[发明专利]基于角色的敏感字段动态调整的数据保护方法和系统

摘要

本发明属于信息安全领域，提供了一种基于角色的敏感字段动态调整的数据保护方法和系统，其中系统包括：敏感信息设置单元，用于管理者对不同角色的数据设置敏感字段、脱敏函数和参数；敏感信息存储单元，用于存储查找表；数据处理单元，用于存储脱敏函数，获取用户角色并验证查找表的完整性，并根据敏感信息存储单元中保存的规则修改SQL语句。同时本发明公开了一种方法，通过数据处理单元解析SQL语句，并根据查找表中的要求修改SQL语句。本发明对不同角色的数据设置不同的敏感字段和脱敏函数，还可对相同的敏感字段设置不同的脱敏函数和参数，满足了不同角色对敏感信息保护程度不同的需求，同时数据库中保存的是脱敏后的数据，降低了数据泄漏的危害。

主权项

基于角色的敏感字段动态调整的数据保护方法和系统，其特征在于：系统包括敏感信息设置单元1，敏感信息存储单元2，数据处理单元3；方法包括两个阶段：(1)初始化设置阶段：敏感信息设置单元和应用程序通信，设置不同角色的数据需要保护的表、字段、脱敏函数和脱敏函数参数。敏感信息设置单元将设置完成的用户的角色、表、字段、脱敏函数名和脱敏函数参数保存在敏感信息存储单元中的查找表中，同时将查找表内容按设定散列算法进行散列计算并保存在数据库中；(2)数据操作阶段：数据处理单元读取敏感信息存储单元中的查找表，将查找表内容按设定的散列算法计算，然后从数据库中读取之前保存的查找表散列值，将两者进行比较，验证完整性，如果二者不相同则验证不通过，提示错误；如果二者相同则验证通过。之后应用程序生成SQL语句提交数据处理单元，数据处理单元向应用程序请求用户角色，应用程序提交用户角色给数据处理单元，数据处理单元解析SQL语句，并对其做出判断：步骤1：如果是SELECT语句或者DELETE语句，判断其是否有where关键字，如果没有where关键字，对语句不做处理；如果有where关键字，则对where关键字后的所有列名依次在查找表中进行比对，查找时还需要依据角色信息和表名，对于在查找表中找到的列名，得到此列名对应的脱敏函数名和脱敏函数参数，根据此脱敏函数名和脱敏函数参数对此SQL语句中列名等号后面的值进行修改后替换。对于没有在查找表中找到的列名不做任何修改。步骤2：如果是INSERT语句，判断表名后面是否是values关键字，如果是，需要补全列名后继续。之后对表名后所有的列名依次在查找表中进行比对，查找时还需要依据角色信息和表名，对于在查找表中找到的列名，得到此列名对应的脱敏函数名和脱敏函数参数，然后需要查看此列是表名后面的第几列，设为第i列，根据此脱敏函数名和脱敏函数参数对values关键字后第i列的值进行修改后替换。对于没有在查找表中找到的列名不做任何修改。步骤3：如果是UPDATE语句，对update关键字后非where关键字的列名依次在查找表中进行比对，查找时还需要依据角色信息和表名，对于在查找表中找到的列名，得到此列名对应的脱敏函数名和脱敏函数参数，根据此脱敏函数名和脱敏函数参数对UPDATE语句中此列名等号后面的值进行修改后替换。对于没有在查找表中找到名字的列名不做任何修改。步骤4：通过以上操作后，将处理后的SQL语句提交给数据库。