[发明专利]一种密态数据访问方法

权利要求书

1.一种密态数据访问方法，其特征在于,包括以下步骤:

步骤S01、手动创建/自动嗅探发现数据源端连接，自动完成隐私信息、核心数据资产全量扫描与侦测：根据数据源端类型，包括数据库/文件/接口类型，采集相应的配置信息，建立连接并测试联通性，也可根据设定的IP地址范围执行自动嗅探，发现数据服务和端口并完成注册，连接成功后，根据预先设定的隐私侦测规则，自动对数据源端执行全量扫描和侦测，通过隐私预览确认发现结果是否正确，如本应该标记为隐私类型的字段有无未识别的或未被标记为隐私的字段，其原始数据是否与发现的隐私类型一致、预览同/异构加密效果是否满足要求，若不满足，则按需调整算法参数或自定义加密算法；

步骤S02、根据数据访问的场景和行为特征，划分创建独立访问用户组；

步骤S03、针对数据源创建不同访问场景的隐私保护方案；

步骤S04、基于访问用户组和隐私保护方案，构建访问客户端到数据源的密态通道；

步骤S05、对访问报文的协议进行解析，获取访问来源属性、访问对象、操作行为信息，基于基于访问通道的访问用户组和隐私方案，对隐私信息做加密处理，并将隐私信息以密态形式返回，且支持密态信息连续多次关联访问操作。

2.如权利要求1所述的密态数据访问方法，其特征在于,所述步骤S01具体包括：

步骤S011、判定数据源端类型，采集相应的配置信息，建立连接并测试联通性；

步骤S012、连接成功后，根据预先设定的隐私发现规则，自动对数据源端执行全量扫描和隐私侦测。

3.如权利要求2所述的密态数据访问方法，其特征在于,所述步骤S011中数据源端配置，自动嗅探可依据指定的IP地址范围，结合数据源服务名称关键字、常用端口特征值自动匹配与识别，输出可配置数据源服务列表。

4.如权利要求2所述的密态数据访问方法，其特征在于,所述步骤S012中，隐私侦测采用自动扫描的处理方式，支持人工全量/增量和定时全量/增量隐私侦测：若隐私侦测过程已开始，可查看已发现的结果，通过隐私预览确认发现结果是否正确，并确认如下内容：有无未识别的或未标记为隐私的字段、原始数据是否与发现的隐私类型一致、预览同/异构加密效果是否满足要求；若不满足，则按需调整算法参数或自定义加密算法。

5.如权利要求1所述的密态数据访问方法，其特征在于,所述步骤S02中，所述数据访问的场景包括内部访问、外部访问、人工访问、应用访问；

所述行为特征包括因人员角色、权限发生的不同行为，也包括其访问IP、访问客户端、访问时间、访问对象、执行的操作发生的特定行为；

所述访问用户组即根据上述访问场景和行为特征综合定义的用户集，包括其中单一元素、多个组合元素。

6.如权利要求1所述的密态数据访问方法，其特征在于,所述步骤S03中，所述隐私保护方案是指某数据源下隐私信息、核心数据资产的一种保护策略，对数据库源中涉及隐私信息的简单对象和复杂对象设定加密处理的隐私安全级别和加密处理方法，加密处理的算法包括同/异构算法，同构算法包括高仿真加密、简单按位替换算法，异构算法包括对称、非对称、摘要、哈希标准算法、国密算法、差分隐私算法和同态加密算法，其中算法可根据实际需要做配置和调整，也支持自定义加密算法。

7.如权利要求1所述的密态数据访问方法，其特征在于,所述步骤S04中，所述访问客户端到数据源的密态访问通道，访问客户端包括各类数据库直接、间接使用的工具、平台，包括Navicat、PLSQL、DBeaver、Hive、hue、SecureCRT、Putty、应用服务、应用接口、JDBC连接程序；数据源包括数据库、文件、数据平台、数据接口。

8.如权利要求7所述的密态数据访问方法，其特征在于，所述访问通道包括以代理或类似方式串联在访问客户端和数据源端，和以旁路或类似方式并联访问客户端和数据源端，无论采用何种访问通道，实现的效果均为透明访问，即访问客户端对于通道是无感知的，不需要安装代理、不改变现有访问方式、不改变现执行的操作、也不需要改变网络环境。