[发明专利]一种基于报文解析的数据脱敏方法及装置

说明书

本发明涉及一种基于报文解析的数据脱敏方法及装置，包括：获取应用系统与目标数据服务器之间传输链路上的IP报文并进行解析，解析后IP报文信息包括源IP和目的IP；通过比较源IP和目的IP的来源，识别IP报文的传输目的；根据识别结果对IP报文进行封装传输，或者进行数据脱敏处理后封装传输；本发明利用报文解析通用性强的优点，使实际部署简单化，并发处理能力强，适用于海量数据请求的应用场景，且不需要直接操作数据库和获取用户的数据访问权限，降低了数据库和用户隐私泄露的风险。

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于报文解析的数据脱敏方法及装置。

背景技术

随着泛在电力物联网建设工作稳步开展，数字经济市场迎来发展时期，数据的共享和流通将更加频繁，成为刚性业务需求。伴随着数据的集中处理、广泛共享、交叉使用，大数据安全问题也将日益凸显，数据安全面临着严峻挑战。为保障数据安全合规使用，对数据全生命周期中各环节涉及的敏感信息进行脱敏，是一种有效的安全控制手段。

目前，市场上通用的数据脱敏的做法是在应用和数据库之间，逻辑串行部署脱敏网关，利用脱敏网关截获应用向数据库请求的SQL语句，并完成解析、修改，然后再重新发送给数据库，实现脱敏。此种方法存在一定的弊端，主要如下：一是逻辑串行部署时，一旦脱敏网关出现异常，将影响业务系统安全稳定运行，安全性不足；二是截获并解析、修改SQL语句，属于侵入式做法，存在安全隐患，且极易出现误操作；三是部署实施困难，由于不同应用的架构及实现语言不一，需要现场进行大量兼容性调试，无法具备普适性；四是受限于解析过程的复杂性，脱敏网关并行处理SQL能力有限，数据量较大时，处理效率低。

发明内容

针对现有技术的不足，本发明的目的是一种基于报文解析的数据脱敏方法及装置，通过识别传输链路上的IP报文的源IP和目的IP，以此为基础实现脱敏处理，解决现有脱敏处理中，安全性和效率低，实施困难的缺点。

本发明提供一种基于报文解析的数据脱敏方法，其改进之处在于，所述方法包括：

获取应用系统与目标数据服务器之间传输链路上的IP报文并进行解析，解析后IP报文信息包括源IP和目的IP；

通过比较源IP和目的IP的来源，识别IP报文的传输目的；

根据识别结果对IP报文进行封装传输，或者进行数据脱敏处理后封装传输。

优选地，所述通过比较源IP和目的IP的来源，识别IP报文的传输目的，包括：

在预先建立的应用系统IP集和目标数据服务器IP集中查找所述源IP和目的IP；

若所述源IP存在于应用系统IP集且目的IP存在于目标数据服务器IP集，则IP报文的传输目的为应用系统向目标数据服务器发出数据访问请求；

若所述源IP存在于目标数据服务器IP集且目的IP存在于应用系统IP集，则IP报文的传输目的为目标数据服务器根据应用系统的数据访问请求向应用系统返回数据。

优选地，所述根据识别结果对IP报文进行封装传输，或者进行数据脱敏处理后封装传输，包括：

若IP报文的传输目的为应用系统向目标数据服务器发出数据请求，则依据目标数据服务器的传输协议将报文进行封装后传输至目标数据服务器；

若IP报文的传输目的为目标数据服务器根据应用系统的数据访问请求向应用系统返回数据，则对报文进行数据脱敏处理并将数据脱敏处理后的报文依据应用系统的传输协议将报文进行封装后传输至应用系统。

进一步地，所述解析后的IP报文信息还包括IP报文的序列号信息；

所述对报文进行数据脱敏处理，包括：

基于序列号信息重组IP报文，获得目标数据服务器的返回数据；