本發(fā)明涉及一種數(shù)據(jù)加解密與脫敏運(yùn)行引擎、其工作方法及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。該數(shù)據(jù)加解密與脫敏運(yùn)行引擎的工作方法包括：步驟10、集成至業(yè)務(wù)系統(tǒng)的SDK客戶端攔截SQL語句并根據(jù)元數(shù)據(jù)配置判斷是否需要改寫，不需要改寫的SQL語句直接向數(shù)據(jù)庫發(fā)送請求，需要改寫的SQL語句請求安全服務(wù)進(jìn)行改寫；步驟20、安全服務(wù)獲取需要改寫的SQL語句，根據(jù)元數(shù)據(jù)配置完成SQL語句改寫，向SDK客戶端返回改寫后SQL語句，SDK客戶端調(diào)用改寫后SQL語句向數(shù)據(jù)庫發(fā)起請求；步驟30、對于涉及脫敏處理的請求，數(shù)據(jù)庫擴(kuò)展函數(shù)作為RPC客戶端調(diào)用RPC運(yùn)算服務(wù)的運(yùn)算組件來返回結(jié)果。本發(fā)明使用客戶SDK模式繞過透明加密網(wǎng)關(guān)代理模式因穩(wěn)定性帶來的業(yè)務(wù)不可用風(fēng)險(xiǎn)。

技術(shù)領(lǐng)域

本發(fā)明涉及信息系統(tǒng)安全技術(shù)領(lǐng)域，尤其涉及一種數(shù)據(jù)加解密與脫敏運(yùn)行引擎、工作方法及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。

背景技術(shù)

目前國內(nèi)信息系統(tǒng)頻繁發(fā)生用戶賬號信息泄漏事件，大量存有敏感信息的數(shù)據(jù)從數(shù)據(jù)庫中被導(dǎo)出。信息系統(tǒng)明文存儲(chǔ)敏感信息是不安全的，敏感信息明文展示也是不安全的。數(shù)據(jù)加密存儲(chǔ)、數(shù)據(jù)脫敏展示，是防御數(shù)據(jù)泄漏重要的安全措施。當(dāng)前數(shù)據(jù)加密存儲(chǔ)與脫敏需要解決諸多技術(shù)難題，包括兼容關(guān)系數(shù)據(jù)庫與no-sql數(shù)據(jù)庫、支持密文范圍查詢、透明加密(即支持業(yè)務(wù)系統(tǒng)不用過多改造)、業(yè)務(wù)系統(tǒng)集成加解密數(shù)據(jù)庫要保持穩(wěn)定性、脫敏業(yè)務(wù)復(fù)雜性。國內(nèi)外現(xiàn)有解決方案如下：

透明加密，采用網(wǎng)關(guān)代理模式，即在數(shù)據(jù)庫與業(yè)務(wù)系統(tǒng)之間加入代理層處理數(shù)據(jù)加解密，代理層返回處理結(jié)果給客戶端。代理層存在因性能瓶頸引起的單點(diǎn)故障，因此代理層的穩(wěn)定性決定業(yè)務(wù)系統(tǒng)的穩(wěn)定性。代理層穩(wěn)定性，直接影響到多個(gè)數(shù)據(jù)數(shù)據(jù)庫的業(yè)務(wù)系統(tǒng)；

透明加密代理網(wǎng)關(guān)模式在兼容關(guān)系數(shù)據(jù)庫與no-sql數(shù)據(jù)庫存在通訊協(xié)議適配難度，它要適配hive、hbase、mysql、oracle等主流數(shù)據(jù)庫的通訊協(xié)議，代理與它們間的通信；

密文范圍查詢，使用保序加密算法加密密文索引，但是只支持?jǐn)?shù)字類型加密范圍查詢，不支持字符串范圍查詢。

現(xiàn)有透明加密技術(shù)中沒有包括脫敏技術(shù)，因?yàn)槊撁羯婕皹I(yè)務(wù)脫敏邏輯，如工號在某個(gè)業(yè)務(wù)場景下才脫敏，單純在數(shù)據(jù)庫中擴(kuò)展函數(shù)不能完成這些脫敏邏輯，脫敏邏輯直接耗用數(shù)據(jù)庫CPU。

發(fā)明內(nèi)容

因此，本發(fā)明的目的在于提供一種數(shù)據(jù)加解密與脫敏運(yùn)行引擎、工作方法及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，解決現(xiàn)有透明加密網(wǎng)關(guān)代理模式因穩(wěn)定性帶來的業(yè)務(wù)不可用風(fēng)險(xiǎn)的問題。

為實(shí)現(xiàn)上述目的，本發(fā)明提供了一種數(shù)據(jù)加解密與脫敏運(yùn)行引擎，包括：

SDK客戶端，用于集成至業(yè)務(wù)系統(tǒng)以攔截SQL語句并根據(jù)元數(shù)據(jù)配置判斷是否需要改寫，不需要改寫的SQL語句直接向數(shù)據(jù)庫發(fā)送請求，需要改寫的SQL語句請求安全服務(wù)進(jìn)行改寫；

安全服務(wù)，用于獲取需要改寫的SQL語句，根據(jù)元數(shù)據(jù)配置完成SQL語句改寫，向SDK客戶端返回改寫后SQL語句，SDK客戶端調(diào)用改寫后SQL語句向數(shù)據(jù)庫發(fā)起請求；

數(shù)據(jù)庫擴(kuò)展函數(shù)，當(dāng)處理涉及脫敏處理的請求時(shí)，用于作為RPC客戶端調(diào)用RPC運(yùn)算服務(wù)的運(yùn)算組件來返回結(jié)果。

其中，還包括元數(shù)據(jù)配置管理模塊，用于配置元數(shù)據(jù)，元數(shù)據(jù)包括各類數(shù)據(jù)庫脫敏字段、加密算法、脫敏字段規(guī)則配置。

其中，所述數(shù)據(jù)庫擴(kuò)展函數(shù)包括：

字符串索引函數(shù)，使用逐字加密，根據(jù)明文生成索引密文串；

數(shù)值索引函數(shù)，使用保序加密，根據(jù)數(shù)值生成索引等序數(shù)值；

加密函數(shù)，根據(jù)明文生成密文；

解密函數(shù)，根據(jù)密文生成明文；

脫敏函數(shù)，根據(jù)明文輸出脫敏文本。