本發明公開了一種網關數據交互方法，應用于數據庫網關安全領域，用于解決數據庫網關與數據庫交互時安全性低的問題，數據庫網關端和數據庫端被劃分為安全區域和非安全區域，數據庫網關端安全區域和數據庫端安全區域進行遠程證明，通過數據庫網關端安全區域和數據庫端安全區域對自身的可信計算基進行度量得到度量值，并使用證明證書對其度量值進行簽名生成簽名信息。數據數網關端和數據庫端驗證對方的度量值和簽名信息確保對方的可信程度，以構建數據庫網關端與數據庫端之間的可信關系，提高數據交互的安全。

技術領域

本發明涉及數據庫網關安全領域，尤其涉及一種網關數據交互方法、裝置、計算機設備及存儲介質。

背景技術

大數據時代的數據處理和分析需要通過多數據庫互通聚合來完成復雜的計算邏輯，數據庫的互通是云計算中的常見需求。數據庫網關(Database Gateway)是一種用于數據庫代理，擁有數據庫訪問控制、數據庫權限管理、數據庫訪問追溯等功能的數據庫管理組件，可實現數據庫間互通。但因數據庫網關暴露在公網環境下，因此非常容易遭受攻擊。攻擊形式包括但不限于黑客、病毒、rootkit等惡意軟件，在應用層、操作系統層、硬件層對數據庫網關展開攻擊。用戶在使用過程中往往難以察覺到數據庫已經遭到竊取，從而形成高級長期威脅(APT，Advanced Persistent Threat)。此外，來自內部人員的惡意或者無意的非授權訪問也可能造成數據泄漏。

現有的數據庫網關端保護方案，基于虛擬化技術的系統資源隔離和監控，如Hypervisor為數據庫網關端構建一個隔離的空間運行，但hypervisor技術自身的漏洞可能會威脅到整個系統；基于TPM(Trusted Platform Module，可信平臺模塊)的可信架構在程序加載時進行完整性度量，但卻難以保證程序在運行時仍然是可信的；基于病毒查殺，如云平臺的agent等，通過實時檢測進出流量、指令、內存及文件等，進行威脅監測，但基于病毒查殺的方案在數據庫網關端的大數據量情景下，對資源侵占較高且對未知威脅應對能力弱。

大多數數據庫網關和數據庫交互的保護方案不適用于ARM處理器平臺。ARMTrustzone是ARM推出的旨在以硬件為安全強制保障的安全技術。Trustzone將應用程序分別放置在普通區域和安全區域運行，需要保護的內容將在安全區域內收到保護。

本發明針對目前逐漸增多的ARM架構服務器和ARM架構個人計算機和移動設備，提出一種只要CPU(Central ProcessingUnit，中央處理器)可信，就確保數據庫網關運行時安全的數據庫網關和數據庫交互方案，提高數據庫網關端對未知威脅的防御能力，使數據庫網關更安全。

發明內容

本發明實施例提供一種網關數據交互方法、裝置、計算機設備及存儲介質，以解決在大數據時代下，ARM架構中數據庫網關易被攻擊、數據庫端的數據易被泄露或竊取的的問題。

根據本申請的一方面提供一種網關數據交互方法，所述方法應用于數據庫網關端，所述數據庫網關端被劃分為安全區域和非安全區域，包括以下步驟：

所述數據庫網關端非安全區域將接收來自用戶端的用戶請求和用戶身份信息通過第一代理轉發至所述數據庫網關端安全區域，所述第一代理控制所述數據網關端安全區域運行，并控制所述數據庫網關端非安全區域睡眠；

所述數據庫網關端安全區域接收所述用戶請求和所述用戶身份信息，并對所述用戶請求和用戶身份信息進行驗證；

所述用戶請求和所述用戶身份信息驗證通過后，所述數據庫網關端安全區域向數據庫端安全區域間發起遠程證明；

遠程證明成功后，數據庫網關端安全區域將所述用戶請求發送至所述數據庫端安全區域，供所述數據庫端安全區域執行所述用戶請求；

接收來自所述數據庫端安全區域根據請求結果進行處理的第一處理結果時，所述第一代理控制所述數據網關端非安全區域運行，并控制所述數據庫網關端安全區域睡眠，通過所述數據庫網關端非安全區域接收所述第一處理結果；