[发明专利]一种动态脱敏处理方法和动态脱敏系统

说明书

本发明公开了一种动态脱敏方法和动态脱敏系统，包括步骤：客户端将SQL数据连接请求转发到脱敏代理系统；脱敏代理服务器通过动态脱敏模块对SQL数据连接请求进行解析得到SQL语句；脱敏代理服务器再将SQL语句转发到数据库服务器；数据库服务器根据SQL语句返回数据至脱敏代理服务器；脱敏代理服务器通过动态脱敏模块对返回的请求结果进行脱敏，并将完成脱敏处理的脱敏结果返回给客户端。本发明的动态脱敏方法，无需在客户端和数据库服务器上安装脱敏软件，不影响现有应用架构，仅需更改数据库访问链接参数即可实现脱敏处理；且有利于提高脱敏准确性和性能。

技术领域

本发明涉及数据脱敏领域，尤其涉及一种动态脱敏处理方法和动态脱敏系统。

背景技术

随着互联网、大数据等新兴技术的飞速普及应用，数据集中存储已成为趋势，越来越多的应用采用连接数据中心或者数据共享层的方式来开展业务，这使得采用“先脱敏-后分发”方式的静态数据脱敏产品往往无法满足用户“兼顾实时性和安全性”的需求，动态数据脱敏应运而生。

目前，市场上的数据动态脱敏类产品中，采用各种不同的技术路线和演进方式。其中主流的技术路线为“语句改写模式”和“结果集解析模式”。

1、语句改写模式：基于语句改写脱敏，是将包含敏感字段查询的语句，通过对敏感字段采用函数运算的方式，让数据库自行返回改写后不包含敏感数据的结果。

2、结果集解析模式：基于结果集脱敏，需要提前获取并保存表结构；不改写发给数据库的语句，而是等数据库返回结果后，再判断其中哪些需要脱敏，并对返回数据进行逐条修改。

对以上两种数据动态脱敏模式的缺点分析如下：

“语句改写模式”下，在SQL语句解析过程中存在风险，如数据库查询语句采用比较复杂的SQL语句，存在大量的嵌套查询、复杂语句或同名字段等，则在SQL改写过程中可能出现改写逻辑错误、函数转换错误、嵌套识别困难等 SQL语句转换的准确度问题，导致数据动态脱敏过程中的脱敏字段遗漏、错误等现象。

“结果集解析模式”中，现有的操作模式中，运算点集中在产品侧，需要动态脱敏工具首先识别脱敏字段，然后在接收到数据库返回包并解析结果集后逐行完成匹配规则与脱敏，对数据库检索的性能损耗较大，进而影响业务系统的性能。

以上两种方式，在数据动态脱敏性能和效果方面均存在缺陷，无法兼具数据动态脱敏的准确性和高性能要求。

发明内容

本发明提供一种可以不需要修改现有应用架构，且能提高脱敏准确性和性能的动态脱敏处理方法和动态脱敏系统。

本申请公开了一种动态脱敏方法，包括步骤：

客户端将SQL数据连接请求转发到脱敏代理系统；

脱敏代理服务器通过动态脱敏模块对SQL数据连接请求进行解析得到SQL 语句；

脱敏代理服务器再将SQL语句转发到数据库服务器；

数据库服务器根据SQL语句返回请求结果至脱敏代理服务器；

脱敏代理服务器通过动态脱敏模块对返回的请求结果进行脱敏，并将完成脱敏处理的脱敏结果返回给客户端。

可选的，所述脱敏代理服务器通过动态脱敏模块对SQL数据连接请求进行解析得到SQL语句的步骤中，所述动态脱敏模块通过商用数据库通讯协议对SQL 数据连接请求进行解析得到SQL语句，并将解析出的SQL语句与对应的脱敏规则进行语句模式识别以过滤须脱敏的字段，得到需进行脱敏的字段集。

可选的，还包括以下步骤：

基于数据库表空间、表名、表字段和数据库用户账号，为不同的数据请求方设置不同的脱敏规则。