[发明专利]数据库安全访问控制方法和系统

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种数据库安全访问控制方法和系统。

背景技术

随着计算机的普及和计算机网络的发展，数据的共享日益增强，按照数据结构来组织、存储和管理数据的数据库系统的使用越来越广泛。例如，银行的客户信息、信息技术公司的源代码；产品销售公司的销售信息等都可以集中存放在相应的数据库中。

而随着信息技术的快速发展，信息的高度共享和迅速传递在为使用者带来巨大便利的同时，也随之带来了系统入侵、信息泄密、信息更改或破坏等网络安全问题。因此，对数据库系统进行统一的管理和控制以保证数据库的安全性和完整性的DBMS(Database Management System，数据库管理系统)，在网络安全技术领域扮演着越来越重要的角色。

目前，数据库管理系统一般采用C/S(Client/Server，客户端/服务器)结构，其中，数据库设置于服务器端，客户操作数据库时，需通过数据访问程序向后台数据库进行访问。而目前的数据库安全访问控制，一般可以采用用户标识和鉴别、数据库访问日志的记录审核、扩展存储过程的管理、使用协议的加密、网络连接限制等技术手段进行安全控制。例如，在登录数据库时要求用户输入用户标识(如身份认证、口令认证等)，并针对输入的标识进行鉴别审核以及对用户权限控制；通过数据库访问日志详细记录所有账号的登录事件，根据定期检查审核日志，及时发现可疑的登录事件发生；对网络连接的IP地址(Internet Protocol，互联网协议)进行限制，只保证自己允许的IP能够访问，且拒绝其他IP进行端口连接，以此对来自网络上的安全威胁进行有效的控制。然而，通过上述现有的安全访问控制手段，无法针对欺骗服务器执行恶意的SQL(Structured Query Language，结构化查询语言)命令的SQL注入攻击进行有效控制，导致现有的安全访问控制的存在安全漏洞。

因此，有必要提供一种能够防止数据库系统的SQL注入攻击，增强数据库系统的安全控制强度的访问控制方法。

发明内容

本发明实施例提供了一种数据库安全访问控制方法和系统，用以防止SQL注入攻击，增强数据库系统的安全控制强度。

根据本发明的一个方面，提供了一种数据库安全访问控制方法，包括：

从数据请求源向目标数据库服务器发送的数据访问请求中，解析出待执行结构化查询语言SQL语句，并解析出所述数据请求源的标识信息、所述目标数据库服务器的标识信息作为所述数据访问请求的属性信息；

根据所述数据访问请求的属性信息，从访问控制规则库中查找出与所述属性信息相对应的访问控制规则后，将解析出的待执行SQL语句与查找出的访问控制规则中的SQL语句库进行比较；

若比较结果为：所述待执行SQL语句为所述SQL语句库中的正常SQL语句，则将所述数据访问请求向所述目标数据库服务器进行发送；

若比较结果为：所述待执行SQL语句为所述SQL语句库中的非法SQL语句，则阻断所述数据请求源对所述目标数据库服务器的访问。

较佳地，在所述将所述待执行SQL语句与所述访问控制规则中的SQL语句库进行比较后，还包括：

若比较结果为：所述待执行SQL语句既不是所述SQL语句库中的正常SQL语句，也不是所述SQL语句库中的非法SQL语句，则：

向管理员发送判别SQL语句的提示信息；并

接收到所述管理员输入的SQL语句判别指示信息后，根据所述SQL语句判别指示信息，执行相应操作：

若所述SQL语句判别指示信息具体为正常SQL语句的判别指示信息，则将所述待执行SQL语句作为正常SQL语句存储至所述SQL语句库中，并将所述数据访问请求向所述目标数据库服务器进行发送；

若所述SQL语句判别指示信息具体为非法SQL语句的判别指示信息，则将所述待执行SQL语句作为非法SQL语句存储至所述SQL语句库中，并阻断所述数据请求源对所述目标数据库服务器的访问。

较佳地，所述访问控制规则库是预先设置的：

针对每个目标数据库服务器，以如下方法在所述访问控制规则库中设置涉及该目标数据库服务器的访问控制规则：