[发明专利]一种安全访问数据库的方法及装置

说明书

本申请实施例提供一种安全访问数据库的方法及装置，所述方法包括：获取访问用户的用户属性信息以及SQL语句，其中，所述用户属性信息包括：用户名，用户登录的IP地址和访问时间；采用语法分析解析所述SQL语句得到SQL属性信息、操作类型以及操作对象，其中，所述SQL属性信息包括所述SQL语句的执行时间戳，所述操作类型包括数据定义操作、数据查询操作、数据增加操作、数据更新操作、数据插入操作或数据控制操作；根据所述用户属性信息、所述SQL属性信息、所述操作类型、所述操作对象和权限规则确认所述访问用户具有操作权限。本申请的一些实施例可以基于更细粒度的信息与权限规则进行匹配，进而提升对数据库的安全访问控制。

技术领域

本申请涉及数据库访问领域，具体而言本申请实施例涉及一种安全访问数据库的方法及装置。

背景技术

随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域，但随之而来产生了数据的安全问题。如何保证数据库自身的安全，已经成为现代数据库系统的主要评测指标之一。在这种背景下需要一款产品或者技术，管理和限制用户的操作权限和相应资源，以非法可知可控为目标，确保数据库数据资源的安全性和可靠性。

发明内容

本申请实施例的目的在于提供一种安全访问数据库的方法及装置，本申请的一些实施例可以进行对多种资源的访问控制，避免非法人员绕行访问数据库资源，在一些实施例中，可以实现安全访问控制设备的灵活部署(例如，旁路或者串联)；本申请的一些实施例还采用了对结构化查询语言SQL(Structured Query Language)语句深度分析技术，可以对SQL的所有信息进行提取，提高了规则匹配时的准确度。

第一方面，本申请实施例提供一种安全访问数据库的方法，所述方法包括：获取访问用户的用户属性信息以及SQL语句，其中，所述用户属性信息包括：用户名，用户登录的IP地址和访问时间；采用语法分析解析所述SQL语句得到SQL属性信息、操作类型以及操作对象，其中，所述SQL属性信息包括所述SQL语句的执行时间戳，所述操作类型包括数据定义操作、数据查询操作、数据增加操作、数据更新操作、数据插入操作或数据控制操作；根据所述用户属性信息、所述SQL属性信息、所述操作类型、所述操作对象和权限规则确认所述访问用户具有操作权限。

本申请的一些实施例采用词法语法分析SQL语句以切分出更细粒度的信息，基于更细粒度的信息与权限规则匹配，以提升对数据库的安全访问控制。

在一些实施例中，所述采用语法分析解析所述SQL语句得到SQL属性信息、操作类型以及操作对象，包括：捕获所述SQL语句的各字段；从所述各字段中提取有效信息，其中，所述有效信息是根据为各所述操作类型制定的成分模板确定的。

本申请的一些实施例对SQL语句进行语法词法分析以获取其中的与数据库安全操作相关的信息，相比于现有技术的基于匹配算法来提取SQL中的与数据库安全操作相关的信息，语法分析提取的信息量更多(例如可以提取多级嵌套的信息)，因此更加有利于细粒度数据库的访问控制。

在一些实施例中，所述根据所述用户属性信息、所述SQL属性信息、所述操作类型、所述操作对象和权限规则确认所述访问用户具有操作权限，包括：根据匹配规则和所述用户属性的匹配结果确认用户校验合格。

本申请的一些实施例仅根据用户属性信息进行用户身份认证，可以仅对用户属性(例如，访问用户的IP地址、端口、实例名、访问时间)的所有操作进行限制。

在一些实施例中，所述根据所述用户属性信息、所述SQL属性信息、所述操作类型、所述操作对象和权限规则确认所述访问用户具有操作权限，包括：根据匹配规则与所述用户属性的匹配结果确认用户校验合格；根据所述匹配规则和所述操作类型的匹配结果确定合格用户的操作请求被允许。

本申请的一些实施例，在用户身份认证合格后还根据操作类型来进一步确定访问用户是否具有所请求操作类型的权限，可以在用户属性校验基础上，对用户操作进行检测和控制。