一种数据库运维鉴权系统、方法、装置及可读存储介质与流程

本发明涉及数据库管理，更具体的说是涉及一种数据库运维鉴权系统、方法、装置及可读存储介质。

背景技术：

1、在数据库运维领域，安全性和高效性一直是核心挑战。传统的数据库管理系统虽然提供了基本的用户认证机制，但往往存在一些技术缺陷和安全隐患。例如，直接管理数据库访问通常要求用户直接掌握数据库的访问凭据（如ip地址、用户名和密码），这不仅增加了凭证泄露的风险，也使得权限管理变得复杂且不够灵活。此外，对于大型企业或云环境下的数据库运维，频繁的手动权限调整和资产审核工作量巨大，容易出现疏漏，影响运维效率和安全性。

2、具体来说，传统的数据库管理系统主要存在以下几个方面的缺陷：

3、1、直接凭证暴露风险：传统方法中，用户直接使用数据库的访问凭据，这可能导致敏感信息的广泛传播和潜在的泄漏风险。一旦凭证泄露，恶意用户可以轻易绕过系统安全防护，对数据库进行非法访问和操作。

4、2、权限管理静态且低效：多数传统系统权限配置相对固定，难以适应快速变化的业务需求和动态的团队协作模式。权限调整过程繁琐，容易出错，且在权限变更后，系统往往缺乏即时的校验和反馈机制，存在权限滥用的风险。

5、3、缺乏细粒度和动态审计：传统的运维模式难以实现对数据库访问行为的细粒度监控和记录，使得安全审计和异常检测能力受限。在发生安全事件时，追溯和定位问题源头困难重重。

6、4、资源占用问题：在高并发或业务高峰期，对所有数据库资产进行实时校验可能消耗大量计算资源，影响系统性能和用户体验。

7、5、密钥管理不足：密钥常常作为系统安全的核心，但在某些系统设计中，密钥管理不严格，容易因不当存储或分发导致密钥泄露，从而危及整个系统的安全基础。

技术实现思路

1、针对以上问题，本发明的目的在于提供一种数据库运维鉴权系统、方法、装置及可读存储介质，通过引入加密服务器、hmac加密技术、以及动态的资产管理与权限校验机制，有效解决了传统数据库运维中面临的权限管理不灵活、安全审计能力弱、资源占用不合理及密钥管理不善等问题。本发明不仅增强了数据库访问的安全性，同时优化了运维效率，提升了系统的整体可靠性和响应速度。

2、本发明为实现上述目的，通过以下技术方案实现：一种数据库运维鉴权系统，包括：加密服务器、认证及权限校验模块、资产管理模块和数据库服务器；资产管理模块分别与加密服务器、认证及权限校验模块和数据库服务器数据连接，认证及权限校验模块与加密服务器数据连接；

3、加密服务器，用于生成、存储、管理密钥；根据认证及权限校验模块的请求使用hmac算法加密并输出校验码，根据资产管理模块的请求使用hmac算法加密并输出资产编码；

4、资产管理模块设置有数据库资产表，认证及权限校验模块中设有用户权限映射表和权限校验表；

5、资产管理模块用于：获取管理员录入或更新的数据库资产信息，调用加密服务器根据资产信息生成资产编码，将数据库资产信息和相应的资产编码写入数据库资产表；根据定制时间周期，定时利用资产编码对数据库资产信息进行校对；响应系统账户的数据库访问请求，与数据库服务器建立会话；

6、认证及权限校验模块用于：通过用户权限映射表建立并记录系统账户与资产编码的映射关系；当系统账户的权限发生变更时，在用户权限映射表检索该账户下映射的所有资产编码并调用加密服务器生成校验码；通过权限校验表存储校验码；接收系统账户的登录请求，利用校验码进行系统账户的校对确认；

7、数据库服务器，用于验证系统账户的数据库访问请求，验证通过后与资产管理模块建立会话。

8、进一步，所述数据库资产表用于记录数据库资产信息和对应的资产编码；数据库资产信息包括：序号、资产名称、资产地址、数据库账户和数据库账户密码；所述用户权限映射表用于记录系统账户、系统账户密码以及系统账户下映射的资产编码；所述权限校验表用于记录系统账户、校验码及更新时间。

9、进一步，所述加密服务器具体用于：

10、生成、存储、管理密钥a和密钥b；

11、获取资产管理模块发送的加密请求和第一字符串，根据密钥a使用基于sm3的hmac加密算法将第一字符串加密为资产编码a；

12、获取认证及权限校验模块发送的加密请求和第二字符串，根据密钥b使用基于sm3的hmac加密算法将第二字符串加密为校验码a；

13、获取认证及权限校验模块发送的第三字符串；根据密钥b使用基于sm3的hmac加密算法将第三字符串加密为校验码b。

14、进一步，所述资产管理模块具体用于：

15、获取管理员录入或更新的资产名称、资产地址、数据库账户和数据库账户密码，并将其整合为第一字符串，并发送至加密服务器；调用加密服务器生成资产编码a，将资产名称、资产地址、数据库账户、数据库账户密码和资产编码a写入数据库资产表；

16、根据定制时间周期，定时对数据库资产表的数据库资产信息进行检索，提取资产名称、资产地址、数据库账户和数据库账户密码，将其整合为待校对字符串；调用加密服务器根据密钥a使用基于sm3的hmac加密算法将待校对字符串加密为资产编码b；判断资产编码a与资产编码b是否相同；若是，则校对成功；若否，则发出告警信息；

17、响应系统账户的数据库访问请求，根据数据库资产表中记录的数据库账户和数据库账户密码登录数据库服务器，与数据库服务器建立会话，并向用户转发会话。

18、进一步，所述认证及权限校验模块具体用于：

19、通过用户权限映射表建立并记录系统账户与资产编码a的映射关系，将系统账户与资产编码a进行关联对应，对应关系为多对多映射；

20、当系统账户的权限发生变更时，在用户权限映射表检索该账户下映射的所有资产编码a，将其顺序排列，生成第二字符串发送至加密服务器；调用加密服务器生成校验码a；通过权限校验表记录系统账户、对应的校验码a和更新时间；

21、接收系统账户的登录请求，在用户权限映射表检索该系统账户下映射的所有资产编码a，资产编码a顺序排列，生成第三字符串发送至加密服务器；调用加密服务器生成校验码b；在权限校验表中获取该系统账户的校验码a；判断校验码a与校验码b是否相同；若是，则校对成功，通过资产管理模块响应系统账户的数据库访问请求；若否，则发出告警信息。

22、相应的，本发明还公开了一种数据库运维鉴权方法，包括：

23、获取管理员录入或更新的数据库资产信息，通过执行资产录入及权限管理流程将数据库资产信息录入数据库资产表，向相关的系统账户权限分配数据库资产信息的操作权限，并进行权限校验；

24、接收系统账户的登录请求，通过执行身份认证及权限校验流程校验系统账户，并在校验通过后获取数据库资产信息访问请求，利用相应的数据库账户和数据库密码登录数据库服务器，与数据库服务器建立会话，并向用户转发会话。

25、进一步，所述资产录入及权限管理流程包括：

26、通过资产管理模块获取管理员录入或更新的资产名称、资产地址、数据库账户和数据库账户密码，更新数据库资产表，并将资产名称、资产地址、数据库账户和数据库账户密码整合为第一字符串，发送至加密服务器；

27、通过加密服务器根据密钥a使用基于sm3的hmac加密算法将第一字符串加密为资产编码a，并发送至资产管理模块；

28、通过资产管理模块将资产编码a录入数据库资产表；

29、通过资产管理模块根据定制时间周期，定时对数据库资产表的数据库资产信息进行检索，提取资产名称、资产地址、数据库账户和数据库账户密码，调用加密服务器并将其整合为待校对字符串，并发送至加密服务器；

30、通过加密服务器根据密钥a使用基于sm3的hmac加密算法将待校对字符串加密为资产编码b，并发送至资产管理模块；

31、通过资产管理模块判断资产编码a与资产编码b是否相同；若是，则校对成功；若否，则发出告警信息；

32、通过认证及权限校验模块获取系统账户的资产权限分配请求，基于资产权限分配请求更新用户权限映射表，并录入相应的资产编码a；在用户权限映射表检索该账户下映射的所有资产编码a，将其顺序排列，生成第二字符串发送至加密服务器；

33、通过加密服务器根据密钥b使用基于sm3的hmac加密算法将第二字符串加密为校验码a，并发送至认证及权限校验模块；

34、通过认证及权限校验模块更新权限校验表中的校验码a，并记录更新时间。

35、进一步，所述身份认证及权限校验流程包括：

36、通过认证及权限校验模块接收系统账户的登录请求，在用户权限映射表检索该系统账户下映射的所有资产编码a，资产编码a顺序排列，生成第三字符串发送至加密服务器；

37、通过加密服务器根据密钥b使用基于sm3的hmac加密算法将第三字符串加密为校验码b，并发送至认证及权限校验模块；

38、通过认证及权限校验模块在权限校验表中获取该系统账户的校验码a；判断校验码a与校验码b是否相同；若是，则校对成功，向资产管理模块发送校验通过信息；若否，则发出告警信息；

39、当资产管理模块收到校验通过信息后，关联系统账户对应的资产名称，并向用户显示可访问的资产目录；

40、通过资产管理模块获取用户基于可访问的资产目录发出数据库资产信息访问请求，根据数据资产信息访问请求识别对应的数据库资产信息；根据数据库资产信息从数据库资产表中找出对应的数据库账户和数据库账户密码，并向数据库服务器发起访问请求；

41、通过数据库服务器对数据库账户和数据库账户密码进行识别校验；若校验通过，建立会话，并通过资产管理模块向用户转发会话；若校验未通过，则发出告警信息。

42、相应的，本发明公开了一种数据库运维鉴权装置，包括：

43、存储器，用于存储数据库运维鉴权程序；

44、处理器，用于执行所述数据库运维鉴权程序时实现如上文任一项所述数据库运维鉴权方法的步骤。

45、相应的，本发明公开了一种可读存储介质，所述可读存储介质上存储有数据库运维鉴权程序，所述数据库运维鉴权程序被处理器执行时实现如上文任一项所述数据库运维鉴权方法的步骤。

46、对比现有技术，本发明有益效果在于：

47、1、本发明通过构建对数据库运维的代理服务，利用密码技术实现对用户访问权限的校验，实现了在用户不知晓数据库真实ip、用户名及密码的情况下完成对数据库的访问及操作。

48、2、本发明使用hmac加密技术，在传统的hash中插入密钥因素，根据不同密钥，相同的输入也会产生不同的数值，在无法获取密钥的情况下，系统中的资产编码及校验码无法被准确伪造，降低了数据被篡改的风险，保障了用户权限数据的完整性及保密性，提高了系统安全性。

49、3、本发明通过资产编码的方式建立用户与资产之间的映射关系，在用户每次登录过程中，仅需对校验码及资产编码进行处理及校对，无需对所有资产信息进行比对，有效减少了系统计算量，提高了响应速度。

50、4、本发明通过自定义时间对数据库资产表中资产编码的校对，避免了业务高峰期对计算资源的过度占用。

51、5、本发明采用的密钥由加密服务器保存，有效降低了密钥泄露的风险。

52、由此可见，本发明与现有技术相比，具有突出的实质性特点和显著的进步，其实施的有益效果也是显而易见的。