本发明专利技术提供一种针对敏感信息的脱敏复敏方法、系统及终端机,涉及数据安全技术领域,配置脱敏规则场景和复敏规则场景,并创建规则;结合脱敏规则定位到脱敏内容,调用脱复敏规则场景所对应的脱敏规则进行脱敏处理;复敏工具包用于在接到API请求后,根据复敏规则定位复敏请求,对API请求的头文件配置标识说明所述请求为复敏数据,在拦截器中的请求信息中判断是否需要复敏,如果需要复敏,则获取复敏数据的头文件,调用解密工具进行解密,替换待复敏内容后完成复敏。本发明专利技术使用轻量级对象表示模型JSON来定义脱敏对象和脱敏规则,使语法完备表达能力强,并且多语言都有解析工具,具有通用性和简便性,而且不绑定特定语言,适用性强。适用性强。适用性强。
【技术实现步骤摘要】
一种针对敏感信息的脱敏复敏方法、系统及终端机
[0001]本专利技术涉及数据安全
,尤其涉及一种针对敏感信息的脱敏复敏方法、系统及终端机。
技术介绍
[0002]根据计算机个人信息保护相关的法律法规,对于个人敏感信息如姓名,身份证,固定电话,家庭住址,银行卡号等在信息系统各种需要进行根据业务场景进行脱敏处理,特别是手机银行类APP中,对敏感信息的处理要求更是复杂。
[0003]数据脱敏涉及对谁脱敏(脱敏对象的定义),怎么脱敏(脱敏规则的定义)和什么时候脱敏(脱敏规则的应用),以及脱敏后是否还需要支持在后继使用中复敏(恢复原始信息)。
[0004]脱敏对象的定义常见的是在存储模型或业务模型上进行定义,比如现有技术在对象上采用注解方式定义,在表结构上定义,这样对复杂的业务场景使用不同规则就支持困难,比如同一个对象和业务字段,在不同业务场景(给客户展示,内部使用,批处理等)中是否需要脱敏,采用那种脱敏规则其实是有差异的,如果要满足复杂场景就需要定义不同的业务对象和模型,增加开发成本和系统复杂性。
[0005]脱敏规则的定义依赖于脱敏对象的定义,需要使用脱敏对象能够解析的粒度,比如针对存储模型上,就会使用SQL,针对业务模型,就需要使用业务模型的开发语言(java,等)进行定义实现,通用性不强,对于异构系统而言更是需要重复定义,容易出错。
[0006]脱敏规则具体应用一般是在服务端,有些是直接在业务逻辑代码中,有些是应用在数据存取中,在需要输出信息的地方,比如返回给客户端,打印日志都会需要进行脱敏。常见的实现方法是在模型定义时候由开发人员在对象模型上标明需要使用的脱敏规则和字段,不同语言的方法都会有差异,每次更换脱敏规则都需要应用服务的重新发布,导致验证过程复杂,无法进行集中控制。
[0007]在有一些场景中,比如交互时候,会涉及到把脱敏的数据再次复敏。而且复敏依赖于脱敏,现有技术缺乏复敏的考虑。单独针对复敏的常见的做法是在服务端做一个原始内容和脱敏后的内容标记一一对应的缓存,把脱敏后内容标记返回给客户端,在复敏时候,根据客户上送的脱敏后内容标记反向查找到原始内容。这种服务端缓存的设计在大容量客户情况下,对缓存的容量和失效机制均无法有效的评估,也不方便进行资源的扩展。
技术实现思路
[0008]本专利技术提供一种针对敏感信息的脱敏复敏方法,方法可以避免不同语言的方法都会有差异,每次更换脱敏规则都需要应用服务的重新发布,导致验证过程复杂,无法进行集中控制。还解决在复敏时候,服务端缓存的设计在大容量客户情况下,对缓存的容量和失效机制均无法有效的评估,不方便进行资源扩展的问题。
[0009]方法包括:
配置脱敏规则场景和复敏规则场景,并创建脱敏规则和复敏规则,将脱敏规则场景所对应的脱敏规则以及复敏规则场景所对应的脱复敏规则储存至数据库;基于API函数或日志请求,结合脱敏规则定位到脱敏内容,调用脱复敏规则场景所对应的脱敏规则进行脱敏处理;在接到API请求后,根据复敏规则定位复敏请求,对API请求的头文件配置标识说明所述请求为复敏数据,在拦截器中的请求信息中判断是否需要复敏;如果需要复敏,则获取复敏数据的头文件,调用解密工具进行解密,替换待复敏内容后完成复敏。
[0010]进一步需要说明的是,方法中,将被脱敏内容转化为JSON 数据,利用JSON 数据进行匹配需要脱敏的数据,并进行脱敏。
[0011]进一步需要说明的是,利用JSON Path 来定义脱敏复敏规则。
[0012]进一步需要说明的是,在应用服务器启动时,脱敏工具包初始化脱敏规则,复敏工具包初始化了复敏规则。
[0013]进一步需要说明的是,方法中,判断本次脱敏的数据信息需要进行复敏时,按照复敏规则进行加密,并同步返回复敏后的信息给客户端。
[0014]进一步需要说明的是,针对有复敏要求的敏感信息,先进行脱敏,获取到脱敏后的内容,采用JWE利用非对称公钥加密,对敏感内容进行加密作为写入接口的http请求头中;在客户端把请求发送到服务器之后,从http 请求头中根据需要复敏的内容获取到加密内容,进行解密,实现复敏。
[0015]本专利技术还提供一种针对敏感信息的脱敏复敏系统,系统包括:脱复敏配置模块、脱敏工具包、复敏工具包以及数据库;脱复敏配置模块配置脱敏规则场景和复敏规则场景,并创建脱敏规则和复敏规则,将脱敏规则场景所对应的脱敏规则以及复敏规则场景所对应的脱复敏规则储存至数据库;脱敏工具包用于基于API函数或日志请求,结合脱敏规则定位到脱敏内容,调用脱复敏规则场景所对应的脱敏规则进行脱敏处理;复敏工具包用于在接到API请求后,根据复敏规则定位复敏请求,对API请求的头文件配置标识说明所述请求为复敏数据,在拦截器中的请求信息中判断是否需要复敏,如果需要复敏,则获取复敏数据的头文件,调用解密工具进行解密,替换待复敏内容后完成复敏;脱敏工具包将被脱敏内容转化为JSON 数据,利用JSON 数据进行匹配需要脱敏的数据,并进行脱敏。
[0016]进一步需要说明的是,脱敏工具包和复敏工具包分别设有缓存;脱复敏配置模块将将脱敏规则场景所对应的脱敏规则以及复敏规则场景所对应的脱复敏规则配置到缓存中;脱复敏配置模块还根据预设条件对脱复敏规则进行更新,并同步到缓存中。
[0017]进一步需要说明的是,还包括:初始化模块;初始化模块用于将脱敏工具包和复敏工具包绑定到API服务网关,将脱敏工具包和复敏工具包连接到脱复敏配置模块,来获取脱复敏规则场景和脱复敏规则,初始化完成
之后发送脱复敏就绪信息。
[0018]本专利技术还提供一种终端机,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序处理器执行所述程序时实现针对敏感信息的脱敏复敏方法步骤。
[0019]从以上技术方案可以看出,本专利技术具有以下优点:本专利技术提供针对敏感信息的脱敏复敏方法中采用轻量级对象表示模型 JSON 和 JSON Path 来定义脱敏对象和脱敏规则,使语法完备表达能力强,并且多语言都有解析工具,具有通用性和简便性,而且不绑定特定语言,适用性强。
[0020]本专利技术集中管理敏感信息处理规则配置,用户可直接控制敏感信息的规则,无需研发参与,可以制定更安全的管理流程,同时节省研发成本。
[0021]本专利技术在应用程序的最外层服务接口层进行统一脱敏/复敏,避免对现有代码运行态的业务处理修改。
[0022]本专利技术基于服务端加密并把敏感信息直接返回客户端,实现无状态复敏服务,便于在云计算环境下大规模服务部署和使用。
附图说明
[0023]为了更清楚地说明本专利技术的技术方案,下面将对描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0024]图1为针对敏感信息的脱敏复敏方法流程图;图2为针对敏感信息的脱敏复敏系统示意图。
本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种针对敏感信息的脱敏复敏方法,其特征在于,方法包括:配置脱敏规则场景和复敏规则场景,并创建脱敏规则和复敏规则,将脱敏规则场景所对应的脱敏规则以及复敏规则场景所对应的脱复敏规则储存至数据库;基于API函数或日志请求,结合脱敏规则定位到脱敏内容,调用脱复敏规则场景所对应的脱敏规则进行脱敏处理;在接到API请求后,根据复敏规则定位复敏请求,对API请求的头文件配置标识说明所述请求为复敏数据,在拦截器中的请求信息中判断是否需要复敏;如果需要复敏,则获取复敏数据的头文件,调用解密工具进行解密,替换待复敏内容后完成复敏。2.根据权利要求1所述的针对敏感信息的脱敏复敏方法,其特征在于,方法中,将被脱敏内容转化为JSON 数据,利用JSON 数据进行匹配需要脱敏的数据,并进行脱敏。3.根据权利要求1所述的针对敏感信息的脱敏复敏方法,其特征在于,利用JSON Path 来定义脱敏复敏规则。4.根据权利要求1所述的针对敏感信息的脱敏复敏方法,其特征在于,在应用服务器启动时,脱敏工具包初始化脱敏规则,复敏工具包初始化了复敏规则。5.根据权利要求1所述的针对敏感信息的脱敏复敏方法,其特征在于,方法中,判断本次脱敏的数据信息需要进行复敏时,按照复敏规则进行加密,并同步返回复敏后的信息给客户端。6.根据权利要求1所述的针对敏感信息的脱敏复敏方法,其特征在于,针对有复敏要求的敏感信息,先进行脱敏,获取到脱敏后的内容,采用JWE利用非对称公钥加密,对敏感内容进行加密作为写入接口的http请求头中;在客户端把请求发送到服务器之后,从http 请求头中根据需要复敏的内容获取到加密内容,进行解密,实现复敏。7.一种针对敏感信息的脱敏复敏系统,其特征在于,系统采用如...
【专利技术属性】
技术研发人员:刘向东,徐彤,甘泉,赵毅,张有才,张春生,
申请(专利权)人:恒丰银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。