数据库掩码处理方法和装置与流程

本发明涉及计算机，尤其涉及一种数据库掩码处理方法和装置。

背景技术：

1、数据库动态掩码策略旨在限制敏感数据的公开，同时防止没有访问权限的用户查看敏感数据。具体应用中，数据库动态掩码策略实施主要可以分为权限设置与掩码策略设置，权限设置指的是对用户操作权限进行划分，分为可以查看原始数据和只能查看掩码数据两种权限；掩码策略设置指的是对数据表中的敏感列设置所使用的掩码规则，例如信用卡只公开指定字段的最后四位数，所达到的效果是只有授权用户可以查看原始数据，非授权用户只能查看掩码后的数据。

2、在实现本发明的过程中，发明人发现现有技术至少存在以下问题：在对数据库的原始表进行运算生成结果表之后，与原始表中敏感数据相关的结果表数据都被掩码处理，导致结果表数据的可用性较差；另外，结果表中一般以列为单位进行掩码处理，无法针对每个单元格的具体情况判断是否需要进行掩码，粒度过粗。

技术实现思路

1、有鉴于此，本发明实施例提供一种数据库掩码处理方法和装置，能够在单元格粒度判断是否需要进行掩码处理，从而在防止敏感数据暴露的前提下提高结果表数据的可用性。

2、为实现上述目的，根据本发明的一个方面，提供了一种数据库掩码处理方法。

3、本发明实施例的数据库掩码处理方法包括：根据当前用户输入的、针对数据库中原始表的运算语句对所述原始表进行运算，获得由原始数据组成的结果表；其中，所述当前用户不具有原始数据查看权限，所述原始表中具有预先确定的、与掩码处理相关的至少一个实体字段；对于所述结果表中的任一单元格：获取该单元格在所述原始表中的来源行和来源列，从所述来源行中确定该单元格在所述实体字段的关联实体数量，从所述来源列中确定该单元格在所述实体字段的实体数量阈值；在该单元格的关联实体数量和相应的实体数量阈值符合预设的掩码条件时，对该单元格的原始数据进行掩码处理后形成该单元格的输出数据，将所述输出数据组成输出表向所述当前用户输出。

4、可选地，所述从所述来源行中确定该单元格在所述实体字段的关联实体数量，包括：统计所述来源行在任一实体字段的非重复实体数量，将该数量确定为该单元格在该实体字段的关联实体数量。

5、可选地，所述从所述来源列中确定该单元格在所述实体字段的实体数量阈值，包括：预先为所述原始表的每一列配置对应于每一实体字段的实体数量阈值；获取所述来源列在任一实体字段的实体数量阈值的最大值，将该最大值确定为该单元格在该实体字段的实体数量阈值。

6、可选地，所述在该单元格的关联实体数量和相应的实体数量阈值符合预设的掩码条件时，对该单元格的原始数据进行掩码处理后形成该单元格的输出数据，包括：将该单元格取值为零的关联实体数量去除；针对所述去除后的任一关联实体数量：在该关联实体数量小于该单元格在同一实体字段的实体数量阈值时，按照预先为该单元格所在列设置的掩码策略对该单元格的原始数据进行掩码处理。

7、可选地，所述方法进一步包括：在所述将所述输出数据组成输出表向所述当前用户输出之前：针对所述去除后的每一关联实体数量：在该关联实体数量大于或等于该单元格在同一实体字段的实体数量阈值时，将该单元格的原始数据确定为该单元格的输出数据。

8、为实现上述目的，根据本发明的另一方面，提供了一种数据库掩码处理装置。

9、本发明实施例的数据库掩码处理装置可包括：运算单元，用于：根据当前用户输入的、针对数据库中原始表的运算语句对所述原始表进行运算，获得由原始数据组成的结果表；其中，所述当前用户不具有原始数据查看权限，所述原始表中具有预先确定的、与掩码处理相关的至少一个实体字段；数据准备单元，用于：对于所述结果表中的任一单元格，获取该单元格在所述原始表中的来源行和来源列，从所述来源行中确定该单元格在所述实体字段的关联实体数量，从所述来源列中确定该单元格在所述实体字段的实体数量阈值；屏蔽单元，用于：在该单元格的关联实体数量和相应的实体数量阈值符合预设的掩码条件时，对该单元格的原始数据进行掩码处理后形成该单元格的输出数据，将所述输出数据组成输出表向所述当前用户输出。

10、可选地，所述数据准备单元可进一步用于：统计所述来源行在任一实体字段的非重复实体数量，将该数量确定为该单元格在该实体字段的关联实体数量；预先为所述原始表的每一列配置对应于每一实体字段的实体数量阈值；获取所述来源列在任一实体字段的实体数量阈值的最大值，将该最大值确定为该单元格在该实体字段的实体数量阈值。

11、可选地，所述屏蔽单元可进一步用于：将该单元格取值为零的关联实体数量去除；针对所述去除后的任一关联实体数量：在该关联实体数量小于该单元格在同一实体字段的实体数量阈值时，按照预先为该单元格所在列设置的掩码策略对该单元格的原始数据进行掩码处理；在所述将所述输出数据组成输出表向所述当前用户输出之前：针对所述去除后的每一关联实体数量：在该关联实体数量大于或等于该单元格在同一实体字段的实体数量阈值时，将该单元格的原始数据确定为该单元格的输出数据。

12、为实现上述目的，根据本发明的又一方面，提供了一种电子设备。

13、本发明的一种电子设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本发明所提供的数据库掩码处理方法。

14、为实现上述目的，根据本发明的再一方面，提供了一种计算机可读存储介质。

15、本发明的一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现本发明所提供的数据库掩码处理方法。

16、根据本发明的技术方案，上述发明中的实施例具有如下优点或有益效果：

17、在接收到当前用户(此用户不具有原始数据查看权限)输入的、针对数据库中原始表的运算语句之后，对原始表进行运算，形成由原始数据组成的结果表；接着，判断结果表中的每一单元格，即首先获取该单元格在原始表中的来源行和来源列，并从来源行中确定该单元格在预设的实体字段的关联实体数量，从来源列中确定该单元格在实体字段的实体数量阈值；此后，判断该单元格的关联实体数量和相应的实体数量阈值是否符合预设的掩码条件：若符合，则按照预设的掩码策略对该单元格的原始数据进行掩码处理；否则，将该单元格的原始数据保留；最后，将以上数据组成输出表向当前用户输出。通过以上步骤，实现了单元格粒度的掩码处理判别，当单元格数据涉及数量较大(例如大于等于阈值)的实体时，用户无法从中挖掘出单一实体的敏感数据，因此可以将原始数据输出；当单元格数据涉及的实体数量较小(例如小于阈值)时，存在暴露敏感数据的可能，此时需要执行掩码处理后输出，这样，能够在防止将敏感数据暴露给未经授权用户的前提下提高数据可用性，并且实现单元格粒度的隐私控制。

18、上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。

技术特征：

1.一种数据库掩码处理方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述从所述来源行中确定该单元格在所述实体字段的关联实体数量，包括：

3.根据权利要求1所述的方法，其特征在于，所述从所述来源列中确定该单元格在所述实体字段的实体数量阈值，包括：

4.根据权利要求1所述的方法，其特征在于，所述在该单元格的关联实体数量和相应的实体数量阈值符合预设的掩码条件时，对该单元格的原始数据进行掩码处理后形成该单元格的输出数据，包括：

5.根据权利要求4所述的方法，其特征在于，所述方法进一步包括：在所述将所述输出数据组成输出表向所述当前用户输出之前：

6.一种数据库掩码处理装置，其特征在于，包括：

7.根据权利要求6所述的装置，其特征在于，所述数据准备单元进一步用于：

8.根据权利要求6所述的装置，其特征在于，所述屏蔽单元进一步用于：

9.一种电子设备，其特征在于，包括：

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求1-5中任一所述的方法。

技术总结
本发明公开了一种数据库掩码处理方法和装置，涉及计算机技术领域。该方法的一具体实施方式包括：根据当前用户输入的、针对数据库中原始表的运算语句对原始表进行运算，获得由原始数据组成的结果表；对于结果表中的任一单元格：获取该单元格在原始表中的来源行和来源列，从来源行中确定该单元格在实体字段的关联实体数量，从来源列中确定该单元格在实体字段的实体数量阈值；在该单元格的关联实体数量和实体数量阈值符合掩码条件时，对该单元格的原始数据进行掩码处理后形成该单元格的输出数据，将输出数据组成输出表向当前用户输出。该实施方式能够在防止敏感数据暴露的前提下提高结果表数据的可用性。

技术研发人员：王畅
受保护的技术使用者：北京沃东天骏信息技术有限公司
技术研发日：
技术公布日：2024/1/13