[发明专利]数据加解密与脱敏运行引擎及其工作方法

权利要求书

1.一种数据加解密与脱敏运行引擎，其特征在于，包括：

SDK客户端，用于集成至业务系统以拦截SQL语句并根据元数据配置判断是否需要改写，不需要改写的SQL语句直接向数据库发送请求，需要改写的SQL语句请求安全服务进行改写；

安全服务，用于获取需要改写的SQL语句，根据元数据配置完成SQL语句改写，向SDK客户端返回改写后SQL语句，SDK客户端调用改写后SQL语句向数据库发起请求；

数据库扩展函数，当处理涉及脱敏处理的请求时，用于作为RPC客户端调用RPC运算服务的运算组件来返回结果。

2.如权利要求1所述的数据加解密与脱敏运行引擎，其特征在于，还包括元数据配置管理模块，用于配置元数据，元数据包括各类数据库脱敏字段、加密算法、脱敏字段规则配置。

3.如权利要求1所述的数据加解密与脱敏运行引擎，其特征在于，所述数据库扩展函数包括：

字符串索引函数，使用逐字加密，根据明文生成索引密文串；

数值索引函数，使用保序加密，根据数值生成索引等序数值；

加密函数，根据明文生成密文；

解密函数，根据密文生成明文；

脱敏函数，根据明文输出脱敏文本。

4.一种数据加解密与脱敏运行引擎的工作方法，其特征在于，包括：

步骤10、集成至业务系统的SDK客户端拦截SQL语句并根据元数据配置判断是否需要改写，不需要改写的SQL语句直接向数据库发送请求，需要改写的SQL语句请求安全服务进行改写；

步骤20、安全服务获取需要改写的SQL语句，根据元数据配置完成SQL语句改写，向SDK客户端返回改写后SQL语句，SDK客户端调用改写后SQL语句向数据库发起请求；

步骤30、对于涉及脱敏处理的请求，数据库扩展函数作为RPC客户端调用RPC运算服务的运算组件来返回结果。

5.如权利要求4所述的数据加解密与脱敏运行引擎的工作方法，其特征在于，还包括步骤：通过元数据配置管理模块配置元数据，元数据包括各类数据库脱敏字段、加密算法、脱敏字段规则配置。

6.如权利要求4所述的数据加解密与脱敏运行引擎的工作方法，其特征在于，步骤20中，所述安全服务获取需要改写得SQL语句后，根据元数据配置中的敏感字段定义，判断SQL语句中涉及加密、脱敏的敏感字段，准备改写SQL语句；安全服务分析SQL语法树，找到涉及的敏感字段，完成SQL改写。

7.如权利要求6所述的数据加解密与脱敏运行引擎的工作方法，其特征在于，所述SQL语法树采用支持基于phoenix语法、hive-sql语法、关系数据库语法的SQL分析引擎。

8.如权利要求4所述的数据加解密与脱敏运行引擎的工作方法，其特征在于，所述数据库扩展函数包括：

字符串索引函数，使用逐字加密，根据明文生成索引密文串；

数值索引函数，使用保序加密，根据数值生成索引等序数值；

加密函数，根据明文生成密文；

解密函数，根据密文生成明文；

脱敏函数，根据明文输出脱敏文本。

9.如权利要求4所述的数据加解密与脱敏运行引擎的工作方法，其特征在于，密文范围查询步骤包括：

数字、字符串分别使用保序加密、逐字加密算法生成索引数据，存储在数据库索引列；

基本查询流程基于二阶段查询，第一阶段以密文索引列为查询条件，将查询条件按索引数据生成算法转化后，生成查询条件；

第二阶段为基于第一阶段查询结果进行的查询，第二阶段以密文列为查询条件，用密文列解密算法解密条件再查询。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求4至9中任一项所述的数据加解密与脱敏运行引擎的工作方法。