一种数据库安全访问系统及方法与流程

本发明涉及数据库安全技术领域，特别是涉及一种数据库安全访问系统及方法。

背景技术：

目前，各行各业的数据系统均设置有数据库，数据库中保存着大量的信息。这些信息大多属于公司的机密，如果这些信息泄露，将会严重影响企业声誉，甚至给企业造成重大损失。权威数据表明，造成数据泄露的主要原因包括如下两点：1、外部网络的入侵造成的数据泄露，即外部黑客；2、数据库内部的访问权限监控不完善导致非授权访问造成的数据泄露，即内部人员。

外部网络的入侵主要通过防火墙来解决，甚至一些保密性要求较高的数据库还会断开与互联网的连接以避免外部网络入侵，这些都是比较有效的手段。但是现有的数据库内部的访问却未做过多留意，尤其是小型公司的数据库大多是机柜式服务器，甚至一些直接就是pc电脑改装成的数据库。

现在的数据库访问通常是采用分级授权访问的方式，即给员工的账号区分不同的授权等级，员工按照不同的等级可以访问不同的保密等级资料，即将访问的账号分为不同的授权等级，将数据库内的文件分为不同的保密等级。现有的数据库在访问时往往没有进行过多的验证和监控，往往仅需要账号密码即可进行访问，但是这些账号容易被黑客盗用，造成损失。因此，设计一种数据库安全访问系统及方法是十分有必要的。

技术实现要素：

本发明的目的是提供一种数据库安全访问系统及方法，具有实时监控功能，在访问时需要通过双重认证，在受到异常访问时，还可关闭数据库服务器，降低了数据库被入侵时的损失，极大的提高了数据库的安全程度。

为实现上述目的，本发明提供了如下方案：

一种数据库安全访问系统，该系统包括：终端设备、转发模块、代理模块、控制器及与控制器连接的数据库服务器、数据交换机、请求验证模块及数据验证模块；所述终端设备连接所述转发模块，所述转发模块连接所述请求验证模块，所述请求验证模块连接所述代理模块，所述代理模块连接所述数据库服务器，所述数据库服务器通过所述数据交换机通信连接所述终端设备，所述数据库服务器与所述数据交换机之间连接所述数据验证模块；

所述终端设备用于发送访问请求及获取所述数据库服务器返回的数据；

所述数据库服务器用于存储数据；

所述数据交换机用于完成数据库服务器与终端设备的通信；

所述转发模块用于获取所述终端设备的访问请求；

所述代理模块用于识别所述访问请求中的访问命令，并将访问命令发送至数据库服务器；

所述请求验证模块用于对所述终端设备的访问请求进行验证；

所述数据验证模块用于对所述数据库服务器返回的数据进行验证；

所述控制器用于获取请求验证模块及数据验证模块的信息，确定是否向终端设备发送数据及是否关闭数据库服务器。

可选的，所述代理模块包括缓存模块、存储介质及命令处理发送模块，所述请求验证模块连接所述缓存模块，所述缓存模块连接所述存储介质及命令处理发送模块，所述缓存模块用于缓存所述请求验证模块转发的访问请求，所述存储介质用于存储所述访问请求，所述命令发送模块用于提取所述访问请求中的访问命令，并将其发送至数据库服务器。

可选的，所述命令处理发送模块包括命令获取单元、命令识别单元及命令发送单元，所述命令获取单元用于提取所述访问请求中的访问命令，所述命令识别单元用于识别所述访问命令的类型，所述命令发送单元根据所述命令类型，将所述访问命令发送至所述数据库服务器。

可选的，所述请求验证模块包括第一网络嗅探器及身份对比模块，所述转发模块连接所述第一网络嗅探器，所述第一网络嗅探器连接所述身份对比模块，所述身份对比模块连接所述代理模块，所述第一网络嗅探器用于获取所述终端设备的身份信息、授权等级及ip地址，所述身份对比模块用于将终端设备的身份信息与允许访问数据库的身份信息进行对比，判断终端设备是否被允许访问数据库，所述第一网络嗅探器及所述身份对比模块连接所述控制器，用于将终端设备的身份信息、授权等级及ip地址与身份对比模块的判断结果发送至所述控制器。

可选的，所述数据验证模块包括第二网络嗅探器及数据识别模块，所述数据库服务器连接所述第二网络嗅探器，所述第二网络嗅探器连接所述数据识别模块，所述数据识别模块连接所述数据交换机，所述第二网络嗅探器用于获取所述数据库服务器返回的数据，所述数据识别模块用于对数据进行识别，判断数据的保密等级，所述第二网络嗅探器及所述数据识别模块连接所述控制器，用于将数据的保密等级发送至所述控制器。

可选的，所述数据库安全访问系统还包括数据库监控模块及服务器监控模块，所述数据库监控模块及所述服务器监控模块连接所述控制器，所述数据库监控模块用于获取数据库的运行信息，所述服务器监测模块用于获取数据库所在服务器的性能信息。

一种数据库安全访问方法，应用于上述数据库安全访问系统，包括如下步骤：

步骤1：接收终端设备发送的访问请求，请求验证模块提取访问请求中的信息，并对访问请求进行验证；

步骤2：验证通过后，判断访问请求中访问命令的类型，并根据访问命令的类型将访问命令发送至数据库服务器，数据库服务器根据访问命令发送数据给数据验证模块；

步骤3：数据验证模块对数据库服务器返回的数据进行验证，验证通过，通过数据交换机将数据返回给终端设备。

可选的，步骤1中，请求验证模块提取访问请求中的信息，并对访问请求进行验证，具体为：

请求验证模块提取访问请求中的身份信息、授权等级及ip地址，并将其发送至控制器，请求验证模块将访问请求中的身份信息与允许访问数据库服务器的身份信息对比，若允许访问数据库服务器的身份信息中包含访问请求中的身份信息，则验证通过。

可选的，步骤2中，验证通过后，判断访问请求中访问命令的类型，并根据访问命令的类型将访问命令发送至数据库服务器，具体为：

验证通过后，代理模块缓存访问请求，并通过命令获取单元提取访问请求中的访问命令，通过命令识别单元识别访问命令的类型，通过命令发送单元根据命令类型，将访问命令发送至数据库服务器。

可选的，步骤3中，数据验证模块对数据库服务器返回的数据进行验证，若验证通过，则将数据返回给终端设备，具体为：

数据验证模块对数据库服务器进行验证，获取数据的保密等级，并将其发送至控制器，控制器判断访问请求中的身份信息、授权等级及ip地址与数据的保密等级是否相匹配，若匹配，则验证通过，控制器通过数据交换机将数据返回给终端设备，若不匹配，则验证不通过，控制器控制数据库服务器关闭，防止被恶意入侵。

根据本发明提供的具体实施例，本发明公开了以下技术效果：本发明提供的数据库安全访问系统及方法，具有实时监控功能，在访问时需要通过双重认证，在受到异常访问时，还可关闭数据库服务器，降低了数据库被入侵时的损失，极大的提高了数据库的安全程度；该系统包括终端设备、转发模块、代理模块、控制器及与控制器通信连接的数据库服务器、数据交换机、请求验证模块及数据验证模块，所述终端设备能够发送访问请求及获取数据库服务器返回的数据，所述数据库服务器能够存储文件数据，所述数据交换机能够完成数据库服务器与终端设备的通信，所述转发模块能够获取所述终端设备的访问请求，所述代理模块能够识别所述访问请求中的访问命令，并将访问命令发送至数据库服务器，所述请求验证模块能够对所述终端设备的访问请求进行验证，验证通过后才能进行后续操作，保证了安全性，所述数据验证模块能够对所述数据库服务器返回的数据进行验证，所述控制器获取请求验证模块及数据验证模块的信息，判断是否向终端设备发送数据及是否关闭数据库服务器，能够降低数据库服务器被恶意入侵的损失，所述数据库安全访问系统还包括数据库监控模块及服务器监控模块，所述数据库监控模块能够获取数据库的运行信息，所述服务器监测模块能够获取数据库所在服务器的性能信息，进一步保证了数据库服务器的运行；所述方法包括接收终端设备发送的访问请求，请求验证模块提取访问请求中的信息，并对访问请求进行验证，验证通过后，判断访问请求中访问命令的类型，并根据访问命令的类型将访问命令发送至数据库服务器，数据库服务器根据访问命令发送数据给数据验证模块，数据验证模块对数据库服务器返回的数据进行验证，验证通过，通过数据交换机将数据返回给接收终端，在访问申请阶段对访问申请进行验证，确定接收设备的身份信息，在数据传输阶段对接收设备的身份信息、授权等级及ip地址与数据的保密等级进行验证，确定是否匹配，进一步提高了数据库的安全性，若不匹配，则确定数据库遭到非法入侵，可以通过控制器关闭数据库服务器，降低损失。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例数据库安全访问系统结构示意图；

图2为本发明实施例数据库安全访问方法流程示意图。

附图标记：1、终端设备；2、转发模块；3、请求验证模块；4、代理模块；5、数据库服务器；6、数据交换机；7、数据验证模块；8、控制器。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的目的是提供一种数据库安全访问系统及方法，具有实时监控功能，在访问时需要通过双重认证，在受到异常访问时，还可关闭数据库服务器，降低了数据库被入侵时的损失，极大的提高了数据库的安全程度。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1为发明实施例数据库安全访问系统结构示意图，如图1所示，本发明实施例提供的数据库安全访问系统及方法，包括：终端设备1、转发模块2、代理模块4、控制器8及与控制器8连接的数据库服务器5、数据交换机6、请求验证模块3及数据验证模块7；所述终端设备1连接所述转发模块2，所述转发模块2连接所述请求验证模块3，所述请求验证模块3连接所述代理模块4，所述代理模块4连接所述数据库服务器5，所述数据库服务器5通过所述数据交换机6通信连接所述终端设备1，所述数据库服务器5与所述数据交换机6之间连接所述数据验证模块7；

所述终端设备1用于发送访问请求及获取所述数据库服务器5返回的数据；

所述数据库服务器5用于存储数据；

所述数据交换机6用于完成数据库服务器5与终端设备1的通信；

所述转发模块2用于获取所述终端设备1的访问请求；

所述代理模块4用于识别所述访问请求中的访问命令，并将访问命令发送至数据库服务器5；

所述请求验证模块3用于对所述终端设备1的访问请求进行验证；

所述数据验证模块7用于对所述数据库服务器5返回的数据进行验证；

所述控制器8用于获取请求验证模块3及数据验证模块7的信息，确定是否向终端设备1发送数据及是否关闭数据库服务器5。

所述代理模块4包括缓存模块、存储介质及命令处理发送模块，所述请求验证模块3连接所述缓存模块，所述缓存模块连接所述存储介质及命令处理发送模块，所述缓存模块用于缓存所述请求验证模块3转发的访问请求，所述存储介质用于存储所述访问请求，所述命令发送模块用于提取所述访问请求中的访问命令，并将其发送至数据库服务器5。

所述命令处理发送模块包括命令获取单元、命令识别单元及命令发送单元，所述命令获取单元用于提取所述访问请求中的访问命令，所述命令识别单元用于识别所述访问命令的类型，所述命令发送单元根据所述命令类型，将所述访问命令发送至所述数据库服务器5。

所述请求验证模块3包括第一网络嗅探器及身份对比模块，所述转发模块2连接所述第一网络嗅探器，所述第一网络嗅探器连接所述身份对比模块，所述身份对比模块连接所述代理模块4，所述第一网络嗅探器用于获取所述终端设备1的身份信息、授权等级及ip地址，所述身份对比模块用于将终端设备1的身份信息与允许访问数据库的身份信息进行对比，判断终端设备是否被允许访问数据库，所述第一网络嗅探器及所述身份对比模块连接所述控制器8，用于将终端设备1的身份信息、授权等级及ip地址与身份对比模块的判断结果发送至所述控制器8。

所述数据验证模块7包括第二网络嗅探器及数据识别模块，所述数据库服务器5连接所述第二网络嗅探器，所述第二网络嗅探器连接所述数据识别模块，所述数据识别模块连接所述数据交换机6，所述第二网络嗅探器用于获取所述数据库服务器5返回的数据，所述数据识别模块用于对数据进行识别，判断数据的保密等级，所述第二网络嗅探器及所述数据识别模块连接所述控制器8，用于将数据的保密等级发送至所述控制器8。

所述第一网络嗅探器及第二网络嗅探器均为加载了嗅探功能的pc电脑端，所述数据识别模块为加载了保密等级确定功能的pc电脑端，所述身份对比模块为加载了身份对比功能的pc电脑端，所述控制器采用常见型号即可，例如plc控制器等。

所述数据库安全访问系统还包括数据库监控模块及服务器监控模块，所述数据库监控模块及所述服务器监控模块连接所述控制器，所述数据库监控模块用于获取数据库的运行信息，所述运行信息包括当前数据库连接数信息、剩余数据库连接数信息和内存占用信息，所述服务器监测模块用于获取数据库所在服务器的性能信息，所述性能信息包括cpu使用率信息、io性能信息和内存使用情况信息。

如图2所示，一种数据库安全访问方法，应用于上述的数据库安全访问系统，包括如下步骤：

步骤1：接收终端设备发送的访问请求，请求验证模块提取访问请求中的信息，并对访问请求进行验证；

步骤2：验证通过后，判断访问请求中访问命令的类型，并根据访问命令的类型将访问命令发送至数据库服务器，数据库服务器根据访问命令发送数据给数据验证模块；

步骤3：数据验证模块对数据库服务器返回的数据进行验证，验证通过，通过数据交换机将数据返回给终端设备。

步骤1中，请求验证模块提取访问请求中的信息，并对访问请求进行验证，具体为：

请求验证模块提取访问请求中的身份信息、授权等级及ip地址，并将其发送至控制器，请求验证模块将访问请求中的身份信息与允许访问数据库服务器的身份信息对比，若允许访问数据库服务器的身份信息中包含访问请求中的身份信息，则验证通过。

步骤2中，验证通过后，判断访问请求中访问命令的类型，并根据访问命令的类型将访问命令发送至数据库服务器，具体为：

验证通过后，代理模块缓存访问请求，并通过命令获取单元提取访问请求中的访问命令，通过命令识别单元识别访问命令的类型，通过命令发送单元根据命令类型，将访问命令发送至数据库服务器。

步骤3中，数据验证模块对数据库服务器返回的数据进行验证，若验证通过，则将数据返回给终端设备，具体为：

数据验证模块对数据库服务器进行验证，获取数据的保密等级，并将其发送至控制器，控制器判断访问请求中的身份信息、授权等级及ip地址与数据的保密等级是否相匹配，若匹配，则验证通过，控制器通过数据交换机将数据返回给终端设备，若不匹配，则验证不通过，控制器控制数据库服务器关闭，防止被恶意入侵。

本发明提供的数据库安全访问系统及方法，具有实时监控功能，在访问时需要通过双重认证，在受到异常访问时，还可关闭数据库服务器，降低了数据库被入侵时的损失，极大的提高了数据库的安全程度；该系统包括终端设备、转发模块、代理模块、控制器及与控制器通信连接的数据库服务器、数据交换机、请求验证模块及数据验证模块，所述终端设备能够发送访问请求及获取数据库服务器返回的数据，所述数据库服务器能够存储文件数据，所述数据交换机能够完成数据库服务器与终端设备的通信，所述转发模块能够获取所述终端设备的访问请求，所述代理模块能够识别所述访问请求中的访问命令，并将访问命令发送至数据库服务器，所述请求验证模块能够对所述终端设备的访问请求进行验证，验证通过后才能进行后续操作，保证了安全性，所述数据验证模块能够对所述数据库服务器返回的数据进行验证，所述控制器获取请求验证模块及数据验证模块的信息，判断是否向终端设备发送数据及是否关闭数据库服务器，能够降低数据库服务器被恶意入侵的损失，所述数据库安全访问系统还包括数据库监控模块及服务器监控模块，所述数据库监控模块能够获取数据库的运行信息，所述服务器监测模块能够获取数据库所在服务器的性能信息，进一步保证了数据库服务器的运行；所述方法包括接收终端设备发送的访问请求，请求验证模块提取访问请求中的信息，并对访问请求进行验证，验证通过后，判断访问请求中访问命令的类型，并根据访问命令的类型将访问命令发送至数据库服务器，数据库服务器根据访问命令发送数据给数据验证模块，数据验证模块对数据库服务器返回的数据进行验证，验证通过，通过数据交换机将数据返回给接收终端，在访问申请阶段对访问申请进行验证，确定接收设备的身份信息，在数据传输阶段对接收设备的身份信息、授权等级及ip地址与数据的保密等级进行验证，确定是否匹配，进一步提高了数据库的安全性，若不匹配，则确定数据库遭到非法入侵，可以通过控制器关闭数据库服务器，降低损失。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。