CN115348082A - 数据脱敏方法、装置、计算机设备和存储介质 - Google Patents

数据脱敏方法、装置、计算机设备和存储介质 Download PDF

Info

Publication number
CN115348082A
CN115348082A CN202210972828.8A CN202210972828A CN115348082A CN 115348082 A CN115348082 A CN 115348082A CN 202210972828 A CN202210972828 A CN 202210972828A CN 115348082 A CN115348082 A CN 115348082A
Authority
CN
China
Prior art keywords
service party
service
call request
request
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210972828.8A
Other languages
English (en)
Inventor
胡文涛
罗剑平
陈鹏翼
乔媛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202210972828.8A priority Critical patent/CN115348082A/zh
Publication of CN115348082A publication Critical patent/CN115348082A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种数据脱敏方法、装置、计算机设备、存储介质和计算机程序产品。所述方法包括:在总线架构为企业服务总线架构的情况下,从调用请求相应报文的请求头字段中获取传输调用请求所采用的第一传输协议类型;在第一传输协议类型为http协议的情况下,通过判断调用请求相应报文的请求头字段中用于指示调用请求所经由网关转发的键值是否为空,确定调用请求是否经由网关转发;在调用请求经由网关转发的情况下,从调用请求相应报文的请求头字段中获取第一服务方与第二服务方各自的服务方标识;按照预设映射规则,将企业服务总线架构、http协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第一加密决策消息。

Description

数据脱敏方法、装置、计算机设备和存储介质
技术领域
本申请涉及信息安全技术领域,特别是涉及一种数据脱敏方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
近年对于数据安全和保密性的要求越来越高,特别近年下发多个跟金融机构相关的安全保密规章制度甚至法律,由此对于银行的it架构体系提出更高的挑战。传统单体it架构体系由于单服务的限制,无法满足现有的需求,于是引入了微服务架构,利用微服务架构的灵活性来解决这些问题。
在微服务框架下,目前金融机构的数据脱敏技术主要集中在静态脱敏和动态脱敏。相关技术中,在微服务框架下的动态脱敏的做法,通常是通过判断服务调用方所发出的调用请求是否经过微服务网关转发,从而确定所需返回的数据的加密规则。其中,服务调用方发出的请求经过微服务网关转发,对应一种加密规则;而服务调用方发出的调用请求不经过微服务网关转发,则对应另一种加密规则,上述脱敏过程存在灵活性不高的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提高脱敏过程的灵活性的数据脱敏方法、装置、计算机设备、计算机可读存储介质和计算机程序产品,涉及信息安全技术领域。
第一方面,本申请提供了一种数据脱敏方法。所述方法是基于第一服务方与第二服务方各自相应的边车服务实现的;所述方法包括:
在获取到第一服务方发送至第二服务方的调用请求的情况下,通过解析调用请求相应的报文,确定第一服务方与第二服务方之间的总线架构;
在总线架构为企业服务总线架构的情况下,通过请求头获取函数,从调用请求相应报文的请求头字段中获取传输调用请求所采用的第一传输协议类型;
在第一传输协议类型为http协议的情况下,通过判断调用请求相应报文的请求头字段中用于指示调用请求所经由网关转发的键值是否为空,确定调用请求是否经由网关转发;
在调用请求经由网关转发的情况下,从调用请求相应报文的请求头字段中获取第一服务方与第二服务方各自的服务方标识;
按照预设映射规则,将企业服务总线架构、http协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第一加密决策消息,向第二服务方返回第一加密决策消息;第一加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第一加密决策消息携带的加密方式类型对所需返回的数据进行加密。
在其中一个实施例中,通过判断调用请求相应报文的请求头字段中用于指示调用请求所经由网关转发的键值是否为空,确定调用请求是否经由网关转发之后,包括:
在调用请求不经由网关转发的情况下,按照预设映射规则,将企业服务总线架构以及第一服务方与第二服务方各自的服务方标识映射为相应的第二加密决策消息,向第二服务方返回第二加密决策消息;第二加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,不对所需返回的数据进行加密。
在其中一个实施例中,通过请求头获取函数,从调用请求相应报文的请求头字段中获取传输调用请求所采用的第一传输协议类型之后,包括:
在第一传输协议类型为https协议的情况下,从调用请求相应报文的请求头字段中获取第一服务方与第二服务方各自的服务方标识;
按照预设映射规则,将企业服务总线架构、https协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第三加密决策消息,向第二服务方返回第三加密决策消息;第三加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第三加密决策消息携带的加密方式类型对所需返回的数据进行加密。
在其中一个实施例中,通过解析调用请求相应的报文,确定第一服务方与第二服务方之间的总线架构之后,包括:
在总线架构为点对点架构的情况下,解析调用请求相应报文中的协议类型字段,获得传输调用请求所采用的第一传输协议类型;
在第一传输协议类型为tcp协议或者udp协议的情况下,解析调用请求的传输数据描述字段,获得网络体系架构类型、以及第一服务方与第二服务方各自的服务方标识;
按照预设映射规则,将点对点架构、网络体系架构类型、第一传输协议类型、以及第一服务方与第二服务方各自的服务方标识映射为相应的第四加密决策消息,向第二服务方返回第四加密决策消息;第四加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第四加密决策消息携带的加密方式类型对所需返回的数据进行加密。
在其中一个实施例中,所述方法还包括:
在未获取到第一服务方发送至第二服务方的调用请求的情况下,获取第二服务方针对调用请求所返回的目标数据;
通过对目标数据进行解析,获得第一服务方与第二服务方之间的总线架构,以及传输目标数据所采用的第二传输协议类型;
按照预设映射规则,将总线架构和第二传输协议类型映射为相应的第五加密决策消息,向第二服务方返回第五加密决策消息;第五加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第五加密决策消息携带的加密方式类型对所需返回的数据进行加密。
在其中一个实施例中,所述方法还包括:
在第一服务方接收到由第二服务方基于第三加密决策消息所返回的第一加密数据、且第一服务方的服务方标识和/或第二服务方的服务方标识不为预设映射规则所覆盖的服务方标识的情况下,按照预设映射规则,将企业服务总线架构、https协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第一解密决策消息,向第一服务方返回第一解密决策消息;第一解密决策消息不携带用于对第一加密数据进行解密的密钥。
第二方面,本申请还提供了一种数据脱敏装置。所述装置包括:
第一确定模块,用于在获取到第一服务方发送至第二服务方的调用请求的情况下,通过解析调用请求相应的报文,确定第一服务方与第二服务方之间的总线架构;
第一获取模块,用于在总线架构为企业服务总线架构的情况下,通过请求头获取函数,从调用请求相应报文的请求头字段中获取传输调用请求所采用的第一传输协议类型;
第二确定模块,用于在第一传输协议类型为http协议的情况下,通过判断调用请求相应报文的请求头字段中用于指示调用请求所经由网关转发的键值是否为空,确定调用请求是否经由网关转发;
第二获取模块,用于在调用请求经由网关转发的情况下,从调用请求相应报文的请求头字段中获取第一服务方与第二服务方各自的服务方标识;
第一映射模块,用于按照预设映射规则,将企业服务总线架构、http协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第一加密决策消息,向第二服务方返回第一加密决策消息;第一加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第一加密决策消息携带的加密方式类型对所需返回的数据进行加密。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
在获取到第一服务方发送至第二服务方的调用请求的情况下,通过解析调用请求相应的报文,确定第一服务方与第二服务方之间的总线架构;
在总线架构为企业服务总线架构的情况下,通过请求头获取函数,从调用请求相应报文的请求头字段中获取传输调用请求所采用的第一传输协议类型;
在第一传输协议类型为http协议的情况下,通过判断调用请求相应报文的请求头字段中用于指示调用请求所经由网关转发的键值是否为空,确定调用请求是否经由网关转发;
在调用请求经由网关转发的情况下,从调用请求相应报文的请求头字段中获取第一服务方与第二服务方各自的服务方标识;
按照预设映射规则,将企业服务总线架构、http协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第一加密决策消息,向第二服务方返回第一加密决策消息;第一加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第一加密决策消息携带的加密方式类型对所需返回的数据进行加密。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
在获取到第一服务方发送至第二服务方的调用请求的情况下,通过解析调用请求相应的报文,确定第一服务方与第二服务方之间的总线架构;
在总线架构为企业服务总线架构的情况下,通过请求头获取函数,从调用请求相应报文的请求头字段中获取传输调用请求所采用的第一传输协议类型;
在第一传输协议类型为http协议的情况下,通过判断调用请求相应报文的请求头字段中用于指示调用请求所经由网关转发的键值是否为空,确定调用请求是否经由网关转发;
在调用请求经由网关转发的情况下,从调用请求相应报文的请求头字段中获取第一服务方与第二服务方各自的服务方标识;
按照预设映射规则,将企业服务总线架构、http协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第一加密决策消息,向第二服务方返回第一加密决策消息;第一加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第一加密决策消息携带的加密方式类型对所需返回的数据进行加密。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
在获取到第一服务方发送至第二服务方的调用请求的情况下,通过解析调用请求相应的报文,确定第一服务方与第二服务方之间的总线架构;
在总线架构为企业服务总线架构的情况下,通过请求头获取函数,从调用请求相应报文的请求头字段中获取传输调用请求所采用的第一传输协议类型;
在第一传输协议类型为http协议的情况下,通过判断调用请求相应报文的请求头字段中用于指示调用请求所经由网关转发的键值是否为空,确定调用请求是否经由网关转发;
在调用请求经由网关转发的情况下,从调用请求相应报文的请求头字段中获取第一服务方与第二服务方各自的服务方标识;
按照预设映射规则,将企业服务总线架构、http协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第一加密决策消息,向第二服务方返回第一加密决策消息;第一加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第一加密决策消息携带的加密方式类型对所需返回的数据进行加密。
上述数据脱敏方法、装置、计算机设备、存储介质和计算机程序产品,一方面,由于基于第一服务方与第二服务方之间的总线架构、调用请求所采用的第一传输协议类型、调用请求是否经由网关转发、第一服务方与第二服务方各自的服务方标识这几个维度的信息确定所需返回的数据的加密策略,与只基于调用请求是否经由网关转发这一维度的信息确定所需返回的数据的加密策略的方式相比,用于确定加密策略的信息具有更高的细粒度,从而实现更加灵活的对所需返回的数据进行脱敏,进而提高脱敏过程的灵活性,解决脱敏过程灵活性不高的问题。另一方面,由于上述方法基于第二服务方的边车服务实现,在第一加密决策消息相应的获取逻辑需要进行更新的情况下,只需要对第二服务方的边车服务进行更新,而第二服务方只需负责业务逻辑处理,仍然可以正常提供服务,从而提高了第二服务方的可用性。
附图说明
图1为一个实施例中数据脱敏方法的流程示意图;
图2为一个实施例中数据脱敏方法中微服务之间的连接关系示意图;
图3为一个实施例中数据脱敏方法的流程示意图;
图4为又一个实施例中数据脱敏方法的流程示意图;
图5为另一个实施例中数据脱敏方法中微服务之间的连接关系示意图;
图6为另一个实施例中数据脱敏方法的流程示意图;
图7为一个实施例中数据脱敏装置的结构框图;
图8为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
可以理解,本申请所使用的术语“第一”、“第二”等可在本文中用于描述各种专业名词,但除非特别说明,这些专业名词不受这些术语限制。这些术语仅用于将一个专业名词与另一个专业名词区分。举例来说,在不脱离本申请的范围的情况下,第一传输协议类型与第二传输协议类型可以相同可以不同。
近年对于数据安全和保密性的要求越来越高,特别近年下发多个跟金融机构相关的安全保密规章制度甚至法律,由此对于银行的it架构体系提出更高的挑战。传统单体it架构体系由于单服务的限制,无法满足现有的需求,于是引入了微服务架构,利用微服务架构的灵活性来解决这些问题。
在微服务框架下,目前金融机构的数据脱敏技术主要集中在静态脱敏和动态脱敏。相关技术中,在微服务框架下的动态脱敏的做法,通常是通过判断服务调用方所发出的调用请求是否经过微服务网关转发,从而确定所需返回的数据的加密规则。其中,服务调用方发出的请求经过微服务网关转发,对应一种加密规则;而服务调用方发出的调用请求不经过微服务网关转发,则对应另一种加密规则,上述脱敏过程存在灵活性不高的问题。
针对上述相关技术中存在的问题,本发明实施例提供了一种数据脱敏方法,该方法可以应用于服务器中,也可以应用于终端,还可以应用于包括终端和服务器的系统,并通过终端和服务器的交互实现。其中,服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。需要说明的是,本申请各实施例中提及的“多个”等的数量均指代“至少两个”的数量,比如,“多个”指“至少两个”。
在一个实施例中,如图1所示,提供了一种数据脱敏方法,本实施例以该方法应用于服务器进行举例说明,该方法是基于第一服务方与第二服务方各自相应的边车服务实现的;该方法包括以下步骤:
102、在获取到第一服务方发送至第二服务方的调用请求的情况下,通过解析调用请求相应的报文,确定第一服务方与第二服务方之间的总线架构。
第一服务方和第二服务方均为微服务。
为了便于理解,对第一服务方与第二服务方各自相应的边车服务进行解释说明,第二服务方的边车服务是指:通过在第二服务方旁边部署服务网格代理的方式,处理服务发现、流量管理、负载均衡、健康检查、断路器、故障转移和认证方式等等功能。对第一服务方的边车服务的解释说明可参考对第二服务方的边车服务的解释说明,此处不再赘述。
另外,第一加密决策消息的获取可以基于第二服务方的边车服务实现。之所以不是直接基于第二服务方实现,是因为在第一加密决策消息相应的获取逻辑需要进行更新的情况下,基于第二服务方的边车服务来实现这种方式,只需要对第二服务方的边车服务进行更新,而第二服务方只需负责业务逻辑处理,第二服务方仍然可以正常提供服务,从而提高了第二服务方的可用性。
104、在总线架构为企业服务总线架构的情况下,通过请求头获取函数,从调用请求相应报文的请求头字段中获取传输调用请求所采用的第一传输协议类型。
为了便于理解,在总线架构为企业服务总线架构的情况下,微服务之间的连接关系可以如图2所示。需要说明的是,图2中的节点可以为具备独立处理能力的分布式集群。如图2所示,步骤104至步骤110可以基于第二服务方的边车服务中的脱敏拦截器实现,本申请实施例对此不作具体限定。
其中,请求头获取函数可以是httpServletRequest.getHeader(key)。具体地,步骤104中的请求头字段可以是X-forwarded-proto键值对,相应地,可以通过X-forwarded-proto键值对获取传输调用请求所采用的第一传输协议类型。
106、在第一传输协议类型为http协议的情况下,通过判断调用请求相应报文的请求头字段中用于指示调用请求所经由网关转发的键值是否为空,确定调用请求是否经由网关转发。
如图2所示,可以在微服务网关增加脱敏过滤器,脱敏过滤器在经过该网关的请求中注入自定义的header请求头。例如,微服务网关为zuul网关,实现在经过该网关的请求中注入自定义的header请求头的语句可以为:RequestContext.addZuulRequestHeader(name:”X-forwarded-prefix”,value:”/zuur-Gzone102”)。
需要说明的是,之所以赋值为/zuur-Gzone102这种跟具体网关服务器关联的名称,是为了便于以后可以扩展更细粒度的加解密规则。
可以理解的是,由于脱敏过滤器会在经过该网关的请求中注入自定义的header请求头,因此,在调用请求经由网关转发的情况下,调用请求相应报文的请求头字段中用于指示调用请求所经由网关转发的键值就不会为空。
相应地,通过判断调用请求相应报文的请求头字段中用于指示调用请求所经由网关转发的键值是否为空,确定调用请求是否经由网关转发可以包括:在调用请求的请求头中用于指示调用请求所经由网关转发的键值为空的情况下,确定调用请求未经由网关转发,在调用请求的请求头中用于指示调用请求所经由网关转发的键值不为空的情况下,确定调用请求经由网关转发。
需要说明的是,步骤106中的请求头字段可以是x-forwarded-prefix,在调用请求经由网关转发的情况下,x-forwarded-prefix字段中用于指示调用请求所经由网关转发的键值可以为/zuur-Gzone102,在调用请求不经由网关转发的情况下,x-forwarded-prefix字段中用于指示调用请求所经由网关转发的键值可以为空。
结合图2可以理解的是,在第一传输协议类型为http协议且调用请求经由网关转发的情况下,表示第一服务方和第二服务方之间的调用为内部核心业务系统间调用。在第一传输协议类型为http协议且调用请求不经由网关转发的情况下,表示第一服务方和第二服务方之间的调用为节点内部微服务调用。
108、在调用请求经由网关转发的情况下,从调用请求相应报文的请求头字段中获取第一服务方与第二服务方各自的服务方标识。
步骤108中的请求头字段可以是X-b3-spanid键值对,相应地,可以通过X-b3-spanid键值对获取第一服务方与第二服务方各自的服务方标识。
110、按照预设映射规则,将企业服务总线架构、http协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第一加密决策消息,向第二服务方返回第一加密决策消息;第一加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第一加密决策消息携带的加密方式类型对所需返回的数据进行加密。
其中,预设映射规则可以如表1所示:
表1
Figure BDA0003797479130000101
表1中的ESB表示企业服务总线架构,P2P表示点对点架构,调用方表示第一服务方,提供方表示第二服务方。需要说明的是,表1只是给出了某一应用场景下预设映射规则的示例,在实际应用场景中,预设映射规则可以结合应用场景和客户需求进行设定。应用场景不同或者客户需求不同,设定的预设映射规则也不同。
在预设映射规则为表1的情况下,第一加密决策消息携带的加密方式类型可以为3DES。其中,3DES为三重数据加密算法。
上述数据脱敏方法中,通过在获取到第一服务方发送至第二服务方的调用请求的情况下,通过解析调用请求相应的报文,确定第一服务方与第二服务方之间的总线架构;在总线架构为企业服务总线架构的情况下,通过请求头获取函数,从调用请求相应报文的请求头字段中获取传输调用请求所采用的第一传输协议类型;在第一传输协议类型为http协议的情况下,通过判断调用请求相应报文的请求头字段中用于指示调用请求所经由网关转发的键值是否为空,确定调用请求是否经由网关转发;在调用请求经由网关转发的情况下,从调用请求相应报文的请求头字段中获取第一服务方与第二服务方各自的服务方标识;按照预设映射规则,将企业服务总线架构、http协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第一加密决策消息,向第二服务方返回第一加密决策消息;第一加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第一加密决策消息携带的加密方式类型对所需返回的数据进行加密。
一方面,由于基于第一服务方与第二服务方之间的总线架构、调用请求所采用的第一传输协议类型、调用请求是否经由网关转发、第一服务方与第二服务方各自的服务方标识这几个维度的信息确定所需返回的数据的加密策略,与只基于调用请求是否经由网关转发这一维度的信息确定所需返回的数据的加密策略的方式相比,用于确定加密策略的信息具有更高的细粒度,从而实现更加灵活的对所需返回的数据进行脱敏,进而提高脱敏过程的灵活性,解决脱敏过程灵活性不高的问题。
另一方面,由于上述方法基于第二服务方的边车服务实现,在第一加密决策消息相应的获取逻辑需要进行更新的情况下,只需要对第二服务方的边车服务进行更新,而第二服务方只需负责业务逻辑处理,仍然可以正常提供服务,从而提高了第二服务方的可用性。
在一个实施例中,通过判断调用请求相应报文的请求头字段中用于指示调用请求所经由网关转发的键值是否为空,确定调用请求是否经由网关转发之后,包括:
在调用请求不经由网关转发的情况下,按照预设映射规则,将企业服务总线架构以及第一服务方与第二服务方各自的服务方标识映射为相应的第二加密决策消息,向第二服务方返回第二加密决策消息;第二加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,不对所需返回的数据进行加密。
其中,第二加密决策消息的获取同样可以基于第二服务方的边车服务实现。
可以理解的是,在调用请求不经由网关转发的情况下,第一服务方和第二服务方之间的调用为内部核心业务系统间调用,不需要对所需返回的数据进行加密。在预设映射规则为表1的情况下,第二加密决策消息可以基于表1中的加解密规则ID为6的加解密规则确定。
本实施例中,通过在调用请求不经由网关转发的情况下,按照预设映射规则,将企业服务总线架构以及第一服务方与第二服务方各自的服务方标识映射为相应的第二加密决策消息,向第二服务方返回第二加密决策消息;第二加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,不对所需返回的数据进行加密。
由于基于第一服务方与第二服务方之间的总线架构、调用请求所采用的第一传输协议类型、调用请求是否经由网关转发、第一服务方与第二服务方各自的服务方标识这几个维度的信息确定所需返回的数据的加密策略,与只基于调用请求是否经由网关转发这一维度的信息确定所需返回的数据的加密策略的方式相比,用于确定加密策略的信息具有更高的细粒度,从而实现更加灵活的对所需返回的数据进行脱敏,进而提高脱敏过程的灵活性,解决脱敏过程灵活性不高的问题。
在一个实施例中,如图3所示,步骤104之后,包括:
302、在第一传输协议类型为https协议的情况下,从调用请求相应报文的请求头字段中获取第一服务方与第二服务方各自的服务方标识。
可以理解的是,在第一传输协议类型为https协议的情况下,第一服务方与第二服务方之间的调用关系为内部核心业务系统与外部系统之间的调用。
其中,对步骤302中的请求头字段的解释可参考上述步骤108中对请求头字段的解释,此处不再赘述。
304、按照预设映射规则,将企业服务总线架构、https协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第三加密决策消息,向第二服务方返回第三加密决策消息;第三加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第三加密决策消息携带的加密方式类型对所需返回的数据进行加密。
其中,第三加密决策消息的获取同样可以基于第二服务方的边车服务实现。
在预设映射规则为表1的情况下,第三加密决策消息携带的加密方式类型可以为非对称加密,具体地,可以采用RSA对所需返回的数据进行加密。
本实施例中,由于基于第一服务方与第二服务方之间的总线架构、调用请求所采用的第一传输协议类型、第一服务方与第二服务方各自的服务方标识这几个维度的信息确定所需返回的数据的加密策略,与只基于调用请求是否经由网关转发这一维度的信息确定所需返回的数据的加密策略的方式相比,用于确定加密策略的信息具有更高的细粒度,从而实现更加灵活的对所需返回的数据进行脱敏,进而提高脱敏过程的灵活性,解决脱敏过程灵活性不高的问题。
在一个实施例中,如图4所示,步骤102之后,包括:
402、在总线架构为点对点架构的情况下,解析调用请求相应报文中的协议类型字段,获得传输调用请求所采用的第一传输协议类型。
为了便于理解,在总线架构为点对点架构的情况下,微服务之间的连接关系可以如图5所示。
404、在第一传输协议类型为tcp协议或者udp协议的情况下,解析调用请求的传输数据描述字段,获得网络体系架构类型、以及第一服务方与第二服务方各自的服务方标识。
具体地,对调用请求的传输数据描述字段流量特征识别,获得网络体系架构类型、以及第一服务方与第二服务方各自的服务方标识。
406、按照预设映射规则,将点对点架构、网络体系架构类型、第一传输协议类型、以及第一服务方与第二服务方各自的服务方标识映射为相应的第四加密决策消息,向第二服务方返回第四加密决策消息;第四加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第四加密决策消息携带的加密方式类型对所需返回的数据进行加密。
其中,第四加密决策消息的获取同样可以基于第二服务方的边车服务实现。
在预设映射规则为表1的情况下,第四加密决策消息携带的加密方式类型可以为ECC。其中,ECC为椭圆加密算法,由于ECC在对私钥的处理(解密和签名)以及密钥生成速度远比其他算法要快,相同长度的密钥具备更高的安全强度,所以非常适合点对点架构。
本实施例中,由于基于第一服务方与第二服务方之间的总线架构、调用请求所采用的第一传输协议类型、网络体系架构类型以及第一服务方与第二服务方各自的服务方标识这几个维度的信息确定所需返回的数据的加密策略,与只基于调用请求是否经由网关转发这一维度的信息确定所需返回的数据的加密策略的方式相比,用于确定加密策略的信息具有更高的细粒度,从而实现更加灵活的对所需返回的数据进行脱敏,进而提高脱敏过程的灵活性,解决脱敏过程灵活性不高的问题。
在一个实施例中,如图6所示,该方法还包括:
602、在未获取到第一服务方发送至第二服务方的调用请求的情况下,获取第二服务方针对调用请求所返回的目标数据。
其中,在未获取到第一服务方发送至第二服务方的调用请求的情况下,第一服务方与第二服务方通过图5中的连线进行交互。
需要说明的是,图5中的Helper为连线,通过连线进行服务间数据的交换。其中,连线可以看做服务之间的联系,一个逻辑连接定义为从一种服务的某个输出队列到另一种服务的某个输入队列的连接关系。一个连线就是一个逻辑连接的实例化,负责将某个具体服务提供方的输出队列的数据搬运到下游节点。通过连线,服务之间的通信实现了异步化,为面向微服务的点对点架构的典型实现。连线还负责流量控制和负载均衡,能够根据下游节点的处理能力,自动均衡负载。
604、通过对目标数据进行解析,获得第一服务方与第二服务方之间的总线架构,以及传输目标数据所采用的第二传输协议类型。
其中,总线架构可以为点对点架构,第二传输协议类型为http协议。
606、按照预设映射规则,将总线架构和第二传输协议类型映射为相应的第五加密决策消息,向第二服务方返回第五加密决策消息;第五加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第五加密决策消息携带的加密方式类型对所需返回的数据进行加密。
其中,第五加密决策消息的获取同样可以基于第二服务方的边车服务实现。
在预设映射规则为表1的情况下,第五加密决策消息携带的加密方式类型可以为ECC。
可以理解的是,在未获取到第一服务方发送至第二服务方的调用请求的情况下,由于第一服务方与第二服务方之间的调用关系定义在连线中,通信为异步化的关系,第二服务方不知道第一服务方的服务方标识,因此,在该情况下,直接基于总线架构和第二传输协议类型确定五加密决策消息。
本实施例中,由于在未获取到第一服务方发送至第二服务方的调用请求的情况下,基于第一服务方与所述第二服务方之间的总线架构、传输所述目标数据所采用的第二传输协议类型这两个维度的信息确定所需返回的数据的加密策略,与只基于调用请求是否经由网关转发这一维度的信息确定所需返回的数据的加密策略的方式相比,用于确定加密策略的信息具有更高的细粒度,从而实现更加灵活的对所需返回的数据进行脱敏,解决脱敏过程灵活度不高的问题。
在一个实施例中,该方法还包括:
在第一服务方接收到由第二服务方基于第三加密决策消息所返回的第一加密数据、且第一服务方的服务方标识和/或第二服务方的服务方标识不为预设映射规则所覆盖的服务方标识的情况下,按照预设映射规则,将企业服务总线架构、https协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第一解密决策消息,向第一服务方返回第一解密决策消息;第一解密决策消息不携带用于对第一加密数据进行解密的密钥。
其中,第一解密决策消息的获取可以基于第一服务方的边车服务实现。之所以不是直接基于第一服务方实现,是因为在第一解密决策消息相应的获取逻辑需要进行更新的情况下,基于第一服务方的边车服务来实现这种方式,只需要对第一服务方的边车服务进行更新,而第一服务方只需负责业务逻辑处理,第一服务方仍然可以正常提供服务,从而提高了第一服务方的可用性。
在上述情况下,代表第一服务方为外部用户,第一服务方无对应密钥进行解密,第一服务方只能看到无意义的第一加密数据。
本实施例中,一方面,由于基于第一服务方与第二服务方之间的总线架构、调用请求所采用的第一传输协议类型以及第一服务方与第二服务方各自的服务方标识这几个维度的信息确定第一加密数据的解密策略,与只基于调用请求是否经由网关转发这一维度的信息确定第一加密数据的解密策略的方式相比,用于确定解密策略的信息具有更高的细粒度,从而实现更加灵活的对第一加密数据进行解密,进而提高解密过程的灵活性。
另一方面,由于在第一服务方的服务方标识和/或第二服务方的服务方标识不为预设映射规则所覆盖的服务方标识的情况下,第一服务方为外部用户。因此,为了提高第二服务方的安全性,按照预设映射规则,将企业服务总线架构、https协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第一解密决策消息,第一解密决策消息不携带用于对第一加密数据进行解密的密钥,保证在第一服务方的服务方标识和/或第二服务方的服务方标识不为预设映射规则所覆盖的服务方标识的情况下,第一服务方无对应密钥进行解密。使得第一服务方只能看到无意义的第一加密数据,从而提高第二服务方的安全性。
在一个实施例中,该方法还包括:
在第一服务方接收到由第二服务方基于第五加密决策消息所返回的第二加密数据的情况下,获取第一服务方与第二服务方各自的服务方标识。
具体地,可以根据第一服务方的取数逻辑获取第一服务方与第二服务方各自的服务方标识。其中,取数逻辑可以为第一服务方的执行代码。
按照预设映射规则,将总线架构、第二传输协议类型以及第一服务方与第二服务方各自的服务方标识映射为相应的第二解密决策消息,向第一服务方返回第二解密决策消息;第二解密决策消息用于指示第一服务方在接收到由第二服务方基于第五加密决策消息所返回的第二加密数据时,按照第二解密决策消息携带的解密方式类型对第二加密数据进行解密。
其中,在预设映射规则为表1的情况下,第二解密决策消息携带的解密方式类型可以为ECC。
本实施例中,由于基于第一服务方与第二服务方之间的总线架构、第二传输协议类型以及第一服务方与第二服务方各自的服务方标识这几个维度的信息确定第二加密数据的解密策略,与只基于调用请求是否经由网关转发这一维度的信息确定第二加密数据的解密策略的方式相比,用于确定解密策略的信息具有更高的细粒度,从而实现更加灵活的对第二加密数据进行解密,进而提高解密过程的灵活性。
在一个实施例中,该方法还包括:
在第一服务方接收到由第二服务方基于第三加密决策消息所返回的第三加密数据的情况下,按照预设映射规则,将企业服务总线架构、http协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第三解密决策消息,向第一服务方返回第三解密决策消息;第三解密决策消息用于指示第一服务方在接收到由第二服务方基于第一加密决策消息所返回的第三加密数据时,按照第三解密决策消息携带的解密方式类型对第三加密数据进行解密。
其中,在预设映射规则为表1的情况下,第三解密决策消息携带的解密方式类型可以为3DES。需要说明的是,3DES为三重数据加密算法。
本实施例中,由于基于第一服务方与第二服务方之间的总线架构、第一传输协议类型以及第一服务方与第二服务方各自的服务方标识这几个维度的信息确定第三加密数据的解密策略,与只基于调用请求是否经由网关转发这一维度的信息确定第三加密数据的解密策略的方式相比,用于确定解密策略的信息具有更高的细粒度,从而实现更加灵活的对第三加密数据进行解密,进而提高解密过程的灵活性。
在一个实施例中,该方法还包括:
在第一服务方接收到由第二服务方基于第三加密决策消息所返回的第四加密数据、且第一服务方与第二服务方各自的服务方标识均为预设映射规则所覆盖的服务方标识的情况下,按照预设映射规则,将企业服务总线架构、https协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第四解密决策消息,向第一服务方返回第四解密决策消息;第四解密决策消息用于指示第一服务方在接收到由第二服务方基于第三加密决策消息所返回的第四加密数据时,按照第四解密决策消息携带的解密方式类型对第四加密数据进行解密。
其中,在预设映射规则为表1的情况下,第四解密决策消息携带的解密方式类型可以为RSA。其中,RSA为非对称密码算法。
本实施例中,由于基于第一服务方与第二服务方之间的总线架构、第一传输协议类型以及第一服务方与第二服务方各自的服务方标识这几个维度的信息确定第四加密数据的解密策略,与只基于调用请求是否经由网关转发这一维度的信息确定第四加密数据的解密策略的方式相比,用于确定解密策略的信息具有更高的细粒度,从而实现更加灵活的对第四加密数据进行解密,进而提高解密过程的灵活性。
在一个实施例中,该方法还包括:
在第一服务方接收到由第二服务方基于第四加密决策消息所返回的第五加密数据的情况下,按照预设映射规则,将点对点架构、网络体系架构类型、第一传输协议类型、以及第一服务方与第二服务方各自的服务方标识映射为相应的第五解密决策消息,向第一服务方返回第五解密决策消息;第五解密决策消息用于指示第一服务方在接收到由第二服务方基于第四加密决策消息所返回的第五加密数据时,按照第五解密决策消息携带的解密方式类型对第五加密数据进行解密。
其中,在预设映射规则为表1的情况下,第五解密决策消息携带的解密方式类型可以为ECC。
需要说明的是,第二解密决策消息、第三解密决策消息、第四解密决策消息和第五解密决策消息的获取同样可以基于第一服务方的边车服务实现。
本实施例中,由于基于第一服务方与第二服务方之间的总线架构、第一传输协议类型、网络体系架构类型以及第一服务方与第二服务方各自的服务方标识这几个维度的信息确定第五加密数据的解密策略,与只基于调用请求是否经由网关转发这一维度的信息确定第五加密数据的解密策略的方式相比,用于确定解密策略的信息具有更高的细粒度,从而实现更加灵活的对第五加密数据进行解密,进而提高解密过程的灵活性。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的数据脱敏方法的数据脱敏装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个数据脱敏装置实施例中的具体限定可以参见上文中对于数据脱敏方法的限定,在此不再赘述。
在一个实施例中,如图7所示,提供了一种数据脱敏装置,包括:第一确定模块702、第一获取模块704、第二确定模块706、第二获取模块708和第一映射模块710,其中:
第一确定模块702,用于在获取到第一服务方发送至第二服务方的调用请求的情况下,通过解析调用请求相应的报文,确定第一服务方与第二服务方之间的总线架构;
第一获取模块704,用于在总线架构为企业服务总线架构的情况下,通过请求头获取函数,从调用请求相应报文的请求头字段中获取传输调用请求所采用的第一传输协议类型;
第二确定模块706,用于在第一传输协议类型为http协议的情况下,通过判断调用请求相应报文的请求头字段中用于指示调用请求所经由网关转发的键值是否为空,确定调用请求是否经由网关转发;
第二获取模块708,用于在调用请求经由网关转发的情况下,从调用请求相应报文的请求头字段中获取第一服务方与第二服务方各自的服务方标识;
第一映射模块710,用于按照预设映射规则,将企业服务总线架构、http协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第一加密决策消息,向第二服务方返回第一加密决策消息;第一加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第一加密决策消息携带的加密方式类型对所需返回的数据进行加密。
在一个实施例中,该装置,还包括:
第二映射模块,用于在调用请求不经由网关转发的情况下,按照预设映射规则,将企业服务总线架构以及第一服务方与第二服务方各自的服务方标识映射为相应的第二加密决策消息,向第二服务方返回第二加密决策消息;第二加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,不对所需返回的数据进行加密。
在一个实施例中,该装置,还包括:
第三获取模块,用于在第一传输协议类型为https协议的情况下,从调用请求相应报文的请求头字段中获取第一服务方与第二服务方各自的服务方标识;
第三映射模块,用于按照预设映射规则,将企业服务总线架构、https协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第三加密决策消息,向第二服务方返回第三加密决策消息;第三加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第三加密决策消息携带的加密方式类型对所需返回的数据进行加密。
在一个实施例中,该装置,还包括:
第四获取模块,用于在总线架构为点对点架构的情况下,解析调用请求相应报文中的协议类型字段,获得传输调用请求所采用的第一传输协议类型;
第五获取模块,用于在第一传输协议类型为tcp协议或者udp协议的情况下,解析调用请求的传输数据描述字段,获得网络体系架构类型、以及第一服务方与第二服务方各自的服务方标识;
第四映射模块,用于按照预设映射规则,将点对点架构、网络体系架构类型、第一传输协议类型、以及第一服务方与第二服务方各自的服务方标识映射为相应的第四加密决策消息,向第二服务方返回第四加密决策消息;第四加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第四加密决策消息携带的加密方式类型对所需返回的数据进行加密。
在一个实施例中,该装置,还包括:
第六获取模块,用于在未获取到第一服务方发送至第二服务方的调用请求的情况下,获取第二服务方针对调用请求所返回的目标数据;
第七获取模块,用于通过对目标数据进行解析,获得第一服务方与第二服务方之间的总线架构,以及传输目标数据所采用的第二传输协议类型;
第五映射模块,用于按照预设映射规则,将总线架构和第二传输协议类型映射为相应的第五加密决策消息,向第二服务方返回第五加密决策消息;第五加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第五加密决策消息携带的加密方式类型对所需返回的数据进行加密。
在一个实施例中,该装置,还包括:
第六映射模块,用于在第一服务方接收到由第二服务方基于第三加密决策消息所返回的第一加密数据、且第一服务方的服务方标识和/或第二服务方的服务方标识不为预设映射规则所覆盖的服务方标识的情况下,按照预设映射规则,将企业服务总线架构、https协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第一解密决策消息,向第一服务方返回第一解密决策消息;第一解密决策消息不携带用于对第一加密数据进行解密的密钥。
上述数据脱敏装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图8示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储预设映射规则、第一加密决策消息、第二加密决策消息、第三加密决策消息、第四加密决策消息、第五加密决策消息、第一解密决策消息至第四解密决策消息数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种数据脱敏方法。
本领域技术人员可以理解,图8中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
在获取到第一服务方发送至第二服务方的调用请求的情况下,通过解析调用请求相应的报文,确定第一服务方与第二服务方之间的总线架构;在总线架构为企业服务总线架构的情况下,通过请求头获取函数,从调用请求相应报文的请求头字段中获取传输调用请求所采用的第一传输协议类型;在第一传输协议类型为http协议的情况下,通过判断调用请求相应报文的请求头字段中用于指示调用请求所经由网关转发的键值是否为空,确定调用请求是否经由网关转发;在调用请求经由网关转发的情况下,从调用请求相应报文的请求头字段中获取第一服务方与第二服务方各自的服务方标识;按照预设映射规则,将企业服务总线架构、http协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第一加密决策消息,向第二服务方返回第一加密决策消息;第一加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第一加密决策消息携带的加密方式类型对所需返回的数据进行加密。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:在调用请求不经由网关转发的情况下,按照预设映射规则,将企业服务总线架构以及第一服务方与第二服务方各自的服务方标识映射为相应的第二加密决策消息,向第二服务方返回第二加密决策消息;第二加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,不对所需返回的数据进行加密。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:在第一传输协议类型为https协议的情况下,从调用请求相应报文的请求头字段中获取第一服务方与第二服务方各自的服务方标识;按照预设映射规则,将企业服务总线架构、https协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第三加密决策消息,向第二服务方返回第三加密决策消息;第三加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第三加密决策消息携带的加密方式类型对所需返回的数据进行加密。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:在总线架构为点对点架构的情况下,解析调用请求相应报文中的协议类型字段,获得传输调用请求所采用的第一传输协议类型;在第一传输协议类型为tcp协议或者udp协议的情况下,解析调用请求的传输数据描述字段,获得网络体系架构类型、以及第一服务方与第二服务方各自的服务方标识;按照预设映射规则,将点对点架构、网络体系架构类型、第一传输协议类型、以及第一服务方与第二服务方各自的服务方标识映射为相应的第四加密决策消息,向第二服务方返回第四加密决策消息;第四加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第四加密决策消息携带的加密方式类型对所需返回的数据进行加密。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:在未获取到第一服务方发送至第二服务方的调用请求的情况下,获取第二服务方针对调用请求所返回的目标数据;通过对目标数据进行解析,获得第一服务方与第二服务方之间的总线架构,以及传输目标数据所采用的第二传输协议类型;按照预设映射规则,将总线架构和第二传输协议类型映射为相应的第五加密决策消息,向第二服务方返回第五加密决策消息;第五加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第五加密决策消息携带的加密方式类型对所需返回的数据进行加密。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:在第一服务方接收到由第二服务方基于第三加密决策消息所返回的第一加密数据、且第一服务方的服务方标识和/或第二服务方的服务方标识不为预设映射规则所覆盖的服务方标识的情况下,按照预设映射规则,将企业服务总线架构、https协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第一解密决策消息,向第一服务方返回第一解密决策消息;第一解密决策消息不携带用于对第一加密数据进行解密的密钥。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
在获取到第一服务方发送至第二服务方的调用请求的情况下,通过解析调用请求相应的报文,确定第一服务方与第二服务方之间的总线架构;在总线架构为企业服务总线架构的情况下,通过请求头获取函数,从调用请求相应报文的请求头字段中获取传输调用请求所采用的第一传输协议类型;在第一传输协议类型为http协议的情况下,通过判断调用请求相应报文的请求头字段中用于指示调用请求所经由网关转发的键值是否为空,确定调用请求是否经由网关转发;在调用请求经由网关转发的情况下,从调用请求相应报文的请求头字段中获取第一服务方与第二服务方各自的服务方标识;按照预设映射规则,将企业服务总线架构、http协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第一加密决策消息,向第二服务方返回第一加密决策消息;第一加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第一加密决策消息携带的加密方式类型对所需返回的数据进行加密。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:在调用请求不经由网关转发的情况下,按照预设映射规则,将企业服务总线架构以及第一服务方与第二服务方各自的服务方标识映射为相应的第二加密决策消息,向第二服务方返回第二加密决策消息;第二加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,不对所需返回的数据进行加密。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
在获取到第一服务方发送至第二服务方的调用请求的情况下,通过解析调用请求相应的报文,确定第一服务方与第二服务方之间的总线架构;在总线架构为企业服务总线架构的情况下,通过请求头获取函数,从调用请求相应报文的请求头字段中获取传输调用请求所采用的第一传输协议类型;在第一传输协议类型为http协议的情况下,通过判断调用请求相应报文的请求头字段中用于指示调用请求所经由网关转发的键值是否为空,确定调用请求是否经由网关转发;在调用请求经由网关转发的情况下,从调用请求相应报文的请求头字段中获取第一服务方与第二服务方各自的服务方标识;按照预设映射规则,将企业服务总线架构、http协议以及第一服务方与第二服务方各自的服务方标识映射为相应的第一加密决策消息,向第二服务方返回第一加密决策消息;第一加密决策消息用于指示第二服务方在接收到第一服务方发送的调用请求时,按照第一加密决策消息携带的加密方式类型对所需返回的数据进行加密。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种数据脱敏方法,其特征在于,所述方法是基于第一服务方与第二服务方各自相应的边车服务实现的;所述方法包括:
在获取到所述第一服务方发送至所述第二服务方的调用请求的情况下,通过解析所述调用请求相应的报文,确定所述第一服务方与所述第二服务方之间的总线架构;
在所述总线架构为企业服务总线架构的情况下,通过请求头获取函数,从所述调用请求相应报文的请求头字段中获取传输所述调用请求所采用的第一传输协议类型;
在所述第一传输协议类型为http协议的情况下,通过判断所述调用请求相应报文的请求头字段中用于指示所述调用请求所经由网关转发的键值是否为空,确定所述调用请求是否经由网关转发;
在所述调用请求经由网关转发的情况下,从所述调用请求相应报文的请求头字段中获取所述第一服务方与所述第二服务方各自的服务方标识;
按照预设映射规则,将所述企业服务总线架构、所述http协议以及所述第一服务方与所述第二服务方各自的服务方标识映射为相应的第一加密决策消息,向所述第二服务方返回所述第一加密决策消息;所述第一加密决策消息用于指示所述第二服务方在接收到所述第一服务方发送的调用请求时,按照所述第一加密决策消息携带的加密方式类型对所需返回的数据进行加密。
2.根据权利要求1所述的方法,其特征在于,所述通过判断所述调用请求相应报文的请求头字段中用于指示所述调用请求所经由网关转发的键值是否为空,确定所述调用请求是否经由网关转发之后,包括:
在所述调用请求不经由网关转发的情况下,按照所述预设映射规则,将所述企业服务总线架构以及所述第一服务方与所述第二服务方各自的服务方标识映射为相应的第二加密决策消息,向第二服务方返回所述第二加密决策消息;所述第二加密决策消息用于指示所述第二服务方在接收到所述第一服务方发送的调用请求时,不对所需返回的数据进行加密。
3.根据权利要求1所述的方法,其特征在于,所述通过请求头获取函数,从所述调用请求相应报文的请求头字段中获取传输所述调用请求所采用的第一传输协议类型之后,包括:
在所述第一传输协议类型为https协议的情况下,从所述调用请求相应报文的请求头字段中获取所述第一服务方与所述第二服务方各自的服务方标识;
按照所述预设映射规则,将所述企业服务总线架构、所述https协议以及所述第一服务方与所述第二服务方各自的服务方标识映射为相应的第三加密决策消息,向所述第二服务方返回所述第三加密决策消息;所述第三加密决策消息用于指示所述第二服务方在接收到所述第一服务方发送的调用请求时,按照所述第三加密决策消息携带的加密方式类型对所需返回的数据进行加密。
4.根据权利要求1所述的方法,其特征在于,所述通过解析所述调用请求相应的报文,确定所述第一服务方与所述第二服务方之间的总线架构之后,包括:
在所述总线架构为点对点架构的情况下,解析所述调用请求相应报文中的协议类型字段,获得传输所述调用请求所采用的所述第一传输协议类型;
在所述第一传输协议类型为tcp协议或者udp协议的情况下,解析所述调用请求的传输数据描述字段,获得网络体系架构类型、以及所述第一服务方与所述第二服务方各自的服务方标识;
按照所述预设映射规则,将所述点对点架构、所述网络体系架构类型、所述第一传输协议类型、以及所述第一服务方与所述第二服务方各自的服务方标识映射为相应的第四加密决策消息,向所述第二服务方返回所述第四加密决策消息;所述第四加密决策消息用于指示所述第二服务方在接收到所述第一服务方发送的调用请求时,按照所述第四加密决策消息携带的加密方式类型对所需返回的数据进行加密。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在未获取到第一服务方发送至第二服务方的调用请求的情况下,获取所述第二服务方针对所述调用请求所返回的目标数据;
通过对所述目标数据进行解析,获得所述第一服务方与所述第二服务方之间的总线架构,以及传输所述目标数据所采用的第二传输协议类型;
按照预设映射规则,将所述总线架构和所述第二传输协议类型映射为相应的第五加密决策消息,向所述第二服务方返回所述第五加密决策消息;所述第五加密决策消息用于指示所述第二服务方在接收到所述第一服务方发送的调用请求时,按照所述第五加密决策消息携带的加密方式类型对所需返回的数据进行加密。
6.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在所述第一服务方接收到由所述第二服务方基于所述第三加密决策消息所返回的第一加密数据、且第一服务方的服务方标识和/或所述第二服务方的服务方标识不为所述预设映射规则所覆盖的服务方标识的情况下,按照所述预设映射规则,将所述企业服务总线架构、所述https协议以及所述第一服务方与所述第二服务方各自的服务方标识映射为相应的第一解密决策消息,向所述第一服务方返回所述第一解密决策消息;所述第一解密决策消息不携带用于对所述第一加密数据进行解密的密钥。
7.一种数据脱敏装置,其特征在于,所述装置包括:
第一确定模块,用于在获取到所述第一服务方发送至所述第二服务方的调用请求的情况下,通过解析所述调用请求相应的报文,确定所述第一服务方与所述第二服务方之间的总线架构;
第一获取模块,用于在所述总线架构为企业服务总线架构的情况下,通过请求头获取函数,从所述调用请求相应报文的请求头字段中获取传输所述调用请求所采用的第一传输协议类型;
第二确定模块,用于在所述第一传输协议类型为http协议的情况下,通过判断所述调用请求相应报文的请求头字段中用于指示所述调用请求所经由网关转发的键值是否为空,确定所述调用请求是否经由网关转发;
第二获取模块,用于在所述调用请求经由网关转发的情况下,从所述调用请求相应报文的请求头字段中获取所述第一服务方与所述第二服务方各自的服务方标识;
第一映射模块,用于按照预设映射规则,将所述企业服务总线架构、所述http协议以及所述第一服务方与所述第二服务方各自的服务方标识映射为相应的第一加密决策消息,向所述第二服务方返回所述第一加密决策消息;所述第一加密决策消息用于指示所述第二服务方在接收到所述第一服务方发送的调用请求时,按照所述第一加密决策消息携带的加密方式类型对所需返回的数据进行加密。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
CN202210972828.8A 2022-08-15 2022-08-15 数据脱敏方法、装置、计算机设备和存储介质 Pending CN115348082A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210972828.8A CN115348082A (zh) 2022-08-15 2022-08-15 数据脱敏方法、装置、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210972828.8A CN115348082A (zh) 2022-08-15 2022-08-15 数据脱敏方法、装置、计算机设备和存储介质

Publications (1)

Publication Number Publication Date
CN115348082A true CN115348082A (zh) 2022-11-15

Family

ID=83951289

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210972828.8A Pending CN115348082A (zh) 2022-08-15 2022-08-15 数据脱敏方法、装置、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN115348082A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116545776A (zh) * 2023-07-06 2023-08-04 中航金网(北京)电子商务有限公司 数据传输方法、装置、计算机设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116545776A (zh) * 2023-07-06 2023-08-04 中航金网(北京)电子商务有限公司 数据传输方法、装置、计算机设备及存储介质
CN116545776B (zh) * 2023-07-06 2023-10-03 中航金网(北京)电子商务有限公司 数据传输方法、装置、计算机设备及存储介质

Similar Documents

Publication Publication Date Title
CN112926982B (zh) 一种交易数据处理方法、装置、设备及存储介质
Mukherjee et al. Flexible IoT security middleware for end-to-end cloud–fog communication
CN110881063B (zh) 一种隐私数据的存储方法、装置、设备及介质
Badsha et al. Privacy preserving location-aware personalized web service recommendations
CN108280761B (zh) 增信方分配方法、装置、计算机设备和存储介质
CN111131412B (zh) 实现5g移动端计算的方法、系统、移动端及云端服务器
CN110580411B (zh) 基于智能合约的权限查询配置方法及装置
Murugesan et al. Analysis on homomorphic technique for data security in fog computing
US20230198765A1 (en) Multi-directional zero-knowledge attestation systems and methods
CN115495768A (zh) 基于区块链及多方安全计算的涉密信息处理方法及系统
US11470065B2 (en) Protection of private data using an enclave cluster
CN109379345A (zh) 敏感信息传输方法及系统
CN112287364A (zh) 数据共享方法、装置、系统、介质及电子设备
EP3306855A1 (en) Authentication device, authentication system, authentication method, and program
CN112560072A (zh) 基于区块链的密钥管理方法、装置、介质及设备
CN115348082A (zh) 数据脱敏方法、装置、计算机设备和存储介质
CN113067822B (zh) 基于区块链的信息处理方法、装置、设备、介质和产品
Zaghloul et al. d-emr: Secure and distributed electronic medical record management
Liao Design of the secure smart home system based on the blockchain and cloud service
Bandara et al. Blockchain and self-sovereign identity empowered cyber threat information sharing platform
Agarkhed et al. Security and privacy for data storage service scheme in cloud computing
CN115409511B (zh) 一种基于区块链的个人信息保护系统
CN113034140B (zh) 实现智能合约加密的方法、系统、设备及存储介质
CN115021919A (zh) Ssl协商方法、装置、设备及计算机可读存储介质
CN114996730A (zh) 一种数据加解密系统、方法、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination