CN109101566B - 一种对数据库信息进行动态掩码的方法及系统 - Google Patents

一种对数据库信息进行动态掩码的方法及系统 Download PDF

Info

Publication number
CN109101566B
CN109101566B CN201810781987.3A CN201810781987A CN109101566B CN 109101566 B CN109101566 B CN 109101566B CN 201810781987 A CN201810781987 A CN 201810781987A CN 109101566 B CN109101566 B CN 109101566B
Authority
CN
China
Prior art keywords
mask
source
masking
protected object
configuring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810781987.3A
Other languages
English (en)
Other versions
CN109101566A (zh
Inventor
程国冰
范渊
刘博�
龙文洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN201810781987.3A priority Critical patent/CN109101566B/zh
Publication of CN109101566A publication Critical patent/CN109101566A/zh
Application granted granted Critical
Publication of CN109101566B publication Critical patent/CN109101566B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明涉及数据库,旨在提供一种对数据库信息进行动态掩码的方法及系统。该种对数据库信息进行动态掩码的方法,包括利用配置模块配置掩码源规则和利用动态掩码模块实现动态掩码。本发明首先配置掩码对象、掩码方式和掩码源,通过分析受保护对象流量,提取掩码源信息和SQL语句,再将掩码源信息与所配置的掩码源比对,进一步判断SQL语句是否包含掩码对象,最后通过按掩码方式重组SQL语句,对数据库信息进行动态掩码。本发明能够快速、灵活、动态完成对数据库信息掩码功能,完好保障数据库信息的完整、安全分享。

Description

一种对数据库信息进行动态掩码的方法及系统
技术领域
本发明是关于数据库领域,特别涉及一种对数据库信息进行动态掩码的方法及系统。
背景技术
随着互联网和移动互联网的高速发展以及普及,互联网应用已经成为日常个人、企业或政府部门等获得信息和发布信息的主要手段,互联网应用成为了资源丰富的信息宝库。
这些信息宝库中存储着互联网应用用户信息,是互联网应用发布商重大财富,因此对客户信息的管理,必须有严格要求、安全保障。但随着大数据时代来临,数据越来越被集中化管理,用户信息及其他一些重要信息也被融合处理。比如:内外部多种数据源、应用自身业务数据的接入,这些数据间的随意共享,假设没有妥善的安全保障,将会给发布商及用户带来不可估量的损失。
如何将包含敏感信息的用户信息及其他一些重要信息,能够有序且安全地共享是亟待解决的大数据安全问题之一。
现有的数据库信息掩码技术,有些只能按数据库访问角色来进行掩码,有些不能实现动态掩码,有些不能灵活实现远程访问者对数据库信息掩码。
发明内容
本发明的主要目的在于克服现有技术中的不足,提供一种能够快速、灵活、动态完成对数据库信息掩码功能的方法和系统。为解决上述技术问题,本发明的解决方案是:
提供一种对数据库信息进行动态掩码的方法,包括利用配置模块配置掩码源规则和利用动态掩码模块实现动态掩码;
利用配置模块配置掩码源规则具体包括以下步骤:
步骤A:配置掩码对象:
掩码对象是指表名和表字段,掩码对象能逻辑组合,且掩码对象逻辑组合形成掩码对象规则;
步骤B:配置掩码方式:
根据掩码对象(掩码对象的需求)进行定义掩码的长度和掩码的显示方式;其中,掩码的显示方式包括隐藏、部分掩码、全部掩码或者随机数;
步骤C:配置掩码源:
根据受保护对象的访问源,(按需求)定义掩码源;其中,掩码源包括SIP(源IP)和受保护对象账号;
掩码源能逻辑组合,掩码源进行逻辑组合,形成掩码源规则;
所述受保护对象是指数据库;
利用动态掩码模块实现动态掩码具体包括以下步骤:
步骤D:配置受保护对象的IP、服务名和端口,然后(利用抓包工具)抓取受保护对象流量;
步骤E:分析步骤D抓取的流量数据包,数据包中包括信息:SIP、SQL语句和访问账号,具体分析包括下述子步骤:
步骤1)若数据包内包含的掩码源信息,在步骤C配置的掩码源规则内,则进入步骤2);
步骤2)若数据包中SQL语句所包含的信息,在步骤A配置的掩码对象规则内,则进入步骤3);
步骤3)将SQL语句按步骤B设置的掩码方式重新组合;
步骤F:将步骤3)重组组合的SQL语句,发送给受保护对象执行,即进行动态掩码。
在本发明中,所述配置模块中的掩码对象规则、掩码源规则,都是配置信息按需进行逻辑组合后形成的规则。
提供一种对数据库信息进行动态掩码的系统,包括处理器,适于实现各指令;以及存储设备,适于存储多条指令,所述指令适用于由处理器加载并执行:
所述对数据库信息进行动态掩码的系统包括配置模块和动态掩码模块;
利用配置模块配置掩码源规则具体包括以下步骤:
步骤A:配置掩码对象:
掩码对象是指表名和表字段,掩码对象能逻辑组合,且掩码对象逻辑组合形成掩码对象规则;
步骤B:配置掩码方式:
根据掩码对象(掩码对象的需求)进行定义掩码的长度和掩码的显示方式;其中,掩码的显示方式包括隐藏、部分掩码、全部掩码或者随机数;
步骤C:配置掩码源:
根据受保护对象的访问源,(按需求)定义掩码源;其中,掩码源包括SIP(源IP)和受保护对象账号;
掩码源能逻辑组合,掩码源进行逻辑组合,形成掩码源规则;
所述受保护对象是指数据库;
利用动态掩码模块实现动态掩码具体包括以下步骤:
步骤D:配置受保护对象的IP、服务名和端口,然后(利用抓包工具)抓取受保护对象流量;
步骤E:分析步骤D抓取的流量数据包,数据包中包括信息:SIP、SQL语句和访问账号,具体分析包括下述子步骤:
步骤1)若数据包内包含的掩码源信息,在步骤C配置的掩码源规则内,则进入步骤2);
步骤2)若数据包中SQL语句所包含的信息,在步骤A配置的掩码对象规则内,则进入步骤3);
步骤3)将SQL语句按步骤B设置的掩码方式重新组合;
步骤F:将步骤3)重组组合的SQL语句,发送给受保护对象执行,即进行动态掩码。
在本发明中,所述对数据库信息进行动态掩码的系统与受保护对象采用直连方式,即所有访问源在访问受保护对象时都要先通过对数据库信息进行动态掩码的系统。
在本发明中,配置模块中的步骤,其实是不分先后次序的,无需一定顺序执行。动态掩码模块中的步骤,是要从步骤D到步骤F顺序执行的,其中步骤D保护对象只要配置一次即可,流量是一直抓取的。另外,动态掩码模块是根据配置模块的内容进行的。配置模块只要配置一次,当然也可以进行修改。
与现有技术相比,本发明的有益效果是:
本发明首先配置掩码对象、掩码方式和掩码源,通过分析受保护对象流量,提取掩码源信息和SQL语句,再将掩码源信息与所配置的掩码源比对,进一步判断SQL语句是否包含掩码对象,最后通过按掩码方式重组SQL语句,对数据库信息进行动态掩码。
本发明能够快速、灵活、动态完成对数据库信息掩码功能,完好保障数据库信息的完整、安全分享。
附图说明
图1为动态掩码配置信息框图。
图2为动态掩码显示流程图。
具体实施方式
下面结合附图与具体实施方式对本发明作进一步详细描述:
如图1、图2所示的一种对数据库信息进行动态掩码的方法,包括配置模块和动态掩码模块。
配置模块具体包括以下步骤:
步骤A:配置掩码对象:表名、表字段。掩码对象可以逻辑组合。
user、user.mobile
步骤B:配置掩码方式:
B1、掩码长度:可根据掩码对象,按需求定义长度。
user.mobile后四位。
B2、显示方式:可根据掩码对象,按需求定义包括但不限于隐藏、部分掩码、全部掩码、随机数。
user.mobile后四位用XXXX掩码。
步骤C:配置掩码源:根据受保护对象访问源,按需求定义包括但不限于SIP(源IP)、受保护对象账号。掩码源可以逻辑组合。
所述受保护对象是指数据库。
SIP:192.168.23.12
Account:guest
动态掩码模块具体包括以下步骤:
步骤D:获取受保护对象流量:配置受保护对象IP、服务名、端口。利用抓包工具根据所配置信息抓取受保护对象流量。
特别指出,本专利与受保护对象采用直连方式。所有访问源在访问受保护对象时均要先通过本发明装置。
步骤E:数据包中包含但不限于以下信息:SIP、SQL语句、访问账号。
SIP:192.168.23.12
SQL语句:select mobile from user where user=”123”;
分析流量数据包,具体包括下述子步骤:
1)数据包内包含的信息在步骤C配置的掩码源规则内,进入2);
2)SQL语句,SQL语句所包含的信息在步骤A配置的掩码对象规则内,进入3);
3)重组SQL语句,将SQL语句按掩码方式重新组合。
select concat(substr(mobile,1,length(mobile)-4),'XXXX')from userwhere user=”123”;
步骤F:动态掩码:将步骤3)重组组合的SQL语句,发送给受保护对象执行。
步骤G:掩码显示:步骤F的执行结果,是按步骤B所配置进行显示。显示结果可参考如下:
|180709134239002XXXX|
|180709134239002XXXX|
|180709134239002XXXX|
|180709134239002XXXX|
|180709134239002XXXX|
|180709134239002XXXX|
|180709134240000XXXX|
|180709134240000XXXX|
|180709134240000XXXX|
|180709134240000XXXX|
|180709134240000XXXX|
|180709134240000XXXX|
|180709134240000XXXX|
|180709134240000XXXX|
|180709134240000XXXX|
|180709134240000XXXX|
|180709134240000XXXX|
|180709134240000XXXX|
|180709134240000XXXX|
|180709134240000XXXX|
|180709134240000XXXX|
|180709134240000XXXX|
|180709134240000XXXX|
最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形,均应认为是本发明的保护范围。

Claims (4)

1.一种对数据库信息进行动态掩码的方法,其特征在于,包括利用配置模块配置掩码源规则和利用动态掩码模块实现动态掩码;
利用配置模块配置掩码源规则具体包括以下步骤:
步骤A:配置掩码对象:
掩码对象是指表名和表字段,掩码对象能逻辑组合,且掩码对象逻辑组合形成掩码对象规则;
步骤B:配置掩码方式:
根据掩码对象进行定义掩码的长度和掩码的显示方式;其中,掩码的显示方式包括隐藏、部分掩码、全部掩码或者随机数;
步骤C:配置掩码源:
根据受保护对象的访问源,定义掩码源;其中,掩码源包括SIP和受保护对象账号;
掩码源能逻辑组合,掩码源进行逻辑组合,形成掩码源规则;
所述受保护对象是指数据库;
利用动态掩码模块实现动态掩码具体包括以下步骤:
步骤D:配置受保护对象的IP、服务名和端口,然后抓取受保护对象流量;
步骤E:分析步骤D抓取的流量数据包,数据包中包括信息:SIP、SQL语句和访问账号,具体分析包括下述子步骤:
步骤1)若数据包内包含的掩码源信息,在步骤C配置的掩码源规则内,则进入步骤2);
步骤2)若数据包中SQL语句所包含的信息,在步骤A配置的掩码对象规则内,则进入步骤3);
步骤3)将SQL语句按步骤B设置的掩码方式重新组合;
步骤F:将步骤3)重组组合的SQL语句,发送给受保护对象执行,即进行动态掩码。
2.根据权利要求1所述的一种对数据库信息进行动态掩码的方法,其特征在于,所述配置模块中的掩码对象规则、掩码源规则,都是配置信息按需进行逻辑组合后形成的规则。
3.一种对数据库信息进行动态掩码的系统,包括处理器,适于实现各指令;以及存储设备,适于存储多条指令,所述指令适用于由处理器加载并执行:
所述对数据库信息进行动态掩码的系统包括配置模块和动态掩码模块;
利用配置模块配置掩码源规则具体包括以下步骤:
步骤A:配置掩码对象:
掩码对象是指表名和表字段,掩码对象能逻辑组合,且掩码对象逻辑组合形成掩码对象规则;
步骤B:配置掩码方式:
根据掩码对象进行定义掩码的长度和掩码的显示方式;其中,掩码的显示方式包括隐藏、部分掩码、全部掩码或者随机数;
步骤C:配置掩码源:
根据受保护对象的访问源,定义掩码源;其中,掩码源包括SIP和受保护对象账号;
掩码源能逻辑组合,掩码源进行逻辑组合,形成掩码源规则;
所述受保护对象是指数据库;
利用动态掩码模块实现动态掩码具体包括以下步骤:
步骤D:配置受保护对象的IP、服务名和端口,然后抓取受保护对象流量;
步骤E:分析步骤D抓取的流量数据包,数据包中包括信息:SIP、SQL语句和访问账号,具体分析包括下述子步骤:
步骤1)若数据包内包含的掩码源信息,在步骤C配置的掩码源规则内,则进入步骤2);
步骤2)若数据包中SQL语句所包含的信息,在步骤A配置的掩码对象规则内,则进入步骤3);
步骤3)将SQL语句按步骤B设置的掩码方式重新组合;
步骤F:将步骤3)重组组合的SQL语句,发送给受保护对象执行,即进行动态掩码。
4.根据权利要求3所述的一种对数据库信息进行动态掩码的系统,其特征在于,所述对数据库信息进行动态掩码的系统与受保护对象采用直连方式,即所有访问源在访问受保护对象时都要先通过对数据库信息进行动态掩码的系统。
CN201810781987.3A 2018-07-17 2018-07-17 一种对数据库信息进行动态掩码的方法及系统 Active CN109101566B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810781987.3A CN109101566B (zh) 2018-07-17 2018-07-17 一种对数据库信息进行动态掩码的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810781987.3A CN109101566B (zh) 2018-07-17 2018-07-17 一种对数据库信息进行动态掩码的方法及系统

Publications (2)

Publication Number Publication Date
CN109101566A CN109101566A (zh) 2018-12-28
CN109101566B true CN109101566B (zh) 2021-09-10

Family

ID=64846457

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810781987.3A Active CN109101566B (zh) 2018-07-17 2018-07-17 一种对数据库信息进行动态掩码的方法及系统

Country Status (1)

Country Link
CN (1) CN109101566B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7979410B2 (en) * 2008-07-30 2011-07-12 Oracle International Corp. Maintaining referential integrity while masking
CN107077513A (zh) * 2015-05-13 2017-08-18 甲骨文国际公司 用于数据的高效重新分区的通信
CN107169054A (zh) * 2017-04-26 2017-09-15 四川长虹电器股份有限公司 基于前缀森林的ip索引方法
CN107391665A (zh) * 2017-07-20 2017-11-24 郑州云海信息技术有限公司 一种数据库实例的创建方法和装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103617037B (zh) * 2013-11-27 2017-12-08 邵寻 用于web开发系统的开发方法和web开发系统
US10430098B2 (en) * 2016-07-08 2019-10-01 Rtbrick, Inc. System and methods for defining object memory format in memory and store for object interactions, manipulation, and exchange in distributed network devices

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7979410B2 (en) * 2008-07-30 2011-07-12 Oracle International Corp. Maintaining referential integrity while masking
CN107077513A (zh) * 2015-05-13 2017-08-18 甲骨文国际公司 用于数据的高效重新分区的通信
CN107169054A (zh) * 2017-04-26 2017-09-15 四川长虹电器股份有限公司 基于前缀森林的ip索引方法
CN107391665A (zh) * 2017-07-20 2017-11-24 郑州云海信息技术有限公司 一种数据库实例的创建方法和装置

Also Published As

Publication number Publication date
CN109101566A (zh) 2018-12-28

Similar Documents

Publication Publication Date Title
CN109582691B (zh) 用于控制数据查询的方法和装置
Agrawal et al. Foundations of uncertain-data integration
EP2689353B1 (en) System and method for data masking
US9607059B2 (en) Intelligent data mining and processing of machine generated logs
US10783271B1 (en) Secure view-based data joins in a multiple tenant database system
US20160127325A1 (en) Scrambling business data
US20230325389A1 (en) Method and apparatus for federated data query, electronic device, and computer-readable storage medium
US9336407B2 (en) Dynamic data masking system and method
CN108090351B (zh) 用于处理请求消息的方法和装置
US10541982B1 (en) Techniques for protecting electronic data
US20180365334A1 (en) Enhanced web browsing
US20190377769A1 (en) Function and memory mapping registry with reactive management events
Hou et al. MongoDB NoSQL injection analysis and detection
US20130103772A1 (en) Method for an instant messaging system and instant messaging system
WO2020013925A1 (en) A system and method for secure data management and access using field level encryption and natural language understanding
CN112000773A (zh) 基于搜索引擎技术的数据关联关系挖掘方法及应用
US20090265314A1 (en) Secure file searching
CN109145009B (zh) 一种基于SQL检索ElasticSearch的方法
CN110851463A (zh) 一种基于互联网地图地理编码引擎的不动产登记数据脱敏与空间化方法
CN113452683A (zh) 一种数据库行列级权限控制的方法和系统
Motwani et al. Auditing sql queries
CN112347126B (zh) 大数据处理方法、装置、设备及介质
CN109101566B (zh) 一种对数据库信息进行动态掩码的方法及系统
CN114357480A (zh) 一种基于sql血缘关系的数据安全查询方法、装置和设备
US11586696B2 (en) Enhanced web browsing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant