[发明专利]一种网关数据交互方法、装置、计算机设备及存储介质

说明书

本发明公开了一种网关数据交互方法，应用于数据库网关安全领域，用于解决数据库网关与数据库交互时安全性低的问题，数据库网关端和数据库端被划分为安全区域和非安全区域，数据库网关端安全区域和数据库端安全区域进行远程证明，通过数据库网关端安全区域和数据库端安全区域对自身的可信计算基进行度量得到度量值，并使用证明证书对其度量值进行签名生成签名信息。数据数网关端和数据库端验证对方的度量值和签名信息确保对方的可信程度，以构建数据库网关端与数据库端之间的可信关系，提高数据交互的安全。

技术领域

本发明涉及数据库网关安全领域，尤其涉及一种网关数据交互方法、装置、计算机设备及存储介质。

背景技术

大数据时代的数据处理和分析需要通过多数据库互通聚合来完成复杂的计算逻辑，数据库的互通是云计算中的常见需求。数据库网关(Database Gateway)是一种用于数据库代理，拥有数据库访问控制、数据库权限管理、数据库访问追溯等功能的数据库管理组件，可实现数据库间互通。但因数据库网关暴露在公网环境下，因此非常容易遭受攻击。攻击形式包括但不限于黑客、病毒、rootkit等恶意软件，在应用层、操作系统层、硬件层对数据库网关展开攻击。用户在使用过程中往往难以察觉到数据库已经遭到窃取，从而形成高级长期威胁(APT，Advanced Persistent Threat)。此外，来自内部人员的恶意或者无意的非授权访问也可能造成数据泄漏。

现有的数据库网关端保护方案，基于虚拟化技术的系统资源隔离和监控，如Hypervisor为数据库网关端构建一个隔离的空间运行，但hypervisor技术自身的漏洞可能会威胁到整个系统；基于TPM(Trusted Platform Module，可信平台模块)的可信架构在程序加载时进行完整性度量，但却难以保证程序在运行时仍然是可信的；基于病毒查杀，如云平台的agent等，通过实时检测进出流量、指令、内存及文件等，进行威胁监测，但基于病毒查杀的方案在数据库网关端的大数据量情景下，对资源侵占较高且对未知威胁应对能力弱。

大多数数据库网关和数据库交互的保护方案不适用于ARM处理器平台。ARMTrustzone是ARM推出的旨在以硬件为安全强制保障的安全技术。Trustzone将应用程序分别放置在普通区域和安全区域运行，需要保护的内容将在安全区域内收到保护。

本发明针对目前逐渐增多的ARM架构服务器和ARM架构个人计算机和移动设备，提出一种只要CPU(Central ProcessingUnit，中央处理器)可信，就确保数据库网关运行时安全的数据库网关和数据库交互方案，提高数据库网关端对未知威胁的防御能力，使数据库网关更安全。

发明内容

本发明实施例提供一种网关数据交互方法、装置、计算机设备及存储介质，以解决在大数据时代下，ARM架构中数据库网关易被攻击、数据库端的数据易被泄露或窃取的的问题。

根据本申请的一方面提供一种网关数据交互方法，所述方法应用于数据库网关端，所述数据库网关端被划分为安全区域和非安全区域，包括以下步骤：

所述数据库网关端非安全区域将接收来自用户端的用户请求和用户身份信息通过第一代理转发至所述数据库网关端安全区域，所述第一代理控制所述数据网关端安全区域运行，并控制所述数据库网关端非安全区域睡眠；

所述数据库网关端安全区域接收所述用户请求和所述用户身份信息，并对所述用户请求和用户身份信息进行验证；

所述用户请求和所述用户身份信息验证通过后，所述数据库网关端安全区域向数据库端安全区域间发起远程证明；

远程证明成功后，数据库网关端安全区域将所述用户请求发送至所述数据库端安全区域，供所述数据库端安全区域执行所述用户请求；

接收来自所述数据库端安全区域根据请求结果进行处理的第一处理结果时，所述第一代理控制所述数据网关端非安全区域运行，并控制所述数据库网关端安全区域睡眠，通过所述数据库网关端非安全区域接收所述第一处理结果；