数据脱敏方法、装置、存储介质及电子设备与流程

本技术涉及安全防护领域，尤其涉及一种数据脱敏方法、装置、存储介质及电子设备。

背景技术：

1、目前数据泄露、数据非法交易等安全事件越来越多，加强敏感数据安全管理、防止敏感数据被泄露滥用，越来越受到重视。

2、出于安全考虑，需要将业务中的敏感信息加密存储到数据库中，但是正常的业务交互还是需要使用明文数据，所以查询返回结果之前还需要解密才能返回给业务方。对于业务系统中已存储的数据，需要对所有涉及到数据敏感信息查询或者更新的相关业务代码进行改造，需要投入大量的人力，改造过程中也容易出现问题，影响系统的稳定运行。

技术实现思路

1、本技术提供一种数据脱敏方法、装置、存储介质及电子设备，能够为应用提供数据脱敏服务，减小应用自身代码的改变，降低成本。

2、第一方面，本技术提供一种数据脱敏方法，包括：检测到应用启动时，从配置中心获取所述应用的脱敏配置信息；在所述应用执行对于数据库的原始操作语句时，根据所述脱敏配置信息确定所述原始操作语句是否需要进行脱敏；在所述原始操作语句需要脱敏时，获取所述原始操作语句中需要脱敏的敏感字段；确定所述敏感字段对应的脱敏字段，基于所述脱敏字段改写所述原始操作语句，得到改写后的目标操作语句；执行所述目标操作语句，并将所述目标操作语句的执行结果发送给所述应用。

3、根据本实施例提供的数据脱敏方法，在检测到应用启动时，自动从配置中心获取该应用的脱敏配置信息，并根据该脱敏配置信息确定应用对于数据库的原始操作语句是否需要进行脱敏处理。在原始操作语句涉及敏感字段时，可以根据脱敏配置信息确定敏感字段对应的脱敏字段，从而基于脱敏字段对原始操作语句进行改写，得到目标操作语句。该目标操作语句中不包含敏感字段，执行该目标操作语句时，可以避免应用的敏感数据被泄露，提高应用数据的安全性。并且，应用通过配置中心配置相关的脱敏配置信息，其自身的代码改动较小，能够降低应用进行数据脱敏的成本，提高数据脱敏的效率。

4、一种示例性实施方式中，基于前述方法，所述脱敏配置信息包括所述应用的白名单和脱敏规则；所述白名单中包括多个数据库语句的语句标识。

5、一种示例性实施方式中，基于前述方法，所述根据所述脱敏配置信息确定所述原始操作语句是否需要进行脱敏，包括：获取所述原始操作语句的语句标识；将所述原始操作语句的语句标识与所述脱敏配置信息中的所述白名单进行匹配，若所述原始操作语句的语句标识在所述白名单内，则确定所述原始操作语句需要进行脱敏。

6、一种示例性实施方式中，基于前述方法，所述获取所述原始操作语句中需要脱敏的敏感字段，包括：将所述原始操作语句与所述脱敏配置信息进行匹配，得到所述原始操作语句中的字段与所述脱敏规则中的字段相同的敏感字段。

7、一种示例性实施方式中，基于前述方法，所述确定所述敏感字段对应的脱敏字段，基于所述脱敏字段改写所述原始操作语句，得到改写后的目标操作语句，包括：从所述脱敏规则中确定所述敏感字段对应的脱敏字段；将所述原始操作语句中的所述敏感字段替换为所述脱敏字段，得到改写后的目标操作语句。

8、一种示例性实施方式中，基于前述方法，所述基于所述脱敏字段改写所述原始操作语句，得到改写后的目标操作语句，包括：确定所述目标操作语句的操作类型，在所述操作类型为插入语句时，将所述敏感字段对应的参数进行加密，得到所述脱敏字段对应的参数；将所述原始操作语句中所述敏感字段以及所述敏感字段对应的参数，替换为所述脱敏字段以及所述脱敏字段对应的参数，得到目标操作语句。

9、一种示例性实施方式中，基于前述方法，所述脱敏字段包括密文字段与摘要字段；所述将所述原始操作语句中所述敏感字段对应的参数替换为所述脱敏字段对应的参数，得到目标操作语句，包括：确定所述目标操作语句的操作类型为插入语句时，将所述敏感字段对应的参数进行加密，得到密文，并获取所述敏感字段对应的参数的摘要；将所述原始操作语句中所述敏感字段与所述敏感字段对应的参数，替换为所述密文字段与所述密文、所述摘要字段与所述摘要，得到目标操作语句。

10、一种示例性实施方式中，基于前述方法，所述执行所述目标操作语句，并将所述目标操作语句的执行结果发送给所述应用，包括：确定所述目标操作语句的操作类型为查询语句时，执行所述目标操作语句，获得查询结果，所述查询结果中包括所述脱敏字段对应的参数；将所述脱敏字段对应的参数进行解密，得到明文；将所述查询结果中的所述脱敏字段对应的参数替换为所述明文，发送给所述应用。

11、一种示例性实施方式中，基于前述方法，所述执行所述目标操作语句，并将所述目标操作语句的执行结果发送给所述应用，包括：确定所述目标操作语句的操作类型为查询语句时，执行所述目标操作语句，获得查询结果，所述查询结果中包括所述密文与所述摘要；将所述密文进行解密，得到明文，并获取所述明文的摘要；将所述明文的摘要与所述查询结果中包括的所述摘要进行对比，在所述明文的摘要与所述查询结果中包括的所述摘要一致时，将所述查询结果中的所述密文替换为所述明文，发送给所述应用。

12、第二方面，本技术提供一种数据脱敏装置，包括：脱敏配置获取模块，用于检测到应用启动时，从配置中心获取所述应用的脱敏配置信息；敏感字段确定模块，用于在所述应用执行对于数据库的原始操作语句时，根据所述脱敏配置信息确定所述原始操作语句是否需要进行脱敏；在所述原始操作语句需要脱敏时，获取所述原始操作语句中需要脱敏的敏感字段；语句改写模块，用于确定所述敏感字段对应的脱敏字段，基于所述脱敏字段改写所述原始操作语句，得到改写后的目标操作语句；数据处理模块，用于执行所述目标操作语句，并将所述目标操作语句的执行结果发送给所述应用。

13、在一种示例性实施方式中，基于上述数据脱敏装置，所述脱敏配置信息包括所述应用的白名单和脱敏规则；所述白名单中包括多个数据库语句的语句标识。

14、在一种示例性实施方式中，上述敏感字段确定模块402具体可以包括：语句标识获取模块，用于获取所述原始操作语句的语句标识；白名单匹配模块，用于将所述原始操作语句的语句标识与所述脱敏配置信息中的所述白名单进行匹配，若所述原始操作语句的语句标识在所述白名单内，则确定所述原始操作语句需要进行脱敏。

15、在一种示例性实施方式中，上述敏感字段确定模块具体可以包括：字段匹配模块，用于将所述原始操作语句与所述脱敏配置信息进行匹配，得到所述原始操作语句中的字段与所述脱敏规则中的字段相同的敏感字段。

16、在一种示例性实施方式中，语句改写模块具体可以包括：脱敏字段确定模块，用于从所述脱敏规则中确定所述敏感字段对应的脱敏字段；字段替换模块，用于将所述原始操作语句中的所述敏感字段替换为所述脱敏字段，得到改写后的目标操作语句。

17、在一种示例性实施方式中，语句改写模块具体可以包括：参数加密模块，用于确定所述目标操作语句的操作类型，在所述操作类型为插入语句时，将所述敏感字段对应的参数进行加密，得到所述脱敏字段对应的参数；密文替换模块，用于将所述原始操作语句中所述敏感字段以及所述敏感字段对应的参数，替换为所述脱敏字段以及所述脱敏字段对应的参数，得到目标操作语句。

18、在一种示例性实施方式中，所述脱敏字段包括密文字段与摘要字段；语句改写模块具体可以包括：加密摘要处理模块，用于确定所述目标操作语句的操作类型为插入语句时，将所述敏感字段对应的参数进行加密，得到密文，并获取所述敏感字段对应的参数的摘要；加密摘要替换模块，用于将所述原始操作语句中所述敏感字段与所述敏感字段对应的参数，替换为所述密文字段与所述密文、所述摘要字段与所述摘要，得到目标操作语句。

19、在一种示例性实施方式中，数据处理模块具体包括：数据查询模块，用于确定所述目标操作语句的操作类型为查询语句时，执行所述目标操作语句，获得查询结果，所述查询结果中包括所述脱敏字段对应的参数；参数解密模块，用于将所述脱敏字段对应的参数进行解密，得到明文；明文替换模块，用于将所述查询结果中的所述脱敏字段对应的参数替换为所述明文，发送给所述应用。

20、在一种示例性实施方式中，数据处理模块具体包括：摘要查询模块，用于确定所述目标操作语句的操作类型为查询语句时，执行所述目标操作语句，获得查询结果，所述查询结果中包括所述密文与所述摘要；摘要获取模块，用于将所述密文进行解密，得到明文，并获取所述明文的摘要；摘要匹配模块，用于将所述明文的摘要与所述查询结果中包括的所述摘要进行对比，在所述明文的摘要与所述查询结果中包括的所述摘要一致时，将所述查询结果中的所述密文替换为所述明文，发送给所述应用。

21、第三方面，本技术提供一种电子设备，该电子设备包括存储器、一个或多个处理器。其中，该存储器中存储有一个或多个计算机程序，计算机程序包括指令，当该指令被处理器执行时，可使得电子设备执行如第一方面中的数据脱敏方法。

22、第四方面，本技术提供一种计算机可读介质，该计算机可读介质中存储有指令，当该指令在电子设备上运行时，使得电子设备执行如第一方面中的数据脱敏方法。

23、第五方面，本技术提供一种计算机程序产品，当该计算机程序产品在电子设备上运行时，使得该电子设备执行如第一方面所述的数据脱敏方法。

24、可以理解地，上述提供的数据脱敏装置、电子设备、计算机可读介质、计算机程序产品所能达到的有益效果，可参考第一方面中的有益效果，此处不再赘述。