一种完全数据脱敏方法和系统

技术领域

本发明涉及数据安全传输技术领域，尤其涉及一种完全数据脱敏方法和系统。

背景技术

现有互联网技术中，端到端的数据传输无论是否经过域名或地址的解析，在传输报文中都会标记报文有效信息载荷的发送端和接收端的确切标识信息。受网络传输协议和网络构建拓扑结构的定义，确切标识信息的表达形式存在两种主要特点，一种是表达形式存在层次性，例如采用类似通用域名表达的形式，另一种具有可嗅探性，协议透明的报文结构使得报文被截获后可以获得报文的收发标识造成身份泄露。

敏感信息依赖于实际业务场景和安全维度，以自然人为例，用户个体的敏感字段包括但不限于：姓名、身份证号、手机号、邮箱、地址；在医疗系统，作为患者可能还涉及就诊信息等。当使用人员通过任何方式确认数据表中某条数据属于某个人时，称为个人标识符泄露。个人标识符泄露最为严重，因为一旦发生个人标识符泄露，数据使用人员就可以得到具体个人的敏感信息。当使用人员根据其访问的数据表了解到某个人新的属性信息时，称为属性泄露。个人标识符泄露肯定会导致属性泄露。当使用人员可以通过某个人的数据确定另一人的数据存在于数据表中时，称为成员关系泄露。个人标识符泄露与属性泄露意味着成员关系泄露可能也已经发生。

发明内容

鉴于上述问题，本发明实施例提供一种完全数据脱敏方法和系统，解决现有数据传输过程中网络标识的隐私性缺少有效防护的技术问题。

本发明实施例的完全数据脱敏方法，包括：

据脱敏并生成唯一标识符；

将生成的唯一标识符发送至私域服务器；

通过私域服务器对敏感数据生成域内标识符，将所述唯一标识符和所述域内标识符合并为全局标识并建立与敏感数据的关联关系，存入私域服务器的数据库。

本发明一实施例中，还包括：当公域服务器访问所述私域服务器的数据库时，敏感数据以全局标识进行映射。

本发明一实施例中，还包括：当公域服务器通过全局标识访问所述私域服务器的数据库时，通过私域服务器确认后获得所述全局标识对应的敏感数据。

本发明一实施例中，还包括：在公域服务器进行数据脱敏并生成唯一标识符。

本发明一实施例中，还包括：在所述私域服务器所在私域网络中设置一个预设公域服务器，在所述预设公域服务器进行数据脱敏并生成唯一标识符。

本发明一实施例中，还包括：当所述私域服务器访问所述数据库时，获取敏感数据或者敏感数据以全局标识进行映射。

本发明一实施例中，还包括：当所述私域服务器通过全局标识访问所述数据库时，获取所述全局标识对应的敏感数据。

本发明一实施例中，所述数据脱敏为通过数据令牌化或AES的方式利用唯一标识符号替换掉敏感数据。

本发明一实施例中，通过AES和/或MD5的方式通过私域服务器对敏感数据生成域内标识符。

一种完全数据脱敏系统，其包括：

公域脱敏模块，用于数据脱敏并生成唯一标识符；

数据传输模块，用于将生成的唯一标识符发送至私域服务器；

私域脱敏模块，用于通过私域服务器对敏感数据生成域内标识符，将所述唯一标识符和所述域内标识符合并为全局标识并建立与敏感数据的关联关系，存入私域服务器的数据库。

本发明实施例的一种完全数据脱敏方法和系统，通过利用唯一标识符替换掉敏感数据，快速实现数据脱敏，又不会影响其安全性；通过私域服务器再次生成域内标识，快速脱敏的前提下使得敏感数据更为安全；在唯一标识+域内标识的合并后再进行入库，使得脱敏数据入库更为严谨，单独唯一标识或域内标识无法完成数据的映射。

附图说明

参考附图中示出的实施例更详细地解释了上述本发明的特征，其中相同的附图标记表示相同的元件，其中图1～3示出了本发明的实施例。

图1所示为本发明一实施例的完全数据脱敏方法的流程示意图。

图2所示为本发明一实施例的完全数据脱敏方法的流程示意图。

图3所示为本发明一实施例的完全数据脱敏方法的流程示意图。

图4所示为本发明一实施例的完全数据脱敏方法的流程示意图。

图5所示为本发明一实施例的完全数据脱敏系统的架构示意图。

图6所示为本发明一实施例的完全数据脱敏系统的使用状态示意图。

图7所示为本发明一实施例的完全数据脱敏系统的使用状态示意图。

图8所示为本发明一实施例的完全数据脱敏系统的使用状态示意图。

图9所示为本发明一实施例的完全数据脱敏系统的模块示意图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚、明白，以下结合附图及具体实施方式对本发明作进一步说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1：

场景：患者在医院线上平台(例如微信小程序录入了患者身份证)，如图1所示。

一种安全数据脱敏方法，其包括：

步骤1.私域服务器请求公域服务器生成唯一标识符(公钥a4b3)；

实现方式1：使用数据令牌化方式利用独一无二的标识符号(即唯一标识符)替换掉敏感数据，该标识符号既保留所有必要数据信息，又不会影响其安全性。会以相同格式创建出完全随机的字符，快速实现数据脱敏。

实现方式2：数据令牌化方式也可替换成AES(Advanced Encryption Standard，高级加密标准)加密的方式，AES对称加密算法使用同一个密匙加密和解密，速度快，适合给大量数据加密。

举例：明文P(没有经过加密的原始数据)，密钥K(用来加密明文的密码，在对称加密算法中，加密与解密的密钥是相同的。密钥为接收方与发送方协商产生，但不可以直接在网络上传输，否则会导致密钥泄漏，通常是通过非对称加密算法加密密钥，然后再通过网络传输给对方，或者直接面对面商量密钥。密钥是绝对不可以泄漏的，否则会被攻击者还原密文，窃取机密数据。)

AES加密：设AES加密函数为E，则C＝E(K,P),其中P为明文，K为密钥，C为密文。也就是说，把明文P和密钥K作为加密函数的参数输入，则加密函数E会输出密文C。

步骤2：将生成的唯一标识符发送至私域服务器；

因为私域服务器一般都是指内网或者局域网，不是所有人都可以链接访问的，所以将步骤1生成的唯一标识符返回给私域服务器并保存在私域服务器内更为安全。

步骤3：通过私域服务器对敏感数据生成域内标识符(c2d1)，将唯一标识符和域内标识符合并为全局标识(私钥a4b3c2d1)并建立与敏感数据的关联关系，存入私域服务器的数据库。

本领域技术人员可以理解，唯一标识符和域内标识的组合方式不限于简单的顺序叠加，也可以采用其他规则代替。

实现方式：通过AES和MD5(MD5 Message-Digest Algorithm，信息摘要算法)的方式在私域服务器进行一次加密。

使用AES方式进行加密，发送方将要发送的明文数据X使用秘钥K进行AES加密后会得到密文Y，将密文进行网络传输，接受方在收到密文Y后使用秘钥K进行AES解密后技能得到明文X，这样即使密文Y在网络上传输时被截获了，没有秘钥也难以破解其真实意思。

AES密码分组大小和密钥大小使用128位。密钥长度也为128位的算法进行分析。密钥长度为128位的处理方式类似，只不过密钥长度每增加64位，算法的循环次数就增加2轮，128位循环10轮。

AES加密算法是可逆的，用来对敏感数据进行保护，使用对称加密算法使用同一个密匙加密和解密，速度快，适合给大量数据加密采用对称加密算法，提高加解密速度；小量的机密数据，采用非对称加密算法。在实际的操作过程中，采用的方式是：采用非对称加密算法管理对称算法的密钥，然后用对称加密算法加密数据，这样集成了两类加密算法的优点，既实现了加密速度快的优点，又实现了安全方便管理密钥的优点。

可以将一个字符串，或文件，或压缩包，执行MD5后，就可以生成一个固定长度为128bit的串。这个串，基本上是唯一的。把一个任意长度的字节串变换成一定程度的十六进制数字串。目的是让大容量信息在用数字签名软件签署私人密钥前被”压缩”成一种保密的格式。

在用户注册/新增时，会将密码进行MD5加密，存到数据库中。这样可以防止那些可以看到数据库数据的人，恶意操作。

MD5是不可逆的，所以没有解密方法，主要用于身份验证、卡号或者密码等，防止信息被修改。

本领域技术人员可以理解，虽然上述实施例中采用AES和MD5并用的加密解密方式，但是当只采用其中一种时，也应当能够实现本发明目的。

通过上述AES和MD5的方式加密后得到的字符成为域内标识符，并与步骤2接受到的唯一标识符结合形成全局标识，在域内服务器的数据库内新增一列索引进行保存全局标识。

本领域技术人员可以理解，由于公域服务器生成唯一标识符后将唯一标识符传递给私域服务器并与私域服务器生成的域内标识符合并得到的全局标识，存储在私域服务器的数据库内，所以公域服务器通过唯一标识符的比对只能进行数据的比较，不会直接获取到真实数据。

公域服务器一般指的是云服务器、互联网等公共网络环境，公域环境所有人可进行访问，之前公域端和私域端使用同一个密匙，存在被抓包破解的风险。现在使用公钥加密，私钥解密，使用两个密匙，公域端和私域端密匙不一样，私钥放在服务端，黑客一般是拿不到的，安全性高。

实施例2：

场景：患者在医院线上平台(例如微信小程序录入了患者身份证)，如图2所示。

一种安全数据脱敏方法，其包括：

步骤1.私域服务器请求公域服务器生成唯一标识符(公钥a4b3)；

实现方式可参考前述实施例。

步骤2：将生成的唯一标识符发送至私域服务器；

步骤3：通过私域服务器对敏感数据生成域内标识符(c2d1)，将唯一标识符和域内标识符合并为全局标识(私钥a4b3c2d1)并建立与敏感数据的关联关系，存入私域服务器的数据库。

步骤4：公开发送敏感信息时，只发送全局标识，实际数据保留在私域服务器的数据库中；

步骤5：当私域服务器通过全局标识访问数据库时，获取全局标识对应的敏感数据。

步骤6：当公域服务器访问私域服务器的数据库时，敏感数据以全局标识(私钥a4b3c2d1)进行映射。

步骤7：当公域服务器通过全局标识访问私域服务器的数据库时，通过私域服务器确认后获得全局标识对应的敏感数据。

本实施例考虑了公域服务器需要实际数据的情况，现在较多医院已经不仅仅在医院内网完成整个诊疗过程，比如线上预约挂号可以通过如APP、微信小程序等完成，患者也可以通过APP或者小程序查看检查、治疗结果，所以后续引入步骤6和步骤7。

当公域需要得到明文信息(即被全局标识替代掉的敏感数据)时，公域服务器通过全局标识向私域服务器请求数据；由于有部分情况通过公域服务器时也需要获取原始数据，所以增加公域向私域请求的一步，更好的应对在公域完全查看不到真实数据的情况。

得到请求后，私域服务器(X)如果同意，主动发送信息给公域服务器(Y)；增加对请求的判断是为了控制不是所有Y发来的请求都被允许，因为真实数据存在X，所以只有X同意后才会将真实数据返回给Y，这样在提高敏感数据的安全程度的情况下也满足了公域并非完全不能看到完整信息的情况。

如图2所示，数据库存储和返回的是全局标识，步骤4和步骤6都有提到通过全局标识进行传递：

举例1：患者A通过微信小程序完成注册挂号后，在医院进行一项体检服务，几天后，想通过微信小程序查看体检报告，此时在未登录情况下，输入患者身份证进行搜索，可返回一条数据并显示有无出记录，但不会显示具体结果，因为在公域服务器对全局标识(a4b3c2d1)可匹配上(a4b3)标识，此时可判断患者身份证输入正确，故返回例如：报告已生成或报告未生成等信息。

举例2：患者A在医院的微信公众号上搜索到自己的体检报告已生成，想要查看具体报告内容，此时会需要进行登录，需要输入账号和密码(向私域发起请求)，账号密码验证通过(请求通过)，即可查看报告的完整内容。反之账号或密码错误则无法查看到具体内容。如图3所示。

本领域技术人员可以理解，以上的步骤中，步骤4和步骤5时可互换顺序的，原步骤4主要涉及的是公开发送敏感信息时的情况，和步骤6都阐述了公域环境下的情况，交换后如果机构不涉及公域情况下只需执行步骤1-4即可，无需考虑步骤5-7的操作；

如图4所示：在医院只有内网的情况下，可以在内网先预设一个服务器，同样可以完成一整个完整的数据脱敏和映射的过程，这个过程完全不需要介入公域环境即可完成。这个预设的服务器用来充当公域服务器，执行公域服务器的操作。

注：如果该家医院之后部分业务接入公域网络环境(例如：体检，挂号，预约)，将预设的公域服务器直接接入公域网络即可，通过公域网络录入的信息或需要返回数据时通过步骤5、步骤6、步骤7即可实现。

本领域技术人员可以理解，如省略上述实施例中步骤3的私域服务器生成域内标识符的处理，公域服务器将直接获取唯一标识，之后公开发送敏感信息是只发送唯一标识，无法满足公域和私域查看敏感信息的场景。

如省略步骤4，发送敏感信息时，数据保留在公域内，则报文被截获后可以获得报文的收发标识符造成身份泄露。

如省略步骤5，数据保留在私域内，发送敏感信息是仅传递标识符，报文被截获也不会导致身份泄露，并且数据保留在私域服务器内，只有私域服务器可以获取原始数据，可以实现数据安全传输，但是公域服务器无法获取原始真实数据，无法更好的满足更多数据交换场景。

如省略步骤6和步骤7，公域服务器任何情况下都将无法查看完整的原始数据，无法满足更多实际场景需要，如公域服务在使用中需要完整的患者信息，可通过私域服务器确认后获得，反之则不能获取完整的数据信息。

本发明一实施例的完全数据脱敏系统，包括：

存储器，用于存储上述实施例的完全数据脱敏方法处理过程对应的程序代码；

处理器，用于运行上述实施例的完全数据脱敏方法处理过程对应的程序代码。

处理器可以采用DSP(Digital Signal Processing)数字信号处理器、FPGA(Field-Programmable Gate Array)现场可编程门阵列、MCU(Microcontroller Unit)系统板、SoC(system on a chip)系统板或包括I/O的PLC(Programmable Logic Controller)最小系统。

程序如图5所示，是为一种服务端脱敏程序12，该系统主要通过以下处理过程实现：

1.公域服务器11发起请求101至服务端脱敏程序12并生成唯一标识符102；

2.服务端脱敏程序再将生成的唯一标识符102发送至私域服务器13；

3.私域服务器13对每条数据生成一条域内标识符103并将唯一标识符和域内标识符组合后存入数据库14中；

4.数据库14最终将组合后的全局标识符104返回给公域服务器；

参考图6，示出了局域网和私域服务器的情况下可显示密文202，也可以显示明文201。

参考图7，示出在互联网、云端、和公域服务器的情况下，无法显示明文301只能显示密文302，但同时如果公域服务器想要显示完整的明文信息，可向私域服务器发送申请，如私域服务器同意即可显示完整的明文信息参考图8。

本发明一实施例的完全数据脱敏系统如图9所示。在图9中，本实施例包括：

公域脱敏模块1010，用于数据脱敏并生成唯一标识符；

数据传输模块1020，用于将生成的唯一标识符发送至私域服务器；

私域脱敏模块1030，用于通过私域服务器对敏感数据生成域内标识符，将唯一标识符和域内标识符合并为全局标识并建立与敏感数据的关联关系，存入私域服务器的数据库。

标识映射模块1040；用于在公开发送敏感数据时，敏感数据以全局标识进行映射。只发送全局标识，实际数据留在私域服务器的数据库中。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。