CN113254962A - 敏感数据权限控制方法、装置、设备及存储介质 - Google Patents
敏感数据权限控制方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113254962A CN113254962A CN202110583295.XA CN202110583295A CN113254962A CN 113254962 A CN113254962 A CN 113254962A CN 202110583295 A CN202110583295 A CN 202110583295A CN 113254962 A CN113254962 A CN 113254962A
- Authority
- CN
- China
- Prior art keywords
- sensitive data
- data
- sensitive
- authority
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000006870 function Effects 0.000 claims description 220
- 238000000586 desensitisation Methods 0.000 claims description 58
- 230000006399 behavior Effects 0.000 claims description 20
- 239000000203 mixture Substances 0.000 claims description 14
- 238000004458 analytical method Methods 0.000 claims description 6
- 238000001914 filtration Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 7
- 239000000284 extract Substances 0.000 description 6
- 238000013475 authorization Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及大数据领域,公开了一种敏感数据权限控制方法、装置、设备及存储介质。该方法包括:接收案件数据的读取请求,并确定所述读取请求对应的目标函数;获取所述目标函数的函数调用序列,并根据所述函数调用序列,对所述案件数据进行分类,得到所述案件数据的敏感数据和非敏感数据;调用预置权限信息库,对所述敏感数据进行权限信息匹配,得到所述敏感数据对应的权限信息;根据所述权限信息,判断所述目标函数是否具备使用所述敏感数据的权限;若所述目标函数具备使用所述敏感数据的权限,则通过所述目标函数对所述敏感数据和所述非敏感数据进行读取。本发明提高了敏感数据的安全性。
Description
技术领域
本发明涉及大数据领域,尤其涉及一种敏感数据权限控制方法、装置、设备及存储介质。
背景技术
随着大数据时代的到来,云计算和深度学习的发展,更高效的数据处理技术在带来更高生产力的同时,也引发了数据的安全危机,特别是许多金融行业的线下流程线上化,例如,一些催收系统,一旦发生数据泄密事件,都会带来重大损失。因此,数据安全已经成为金融行业中必不可少的一部分,如何确保数据安全越来越受关注。
现有技术是通过建立敏感数据词库,然后通过分词算法统计相应关键词使用频率,再判断敏感数据的使用权限,进而对敏感数据进行上报,现有技术具有很高的误报率和漏报率,增加了敏感数据泄密风险,导致敏感数据的安全性低。
发明内容
本发明的主要目的在于解决目前敏感数据的安全性低的技术问题。
本发明第一方面提供了一种敏感数据权限控制方法,所述敏感数据权限控制方法包括:接收案件数据的读取请求,并确定所述读取请求对应的目标函数;获取所述目标函数的函数调用序列,并根据所述函数调用序列,对所述案件数据进行分类,得到所述案件数据的敏感数据和非敏感数据;调用预置权限信息库,对所述敏感数据进行权限信息匹配,得到所述敏感数据对应的权限信息;根据所述权限信息,判断所述目标函数是否具备使用所述敏感数据的权限;若所述目标函数具备使用所述敏感数据的权限,则通过所述目标函数对所述敏感数据和所述非敏感数据进行读取。
可选的,在本发明第一方面的第一种实现方式中,所述获取所述目标函数的函数调用序列,并根据所述函数调用序列,对所述案件数据进行分类,得到所述案件数据的敏感数据和非敏感数据包括:获取所述目标函数对应的前向函数调用序列和后向函数调用序列,所述前向函数调用序列用于指示基于权限识别的预设敏感信息,所述后向函数调用序列用于指示预设敏感字词;将所述前向函数调用序列和所述后向函数调用序列进行拼接,得到拼接序列;通过所述拼接序列对所述案件数据进行敏感字段识别,得到敏感数据,并通过所述敏感数据对所述案件数据进行过滤,得到非敏感数据。
可选的,在本发明第一方面的第二种实现方式中,所述根据将所述前向函数调用序列和所述后向函数调用序列进行拼接,得到拼接序列包括:提取所述前向函数调用序列的前向敏感字段序列和所述后向函数调用序列的后向敏感字段序列;对所述前向敏感字段序列和所述后向敏感字段序列进行拼接,得到拼接序列。
可选的,在本发明第一方面的第三种实现方式中,所述根据所述权限信息,判断所述目标函数是否具备使用所述敏感数据的权限包括:调用预置敏感权限决策记录表,判断所述权限信息在所述敏感权限决策记录表中是否有记录;若有记录,则判断所述目标函数是否具备使用所述敏感数据的权限;若无记录,则确定所述目标函数不具备使用所述敏感数据的权限。
可选的,在本发明第一方面的第四种实现方式中,,所述敏感数据权限控制方法还包括:若所述目标函数不具备使用所述敏感数据的权限,则根据所述权限信息,对所述敏感权限决策记录进行更新并生成所述敏感数据对应的脱敏数据;通过所述目标函数对所述脱敏数据和所述非敏感数据进行读取。
可选的,在本发明第一方面的第五种实现方式中,所述若所述目标函数不具备使用所述敏感数据的权限,则根据所述权限信息,对所述敏感权限决策记录进行更新并生成所述敏感数据对应的脱敏数据包括:若所述目标函数不具备使用所述敏感数据的权限,则根据所述权限信息,对所述敏感权限决策记录进行更新并获取所述敏感数据的组成格式和长度;根据所述组成格式和所述长度,确定所述敏感数据的数据类型;根据所述数据类型,从预置的多个脱敏算法中确定所述敏感数据对应的目标脱敏算法;采用所述目标脱敏算法,对所述敏感数据进行敏感字段脱敏,得到脱敏数据。
可选的,在本发明第一方面的第六种实现方式中,所述调用预置权限信息库,对所述敏感数据进行权限信息匹配,得到所述敏感数据对应的权限信息包括:获取所述敏感数据的数据信息;将所述数据信息和预置的完整行为信息进行匹配,得到敏感行为信息;调用预置权限信息库,对所述敏感行为信息进行权限信息匹配,得到权限信息。
本发明第二方面提供了一种敏感数据权限控制装置,所述敏感数据权限控制装置包括:函数解析模块,用于接收案件数据的读取请求,并确定所述读取请求对应的目标函数;数据获取模块,用于获取所述目标函数的函数调用序列,并根据所述函数调用序列,对所述案件数据进行分类,得到所述案件数据的敏感数据和非敏感数据;信息匹配模块,用于调用预置权限信息库,对所述敏感数据进行权限信息匹配,得到所述敏感数据对应的权限信息;判断模块,用于根据所述权限信息,判断所述目标函数是否具备使用所述敏感数据的权限;读取模块,用于若所述目标函数具备使用所述敏感数据的权限,则通过所述目标函数对所述敏感数据和所述非敏感数据进行读取。
可选的,在本发明第二方面的第一种实现方式中,所述数据获取模块还包括:获取单元,用于获取所述目标函数对应的前向函数调用序列和后向函数调用序列,所述前向函数调用序列用于指示基于权限识别的预设敏感信息,所述后向函数调用序列用于指示预设敏感字词;拼接单元,用于将所述前向函数调用序列和所述后向函数调用序列进行拼接,得到拼接序列;提取单元,用于通过所述拼接序列对所述案件数据进行敏感字段识别,得到敏感数据,并通过所述敏感数据对所述案件数据进行过滤,得到非敏感数据。
可选的,在本发明第二方面的第二种实现方式中,所述拼接单元具体用于:提取所述前向函数调用序列的前向敏感字段序列和所述后向函数调用序列的后向敏感字段序列;对所述前向敏感字段序列和所述后向敏感字段序列进行拼接,得到拼接序列。
可选的,在本发明第二方面的第三种实现方式中,所述判断模块具体用于:调用预置敏感权限决策记录表,判断所述权限信息在所述敏感权限决策记录表中是否有记录;若有记录,则判断所述目标函数是否具备使用所述敏感数据的权限;若无记录,则确定所述目标函数不具备使用所述敏感数据的权限。
可选的,在本发明第二方面的第四种实现方式中,所述敏感数据权限控制装置还包括:脱敏模块,用于若所述目标函数不具备使用所述敏感数据的权限,则根据所述权限信息,对所述敏感权限决策记录进行更新并生成所述敏感数据对应的脱敏数据;控制模块,用于通过所述目标函数对所述脱敏数据和所述非敏感数据进行读取。
可选的,在本发明第二方面的第五种实现方式中,所述脱敏模块具体用于:若所述目标函数不具备使用所述敏感数据的权限,则根据所述权限信息,对所述敏感权限决策记录进行更新并获取所述敏感数据的组成格式和长度;根据所述组成格式和所述长度,确定所述敏感数据的数据类型;根据所述数据类型,从预置的多个脱敏算法中确定所述敏感数据对应的目标脱敏算法;采用所述目标脱敏算法,对所述敏感数据进行敏感字段脱敏,得到脱敏数据。
可选的,在本发明第二方面的第六种实现方式中,所述信息匹配模块具体用于:获取所述敏感数据的数据信息;将所述数据信息和预置的完整行为信息进行匹配,得到敏感行为信息;调用预置权限信息库,对所述敏感行为信息进行权限信息匹配,得到权限信息。
本发明第三方面提供了一种敏感数据权限控制设备,包括:存储器和至少一个处理器,所述存储器中存储有指令;所述至少一个处理器调用所述存储器中的所述指令,以使得所述敏感数据权限控制设备执行上述的敏感数据权限控制方法。
本发明的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述的敏感数据权限控制方法。
本发明提供的技术方案中,接收案件数据的读取请求,并确定所述读取请求对应的目标函数;获取所述目标函数的函数调用序列,并根据所述函数调用序列,对所述案件数据进行分类,得到所述案件数据的敏感数据和非敏感数据;调用预置权限信息库,对所述敏感数据进行权限信息匹配,得到所述敏感数据对应的权限信息;根据所述权限信息,判断所述目标函数是否具备使用所述敏感数据的权限;若所述目标函数具备使用所述敏感数据的权限,则通过所述目标函数对所述敏感数据和所述非敏感数据进行读取。本发明提高了敏感数据的安全性。
附图说明
图1为本发明实施例中敏感数据权限控制方法的第一个实施例示意图;
图2为本发明实施例中敏感数据权限控制方法的第二个实施例示意图;
图3为本发明实施例中敏感数据权限控制方法的第三个实施例示意图;
图4为本发明实施例中敏感数据权限控制装置的第一个实施例示意图;
图5为本发明实施例中敏感数据权限控制装置的第二个实施例示意图;
图6为本发明实施例中敏感数据权限控制设备的一个实施例示意图。
具体实施方式
本发明实施例提供了一种敏感数据权限控制方法、装置、设备及存储介质。本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”或“具有”及其任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于理解,下面对本发明实施例的具体流程进行描述,请参阅图1,本发明实施例中敏感数据权限控制方法的第一个实施例包括:
101、接收案件数据的读取请求,并确定读取请求对应的目标函数;
可以理解的是,本发明的执行主体可以为敏感数据权限控制装置,还可以是终端或者服务器,具体此处不做限定。本发明实施例以服务器为执行主体为例进行说明。
本实施例中,用户在客户端输入案件数据的读取请求,服务器通过客户端接收输入的案件数据读取请求,服务器接收案件数据的读取请求,对读取请求进行控件信息解析,得到读取请求对应的控件信息,基于预置控制流,识别控件信息对应的调用函数,得到目标函数。服务器采用控制流为粒度进行敏感数据使用权限的管理,控制流指的是在执行过程中所调用的函数序列,控制流中的多个函数是按照顺序依次被调用的,将控制流中当前任意一个被调用函数作为目标函数,得到目标函数。
102、获取目标函数的函数调用序列,并根据函数调用序列,对案件数据进行分类,得到案件数据的敏感数据和非敏感数据;
本实施例中,服务器获取目标函数的参数,参数包括的前向函数调用序列和后向函数调用序列,服务器根据前向函数调用序列和后向函数调用序列对案件数据进行分类,得到案件数据的敏感数据和非敏感数据。
本实施例中,敏感数据可以包括:用户的隐私数据。例如:用户在登录网站所使用的账号数据和密码数据,其中,账号数据为非敏感数据,密码数据为敏感数据。例如:用户的短信数据、通讯录数据、位置信息、摄像头数据为敏感数据。
103、调用预置权限信息库,对敏感数据进行权限信息匹配,得到敏感数据对应的权限信息;
本实施例中,服务器在预置的权限信息库中,对敏感数据进行权限信息匹配,匹配得到敏感数据对应的权限信息,其中,权限信息库中包括多个权限信息。权限信息例如:发送权限、访问权限和拒绝。
本实施例中,服务器对敏感数据进行权限信息匹配,得到敏感数据对应的权限信息,例如:若目标函数具备发送敏感数据的权限,则该敏感数据对应的权限信息为发送权限;若目标函数具备访问敏感数据的权限,则该敏感数据对应的权限信息为访问权限;若目标函数不具备使用敏感数据类型的权限,则该敏感数据对应的权限信息为拒绝。
可选的,在一实施例中,上述步骤103包括:
获取敏感数据的数据信息;将数据信息和预置的完整行为信息进行匹配,得到敏感行为信息;调用预置权限信息库,对敏感行为信息进行权限信息匹配,得到权限信息。
本实施例中,服务器根据数据信息和完整行为信息之间的映射关系,确定与敏感数据的数据信息相对应的完整行为信息,对完整行为信息进行匹配,若匹配成功,则可确定预置权限信息库中存在匹配的权限信息;若匹配不成功,则可确定预置的权限信息库中不存在匹配的权限信息,最后得到匹配成功的权限信息即为敏感数据对应的权限信息。
本实施例中,敏感数据的数据信息和完整行为信息之间得到映射关系,服务器根据完整行为信息采用静态分析方法对权限信息库进行权限信息匹配,得到敏感数据对应的权限信息。
104、根据权限信息,判断目标函数是否具备使用敏感数据的权限;
本实施例中,服务器判断权限信息在敏感权限控制记录表中是否有记录,若权限信息在敏感权限控制记录表中有记录,则继续判断目标函数是否具备使用敏感数据的权限;若权限信息在敏感权限控制记录表中没有记录,则可确定目标函数不具备使用敏感数据的权限。服务器在确定目标函数不具备使用敏感数据的权限后,将敏感数据生成对应的脱敏数据,数据脱敏之后服务器即可通过目标函数对脱敏数据和非敏感数据进行读取。
例如:若敏感数据为用户的账号密码数据中的密码数据,服务器在确定目标函数不具备使用敏感数据的权限后,将用户的密码数据进行去除,只展示用户的账户数据。
105、若目标函数具备使用敏感数据的权限,则通过目标函数对敏感数据和非敏感数据进行读取。
本实施例中,服务器判断的结果是目标函数具备使用敏感数据的权限,则通过目标函数对敏感数据和非敏感数据进行读取,在对敏感数据和非敏感数据进行读取之后,再根据目标函数确定敏感数据的数据流终点,并生成目标函数对应的授权信息;根据授权信息,对目标函数进行权限设置,并将设置完成的权限信息存储至预置权限管理库。
例如:若敏感数据为用户的地理位置数据,当服务器的判断结果为目标函数具备使用敏感数据的权限,则通过目标函数对用户的地理位置数据进行读取,以此来确定用户的地理位置。
本发明实施例中,接收案件数据的读取请求,并确定读取请求对应的目标函数;获取目标函数的函数调用序列,并根据函数调用序列,对案件数据进行分类,得到案件数据的敏感数据和非敏感数据;调用预置权限信息库,对敏感数据进行权限信息匹配,得到敏感数据对应的权限信息;根据权限信息,判断目标函数是否具备使用敏感数据的权限;若目标函数具备使用敏感数据的权限,则通过目标函数对敏感数据和非敏感数据进行读取。本发明提高了敏感数据的安全性。
请参阅图2,本发明实施例中敏感数据权限控制方法的第二个实施例包括:
201、接收案件数据的读取请求,并确定读取请求对应的目标函数;
本实施例中,步骤201的具体实施方式与上述步骤101类似,此处不再赘述。
202、获取目标函数对应的前向函数调用序列和后向函数调用序列,前向函数调用序列用于指示基于权限识别的预设敏感信息,后向函数调用序列用于指示预设敏感字词;
本实施例中,例如:若服务器获取到的目标函数的序列为:[敏感信息1,敏感信息2,敏感信息3,敏感字词4,敏感字词5,敏感字词6],则目标函数的前向函数调用序列为[敏感信息1,敏感信息2,敏感信息3],后向函数调用序列为:[敏感字词4,敏感字词5,敏感字词6]。
本实施例中,前向函数调用序列用于指示基于权限识别的预设敏感信息,例如:敏感信息是指银行数据中的用户登录账户和密码数据、用户账户中的数据等。后向函数调用序列用于指示预设敏感字词,例如:敏感字词是金融行业中常规的敏感字词,如贷款逾期、欠款逾期等。
203、将前向函数调用序列和后向函数调用序列进行拼接,得到拼接序列;
本实施例中,服务器提取前向函数调用序列的前向敏感字段序列,再提取后向函数调用序列的后向敏感字段序列,拼接前向敏感字段序列和后向敏感字段序列,得到拼接序列。
可选的,在一实施例中,上述步骤203包括:
提取前向函数调用序列的前向敏感字段序列和后向函数调用序列的后向敏感字段序列;对前向敏感字段序列和后向敏感字段序列进行拼接,得到拼接序列。
本实施例中,服务器提取前向函数调用序列的前向敏感字段序列和后向函数调用序列对应的后向敏感字段序列。例如:当函数调用序列为[babnb,cacca]时,其前向敏感字段序列为[b,a,b,n,b],后向敏感字段序列为[c,a,c,c,a],拼接前向敏感字段序列和后向敏感字段序列得到拼接字段数据为[b,a,b,n,b,c,a,c,c,a]。
204、通过拼接序列对案件数据进行敏感字段识别,得到敏感数据,并通过敏感数据对案件数据进行过滤,得到非敏感数据;
本实施例中,服务器根据拼接序列对案件数据中的敏感数据进行标识,得到敏感数据,再将没有标识的非敏感数据提取出来,得到非敏感数据。
本实施例中,敏感数据可以包括:用户的隐私数据。例如:用户在登录网站所使用的账号数据和密码数据,其中,账号数据为非敏感数据,密码数据为敏感数据。例如:用户的短信数据、通讯录数据、位置信息、摄像头数据为敏感数据。
205、调用预置权限信息库,对敏感数据进行权限信息匹配,得到敏感数据对应的权限信息;
206、根据权限信息,判断目标函数是否具备使用敏感数据的权限;
207、若目标函数具备使用敏感数据的权限,则通过目标函数对敏感数据和非敏感数据进行读取。
本实施例中,步骤205-207的具体实施方式与上述步骤103-105类似,此处不再赘述。
本发明实施例中,服务器获取目标函数对应的前向函数调用序列和后向函数调用序列,根据前向函数调用序列和后向函数调用序列,对案件数据进行数据流分类,得到拼接序列,分别提取拼接序列中的敏感数据和非敏感数据,得到案件数据的敏感数据和非敏感数据,服务器将敏感数据和非敏感数据分别提取出来之后,提高了对敏感数据权限判断的准确率。
请参阅图3,本发明实施例中敏感数据权限控制方法的第三个实施例包括:
301、接收案件数据的读取请求,并确定读取请求对应的目标函数;
302、获取目标函数的函数调用序列,并根据函数调用序列,对案件数据进行基于敏感数据和非敏感数据的分类,得到案件数据的敏感数据和非敏感数据;
303、调用预置权限信息库,对敏感数据进行权限信息匹配,得到敏感数据对应的权限信息;
本实施例中,步骤301-303的具体实施方式与上述步骤101-103类似,此处不再赘述。
304、调用预置敏感权限决策记录表,判断权限信息在敏感权限决策记录表中是否有记录;
本实施例中,服务器在每一个案件数据的读取请求在涉及到敏感数据的权限获取时都会被记录在敏感权限决策记录表中,然后对权限信息在敏感权限决策记录表进行比对有无重复,判断出权限信息在敏感权限决策记录表中是否有记录。
305、若有记录,则判断目标函数是否具备使用敏感数据的权限;
306、若无记录,则确定目标函数不具备使用敏感数据的权限;
本实施例中,服务器判断出权限信息在敏感权限控制记录表中有记录时,则继续判断目标函数是否具备使用敏感数据的权限;服务器判断出权限信息在敏感权限控制记录表中没有记录时,则可确定目标函数不具备使用敏感数据类型的权限,服务器对敏感数据进行脱敏处理,展示给用户的数据为脱敏数据和非敏感数据。
307、若目标函数具备使用敏感数据的权限,则通过目标函数对敏感数据和非敏感数据进行读取。
本实施例中,服务器在目标函数具备使用敏感数据的权限时,目标函数可以使用敏感数据,例如:目标函数具备敏感数据的发送权限和访问权限也就是说,若目标函数具备发送敏感数据的权限,则允许目标函数对敏感数据进行正常发送;若目标函数具备访问敏感数据的权限,则允许目标函数对敏感数据进行正常访问。
可选的,在一实施例中,敏感数据权限控制方法还包括:
若目标函数不具备使用敏感数据的权限,则根据权限信息,对敏感权限决策记录进行更新并生成敏感数据对应的脱敏数据;通过目标函数对脱敏数据和非敏感数据进行读取。
本实施例中,服务器在判断的结果为目标函数不具备使用敏感数据的权限时,需要将此时的权限信息写入敏感权限决策记录,对敏感权限决策记录进行更新,再对敏感数据进行脱敏,使敏感数据不被暴露,将脱敏后的数据和非敏感数据展示给用户。
可选的,在一实施例中,若目标函数不具备使用敏感数据的权限,则根据权限信息,对敏感权限决策记录进行更新并生成敏感数据对应的脱敏数据包括:若目标函数不具备使用敏感数据的权限,则根据权限信息,对敏感权限决策记录进行更新并获取敏感数据的组成格式和长度;根据组成格式和长度,确定敏感数据的数据类型;根据数据类型,从预置的多个脱敏算法中确定敏感数据对应的目标脱敏算法;采用目标脱敏算法,对敏感数据进行敏感字段脱敏,得到脱敏数据。
本实施例中,服务器在目标函数不具备使用敏感数据的权限时,对敏感数据进行数据脱敏,脱敏的具体过程为:服务器获取敏感数据的组成格式和长度,根据组成格式和长度,确定敏感数据的数据类型。
例如:日期数据的组成格式和长度对应的标准格式为XXXX-YY-ZZ,若原始敏感数据中日期字段对应的组成格式和长度为XXXX年YY月ZZ日或者XXXX/YY/ZZ,则需要采用日期字段对应的格式适配程序,将其转换成标准格式对应的字段数据,最后,基于所有无需进行格式转换的字段数据或者已经进行格式转换的字段数据,确定敏感数据对应的数据类型为日期数据。
本实施例中,服务器根据数据类型,从预置的多个脱敏算法中确定敏感数据对应的目标脱敏算法;采用目标脱敏算法,对敏感数据进行敏感字段脱敏,得到脱敏数据。此外,服务器在同一敏感数据的不同使用情况下,采用的脱敏算法也可能不同。
例如:当敏感数据是手机号时,根据不同脱敏程度的要求,服务器采用不同的脱敏算法,当登录名是手机号时,脱敏算法可以选择遮蔽算法,这种算法参数是脱敏地区编号/脱敏用户号码,当第三方服务商需要数据时或者测试开发环境需要保持字段间关系时,脱敏算法采用假名算法,即随机生成符合手机号编码规则的新手机号,保证业务的正常进行。
本实施例中,服务器在访问数据时,自动识别脱敏数据,通过脱敏策略对数据进行脱敏后输出。服务器在动态生成脱敏数据时,记录某数据类型的脱敏频率,对于脱敏频率较高的敏感数据,可在数据访问时对脱敏数据进行预先处理,可以提高数据访问的效率;同时也可以根据脱敏规则分别对数据进行脱敏存储。服务器在用户进行数据访问时,可根据访问范围首先对已脱敏的数据进行查询,再根据脱敏策略进行其他数据脱敏。
上面对本发明实施例中敏感数据权限控制方法进行了描述,下面对本发明实施例中敏感数据权限控制装置进行描述,请参阅图4,本发明实施例中敏感数据权限控制装置第一个实施例包括:
函数解析模块401,用于接收案件数据的读取请求,并确定所述读取请求对应的目标函数;
数据获取模块402,用于获取所述目标函数的函数调用序列,并根据所述函数调用序列,对所述案件数据进行分类,得到所述案件数据的敏感数据和非敏感数据;
信息匹配模块403,用于调用预置权限信息库,对所述敏感数据进行权限信息匹配,得到所述敏感数据对应的权限信息;
判断模块404,用于根据所述权限信息,判断所述目标函数是否具备使用所述敏感数据的权限;
读取模块405,用于若所述目标函数具备使用所述敏感数据的权限,则通过所述目标函数对所述敏感数据和所述非敏感数据进行读取。
请参阅图5,本发明实施例中敏感数据权限控制装置第二个实施例包括:
函数解析模块401,用于接收案件数据的读取请求,并确定所述读取请求对应的目标函数;
数据获取模块402,用于获取所述目标函数的函数调用序列,并根据所述函数调用序列,对所述案件数据进行分类,得到所述案件数据的敏感数据和非敏感数据;
信息匹配模块403,用于调用预置权限信息库,对所述敏感数据进行权限信息匹配,得到所述敏感数据对应的权限信息;
判断模块404,用于根据所述权限信息,判断所述目标函数是否具备使用所述敏感数据的权限;
读取模块405,用于若所述目标函数具备使用所述敏感数据的权限,则通过所述目标函数对所述敏感数据和所述非敏感数据进行读取。
可选的,数据获取模块402包括:
获取单元4021,用于获取所述目标函数对应的前向函数调用序列和后向函数调用序列;
拼接单元4022,用于将所述前向函数调用序列和所述后向函数调用序列进行拼接,得到拼接序列;
提取单元4023,用于通过所述拼接序列对所述案件数据进行敏感字段识别,得到敏感数据,并通过所述敏感数据对所述案件数据进行过滤,得到非敏感数据。
可选的,拼接单元4022还可以具体用于:
提取所述前向函数调用序列的前向敏感字段序列和所述后向函数调用序列的后向敏感字段序列;对所述前向敏感字段序列和所述后向敏感字段序列进行拼接,得到拼接序列。
可选的,判断模块404还可以具体用于:
调用预置敏感权限决策记录表,判断所述权限信息在所述敏感权限决策记录表中是否有记录;若有记录,则判断所述目标函数是否具备使用所述敏感数据的权限;若无记录,则确定所述目标函数不具备使用所述敏感数据的权限。
可选的,敏感数据权限控制装置还包括:
脱敏模块406,用于若所述目标函数不具备使用所述敏感数据的权限,则根据所述权限信息,对所述敏感权限决策记录进行更新并生成所述敏感数据对应的脱敏数据;
控制模块407,用于通过所述目标函数对所述脱敏数据和所述非敏感数据进行读取。
可选的,脱敏模块406还可以具体用于:
若所述目标函数不具备使用所述敏感数据的权限,则根据所述权限信息,对所述敏感权限决策记录进行更新并获取所述敏感数据的组成格式和长度;根据所述组成格式和所述长度,确定所述敏感数据的数据类型;根据所述数据类型,从预置的多个脱敏算法中确定所述敏感数据对应的目标脱敏算法;采用所述目标脱敏算法,对所述敏感数据进行敏感字段脱敏,得到脱敏数据。
可选的,信息匹配模块403还可以具体用于:
获取所述敏感数据的数据信息;将所述数据信息和预置的完整行为信息进行匹配,得到敏感行为信息;调用预置权限信息库,对所述敏感行为信息进行权限信息匹配,得到权限信息。
本发明实施例中,接收案件数据的读取请求,并确定所述读取请求对应的目标函数;获取所述目标函数的函数调用序列,并根据所述函数调用序列,对所述案件数据进行分类,得到所述案件数据的敏感数据和非敏感数据;调用预置权限信息库,对所述敏感数据进行权限信息匹配,得到所述敏感数据对应的权限信息;根据所述权限信息,判断所述目标函数是否具备使用所述敏感数据的权限;若所述目标函数具备使用所述敏感数据的权限,则通过所述目标函数对所述敏感数据和所述非敏感数据进行读取。本发明提高了敏感数据的安全性。
上面图4和图5从模块化功能实体的角度对本发明实施例中的敏感数据权限控制装置进行详细描述,下面从硬件处理的角度对本发明实施例中敏感数据权限控制设备进行详细描述。
图6是本发明实施例提供的一种敏感数据权限控制设备的结构示意图,该敏感数据权限控制设备500可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)510(例如,一个或一个以上处理器)和存储器520,一个或一个以上存储应用程序533或数据532的存储介质530(例如一个或一个以上海量存储设备)。其中,存储器520和存储介质530可以是短暂存储或持久存储。存储在存储介质530的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对敏感数据权限控制设备500中的一系列指令操作。更进一步地,处理器510可以设置为与存储介质530通信,在敏感数据权限控制设备500上执行存储介质530中的一系列指令操作。
敏感数据权限控制设备500还可以包括一个或一个以上电源540,一个或一个以上有线或无线网络接口550,一个或一个以上输入输出接口560,和/或,一个或一个以上操作系统531,例如Windows Serve,Mac OS X,Unix,Linux,FreeBSD等等。本领域技术人员可以理解,图6示出的敏感数据权限控制设备结构并不构成对敏感数据权限控制设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
本发明还提供一种敏感数据权限控制设备,所述敏感数据权限控制设备包括存储器和处理器,存储器中存储有计算机可读指令,计算机可读指令被处理器执行时,使得处理器执行上述各实施例中的所述敏感数据权限控制方法的步骤。
本发明还提供一种计算机可读存储介质,该计算机可读存储介质可以为非易失性计算机可读存储介质,该计算机可读存储介质也可以为易失性计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在计算机上运行时,使得计算机执行所述敏感数据权限控制方法的步骤。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种敏感数据权限控制方法,其特征在于,所述敏感数据权限控制方法包括:
接收案件数据的读取请求,并确定所述读取请求对应的目标函数;
获取所述目标函数的函数调用序列,并根据所述函数调用序列,对所述案件数据进行分类,得到所述案件数据的敏感数据和非敏感数据;
调用预置权限信息库,对所述敏感数据进行权限信息匹配,得到所述敏感数据对应的权限信息;
根据所述权限信息,判断所述目标函数是否具备使用所述敏感数据的权限;
若所述目标函数具备使用所述敏感数据的权限,则通过所述目标函数对所述敏感数据和所述非敏感数据进行读取。
2.根据权利要求1所述的敏感数据权限控制方法,其特征在于,所述获取所述目标函数的函数调用序列,并根据所述函数调用序列,对所述案件数据进行分类,得到所述案件数据的敏感数据和非敏感数据包括:
获取所述目标函数对应的前向函数调用序列和后向函数调用序列,所述前向函数调用序列用于指示基于权限识别的预设敏感信息,所述后向函数调用序列用于指示预设敏感字词;
将所述前向函数调用序列和所述后向函数调用序列进行拼接,得到拼接序列;
通过所述拼接序列对所述案件数据进行敏感字段识别,得到敏感数据,并通过所述敏感数据对所述案件数据进行过滤,得到非敏感数据。
3.根据权利要求2所述的敏感数据权限控制方法,其特征在于,所述根据将所述前向函数调用序列和所述后向函数调用序列进行拼接,得到拼接序列包括:
提取所述前向函数调用序列的前向敏感字段序列和所述后向函数调用序列的后向敏感字段序列;
对所述前向敏感字段序列和所述后向敏感字段序列进行拼接,得到拼接序列。
4.根据权利要求1所述的敏感数据权限控制方法,其特征在于,所述根据所述权限信息,判断所述目标函数是否具备使用所述敏感数据的权限包括:
调用预置敏感权限决策记录表,判断所述权限信息在所述敏感权限决策记录表中是否有记录;
若有记录,则判断所述目标函数是否具备使用所述敏感数据的权限;
若无记录,则确定所述目标函数不具备使用所述敏感数据的权限。
5.根据权利要求1所述的敏感数据权限控制方法,其特征在于,所述敏感数据权限控制方法还包括:
若所述目标函数不具备使用所述敏感数据的权限,则根据所述权限信息,对所述敏感权限决策记录进行更新并生成所述敏感数据对应的脱敏数据;
通过所述目标函数对所述脱敏数据和所述非敏感数据进行读取。
6.根据权利要求5所述的敏感数据权限控制方法,其特征在于,所述若所述目标函数不具备使用所述敏感数据的权限,则根据所述权限信息,对所述敏感权限决策记录进行更新并生成所述敏感数据对应的脱敏数据包括:
若所述目标函数不具备使用所述敏感数据的权限,则根据所述权限信息,对所述敏感权限决策记录进行更新并获取所述敏感数据的组成格式和长度;
根据所述组成格式和所述长度,确定所述敏感数据的数据类型;
根据所述数据类型,从预置的多个脱敏算法中确定所述敏感数据对应的目标脱敏算法;
采用所述目标脱敏算法,对所述敏感数据进行敏感字段脱敏,得到脱敏数据。
7.根据权利要求1所述的敏感数据权限控制方法,其特征在于,所述调用预置权限信息库,对所述敏感数据进行权限信息匹配,得到所述敏感数据对应的权限信息包括:
获取所述敏感数据的数据信息;
将所述数据信息和预置的完整行为信息进行匹配,得到敏感行为信息;
调用预置权限信息库,对所述敏感行为信息进行权限信息匹配,得到权限信息。
8.一种敏感数据权限控制装置,其特征在于,所述敏感数据权限控制装置包括:
函数解析模块,用于接收案件数据的读取请求,并确定所述读取请求对应的目标函数;
数据获取模块,用于获取所述目标函数的函数调用序列,并根据所述函数调用序列,对所述案件数据进行分类,得到所述案件数据的敏感数据和非敏感数据;
信息匹配模块,用于调用预置权限信息库,对所述敏感数据进行权限信息匹配,得到所述敏感数据对应的权限信息;
判断模块,用于根据所述权限信息,判断所述目标函数是否具备使用所述敏感数据的权限;
读取模块,用于若所述目标函数具备使用所述敏感数据的权限,则通过所述目标函数对所述敏感数据和所述非敏感数据进行读取。
9.一种敏感数据权限控制设备,其特征在于,所述敏感数据权限控制设备包括:存储器和至少一个处理器,所述存储器中存储有指令;
所述至少一个处理器调用所述存储器中的所述指令,以使得所述敏感数据权限控制设备执行如权利要求1-7中任一项所述的敏感数据权限控制方法。
10.一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,其特征在于,所述指令被处理器执行时实现如权利要求1-7中任一项所述的敏感数据权限控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110583295.XA CN113254962A (zh) | 2021-05-27 | 2021-05-27 | 敏感数据权限控制方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110583295.XA CN113254962A (zh) | 2021-05-27 | 2021-05-27 | 敏感数据权限控制方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113254962A true CN113254962A (zh) | 2021-08-13 |
Family
ID=77184779
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110583295.XA Pending CN113254962A (zh) | 2021-05-27 | 2021-05-27 | 敏感数据权限控制方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113254962A (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170228326A1 (en) * | 2016-02-10 | 2017-08-10 | Dolphin Integration | Processing device with sensitive data access mode |
CN110309661A (zh) * | 2019-04-19 | 2019-10-08 | 中国科学院信息工程研究所 | 一种基于控制流的敏感数据使用权限管理方法及装置 |
CN112131240A (zh) * | 2020-09-30 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 脏数据的处理方法和装置、存储介质及电子设备 |
-
2021
- 2021-05-27 CN CN202110583295.XA patent/CN113254962A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170228326A1 (en) * | 2016-02-10 | 2017-08-10 | Dolphin Integration | Processing device with sensitive data access mode |
CN110309661A (zh) * | 2019-04-19 | 2019-10-08 | 中国科学院信息工程研究所 | 一种基于控制流的敏感数据使用权限管理方法及装置 |
CN112131240A (zh) * | 2020-09-30 | 2020-12-25 | 腾讯科技(深圳)有限公司 | 脏数据的处理方法和装置、存储介质及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110084034B (zh) | 一种基于弱口令检测的密码设置方法、存储介质及电子设备 | |
CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
CN110610196A (zh) | 脱敏方法、系统、计算机设备和计算机可读存储介质 | |
CN111131221B (zh) | 接口校验的装置、方法及存储介质 | |
CN111488594B (zh) | 一种基于云服务器的权限检查方法、装置、存储介质及终端 | |
CN114640713B (zh) | 数据访问监视和控制 | |
CN109460653B (zh) | 基于规则引擎的验证方法、验证设备、存储介质及装置 | |
WO2022267084A1 (zh) | 基于大数据的网络安全检测方法及系统 | |
CN114861201A (zh) | 数据脱敏方法、数据脱敏服务器和数据脱敏系统 | |
CN108647102B (zh) | 异构系统的服务请求处理方法、装置和电子设备 | |
CN111783082A (zh) | 进程的追溯方法、装置、终端和计算机可读存储介质 | |
CN113254962A (zh) | 敏感数据权限控制方法、装置、设备及存储介质 | |
CN117035391A (zh) | 风险识别方法以及装置 | |
CN111090623A (zh) | 一种数据审计方法、装置、电子设备及存储介质 | |
CN116340989A (zh) | 一种数据脱敏方法、装置、电子设备及存储介质 | |
CN111241547A (zh) | 一种越权漏洞的检测方法、装置及系统 | |
CN112733104B (zh) | 账号注册请求处理方法及装置 | |
CN115827589A (zh) | 一种权限验证方法、装置、电子设备及存储介质 | |
CN116611058A (zh) | 一种勒索病毒检测方法及相关系统 | |
CN112380115A (zh) | 一种回归测试方法、装置、电子设备及存储介质 | |
CN110928754A (zh) | 运维审计方法、装置、设备及介质 | |
CN110955547A (zh) | 一种接口异常信息的管理方法、系统、设备及可读存储介质 | |
CN114861214B (zh) | 业务数据监控方法、设备、存储介质及装置 | |
CN112784291B (zh) | 大数据脱敏方法和系统 | |
CN116186785B (zh) | 日志脱敏方法、装置、设备、介质和程序产品 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20210813 |