一种敏感信息的管理控制方法和装置的制造方法
【技术领域】
[0001] 本发明涉及电信业务支撑领域和信息安全领域,尤其涉及一种敏感信息的管理控 制方法和装置。
【背景技术】
[0002] 电信行业的业务支撑系统中,涉及大量的客户敏感信息,为了保障敏感信息在传 播过程和数据存储上的安全,现有技术方案中将敏感信息伪装和加密后,通过在数据库表 中增加字段的方式存储伪装后数据和加密后数据,因此需要相应的改造后台数据存储程 序,以便将伪装和加密后的客户敏感信息存入数据库;还需改造服务、接口、中间件等服务 层程序,以便增加数据伪装和加密处理;同时需要逐个改造前台程序,以便读取服务层返回 的伪装和加密数据节点数据。
[0003] 现有技术方案存在的问题是:每当增加一个客户敏感信息类型即需要增加一个字 段,都需要对从交互层到服务层再到数据层的、所有涉及该信息类型或字段的系统模块进 行代码改造,开发工作量巨大;并且现有的加密方式虽然具备密钥管理功能,然而密钥一旦 泄露,加密的信息立即就能被破解,进而导致信息泄露。
【发明内容】
[0004] 为解决现有存在的技术问题,本发明实施例期望提供一种敏感信息的管理控制方 法和装置,在不增加过多的开发工作量的同时,能灵活、安全的管理控制敏感信息的传播和 存储。
[0005] 本发明实施例的技术方案是这样实现的:
[0006] 本发明实施例提供了一种敏感信息的管理控制方法,该方法包括:
[0007] 按照预设识别策略,从接收到的信息中识别出敏感信息;
[0008] 按照预设加密策略,对所述敏感信息进行加密;
[0009] 以加密后的敏感信息替代原始敏感信息,存入预设存储空间;
[0010] 当需输出所述敏感信息时,将从所述存储空间中获取的所述加密后的敏感信息进 行解密;
[0011] 输出解密后的敏感信息。
[0012] 上述方案中,所述按照预设识别策略从接收到的信息中识别出敏感信息包括:
[0013] 对所述接收到的信息进行分词处理,得到信息分词;
[0014] 采用文本匹配和/或规则匹配和/或结构化匹配方法,对所述信息分词进行匹配 筛选,得到敏感信息。
[0015] 上述方案中,所述预设加密策略包括:
[0016] 预设特征化加密策略和/或对称加密策略。
[0017] 上述方案中,所述特征化加密策略包括特征字符集合、密文前缀和密文后缀;
[0018] 所述按照预设加密策略对所述敏感信息进行加密包括:
[0019] 获取所述敏感信息的占位索引;
[0020] 根据所述特征字符集合和所述占位索引,生成敏感信息对应的特征字符序列;
[0021] 由所述密文前缀、所述特征字符序列、所述敏感信息和所述密文后缀组成特征化 加密后的敏感信息。
[0022] 上述方案中,将从数据库中获取的所述加密后的敏感信息进行解密包括:
[0023] 从调取到的所述存储空间的信息中,识别出经过加密的信息,具体为:根据所述预 设特征化加密策略中的特征,对所述调取到的数据库存储的信息进行特征匹配;当找到匹 配所述特征的信息时,确认所述信息为经过加密的信息;
[0024] 根据与所述预设加密策略相对应的解密策略,对所述经过加密的信息进行解密, 得到未加密的敏感信息。
[0025] 上述方案中,输出所述解密后的敏感信息包括:
[0026] 按照预设伪装策略,对所述敏感信息进行伪装;
[0027] 输出伪装后的敏感信息。
[0028] 本发明实施例还提供一种敏感信息的管理控制装置,该装置包括:识别模块、加密 模块、存储模块、解密模块以及输出模块;其中,
[0029] 识别模块,用于按照预设识别策略,从接收到的信息中识别出敏感信息;
[0030] 加密模块,用于按照预设加密策略,对所述敏感信息进行加密;
[0031] 存储模块,用于以加密后的敏感信息替代原始敏感信息,存入预设存储空间;
[0032] 解密模块,用于当需输出敏感信息时,将从所述存储空间中获取的所述加密后的 敏感信息进行解密;
[0033] 输出模块,用于输出所述解密后的敏感信息。
[0034] 上述方案中,所述识别模块包括:
[0035] 分词单元,用于按照预设分词规则,对所述接收到的信息进行分词处理,得到信息 分词;
[0036] 匹配单元,用于采用文本匹配和/或规则匹配和/或结构化匹配方法,对所述信息 分词进行匹配筛选,得到敏感信息分词。
[0037] 上述方案中,所述预设加密策略为预设特征化加密策略,所述特征化加密策略包 括特征字符集合、密文前缀和密文后缀,所述加密模块包括 :
[0038] 占位索引获取单元,用于获取所述敏感信息的占位索引;
[0039] 特征字符序列生成单元,用于根据所述特征字符集合和所述占位索引,生成敏感 信息对应的特征字符序列;
[0040] 密文生成单元,用于由所述密文前缀、所述特征字符序列、所述敏感信息和所述密 文后缀组成特征化加密后的敏感信息。
[0041] 上述方案中,所述预设加密策略为预设特征化加密策略,所述解密模块包括:
[0042] 加密信息识别单元,用于从调取到的所述存储空间的信息中,识别出经过加密的 信息,具体为:根据所述预设特征化加密策略中的特征,对所述调取到的数据库存储的信息 进行特征匹配;当找到匹配所述特征的信息时,确认所述信息为经过加密的信息;
[0043] 解密单元,用于根据与所述预设加密策略相对应的解密策略,对所述经过加密的 信息进行解密,得到未加密的敏感信息。
[0044] 本发明实施例所提供的敏感信息管理控制方法和装置,通过预先设置的识别策 略,能从接收到的信息中自动识别出敏感信息,进而针对敏感信息进行加密,并以加密后的 敏感信息替代原始敏感信息存储于存储空间,当需要调取敏感信息时再将加密后的敏感信 息进行解密后输出,因而不需要修改存储空间中的数据存储模型,即不需要在数据库表中 增加字段,从而节省了大量的开发工作,提高敏感信息的安全管控效率。同时,当使用特征 化的加密策略对敏感信息加密,以及对敏感信息进行伪装后输出时,能进一步提高敏感信 息的安全性。
【附图说明】
[0045] 图1为本发明实施例提供的敏感信息管理控制方法的实现流程示意图;
[0046] 图2为本发明提供的一种敏感信息的管理控制方法实施例中敏感信息类型与敏 感信息词库、规则库、结构化语言库的对应关系示意图;
[0047] 图3为本发明实施例提供的敏感信息管理控制装置的组成结构示意图;
[0048] 图4为本发明提供的一种敏感信息管理控制装置实施例中功能模块和单元的组 成结构示意图。
【具体实施方式】
[0049] 为了更清楚地说明本发明实施例和技术方案,下面将结合附图及实施例对本发明 的技术方案进行更详细的说明,显然,所描述的实施例是本发明的一部分实施例,而不是全 部实施例。基本发明的实施例,本领域普通技术人员在不付出创造性劳动性的前提下所获 得的所有其他实施例,都属于本发明保护的范围。
[0050] 本发明实施例提供的敏感信息管理控制装置,可集成于电信行业的业务支撑系统 中,也可独立于业务支撑系统之外,故本发明实施例提供的敏感信息管理控制方法可应用 于业务支撑系统中的敏感信息管理控制装置,也可应用于独立于业务支撑系统外的敏感信 息管理控制装置。
[0051] 图1为本发明实施例提供的敏感信息管理控制方法的实现流程示意图,如图1所 示,该方法包括:
[0052] 步骤101,按照预设识别策略,从接收到的信息中识别出敏感信息;
[0053] 具体的,敏感信息管理控制装置中预先设置识别策略,接收从前台程序发送的信 息,并从接收到的信息中自动识别出敏感信息。
[0054] 进一步的,本步骤的管理控制方法中,按照预设识别策略从接收到的信息中识别 出敏感信息包括:
[0055] 对所述接收到的信息进行分词处理,得到信息分词;
[0056] 采用文本匹配和/或规则匹配和/或结构化匹配方法,对所述信息分词进行匹配 筛选,得到敏感信息。
[0057] 具体的,敏感信息管理控制装置根据文件对象模型(D0M)节点、可扩展标记语言 (xml)节点对接收到的信息进行分词,取完整的D0M节点或xml节点数据作为一个分词,并 屏蔽xml的ROOT节点、D0M中的html、head等特殊节点,以提高分词速度。按照上述方法, 将接收到的全部信息进行分词处理,得到信息分词。
[0058] 然后,获取预设的识别策略,并按照预设的识别策略筛选出敏感信息。其中预设的 识别策略包括:采用文本匹配和/或规则匹配和/或结构化匹配方法,对所述信息分词进行 匹配。符合匹配条件的信息分词,即被视为敏感信息。
[0059] 具体的,文本匹配方法包括:建立并维护敏感信息词库,将得到的信息分词与敏感 信息词库中的词进行匹配,当找到匹配词时,确定该信息分词为敏感信息。
[0060] 规则匹配方法包括: