一种数据库主动防御装置及方法与流程

本发明涉及数据库设计领域，具体提供一种数据库主动防御装置及方法。

背景技术：

1、随着人工智能领域和信息化社会的不断推进，各行业数据库的种类和装机容量也与日剧增，而数据库大规模装载所面临的数据安全问题也日渐凸显，非法访问者通过一系列手段恶意访问导致的信息泄露等问题层出不穷。

2、现阶段，数据库应用者大多数通过安装防火墙、设置服务器安全密钥来保证数据不被非法访问。然而，安装数据库防火墙等安防软件会造成数据库服务器内存的额外损耗以及cpu额外的算力开销，进而影响数据库性能。

3、安全密钥内存这种数据库常规加密方式安全性较低，可认证性差，密钥的分发和管理复杂，代价高昂。

4、现有的数据库安防方式给用户服务器数据库数据安全保障体系带来了巨大隐患，间接影响了用户的数据库应用体验。为此，如何基于fpga的数据库进行主动防御成为相关领域研究者亟待深入探索的问题。

技术实现思路

1、本发明是针对上述现有技术的不足，提供一种实用性强的数据库主动防御装置。

2、本发明进一步的技术任务是提供一种设计合理，安全适用的数据库主动防御方法。

3、本发明解决其技术问题所采用的技术方案是：

4、一种数据库主动防御装置，包括数据库服务器，所述数据库服务器通过pcie接口连接数据库主动防御装置、且对接数据库用户终端，完成用户需求解析、数据读取处理工作；

5、所述数据库主动防御装置包含fpga芯片，所述fpga芯片连接有ddr4、sd卡1、sd卡2、pcie接口、jtag接口、复位按钮、时钟晶振、网口和无线网络接收端口；

6、所述数据库主动防御装置接收用户或非法访问者发起数据库访问请求，判断请求方是否为合法访问者，根据判断结果做出相应的处理，并及时将非法访问日志存储至板载sd卡；

7、数据库主动防御装置通过网线和无线收发装置与internet连接，通过pcie传输接口与服务器的cpu连接，实现数据交换。

8、一种数据库主动防御方法，执行数据库主动防御前，分别插入存储了用户预设许可操作码数据参照表的sd卡1，以及用于存储非法访问日志的sd卡2，数据库主动防御装置即可开始工作；

9、具有如下步骤：

10、s1、用户或非法访问者发起数据库访问请求，基于fpga的数据库主动防御装置通过internet接收所述数据库访问请求；

11、s2、fpga对数据库读取请求进行提取，拆分请求方的ip地址以及相应的请求指令数据；

12、s3、fpga对请求方的ip地址的哈希处理以及相应的请求指令数据数字签名数据执行解码，将解码结果与sd卡用户预设的许可操作码进行对照，判断当前访问是否为非法访问；

13、s4、如果当前访问为非法访问，主动防御装置的fpga则读取用户在ddr4预存储的伪数据，并按照非法访问需求格式调整，通过internet直接发送至非法访问终端；

14、s5、随后，fpga将当前存储非法访问日志存储至sd卡，实现后续用户对非法访问者行为的跟踪捕获，非法访问路径的溯源以及评估；

15、s6、如果当前访问是授权用户的合法访问，主动防御装置的fpga则对当前读取需求办法数据库读取许可证，并将读取需求和许可证通过pcie接口打包发送至数据库服务器；

16、s7、数据库服务器cpu接收读取许可证后，完成目标数据的读取和相应处理操作，并通过internet发送至合法用户访问终端。

17、进一步的，基于fpga的数据库主动防御装置包括输入请求提取模块，当产生数据库访问请求后，所述输入请求提取模块提取出请求端的ip地址字段以及请求的指令数字签名字段，并分别发送至访问请求ip解析模块和请求指令数字签名解析模块；

18、所述请求ip解析模块对接收的ip地址字段执行解析，拆分出哈希计算区间并拼接相关报头字段，将结果发送至crc64_hash计算模块，所述crc64_hash计算模块对输入数据执行crc64哈希计算，生成32位哈希地址，并发送至sd卡内存读取模块。

19、进一步的，所述sd卡内存读取模块根据地址读取sd卡1存储的当前请求对应数据许可操作码参照表，发送至非法访问仲裁状态机；

20、随后，再哈希模块对输入的crc64_hash计算结果，执行二次哈希计算，最终生成新的24位再哈希结果。

21、进一步的，所述基于fpga的数据库主动防御装置还包括请求指令数字签名解析模块，所述请求指令数字签名解析模块对输入的指令数字签名字段进行解析，拆解需要执行md5算法的预设字段，并拼接以特定的报头、报尾数据，将结果发送至md5算法加密码解码模块；

22、所述md5算法加密码解码模块对输入数据执行基于md5算法的解码操作，得到16位解码结果，发送至数据同步模块。

23、进一步的，所述数据同步模块将二者计算结果同步处理，共40位数据发送至非法访问仲裁状态机，非法访问仲裁状态机通过两道标准判断是否为非法访问，所述两道标准判断为：

24、（1）遍历参照表对应分区，寻找是否有请求端ip再哈希结果值；

25、（2）如果步骤（1）为真，则遍历参照表对应分区，寻找是否有请求指令数字签名加密码解码值；

26、若上述步骤（1）和（2）两道判断皆为真，则当前访问为合法，非法访问仲裁状态机生成数据库读取许可证，并将许可证与访问请求打包发送至数据库内存读取模块；

27、若上述步骤（1）和（2）两道判断有一个为假，则当前访问为非法，非法访问仲裁状态机根据非法请求类型控制mig ip读取ddr4相应存储分区的伪数据，并发送至伪数据格式矫正模块；

28、非法访问仲裁状态机生成数据库非法访问日志，并发送至sd卡内存读取模块，将非法访问信息存储至sd卡2。

29、进一步的，访问为合法时，数据库内存读取模块将读取指令和非法访问仲裁状态机颁发的许可证拼接，并按照特定格式打包，由pcie发送模块经pcie接口发送至存储数据库核心信息的数据库服务器，进而由数据库终端完成用户需求的数据查询任务。

30、进一步的，访问为非法时，伪数据格式矫正模块根据非法用户访问请求种类，将从ddr4读取的伪数据按照特定格式打包，发送至伪数据输出缓存模块，并在伪数据输出缓存模块进行短暂缓存后，通过internet反馈至非法访问请求终端。

31、进一步的，基于fpga的数据库主动防御装置中非法访问仲裁状态机共包含8个状态：

32、1）准备状态；

33、2）接收当前读取的同步再哈希结果与md5请求指令加密码解析结果状态；

34、3）接收sd卡读取的当前请求对应数据参照表状态、遍历参照表对应分区，寻找是否有请求端ip再哈希结果值状态；

35、4）遍历参照表对应分区，寻找是否有请求端ip再哈希结果值状态；

36、5）遍历参照表对应分区，寻找是否有请求指令数字签名加密码解码值状态；

37、6）读取ddr4相应存储分区的伪数据，将结果发送至相应模块状态；

38、7）生成数据库非法访问日志，将结果发送至相应模块状态；

39、8）生成数据库读取许可证，并将许可证与读取请求打包发送至相应模块状态。

40、本发明的一种数据库主动防御装置及方法和现有技术相比，具有以下突出的有益效果：

41、本发明在数据库安防领域首次引入主动防御理念，即在识别非法访问后，防御装置会主动将没有实际应用价值的伪数据发送至非法访问终端，使非法访问者误以为数据库访问成功，间接保护了数据库用户的核心数据，该设计可以显著提升数据库对非法入侵的防御成功率，切实保护用户数据私密性。

42、其次，该设计采用片上“模块化设计”实现异构高频防御内核流水线，使用简单便捷，防御速度快，适配于现阶段各类型的主流数据库且成本低廉；此外，fpga主动防御装置直接插入数据库服务器pcie卡槽即可使用，无需在数据库服务器终端安装额外安防软件，可靠性高，适配性强。

43、最后，基于fpga的数据库主动防御装置支持通过非法访问日志跟踪攻击者的行为，实现对攻击者的捕获、攻击路径的溯源，并通过评估攻击者的攻击行为，获取有关如何使数据库更安全的线索，用户进而可以通过技术和管理手段来增强实际系统的安全防护能力。