一种数据库访问管理方法和装置与流程

本发明涉及信息安全技术，尤指一种数据库访问管理方法和装置。

背景技术：

现阶段，k-db等数据库的监听器只是起到一个连接客户端和数据库的一个桥梁的作用，准入限制层在数据库里面，由数据库对访问请求进行过滤和限制。这会带来两方面比较严重的问题：一方面，在数据库里面做判断和限制时，当在网络攻击的时候产生大量的数据库负载，严重影响数据库性能；另一方面，将用户请求的准入判断机制放在数据库层面，可能会给黑客攻击带来极大方便，严重时可能破译数据库系统表信息，登入数据库进行破坏。

技术实现要素：

为了解决上述技术问题，本发明提供了一种数据库访问管理方法和装置，把用户请求的准入判断机制剥离出数据库层面，集成到监听器上，从监听器上进行白名单准入机制，最大限度降低数据库负载，解决了网络攻击造成数据库信息泄露、影响数据库性能等问题。

为了达到本发明目的，本发明提供了一种数据库访问管理方法，包括：

数据库的监听器在接收到访问请求时，查询所述访问请求的来源是否处于预置的白名单中；

在所述访问请求的来源不在所述白名单中时，所述监听器拒绝所述访问请求。

优选的，该方法还包括：

修改所述监听器的配置文件，将所述白名单的路径写入所述监听器的配置文件中。

优选的，数据库的监听器在接收到访问请求时，查询所述访问请求的来源是否处于预置的白名单中的步骤之前，还包括：

所述监听器启动后载入所述白名单。

优选的，数据库的监听器在接收到访问请求时，查询所述访问请求的来源是否处于预置的白名单中的步骤之后，还包括：

在所述访问请求的来源在所述白名单中时，所述监听器将所述访问请求连接至所述数据库，在所述数据库中进行进一步匹配。

优选的，所述白名单具体为ip地址白名单。

本发明还提供了一种数据库访问管理装置，包括：

白名单匹配模块，用于在监听器接收到访问请求时，查询所述访问请求的来源是否处于预置的白名单中；

访问限制模块，用于在所述访问请求的来源不在所述白名单中时，拒绝所述访问请求。

优选的，该装置还包括：

配置模块，用于修改所述监听器的配置文件，将所述白名单的路径写入所述监听器的配置文件中。

优选的，所述白名单匹配模块，还用于启动后载入所述白名单。

优选的，所述访问限制模块，还用于在所述访问请求的来源在所述白名单中时，将所述访问请求连接至所述数据库，在所述数据库中进行进一步匹配。

本发明提供了一种数据库访问管理方法和装置，数据库的监听器在接收到访问请求时，查询所述访问请求的来源是否处于预置的白名单中，在所述访问请求的来源不在所述白名单中时，所述监听器拒绝所述访问请求。通过基于白名单的监听器访问限制，保证了数据库信息的安全性，实现了低负载的数据库安全保障方案，解决了网络攻击造成数据库信息泄露、影响数据库性能等问题。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本发明技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本发明的技术方案，并不构成对本发明技术方案的限制。

图1为本发明的实施例一提供的一种数据库访问管理方法的流程示意图；

图2为本发明的实施例一提供的数据库访问管理方法与现有的访问方式的访问路径对比示意图；

图3为本发明的实施例二提供的一种数据库访问管理装置的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

k-db等数据库的监听器在接收到用户的请求后，在监听器上不做任何判断，直接把用户请求接入数据库中，在数据库里面，通过对比数据库里面的系统表判断该请求的用户信息是否合法。这种登录准入机制存在严重的漏洞，黑客可以利用此漏洞很简单的登录到数据库里面进行各种操作，并且在数据库在做判断和准入动作时会带来数据库负载，大量的并发操作将严重影响数据库性能。现阶段，没有一种很好的方法可以在数据库之外，或者说在监听器上来限制或允许用户的准入。

为了解决上述问题，本发明的实施例提供了一种数据库访问管理方法和装置。把用户请求的准入判断机制剥离出数据库层面，集成到监听器上。从监听器上进行白名单准入机制，最大限度降低数据库负载，解决了网络攻击造成数据库信息泄露、影响数据库性能等问题。

首先结合附图，对本发明的实施例一进行说明。

本发明实施例提供了一种数据库访问管理方法，使用该方法完成对访问请求的过滤限制的流程如图1所示，包括：

步骤101、修改所述监听器的配置文件，将所述白名单的路径写入监听器的配置文件中；

本发明实施例中，所述白名单具体为ip地址白名单。

本步骤中，修改监听器配置文件，把白名单文件的路径写入监听器配置文件中，这样在启动监听器后白名单信息就可以自动载入监听器中。

具体的，首先修改监听器配置文件，把白名单触发参数、白名单文件的路径参数等写入监听器配置文件，并且配置好白名单文件(白名单文件内容为允许准入的客户端ip地址信息)。

步骤102、所述监听器启动后载入所述白名单；

本步骤中，启动监听器，监听器将自动载入白名单并开启白名单检查功能。

步骤103、数据库的监听器在接收到访问请求时，查询所述访问请求的来源是否处于预置的白名单中；

本步骤中，用户发出的访问请求等信息在通过监听器时，将由监听器进行过滤，监听器将自动匹配用户的白名单，进行白名单检查。

步骤104、在所述访问请求的来源在所述白名单中时，所述监听器将所述访问请求连接至所述数据库，在所述数据库中进行进一步匹配；

本步骤中，如果访问请求的来源(如用户的ip地址)在白名单中将放行，允许接入数据库，用户请求将被连接至数据库，在数据库中做进一步的匹配，在数据库层面做进一步的用户名和密码的检查等。

步骤105、在所述访问请求的来源不在所述白名单中时，所述监听器拒绝所述访问请求；

本步骤中，如果用户的ip地址不在白名单中将拒绝用户的请求，在监听器上直接限制，禁止用户接入数据库

根据准入的规则，可进行相应白名单内容的调整，然后重新加载监听器即可。实现了随时调整访问限制规则，简单方便。

使用本发明实施例提供的数据库访问管理方法进行访问与现有的访问方式的访问路径如图2所示。其中，虚线箭头表示现有访问方式的访问路径，实线箭头表示本发明实施例提供的方法的访问路径。

下面结合附图，对本发明的实施例二进行说明。

本发明实施例提供了一种数据库访问管理装置，其结构如图3所示，包括：

白名单匹配模块301，用于在监听器接收到访问请求时，查询所述访问请求的来源是否处于预置的白名单中；

访问限制模块302，用于在所述访问请求的来源不在所述白名单中时，拒绝所述访问请求。

优选的，该装置还包括：

配置模块303，用于修改所述监听器的配置文件，将所述白名单的路径写入所述监听器的配置文件中。

优选的，所述白名单匹配模块301，还用于启动后载入所述白名单。

优选的，所述访问限制模块302，还用于在所述访问请求的来源在所述白名单中时，将所述访问请求连接至所述数据库，在所述数据库中进行进一步匹配。

本发明的实施例提供了一种数据库访问管理方法和装置，数据库的监听器在接收到访问请求时，查询所述访问请求的来源是否处于预置的白名单中，在所述访问请求的来源不在所述白名单中时，所述监听器拒绝所述访问请求。通过基于白名单的监听器访问限制，保证了数据库信息的安全性，实现了低负载的数据库安全保障方案，解决了网络攻击造成数据库信息泄露、影响数据库性能等问题。利用监听器去分担数据库层的部分功能，从而降低了数据库的负载，同时也增强了数据库的安全性

虽然本发明所揭露的实施方式如上，但所述的内容仅为便于理解本发明而采用的实施方式，并非用以限定本发明。任何本发明所属领域内的技术人员，在不脱离本发明所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本发明的专利保护范围，仍须以所附的权利要求书所界定的范围为准。