取其中的與數(shù)據(jù)庫(kù)安全操作相關(guān)的信息，相比于現(xiàn)有技術(shù)的基于匹配算法來(lái)提取SQL中的與數(shù)據(jù)庫(kù)安全操作相關(guān)的信息，語(yǔ)法分析提取的信息量更多(例如可以提取多級(jí)嵌套的信息)，因此更加有利于細(xì)粒度數(shù)據(jù)庫(kù)的訪問(wèn)控制。

在一些實(shí)施例中，所述根據(jù)所述用戶屬性信息、所述SQL屬性信息、所述操作類(lèi)型、所述操作對(duì)象和權(quán)限規(guī)則確認(rèn)所述訪問(wèn)用戶具有操作權(quán)限，包括：根據(jù)匹配規(guī)則和所述用戶屬性的匹配結(jié)果確認(rèn)用戶校驗(yàn)合格。

本申請(qǐng)的一些實(shí)施例僅根據(jù)用戶屬性信息進(jìn)行用戶身份認(rèn)證，可以僅對(duì)用戶屬性(例如，訪問(wèn)用戶的IP地址、端口、實(shí)例名、訪問(wèn)時(shí)間)的所有操作進(jìn)行限制。

在一些實(shí)施例中，所述根據(jù)所述用戶屬性信息、所述SQL屬性信息、所述操作類(lèi)型、所述操作對(duì)象和權(quán)限規(guī)則確認(rèn)所述訪問(wèn)用戶具有操作權(quán)限，包括：根據(jù)匹配規(guī)則與所述用戶屬性的匹配結(jié)果確認(rèn)用戶校驗(yàn)合格；根據(jù)所述匹配規(guī)則和所述操作類(lèi)型的匹配結(jié)果確定合格用戶的操作請(qǐng)求被允許。

本申請(qǐng)的一些實(shí)施例，在用戶身份認(rèn)證合格后還根據(jù)操作類(lèi)型來(lái)進(jìn)一步確定訪問(wèn)用戶是否具有所請(qǐng)求操作類(lèi)型的權(quán)限，可以在用戶屬性校驗(yàn)基礎(chǔ)上，對(duì)用戶操作進(jìn)行檢測(cè)和控制。