本技术涉及计算机,尤其涉及一种数据库防火墙防护方法、装置、终端设备以及存储介质。
背景技术:
1、当前数据库防护多从权限管控、行为审计的视角来增强数据库安全。数据库防护方案基于主动防御机制,实现了数据库的访问行为控制、危险操作阻断和可疑行为审计。但就认证authentication、授权authorization、账号account和审计audit这四个维度来看,现有技术在认证和账号方面存在着不足。随着攻防对抗的不断深入,需要进一步从数据库的用户全生命周期管理、增强认证等维度持续保护数据库安全。
2、目前数据库防火墙的具体工作原理为:发送到数据库的报文先经过数据库防火墙,由数据库防火墙根据规则判断报文是否合法,若合法则转发出去;若不合法则将报文丢弃。发明人在实现本发明时发现,以上过程中存在数据库客户端暴露数据库服务器提供的真实的用户名和密码的问题,容易成为数据库在认证和账号方面的安全隐患。
3、因此,有必要提出一种对数据库客户端隐藏数据库服务器的真实用户名和密码的解决方案。
技术实现思路
1、本技术的主要目的在于提供一种数据库防火墙防护方法、装置、终端设备以及存储介质,旨在解决数据库防火墙工作过程中数据库客户端会暴露数据库服务器提供的真实用户名和密码的问题,提升数据库在认证和账号方面的安全性。
2、为实现上述目的,本技术提供一种数据库防火墙防护方法,应用于数据库防火墙服务器,所述数据库防火墙防护方法包括:
3、获取数据库客户端发送的第一用户登录信息;
4、根据所述第一用户登录信息和数据库防火墙用户信息表进行登录验证,若验证通过则使所述数据库客户端登录到所述数据库防火墙服务器;
5、其中,所述数据库防火墙用户信息表存储在所述数据库防火墙服务器中,用于存储有权限从所述数据库客户端登录到所述数据库防火墙服务器的用户信息;
6、根据所述数据库防火墙用户信息表和数据库服务器用户信息表之间的映射关系获取所述数据库服务器用户信息表中与所述第一用户登录信息对应的第二用户登录信息;
7、其中,所述数据库服务器用户信息表存储在所述数据库防火墙服务器中,用于存储有权限从所述数据库防火墙服务器登录到数据库服务器的用户信息;
8、将所述第二用户登录信息发送至所述数据库服务器进行登录验证,若验证通过则所述数据库防火墙服务器登录到所述数据库服务器。
9、可选地,应用于所述数据库服务器,所述数据库防火墙防护方法还包括:
10、获取所述第二用户登录信息,根据所述第二用户登录信息和所述数据库服务器的数据库密码进行登录验证,若验证通过则使所述数据库防火墙服务器登录到所述数据库服务器;
11、根据预设规则对所述数据库服务器的数据库密码进行更新。
12、可选地,应用于所述数据库客户端,所述数据库防火墙防护方法还包括:
13、获取用户输入的所述第一用户登录信息;
14、将所述第一用户登录信息发送至所述数据库防火墙服务器进行登录验证,若验证通过则登录到所述数据库防火墙服务器。
15、可选地,应用于所述数据库客户端,在所述若验证通过则所述数据库防火墙服务器登录到所述数据库服务器的步骤之后,还包括:
16、执行update语句验证接收到的校验码,其中,所述校验码存储在所述数据库服务器创建的数据库防火墙用户id表中。
17、可选地,所述数据库防火墙服务器和所述数据库服务器之间的通信方式采用数据库厂商提供的通信协议dbmf协议。
18、可选地,所述数据库客户端和所述数据库防火墙服务器之间的通信方式采用所述dbmf协议,所述数据库客户端包括数据库厂商提供的客户端,所述数据库防火墙服务器包括模拟数据库服务simudbsever模块,其中,所述simudbsever模块用于建立所述数据库厂商提供的客户端与所述数据库防火墙服务器之间的链接。
19、可选地,所述数据库客户端和所述数据库防火墙服务器之间的通信方式采用开源协议ankki协议,所述数据库客户端包括ankki提供的客户端,所述数据库防火墙服务器包括ankki集成到所述数据库防火墙中的模块ankkisever模块,其中,所述ankkisever模块用于建立所述ankki提供的客户端与所述数据库防火墙服务器之间的链接。
20、本技术实施例还提出一种数据库防火墙防护装置,所述数据库防火墙防护装置包括:
21、信息获取模块,用于获取数据库客户端发送的第一用户登录信息;
22、防火墙登录模块,用于根据所述第一用户登录信息和数据库防火墙用户信息表进行登录验证,若验证通过则使所述数据库客户端登录到数据库防火墙服务器;其中,所述数据库防火墙用户信息表存储在所述数据库防火墙服务器中,用于存储有权限从所述数据库客户端登录到所述数据库防火墙服务器的用户信息;
23、关系映射模块,用于根据所述数据库防火墙用户信息表和数据库服务器用户信息表之间的映射关系获取所述数据库服务器用户信息表中与所述第一用户登录信息对应的第二用户登录信息;其中,所述数据库服务器用户信息表存储在所述数据库防火墙服务器中,用于存储有权限从所述数据库防火墙服务器登录到数据库服务器的用户信息;
24、服务器登录模块,用于将所述第二用户登录信息发送至所述数据库服务器进行登录验证,若验证通过则所述数据库防火墙服务器登录到所述数据库服务器。
25、本技术实施例还提出一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数据库防火墙防护程序,所述数据库防火墙防护程序被所述处理器执行时实现如上所述的数据库防火墙防护方法的步骤。
26、本技术实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有数据库防火墙防护程序,所述数据库防火墙防护程序被处理器执行时实现如上所述的数据库防火墙防护方法的步骤。
27、本技术实施例提出的数据库防火墙防护方法、装置、终端设备以及存储介质,应用于数据库防火墙服务器,通过获取数据库客户端发送的第一用户登录信息;根据所述第一用户登录信息和数据库防火墙用户信息表进行登录验证,若验证通过则使所述数据库客户端登录到所述数据库防火墙服务器;其中,所述数据库防火墙用户信息表存储在所述数据库防火墙服务器中,用于存储有权限从所述数据库客户端登录到所述数据库防火墙服务器的用户信息;根据所述数据库防火墙用户信息表和数据库服务器用户信息表之间的映射关系获取所述数据库服务器用户信息表中与所述第一用户登录信息对应的第二用户登录信息;其中,所述数据库服务器用户信息表存储在所述数据库防火墙服务器中,用于存储有权限从所述数据库防火墙服务器登录到数据库服务器的用户信息;将所述第二用户登录信息发送至所述数据库服务器进行登录验证,若验证通过则所述数据库防火墙服务器登录到所述数据库服务器。基于本技术方案,在数据库防火墙服务器中构建具备映射关系的数据库防火墙用户信息表和数据库服务器用户信息表,通过数据库客户端使用数据库防火墙用户信息表中的用户登录到数据库防火墙服务器,数据库防火墙服务器再使用数据库服务器用户信息表中的用户登录到数据库服务器,使得数据库防火墙作为服务来管理数据库客户端的用户,可以实现对数据库客户端隐藏数据库服务器提供的真实的用户名和密码,提升数据库在认证和账号方面的安全性。
1.一种数据库防火墙防护方法,其特征在于,应用于数据库防火墙服务器,所述数据库防火墙防护方法包括:
2.如权利要求1所述的数据库防火墙防护方法,其特征在于,应用于所述数据库服务器,所述数据库防火墙防护方法还包括:
3.如权利要求1所述的数据库防火墙防护方法,其特征在于,应用于所述数据库客户端,所述数据库防火墙防护方法还包括:
4.如权利要求3所述的数据库防火墙防护方法,其特征在于,应用于所述数据库客户端,在所述若验证通过则所述数据库防火墙服务器登录到所述数据库服务器的步骤之后,还包括:
5.如权利要求1、2、3或4中任一项所述的数据库防火墙防护方法,其特征在于,所述数据库防火墙服务器和所述数据库服务器之间的通信方式采用数据库厂商提供的通信协议dbmf协议。
6.如权利要求5所述的数据库防火墙防护方法,其特征在于,所述数据库客户端和所述数据库防火墙服务器之间的通信方式采用所述dbmf协议,所述数据库客户端包括数据库厂商提供的客户端,所述数据库防火墙服务器包括模拟数据库服务simudbsever模块,其中,所述simudbsever模块用于建立所述数据库厂商提供的客户端与所述数据库防火墙服务器之间的链接。
7.如权利要求5所述的数据库防火墙防护方法,其特征在于,所述数据库客户端和所述数据库防火墙服务器之间的通信方式采用开源协议ankki协议,所述数据库客户端包括ankki提供的客户端,所述数据库防火墙服务器包括ankki集成到所述数据库防火墙中的模块ankkisever模块,其中,所述ankkisever模块用于建立所述ankki提供的客户端与所述数据库防火墙服务器之间的链接。
8.一种数据库防火墙防护装置,其特征在于,所述数据库防火墙防护装置包括:
9.一种终端设备,其特征在于,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数据库防火墙防护程序,所述数据库防火墙防护程序被所述处理器执行时实现如权利要求1-7中任一项所述的数据库防火墙防护方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有数据库防火墙防护程序,所述数据库防火墙防护程序被处理器执行时实现如权利要求1-7中任一项所述的数据库防火墙防护方法的步骤。
