[发明专利]一种基于SQL血缘关系的数据安全查询方法、装置和设备

说明书

本发明公开一种基于SQL血缘关系的数据安全查询方法、装置和设备，包括，接收并对客户端传入的SQL语句进行语法检测，若检测结果正确，则将所述SQL语句转换为抽象语法树；递归查找抽象语法树中最终展示字段的数据来源字段，并将最终展示字段和数据来源字段抽象封装为血缘关系对象；基于血缘关系对象，查询标记表，所述标记表由可查询数据库表中的字段信息配置得到，所述标记表包括字段是否为敏感信息以及敏感信息的字段名称和掩码方式；确定数据来源字段是否为敏感信息，如果是，则获取敏感信息的字段名称和掩码方式；执行SQL语句，得到数据查询结果，根据获取的敏感字段名称和掩码方式，对查询结果集做掩码处理，展示掩码处理后的结果集。

技术领域

本发明涉及计算机应用和个人隐私数据安全领域，具体涉及一种基于SQL血缘关系的数据安全查询方法。

背景技术

在数据存储组件中存储的数据，一般除了用户密码在存储之前做加密处理后存储，其余个人数据如电话、邮箱、银行卡号等明文存储。对数据做业务查询时，会存在个人数据明文展示情况。上述情况导致个人隐私数据泄露，存在安全风险。

现有技术中，目前存储系统数据加密领域，对加密真实性的验证方案都需要专门的配套工具或极其复杂的操作步骤，加密方案不存在普适性和可推广性，且占用系统资源，耗时长，存在使系统性能降低的问题。

经检索发现，公开号CN113204776A的中国专利于2021年8月3日公开了实现列加密的方法、装置、设备及存储介质，用于解决数据库表不支持列加密及查询的技术问题。本公开通过对SQL引擎进行改进，在创建表时设置表属性，在表属性中设置加密列属性、加密秘钥属性等。在执行插入SQL语句时，使用秘钥对加密列数据进行加密存储，在执行查询SQL语句时，通过秘钥对加密列数据进行解密。

但是，该专利对SQL语句进行分析需要侵入SQL执行过程中，并且对数据根据密钥和加密算法进行加密处理，复杂度更高，容错率低，仍然存在加密算法占用系统资源，耗时长的问题，无疑会降低系统性能。

发明内容

为克服上述现有技术的不足，本发明提供一种基于SQL血缘关系的数据安全查询方法、装置和设备，仅需在SQL执行前分析记录血缘关系，对SQL查询后的结果做掩码处理，流程简单，容错率高，掩码处理速度快，对系统资源占用几乎可忽略，性能更高。

本发明一方面提供一种基于SQL血缘关系的数据安全查询方法，包括，接收并对客户端传入的SQL语句进行语法检测，若检测结果正确，则将所述SQL语句转换为抽象语法树；递归查找抽象语法树中最终展示字段的数据来源字段，并将最终展示字段和数据来源字段抽象封装为血缘关系对象；基于血缘关系对象，查询标记表，所述标记表由可查询数据库表中的字段信息配置得到，所述标记表包括字段是否为敏感信息以及敏感信息的字段名称和掩码方式；确定数据来源字段是否为敏感信息，如果是，则获取敏感信息的字段名称和掩码方式；执行SQL语句，得到数据查询结果，根据获取的敏感信息的字段名称和掩码方式，对查询结果做掩码处理，展示掩码处理后的结果集。

上述技术方案中，能够接收并分析转换客户端传入的SQL语句为抽象语法树，并抽象提取出抽象语法树中最终展示字段与数据源字段的血缘关系对象，针对血缘关系对象，在标记表中获取敏感信息的字段名称和掩码方式；根据敏感信息将结果集做相应的掩码处理，实现了高效率、高速度地对可查询数据库表中的字段信息进行掩码处理。

具体地，对于复杂SQL语句能够添加递归次数，查找深度等条件，限制血缘关系查找的复杂度，降低对计算机cpu、内存等的占用情况。

进一步地，所述字段信息为个人信息的字段信息。

具体地，对不同类型的个人数据做不同的掩码处理。如手机号显示首3末4位，中间用*号隐藏代替：138****4213；银行卡显示首6末4位，中间用4个*号隐藏代替：622202****4123；邮箱像是前两位及最后一位字符，及@后邮箱域名信息：ye****y@163.com等处理方式。