CN110971593B - 一种数据库安全网络访问方法 - Google Patents

一种数据库安全网络访问方法 Download PDF

Info

Publication number
CN110971593B
CN110971593B CN201911137433.0A CN201911137433A CN110971593B CN 110971593 B CN110971593 B CN 110971593B CN 201911137433 A CN201911137433 A CN 201911137433A CN 110971593 B CN110971593 B CN 110971593B
Authority
CN
China
Prior art keywords
client
information
server
database
key certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911137433.0A
Other languages
English (en)
Other versions
CN110971593A (zh
Inventor
李瑞山
慕宗君
方伟
马国强
牛津文
邵春梅
王向宇
卜银娜
董鹏涛
王卫东
牛雪鹏
陈哲
李江林
闫文敬
闫启祥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xuji Group Co Ltd
XJ Electric Co Ltd
Xuchang XJ Software Technology Co Ltd
Original Assignee
Xuji Group Co Ltd
XJ Electric Co Ltd
Xuchang XJ Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xuji Group Co Ltd, XJ Electric Co Ltd, Xuchang XJ Software Technology Co Ltd filed Critical Xuji Group Co Ltd
Priority to CN201911137433.0A priority Critical patent/CN110971593B/zh
Publication of CN110971593A publication Critical patent/CN110971593A/zh
Application granted granted Critical
Publication of CN110971593B publication Critical patent/CN110971593B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/72Signcrypting, i.e. digital signing and encrypting simultaneously
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种数据库安全网络访问方法,属于电力***自动化技术领域。其中方法包括以下步骤:1)服务端读取数据库信息、网络信息、用户名密码信息库;客户端读取网络信息;2)根据所述网络信息,建立服务端与客户端之间的网络链接;3)服务端获取客户端登录时输入的用户名和密码,并根据所述用户名密码信息库判断客户端是否有操作权限;4)若客户端有操作权限,服务端响应客户端发起的数据库操作请求。本发明部署服务端读取数据库信息,通过建立服务端与客户端之间的网络链接,在判断出客户端有操作权限后,可以实现客户端对数据库的操作请求,实现了客户端对本地数据库的安全访问。

Description

一种数据库安全网络访问方法
技术领域
本发明涉及一种数据库安全网络访问方法,属于电力***自动化技术领域。
背景技术
变电站内部署了大量的嵌入式设备,嵌入式设备对数据库的要求是占用资源小、数据处理速度快、部署方便。基于此本地数据库得到了广泛的应用,比如sqlites数据库,但是本地数据库不支持网络访问,给远程维护带来了不便。如何安全地远程访问本地数据库成了必须要解决的问题。
发明内容
本发明的目的在于提供一种数据库安全网络访问方法,以解决现有不能安全地远程访问本地数据库的问题。
为实现上述目的,本发明提出一种数据库安全网络访问方法,包括以下步骤:
1)服务端读取数据库信息、网络信息、用户名密码信息库;客户端读取网络信息;
2)根据所述网络信息,建立服务端与客户端之间的网络链接;
3)服务端获取客户端登录时输入的用户名和密码,并根据所述用户名密码信息库判断客户端是否有操作权限;
4)若客户端有操作权限,服务端响应客户端发起的数据库操作请求。
有益效果是:本发明部署服务端读取数据库信息,通过建立服务端与客户端之间的网络链接,在判断出客户端有操作权限后,可以实现客户端对数据库的操作请求,实现了客户端对本地数据库的安全访问。
进一步的,步骤1)中服务端还读取服务端私钥证书信息及客户端公钥证书信息;客户端还读取客户端私钥证书信息及服务端公钥证书信息;步骤2)在网络链接建立之后,服务端与客户端还互相进行证书信息的验证;若验证不通过,则断开网络链接;若验证通过,才进行步骤3)。
进一步的,判断客户端是否有操作权限的方法包括:将用户名和密码在所述用户名密码信息库中进行检索、比对,若比对成功,则判定为用户有操作权限;若比对不成功,则判定为用户没有操作权限。
进一步的,服务端获取的客户端登录的用户名和密码是利用秘钥M1加密的,所述秘钥M1是客户端随机生成的字节信息。
进一步的,客户端发起的数据操作请求包括写操作,服务端在执行完写操作之后还向客户端返回执行结果。
进一步的,客户端发起的数据操作请求包括读操作,服务端将读取的数据进行结构化和加密之后发送给客户端。
进一步的,所述结构化的方法为:定义数据库表全部字段长度和数组,并序列化每个字段的位置索引,每收到一个表字段数据,就找到该字段对应的位置索引,把数据拷贝至对应的数组位置。
进一步的,采用国密SM4算法进行加密。
进一步的,步骤4)客户端向服务端发起数据库操作请求之前,还包括:客户端向服务端发送信息请求,服务端把数据库信息发送至客户端,客户端初始化数据库信息的步骤。
附图说明
图1为本发明数据库安全网络访问方法实施例中数据库安全网络访问方法的示意图;
图2为本发明数据库安全网络访问方法实施例中结构化数据的示意图。
具体实施方式
数据库安全网络访问方法实施例:
在嵌入式设备上部署服务端,远程网络设备上部署客户端,通过建立客户端与服务端之间的网络链路,可以实现远程网络设备对嵌入式设备中数据库的访问。
如图1所示,本实施例的数据库安全网络访问方法包括以下步骤。
1)服务端读取数据库信息,读取TCP网络信息,读取用户名密码信息库,读取证书信息,证书信息包括服务端私钥证书信息及客户端公钥证书信息;客户端读取TCP网络信息,读取证书信息,证书信息包括客户端私钥证书信息及服务端公钥证书信息。
2)建立服务端与客户端之间的TCP网络链接;建立完TCP网络链接后,服务端与客户端互相验证证书,具体验证方法是:
客户端生成16字节信息M1,M1用于后续服务端对客户端登录信息的解密;并通过国密SM4算法,秘钥为MY1,对信息M1加密生成信息M2;
使用客户端私钥证书对信息M2加64字节的数字签名,采用服务端公钥对信息M2和64字节数字签名加密;
服务端通过服务端私钥证书加密获取信息M2和64字节数字签名,采用客户端公钥书验证数字签名的合法性;若验证客户端身份不合法,断开TCP连接;若验证客户端身份合法,则使用服务端私钥证书对信息M2加64字节数字签名,采用客户端公钥对信息M2和数字签名加密,保存信息M2;
客户端通过客户端私钥证书解密获取信息M2和64字节数字签名,采用服务端公钥证书验证数字签名的合法性,若验证服务端身份不合法,断开TCP连接;若验证服务端身份合法,则继续如下步骤。
3)服务端获取客户端登录的用户名和密码,并根据客户端登录的用户名和密码判断客户端是否有操作权限。
本实施例中客户端发送给服务端的登录信息是利用秘钥M1加密后的登录信息,服务端要想解密客户端发送的登录信息,需要首先得到信息M1,服务端得到信息M1的方法为:
使用客户端私钥证书对秘钥MY1加64字节的数字签名,采用服务端公钥对秘钥MY1和64字节数字签名加密;
服务端通过服务端私钥证书解密获取信息MY1和64字节数字签名,采用客户端公钥证书验证数字签名的合法性,获取秘钥MY1;
通过国密SM4算法,私钥为MY1,保存的信息M2解密得到信息M1。
服务端得到信息M1之后,就可以对客户端发送的登录信息进行解密,解密后得到用户名和密码,根据该用户名和密码,就可以确定用户操作权限。服务端确定用户权限的方法是:将解密后得到的用户名和密码在用户名密码信息库中进行检索、比对,若比对成功,则判定为用户有操作权限;若比对不成功,则判定为用户没有操作权限。
4)在判断出客户端有操作权限之后,客户端发送信息请求,服务端把数据库信息发送至客户端,客户端初始化数据库信息。本实施例客户端初始化数据库信息的目的是获取数据库表结构信息,为初始化数据库数据做准备。
客户端向服务端发送访问请求SQL语句,服务端首先保存并解析SQL语句,然后服务端本地执行SQL语句。服务端根据客户端发起的具体操作请求执行相应操作:如果客户端发起的是写操作请求,服务端返回执行结果;如果客户端发起的是读操作请求,则需要结构化读取的数据,然后发送至客户端;其中,所有数据在发送至网络之前,均需要经过国密算法加密,客户端接收到网络报文需要经过国密算法解密后才能得到数据,再经过反结构化数据,获得数据库数据。
本实施例中结构化方法为:定义该数据库表全部字段长度和数组,并序列化每个字段的位置索引,每收到一个表字段数据,就找到该字段对应的位置索引,把数据拷贝至对应的数组位置,一条数据读取完毕,发送至客户端。结构化数据如图2所示。
为了提高数据库访问的安全性,本实施例服务端和客户端均读取了证书信息,目的在于实现服务端和客户端互相进行证书信息验证,作为其他实施方式,也可以不读取证书信息和不进行证书信息验证。
为了提高数据库访问的安全性,本实施例中客户端生成的信息M1是可变的,服务端为了解析出用户名和密码,服务端需要先解密得到信息M1;作为其他实施方式,信息M1也可以是固定的,这样就不再需要解析得到M1的步骤。
本实施例采用SM4算法进行加密,采用SM2算法验证身份信息,采用SM3算法对客户端发送的登录信息以及服务端发送给客户端的数据库数据增加校验位,作为其他实施方式,也可以采用其他加密算法实现上述功能,或不增加校验位。

Claims (6)

1.一种数据库安全网络访问方法,其特征在于,包括以下步骤:
1)服务端读取数据库信息、网络信息、用户名密码信息库、服务端私钥证书信息及客户端公钥证书信息;客户端读取网络信息、客户端私钥证书信息及服务端公钥证书信息;
2)根据所述网络信息,建立服务端与客户端之间的网络链接,在网络链接建立之后,服务端与客户端还互相进行证书信息的验证,验证过程为:客户端使用客户端私钥证书信息对信息M2加64字节的数字签名,采用服务端公钥证书信息对信息M2和64字节数字签名加密;服务端通过服务端私钥证书信息解密获取信息M2和64字节数字签名,采用客户端公钥证书信息验证数字签名的合法性;若验证客户端身份不合法,断开网络连接;若验证客户端身份合法,则使用服务端私钥证书信息对信息M2加64字节数字签名,采用客户端公钥证书信息对信息M2和数字签名加密,保存信息M2;客户端通过客户端私钥证书信息解密获取信息M2和64字节数字签名,采用服务端公钥证书信息验证数字签名的合法性,若验证服务端身份不合法,断开网络连接;若验证服务端身份合法,才进行步骤3);信息M2为采用国密SM4算法对秘钥M1加密生成的密文信息,加密密钥为MY1,使用客户端私钥证书信息对秘钥MY1加64字节的数字签名,采用服务端公钥证书信息对秘钥MY1和64字节数字签名加密;
3)服务端获取客户端登录时输入的用户名和密码,并根据所述用户名密码信息库判断客户端是否有操作权限;服务端获取的客户端登录的用户名和密码是利用秘钥M1加密的,所述秘钥M1是客户端随机生成的字节信息,服务端得到秘钥M1的方法为:服务端通过服务端私钥证书信息解密获取信息MY1和64字节数字签名,采用客户端公钥证书信息验证数字签名的合法性,获取秘钥MY1,通过国密SM4算法、私钥MY1,对信息M2解密得到秘钥M1;
4)若客户端有操作权限,服务端响应客户端发起的数据库操作请求。
2.根据权利要求1所述的数据库安全网络访问方法,其特征在于,判断客户端是否有操作权限的方法包括:将用户名和密码在所述用户名密码信息库中进行检索、比对,若比对成功,则判定为用户有操作权限;若比对不成功,则判定为用户没有操作权限。
3.根据权利要求1所述的数据库安全网络访问方法,其特征在于,客户端发起的数据操作请求包括写操作,服务端在执行完写操作之后还向客户端返回执行结果。
4.根据权利要求1所述的数据库安全网络访问方法,其特征在于,客户端发起的数据操作请求包括读操作,服务端将读取的数据进行结构化和加密之后发送给客户端。
5.根据权利要求4所述的数据库安全网络访问方法,其特征在于,所述结构化的方法为:定义数据库表全部字段长度和数组,并序列化每个字段的位置索引,每收到一个表字段数据,就找到该字段对应的位置索引,把数据拷贝至对应的数组位置。
6.根据权利要求1所述的数据库安全网络访问方法,其特征在于,步骤4)客户端向服务端发起数据库操作请求之前,还包括:客户端向服务端发送信息请求,服务端把数据库信息发送至客户端,客户端初始化数据库信息的步骤。
CN201911137433.0A 2019-11-19 2019-11-19 一种数据库安全网络访问方法 Active CN110971593B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911137433.0A CN110971593B (zh) 2019-11-19 2019-11-19 一种数据库安全网络访问方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911137433.0A CN110971593B (zh) 2019-11-19 2019-11-19 一种数据库安全网络访问方法

Publications (2)

Publication Number Publication Date
CN110971593A CN110971593A (zh) 2020-04-07
CN110971593B true CN110971593B (zh) 2022-04-08

Family

ID=70030933

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911137433.0A Active CN110971593B (zh) 2019-11-19 2019-11-19 一种数据库安全网络访问方法

Country Status (1)

Country Link
CN (1) CN110971593B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113542194B (zh) * 2020-04-16 2023-04-07 中国联合网络通信集团有限公司 用户行为追溯方法、装置、设备及存储介质
CN112468303A (zh) * 2020-11-17 2021-03-09 天津南大通用数据技术股份有限公司 一种加强数据库网络通信安全性的方法、装置及存储介质
CN112491614B (zh) * 2020-11-26 2023-08-11 许昌许继软件技术有限公司 一种用于嵌入式设备的配置信息在线自动生效方法及***
CN115292332B (zh) * 2022-10-09 2023-01-13 北京珞安科技有限责任公司 防火墙运行数据储存方法、***、存储介质及客户端

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101741860A (zh) * 2009-11-27 2010-06-16 华中科技大学 一种计算机远程安全控制方法
CN103001976A (zh) * 2012-12-28 2013-03-27 中国科学院计算机网络信息中心 一种安全的网络信息传输方法
CN103051618A (zh) * 2012-12-19 2013-04-17 北京江南天安科技有限公司 一种终端认证设备和网络认证方法
CN103428221A (zh) * 2013-08-26 2013-12-04 百度在线网络技术(北京)有限公司 对移动应用的安全登录方法、***和装置
CN108683498A (zh) * 2018-05-14 2018-10-19 国网江西省电力有限公司电力科学研究院 一种基于可变密钥国密算法的云终端管控方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8850203B2 (en) * 2009-08-28 2014-09-30 Alcatel Lucent Secure key management in multimedia communication system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101741860A (zh) * 2009-11-27 2010-06-16 华中科技大学 一种计算机远程安全控制方法
CN103051618A (zh) * 2012-12-19 2013-04-17 北京江南天安科技有限公司 一种终端认证设备和网络认证方法
CN103001976A (zh) * 2012-12-28 2013-03-27 中国科学院计算机网络信息中心 一种安全的网络信息传输方法
CN103428221A (zh) * 2013-08-26 2013-12-04 百度在线网络技术(北京)有限公司 对移动应用的安全登录方法、***和装置
CN108683498A (zh) * 2018-05-14 2018-10-19 国网江西省电力有限公司电力科学研究院 一种基于可变密钥国密算法的云终端管控方法

Also Published As

Publication number Publication date
CN110971593A (zh) 2020-04-07

Similar Documents

Publication Publication Date Title
CN109347835B (zh) 信息传输方法、客户端、服务器以及计算机可读存储介质
CN110971593B (zh) 一种数据库安全网络访问方法
CN110519260B (zh) 一种信息处理方法及信息处理装置
US9847882B2 (en) Multiple factor authentication in an identity certificate service
CN106656907B (zh) 用于认证的方法、装置、终端设备及***
CN103685282B (zh) 一种基于单点登录的身份认证方法
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
KR101753859B1 (ko) 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법
CN101764693B (zh) 认证方法、***、客户端和网络设备
CN108809633B (zh) 一种身份认证的方法、装置及***
CN100512201C (zh) 用于处理分组业务的接入-请求消息的方法
CN111159684B (zh) 一种基于浏览器的安全防护***和方法
CN108881222A (zh) 基于pam架构的强身份认证***及方法
CN102946314A (zh) 一种基于浏览器插件的客户端用户身份认证方法
CN111526007B (zh) 一种随机数生成方法及***
CN111327629B (zh) 身份验证方法、客户端和服务端
CN111740995B (zh) 一种授权认证方法及相关装置
CN105656862A (zh) 认证方法及装置
CN115632880B (zh) 一种基于国密算法的可靠数据传输及存储的方法及***
CN112565265A (zh) 物联网终端设备间的认证方法、认证***及通讯方法
CN109218251B (zh) 一种防重放的认证方法及***
CN105657699A (zh) 数据安全传输方法
CN108551391B (zh) 一种基于USB-key的认证方法
CN111338841A (zh) 数据处理方法、装置、设备和存储介质
CN109412799B (zh) 一种生成本地密钥的***及其方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant