本技術(shù)涉及通信，尤其涉及一種數(shù)據(jù)傳輸方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、在客戶端訪問數(shù)據(jù)庫(kù)的tcp(transmission?control?protocol，傳輸控制協(xié)議)連接中，經(jīng)過通信雙方的參數(shù)協(xié)商，tcp連接既可以明文方式進(jìn)行數(shù)據(jù)交互，也可以類ssl(secure?sockets?layer，安全套接層)協(xié)議進(jìn)行加密的密文方式進(jìn)行數(shù)據(jù)交互。為了保證數(shù)據(jù)安全，通常在客戶端與數(shù)據(jù)庫(kù)服務(wù)器之間設(shè)置防火墻對(duì)客戶端與數(shù)據(jù)庫(kù)之間傳輸?shù)臄?shù)據(jù)進(jìn)行監(jiān)測(cè)，對(duì)威脅數(shù)據(jù)進(jìn)行攔截。

2、相關(guān)技術(shù)中，部分防火墻僅能夠代理明文數(shù)據(jù)連接，對(duì)于加密連接數(shù)據(jù)直接透?jìng)?，從而?dǎo)致加密連接數(shù)據(jù)對(duì)數(shù)據(jù)庫(kù)的操作無(wú)法進(jìn)行有效防護(hù)。部分防火墻僅能夠代理某種特定類型的數(shù)據(jù)庫(kù)的加密連接，不同類型的數(shù)據(jù)庫(kù)實(shí)現(xiàn)加密代理不具備通用性，且也無(wú)法同時(shí)支持代理訪問數(shù)據(jù)庫(kù)的明密全鏈路。

3、因此，如何實(shí)現(xiàn)防火墻同時(shí)代理明文連接和加密連接，實(shí)現(xiàn)對(duì)客戶端訪問數(shù)據(jù)庫(kù)的全鏈路代理，是現(xiàn)有技術(shù)中亟待解決的技術(shù)問題之一。

技術(shù)實(shí)現(xiàn)思路

1、為了解決防火墻無(wú)法同時(shí)支持代理訪問數(shù)據(jù)庫(kù)的明文連接和加密連接的問題，本技術(shù)實(shí)施例提供了一種數(shù)據(jù)傳輸方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)。

2、第一方面，本技術(shù)實(shí)施例提供了一種數(shù)據(jù)傳輸方法，應(yīng)用于防火墻，所述方法，包括：

3、在分別與客戶端和數(shù)據(jù)庫(kù)完成傳輸控制協(xié)議tcp連接三次握手后，接收所述數(shù)據(jù)庫(kù)向所述客戶端發(fā)送的第一加密協(xié)商消息，以及所述客戶端向所述數(shù)據(jù)庫(kù)發(fā)送的第二加密協(xié)商消息；

4、若基于所述第一加密協(xié)商消息與所述第二加密協(xié)商消息確定明文傳輸數(shù)據(jù)，則對(duì)所述客戶端與所述數(shù)據(jù)庫(kù)之間的數(shù)據(jù)進(jìn)行明文傳輸；

5、若基于所述第一加密協(xié)商消息與所述第二加密協(xié)商消息確定加密傳輸數(shù)據(jù)，則分別建立與所述客戶端之間的安全套接層ssl連接，以及與所述數(shù)據(jù)庫(kù)之間的ssl連接，以對(duì)所述客戶端與所述數(shù)據(jù)庫(kù)之間的數(shù)據(jù)進(jìn)行ssl加密傳輸。

6、在一種實(shí)施方式中，所述數(shù)據(jù)庫(kù)至少包括mysql數(shù)據(jù)庫(kù)和mstds數(shù)據(jù)庫(kù)；

7、當(dāng)所述數(shù)據(jù)庫(kù)為mstds數(shù)據(jù)庫(kù)時(shí)，若基于所述第一加密協(xié)商消息與所述第二加密協(xié)商消息確定加密傳輸數(shù)據(jù)，則分別建立與所述客戶端之間的安全套接層協(xié)議ssl連接，以及與所述數(shù)據(jù)庫(kù)之間的ssl連接，以對(duì)所述客戶端與所述數(shù)據(jù)庫(kù)之間的數(shù)據(jù)進(jìn)行ssl加密傳輸，具體包括：

8、若基于所述第一加密協(xié)商消息與所述第二加密協(xié)商消息確定對(duì)登錄信息進(jìn)行加密，則分別建立與所述客戶端之間的ssl連接，以及與所述數(shù)據(jù)庫(kù)之間的ssl連接，對(duì)所述客戶端發(fā)送的登錄信息進(jìn)行ssl加密后發(fā)送至所述數(shù)據(jù)庫(kù)，并在發(fā)送成功后斷開與所述客戶端之間的ssl連接，以及與所述數(shù)據(jù)庫(kù)之間的ssl連接，以對(duì)后續(xù)所述客戶端與所述數(shù)據(jù)庫(kù)之間的數(shù)據(jù)進(jìn)行明文傳輸；

9、若基于所述第一加密協(xié)商消息與所述第二加密協(xié)商消息確定對(duì)所述客戶端與所述數(shù)據(jù)庫(kù)之間的所有數(shù)據(jù)進(jìn)行加密傳輸，則分別建立與所述客戶端之間的ssl連接，以及與所述數(shù)據(jù)庫(kù)之間的ssl連接，以對(duì)所述客戶端與所述數(shù)據(jù)庫(kù)之間的所有數(shù)據(jù)進(jìn)行ssl加密傳輸。

10、在一種實(shí)施方式中，所述防火墻包括客戶端套接層、服務(wù)端套接層、半加密層和數(shù)據(jù)庫(kù)協(xié)議解析層；

11、接收所述數(shù)據(jù)庫(kù)向所述客戶端發(fā)送的第一加密協(xié)商消息，具體包括：

12、所述半加密層接收所述數(shù)據(jù)庫(kù)通過所述服務(wù)端套接層發(fā)送的所述第一加密協(xié)商消息；

13、接收所述客戶端向所述數(shù)據(jù)庫(kù)發(fā)送的第二加密協(xié)商消息，具體包括：

14、所述半加密層接收所述客戶端通過所述客戶端套接層發(fā)送的所述第二加密協(xié)商消息。

15、在一種實(shí)施方式中，若基于所述第一加密協(xié)商消息與所述第二加密協(xié)商消息確定明文傳輸數(shù)據(jù)，則對(duì)所述客戶端與所述數(shù)據(jù)庫(kù)之間的數(shù)據(jù)進(jìn)行明文傳輸，具體包括：

16、所述半加密層若基于所述第一加密協(xié)商消息中的第一加密協(xié)商參數(shù)與所述第二加密協(xié)商消息中的第二加密協(xié)商參數(shù)確定明文傳輸數(shù)據(jù)，則將接收到的所述客戶端發(fā)送的數(shù)據(jù)請(qǐng)求發(fā)送至所述數(shù)據(jù)庫(kù)協(xié)議解析層；

17、所述數(shù)據(jù)庫(kù)協(xié)議解析層對(duì)所述數(shù)據(jù)請(qǐng)求進(jìn)行解析，若確定所述數(shù)據(jù)請(qǐng)求中不包含威脅信息，則將所述數(shù)據(jù)請(qǐng)求發(fā)送至所述半加密層；

18、半加密層將所述數(shù)據(jù)請(qǐng)求發(fā)送至所述服務(wù)端套接層，由所述服務(wù)端套接層轉(zhuǎn)發(fā)至所述數(shù)據(jù)庫(kù)；

19、所述半加密層接收所述數(shù)據(jù)庫(kù)通過所述服務(wù)端套接層返回的響應(yīng)消息，將所述響應(yīng)消息發(fā)送至所述數(shù)據(jù)庫(kù)協(xié)議解析層；

20、所述數(shù)據(jù)庫(kù)協(xié)議解析層對(duì)所述響應(yīng)消息進(jìn)行解析，若確定所述響應(yīng)消息中不包含威脅信息，則將所述響應(yīng)消息發(fā)送至所述半加密層；

21、所述半加密層將所述響應(yīng)消息發(fā)送至所述客戶端套接層，由所述客戶端套接層轉(zhuǎn)發(fā)至所述客戶端。

22、在一種實(shí)施方式中，若基于所述第一加密協(xié)商消息與所述第二加密協(xié)商消息確定加密傳輸數(shù)據(jù)，則分別建立與所述客戶端之間的ssl連接，以及與所述數(shù)據(jù)庫(kù)之間的ssl連接，具體包括：

23、所述半加密層若基于所述第一加密協(xié)商消息中的第一加密協(xié)商參數(shù)與所述第二加密協(xié)商消息中的第二加密協(xié)商參數(shù)確定加密傳輸數(shù)據(jù)，則在所述半加密層與所述數(shù)據(jù)庫(kù)協(xié)議解析層之間添加加密層；

24、所述加密層基于ssl協(xié)議分別建立所述防火墻與所述客戶端之間的ssl連接，以及所述防火墻與所述數(shù)據(jù)庫(kù)之間的ssl連接。

25、在一種實(shí)施方式中，在所述加密層基于ssl協(xié)議分別建立所述防火墻與所述客戶端之間的ssl連接，以及與所述數(shù)據(jù)庫(kù)之間的ssl連接之后，對(duì)所述客戶端與所述數(shù)據(jù)庫(kù)之間的數(shù)據(jù)進(jìn)行ssl加密傳輸，具體包括：

26、所述半加密層將接收到的所述客戶端發(fā)送的通過與所述防火墻協(xié)商的第一私鑰加密的數(shù)據(jù)請(qǐng)求發(fā)送至所述加密層；

27、所述加密層對(duì)所述加密的數(shù)據(jù)請(qǐng)求通過所述第一私鑰對(duì)應(yīng)的第一公鑰進(jìn)行解密，將解密后的數(shù)據(jù)請(qǐng)求發(fā)送至所述數(shù)據(jù)庫(kù)協(xié)議解析層；

28、所述數(shù)據(jù)庫(kù)協(xié)議解析層對(duì)所述解密后的數(shù)據(jù)請(qǐng)求進(jìn)行解析，若確定所述解密后的數(shù)據(jù)請(qǐng)求中不包含威脅信息，則將所述解密后的數(shù)據(jù)請(qǐng)求發(fā)送至所述加密層；

29、所述加密層通過與所述數(shù)據(jù)庫(kù)協(xié)商的第二私鑰對(duì)所述數(shù)據(jù)請(qǐng)求進(jìn)行加密，并將加密后的數(shù)據(jù)請(qǐng)求發(fā)送至所述服務(wù)端套接層，由所述服務(wù)端套接層轉(zhuǎn)發(fā)至所述數(shù)據(jù)庫(kù)；

30、所述半加密層接收所述數(shù)據(jù)庫(kù)通過所述服務(wù)端套接層返回的采用所述第二私鑰加密的響應(yīng)消息，將所述加密的響應(yīng)消息發(fā)送至所述加密層；

31、所述加密層采用所述第二私鑰對(duì)應(yīng)的第二公鑰對(duì)所述加密的響應(yīng)消息進(jìn)行解密，得到解密后的響應(yīng)消息，將所述解密后的響應(yīng)消息發(fā)送至所述數(shù)據(jù)庫(kù)協(xié)議解析層；

32、所述數(shù)據(jù)庫(kù)協(xié)議解析層對(duì)所述解密后的響應(yīng)消息進(jìn)行解析，若確定所述解密后的響應(yīng)消息中不包含威脅信息，則將所述解密后的響應(yīng)消息發(fā)送至所述加密層；

33、所述加密層采用所述第一私鑰對(duì)所述響應(yīng)消息進(jìn)行加密，將加密后的響應(yīng)消息發(fā)送至所述客戶端套接層，由所述客戶端套接層轉(zhuǎn)發(fā)至所述客戶端。

34、在一種實(shí)施方式中，若所述數(shù)據(jù)庫(kù)為mstds數(shù)據(jù)庫(kù)，在所述加密層基于ssl協(xié)議建立所述防火墻與所述客戶端之間的ssl連接時(shí)，對(duì)所述客戶端發(fā)送的ssl握手消息以及向所述客戶端返回的ssl握手響應(yīng)消息進(jìn)行以下預(yù)處理：

35、所述加密層接收到所述客戶端發(fā)送的添加指定字節(jié)頭的ssl握手消息后，將所述指定字節(jié)頭刪除后發(fā)送至所述數(shù)據(jù)庫(kù)協(xié)議解析層進(jìn)行解析；并

36、對(duì)所述數(shù)據(jù)庫(kù)協(xié)議解析層返回的ssl握手響應(yīng)消息添加所述指定字節(jié)頭；

37、將添加所述指定字節(jié)頭的ssl握手響應(yīng)消息發(fā)送至所述客戶端套接層，由所述客戶端套接層轉(zhuǎn)發(fā)至所述客戶端。

38、在一種實(shí)施方式中，若所述數(shù)據(jù)庫(kù)為mstds數(shù)據(jù)庫(kù)，在所述加密層基于ssl協(xié)議建立所述防火墻與所述數(shù)據(jù)庫(kù)之間的ssl連接時(shí)，對(duì)向所述數(shù)據(jù)庫(kù)發(fā)送的ssl握手消息以及所述數(shù)據(jù)庫(kù)返回的ssl握手響應(yīng)消息進(jìn)行以下預(yù)處理：

39、所述加密層對(duì)ssl握手消息添加指定字節(jié)頭后發(fā)送至所述服務(wù)端套接層，由所述服務(wù)端套接層轉(zhuǎn)發(fā)至所述數(shù)據(jù)庫(kù)；

40、對(duì)所述數(shù)據(jù)庫(kù)返回的添加所述指定字節(jié)頭的ssl握手響應(yīng)消息中的所述指定字節(jié)頭去除后發(fā)送至所述數(shù)據(jù)庫(kù)協(xié)議解析層進(jìn)行解析。

41、第二方面，本技術(shù)實(shí)施例提供了一種數(shù)據(jù)傳輸裝置，應(yīng)用于防火墻，所述裝置，包括：

42、接收單元，用于在分別與客戶端和數(shù)據(jù)庫(kù)完成傳輸控制協(xié)議tcp連接三次握手后，接收所述數(shù)據(jù)庫(kù)向所述客戶端發(fā)送的第一加密協(xié)商消息，以及所述客戶端向所述數(shù)據(jù)庫(kù)發(fā)送的第二加密協(xié)商消息；

43、第一傳輸單元，用于若基于所述第一加密協(xié)商消息與所述第二加密協(xié)商消息確定明文傳輸數(shù)據(jù)，則對(duì)所述客戶端與所述數(shù)據(jù)庫(kù)之間的數(shù)據(jù)進(jìn)行明文傳輸；

44、第二傳輸單元，用于若基于所述第一加密協(xié)商消息與所述第二加密協(xié)商消息確定加密傳輸數(shù)據(jù)，則分別建立與所述客戶端之間的安全套接層ssl連接，以及與所述數(shù)據(jù)庫(kù)之間的ssl連接，以對(duì)所述客戶端與所述數(shù)據(jù)庫(kù)之間的數(shù)據(jù)進(jìn)行ssl加密傳輸。

45、在一種實(shí)施方式中，所述數(shù)據(jù)庫(kù)至少包括mysql數(shù)據(jù)庫(kù)和mstds數(shù)據(jù)庫(kù)；

46、當(dāng)所述數(shù)據(jù)庫(kù)為mstds數(shù)據(jù)庫(kù)時(shí)，所述第二傳輸單元，具體用于若基于所述第一加密協(xié)商消息與所述第二加密協(xié)商消息確定對(duì)登錄信息進(jìn)行加密，則分別建立與所述客戶端之間的ssl連接，以及與所述數(shù)據(jù)庫(kù)之間的ssl連接，對(duì)所述客戶端發(fā)送的登錄信息進(jìn)行ssl加密后發(fā)送至所述數(shù)據(jù)庫(kù)，并在發(fā)送成功后斷開與所述客戶端之間的ssl連接，以及與所述數(shù)據(jù)庫(kù)之間的ssl連接，以對(duì)后續(xù)所述客戶端與所述數(shù)據(jù)庫(kù)之間的數(shù)據(jù)進(jìn)行明文傳輸；若基于所述第一加密協(xié)商消息與所述第二加密協(xié)商消息確定對(duì)所述客戶端與所述數(shù)據(jù)庫(kù)之間的所有數(shù)據(jù)進(jìn)行加密傳輸，則分別建立與所述客戶端之間的ssl連接，以及與所述數(shù)據(jù)庫(kù)之間的ssl連接，以對(duì)所述客戶端與所述數(shù)據(jù)庫(kù)之間的所有數(shù)據(jù)進(jìn)行ssl加密傳輸。

47、在一種實(shí)施方式中，所述第二傳輸單元，具體用于接收所述客戶端發(fā)送的通過與所述防火墻協(xié)商的第一私鑰加密的數(shù)據(jù)請(qǐng)求；對(duì)所述加密的數(shù)據(jù)請(qǐng)求通過所述第一私鑰對(duì)應(yīng)的第一公鑰進(jìn)行解密；若確定所述解密后的數(shù)據(jù)請(qǐng)求中不包含威脅信息，則通過與所述數(shù)據(jù)庫(kù)協(xié)商的第二私鑰對(duì)所述數(shù)據(jù)請(qǐng)求進(jìn)行加密，并將加密后的數(shù)據(jù)請(qǐng)求發(fā)送至所述數(shù)據(jù)庫(kù)；接收所述數(shù)據(jù)庫(kù)返回的采用所述第二私鑰加密的響應(yīng)消息；采用所述第二私鑰對(duì)應(yīng)的第二公鑰對(duì)所述加密的響應(yīng)消息進(jìn)行解密，得到解密后的響應(yīng)消息；若確定所述解密后的響應(yīng)消息中不包含威脅信息，則采用所述第一私鑰對(duì)所述響應(yīng)消息進(jìn)行加密，將加密后的響應(yīng)消息發(fā)送至所述客戶端。

48、第三方面，本技術(shù)實(shí)施例提供了一種電子設(shè)備，包括存儲(chǔ)器、處理器及存儲(chǔ)在所述存儲(chǔ)器上并可在所述處理器上運(yùn)行的計(jì)算機(jī)程序，所述處理器執(zhí)行所述程序時(shí)實(shí)現(xiàn)本技術(shù)所述的數(shù)據(jù)傳輸方法。

49、第四方面，本技術(shù)實(shí)施例提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序，該程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)本技術(shù)所述的數(shù)據(jù)傳輸方法中的步驟。

50、本技術(shù)的有益效果如下：

51、本技術(shù)實(shí)施例提供的數(shù)據(jù)傳輸方法，應(yīng)用于防火墻，在分別與客戶端和數(shù)據(jù)庫(kù)完成tcp連接三次握手后，防火墻接收數(shù)據(jù)庫(kù)向客戶端發(fā)送的第一加密協(xié)商消息，以及客戶端向數(shù)據(jù)庫(kù)發(fā)送的第二加密協(xié)商消息，防火墻若基于第一加密協(xié)商消息和第二加密協(xié)商消息確定明文傳輸數(shù)據(jù)，則對(duì)客戶端與數(shù)據(jù)庫(kù)之間的數(shù)據(jù)進(jìn)行明文傳輸，防火墻若基于第一加密協(xié)商消息與第二加密協(xié)商消息確定加密傳輸數(shù)據(jù)，防火墻則分別建立與客戶端之間的ssl連接以及與數(shù)據(jù)庫(kù)之間的ssl連接，以對(duì)客戶端與數(shù)據(jù)庫(kù)之間的數(shù)據(jù)進(jìn)行ssl加密傳輸。本技術(shù)實(shí)施例中，防火墻在完成與客戶端之間、以及與數(shù)據(jù)庫(kù)之間的tcp連接三次握手后，防火墻根據(jù)接收的數(shù)據(jù)庫(kù)向客戶端發(fā)送的第一加密協(xié)商消息和客戶端向數(shù)據(jù)庫(kù)發(fā)送第二加密協(xié)商消息判斷對(duì)后續(xù)客戶端與數(shù)據(jù)之間的數(shù)據(jù)進(jìn)行明文傳輸還是加密傳輸，若確定明文傳輸，則后續(xù)對(duì)客戶端與數(shù)據(jù)庫(kù)之間的數(shù)據(jù)進(jìn)行明文傳輸，若確定加密傳輸，則建立防火墻與客戶端之間、防火墻與數(shù)據(jù)庫(kù)之間的ssl雙連接，以對(duì)客戶端與數(shù)據(jù)庫(kù)之間的數(shù)據(jù)基線ssl加密傳輸，從而，實(shí)現(xiàn)了防火墻同時(shí)代理明文連接和加密連接，實(shí)現(xiàn)對(duì)客戶端訪問數(shù)據(jù)庫(kù)的全鏈路代理。

52、本技術(shù)的其它特征和優(yōu)點(diǎn)將在隨后的說(shuō)明書中闡述，并且，部分地從說(shuō)明書中變得顯而易見，或者通過實(shí)施本技術(shù)而了解。本技術(shù)的目的和其他優(yōu)點(diǎn)可通過在所寫的說(shuō)明書、權(quán)利要求書、以及附圖中所特別指出的結(jié)構(gòu)來(lái)實(shí)現(xiàn)和獲得。