本发明专利技术公开了一种日志脱敏方法,该方法包括步骤:接收客户端发送的日志查询请求消息;根据所述日志查询请求中的信息确定对应的日志脱敏策略;提取与所述日志查询请求消息对应的原始日志;判断所述原始日志中是否存在敏感数据;若所述原始日志存在所述敏感数据,则按照所述日志脱敏策略对提取的原始日志进行脱敏转换。此外,本发明专利技术还公开了一种服务器及存储介质。本发明专利技术能够保证为不同身份信息的访问者提供不同结果的日志数据,实现了对敏感数据的动态保护。
Log Desensitization Method, Server and Storage Media
【技术实现步骤摘要】
日志脱敏方法、服务器及存储介质
本专利技术涉及数据安全领域,尤其涉及一种日志脱敏方法、服务器及存储介质。
技术介绍
不同的应用系统、设备对应的日志系统中保留了大量的敏感数据,比如用户的会话中携带的身份证号、用户名、用户标识等,例如:请求结构化查询语言(StructuredQueryLanguage,SQL)语句中的银行卡号、客户端IP地址、服务端的IP等等。当日志需要进行查询、分析时,这些敏感数据将会暴露给非授权用户,导致信息安全隐患。现有技术一般在日志敏感信息写入过程中对敏感数据进行加密或替换等方式处理,使其转换为不可识别的数据,再写入日志系统。但是,这种破坏原始日志信息的方式会影响故障定位分析或者日志审计、日志可回溯、访问不可抵赖等功能。
技术实现思路
本专利技术的主要目的在于提出一种日志脱敏方法、服务器及存储介质,旨在解决在对日志敏感信息进行加密或替换等方式处理导致的破坏原始日志信息的问题。为实现上述目的,本专利技术提供的一种日志脱敏方法,所述方法包括步骤:接收客户端发送的日志查询请求消息;根据所述日志查询请求中的信息确定对应的日志脱敏策略;提取与所述日志查询请求消息对应的原始日志;判断所述原始日志中是否存在敏感数据;若所述原始日志存在所述敏感数据,则按照所述日志脱敏策略对所述原始日志进行脱敏转换。此外,为实现上述目的,本专利技术还提出一种服务器,所述服务器包括处理器以及存储器;所述处理器用于执行存储器中存储的日志脱敏程序,以实现上述的方法。此外,为实现上述目的,本专利技术还提出一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述的方法。本专利技术提出的日志脱敏方法、服务器及存储介质,通过接收客户端发送的日志查询请求消息,并根据日志查询请求中的信息确定对应的日志脱敏策略,提取与所述日志查询请求消息对应的原始日志,判断所述原始日志中是否存在敏感数据,若所述原始日志存在所述敏感数据,则按照所述日志脱敏策略对所述原始日志进行脱敏转换,从而保证为不同身份信息的访问者提供不同结果的日志数据,实现了对敏感数据的动态保护。附图说明图1为本专利技术实施例提供的日志脱敏方法的流程示意图;图2为本专利技术实施例提供的日志脱敏方法的子流程示意图;图3为本专利技术实施例中敏感数据域与正则表达式的映射表;图4为本专利技术实施例中访问者身份信息日志脱敏策略、敏感数据域的映射表;图5为本专利技术实施例提供的日志脱敏方法的子流程示意图;图6为本专利技术实施例中日志脱敏策略、敏感数据域与算法参数的映射表;图7为本专利技术实施例提供的日志脱敏方法的另一流程示意图;图8为本专利技术实施例提供的服务器硬件架构的示意图;图9为图8中日志脱敏程序的模块示意图。本专利技术目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。具体实施方式应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本专利技术的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。如图1所示,为本专利技术的实施例提供的日志脱敏方法的流程示意图。在图1中,所述日志脱敏方法包括:步骤110,接收客户端发送的日志查询请求消息。具体的,当与客户端通过网络连接,且客户端通过网络向服务器发起日志查询请求时,则接收该日志查询请求。在日志查询请求的消息格式中携带客户端的身份信息,该身份信息包括但不限于:用户名、用户组、角色名信息等等。步骤120,根据所述日志查询请求中的信息确定对应的日志脱敏策略。具体的,如图2所示,步骤120进一步包括:步骤210,获取所述日志查询请求消息中的访问者身份信息。具体的,从日志查询请求消息中获取携带的访问者身份信息。步骤220,根据所述访问者身份信息确定对应的日志脱敏策略。具体的,根据访问者身份信息获得访问者所在的用户组、角色信息名等,并通过用户名、用户组及角色名信息获取该访问者的日志脱敏策略。在本实施例中,不同身份信息的访问者,对于同一个敏感数据可以有不同的日志脱敏策略,并根据需要配置相应的策略。该日志脱敏策略至少包括:替换、随机、偏移、截断、加密等。步骤130,提取与所述日志查询请求消息对应的原始日志。步骤140,判断所述原始日志中是否存在敏感数据,若是,则进入步骤150,若否,则进入步骤160。具体的,在获取日志脱敏策略的同时,还获取预设的敏感数据域。敏感数据域包括但不限于:姓名、证件号、银行账户、金额、日期、住址、电话号码、Email地址、车牌号、车架号、企业名称、工商注册号、组织机构代码、纳税人识别号等,并可以通过预设的规则来表述其数据特征。在本实施例中,敏感数据域定义的规则是正则表达式,如图3所示:使用(.+)@(.+\\.[a-zA-Z]{2,4})规则描述源数据Email数据格式;使用^((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13}$规则描述信用卡号码域CreditCardNumber的数据格式。步骤150,按照所述日志脱敏策略对提取的原始日志进行脱敏转换。具体的,根据确定的日志脱敏策略,对提取的原始日志进行脱敏转换。为实现不同身份标识的用户,转换后的日志结果不同。也就是说,对于完全授权的用户,则可以不需要进行脱敏转换,即用户可以看到真实数据,即原始日志;对于部分授权用户,则对原始日志进行部分转换,使访问者看到部分真实数据;对于完全限制的用户,则对原始日志进行整体转换,使访问者看到的是完全脱敏后的数据。如图4所示,为本实施例中访问者身份信息日志脱敏策略、敏感数据域的映射表。在图4中,用户名为“张三”对应的敏感数据域为“Email”,日志脱敏策略为“Email_Mask_Partial”、用户名为“李四”对应的敏感数据域为“Email”,日志脱敏策略为“Email_Mask_Full”、用户名为“王五”对应的敏感数据域为“Email”,日志脱敏策略为“Email_Mask_Hash”。也就是说,用户“张三”对Email域采用规则Email_Mask_Partial进行脱敏,脱敏的结果中Email前缀被[redated]替换;对用户“李四”采用规则Email_Mask_Full进行脱敏,脱敏的结果中Email显示为xxxx;对用户“王五”采用规则Email_Mask_Hash进行脱敏,脱敏的结果中Email显示为乱码。步骤160,封装所述原始日志。步骤170,向所述客户端发送所述原始日志。在步骤160中,当判定原始日志中不存在敏感数据时,则可以将原始日志进行封装并在步骤170中返回给客户端。可选的,如图5所示,步骤140进一步包括:步骤510,按照预设敏感数据域定义的规则,对所述原始日志进行逐条匹配;步骤520,从匹配结果判断所述原始日志中是否存在敏感数据。具体的,通过预设的敏感数据域定义的规则描述原始日志的数据特征,以对原始日志进行逐条匹配。进一步的,日志脱敏策略是将敏感数据的匹配及替换的参数,转换为脱敏算法实际调用参数,通过设置该算法的实际参数可以扩展各种日志脱敏策略。示例性地,如图6所示,为日志脱敏策略、本文档来自技高网...
【技术保护点】
1.一种日志脱敏方法,其特征在于,所述方法包括:接收客户端发送的日志查询请求消息;根据所述日志查询请求中的信息确定对应的日志脱敏策略;提取与所述日志查询请求消息对应的原始日志;判断所述原始日志中是否存在敏感数据;若所述原始日志存在所述敏感数据,则按照所述日志脱敏策略对所述原始日志进行脱敏转换。
【技术特征摘要】
1.一种日志脱敏方法,其特征在于,所述方法包括:接收客户端发送的日志查询请求消息;根据所述日志查询请求中的信息确定对应的日志脱敏策略;提取与所述日志查询请求消息对应的原始日志;判断所述原始日志中是否存在敏感数据;若所述原始日志存在所述敏感数据,则按照所述日志脱敏策略对所述原始日志进行脱敏转换。2.根据权利要求1所述的方法,其特征在于,所述根据所述日志查询请求中的信息确定对应的日志脱敏策略,包括:获取所述日志查询请求消息中的访问者身份信息;根据所述访问者身份信息确定对应的日志脱敏策略。3.根据权利要求1所述的方法,其特征在于,所述判断所述原始日志中是否存在敏感数据,包括:按照预设敏感数据域定义的规则,对所述原始日志进行逐条匹配;从匹配结果判断所述原始日志中是否存在敏感数据。4.根据权利要求3所述的方法,其特征在于,所述规则为正则表达式。5....
【专利技术属性】
技术研发人员:牛家浩,张强,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。