[发明专利]基于数据水印的数据溯源方法、装置、设备及介质

说明书

本发明实施例基于数据水印的数据溯源方法、装置、设备及介质，该数据溯源方法，包括：将泄露的数据与数据库中所存储的数据进行比对，获取水印数据；其中，所述数据库中的水印数据为定期从时效外的历史数据中选取一定量的数据；将所获取水印数据与所述数据库中所存储的水印数据进行比对，获取该水印数据的生成时间t1，以及该水印数据的上一批水印数据的生成时间t2，查找t1至t2这一时间段的数据库操作日志，并将这一时间段所导出的数据判定为数据泄露源。

技术领域

本发明涉及数据安全技术领域，尤其涉及一种基于数据水印的数据溯源方法、装置、设备及介质。

背景技术

数据库技术是信息社会十分重要的基础技术，在其为社会提供方便的同时，也随之带来了信息安全保护问题。随着关系数据库的广泛应用，非法下载和泄露数据库中数据的行为屡屡出现，造成用户敏感隐私泄露等危害。

现有的数据库安全管理技术主要有：

存取管理技术：包括用户身份认证技术和存取控制技术。用户身份认证技术包括用户身份验证和用户身份识别技术。通过用户身份验证，可以阻止非授权用户的访问，而通过用户身份识别，可以防止用户的越权访问。存取控制技术限制了访问者和程序中可执行的操作，通过存取控制，可以防止安全漏洞隐患。

数据库审计和攻击检测：数据库审计在身份认证、存取管理、加密技术等多种安全措施的基础之上，进一步提高了系统的安全性。通过审计功能，可以将对数据库的所有操作记录在日志中，从而可以跟踪用户的全部操作。攻击检测根据操作日志分析检测内外部的攻击企图，重现导致系统现状时间，以分析发现系统安全弱点。

但是，发明人发现现有的数据库水印技术存在如下缺陷：部分方案是通过修改数据的某些字段的某些数据位，达到设置水印而又不影响数据使用的目的。选择修改的字段以及数据位需要对数据库的表结构有背景知识，并且对字段的属性有限制条件，例如不能是主键、外键等。另外有一部分方案是通过将若干条水印随机的插入到数据记录中，从而生成水印数据。这些水印数据是通过某些算法或指定方式生成的，与真实数据存在差异，容易被识别出来，导致添加水印失败，或者是水印数据生成算法泄露也会导致添加水印失败。在水印识别阶段，也不能准确的将水印记录识别出来。

发明内容

本发明实施例提供了基于数据水印的数据溯源方法、装置、设备及介质，用以解决上述的至少一个技术问题。

第一方面，本发明实施例提供了一种基于数据水印的数据溯源方法，所述方法包括：

将泄露的数据与数据库中所存储的水印数据进行比对，查找与泄漏的数据对应的水印数据；所述数据库中的水印数据为定期从时效外的历史数据中选取一定量的数据；

根据所述数据库中所存储的各个水印数据的生成时间，分析出与泄漏的数据对应的水印数据的生成时间t1，以及与泄漏的数据对应的水印数据的、上一批水印数据的生成时间t2，查找t1至t2这一时间段的所述数据库的操作日志，并将这一时间段所导出的数据判定为数据泄露源。

优选的是，在所述将泄露的数据与数据库中所存储的数据进行比对，获取水印数据的步骤之前，还包括：

定期从时效外的历史数据中选取一定量的数据作为水印数据，并将所述水印数据的生成时间和所述水印数据存储至数据库中的步骤。

优选的是，在所述将泄露的数据与数据库中所存储的数据进行比对，获取水印数据的步骤之前，还包括：

实时记录用户的数据库操作日志的步骤。

优选的是，所述数据库操作日志包括：数据的导出时间、用户的唯一标识、导出的数据表名、导出的数据段信息中的至少一种。

第二方面，本发明实施例提供了一种基于数据水印的数据溯源系统，所述系统包括：