通過安全數(shù)據(jù)庫服務(wù)器層的會話屬性傳播的制作方法
【專利說明】通過安全數(shù)據(jù)庫服務(wù)器層的會話屬性傳播
【背景技術(shù)】
[0001] 本發(fā)明一般涉及改進的數(shù)據(jù)處理裝置和方法,特別涉及用于通過安全數(shù)據(jù)庫服務(wù) 器層傳播會話屬性的機制。
[0002] 現(xiàn)代管理信息環(huán)境涌現(xiàn),增加了安全性能的層級。有時,為保護數(shù)據(jù)的加密操 作既費時又具有昂貴的計算費用。結(jié)果,加密操作被典型地保留用于高敏感的政府和金 融場合。由于處理器速度提高和存儲能力增加,以前僅僅為特別的、昂貴的硬件保留的 執(zhí)行加密操作的能力,如今在很多應(yīng)用中變得普通。傳統(tǒng)的非定制應(yīng)用(off the shelf applications)將加密能力嵌入在軟件中,因為這樣做不再產(chǎn)生處理瓶頸。
[0003] 而且,由于網(wǎng)絡(luò)能力持續(xù)增長,隨著寬帶(例如,電纜調(diào)制解調(diào)器)互聯(lián)網(wǎng)訪問和 WiFi能力(例如802. llb/g/n無線)的持續(xù)普及,數(shù)據(jù)傳輸?shù)募兇鈹?shù)量提高了對未加密傳 輸(所謂"明碼傳輸")承擔泄露敏感信息的正在增加的風(fēng)險的認識。存在在傳輸中加密絕 大多數(shù)或者全部數(shù)據(jù)的新興趨勢,因為這樣做幾乎沒有缺點。相應(yīng)地,在源和目的地傳輸?shù)?數(shù)據(jù)通常被加密。
【發(fā)明內(nèi)容】
[0004] 在一個說明性的實施例中,提供一種在包括處理器和存儲器的數(shù)據(jù)處理系統(tǒng)中的 方法,用于處理數(shù)據(jù)庫客戶請求。該方法包括由所述數(shù)據(jù)處理系統(tǒng)的非安全訪問本地代理, 從客戶計算裝置接收加密的數(shù)據(jù)庫客戶請求(DCR),作為在所述數(shù)據(jù)處理系統(tǒng)和所述客戶 計算裝置之間的會話的一部分。所述方法進一步
[0005] 包括由所述非安全訪問本地代理檢索對應(yīng)于所述會話的數(shù)據(jù)庫會話信息(DSI) 地址。另外,所述方法包括由所述非安全訪問本地代理基于所述加密的DCR的一部分生成 第一特定可識別鍵(UIK)。進一步地,所述方法包括由所述非安全訪問本地代理產(chǎn)生DSI映 射數(shù)據(jù)結(jié)構(gòu),該結(jié)構(gòu)映射所述第一 UIK至所述DSI地址,以及由所述數(shù)據(jù)處理系統(tǒng)的安全訪 問本地代理使用所述DSI映射數(shù)據(jù)結(jié)構(gòu)處理所述加密的DCR。
[0006] 在另一個說明性的實施例中,提供一種包括具有計算機可讀程序的計算機可用或 可讀介質(zhì)的計算機程序產(chǎn)品。所述計算機可讀程序,當在計算裝置上執(zhí)行時,使所述計算裝 置執(zhí)行根據(jù)所述方法說明性實施例的上面概述的操作的各種多個或者組合。
[0007] 在另一個說明性實施例中,提供一種系統(tǒng)/裝置。該系統(tǒng)/裝置可包括一個或多 個處理器和耦接到所述一個或多個處理器的存儲器。該存儲器可包括指令,當所述一個或 多個處理器執(zhí)行該指令時,該指令使所述一個或多個處理器根據(jù)所述方法說明性實施例的 上面概述的操作的各種多個或者組合。
[0008] 這些和其它特征和本發(fā)明的優(yōu)點將在下面示例性的本發(fā)明的實施例的詳細描述 中進行介紹,或者基于這些詳細描述對本領(lǐng)域技術(shù)人員而言是顯而易見的。
【附圖說明】
[0009] 本發(fā)明,以及優(yōu)選的使用模式和進一步的發(fā)明目的以及優(yōu)點,通過參考下面的說 明性實施例的詳細描述同時結(jié)合相應(yīng)的附圖進行閱讀,將更好地被理解,其中:
[0010] 圖1是適合與安全數(shù)據(jù)庫訪問一起使用的示例性管理信息環(huán)境的環(huán)境圖;
[0011] 圖2是適合與非安全數(shù)據(jù)庫訪問一起使用的數(shù)據(jù)存儲和檢索環(huán)境的環(huán)境圖;
[0012] 圖3是依據(jù)一個說明性實施例的安全數(shù)據(jù)庫系統(tǒng)的示例性框圖;
[0013] 圖4是依據(jù)一個說明性實施例說明為當前會話從加密數(shù)據(jù)庫客戶請求(DCR)和所 述數(shù)據(jù)庫會話信息(DSI)地址與UIK的映射提取特定可識別鍵(UIK)的示例圖;
[0014] 圖5是根據(jù)一個說明性實施例用于在安全數(shù)據(jù)庫系統(tǒng)處理加密數(shù)據(jù)庫客戶請求 (DCR)的示例性操作的概略流程圖;以及
[0015] 圖6是說明性實施例可在其中實現(xiàn)的示例性數(shù)據(jù)處理系統(tǒng)的框圖。
【具體實施方式】
[0016] 說明性實施例提供通過安全數(shù)據(jù)庫服務(wù)器層傳播會話屬性。如上所述,加密的數(shù) 據(jù)傳輸在增長并且特別對數(shù)據(jù)庫訪問是主要的。也就是說,數(shù)據(jù)庫訪問可能是安全的(加 密的)或不安全的(未加密的)。術(shù)語"安全"和"非安全"用在這里形容本地代理是指識 別該本地代理是否與密碼引擎會同工作以加密/解密數(shù)據(jù),其中非安全訪問本地代理操作 明碼文本或未加密數(shù)據(jù),而安全訪問本地代理操作密碼引擎和加密的數(shù)據(jù)。依據(jù)數(shù)據(jù)庫訪 問是安全的還是非安全的,對數(shù)據(jù)庫訪問的監(jiān)視是不同的。
[0017] 美國專利申請公開號為2010/0131758,發(fā)明名稱為"Nondestructive Interception of Secure Data in Transit",公開日為 2010 年 5 月 27 日,其描述了用于 安全數(shù)據(jù)庫訪問的數(shù)據(jù)庫訪問監(jiān)視機制的例子。利用公開號為2010/0131758的美國專利 申請的該機制,通過網(wǎng)絡(luò)在一接口以安全方式接受客戶請求。在數(shù)據(jù)庫服務(wù)器層調(diào)用加密 操作以解密收到的數(shù)據(jù)庫客戶請求(DCRs)和加密數(shù)據(jù)庫服務(wù)器響應(yīng)(DSRs)。安全訪問本 地代理(LA1),參考公開號為2010/0131758的美國專利申請中的數(shù)據(jù)庫監(jiān)視代理,在解密 之后或在由加密操作的加密之前,攔截明碼文本DCRs和DSR數(shù)據(jù),不中斷數(shù)據(jù)庫服務(wù)器和 客戶計算裝置之間的數(shù)據(jù)主流。所述安全訪問本地代理(LA1)轉(zhuǎn)發(fā)攔截到的明碼文本DCR 和DSR數(shù)據(jù)到外部數(shù)據(jù)庫監(jiān)視器以進一步分析。
[0018]圖1是適合與安全數(shù)據(jù)庫訪問使用的示例性管理信息環(huán)境的環(huán)境圖。如圖1所 示,管理信息環(huán)境100包括通過網(wǎng)絡(luò)130耦接到主機120的用戶節(jié)點110-1……110-n (統(tǒng) 稱110)。用戶節(jié)點110典型地是個人電腦或可操作地與主機120交互通信的包括圖形用戶 界面(GUI) 112的其它本地計算裝置。主機120提供服務(wù),比如數(shù)據(jù)訪問和檢索服務(wù),通過 耦接到對應(yīng)⑶I 112的主機應(yīng)用122-1. .. 122-n (統(tǒng)稱122)。主機應(yīng)用122包括耦接到一 個或多個數(shù)據(jù)庫服務(wù)器的進程(processes) 128以用于執(zhí)行指令以執(zhí)行向用戶110交付服 務(wù)。在示例配置中,主機應(yīng)用122是耦接數(shù)據(jù)庫管理系統(tǒng)(DBMS) 124的數(shù)據(jù)庫服務(wù)器,用于 通過數(shù)據(jù)庫126向用戶110提供數(shù)據(jù)訪問和檢索服務(wù),因此進程128是數(shù)據(jù)庫服務(wù)器或負 責(zé)耦接接口 125和DBMS 124的代理進程。
[0019] 典型數(shù)據(jù)庫環(huán)境100經(jīng)常使用數(shù)據(jù)層安全機制154。這種數(shù)據(jù)層安全機制聚焦向 或來自數(shù)據(jù)庫的數(shù)據(jù)訪問交易(transaction) 140, 142,而不是在調(diào)用應(yīng)用122上的特權(quán)或 訪問控制列表。數(shù)據(jù)層安全機制154可以包括外部數(shù)據(jù)庫安全監(jiān)視器150、數(shù)據(jù)庫監(jiān)視代理 160、或二者的結(jié)合,有效定義數(shù)據(jù)層安全機制(數(shù)據(jù)庫監(jiān)視器)154。
[0020] 如上所示,數(shù)據(jù)庫126中的數(shù)據(jù)的安全是最重要的。對應(yīng)地,數(shù)據(jù)庫監(jiān)視器154攔 截和仔細檢查數(shù)據(jù)訪問交易140,要么通過在連接到接口的網(wǎng)絡(luò)攔截交易140',要么通過 數(shù)據(jù)庫代理152攔截交易140"。因為性能原因,在接口 125前,經(jīng)常在網(wǎng)絡(luò)連接132上捕獲 訪問交易140,以從主機120卸載安全處理。然而,如下將會討論的,一些環(huán)境仍在主機120 上使用數(shù)據(jù)庫監(jiān)視代理160,這里也作為安全訪問本地代理(LA1)。
[0021] 如上所討論的,許多數(shù)據(jù)庫管理系統(tǒng)124加密數(shù)據(jù)訪問交易140,以避免在從應(yīng)用 ⑶I 112到數(shù)據(jù)庫126的傳輸中暴露敏感數(shù)據(jù)項目。數(shù)據(jù)訪問響應(yīng)142可以被同樣覆蓋。 然而,數(shù)據(jù)庫監(jiān)視器124(安全訪問本地代理(LA1))在明碼文本(未加密)數(shù)據(jù)上運行。相 應(yīng)地,數(shù)據(jù)庫監(jiān)視器124響應(yīng)于密碼文本轉(zhuǎn)為明碼文本,識別攔截點172-1……172-4 (統(tǒng)稱 172),并且捕獲明碼文本交易140"用于檢查。依賴于加密所采用的特定的DBMS 124,攔截 點172可以發(fā)生在幾個地方中的一個。在如攔截點172-4所示的DBMS IPC的攔截(即,端 口讀取監(jiān)控)例子中,攔截點172-4由讀端口 187觸發(fā)以讀取如箭頭99所示從接口 125到 端口 187通過的數(shù)據(jù)。通信來自從接口 125的加密和服務(wù)進程(SVC) 158'通過調(diào)用加密操 作158解密數(shù)據(jù)。然后傳遞解密數(shù)據(jù)到DBMS 124,實際的攔截發(fā)生在此,下面將進一步討 論。
[0022] 當用于解密158的密碼操作從接口 125被調(diào)用時,在接口 125應(yīng)用進程間通信 (IPC)機制來攔截來自網(wǎng)絡(luò)132的數(shù)據(jù)庫訪問交易140,典型地通過讀套接字上的端口,如 攔截區(qū)170-1所示。攔截點172-1由DBMS 124使用的預(yù)定端口用于接收數(shù)據(jù)庫訪問交易 140,并且被監(jiān)控或建立在預(yù)定端口被觸發(fā)的攔截所影響。在這種方式中,操作系統(tǒng)(0S)響 應(yīng)于導(dǎo)致在數(shù)據(jù)庫監(jiān)視器中讀端口的數(shù)據(jù)庫交易140而調(diào)用讀端口,檢查數(shù)據(jù),并且傳遞 其至 DBMS 124。
[0023] 當對加密操作的動態(tài)鏈接表(DLL)調(diào)用被運用時,在區(qū)170-2發(fā)生攔截。通過在 區(qū)170-2的攔截點172-2在解密操作前插入數(shù)據(jù)庫監(jiān)視器調(diào)用,對應(yīng)于解密操作158的調(diào) 用簽名被取代。在加密操作158的原始目的簽名180之前,該動態(tài)鏈接表處理滿足與監(jiān)視 器簽名182的連接。數(shù)據(jù)庫監(jiān)視器152調(diào)用密碼操作158,檢查交易140,隨后返回控制。
[0024] 在端對端的加密方案中,DBMS進程124本身包括通過靜態(tài)連接對解密操作158的 調(diào)用172-3。在本例中,在可執(zhí)行映像(存儲器存留機器代碼(epodes))的代碼被檢查以識 別對解密操作的調(diào)用,典型地為堆棧調(diào)用。用推遲數(shù)據(jù)庫監(jiān)視器154的控制的代碼替換所 述代碼,然后調(diào)用解密操作158和檢查交易140。
[0025] 專利號為7, 426, 512于2008年9月16日授予Ron Ben-Natan的美國專利描述了 用于非安全數(shù)據(jù)庫訪問的數(shù)據(jù)庫訪問監(jiān)控機制的例子。如在該'512專利中描述的,本地客 戶向進程間通信(IPC)機制發(fā)送訪問嘗試。IPC攔截機制攔截該訪問嘗試并將其轉(zhuǎn)發(fā)到非 安全訪問本地代理(LA2),響應(yīng)于該本地訪問嘗試,該本地代理通過訊問(interrogating) 該IPC機制確定數(shù)據(jù)庫指令。然后該非安全訪問本地代理(LA2)傳輸該確定的數(shù)據(jù)庫指令 到外部數(shù)據(jù)安全裝置以分析和進一步由數(shù)據(jù)庫監(jiān)控器操作。該外部數(shù)據(jù)安全裝置也通過網(wǎng) 絡(luò)交換機/分路器(switch