CN112948874B - 一种密态数据访问方法 - Google Patents
一种密态数据访问方法 Download PDFInfo
- Publication number
- CN112948874B CN112948874B CN202110182488.4A CN202110182488A CN112948874B CN 112948874 B CN112948874 B CN 112948874B CN 202110182488 A CN202110182488 A CN 202110182488A CN 112948874 B CN112948874 B CN 112948874B
- Authority
- CN
- China
- Prior art keywords
- access
- data
- privacy
- secret
- data source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种密态数据访问方法,该方法包括:创建数据源端连接,自动完成隐私信息、核心数据资产的全量扫描与侦测;根据数据访问的场景和行为特征,划分创建独立访问用户组;针对数据源创建不同场景的隐私保护方案;基于访问用户组和隐私保护方案,构建访问客户端到数据源的密态通道;解析访问报文,获取、分析访问行为和对象,进行数据加密处理,响应客户端。本发明自动侦测隐私信息,通过密态通道和同/异构加密算法进行保护,实现透明访问和持续密态操作,保障原始数据的安全,避免隐私、核心数据资产泄露,同时访问全程可视、可控、可追溯,满足数据流通访问的便利性和安全性需求。
Description
技术领域
本发明涉及信息安全技术领域,特别是一种密态数据访问方法。
背景技术
存储于某个系统中的存量数据可能成为其他外部信息系统所需的数据资源,并且数据资源的价值可以在流通后再次得到应用,从而产生更多的应用价值。数据流通使数据脱离了原有使用场景,变更了使用目的,从数据产生端转移至其他数据应用端,优化了资源配置,成为释放数据价值的重要环节。与此同时,隐私信息、核心数据资产在开放、共享、汇聚、交易、访问等流通环节中缺乏有效管控,面临着泄露的风险。
针对数据流通中主动访问环节,目前有多种访问技术和方法,但存在如下几方面的不足:
1)需要改变用户当前访问环境配置,成本、风险较高。如在访问侧安装代理,当存在较多用户时,则需多个地方同时部署,安装和版本同步更新的工作量大,同时需要改造现有网络环境,成本和风险也较高;
2)仅支持有限的简单访问行为。如数据库访问,采用的是对操作指令本身的处理,如涉及存储过程、函数等方式输出数据,则无法进行保护;
3)不支持持续密态操作。因现访问技术主要针对操作行为本身,非访问的实际数据内容,因而不支持持续密态操作。如用户需要执行多次访问操作,当前查询依赖于前次处理的全部或部分结果,此过程中要求前次访问输出和当前操作的请求数据均为密态形式。
因此,本领域亟需提供一种密态数据访问方法,以满足数据流通访问环节隐私保护的便利性和安全性需求。
发明内容
本发明的目的在于提供一种密态数据访问方法,解决了现有技术中存在的问题。
为实现上述目的,本发明提供如下技术方案:一种密态数据访问方法,包括以下步骤:
步骤S01、手动创建/自动嗅探发现数据源端连接,自动完成隐私信息、核心数据资产全量扫描与侦测;
步骤S02、根据数据访问的场景和行为特征,划分创建独立访问用户组;
步骤SO3、针对数据源创建不同访问场景的隐私保护方案;
步骤S04、基于访问用户组和隐私保护方案,构建访问客户端到数据源的密态通道;
步骤S05、解析访问报文,获取、分析访问行为和对象,进行数据加密处理,响应客户端。
所述步骤S01具体包括:
步骤S011、判定数据源端类型(数据库、文件、接口等),采集相应的配置信息,建立连接并测试联通性;
步骤S012、连接成功后,根据预先设定的隐私发现规则,自动对数据源端执行全量扫描和隐私侦测。
所述步骤S011中,所述数据源端配置,支持手动创建和自动嗅探发现两种方式,其中自动嗅探可依据指定的IP地址范围,结合数据源服务名称关键字、常用端口等特征值自动匹配与识别,输出可配置数据源服务列表。
所述步骤S012中,隐私侦测采用自动扫描的处理方式,支持人工全量/增量和定时全量/增量隐私侦测;
若隐私侦测过程已开始,可查看已发现的结果,通过隐私预览确认发现结果是否正确;确认如下内容:有无未识别的或未标记为隐私的字段、原始数据是否与发现的隐私类型一致、预览同/异构加密效果是否满足要求,若不满足,则按需调整算法参数或自定义加密算法。
所述步骤S02中,所述数据访问的场景,包括内部访问、外部访问、人工访问、应用等非人工访问。所述行为特征,包括因人员角色、权限等发生的不同行为,也包括其访问IP、访问客户端、访问时间、访问对象、执行的操作等发生的特定行为。
所述步骤S03中,所述隐私保护方案,是指某数据源下隐私信息、核心数据资产的一种保护策略,具体指定义不同场景下须加密处理的隐私安全级别、特定加密或非加密的简单、复杂对象等,如数据库中的表为简单对象,存储过程为复杂对象。
所述步骤S04中,所述访问客户端到数据源的密态访问通道,访问客户端包括各类数据库直接、间接使用的工具、平台等。数据源包括各类数据库、文件、数据平台、数据接口等。访问通道包括以代理或类似方式串联在访问客户端和数据源端,和以旁路或类似方式并联访问客户端和数据源端。无论采用何种访问通道,通道实现的效果均为透明访问,即访问客户端对于通道是无感知的,不需要安装代理、不改变现有访问方式、不改变现执行的操作、也不需要改变网络环境。
所述步骤S05中,所述解析访问报文,包括数据库协议、应用协议,如Oracle的tns协议、MySQL协议、SqlServer的tds协议、Sybase 的tds协议、DB2的drda、大数据平台通信协议、应用服务HTTP协议等;所述获取分析访问行为和对象,对访问请求报文解析的结果进行信息提取,获取访问来源属性、访问对象、操作行为等信息;所述进行数据加密处理,响应客户端,指访问通道基于访问用户组和隐私方案的处理结果,对访问客户端访问行为涉及的隐私信息做加密处理,包括无权限、访问错误后即时返回的响应信息,也包括对响应数据中隐私信息加密后再返回。支持连续密态操作,当需要执行连续多次关联访问操作时,当前操作依赖于前次处理的全部或部分结果,此过程中要求前次访问输出和当前操作的请求数据均为密态形式,且前次输出结果可作为参数或条件进行当次或后续的访问操作。
有益效果:
本发明自动侦测隐私信息,通过密态通道和同/异构加密算法进行保护,实现透明访问和持续密态操作,保障原始数据的安全,避免隐私、核心数据资产泄露,同时访问全程可视、可控、可追溯,满足数据流通访问的便利性和安全性需求。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制,在附图中:
图1为本发明的密态数据访问方法的一个实施例的流程示意图;
图2为本发明的密态数据访问方法的一个实施例的数据库类型连接配置示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1-2,本发明实施例中,一种密态数据访问方法,包括:
本发明实施例可以应用于计算机系统/服务器,其可与众多其它通用或专用计算系统环境或配置一起操作,适于与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的例子;包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境等等。
计算机系统/服务器可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
如图1所示,本发明提供一种密态数据访问方法,包括如下步骤:
步骤S01、手动创建/自动嗅探发现数据源端连接,自动完成隐私信息、核心数据资产全量扫描与侦测。
根据数据源端类型(数据库/文件/接口等),采集相应的配置信息,建立连接并测试联通性,也可根据设定的IP地址范围执行自动嗅探,发现数据服务和端口并完成注册。连接成功后,根据预先设定的隐私侦测规则,自动对数据源端执行全量扫描和侦测。
在一个实施例中,可手动创建或根据指定的IP地址范围自动嗅探数据源服务,如192.168.1.1~192.168.1.255内的Oracle、DB2、 MySQL等数据源服务,依据数据源常用服务端口和服务名实现自动嗅探。图2是本发明数据源端类型为数据库时采集的配置信息图。
在一个实施例中,数据源端连接可以是结构化数据库Oracle、M ySQL、SQLServer、DB2、Informix、Greenplum、Hive等,也可以是文件或接口等;隐私自动发现的规则包含但不限于:名称(中文姓名、企业名称)、地址、邮箱、电话(手机号、固定电话、传真等)、证件(身份证、护照、军官证)、账号(银行卡、客户号、税务登记号、组织机构代码、营业执照号等)、邮编、日期(生日等)等。
如数据源端为数据库类型,发现结果包括如下信息,数据库名称、 Schema名称、表名、字段名、字段类型、是否为隐私字段、隐私类型、安全级别等;通过隐私预览确认发现结果是否正确,如本应该标记为隐私类型的字段有无未识别的、标记为隐私的字段,其原始数据是否与发现的隐私类型一致、预览同/异构加密效果是否满足要求,若不满足,则按需调整算法参数或自定义加密算法。
在一个实施例中,隐私侦测启动后,可查看隐私发现结果(参见表1),其中隐私结果对应的部分隐私类型及发现规则配置参见表2 及表3。实施中,预先设定隐私类型、发现规则、加密算法及相互关联关系,从而实现在数据源端连接成功后,自动识别隐私类型,其中隐私类型识别的效率依赖选取的样本集和算法,本方法中可支持参数动态调整,从而取得较好的识别效率。同时可根据需要添加自定义隐私类型、发现规则。同时,在调整发现规则或隐私类型后,可根据实际情况执行增量隐私发现,具体实现为:实时比对已发现隐私与数据源端的信息差异,细化到表字段的类型,当检测到发生变化时,将重新对差异部分执行隐私发现,源端可能发生的变化有删表、字段,新增表、字段,变更表、字段等。
表1隐私发现结果样例
表2隐私类型样例
| 隐私主键 | 隐私类型名称 |
| 1 | 中文地址信息 |
| 2 | 银行卡号信息 |
| 3 | 电子邮件信息 |
| 4 | 企业名称信息 |
| 5 | 中文姓名信息 |
表3发现规则配置样例
| 规则主键 | 基础规则代码 | 规则名称 |
| 1 | Address | 中文地址发现规则 |
| 2 | BankCard | 银行卡发现规则 |
| 3 | 电子邮件发现规则 | |
| 4 | EnterpriseName | 企业名称发现规则 |
| 5 | Name | 中文姓名发现规则 |
步骤SO2,根据数据访问的场景和行为特征,划分创建独立访问用户组。
数据访问时会存在多种场景,如内部访问、外部访问,人工访问、应用访问等,同时根据人员角色、权限,也会产生不同的访问行为和特征,如开发、测试、业务、应用分析系统等,其访问IP、使用的客户端、访问时间、访问的对象、执行的操作不尽相同。因此,需要根据实际用户、角色的访问场景和需求,结合访问来源划分并构建独立的访问用户组。
在一个实施例中,访问用户组定义的维度可包括有效时间、客户端IP地址、操作系统信息、客户端工具、数据源用户、访问时间等。具体地,可以创建一个业务访问用户组,其客户端IP地址范围为 192.168.1.1~192.168.1.255,访问时间为9:00~18:00。当属于该IP 地址段的用户,在工作时间内访问,则认为是合规的操作,其他情况,则一般认为是非正常操作,审计并应告警提示。
步骤S03、针对数据源创建不同访问场景的隐私保护方案。隐私保护方案是指某数据源下隐私信息、核心数据资产的一种保护策略,具体指是否所有等级的隐私信息均须加密处理,或中高等级的隐私信息须密态访问、低等级的隐私信息可明文访问,或部分隐私信息采用标准同构加密、部分采用标准异构、自定义加密等,在此基础上构建彼此独立的保护方案,为密态通道提供安全基础。其中,同构加密算法是指保持原数据特征,如身份证号加密后仍为身份证号,满足统一校验规则;异构加密算法是指不保持原数据特征,加密后为一组无特征、人工无法判断的信息,如国密、摘要等算法,同/异构算法加密效果样例参见表4。
表4同/异构加密效果样例
步骤S04、基于访问用户组和隐私保护方案,构建访问客户端到数据源的密态通道。通道是指访问者和被访对象的连接器,实现主动访问数据流通环节的介质。为访问者和被访对象的不同组合构建彼此独立的通道,同/异构加密算法和隐私保护方案为通道的密态安全访问提供安全基础和保障。
在一个实施例中,针对某个DB2数据源,创建密态访问通道。具体地,DB2数据源地址为192.168.1.100,服务端口为50000,针对上述步骤中描述的访问用户组,以代理的方式构建到DB2数据源的密态通道,通道地址为192.168.2.50,服务端口为1000,则客户端实际访问192.168.2.50的1000端口。当访问用户为低权限普通人员时,访问数据中包含隐私信息时,将统一以密态方式返回,且当访问禁止对象时,则通道直接响应返回无权限访问的提示信息。对于高权限管理人员,根据不同场景,可访问部分低安全等级的隐私信息。
步骤S05、解析访问报文,获取、分析访问行为和对象,进行数据加密处理,响应客户端。当访问客户端经密态通道发起实时数据访问请求,密态通道将完成如下处理过程:
1)首先获取报文请求信息;
2)根据不同报文类型,解析处理后获取访问来源信息;
在一个实施例中,如DB2数据库,0x106D包含用户的登录信息,可从报文中获取数据库的登录用户信息。
3)校验访问者是否合法、是否有相应操作权限、操作行为是否正确等,若校验未通过,通道则直接响应访问,说明访问者身份、行为等校验未通过,添加审计记录并触发告警通知;
4)解析获取具体操作指令和被访数据对象(如被访对象为数据库,则操作指令为SELECT、INSERT、UPDATE等数据库操作,被访数据对象为某数据库、SCHEMA、数据表、存储过程等对象),根据用户数据访问权限和安全方案,响应并输出数据,若方案中指定本次访问的隐私对象须加密处理,则会以密态形式返回访问客户端。
在一个实施例中,如DB2数据库,对完整的drda报文进行解析,获取报文中DDM部分的指令类型(Codepoint)信息,并获取报文中相应的数据内容。如0x2414指令类型报文包含SQL指令信息,则可获取SQL语句内容。具体的,若执行某查询“select name from cu st_info where id=1”,其中name为中文姓名,原始数据为齐雷,实际响应数据为诸文。
5)访问客户端在通道内发生的所有操作行为,支持统一审计、风险告警、可视化展现、溯源等风险稽核。具体的,追溯内容包括访问来源、访问行为、访问对象、访问结果、访问风险等。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种密态数据访问方法,其特征在于,包括以下步骤:
步骤S01、手动创建/自动嗅探发现数据源端连接,自动完成隐私信息、核心数据资产全量扫描与侦测:根据数据源端类型,包括数据库/文件/接口类型,采集相应的配置信息,建立连接并测试联通性,也可根据设定的IP地址范围执行自动嗅探,发现数据服务和端口并完成注册,连接成功后,根据预先设定的隐私侦测规则,自动对数据源端执行全量扫描和侦测,通过隐私预览确认发现结果是否正确,如本应该标记为隐私类型的字段有无未识别的或未被标记为隐私的字段,其原始数据是否与发现的隐私类型一致、预览同/异构加密效果是否满足要求,若不满足,则按需调整算法参数或自定义加密算法;
步骤S02、根据数据访问的场景和行为特征,划分创建独立访问用户组;
步骤S03、针对数据源创建不同访问场景的隐私保护方案;
步骤S04、基于访问用户组和隐私保护方案,构建访问客户端到数据源的密态通道;
步骤S05、对访问报文的协议进行解析,获取访问来源属性、访问对象、操作行为信息,基于基于访问通道的访问用户组和隐私方案,对隐私信息做加密处理,并将隐私信息以密态形式返回,且支持密态信息连续多次关联访问操作。
2.如权利要求1所述的密态数据访问方法,其特征在于,所述步骤S01具体包括:
步骤S011、判定数据源端类型,采集相应的配置信息,建立连接并测试联通性;
步骤S012、连接成功后,根据预先设定的隐私发现规则,自动对数据源端执行全量扫描和隐私侦测。
3.如权利要求2所述的密态数据访问方法,其特征在于,所述步骤S011中数据源端配置,自动嗅探可依据指定的IP地址范围,结合数据源服务名称关键字、常用端口特征值自动匹配与识别,输出可配置数据源服务列表。
4.如权利要求2所述的密态数据访问方法,其特征在于,所述步骤S012中,隐私侦测采用自动扫描的处理方式,支持人工全量/增量和定时全量/增量隐私侦测:若隐私侦测过程已开始,可查看已发现的结果,通过隐私预览确认发现结果是否正确,并确认如下内容:有无未识别的或未标记为隐私的字段、原始数据是否与发现的隐私类型一致、预览同/异构加密效果是否满足要求;若不满足,则按需调整算法参数或自定义加密算法。
5.如权利要求1所述的密态数据访问方法,其特征在于,所述步骤S02中,所述数据访问的场景包括内部访问、外部访问、人工访问、应用访问;
所述行为特征包括因人员角色、权限发生的不同行为,也包括其访问IP、访问客户端、访问时间、访问对象、执行的操作发生的特定行为;
所述访问用户组即根据上述访问场景和行为特征综合定义的用户集,包括其中单一元素、多个组合元素。
6.如权利要求1所述的密态数据访问方法,其特征在于,所述步骤S03中,所述隐私保护方案是指某数据源下隐私信息、核心数据资产的一种保护策略,对数据库源中涉及隐私信息的简单对象和复杂对象设定加密处理的隐私安全级别和加密处理方法,加密处理的算法包括同/异构算法,同构算法包括高仿真加密、简单按位替换算法,异构算法包括对称、非对称、摘要、哈希标准算法、国密算法、差分隐私算法和同态加密算法,其中算法可根据实际需要做配置和调整,也支持自定义加密算法。
7.如权利要求1所述的密态数据访问方法,其特征在于,所述步骤S04中,所述访问客户端到数据源的密态访问通道,访问客户端包括各类数据库直接、间接使用的工具、平台,包括Navicat、PLSQL、DBeaver、Hive、hue、SecureCRT、Putty、应用服务、应用接口、JDBC连接程序;数据源包括数据库、文件、数据平台、数据接口。
8.如权利要求7所述的密态数据访问方法,其特征在于,所述访问通道包括以代理或类似方式串联在访问客户端和数据源端,和以旁路或类似方式并联访问客户端和数据源端,无论采用何种访问通道,实现的效果均为透明访问,即访问客户端对于通道是无感知的,不需要安装代理、不改变现有访问方式、不改变现执行的操作、也不需要改变网络环境。
9.如权利要求7所述的密态数据访问方法,其特征在于,所述访问通道与访问用户组、隐私保护方案建立双向关联关系,通道提供访问用户组、隐私保护方案所需的相关属性、行为特征、访问对象信息;同时用户组、隐私保护方案为通道提供安全操作依据,彼此结合构建密态访问通道,实现对隐私或核心数据资产的加密保护。
10.如权利要求1所述的密态数据访问方法,其特征在于,所述步骤S05所述的解析访问报文包括数据库协议、应用协议。
11.如权利要求1所述的密态数据访问方法,其特征在于,所述步骤S05,所述获取分析访问行为和对象,对访问报文进行解析,获取访问来源属性、访问对象、操作行为信息;其中,获取访问来源属性包括因人员角色、权限发生的不同行为,也包括其访问IP、访问客户端、访问时间、访问对象、执行的操作发生的特定行为特征;
获取访问对象包括访问对象结构的分析和各数据源中简单、复杂对象的获取,对象结构的分析包括对SQL语句、执行语句的解析。
12.如权利要求10所述的密态数据访问方法,其特征在于,所述步骤S05,所述进行数据加密处理,响应客户端是指访问通道基于访问用户组和隐私方案的处理结果,对访问客户端访问行为涉及的隐私信息做加密处理,包括无权限、访问错误后即时返回的响应信息,也包括对响应数据中隐私信息加密后再返回。
13.如权利要求10所述的密态数据访问方法,其特征在于,所述步骤S05,所述数据加密处理支持连续密态操作,当需要执行连续多次关联访问操作时,当前操作依赖于前次处理的全部或部分结果,此过程中要求前次访问输出和当前操作的请求数据均为密态形式,且前次输出结果可作为参数或条件进行当次或后续的访问操作。
14.如权利要求1所述的密态数据访问方法,其特征在于,还包括支持对访问行为进行时审计、告警、风险稽核分析安全控制操作,安全控制操作包括阻断通道、拦截当次操作、改写访问操作、仅审计告警,支持访问过程全程可视、可控、可追溯,追溯内容包括访问来源、访问行为、访问对象、访问结果、访问风险。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110182488.4A CN112948874B (zh) | 2021-02-10 | 2021-02-10 | 一种密态数据访问方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110182488.4A CN112948874B (zh) | 2021-02-10 | 2021-02-10 | 一种密态数据访问方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112948874A CN112948874A (zh) | 2021-06-11 |
| CN112948874B true CN112948874B (zh) | 2023-04-18 |
Family
ID=76245329
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110182488.4A Active CN112948874B (zh) | 2021-02-10 | 2021-02-10 | 一种密态数据访问方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112948874B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002095545A2 (en) * | 2001-04-20 | 2002-11-28 | Ponoi Corp. | System and method for secure and private communication |
| JP2004032220A (ja) * | 2002-06-24 | 2004-01-29 | Accessticket Systems Inc | 電子チケットを用いたアクセス権管理装置 |
| GB0410180D0 (en) * | 2004-05-07 | 2004-06-09 | Hewlett Packard Development Co | An adaptive privacy management system for data repositories |
| CN104506487A (zh) * | 2014-11-21 | 2015-04-08 | 北京工业大学 | 云环境下隐私策略的可信执行方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7362868B2 (en) * | 2000-10-20 | 2008-04-22 | Eruces, Inc. | Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data |
| US20130019092A1 (en) * | 2011-07-14 | 2013-01-17 | Barracuda Inc. | System to Embed Enhanced Security / Privacy Functions Into a User Client |
| US9774577B2 (en) * | 2014-06-24 | 2017-09-26 | Tata Consultancy Services Limited | Device, system and method providing data security and attribute based data access in participatory sensing |
| CN105610671A (zh) * | 2016-01-11 | 2016-05-25 | 北京奇虎科技有限公司 | 一种终端数据保护的方法及装置 |
| US10909265B2 (en) * | 2016-06-10 | 2021-02-02 | OneTrust, LLC | Application privacy scanning systems and related methods |
| US10671750B2 (en) * | 2018-08-17 | 2020-06-02 | Mentis Inc. | System and method for data classification centric sensitive data discovery |
| US11044079B2 (en) * | 2018-09-25 | 2021-06-22 | Microsoft Technology Licensing, Llc | Enhanced key availability for data services |
| CN109951498A (zh) * | 2019-04-18 | 2019-06-28 | 中央财经大学 | 一种基于密文策略属性加密的区块链访问控制方法及装置 |
| CN110602089B (zh) * | 2019-09-11 | 2021-08-10 | 腾讯科技(深圳)有限公司 | 基于区块链的医疗数据存储方法、装置、设备及存储介质 |
| CN111400762A (zh) * | 2020-03-18 | 2020-07-10 | 上海凯馨信息科技有限公司 | 一种针对oracle数据库的动态脱敏方法 |
-
2021
- 2021-02-10 CN CN202110182488.4A patent/CN112948874B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002095545A2 (en) * | 2001-04-20 | 2002-11-28 | Ponoi Corp. | System and method for secure and private communication |
| JP2004032220A (ja) * | 2002-06-24 | 2004-01-29 | Accessticket Systems Inc | 電子チケットを用いたアクセス権管理装置 |
| GB0410180D0 (en) * | 2004-05-07 | 2004-06-09 | Hewlett Packard Development Co | An adaptive privacy management system for data repositories |
| CN104506487A (zh) * | 2014-11-21 | 2015-04-08 | 北京工业大学 | 云环境下隐私策略的可信执行方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112948874A (zh) | 2021-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11949676B2 (en) | Query analysis using a protective layer at the data source | |
| US20230289464A1 (en) | Data access method and device, storage medium, and electronic device | |
| EP3343841B1 (en) | Access relationships in a computer system | |
| US11863557B2 (en) | Sidecar architecture for stateless proxying to databases | |
| CN111262835B (zh) | 敏感数据的脱敏存储方法及装置 | |
| US11494482B1 (en) | Centralized applications credentials management | |
| US20240031274A1 (en) | Techniques for in-band topology connections in a proxy | |
| CN111241104A (zh) | 操作审计方法、装置及电子设备和计算机可读存储介质 | |
| CN114462059A (zh) | 一种表字段级加密及安全访问控制方法及系统 | |
| US11700258B2 (en) | Access relationships in a computer system | |
| US20240039914A1 (en) | Non-in line data monitoring and security services | |
| US20230334140A1 (en) | Management of applications’ access to data resources | |
| CN116668157A (zh) | 基于零信任网关日志的api接口识别处理方法、装置及介质 | |
| CN112948874B (zh) | 一种密态数据访问方法 | |
| US20140215607A1 (en) | Threat exchange information protection | |
| US11991192B2 (en) | Intruder detection for a network | |
| US20230198960A1 (en) | Data masking | |
| CN111414340A (zh) | 文件分享方法、装置、计算机设备和存储介质 | |
| Dincer et al. | Big data security: Requirements, challenges and preservation of private data inside mobile operators | |
| Shiozaki | Yokogawa’s Approach to Cybersecurity in the IT/OT Convergence Environment | |
| CN118133340A (zh) | 基于Ranger策略的HDFS权限收敛灰度上线实现方法 | |
| WO2021034441A1 (en) | Intruder detection for a network | |
| Rada et al. | Security and Privacy Challenges in Big Data Era |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |