本申請公開了一種數據庫密碼保護方法、裝置及設備，包括：獲取應用服務發送的針對目標數據庫的訪問密碼查詢請求；基于所述訪問密碼查詢請求查詢所述目標數據庫的訪問密碼；對所述訪問密碼進行加密，得到加密密碼；將所述加密密碼返回至所述應用服務，以便所述應用服務調用所述密碼服務預先生成的加解密文件對所述加密密碼進行解密，得到所述訪問密碼。這樣，避免了將密碼明文或者加密后的密碼密文寫入應用程序或其可以訪問的配置文件、環境變量，通過密碼服務進行加密，通過密碼服務生成的加解密文件進行解密，能夠提升數據庫密碼的安全性，從而防止數據泄露。

技術領域

本申請涉及數據庫技術領域，特別涉及一種數據庫密碼保護方法、裝置及設備。

背景技術

在服務端程序訪問數據庫時，通常需要創建連接來與數據庫進行交互，而創建數據庫連接時需要指定訪問數據庫的URL、用戶名、密碼等信息，這些信息通常寫入到應用程序可讀取的配置文件、環境變量或應用程序代碼片段中，在創建數據庫連接時，根據這些信息來建立數據庫訪問通道。但這些信息容易被相關的開發、運維人員或者是攻擊者獲取，導致數據庫密碼泄漏，進而導致數據庫中存儲的數據被非法獲取，產生嚴重的數據安全事故。

目前，為了保護數據庫密碼，現有的解決方案是通過一些加密技術將數據庫密碼加密之后再寫入到配置文件或程序代碼中，當應用程序需要建立數據庫連接時，讀出加密之后的密文，然后使用相同的秘鑰和對應的解密算法，解密得到明文的數據庫訪問密碼，然后訪問數據庫建立連接。但這種方案中，用于加密的秘鑰和加密算法本身作為應用程序或其可以訪問的配置文件、環境變量的一部分存在于應用服務器上，相關的開發、運維人員或者非法登入應用服務器的攻擊者仍然可以通過對應用程序及其配置文件、環境變量等進行分析，得到加密秘鑰和加密算法，進而獲取到數據庫訪問密碼，仍然存在巨大的安全隱患。

發明內容

有鑒于此，本申請的目的在于提供一種數據庫密碼保護方法、裝置及設備，能夠提升數據庫密碼的安全性，從而防止數據泄露。其具體方案如下：

第一方面，本申請公開了一種數據庫密碼保護方法，應用于密碼服務，包括：

獲取應用服務發送的針對目標數據庫的訪問密碼查詢請求；

基于所述訪問密碼查詢請求查詢所述目標數據庫的訪問密碼；

對所述訪問密碼進行加密，得到加密密碼；

將所述加密密碼返回至所述應用服務，以便所述應用服務調用所述密碼服務預先生成的加解密文件對所述加密密碼進行解密，得到所述訪問密碼。

可選的，還包括：

生成所述應用服務對應的公私鑰對，并將所述公私鑰對中的私鑰添加至所述加解密文件；

相應的，所述對所述訪問密碼進行加密，得到加密密碼，包括：

利用所述公私鑰對中的公鑰對所述訪問密碼進行加密，得到加密密碼；

并且，所述應用服務用于調用所述加解密文件中的所述私鑰對所述加密密碼進行解密，得到所述訪問密碼。

可選的，所述訪問密碼查詢請求攜帶第一密文；所述第一密文為利用所述加解密文件中的目標密鑰對請求數據加密得到的密文，所述請求數據包括所述應用服務的標識信息；

相應的，所述基于所述訪問密碼查詢請求查詢所述目標數據庫的訪問密碼，包括：

利用所述目標密鑰對所述第一密文進行解密，得到第一解密數據；

基于所述第一解密數據中的所述標識信息以及所述訪問密碼查詢請求的來源IP地址查詢所述應用服務對應的所述公鑰；

若查詢到所述公鑰，則查詢所述目標數據庫的訪問密碼。