[发明专利]基于数据库协议代理的前置式数据库访问控制方法和系统

权利要求书

1.一种基于数据库协议代理的数据库访问控制方法，其特征在于，包括：

a、数据库协议代理侦听网络上的数据库协议包，通过协议解析，进行身份 认证和访问控制策略判断，若判断为真，则执行步骤b，若判断为假，则执行步 骤c；

b、数据库协议代理依据数据库策略动作对数据库协议包重组后发送给数据 库，由数据库进行后续处理并给数据库协议代理返回结果信息，再由数据库协 议代理依据客户端策略动作对数据库协议包重组后返回客户端，执行步骤a或 结束；

c、将错误信息封装成数据库协议包返回客户端，执行步骤a或结束；

数据库协议代理侦听网络上的数据库协议包，是指数据库协议代理的侦听 器对特定TCP端口的侦听；

数据库协议代理与客户端、数据库工作在同一数据库协议层，即三者之间 均以数据库协议包进行通信，从而使得客户端与数据库协议代理的通信以及数 据库协议代理与数据库的通信两个通信会话构成会话接续，是串联在一起的；

身份认证依赖的是数据库连接操作串，该操作串是一个五元组：数据库名 称、IP地址、TCP端口、用户名、密码；

访问策略控制能够控制的载体是数据库协议包，不仅包括数据库访问操作 串，而且包括数据库连接操作串，数据库访问操作串是一个二元组：SQL或其扩 展语句、绑定参数向量，数据库连接操作串是一个五元组：数据库名称、IP地 址、TCP端口、用户名、密码。

2.根据权利要求1所述的方法，其特征在于，步骤a所述判断是根据数据库协 议包中的数据库连接操作串和数据库访问操作串进行判定的。

3.根据权利要求1所述的方法，其特征在于，步骤b所述数据库协议包重组包 括对数据库协议包中的数据库连接操作串和数据库访问操作串的变更，以及对 数据库协议包中的状态码和状态串的变更。

4.根据权利要求1所述的方法，其特征在于，步骤b、c所述执行步骤a或结 束由访问控制动作来定义，对于执行步骤a意味着客户端与数据库协议代理、 数据库协议代理与数据库仍然保持连接，而对于结束，意味着客户端与数据库 协议代理、数据库协议代理与客户端的连接关闭；所述访问控制动作，包括继 续执行、停止执行、修改后执行、放弃执行，其中继续执行、修改后执行和放 弃执行会导致步骤a，停止执行会导致结束。

5.根据权利要求1所述的方法，其特征在于，数据库协议代理前置于数据库， 在数据库访问到达数据库之前提前独立实施访问控制验证，并可以阻断客户端 和数据库的通道，从而通过控制数据库协议代理实现客户端可用控制。

6.根据权利要求1所述的方法，其特征在于，数据库可以同时侦听来自客户端 和数据库协议代理的请求，也就是支持混合模式的数据库访问控制。

7.根据权利要求1所述的方法，其特征在于，数据库协议代理可以同时侦听来 自客户端和另一个数据库协议代理的请求，也就是支持多级模式的数据库访问 控制。

8.一种基于数据库协议代理的数据库访问控制系统，其特征在于：

系统包括侦听器、访问控制器和转发器，其中所述侦听器，用于侦听特定 TCP端口的数据库协议包，并将合法的数据库协议包发送给访问控制器；所述访 问控制器，用于解析数据库协议包的数据库连接操作串和数据库访问操作串， 并依据预先定义的认证要求和策略控制要求进行判定；所述转发器，用于依据 数据库策略动作对数据库协议包重组后发送给数据库；

系统与客户端、数据库工作在同一数据库协议层，即三者之间均以数据库 协议包进行通信，从而使得客户端与系统的通信以及系统与数据库的通信构成 会话接续，是串联在一起的；

身份认证依赖的是数据库连接操作串，该操作串是一个五元组：数据库名 称、IP地址、TCP端口、用户名、密码；

访问策略控制能够控制的载体是数据库协议包，不仅包括数据库访问操作 串，而且包括数据库连接操作串，数据库访问操作串是一个二元组：SQL或其扩 展语句、绑定参数向量，数据库连接操作串是一个五元组：数据库名称、IP地 址、TCP端口、用户名、密码。