基于数据血缘的动态数据脱敏方法、装置和设备制造方法及图纸

本发明专利技术的实施例提供了基于数据血缘的动态数据脱敏方法、装置和设备。所述方法包括获取数据库查询请求中的第一查询语句；对第一查询语句进行数据血缘解析，获取字段映射关系；获取数据库查询请求的数据脱敏参数和当前用户权限信息，判断数据库查询操作是否需要数据脱敏处理；对于需要数据脱敏处理的数据库查询操作，根据字段映射关系对结果字段进行脱敏标记，生成第二查询语句；执行第二查询语句，并拦截对应的数据库查询结果，根据结果字段上的脱敏标记对数据库查询结果进行脱敏处理。以此方式，可以在保持数据可计算性和脱敏方案灵活性的同时，有效地克服已有方案中存在的脱敏漏洞，降低隐私数据泄露的风险。降低隐私数据泄露的风险。降低隐私数据泄露的风险。

【技术实现步骤摘要】
基于数据血缘的动态数据脱敏方法、装置和设备


[0001]本专利技术涉及数据数据处理
，并且更具体地，涉及基于数据血缘的动态数据脱敏方法、装置和设备。

技术介绍

[0002]随着数据安全越来越受到重视，数据脱敏技术已经成为了应用系统中必不可少的功能。将用户查询结果中的敏感字段，如身份证号码、手机号码等利用脱敏规则进行转换后再返回给用户，典型地可以将中间几位替换为“*”显示，这样既避免了隐私数据的泄露，又不会影响数据的可计算性。
[0003]当前普遍采用的动态数据脱敏的方案大多可以分为如下两种：
[0004]1.应用于接口的数据脱敏：每个查询接口返回的数据传输对象DTO（Data Transfer Object的缩写）是固定格式的，可以将DTO中的敏感字段进行标记。接口返回结果统一拦截DTO，对标记字段的数据调用脱敏方法进行脱敏。这种方式可以保证所有被标记的隐私数据字段都进行脱敏，但是代码侵入性非常大，需要对每一个接口都进行改造，而且每新增一个接口都需要进行标记，不灵活。
[0005]2.应用于SQL查询结果的数据脱敏：该方案直接对数据库中的原始数据字段进行敏感标记，在SQL查询结束后，分析执行的SQL语句，利用血缘解析或者其他手段分析结果字段与原始字段的对应关系，将原始字段上设置的脱敏规则应用于结果字段。这种方案在原始数据字段上进行标记，可以避免对接口的改造，只需要增加SQL查询结果拦截器以及拦截器的处理逻辑即可，非常灵活。但是具有一定的限制，即查询的结果字段必须与原始字段是一对一映射关系，如果是一对多关系，典型的如CONCAT字符串拼接函数，由于无法获取到函数参数字段的查询结果，所以不能做到有效脱敏。用户可以通过使用多参数函数绕过设置的脱敏规则，造成敏感或隐私数据的泄露。

技术实现思路

[0006]根据本专利技术的实施例，提供了一种基于数据血缘的动态数据脱敏方案。本方案在保持了数据可计算性和脱敏方案灵活性的同时，有效地克服了已有方案中存在的脱敏漏洞，降低了隐私数据泄露的风险。
[0007]在本专利技术的第一方面，提供了一种基于数据血缘的动态数据脱敏方法。该方法包括：拦截待执行的数据库查询请求，获取所述数据库查询请求中的第一查询语句；对所述第一查询语句进行数据血缘解析，获取所述第一查询语句的字段映射关系；获取所述数据库查询请求的数据脱敏参数和当前用户权限信息，判断所述数据库查询请求对应的数据库查询操作是否需要数据脱敏处理；对于需要数据脱敏处理的数据库查询操作，根据所述字段映射关系对结果字段进
行脱敏标记，生成第二查询语句；执行所述第二查询语句，并拦截对应的数据库查询结果，根据结果字段上的脱敏标记对所述数据库查询结果进行脱敏处理。
[0008]进一步地，所述数据血缘解析，包括：通过分析所述第一查询语句的字段，获得原始表字段与结果字段之间的映射关系以及字段的血缘关系类型。
[0009]进一步地，所述判断所述数据库查询请求对应的数据库查询操作是否需要数据脱敏处理，包括：第一判断：根据所述当前用户权限信息判断当前用户是否有查看数据表的权限，若是，则执行第二判断；否则返回权限错误；第二判断：根据所述当前用户权限信息判断当前用户是否有查看数据表中原始数据的权限，若是，则执行第三判断；否则，数据库查询操作需要数据脱敏处理；第三判断：判断所述数据脱敏参数的状态，若所述数据脱敏参数为是，则数据库查询操作需要数据脱敏处理；若所述数据脱敏参数为否，则数据库查询操作不需要数据脱敏处理。
[0010]进一步地，所述根据所述字段映射关系对结果字段进行脱敏标记，包括：对于存在脱敏规则的原始表字段：若字段的血缘关系类型是聚合表达式，则不对所述原始表字段关联的结果字段进行脱敏标记；若字段的血缘关系类型是直接查询字段或者一般函数表达式，则对所述原始表字段关联的结果字段进行脱敏标记。
[0011]进一步地，所述根据所述字段映射关系对结果字段进行脱敏标记，还包括：对于存在脱敏规则的原始表字段：若存在多个原始字段合成的结果字段，则将缺失的原始表字段作为新增查询字段，改写所述第一查询语句。
[0012]进一步地，若所述第一查询语句存在子查询，则通过数据血缘的解析获得原始表字段在各级子查询过程中的字段映射关系，根据所述原始表字段在各级子查询中的字段映射关系，逐级改写子查询语句。
[0013]进一步地，若所述数据库查询结果中存在血缘关系类型是多参数函数表达式的结果字段，则所述结果字段为多个原始表字段合成的结果字段；将所述多参数函数表达式中所有标记脱敏的参数字段的查询结果进行脱敏；用脱敏后的查询结果替换所述结果字段的查询结果，生成所述结果字段脱敏后的查询结果。
[0014]进一步地，若所述数据库查询结果中存在新增查询字段，则将所述新增查询字段从所述数据库查询结果中去除。
[0015]在本专利技术的第二方面，提供了一种基于数据血缘的动态数据脱敏装置。该装置包括：获取模块，用于拦截待执行的数据库查询请求，获取所述数据库查询请求中的第一查询语句；解析模块，用于对所述第一查询语句进行数据血缘的解析，获取所述第一查询语句的字段映射关系；判断模块，用于获取所述数据库查询请求的数据脱敏参数和当前用户权限信息，判断所述数据库查询请求对应的数据库查询操作是否需要数据脱敏处理；
脱敏标记模块，用于对于需要数据脱敏处理的数据库查询操作，根据所述字段映射关系对结果字段进行脱敏标记，生成第二查询语句；脱敏处理模块，用于执行所述第二查询语句，并拦截对应的数据库查询结果，根据结果字段上的脱敏标记对所述数据库查询结果进行脱敏处理。
[0016]在本专利技术的第三方面，提供了一种电子设备。该电子设备至少一个处理器；以及与所述至少一个处理器通信连接的存储器；所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本专利技术第一方面的方法。
[0017]应当理解，
技术实现思路
部分中所描述的内容并非旨在限定本专利技术的实施例的关键或重要特征，亦非用于限制本专利技术的范围。本专利技术的其它特征将通过以下的描述变得容易理解。
附图说明
[0018]结合附图并参考以下详细说明，本专利技术各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中，相同或相似的附图标记表示相同或相似的元素，其中：图1示出了根据本专利技术的实施例的基于数据血缘的动态数据脱敏方法的流程图；图2示出了根据本专利技术的实施例的基于数据血缘的动态数据脱敏装置的方框图；图3示出了能够实施本专利技术的实施例的示例性电子设备的方框图；其中，300为电子设备、301为计算单元、302为ROM、303为RAM、304为总线、305为I/O接口、306为输入单元、307为输出单元、308为存储单元、309为通信单元。
具体实施方式
[0019]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于数据血缘的动态数据脱敏方法，其特征在于，包括：拦截待执行的数据库查询请求，获取所述数据库查询请求中的第一查询语句；对所述第一查询语句进行数据血缘解析，获取所述第一查询语句的字段映射关系；获取所述数据库查询请求的数据脱敏参数和当前用户权限信息，判断所述数据库查询请求对应的数据库查询操作是否需要数据脱敏处理；对于需要数据脱敏处理的数据库查询操作，根据所述字段映射关系对结果字段进行脱敏标记，生成第二查询语句；执行所述第二查询语句，并拦截对应的数据库查询结果，根据结果字段上的脱敏标记对所述数据库查询结果进行脱敏处理。2.根据权利要求1所述的方法，其特征在于，所述数据血缘解析，包括：通过分析所述第一查询语句的字段，获得原始表字段与结果字段之间的映射关系以及字段的血缘关系类型。3.根据权利要求2所述的方法，其特征在于，所述判断所述数据库查询请求对应的数据库查询操作是否需要数据脱敏处理，包括：第一判断：根据所述当前用户权限信息判断当前用户是否有查看数据表的权限，若是，则执行第二判断；否则返回权限错误；第二判断：根据所述当前用户权限信息判断当前用户是否有查看数据表中原始数据的权限，若是，则执行第三判断；否则，数据库查询操作需要数据脱敏处理；第三判断：判断所述数据脱敏参数的状态，若所述数据脱敏参数为是，则数据库查询操作需要数据脱敏处理；若所述数据脱敏参数为否，则数据库查询操作不需要数据脱敏处理。4.根据权利要求3所述的方法，其特征在于，所述根据所述字段映射关系对结果字段进行脱敏标记，包括：对于存在脱敏规则的原始表字段：若字段的血缘关系类型是聚合表达式，则不对所述原始表字段关联的结果字段进行脱敏标记；若字段的血缘关系类型是直接查询字段或者一般函数表达式，则对所述原始表字段关联的结果字段进行脱敏标记。5.根据权利要求3所述的方法，其特征在于，所述根据所述字段映射关系对结果字段进行脱敏标记，还包括：对于存在脱敏规则的原始表字...

【专利技术属性】
技术研发人员：魏楠，方金云，
申请(专利权)人：中科金瑞辽宁大数据科技有限公司，
类型：发明
国别省市：