WO2022166829A1

WO2022166829A1 - 一种数据遮掩、还原方法、系统以及计算机设备和介质

Info

Publication number: WO2022166829A1
Application number: PCT/CN2022/074713
Authority: WO
Inventors: 施瑜; 刘源
Original assignee: 易保网络技术(上海)有限公司
Priority date: 2021-02-03
Filing date: 2022-01-28
Publication date: 2022-08-11
Also published as: CN114861196A

Abstract

本公开提供了一种数据遮掩方法、系统以及计算机设备和介质，其中所述方法包括：识别数据中的待加密字段；将所述待加密字段进行加密，以获得第一字段；以及利用掩码将所述第一字段进行遮掩，以获得包含所述掩码的更新数据，其中，所述第一字段与所述更新数据相关联。

Description

一种数据遮掩、还原方法、系统以及计算机设备和介质

技术领域

本发明涉及计算机技术领域，具体而言，涉及数据处理中的遮掩、还原方法、系统以及相关联的计算机设备和介质。

背景技术

随着互联网应用的普及和人们对互联网的依赖，诸如手机号、身份证号等的客户敏感数据泄漏问题也日益凸显。近年来，常有新闻报道互联网公司，甚至一些传统行业的公司出现大范围敏感信息泄漏等数据安全问题，严重影响公司的形象，甚至导致严重的经营问题。

随着信息泄漏带来的影响不断发酵，数据安全的问题被越来越多的个人、企业以及政府所重视。相关法规和政策随之不断出台。数据泄漏不再只是影响个人的问题，已经严重危及到企业的生存和发展，甚至影响到行业前景。

通常情况下，为了保护数据的安全，当数据在客户端与服务器之间进行传输的过程中，都会采用加密的手段保护数据信息的安全。然而，加密后的数据往往不宜处理和识别。

因此，需要一种新的数据处理方法、设备及计算机介质，以提升数据的安全性。

发明内容

按照本发明的一个方面，提供了一种数据遮掩方法，其中所述数据遮掩方法包括：识别数据中的待加密字段；将所述待加密字段进行加密，以获得第一字段；以及利用掩码将所述第一字段进行遮掩，以获得包含所述掩码的更新数据，其中，所述第一字段与所述更新数据相关联。

进一步地，在根据本发明的一个方面中，在所述方法中所述数据是从网络架构的前端所接收的。

进一步地，在根据本发明的一个方面中，所述方法还包括：判断所述数据是否属于需加密的敏感数据。

进一步地，在根据本发明的一个方面中，所述方法还包括：存储和/或处理包含所述掩码的更新数据。

进一步地，在根据本发明的一个方面中，所述方法还包括：存储和/或处理加密的所述第一字段。

进一步地，在根据本发明的一个方面中，所述方法还包括：所述第一字段通过储存在所述后端的动态标签与所述更新数据相关联。

进一步地，在根据本发明的一个方面中，将所述待加密字段进行加密，以获得第一字段包括：采用AES算法加密所述待加密字段。

按照本发明的另一个方面，提供了一种数据还原方法，其中所述方法包括：识别数据中包含的掩码；获取与所述数据相关联的第一字段；将所述第一字段解密；以及将解密的所述第一字段替换所述数据中包含的掩码以还原成无掩码数据。

进一步地，在根据本发明的另一个方面中，所述方法还包括：通过读取存储在后端的动态标签获取与包含掩码的所述数据相关联的第一字段。

进一步地，在根据本发明的另一个方面中，所述方法还包括：将所述无掩码数据与从网络架构的前端所接收的同类型数据进行比较，如果比较结果不同，则使用所接收的同类型数据替换所述无掩码数据。

进一步地，在根据本发明的另一个方面中，将所述第一字段解密包括：采用AES算法解密所述第一字段。

按照本发明的仍有另一个方面，提供了一种数据遮掩系统，其中所述系统包括：识别模块，所述识别模块识别数据中的待加密字段；加密模块，所述加密模块将所述待加密字段进行加密，以获得第一字段；以及遮掩模块，所述遮掩模块利用掩码将所述第一字段进行遮掩，以获得包含所述掩码的更新数据，其中，所述第一字段与所述更新数据相关联。

进一步地，在根据本发明的仍有另一个方面中，在所述数据遮掩系统中所述数据是从网络架构的前端所接收的。

进一步地，在根据本发明的仍有另一个方面中，所述系统还包括：判断模块，所述判断模块判断所述数据是否属于需加密的敏感数据。

进一步地，在根据本发明的仍有另一个方面中，所述系统还包括：数据处理模块，所述数据处理模块存储和/或处理包含所述掩码的更新数据。

进一步地，在根据本发明的仍有另一个方面中，所述数据处理模块还存储和/或处理加密的所述第一字段。

进一步地，在根据本发明的仍有另一个方面中，在数据遮掩系统中所述第一字段通过储存在所述后端的动态标签与所述更新数据相关联。

进一步地，在根据本发明的仍有另一个方面中，所述加密模块采用AES算法加密所述待加密字段。

按照本发明的还有另一个方面，提供了一种数据还原系统，所述系统包括：识别模块，所述识别模块识别数据中包含的掩码；获取模块，所述获取模块获取与所述数据相关联的第一字段；解密模块，所述解密模块将所述第一字段解密；以及替换模块，所述替换模块将解密的所述第一字段替换所述数据中包含的掩码以还原成无掩码数据。

进一步地，在根据本发明的还有另一个方面中，所述系统通过读取存储在后端的动态标签获取与包含掩码的所述数据相关联的第一字段。

进一步地，在根据本发明的还有另一个方面中，所述系统还包括：比较模块，所述比较模块将所述无掩码数据与从网络架构的前端所接收的同类型数据进行比较，如果比较结果不同，则使用所接收的同类型数据替换所述无掩码数据。

进一步地，在根据本发明的还有另一个方面中，所述解密模块采用AES算法解密所述第一字段。

按照本发明的又一个方面，提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现根据本发明的一个方面的方法的步骤。

按照本发明的再一个方面，提供一种记录介质，其上存储有计算机程序，该程序被计算机执行以实现根据本发明的一个方面的方法的步骤。

相对于现有技术，本发明的一个或多个实施例可以获得如下有益效果的一个或多个：

1)通过使用遮掩的数据，数据可以在前端与后端的传输中保持隐蔽，从而避免泄露关键信息；

2)通过提供遮掩的数据，原有数据的数据结构被保持，由此可以在后端中对遮掩的数据进行处理；

3)通过将遮掩的数据和解密的字段组合，可以将数据在遮掩和还原状态中转换，以应对不同处理要求；

4)通过将后端还原的数据与从前端输入的数据进行比较，可以将更新后端的数据。

附图说明

图1示出了根据本发明的一个实施例的数据加密方法1000。

图2示出了根据本发明的一个实施例的数据解密方法2000。

图3示出了根据本发明的一个实施例的数据加密系统3000。

图4示出了根据本发明的一个实施例的数据解密系统4000。

图5是根据本发明的一个实施例的本文所述方法的计算机设备的示例框图5000。

具体实施方式

以下将结合附图对本发明涉及的数据加解密方法、设备以及计算机介质作进一步的详细描述。需要注意的是，以下的具体实施方式是示例性而非限制的，其旨在提供对本发明的基本了解，并不旨在确认本发明的关键或决定性的要素或限定所要保护的范围。

下文参考本发明实施例的方法和装置的框图说明、框图和/或流程图来描述本发明。将理解这些流程图说明和/或框图的每个框、以及流程图说明和/或框图的组合可以由计算机程序指令来实现。可以将这些计算机程序指令提供给通用计算机、专用计算机或其它可编程数据处理设备的处理器以构成机器，以便由计算机或其它可编程数据处理设备的处理器执行的这些指令创建用于实施这些流程图和/或框和/或一个或多个流程框图中指定的功能/操作的部件。

可以将这些计算机程序指令存储在计算机可读存储器中，这些指令可以指示计算机或其它可编程处理器以特定方式实现功能，以便存储在计算机可读存储器中的这些指令构成包含实施流程图和/或框图的一个或多个框中指定的功能/操作的指令部件的制作产品。

可以将这些计算机程序指令加载到计算机或其它可编程数据处理器上以使一系列的操作步骤在计算机或其它可编程处理器上执行，以便构成计算机实现的进程，以使计算机或其它可编程数据处理器上执行的这些指令提供用于实施此流程图和/或框图的一个或多个框中指定的功能或操作的步骤。还应该注意在一些备选实现中，框中所示的功能/操作可以不按流程图所示的次序来发生。例如，依次示出的两个框实际可以基本同时地执行或这些框有时可以按逆序执行，具体取决于所涉及的功能/操作。

如背景技术所述的，在现有的计算机网络架构中，敏感数据的传输并不安全。然而常规方法中对敏感数据进行加密的方法，使得加密后的密文无法被应用于计算机系统进行计算和应用。为了解决这个问题，本公开提出了一种数据加解密方法、设备以及计算机介质。本发明所涉及的方法、设备以及计算机介质可以用于网络架构的前端和后端之间的传输，其中网络架构的前端包括但不限于网页前台、用户界面等，并且网络架构的后端包括但不限于后台服务器、数据库等。

图1示出了根据本发明的一个实施例的数据加密方法1000。如图1中所示，数据加密方法1000包括可选的判断步骤S101(以虚线示出)。在可选的判断步骤S101中，根据数据类型判断数据是否属于需加密的敏感数据。判断可以由部署在前端或者后端的判断模块来执行，并且敏感数据的数据类型可以由用户自行定义。所述数据类型包括但不限于手机号码、身份证号码、银行账户号码等敏感信息。

在判断数据属于敏感数据需要加密后，方法进入识别步骤S102。在识别步骤S102中，将识别数据中的待加密字段。待加密字段可以由用户自行定义，其中，对不同数据类型可以设置不同的待加密字段。以示例的方式，对于身份证号码，可以设置身份证号码中的7-14位需要加密处理，从而防止用户的出生年月信息遭到暴露，同时也可以设置身份证号码中的1-6位需要加密处理，从而防止用户的属地信息遭到暴露。

在识别数据中的待加密字段后，方法进入加密步骤S103。在加密步骤S103中，将在步骤S104中识别的待加密字段进行加密，以获得第一字段，即，经过加密的待加密字段。加密可以以本领域公知的加密方式进行，诸如AES加密。加密所需密钥可以为定义在计算机系统内的公共密钥，也可以为自定义密钥。

在加密需加密的字段后，方法进入遮掩步骤S104。在遮掩步骤S104中，将利用掩码将所述第一字段进行遮掩，以获得包含所述掩码的更新数据。具体而言，用诸如*码、#码的掩码替换该部分字段，以生成部分遮掩的更新数据。由于更新数据仍保留了原数据的数据结构，例如原数据的数据位数，以及原数据的部分内容，因此该数据可以应用于后端或者数据库的数据处理。同时数据的关键信息被遮掩，使得使用数据的用户无法直接读取数据中的关键信息(诸如生日、属地等)，从而防止信息泄露。

并且在遮掩步骤S104中，所述第一字段与所述更新数据相关联。可以通过动态标签或记录的方法，使经遮掩的所述数据与在步骤S103中加密的第一字段相关联，由此在后续的还原中可以通过经遮掩的所述数据找到所替换的加密的字段，并将字段解密替换回到数据中。

可选地，方法1000还可以包括数据处理步骤S105。在数据处理步骤S105中，可以单独存储在步骤S104中取得的更新数据并对该数据进行其他处理，诸如发送到其他位置以供使用者调用。也可以将步骤S103中取得的加密的第一字段存储并处理，诸如发送到其他位置，以供使用者调用。更新数据以及加密的第一字段可以分别存储于不同位置，仅通过相关联标签相关联。也可以将经遮掩的数据以及经加密的字段存储在同一位置，从而在还原读取是将两者同时读取。

在如上所述的加密中，可以使用AES加密算法进行加密，也可以使用其他本领域公知的加密算法对字段进行加密。在加密中，加密密钥可以是公共密钥，也可以是用户自定义的私有密钥。

图2示出了根据本发明的一个实施例的数据还原方法2000。如图2中所示，数据还原方法2000开始于识别步骤S201。在识别步骤S201中，可以识别数据中是否包含掩码。如果存在掩码，则确认数据需要还原。具体而言，需要还原数据中所包含的掩码。

在识别数据中是否存在掩码后，方法200前进到获取步骤S202。在步骤S202中，可以获取与所述数据相关联的第一字段。可以基于动态标签或者记录来获取与所述数据相关联的第一字段。

在获取第一字段后，方法200前进到解密步骤S203。在解密步骤S203中，可以将第一字段解密。解密可以采用加密相对应的解密方法。以示例的方式，如果加密采用AES算法加密，则解密可以采用AES算法解密。在解密中，解密密钥可以是对应的公共密钥，也可以在加密中由用户自定义的私有密钥。

在解密第一字段后，方法200前进到替换步骤S204。在替换步骤S204中，可以将解密的所述第一字段替换所述数据中包含的掩码，以还原成无掩码数据，从而获得还原的数据。

此外，在得到无掩码数据后，方法2000还可选地可以包括比较步骤。在可选的比较步骤S205中，将所述无掩码数据与从网络架构的前端所接收的同类型数据进行比较，如果比较结果不同，则认为针对该数据类型(例如，用户身份证号码)重新输入了数据，从而使用所接收的同类型数据替换所述无掩码数据。

图3示出了根据本发明的一个实施例的数据加密系统3000。如图3中所示，数据加密系统300包括可选的判断模块301(以虚线示出)、识别模块302、加密模块303、遮掩模块304、可选的数据处理模块305(以虚线示出)。在可选的判断模块301中，判断模块301根据数据类型判断数据是否属于需加密的敏感数据。判断模块301可以部署在前端或者后端中，并且敏感数据的数据类型可以由用户自行定义。所述数据类型包括但不限于手机号码、身份证号码、银行账户号码等敏感信息。

在数据加密系统3000中，识别模块302识别数据中存在待加密字段。待加密字段可以由用户自行定义，其中，对不同数据类型可以设置不同的待加密字段。以示例的方式，对于身份证号码，可以设置身份证号码中的7-14位需要加密处理，从而防止用户的出生年月信息遭到暴露，同时也可以设置身份证号码中的1-6位需要加密处理，从而防止用户的属地信息遭到暴露。

在数据加密系统3000中，加密模块303将在识别模块302中识别的待加密字段进行加密，以获得第一字段，即，经过加密的待加密字段。加密可以以本领域公知的加密方式进行，诸如AES加密。加密所需密钥可以为定义在计算机系统内的公共密钥，也可以为自定义密钥。

在数据加密系统3000中，遮掩模块304中将利用掩码将所述第一字段进行遮掩，以获得包含所述掩码的更新数据。具体而言，用诸如*码、#码的掩码替换该部分字段，以生成部分遮掩的更新数据。由于更新数据仍保留了原数据的数据结构，例如原数据的数据位数，以及原数据的部分内容，因此该数据可以应用于后端或者数据库的数据处理。同时数据的关键信息被遮掩，使得使用数据的用户无法直接读取数据中的关键信息(诸如生日、属地等)，从而防止信息泄露。

在数据加密系统3000中，所述第一字段与所述更新数据相关联。可以通过动态标签或记录的方法，使经遮掩的所述数据与在加密模块303中加密的第一字段相关联，由此在后续的还原中可以通过经遮掩的所述数据找到所替换的加密的字段，并将字段解密替换回到数据中。

可选地，系统3000还可以包括数据处理模块305。数据处理模块305可以单独存储在遮掩模块304中取得的更新数据并将该数据进行处理，诸如发送到其他位置，以供使用者调用。也可以将加密模块303中取得的加密的第一字段存储并处理，诸如发送到其他位置，以供使用者调用。更新数据以及加密的第一字段可以分别存储于不同位置，仅通过相关联标签相关联。也可以将经遮掩的数据以及经加密的字段存储在同一位置，从而在还原读取是将两者同时读取。

图4示出了根据本发明的一个实施例的数据解密系统4000。如图4中所示，数据解密系统4000包括识别模块401、获取模块402、解密模块403、替换模块404、可选的比较模块405(以虚线示出)。如图4中所示，在识别模块401中，可以识别数据中是否存在掩码。如果存在经遮掩的字段，则确认数据需要还原。具体而言，数据中的掩码需要还原。

在获取模块402中，可以获取与所述数据相关联的第一字段。可以基于动态标签或者记录来获取与所述数据相关联的第一字段。

在解密模块403中，可以将相关联的第一字段解密。解密可以采用加密相对应的解密方法。以示例的方式，如果加密采用AES算法加密，则解密可以采用AES算法解密。在解密中，解密密钥可以是对应的公共密钥，也可以在加密中由用户自定义的私有密钥。

在替换模块404中，可以将解密的所述第一字段替换掩码，从而得到无掩码数据。

此外，系统4000还可选地可以包括比较模块。在可选的比较模块405中，所述比较模块将所述无掩码数据与从网络架构的前端所接收的同类型数据进行比较，如果比较结果不同，则认为针对该数据类型(例如，用户身份证号码)重新输入了数据，从而使用所接收的同类型数据替换所述无掩码数据。

虽然在此之前对数据遮掩和还原的方法的实施例进行了说明，但是本发明不限定于这些实施例，也可以将本发明实施为以下方式：用于执行上述方法的计算机设备或者用于执行上述方法的计算机程序的方式或者用于实现上述装置的功能的计算机程序的方式或者记录有该计算机程序的计算机可读取的记录介质的方式。

在图5中示出了根据本发明的一个实施例的用于如上所述的一种数据加解密方法的计算机设备。如图5中所示，计算机设备5000包括存储器501和处理器502。虽然未图示，但是计算机设备5000还包括存储在存储器501上并可在处理器502上运行的计算机程序。所述处理器执行所述程序时同时实现图1、图2所示的步骤。

另外，如上所述，本发明也可以被实施为一种记录介质，在其中存储有用于使计算机执行如上所述的数据加解密方法的程序。

在此，作为记录介质，能采用盘类(例如，磁盘、光盘等)、卡类(例如，存储卡、光卡等)、半导体存储器类(例如，ROM、非易失性存储器等)、带类(例如，磁带、盒式磁带等)等各种方式的记录介质。

通过在这些记录介质中记录使计算机执行上述实施例中的数据加解密方法的计算机程序或使计算机实现上述实施例中的数据加解密方法的功能的计算机程序并使其流通，从而能使成本的低廉化以及可携带性、通用性提高。

而且，在计算机上装载上述记录介质，由计算机读出在记录介质中记录的计算机程序并储存在存储器中，计算机所具备的处理器(CPU：Central Processing Unit(中央处理单元)、MPU：Micro Processing Unit(微处理单元))从存储器读出该计算机程序并执行，由此，能执行上述实施例中的数据遮掩、还原方法并能实现上述实施例中的数据遮掩、还原方法的装置的功能。

本领域普通技术人员应当了解，本发明不限定于上述的实施例，本发明可以在不偏离其主旨与范围内以许多其它的形式实施。因此，所展示的示例与实施例被视为示意性的而非限制性的，在不脱离如所附各权利要求所定义的本发明精神及范围的情况下，本发明可能涵盖各种的修改与替换。

Claims

一种数据遮掩方法，其特征在于，所述方法包括：

识别数据中的待加密字段；

将所述待加密字段进行加密，以获得第一字段；以及

利用掩码将所述第一字段进行遮掩，以获得包含所述掩码的更新数据，

其中，所述第一字段与所述更新数据相关联。
根据权利要求1所述的方法，其中，所述数据是从网络架构的前端所接收的。
根据权利要求2所述的方法，其中，所述方法还包括：

判断所述数据是否属于需加密的敏感数据。
根据权利要求3所述的方法，其中，所述方法还包括：

存储和/或处理包含所述掩码的更新数据。
根据权利要求4所述的方法，其中，所述方法还包括：

存储和/或处理加密的所述第一字段。
根据权利要求5所述的方法，其中，所述第一字段通过储存在所述后端的动态标签与所述更新数据相关联。
根据权利要求1-6中任一项所述的方法，其中，将所述待加密字段进行加密，以获得第一字段包括：

采用AES算法来加密所述待加密字段。
一种数据还原方法，其特征在于，所述方法包括：

识别数据中包含的掩码；

获取与所述数据相关联的第一字段；

将所述第一字段解密；以及

将解密的所述第一字段替换所述数据中包含的掩码以还原成无掩码数据。
根据权利要求8所述的方法，其中，所述方法还包括：

通过读取存储在后端的动态标签获取与包含掩码的所述数据相关联的第一字段。
根据权利要求10所述的方法，其中，所述方法还包括：

将所述无掩码数据与从网络架构的前端所接收的同类型数据进行比较，如果比较结果不同，则使用所接收的同类型数据替换所述无掩码数据。
根据权利要求8-10中任一项所述的方法，其中，将所述第一字段解密包括：

采用AES算法解密所述第一字段。
一种数据遮掩系统，其特征在于，所述系统包括：

识别模块，所述识别模块识别数据中的待加密字段；

加密模块，所述加密模块将所述待加密字段进行加密，以获得第一字段；以及

遮掩模块，所述遮掩模块利用掩码将所述第一字段进行遮掩，以获得包含所述掩码的更新数据，其中，所述第一字段与所述更新数据相关联。
根据权利要求12所述的数据遮掩系统，其中，所述数据是从网络架构的前端所接收的。
根据权利要求13所述的数据遮掩系统，其中，所述系统还包括：

判断模块，所述判断模块判断所述数据是否属于需加密的敏感数据。
根据权利要求14所述的数据遮掩系统，其中，所述系统还包括：

数据处理模块，所述数据处理模块存储和/或处理包含所述掩码的更新数据。
根据权利要求15所述的数据遮掩系统，其中，所述数据处理模块还存储和/或处理加密的所述第一字段。
根据权利要求16所述的数据遮掩系统，其中，在数据遮掩系统中所述第一字段通过储存在所述后端的动态标签与所述更新数据相关联。
根据权利要求12-17中任一项所述数据遮掩系统，其中所述加密模块采用AES算法加密所述待加密字段。
一种数据还原系统，其特征在于，所述系统包括：

识别模块，所述识别模块识别数据中包含的掩码；

获取模块，所述获取模块获取与所述数据相关联的第一字段；

解密模块，所述解密模块将所述第一字段解密；以及

替换模块，所述替换模块将解密的所述第一字段替换所述数据中包含的掩码以还原成无掩码数据。
根据权利要求19所述的数据还原系统，其中，所述系统通过读取存储在后端的动态标签获取与包含掩码的所述数据相关联的第一字段。
根据权利要求20所述的数据还原系统，其中，所述系统还包括：

比较模块，所述比较模块将所述无掩码数据与从网络架构的前端所接收的同类型数据进行比较，如果比较结果不同，则使用所接收的同类型数据替换所述无掩码数据。
根据权利要求19-21中任一项所述数据还原系统，其中，所述解密模块采用AES算法解密所述第一字段。
一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现根据权利要求1至11中任一项所述的方法的步骤。
一种记录介质，其上存储有计算机程序，其特征在于，该程序被计算机执行以实现根据权利要求1至11中任一项所述的方法的步骤。