CN114756530B - 一种基于堡垒机的客户端信息处理方法 - Google Patents
一种基于堡垒机的客户端信息处理方法 Download PDFInfo
- Publication number
- CN114756530B CN114756530B CN202210670804.7A CN202210670804A CN114756530B CN 114756530 B CN114756530 B CN 114756530B CN 202210670804 A CN202210670804 A CN 202210670804A CN 114756530 B CN114756530 B CN 114756530B
- Authority
- CN
- China
- Prior art keywords
- client
- information
- database
- bastion machine
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
- G06F16/252—Integrating or interfacing systems involving database management systems between a Database Management System and a front-end application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Medicinal Preparation (AREA)
Abstract
本申请公开了一种基于堡垒机的客户端信息处理方法及***,该方法包括:堡垒机获取登陆到所述堡垒机上的第一客户端的信息;所述堡垒机在所述第一客户端的控制下调用所述堡垒机上安装的数据库客户端;所述堡垒机通过所述数据库客户端对所述数据库进行访问,并在访问过程中,发送所述第一客户端的信息;代理服务和/或审计服务获取到所述第一客户端的信息,将所述第一客户端的信息与会话进行关联。通过本申请解决了现有技术中使用运维人员通过堡垒机登陆数据库时无法获取运维人员所使用的第一客户端的信息所导致的问题,从而能够通过堡垒机获取到第一客户端的信息并将该信息通知给其他服务,为其他服务后续的处理提供依据。
Description
技术领域
本申请涉及到数据库领域,具体而言,涉及一种基于堡垒机的客户端信息处理方法。
背景技术
在现有技术中,为了保证内部环境的安全,在运维人员需要对内部环境中的计算机设备进行操作的时候,需要使用到堡垒机。运维人员首先登陆到堡垒机上,堡垒机可以通过录制屏幕或者记录鼠标键盘的操作等方式对运维人员所执行的操作进行保存,这样就可以通过堡垒机实现对运维人员操作的监控。
在数据库访问场景中也会使用堡垒机,此时数据库客户端安装在堡垒机上,运维人员使用客户端(为了与数据库客户端进行区分,将运维人员使用的客户端称为第一客户端)登陆到堡垒机之后,通过堡垒机的数据库客户端登陆到数据库上。
在访问数据库时,需要对数据库的访问进行控制(例如,对访问进行审计等),在使用堡垒机上的数据库客户端登陆到数据库的情况下,仅仅能够获取到堡垒机到数据库所进行的操作,而无法将运维人员使用的第一客户端的信息与堡垒机到数据库之间的连接进行关联,所以没有办法根据第一客户端的信息对数据库的访问进行控制。
发明内容
本申请实施例提供了一种基于堡垒机的客户端信息处理方法,以至少解决现有技术中使用运维人员通过堡垒机登陆数据库时无法获取运维人员所使用的第一客户端的信息所导致的问题。
根据本申请的一个方面,提供了一种基于堡垒机的客户端信息处理方法,包括:堡垒机获取登陆到所述堡垒机上的第一客户端的信息,其中,所述第一客户端为登陆到所述堡垒机的客户端,所述第一客户端用于在登陆到所述堡垒机之后对所述堡垒机进行控制;所述堡垒机在所述第一客户端的控制下调用所述堡垒机上安装的数据库客户端,其中,所述数据库客户端用于访问数据库;所述堡垒机通过所述数据库客户端对所述数据库进行访问,并在访问过程中,发送所述第一客户端的信息;代理服务和/或审计服务获取到所述第一客户端的信息,将所述第一客户端的信息与会话进行关联,其中,所述会话为所述数据库客户端访问所述数据库建立的会话。
进一步地,所述堡垒机通过所述数据库客户端发送所述第一客户端的信息包括:所述堡垒机获取所述数据库的信息,并将所述第一客户端的信息附加在所述数据库的信息之后,其中,所述数据库的信息用于访问所述数据库;所述堡垒机将所述数据库的信息和附加在所述数据库的信息之后的所述第一客户端的信息添加到访问请求中;所述堡垒机向所述数据库发送所述访问请求;所述代理服务获取到所述第一客户端的信息,将所述第一客户端的信息与预定会话进行关联包括:所述代理服务接收所述访问请求,从所述访问请求中获取所述第一客户端的信息并进行保存;所述代理服务将所述第一客户端的信息从所述数据库的信息之后删除,并将删除所述第一客户端的信息之后的访问请求发送给所述数据库,以与所述数据库建立所述会话;所述代理服务将所述第一客户端的信息与所述会话进行关联。
进一步地,所述堡垒机将所述数据库的信息和所述第一客户端的信息添加到访问请求中包括:所述堡垒机根据所述访问请求的格式对所述访问请求进行解析,得到所述访问请求中用于保存所述数据库的信息的字段;所述堡垒机将所述数据库的信息和所述第一客户端的信息填写到所述字段中。
进一步地,所述堡垒机发送所述第一客户端的信息包括:所述堡垒机将所述第一客户端的信息以及所述数据库客户端连接所述数据库的连接信息发送至所述审计服务;所述审计服务将所述第一客户端的信息与所述会话进行关联包括:所述审计服务在已经建立的会话中查找与所述连接信息对应的会话,在查找到与所述连接信息对应的会话之后,将所述第一客户端的信息与所述连接信息对应的会话进行关联,其中,与所述连接信息对应的会话为所述第一客户端登陆所述堡垒机之后通过所述数据库客户端与所述数据库建立的会话。
进一步地,所述连接信息包括所述数据库客户端的源IP地址和源端口号,以及所述数据库的目的IP地址和目的端口号,其中,所述数据库客户端使用所述源IP地址和源端口号与所述数据库的目的IP地址和目的端口号建立连接。
根据本申请的另一个方面,还提供了一种基于堡垒机的客户端信息处理***,包括:堡垒机以及审计服务和代理服务中的至少之一,其中,所述堡垒机用于获取登陆到所述堡垒机上的第一客户端的信息,其中,所述第一客户端为登陆到所述堡垒机的客户端,所述第一客户端用于在登陆到所述堡垒机之后对所述堡垒机进行控制;所述堡垒机用于在所述第一客户端的控制下调用所述堡垒机上安装的数据库客户端,其中,所述数据库客户端用于访问数据库;所述堡垒机用于通过所述数据库客户端对所述数据库进行访问,并在访问过程中,发送所述第一客户端的信息;代理服务和/或审计服务用于获取到所述第一客户端的信息,将所述第一客户端的信息与会话进行关联,其中,所述会话为所述数据库客户端访问所述数据库建立的会话。
进一步地,所述堡垒机用于获取所述数据库的信息,并将所述第一客户端的信息附加在所述数据库的信息之后,其中,所述数据库的信息用于访问所述数据库;所述堡垒机用于将所述数据库的信息和附加在所述数据库的信息之后的所述第一客户端的信息添加到访问请求中;所述堡垒机用于向所述数据库发送所述访问请求;所述代理服务用于获取到所述第一客户端的信息,将所述第一客户端的信息与预定会话进行关联包括:所述代理服务接收所述访问请求,从所述访问请求中获取所述第一客户端的信息并进行保存;所述代理服务用于将所述第一客户端的信息从所述数据库的信息之后删除,并将删除所述第一客户端的信息之后的访问请求发送给所述数据库,以与所述数据库建立所述会话;所述代理服务用于将所述第一客户端的信息与所述会话进行关联。
进一步地,所述堡垒机用于根据所述访问请求的格式对所述访问请求进行解析,得到所述访问请求中用于保存所述数据库的信息的字段;所述堡垒机用于将所述数据库的信息和所述第一客户端的信息填写到所述字段中。
进一步地,所述堡垒机用于将所述第一客户端的信息以及所述数据库客户端连接所述数据库的连接信息发送至所述审计服务;所述审计服务用于在已经建立的会话中查找与所述连接信息对应的会话,在查找到与所述连接信息对应的会话之后,将所述第一客户端的信息与所述连接信息对应的会话进行关联,其中,与所述连接信息对应的会话为所述第一客户端登陆所述堡垒机之后通过所述数据库客户端与所述数据库建立的会话。
进一步地,所述连接信息包括所述数据库客户端的源IP地址和源端口号,以及所述数据库的目的IP地址和目的端口号,其中,所述数据库客户端使用所述源IP地址和源端口号与所述数据库的目的IP地址和目的端口号建立连接。
在本申请实施例中,采用了堡垒机获取登陆到所述堡垒机上的第一客户端的信息,其中,所述第一客户端为登陆到所述堡垒机的客户端,所述第一客户端用于在登陆到所述堡垒机之后对所述堡垒机进行控制;所述堡垒机在所述第一客户端的控制下调用所述堡垒机上安装的数据库客户端,其中,所述数据库客户端用于访问数据库;所述堡垒机通过所述数据库客户端对所述数据库进行访问,并在访问过程中,发送所述第一客户端的信息;代理服务和/或审计服务获取到所述第一客户端的信息,将所述第一客户端的信息与会话进行关联,其中,所述会话为所述数据库客户端访问所述数据库建立的会话。通过本申请解决了现有技术中使用运维人员通过堡垒机登陆数据库时无法获取运维人员所使用的第一客户端的信息所导致的问题,从而能够通过堡垒机获取到第一客户端的信息并将该信息通知给其他服务,为其他服务后续的处理提供依据。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的基于堡垒机的客户端信息处理方法的流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种基于堡垒机的客户端信息处理方法,图1是根据本申请实施例的基于堡垒机的客户端信息处理方法的流程图,如图1所示,该方法包括如下步骤:
步骤S102,堡垒机获取登陆到所述堡垒机上的第一客户端的信息,其中,所述第一客户端为登陆到所述堡垒机的客户端,所述第一客户端用于在登陆到所述堡垒机之后对所述堡垒机进行控制。
步骤S104,所述堡垒机在所述第一客户端的控制下调用所述堡垒机上安装的数据库客户端,其中,所述数据库客户端用于访问数据库;
步骤S106,所述堡垒机通过所述数据库客户端对所述数据库进行访问,并在访问过程中,发送所述第一客户端的信息;
步骤S108,代理服务和/或审计服务获取到所述第一客户端的信息,将所述第一客户端的信息与会话进行关联,其中,所述会话为所述数据库客户端访问所述数据库建立的会话。
作为一个可选的实施方式,代理服务和/或审计服务还可以对与所述第一客户端的信息关联的会话中进行对所述数据库进行的操作进行判断,判断是否出现违规操作,如果出现违规操作,则将所述第一客户端的信息发送给堡垒机,所述堡垒机将所述第一客户端的信息加入到名单中,其中,所述名单中的客户端被限制登陆到所述堡垒机或者被限制使用所述堡垒机上的数据库客户端。
作为另一个可选的实施方式,所述堡垒机还可以建立第一会话和第二会话之间的关联关系,其中,所述第一会话是第一客户端与所述堡垒机之间建立的会话,所述第二会话为堡垒机上数据库客户端与数据库之间建立的会话(即所述会话),其中,所述堡垒机在同一时刻获取第一会话中的数据包和所述第二会话中的数据包,所述堡垒机判断所述第一会话中的数据包和所述第二会话中的数据包的时间戳所指示的时间的差值是否在预定范围之内,如果在预定范围之内,则建立所述第一会话和所述第二会话之间的关联。在建立所述关联之后,在所述代理服务和/或审计服务确定所述第二会话中进行的数据库操作违规之后,通知所述堡垒机,所述堡垒机查找与所述第二会话关联的第一会话,并获取所述第一会话中第一客户端的信息(即登陆所述第一客户端所使用的IP地址和用户名),对使用所述第一客户端的信息登陆所述堡垒机进行限制。
通过上述步骤解决了现有技术中使用运维人员通过堡垒机登陆数据库时无法获取运维人员所使用的第一客户端的信息所导致的问题,从而能够通过堡垒机获取到第一客户端的信息并将该信息通知给其他服务,为其他服务后续的处理提供依据。
在上述步骤涉及到代理服务(或称为代理程序)和审计服务(或称为审计程序),下面对代理服务和审计服务获取第一客户端的信息的可选过程分别进行说明。
代理服务可以截获数据库客户端发送数据库的所有的消息,在这种情况下,堡垒机可以在任何需要的时候将第一客户端的信息发送给代理服务。例如,可以在建立数据库连接的时候通过用于建立数据库连接的访问请求将所述第一客户端的信息发送给代理服务。
所述堡垒机获取所述数据库的信息,并将所述第一客户端的信息附加在所述数据库的信息之后,其中,所述数据库的信息用于访问所述数据库;所述堡垒机将所述数据库的信息和附加在所述数据库的信息之后的所述第一客户端的信息添加到访问请求中;所述堡垒机向所述数据库发送所述访问请求;所述代理服务获取到所述第一客户端的信息,将所述第一客户端的信息与预定会话进行关联包括:所述代理服务接收所述访问请求,从所述访问请求中获取所述第一客户端的信息并进行保存;所述代理服务将所述第一客户端的信息从所述数据库的信息之后删除,并将删除所述第一客户端的信息之后的访问请求发送给所述数据库,以与所述数据库建立所述会话;所述代理服务将所述第一客户端的信息与所述会话进行关联。
添加第一客户端的信息的方式有很多种,例如,所述堡垒机根据所述访问请求的格式对所述访问请求进行解析,得到所述访问请求中用于保存所述数据库的信息的字段;所述堡垒机将所述数据库的信息和所述第一客户端的信息填写到所述字段中。作为一个可选的实施方式,可以使用预先规定的特殊字符将所述数据库的信息和所述第一客户端的信息进行间隔。
在涉及到审计服务时,堡垒机可以实时将第一客户端的信息发送给审计服务,例如,在堡垒机在第一客户端登陆到所述堡垒机之后就将所述第一客户端的信息发送给审计服务。
审计服务可以审计多个会话,此时在进行关联的时候可以采用如下方式:所述审计服务在已经建立的会话中查找与所述连接信息对应的会话,在查找到与所述连接信息对应的会话之后,将所述第一客户端的信息与所述连接信息对应的会话进行关联,其中,与所述连接信息对应的会话为所述第一客户端登陆所述堡垒机之后通过所述数据库客户端与所述数据库建立的会话。
上述的连接信息包括所述数据库客户端的源IP地址和源端口号,以及所述数据库的目的IP地址和目的端口号,其中,所述数据库客户端使用所述源IP地址和源端口号与所述数据库的目的IP地址和目的端口号建立连接。
下面结合一个可选的实施例进行说明。本实施例可以应用到代理模式和审计模式,下面首先对代理模式进行介绍。
在代理模式下,数据库客户端安装在堡垒机上,数据库客户端连接防火墙上的代理程序(或称为代理服务),数据库客户端通过代理程序访问数据库。运维人员使用客户端登陆到堡垒机,然后使用堡垒机上的数据库客户端来登陆数据库。在这种模式下,使用了两种客户端,第一种客户端是运维人员登陆堡垒机使用的客户端,在本实施例中称为第一客户端;第二种客户端是安装在堡垒机上用来登陆数据库的客户端,在本实施例中称为数据库客户端。
运维人员使用第一客户端登陆到堡垒机上使用数据库客户端时,运维人员不需要输入数据库的用户名和密码,运维人员只需要在堡垒机上选择登陆的数据库,点击登陆之后,堡垒机会将该数据库的信息(例如,数据库的IP地址、用户名和密码等)填写好,并且使用填写好的数据库的信息(或称为数据库信息)来进行数据库的登陆,该功能被称作代填数据库信息功能。
在本实施例中,堡垒机代填数据库信息时,把第一客户端的IP地址和用户名放在数据库的用户名之后,并使用数据库的IP地址向所述数据库发起访问请求。代理程序获取所述堡垒机发送的访问请求并进行解析,代理程序在解析时获取第一客户端的IP地址和用户名,并进行保存;然后代理程序将访问请求中的第一客户端的IP地址和用户名更换为数据库用户名(即从数据库的用户名之后删除第一客户端的IP地址和用户名),再将访问请求发送给数据库。
在本实施例中,堡垒机将第一客户端的信息添加到数据库访问请求中,代理程序在接收到该数据库访问请求之后,将添加的第一客户端信息再更换为能够访问数据库的信息,然后使用能够访问数据库的信息来访问数据库。这样数据库代理程序可以获取使用堡垒机的第一客户端的信息,然后将第一客户端信息与使用数据库客户端对数据库的访问进行关联,从而可以获知运维人员所使用的第一客户端的信息。
在本实施例中,堡垒机根据第一客户端的信息记录运维人员在什么时间点通过堡垒机在通过数据库客户端对数据库进行什么操作,代理程序记录该第一客户端通过该堡垒机在什么时间点对数据库进行操作,这样就可以第一客户端在通过堡垒机上的数据库客户端所进行的操作与代理程序记录该堡垒机客户端对数据库所进行的操作进行关联。
在代理模式下,由于代理程序能够获取到第一客户端的信息,所以可以预先在代理程序中针对该第一客户端配置预定的规则,这样代理信息可以对来自所述第一客户端的访问进行控制。
本实施例还可以应用到审计模式下,下面对此进行说明。
在需要进行数据库审计的情况下,由于运维人员使用第一客户端登陆到堡垒机之后,通过堡垒机的数据库客户端来访问数据库,所以审计程序仅仅能够获取到是哪台堡垒机进行的操作,并没有办法审计到运维人员所使用的第一客户端层面。为了解决这个问题,堡垒机需要将记录的第一客户端的信息实时发送给审计***,在审计***中,记录了当前活跃的会话(该会话是堡垒机连接到数据库的会话),将第一客户端的信息更新到会话中。从可以通过第一客户端信息审计到哪些运维人员使用哪些堡垒机来访问数据库。
在本实施例中,堡垒机将运维人员登陆到堡垒机的信息发送给审计程序,运维人员通过第一客户端登陆到堡垒机上,堡垒机记录了第一客户端的IP地址和登陆账号(即登陆第一客户端的用户名),同时堡垒机在登陆数据库之后,还能够记录堡垒机上的数据库客户端所连接的数据库的IP地址和端口号。审计设备在接收到这些信息之后,查找其处于活跃状态的会话,获取活跃状态会话中的数据库的IP地址和端口号,将接收到的来自堡垒机的数据库的IP地址和端口号与会话中数据库的IP地址和端口号进行匹配,匹配成功之后确定该会话即为第一客户端登陆堡垒机之后与数据库建立的会话,进而将第一客户端的信息与该匹配成功的会话进行关联。
在本实施例中,审计程序(或称为审计服务)在堡垒机建立与数据库的会话之后,使用镜像的方式通过审计服务对该会话进行审计,审计服务会根据该会话的信息与数据库建立一个TCP连接,如果该会话是不活跃状态,则审计服务的建立的TCP连接会被删除,所述审计服务根据会话中记录的源IP地址、源端口号、目的IP地址和目的端口号来查找是否有相应的TCP连接,如果有相应的TCP连接,则说明该会话是处于活跃状态。
在本实施例中,提供一种电子装置,包括存储器和处理器,存储器中存储有计算机程序,处理器被设置为运行计算机程序以执行以上实施例中的方法。
上述程序可以运行在处理器中,或者也可以存储在存储器中(或称为计算机可读介质),计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存 (PRAM)、静态随机存取存储器 (SRAM)、动态随机存取存储器 (DRAM)、其他类型的随机存取存储器 (RAM)、只读存储器 (ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘 (DVD) 或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体 (transitory media),如调制的数据信号和载波。
这些计算机程序也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤,对应与不同的步骤可以通过不同的模块来实现。
该本实施例中就提供了这样的一种***,该***被称为基于堡垒机的客户端信息处理***,在该***包括堡垒机以及代理服务和/或审计服务,其中,堡垒机、代理服务以及审计服务所执行的步骤在上文中已经进行了说明,在此不再赘述。
该***或者装置用于实现上述的实施例中的方法的功能,该***或者装置中的每个模块与方法中的每个步骤相对应,已经在方法中进行过说明的,在此不再赘述。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种基于堡垒机的客户端信息处理方法,其特征在于,包括:
堡垒机获取登陆到所述堡垒机上的第一客户端的信息,其中,所述第一客户端为登陆到所述堡垒机的客户端,所述第一客户端用于在登陆到所述堡垒机之后对所述堡垒机进行控制;
所述堡垒机在所述第一客户端的控制下调用所述堡垒机上安装的数据库客户端,其中,所述数据库客户端用于访问数据库;
所述堡垒机通过所述数据库客户端对所述数据库进行访问,并在访问过程中,发送所述第一客户端的信息;
代理服务和/或审计服务获取到所述第一客户端的信息,将所述第一客户端的信息与会话进行关联,其中,所述会话为所述数据库客户端访问所述数据库建立的会话。
2.根据权利要求1所述的方法,其特征在于,
所述堡垒机通过所述数据库客户端发送所述第一客户端的信息包括:所述堡垒机获取所述数据库的信息,并将所述第一客户端的信息附加在所述数据库的信息之后,其中,所述数据库的信息用于访问所述数据库;所述堡垒机将所述数据库的信息和附加在所述数据库的信息之后的所述第一客户端的信息添加到访问请求中;所述堡垒机向所述数据库发送所述访问请求;
所述代理服务获取到所述第一客户端的信息,将所述第一客户端的信息与预定会话进行关联包括:所述代理服务接收所述访问请求,从所述访问请求中获取所述第一客户端的信息并进行保存;所述代理服务将所述第一客户端的信息从所述数据库的信息之后删除,并将删除所述第一客户端的信息之后的访问请求发送给所述数据库,以与所述数据库建立所述会话;所述代理服务将所述第一客户端的信息与所述会话进行关联。
3.根据权利要求2所述的方法,其特征在于,所述堡垒机将所述数据库的信息和所述第一客户端的信息添加到访问请求中包括:
所述堡垒机根据所述访问请求的格式对所述访问请求进行解析,得到所述访问请求中用于保存所述数据库的信息的字段;
所述堡垒机将所述数据库的信息和所述第一客户端的信息填写到所述字段中。
4.根据权利要求1所述的方法,其特征在于,
所述堡垒机发送所述第一客户端的信息包括:所述堡垒机将所述第一客户端的信息以及所述数据库客户端连接所述数据库的连接信息发送至所述审计服务;
所述审计服务将所述第一客户端的信息与所述会话进行关联包括:所述审计服务在已经建立的会话中查找与所述连接信息对应的会话,在查找到与所述连接信息对应的会话之后,将所述第一客户端的信息与所述连接信息对应的会话进行关联,其中,与所述连接信息对应的会话为所述第一客户端登陆所述堡垒机之后通过所述数据库客户端与所述数据库建立的会话。
5.根据权利要求4所述的方法,其特征在于,所述连接信息包括所述数据库客户端的源IP地址和源端口号,以及所述数据库的目的IP地址和目的端口号,其中,所述数据库客户端使用所述源IP地址和源端口号与所述数据库的目的IP地址和目的端口号建立连接。
6.一种基于堡垒机的客户端信息处理***,其特征在于,包括:堡垒机以及审计服务和代理服务中的至少之一,其中,
所述堡垒机用于获取登陆到所述堡垒机上的第一客户端的信息,其中,所述第一客户端为登陆到所述堡垒机的客户端,所述第一客户端用于在登陆到所述堡垒机之后对所述堡垒机进行控制;
所述堡垒机用于在所述第一客户端的控制下调用所述堡垒机上安装的数据库客户端,其中,所述数据库客户端用于访问数据库;
所述堡垒机用于通过所述数据库客户端对所述数据库进行访问,并在访问过程中,发送所述第一客户端的信息;
代理服务和/或审计服务用于获取到所述第一客户端的信息,将所述第一客户端的信息与会话进行关联,其中,所述会话为所述数据库客户端访问所述数据库建立的会话。
7.根据权利要求6所述的***,其特征在于,
所述堡垒机用于获取所述数据库的信息,并将所述第一客户端的信息附加在所述数据库的信息之后,其中,所述数据库的信息用于访问所述数据库;所述堡垒机用于将所述数据库的信息和附加在所述数据库的信息之后的所述第一客户端的信息添加到访问请求中;所述堡垒机用于向所述数据库发送所述访问请求;
所述代理服务用于获取到所述第一客户端的信息,将所述第一客户端的信息与预定会话进行关联包括:所述代理服务接收所述访问请求,从所述访问请求中获取所述第一客户端的信息并进行保存;所述代理服务用于将所述第一客户端的信息从所述数据库的信息之后删除,并将删除所述第一客户端的信息之后的访问请求发送给所述数据库,以与所述数据库建立所述会话;所述代理服务用于将所述第一客户端的信息与所述会话进行关联。
8.根据权利要求7所述的***,其特征在于,
所述堡垒机用于根据所述访问请求的格式对所述访问请求进行解析,得到所述访问请求中用于保存所述数据库的信息的字段;所述堡垒机用于将所述数据库的信息和所述第一客户端的信息填写到所述字段中。
9.根据权利要求6所述的***,其特征在于,
所述堡垒机用于将所述第一客户端的信息以及所述数据库客户端连接所述数据库的连接信息发送至所述审计服务;
所述审计服务用于在已经建立的会话中查找与所述连接信息对应的会话,在查找到与所述连接信息对应的会话之后,将所述第一客户端的信息与所述连接信息对应的会话进行关联,其中,与所述连接信息对应的会话为所述第一客户端登陆所述堡垒机之后通过所述数据库客户端与所述数据库建立的会话。
10.根据权利要求9所述的***,其特征在于,所述连接信息包括所述数据库客户端的源IP地址和源端口号,以及所述数据库的目的IP地址和目的端口号,其中,所述数据库客户端使用所述源IP地址和源端口号与所述数据库的目的IP地址和目的端口号建立连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210670804.7A CN114756530B (zh) | 2022-06-15 | 2022-06-15 | 一种基于堡垒机的客户端信息处理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210670804.7A CN114756530B (zh) | 2022-06-15 | 2022-06-15 | 一种基于堡垒机的客户端信息处理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114756530A CN114756530A (zh) | 2022-07-15 |
| CN114756530B true CN114756530B (zh) | 2022-08-19 |
Family
ID=82336607
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210670804.7A Active CN114756530B (zh) | 2022-06-15 | 2022-06-15 | 一种基于堡垒机的客户端信息处理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114756530B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115150199B (zh) * | 2022-09-02 | 2023-01-31 | 北京中安星云软件技术有限公司 | 一种数据库运维客户端账户管控方法、***、设备及介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104618449A (zh) * | 2014-12-31 | 2015-05-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种实现web单点登录的方法及装置 |
| CN108965388A (zh) * | 2018-06-13 | 2018-12-07 | 新华三信息安全技术有限公司 | 一种运维审计方法及装置 |
| CN109714345A (zh) * | 2018-12-28 | 2019-05-03 | 中电福富信息科技有限公司 | 一种用户无感知的字符堡垒机方法及*** |
| CN112528337A (zh) * | 2020-12-21 | 2021-03-19 | 中电福富信息科技有限公司 | 一种基于wfp的对数据库高危命令实时授权的方法 |
| CN112887287A (zh) * | 2021-01-18 | 2021-06-01 | 杭州安恒信息技术股份有限公司 | 堡垒机、运维审计方法、电子装置和存储介质 |
| CN113886366A (zh) * | 2021-10-25 | 2022-01-04 | 杭州安恒信息技术股份有限公司 | 一种数据库运维方法、装置、电子设备及可读存储介质 |
| CN114238889A (zh) * | 2021-12-13 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 一种数据库登录方法及装置 |
| CN114531304A (zh) * | 2022-04-24 | 2022-05-24 | 北京安华金和科技有限公司 | 一种基于数据包的会话处理方法和*** |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8775498B2 (en) * | 2009-10-23 | 2014-07-08 | International Business Machines Corporation | Universal architecture for client management extensions on monitoring, control, and configuration |
-
2022
- 2022-06-15 CN CN202210670804.7A patent/CN114756530B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104618449A (zh) * | 2014-12-31 | 2015-05-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种实现web单点登录的方法及装置 |
| CN108965388A (zh) * | 2018-06-13 | 2018-12-07 | 新华三信息安全技术有限公司 | 一种运维审计方法及装置 |
| CN109714345A (zh) * | 2018-12-28 | 2019-05-03 | 中电福富信息科技有限公司 | 一种用户无感知的字符堡垒机方法及*** |
| CN112528337A (zh) * | 2020-12-21 | 2021-03-19 | 中电福富信息科技有限公司 | 一种基于wfp的对数据库高危命令实时授权的方法 |
| CN112887287A (zh) * | 2021-01-18 | 2021-06-01 | 杭州安恒信息技术股份有限公司 | 堡垒机、运维审计方法、电子装置和存储介质 |
| CN113886366A (zh) * | 2021-10-25 | 2022-01-04 | 杭州安恒信息技术股份有限公司 | 一种数据库运维方法、装置、电子设备及可读存储介质 |
| CN114238889A (zh) * | 2021-12-13 | 2022-03-25 | 北京天融信网络安全技术有限公司 | 一种数据库登录方法及装置 |
| CN114531304A (zh) * | 2022-04-24 | 2022-05-24 | 北京安华金和科技有限公司 | 一种基于数据包的会话处理方法和*** |
Non-Patent Citations (1)
| Title |
|---|
| 基于堡垒机的屏幕录像***的运维操作审计研究与实践;匡石磊;《网络安全技术与应用》;20211231(第6期);第8-10页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114756530A (zh) | 2022-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10447560B2 (en) | Data leakage protection in cloud applications | |
| US11303647B1 (en) | Synthetic request injection to disambiguate bypassed login events for cloud policy enforcement | |
| US11178188B1 (en) | Synthetic request injection to generate metadata for cloud policy enforcement | |
| US11831683B2 (en) | Cloud object security posture management | |
| US11831685B2 (en) | Application-specific data flow for synthetic request injection | |
| US11985168B2 (en) | Synthetic request injection for secure access service edge (SASE) cloud architecture | |
| US11888902B2 (en) | Object metadata-based cloud policy enforcement using synthetic request injection | |
| US11336698B1 (en) | Synthetic request injection for cloud policy enforcement | |
| US11647052B2 (en) | Synthetic request injection to retrieve expired metadata for cloud policy enforcement | |
| CN107786551B (zh) | 访问内网服务器的方法及控制访问内网服务器的装置 | |
| CN114902612A (zh) | 基于边缘网络的帐户保护服务 | |
| CN112131205A (zh) | 一种数据库阻断方法及设备 | |
| CN114756530B (zh) | 一种基于堡垒机的客户端信息处理方法 | |
| CN113660292B (zh) | 一种获取调用客户端的主体的信息方法和装置 | |
| CN114531304B (zh) | 一种基于数据包的会话处理方法和*** | |
| CN113536304B (zh) | 一种基于运维审计***的防绕行方法及设备 | |
| US20230006898A1 (en) | A Method of Capturing Packets from a Container in a Cluster | |
| CN113114794A (zh) | 一种基于二次代理处理域名的方法及设备 | |
| CN112069149A (zh) | 一种数据库协议解析方法及设备 | |
| CN116841645A (zh) | 一种用于数据库审计的数据库流量处理方法和*** | |
| CN113778709B (zh) | 接口调用方法、装置、服务器及存储介质 | |
| CN108768987B (zh) | 数据交互方法、装置及*** | |
| CN117093639B (zh) | 一种基于审计服务的套接字连接处理方法和*** | |
| CN115118640B (zh) | 一种存在代理设备时的数据库审计处理方法和*** | |
| CN116939131A (zh) | 一种操作再现方法及相关*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |