一种基于数据库的认证方法、装置、设备及存储介质与流程

1.本发明涉及网络安全技术领域，尤其涉及一种基于数据库的认证方法、装置、设备及存储介质。


背景技术：

2.随着互联网的迅速发展，企业员工可以很方便的接入到互联网服务，当前越来越多的企业开始使用数据库存储用户信息资源，同时，安全网关产品作为企业网络安全网关的核心网络单元，其管理核心是企业的员工，而数据库又是专门的企业信息资源存储平台，因此安全网关产品的认证与数据库结合成为一个必然的趋势。
3.目前针对网络安全设备的认证方法包括预设配置的认证方法、临时认证方法和免认证方法。预设配置的认证方法预先在认证设备上创建好用户并进行配置，在终端接入网络时通过预先配置的内容实现认证；临时认证方法主要通过短信或者微信认证，根据用户指定的手机号或者微信号在认证页面实现认证；免认证在终端接入网络时，不需要提供任何认证信息，直接以ip作为用户名完成认证。
4.但是，预设配置的认证方法需要管理员在设备上预先配置好用户，在存在大量终端时，网络运维人员工作量很大；临时认证方法需要单独购买短信服务商提供的短信网关设备，或者不能将服务器中已创建好的组织架构中的用户信息同步到设备本地并基于用户的维度进行上网行为管控；免认证不适合临时用户，并且由于该用户没有进行准入控制对用户网络环境构成一定的安全隐患。


技术实现要素：

5.有鉴于此，有必要提供一种基于数据库的认证方法、装置、设备及存储介质，用以解决现有技术中存在大量终端时，网络运维人员工作量大以及不能对用户的认证后的上网行为管控，网络环境存在安全隐患的问题。
6.为达到上述技术目的，本发明采取了以下技术方案：
7.第一方面，本发明提供了一种基于数据库的认证方法，包括：
8.获取已认证的用户信息，建立数据库服务器存储已认证的用户信息；
9.通过认证设备与数据库服务器通讯，查询并保存已认证的用户信息；
10.控制认证设备根据已认证的用户信息对客户网络终端进行对比认证；
11.基于预设管控策略，控制认证设备对客户网络终端的上网行为进行监控和管理。
12.优选的，已认证的用户信息包括用户名和ip地址；通过认证设备与数据库服务器通讯，查询并保存已认证的用户信息，包括：
13.基于路由协议网络，将认证设备与数据库服务器的预设端口连接并触发同步；
14.控制认证设备通过第一预设查询指令从数据库服务器查询已认证的用户信息；
15.控制认证设备从已认证的用户信息中提取并保存用户名和ip地址。
16.优选的，通过认证设备与数据库服务器通讯，查询并保存已认证的用户信息，还包
括：
17.控制认证设备每隔预设时间间隔从数据库服务器获取已认证的用户信息。
18.优选的，已认证的用户信息包括用户组织结构；通过认证设备与数据库服务器通讯，查询并保存已认证的用户信息，还包括：
19.认证设备通过第二预设查询指令从数据库服务器查询用户组织结构。
20.优选的，控制认证设备根据已认证的用户信息对客户网络终端进行对比认证，包括：
21.当客户网络终端有流量经过认证设备时，控制认证设备劫持客户网络终端的流量；
22.控制认证设备将已认证的用户信息和客户网络终端的流量进行对比；
23.当客户网络终端的流量与已认证的用户信息一致时，客户网络终端认证成功。
24.优选的，基于预设管控策略，控制认证设备对客户网络终端的上网行为进行监控和管理，包括：
25.通过认证设备对客户网络终端的上网行为进行监控；
26.根据客户网络终端的上网行为，控制认证设备根据用户组织结构对客户网络终端进行管理。
27.优选的，根据客户网络终端的上网行为，控制认证设备根据用户组织结构对客户网络终端进行管理，包括：
28.当客户网络终端的上网行为判断为违规时，调用用户组织结构阻断客户网络终端的流量；
29.当客户网络终端的上网行为判断不为违规时，调用用户组织结构放通客户网络终端的流量。
30.第二方面，本发明还提供了一种基于数据库的认证装置，包括：
31.存储模块，用于获取已认证的用户信息，建立数据库服务器存储已认证的用户信息；
32.查询模块，用于通过认证设备与数据库服务器通讯，查询并保存已认证的用户信息；
33.认证模块，用于控制认证设备根据已认证的用户信息对客户网络终端进行对比认证；
34.管控模块，用于基于预设管控策略，控制认证设备对客户网络终端的上网行为进行监控和管理。
35.第三方面，本发明还提供了一种电子设备，包括存储器和处理器，其中，
36.存储器，用于存储程序；
37.处理器，与存储器耦合，用于执行存储器中存储的程序，以实现上述任一种实现方式中的基于数据库的认证方法中的步骤。
38.第四方面，本发明还提供了一种计算机可读存储介质，用于存储计算机可读取的程序或指令，程序或指令被处理器执行时，能够实现上述任一种实现方式中的基于数据库的认证方法中的步骤。
39.采用上述实施例的有益效果是：本发明提供的一种基于数据库的认证方法、装置、
设备及存储介质，获取已认证的用户信息，建立数据库服务器存储已认证的用户信息，通过认证设备与数据库服务器通讯，查询并保存已认证的用户信息，通过数据库服务器存储已认证的用户信息，再通过认证设备与数据库服务器通讯，数据库服务器上的用户账号可以直接使用，不需要额外配置已认证的用户账号，方便管理；认证设备根据已认证的用户信息对客户网络终端进行对比认证，基于预设管控策略，认证设备对客户网络终端的上网行为进行监控和管理，保障了客户网络终端上的用户通过设备的准入控制接入互联网的合规性和安全性，可以将数据库服务器上的已认证的用户信息同步到认证设备本地，认证设备可以基于已认证的用户信息进行上网行为的监控和上网权限的管理，提高了网络安全，消除了安全隐患。
附图说明
40.图1为本发明提供的基于数据库的认证方法的一实施例的流程示意图；
41.图2为图1中步骤s102的一实施例的流程示意图；
42.图3为图1中步骤s103的一实施例的流程示意图；
43.图4为本发明提供的基于数据库的认证装置的一实施例的结构示意图；
44.图5为本发明实施例提供的电子设备的结构示意图。
具体实施方式
45.下面结合附图来具体描述本发明的优选实施例，其中，附图构成本技术一部分，并与本发明的实施例一起用于阐释本发明的原理，并非用于限定本发明的范围。
46.在对本发明的实施例进行阐述之前，对相关词语进行解释说明：
47.数据库(database)：是用来组织、存储和管理数据的仓库。当今世界是一个充满着数据的互联网世界，充斥着大量的数据。数据的来源有很多，比如出行记录、消费记录、浏览的网页、发送的消息等等。除了文本类型的数据，图像、音乐、声音都是数据。为了方便管理互联网世界中的数据，就有了数据库管理系统的概念(简称：数据库)。用户可以对数据库中的数据进行新增、查询、更新、删除等操作。
48.sql(structured query language)：是一种资料库查询和程式设计语言，用于存取资料以及查询、更新和管理关联式资料库系统。
49.select权限：代表允许从表中查看数据，select将从一个或更多表中返回记录行。select通常的处理如下：计算列出在from中的所有元素，from中的每个元素都是一个真正的或者虚拟的表。
50.上网行为管理：是指帮助互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、上网隐私保护、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。
51.准入控制：是实名制id网络准入控制(nac)的简称。准入控制是终端在向无线/有线接入网络请求建立链路的时候，无线/有线接入网络根据不同的网络准入控制技术判断和控制终端是否允许接入网络，对网络的边界进行保护，对接入网络的终端和终端的使用人进行合规性检查。
52.在本技术的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
53.在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包
含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。
54.本发明提供了一种基于数据库的认证方法、装置、设备及存储介质，以下分别进行说明。
55.请参与图1，图1为本发明提供的基于数据库的认证方法的一实施例的流程示意图，本发明的一个具体实施例，公开了一种基于数据库的认证方法，包括：
56.s101、获取已认证的用户信息，建立数据库服务器存储已认证的用户信息；
57.s102、通过认证设备与数据库服务器通讯，查询并保存已认证的用户信息；
58.s103、控制认证设备根据已认证的用户信息对客户网络终端进行对比认证；
59.s104、基于预设管控策略，控制认证设备对客户网络终端的上网行为进行监控和管理。
60.在上述实施例中，随着互联网的迅速发展，越来越多的企业开始使用数据库服务器存储用户信息资源，基于数据库的认证方法是在企业已有一套数据库系统存储用户认证信息和组织结构信息的前提下，通过数据库服务器将已认证的用户信息进行保存，不需要管理人员预先设置已认证的用户，并对已认证的用户进行配置，减少了管理人员的工作量。
61.需要说明的是，数据库的类型包括：oracle，ms sql server，db2，mysql，pg数据库等。
62.作为优先的实施例，本发明中的认证设备以上网行为审计设备进行举例说明，可以理解的是，认证设备是指与数据库服务器进行报文交互，可以进行select查询的设备。包括：上网行为审计设备、带认证功能的防火墙设备、准入控制设备等。
63.上网行为审计设备获取的已认证的用户信息中包含了已授权的用户信息，上网行为审计设备根据已认证的用户信息与客户网络终端中的用户信息进行对比认证，认证成功时，上网行为审计设备会显示认证成功。
64.用户认证成功后，上网行为审计设备可以基于已认证的用户信息的维度配置预设管控策略，并通过配置的预设管控策略放通或阻断客户网络终端的后续上网流量，实现对客户网络终端的上网行为的管控，从而提高网络安全，消除安全隐患。
65.与现有技术相比，本实施例提供的一种基于数据库的认证方法，获取已认证的用户信息，建立数据库服务器存储已认证的用户信息，通过认证设备与数据库服务器通讯，查询并保存已认证的用户信息，通过数据库服务器存储已认证的用户信息，再通过认证设备与数据库服务器通讯，数据库服务器上的用户账号可以直接使用，不需要额外配置已认证的用户账号，方便管理；认证设备根据已认证的用户信息对客户网络终端进行对比认证，基于预设管控策略，认证设备对客户网络终端的上网行为进行监控和管理，保障了客户网络终端上的用户通过设备的准入控制接入互联网的合规性和安全性，可以将数据库服务器上的已认证的用户信息同步到认证设备本地，认证设备可以基于已认证的用户信息进行上网行为的监控和上网权限的管理，提高了网络安全，消除了安全隐患。
66.请参与图2，图2为图1中步骤s102的一实施例的流程示意图，在本发明的一些实施例中，已认证的用户信息包括用户名和ip地址；通过认证设备与数据库服务器通讯，查询并保存已认证的用户信息，包括：
67.s201、基于路由协议网络，将认证设备与数据库服务器的预设端口连接并触发同步；
68.s202、控制认证设备通过第一预设查询指令从数据库服务器查询已认证的用户信息；
69.s203、控制认证设备从已认证的用户信息中提取并保存用户名和ip地址。
70.在上述实施例中，上网行为审计设备和数据库服务器都配有ip地址，他们之间通过路由协议网络可达即能完成正常通讯。上网行为审计设备开发或嵌套了连接数据库服务器的客户端程序，上网行为审计设备可以与数据库服务器进行网络互通，也就实现了与数据库服务器通讯。需要说明的是，同步指的是发送一个请求，需要等待返回，然后才能发送下一个请求，上网行为审计设备与数据库服务器的通讯是同步的。上网行为审计设备上填写的数据库账号能够对数据库服务器中的表或视图有select权限。
71.预设端口可以在数据库服务器安装的时候由管理员进行修改，未修改的情况下数据库服务器相应端口如下：oracle连接端口是1521，ms sql server连接端口是1433，db2连接端口是5000，mysql连接端口是3306，pg连接端口是5432。
72.第一预设查询指令是一条设置的select语句，为sql语句中的语法命令，通过第一预设查询指令，上网行为审计设备从数据库服务器中查询出已认证的用户信息，并从中提取出用户名和ip地址，并在上网行为审计设备的在线表格中缓存。
73.在本发明的一些实施例中，通过认证设备与数据库服务器通讯，查询并保存已认证的用户信息，还包括：
74.控制认证设备每隔预设时间间隔从数据库服务器获取已认证的用户信息。
75.在上述实施例中，数据库服务器中的用户数据是变化的，随着数据库服务器的使用，之前存储的已认证用户可能不再被认证，之前不被认证的用户也有可能会获得认证，因此需要对已认证的用户信息进行更新，上网行为审计设备则通过每隔预设时间间隔从数据库服务器获取已认证的用户信息实现对已认证用户的更新。需要说明的是，预设时间间隔是根据实际使用情况进行设计的，本发明对此不做进一步限制。
76.在本发明的一些实施例中，已认证的用户信息包括用户组织结构；通过认证设备与数据库服务器通讯，查询并保存已认证的用户信息，还包括：
77.认证设备通过第二预设查询指令从数据库服务器查询用户组织结构。
78.在上述实施例中，第二预设查询指令也是一条设置的select语句，为sql语句中的语法命令，组织结构是指某用户在用户组1下面，如用户组1在用户组2下面等，是一级一级嵌套的树形框架结构。
79.需要说明的是，查询用户组织结构可以根据实际情况进行选择，如果不需要同步用户组织结构，也可以不需要查询出用户组织结构，用户和组织结构同步不影响进行数据库认证的结果。
80.请参与图3，图3为图1中步骤s103的一实施例的流程示意图，在本发明的一些实施例中，控制认证设备根据已认证的用户信息对客户网络终端进行对比认证，包括：
81.s301、当客户网络终端有流量经过认证设备时，控制认证设备劫持客户网络终端的流量；
82.s302、控制认证设备将已认证的用户信息和客户网络终端的流量进行对比；
83.s303、当客户网络终端的流量与已认证的用户信息一致时，客户网络终端认证成功。
84.在上述实施例中，客户网络终端在使用时会产生流量，该流量会经过上网行为审计设备，上网行为审计设备将对客户网络终端产生的流量进行劫持。
85.上网行为审计设备将在线表格中缓存的ip地址与劫持的流量进行对比，只有流量的ip地址与上网行为审计设备中缓存的ip地址对应时，才能实现数据库认证成功，其他情况都无法认证成功，客户网络终端也就无法正常使用。
86.在本发明的一些实施例中，基于预设管控策略，控制认证设备对客户网络终端的上网行为进行监控和管理，包括：
87.通过认证设备对客户网络终端的上网行为进行监控；
88.根据客户网络终端的上网行为，控制认证设备根据用户组织结构对客户网络终端进行管理。
89.在上述实施例中，认证设备对客户网络终端的上网行为进行监控即上网行为管理，是对客户网络终端的上网行为进行监控，防止客户网络终端的上网行为对网络安全产生影响，对所有已认证的用户都需要进行准入控制，从而消除网络安全隐患。
90.在本发明的一些实施例中，根据客户网络终端的上网行为，控制认证设备根据用户组织结构对客户网络终端进行管理，包括：
91.当客户网络终端的上网行为判断为违规时，调用用户组织结构阻断客户网络终端的流量；
92.当客户网络终端的上网行为判断不为违规时，调用用户组织结构放通客户网络终端的流量。
93.在上述实施例中，预先划分上网行为中的违规行为和非违规行为，在客户网络终端认证成功后，可以通过客户网络终端进行上网，并对上网行为进行监控，一旦发现上网行为出现了违规行为，则立即阻断客户网络终端的流量，禁止用户进行上网。可以将数据库服务器上的用户和用户组信息同步到设备本地，实现上网行为审计设备可以进行上网行为的监督和上网权限的管控。
94.需要说明的是，对于违规行为和非违规行为的划分，可以根据实际情况进行设置，本发明对此不做进一步赘述。
95.为了更好实施本发明实施例中的基于数据库的认证方法，在基于数据库的认证方法基础之上，对应的，请参阅图4，图4为本发明提供的基于数据库的认证装置的一实施例的结构示意图，本发明实施例提供了一种基于数据库的认证装置400，包括：
96.存储模块410，用于获取已认证的用户信息，建立数据库服务器存储已认证的用户信息；
97.查询模块420，用于通过认证设备与数据库服务器通讯，查询并保存已认证的用户信息；
98.认证模块430，用于控制认证设备根据已认证的用户信息对客户网络终端进行对比认证；
99.管控模块440，用于基于预设管控策略，控制认证设备对客户网络终端的上网行为进行监控和管理。
100.这里需要说明的是：上述实施例提供的装置400可实现上述各方法实施例中描述的技术方案，上述各模块或单元具体实现的原理可参见上述方法实施例中的相应内容，此处不再赘述。
101.请参阅图5，图5为本发明实施例提供的电子设备的结构示意图。基于上述基于数据库的认证方法，本发明还相应提供了一种基于数据库的认证设备，基于数据库的认证设备可以是移动终端、桌上型计算机、笔记本、掌上电脑及服务器等计算设备。该基于数据库的认证设备包括处理器510、存储器520及显示器530。图5仅示出了电子设备的部分组件，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组件。
102.存储器520在一些实施例中可以是基于数据库的认证设备的内部存储单元，例如基于数据库的认证设备的硬盘或内存。存储器520在另一些实施例中也可以是基于数据库的认证设备的外部存储设备，例如基于数据库的认证设备上配备的插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)等。进一步地，存储器520还可以既包括基于数据库的认证设备的内部存储单元也包括外部存储设备。存储器520用于存储安装于基于数据库的认证设备的应用软件及各类数据，例如安装基于数据库的认证设备的程序代码等。存储器520还可以用于暂时地存储已经输出或者将要输出的数据。在一实施例中，存储器520上存储有基于数据库的认证程序540，该基于数据库的认证程序540可被处理器510所执行，从而实现本技术各实施例的基于数据库的认证方法。
103.处理器510在一些实施例中可以是一中央处理器(central processing unit,cpu)，微处理器或其他数据处理芯片，用于运行存储器520中存储的程序代码或处理数据，例如执行基于数据库的认证方法等。
104.显示器530在一些实施例中可以是led显示器、液晶显示器、触控式液晶显示器以及oled(organic light-emitting diode，有机发光二极管)触摸器等。显示器530用于显示在基于数据库的认证设备的信息以及用于显示可视化的用户界面。基于数据库的认证设备的部件510-530通过系统总线相互通信。
105.在一实施例中，当处理器510执行存储器520中基于数据库的认证程序540时实现如上的基于数据库的认证方法中的步骤。
106.本实施例还提供了一种计算机可读存储介质，其上存储有基于数据库的认证程序，该基于数据库的认证程序被处理器执行时实现以下步骤：
107.获取已认证的用户信息，建立数据库服务器存储已认证的用户信息；
108.通过认证设备与数据库服务器通讯，查询并保存已认证的用户信息；
109.控制认证设备根据已认证的用户信息对客户网络终端进行对比认证；
110.基于预设管控策略，控制认证设备对客户网络终端的上网行为进行监控和管理。
111.综上，本实施例提供的一种基于数据库的认证方法、装置、设备及存储介质，获取已认证的用户信息，建立数据库服务器存储已认证的用户信息，通过认证设备与数据库服务器通讯，查询并保存已认证的用户信息，通过数据库服务器存储已认证的用户信息，再通过认证设备与数据库服务器通讯，数据库服务器上的用户账号可以直接使用，不需要额外配置已认证的用户账号，方便管理；认证设备根据已认证的用户信息对客户网络终端进行对比认证，基于预设管控策略，认证设备对客户网络终端的上网行为进行监控和管理，保障
了客户网络终端上的用户通过设备的准入控制接入互联网的合规性和安全性，可以将数据库服务器上的已认证的用户信息同步到认证设备本地，认证设备可以基于已认证的用户信息进行上网行为的监控和上网权限的管理，提高了网络安全，消除了安全隐患。
112.以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。