具体实施方式
以下参考附图详细描述本公开的各个示例性实施例。附图中的流程图和框图示出了根据本公开的各种实施例的方法和系统的可能实现的体系架构、功能和操作。应当注意,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,所述模块、程序段、或代码的一部分可以包括一个或多个用于实现各个实施例中所规定的逻辑功能的可执行指令。也应当注意,在有些作为备选的实现中,方框中所标注的功能也可以按照不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,或者它们有时也可以按照相反的顺序执行,这取决于所涉及的功能。同样应当注意的是,流程图和/或框图中的每个方框、以及流程图和/或框图中的方框的组合,可以使用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以使用专用硬件与计算机指令的组合来实现。
本文所使用的术语“包括”、“包含”及类似术语应该被理解为是开放性的术语,即“包括/包含但不限于”,表示还可以包括其他内容。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”,等等。
在本公开的实施例中,术语“数据”表示任何标记、信号、标志、符号、域、符号集、以及任何其它的一个或多个表示信息的物理形式,它们是永久性或临时性的、看得见的、听得见的、声学的、电气的、磁性的、电磁的或表明的。被用来以物理形式表示预定信息的术语“数据”应该被认为包含以一个或多个不同的物理形式的任意和所有的相同预定信息的表示。在本公开的实施例中,术语“密钥”可特定地表示对加密算法或密码的操作进行控制的一段信息。在加密时,密钥可具体表示明文至密文的具体变换,而在解密时,密钥可具体表示密文至明文的具体变换。
应当理解,给出这些示例性实施例仅是为了使本领域技术人员能够更好地理解进而实现本公开的实施例,而并非以任何方式限制发明的范围。
图1图示了根据本公开的实施例的数据脱敏系统100的示例架构图。如图所示,系统100包括业务模块110、数据加密模块120以及数据存储模块130。业务模块110通过网络140与数据加密模块120有线或者无线连接,业务模块110通过网络150与数据存储模块130有线或者无线连接,而数据加密模块120与数据存储模块130之间不进行直接连接或通信。在一些实施例中,为了保证数据加密模块120和/或数据存储模块130的安全性,数据加密模块120和/或数据存储模块130仅由业务模块110可访问。
在一些实施例中,业务模块110、数据加密模块120以及数据存储模块130位于同一局域网内,例如位于同一公司的内部网络内,网络140和150可以为局域网、VPN网络等。此外,业务模块110、数据加密模块120以及数据存储模块130之间彼此物理分离。也就是说,业务模块110、数据加密模块120以及数据存储模块130是彼此分开的设备。
在一些实施例中,业务模块110、数据加密模块120以及数据存储模块130中的一个或多个可以为服务器,包括但不限于应用服务器、数据加密服务器、网络存储设备和其他的交换和通信设备。在另一些实施例中,数据加密模块120可以为拥有接入互联网能力、搭载各种操作系统并且可根据用户需求定制各种功能的计算机。
在一些实施例,业务模块110用于开发和维护各种应用系统,例如,P2P(peer to peer)服务金融系统、票务系统等,业务模块在运行过程中接收用户的个人信息,例如,用户的姓名、手机号码、身份证号码、银行卡号等。业务模块110可以将其中的用户个人信息发送给数据加密模块120进行加密,并且将加密后的脱敏信息发送给数据存储模块130进行存储。数据加密模块可以实现针对数据的加密和解密。数据存储模块可以实现加密后的脱敏数据的存储和取回。
虽然图1中仅示出了业务模块110、数据加密模块120以及数据存储模块130,然而系统100可以其他未示出的一个或多个设备,例如,路由器、交换机等网络部件。
图2图示了根据本公开的实施例的用于数据脱敏和恢复的过程200的流程图。为了保证数据的安全性,业务模块110没有在本地存储用户的个人信息。在动作202,当需要存储涉及用户个人信息的原始数据(例如,与用户的个人信息相关联的日志或数据记录)时,业务模块110生成与原始数据相对应的标识(ID),例如,针对原始的第一数据,可以生成D001的全局标识。同时,业务模块110存储原始数据与ID之间的对应关系。
在动作204,业务模块110向数据加密模块120发送原始数据和标识ID。由于业务模块110、数据加密模块120和数据存储模块130位于同一局域网内部并且彼此物理分离,因此,这些设备之间是互相可信任的,并且设备之间的通信也仅在局域网内部执行,所以业务模块110可以向数据加密模块120直接发送明文的原始数据,而不担心原始数据被截获或窃取。
在一些实施例中,可以将数据加密模块120设置为仅由业务模块110可访问,也就是说,只有具有可被允许的因特网协议(IP)地址的业务模块110能够访问数据加密模块120。此外,还可以设置令牌(token)来控制对数据加密模块120的访问,令牌具有有效期,即令牌只在有效期内能够使用。在一个实施例中,令牌需要人工进行申请并且分配给业务模块110。在一些实施例中,业务模块110可以验证用于访问数据加密模块120的令牌是否有效;以及响应于用于访问数据加密模块的令牌有效,向数据加密模块120发送原始数据和ID。因此,在局域网环境中通过设置可访问的IP地址和有效的令牌,能够有效地保证数据加密模块120的安全访问,使得没有授权或者不在允许列表中的其他设备不能够访问数据加密模块120。
在动作206,数据加密模块120在接收到原始数据和对应的ID之后,基于该ID来生成加密密钥(例如,ID为所生成的密钥的影响因素),并且利用所生成的密钥将原始数据加密为脱敏数据。在一些实施例中,数据加密模块120可以应用多种加密算法,并且可以针对不同的原始数据使用不同的加密算法和加密密钥。在一些实施例中,加密算法可以为对称加密算法(诸如数据加密算法(DEA)、CAST5算法、高级加密标准算法(AES)、TTOFISH算法等)和非对称加密算法。通过使用不同的加密算法,使得即使加密密钥被窃取或破解,但是由于不知道加密算法,仍无法对原始数据进行解密。此外,数据加密模块120存储加密密钥与标识ID之间的对应关系,因而通过ID可以查找出对应于该ID的原始数据所使用的加密密钥。
然后,在动作208,数据加密模块120向业务模块110发送加密后的脱敏数据和ID。业务模块110在接收到脱敏数据和ID之后,没有本地存储脱敏数据,而是在动作210中将脱敏数据和标识ID发送给数据存储模块130进行存储。在动作212,数据存储模块130在接收到脱敏数据和ID之后,在动作212存储脱敏数据和ID,并且存储脱敏数据与ID之间的对应关系。在一些实施例,为了提高脱敏数据的访问速度,可以将脱敏数据和ID初始存储在数据存储模块130的高速缓存(CACHE)中,并且高速缓存中的脱敏数据被周期性地存储在数据存储模块130的存储装置(例如,磁盘)中。
在一些实施例,也可以将数据存储模块130设置为仅可以由业务模块110可访问。此外,也可以设置令牌(token)来控制对数据存储模块130的访问,因此,能够有效地保证数据存储模块130的安全访问,使得没有授权或者不在允许列表中的其他设备无法访问数据存储模块130。
至此,业务模块110中的原始数据已经被加密为脱敏数据,并且被存储在数据存储模块130中。由于数据存储模块130仅存储脱敏数据,而数据加密模块120仅存储用于加密的加密密钥,因此,即使加密密钥或脱敏数据被窃取,也无法解密出脱敏数据中的原始内容。
此外,过程200还包括用于对脱敏数据进行恢复的动作集合。在动作214,当业务模块110需要调用原始数据时,向数据存储模块130发送所需的原始数据的对应的ID。然后,数据存储模块130根据ID取回对应的脱敏数据,并且在动作216,业务模块110从数据存储模块130接收与ID相对应的脱敏数据。然后在动作218,业务模块110将脱敏数据和对应的ID发送给数据加密模块120。
在动作220,数据加密模块120在接收到脱敏数据和对应的ID之后,利用ID查找对应的密钥或对称密钥,并且使用密钥将脱敏数据解密为原始数据。在一些实施例中,还可以利用ID确定所使用的加密算法。在动作222,数据加密模块120向业务模块110发送原始数据和对应的ID。至此,原始数据已经被解密恢复,使得在局域网环境中,即使加密密钥或脱敏数据被窃取,也无法解密出脱敏数据中的原始内容,因而不仅满足对于敏感信息的脱敏存储的监管需求,也保证了数据的安全性和完整性。
图3图示了根据本公开的实施例的数据加密方法300的流程图,该方法300例如可以由参考图1所描述的业务模块110执行,并且该方法300可以为参考图2所描述的动作210的子动作。在步骤302,将脱敏数据随机切割成多个子数据,例如将原始数据切割成5个子数据。在步骤304,生成对应于多个子数据的多个子标识,也就是说,每个子数据都存在一个对应的子标识,子标识例如为D0011、D0012、D0013、D0014以及D0015。在步骤306,基于多个子标识来生成分半针对多个子数据的多个子密钥,例如,针对各个子数据生成不同的子密钥,以保证各个子数据被独立加密。
然后,在步骤308,存储多个子标识、多个子数据以及多个子密钥之间的对应关系。例如,可以在业务模块110中存储多个子标识、多个子数据以及多个子密钥之间的对应关系,以用于解密时获取相对应的子密钥。接下来,在步骤310,使用多个子密钥对多个子数据分别进行加密,并且在步骤312,向数据存储模块发送加密后的多个子数据和多个子标识。
此外,在业务模块110中还可以存储标识与多个子标识之间的对应关系。当需要对脱敏数据进行恢复时,通过标识可以获得多个子标识,并从数据存储模块130取回多个子标识对应的加密后的多个子数据,并且使用多个子标识对应的多个子密钥来将加密后的多个子数据解密为多个子数据。然后,对多个子数据进行合并,以生成脱敏数据。接下来,可以参考图2中所描述的动作218-222,将脱敏数据发送给数据加密模块120,以获得原始数据。
通过本公开的实施例的方法300,可以对已经加密的脱敏数据进行进一步的切分并且对切分后的不同的子数据使用不同的密钥进行加密,因而可以进一步保证原始数据的安全性。
图4图示了根据本公开的实施例的数据脱敏方法400的流程图,该方法300例如可以由参考图1所描述的业务模块110执行,其中业务模块110、数据加密模块120和数据存储模块130位于同一局域网内部并且彼此物理分离。在步骤402,在业务模块处110生成与原始数据相对应的标识。在步骤404,从业务模块110向数据加密模块120发送原始数据和标识。接下来,在步骤406,在业务模块110处从数据加密模块120接收脱敏数据,其中脱敏数据是由数据加密模块120使用密钥对原始数据加密而生成,并且密钥基于标识而被生成。然后,在步骤408,从业务模块向数据存储模块发送脱敏数据和标识。在一个实施例中,响应于原始数据被修改,从业务模块向数据加密模块发送经修改的原始数据和ID。也就是说,当原始数据发生变化时,即使对原始数据进行加密更新。
根据本公开的实施例,通过在局域网环境中将加密密钥和加密后的脱敏数据物理分开存储,并且对加密密钥和脱敏数据设置严格的访问权限,能够有效保证数据加密或解密的安全性。此外,通过设置全局统一的标识(ID),能够根据ID有效地查找对应的原始数据、密钥以及脱敏数据。同时,通过IP地址或者令牌来对数据加密模块和数据存储模块设置严格的访问权限,使得没有授权或者不在允许列表中的其他设备无法获取加密密钥和脱敏数据。另外,对脱敏数据进行进一步的切分并且对切分后的不同的子数据使用不同的密钥进行加密,因而可以进一步保证原始数据的安全性。
图5图示了可以用来实施本公开的实施例的设备500的示意性框图,设备500例如可以表示图1所描述的业务模块110、数据加密模块120和数据存储模块130。如图所示,设备500包括中央处理单元(CPU)501,其可以根据存储在只读存储器(ROM)502中的计算机程序指令或者从存储单元508加载到随机访问存储器(RAM)503中的计算机程序指令,来执行各种适当的动作和处理。在RAM 503中,还可存储设备500操作所需的各种程序和数据。CPU 501、ROM502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
设备500中的多个部件连接至I/O接口505,包括:输入单元506,例如键盘、鼠标等;输出单元507,例如各种类型的显示器、扬声器等;存储单元508,例如磁盘、光盘等;以及通信单元509,例如网卡、调制解调器、无线通信收发机等。通信单元509允许设备500通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
上文所描述的各个过程和处理,例如过程或方法200、300和400,可由处理单元501执行。例如,在一些实施例中,过程或方法200、300和400,可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元508。在一些实施例中,计算机程序的部分或者全部可以经由ROM 502和/或通信单元509而被载入和/或安装到设备500上。当计算机程序被加载到RAM 503并由CPU 501执行时,可以执行上文描述的过程或方法200、300和400的一个或多个动作或步骤。
计算机程序产品可以包括计算机可读存储介质,其上载有用于执行本公开的各个方面的计算机可读程序指令。计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
本文所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开内容操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本公开内容的各个方面。
应当注意,尽管在上文的详细描述中提及了设备的若干装置或子装置,但是这种划分仅仅是示例性而非强制性的。实际上,根据本公开的实施例,上文描述的两个或更多装置的特征和功能可以在一个装置中具体化。反之,上文描述的一个装置的特征和功能可以进一步划分为由多个装置来具体化。
以上所述仅为本公开的实施例可选实施例,并不用于限制本公开的实施例,对于本领域的技术人员来说,本公开的实施例可以有各种更改和变化。凡在本公开的实施例的精神和原则之内,所作的任何修改、等效替换、改进等,均应包含在本公开的实施例的保护范围之内。
虽然已经参考若干具体实施例描述了本公开的实施例,但是应该理解,本公开的实施例并不限于所公开的具体实施例。本公开的实施例旨在涵盖在所附权利要求的精神和范围内所包括的各种修改和等同布置。所附的权利要求的范围符合最宽泛的解释,从而包含所有这样的修改及等同结构和功能。