[发明专利]一种基于分布式敏感数据脱敏、加密、解密及审计的方法

权利要求书

1.利用应用Oracle、MysSql、SqlServer、DB2、达梦、金仓等关系应用数据库和分布式加密数据库的触发器机制，在应用系统的数据库中，依据脱敏数据的实际情况，将未加密数据摆渡到分布数据库加密后对应用数据库数据实现脱敏。

2.加密时采用应用数据库敏感数据表＞行＞列信息，将行动态ID作为一把秘钥，分布数据库以文件方式存储另外一把秘钥；用两把秘钥的简单或复杂拼接，通过加密算法实现对相关表＞行＞列数数据的加密。

3.数据加密时，同将步加密数据所对应表＞行＞列，数权者、数权设备以及行动态ID等信息，用明文或不可逆的加密方式与加密数据同时存储到分布加密数据库对应表＞行＞列中。

4.解密数据时，采用2所述两把钥匙与3所述的对应加密信息匹配解密数据。

5.数据解密时，通过对数权者、数权设备的解密条数/每次，一定时间范围内解密次数等限制，实现对数权者、数权设备的缺省解密。

6.数据解密时，当超过5所述限制时，解密数据者通过短信、App等向加密数据管理者的移动终端、PC端发送解密申请；加密数据管理者，依据解密申请者或申请设备、解密字段或字段组，综合确定解密条数/每次、一定时间范围内解密次数、时间控制条件等条件；批准解密数据申请者和申请设备请求；在批准解密数据申请前，解密数据标识为等待授权。

7.数据解密时，对非数权者、数权设备，采用6所述方法实现数据解密申请和解密批准。

8.数据解密申请获得批准后，申请者获得短信、APP等通知后；通过授权进行解密。

9.数据解密时，同步将解密表＞行＞字段、解密者、解密字段、解密授权人、授权方式和时间记录到分布数据库中，用于数据分析审计。

10.解密时，采用数据库Session机制实现对解密数据每次解密条数的复杂控制。