本發(fā)明涉及數(shù)據(jù)處理領(lǐng)域，具體涉及一種基于eBPF的數(shù)據(jù)安全傳輸方法及裝置，包括如下步驟：在生產(chǎn)環(huán)境中，接收請求方發(fā)送的數(shù)據(jù)獲取請求；其中，數(shù)據(jù)獲取請求中包含請求獲取的目標(biāo)數(shù)據(jù)信息；根據(jù)目標(biāo)數(shù)據(jù)信息獲取包括目標(biāo)數(shù)據(jù)的數(shù)據(jù)包，并將數(shù)據(jù)包發(fā)送給Linux系統(tǒng)內(nèi)核；Linux系統(tǒng)內(nèi)核接收數(shù)據(jù)包，并對數(shù)據(jù)包進行解析，得到目標(biāo)數(shù)據(jù)；其中，Linux系統(tǒng)內(nèi)核基于eBPF接收、解析數(shù)據(jù)包；對目標(biāo)數(shù)據(jù)進行數(shù)據(jù)脫敏，得到脫敏數(shù)據(jù)；Linux系統(tǒng)內(nèi)核將脫敏數(shù)據(jù)傳輸至請求方。利用所有外發(fā)數(shù)據(jù)均要經(jīng)過Linux系統(tǒng)內(nèi)核的特點，對數(shù)據(jù)進行攔截，再對所攔截的數(shù)據(jù)進行脫敏操作，能夠保證所有外發(fā)的數(shù)據(jù)均進行了脫敏處理，避免未對外發(fā)數(shù)據(jù)進行脫敏處理，導(dǎo)致的安全隱患。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)處理領(lǐng)域，具體涉及一種基于eBPF的數(shù)據(jù)安全傳輸方法及裝置。

背景技術(shù)

數(shù)據(jù)脫敏是指對敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形，實現(xiàn)對隱私數(shù)據(jù)的保護。例如涉及身份證號、手機號、卡號和客戶號等隱私信息時，需要在不違反系統(tǒng)規(guī)則的條件下，對真實數(shù)據(jù)進行改造以完成數(shù)據(jù)脫敏。

數(shù)據(jù)脫敏分為靜態(tài)數(shù)據(jù)脫敏和動態(tài)數(shù)據(jù)脫敏。靜態(tài)數(shù)據(jù)脫敏指數(shù)據(jù)的“搬移并仿真替換”，是將數(shù)據(jù)抽取進行脫敏處理后，下發(fā)給下游環(huán)節(jié)隨意取用和讀寫，數(shù)據(jù)脫敏后與生產(chǎn)環(huán)境相隔離，滿足業(yè)務(wù)需求的同時保障生產(chǎn)數(shù)據(jù)庫的安全。動態(tài)數(shù)據(jù)脫敏指在訪問敏感數(shù)據(jù)的同時，實時進行脫敏處理，可以為不同角色、不同權(quán)限、不同數(shù)據(jù)類型執(zhí)行不同的脫敏操作，從而確保返回的數(shù)據(jù)可用而安全。

現(xiàn)有技術(shù)中對數(shù)據(jù)進行脫敏，均只是針對數(shù)據(jù)庫的數(shù)據(jù)進行脫敏，不能針對整個Linux系統(tǒng)的數(shù)據(jù)進行脫敏，這導(dǎo)致在系統(tǒng)被外界攻擊時，仍然存在隱私數(shù)據(jù)泄露的隱患。

發(fā)明內(nèi)容

因此，本發(fā)明要解決不能對整個Linux系統(tǒng)進行數(shù)據(jù)脫敏，存在隱私數(shù)據(jù)遭到泄露的技術(shù)問題，從而提供一種基于eBPF的數(shù)據(jù)安全傳輸方法，包括如下步驟：Linux系統(tǒng)內(nèi)核接收請求方發(fā)送的數(shù)據(jù)獲取請求對應(yīng)的數(shù)據(jù)包，并對所述數(shù)據(jù)包進行解析，得到目標(biāo)數(shù)據(jù)；其中，所述Linux系統(tǒng)內(nèi)核基于eBPF接收、解析所述數(shù)據(jù)包；

基于預(yù)設(shè)匹配規(guī)則對所述目標(biāo)數(shù)據(jù)進行數(shù)據(jù)脫敏，得到脫敏數(shù)據(jù)；

所述Linux系統(tǒng)內(nèi)核將所述脫敏數(shù)據(jù)傳輸至請求方。

優(yōu)選地，所述基于預(yù)設(shè)匹配規(guī)則對所述目標(biāo)數(shù)據(jù)進行數(shù)據(jù)脫敏，得到脫敏數(shù)據(jù)，包括：所述Linux系統(tǒng)內(nèi)核基于預(yù)設(shè)匹配規(guī)則，對目標(biāo)數(shù)據(jù)進行規(guī)則匹配；

對所述目標(biāo)數(shù)據(jù)中匹配到的數(shù)據(jù)進行更改，得到所述脫敏數(shù)據(jù)；其中，所述Linux系統(tǒng)內(nèi)核基于eBPF對目標(biāo)數(shù)據(jù)進行規(guī)則匹配及更改。

優(yōu)選地，所述基于預(yù)設(shè)匹配規(guī)則對目標(biāo)數(shù)據(jù)進行數(shù)據(jù)脫敏，得到脫敏數(shù)據(jù)，包括：所述Linux系統(tǒng)內(nèi)核將所述目標(biāo)數(shù)據(jù)發(fā)送至規(guī)則匹配單元；

所述規(guī)則匹配單元基于預(yù)設(shè)匹配規(guī)則，對所述目標(biāo)數(shù)據(jù)進行規(guī)則匹配；對所述目標(biāo)數(shù)據(jù)中匹配到的數(shù)據(jù)進行更改，得到所述脫敏數(shù)據(jù)。

優(yōu)選地，所述更改包括替換、重排、加密、截斷、掩碼及日期偏移取整中的至少一種。

優(yōu)選地，所述方法還包括：對所述規(guī)則匹配單元內(nèi)的預(yù)設(shè)匹配規(guī)則進行更改。

優(yōu)選地，所述Linux系統(tǒng)內(nèi)核將所述脫敏數(shù)據(jù)傳輸至請求方，包括：所述規(guī)則匹配單元將所述脫敏數(shù)據(jù)發(fā)送至Linux系統(tǒng)內(nèi)核；Linux系統(tǒng)內(nèi)核將所述脫敏數(shù)據(jù)傳輸至請求方。

優(yōu)選地，所述方法還包括：在生產(chǎn)環(huán)境中，接收請求方發(fā)送的數(shù)據(jù)獲取請求；其中，所述數(shù)據(jù)獲取請求中包含請求獲取的目標(biāo)數(shù)據(jù)信息；

根據(jù)所述目標(biāo)數(shù)據(jù)信息獲取包括目標(biāo)數(shù)據(jù)的數(shù)據(jù)包，并將所述數(shù)據(jù)包發(fā)送給Linux系統(tǒng)內(nèi)核。

本發(fā)明還提供了一種基于eBPF的數(shù)據(jù)安全傳輸裝置，包括：