申请/专利权人：贵州大学

申请日：2019-01-04

公开（公告）日：2023-03-14

公开（公告）号：CN109740363B

主分类号：G06F21/60

分类号：G06F21/60;G06F21/62

优先权：

专利状态码：有效-授权

法律状态：2023.03.14#授权;2019.06.04#实质审查的生效;2019.05.10#公开

摘要：本发明公开了一种文档分级脱敏加密方法。本发明将文档脱敏技术、文档分级技术以及文档加密技术结合实现文档保密性、完整性、可用性、安全共享、文档分级以及特殊情况下的工作需要，构造敏感信息的可计算的线性代数模型，实现敏感信息的快速、准确定位，以及多信息关联确定，防止泄露国家机密，对保障国家安全有着积极推进的作用。对于等级不同的人员，实现保密文档的分级解密访问控制技术，即拥有不同安全级别的人员在解密相同的保密文档时，可以获取不同的解密信息。实现分级解密的能力。提高加密文件在传输和共享方案中访问控制的灵活性、安全性。分级脱敏加密方法适用于银行、军工单位、党政机关等安全办公需求。

主权项：1.一种文档分级脱敏加密方法，其特征在于：先建立敏感信息表，敏感信息表通过人为创建、更新敏感信息表，或通过机器学习创建、更新敏感信息表；文档创建者对文档进行安全划分；文档创建者选择对文档进行二次分级并脱敏后进行文档加密共享；具体操作包括如下步骤：1初始化：划分文档的安全等级，以及相对应的人员安全等级；确定加密算法及系统密钥参数；2创建文档不同安全等级敏感信息表：对于不同安全等级，建立相对应的安全等级敏感信息表；根据人为创建或机器学习的方式更新敏感信息表；3可计算的线性代数模型构造：首先将一个单调布尔函数转化成一个访问树，用到的访问树都是二叉树：每一个内部节点都是AND或者OR这样的逻辑关系，叶子结点对应着信息，完成以上变换之后，将访问树变换成一个等价矩阵M；从树的根节点开始，以自顶向下的方式用向量表示一个内部结点；根节点设置其向量为1，即一个长度为1的向量；父节点是一个向量a标记的AND,用向量a|1标记它左边的子节点，用向量0,…0|-1标记它右边的子节点，其中0,…0表示长度为c的零向量；然后将c的长度增加1用于对下一层节点并进行如上述方法处理；直到整个树的所有节点都标记完成后，所标记树的叶子节点的向量构成了线性矩阵；当这些向量的长度不同的情况下，采用0在该向量的末尾补齐，使得所有向量的长度都相同；将访问树转化成其对应的矩阵M，然后将矩阵M的横向量相加，如果可化为1,0，..，0，则表示这些信息能够组成敏感信息，如不能则表示这些信息不是敏感信息；4文档创始人提交文档上传请求：创建人提出请求，通过则进入下步，不通过则结束；5文档分级：创建者给文档确定安全等级，然后系统根据敏感信息表判断文档安全等级是否合理；杜绝低安全等级人员上传高安全等级文档、杜绝高安全等级文档被划分为低安全等级文档或杜绝低安全等级人员操作高安全等级文档；提高文档在传输和共享方案中访问控制的灵活性和安全性；6加密：对文档进行加密，对于不同安全等级的文档选择不同的加密算法加密文档；对于不同安全等级的文档密钥可选择不同的非对称密码算法加密文档密钥；7上传共享：创建者将分级、脱密、加密后的文档上传共享，供不同安全等级的人员解密使用。

全文数据：文档分级脱敏加密方法技术领域本发明涉及计算机安全技术领域，具体为一种文档分级脱敏加密方法。背景技术文档存储在计算机系统中,并通过计算机网络进行传输、交换,其中,国家机密、商业信息以及个人隐私等数据一旦被非法窃取或删改将造成难以估量的损失。对于文档构建多级安全等级，同时对用户划分等级，使的用户权限和文档等级相对应。以达到对用户的权限进行控制和管理，减少或防止攻击。敏感数据被泄露和攻击的危险存在其生命周期的所有部分，例如生产、存储等。这些风险包括：数据库侵人、协议漏洞、内部人员越权访问、以及合法职员错误操作等。大多数公司专注于外围安全和终端防护，购置反病毒软件或防火墙，并安全的配置网络设备。但是，对于各行业的中心资产数据来说，这种预防方法实现能力有限。伴随着大数据时期，隐私数据的价值越来越高，各行业应重点投资保护敏感数据的外漏风险，达到预期的安全收益。数据脱敏指在保留其文档原有的特征的条件下，根据需要对敏感数据进行一定的变换或遮蔽。不论是管理者还是使用者，只有在必须知道和被授权的条件下，才能通过特定的工具和运用程序来访问数据的真实值。以此减少那些重要数据在移动和共享时的风险。在不降低安全性、扩大原有数据的使用规模和共享对象的先前条件下，数据脱敏是大数据环境下最有用的保护敏感信息的方法。但在一些特殊情况下，诸如一些高安全等级的文档里提到的任务需要不同安全等级的人员共同完成。而低安全等级的人员又无法查看高安全等级的文档，因此将高安全等级的文档进行分级脱敏，即将同一份文档脱敏成不同的安全等级的文档，供不同安全等级的人员查看，这样可很好的解决这类问题。发明内容针对现有技术的不足，本发明提供了一种基于国密的代理签章方法，它实现文档保密性、完整性、可用性、安全共享、文档分级以及特殊情况下的工作需要，还能实现敏感信息的快速、准确定位，以及多信息关联确定。为实现以上目的，本发明通过以下技术方案予以实现：文档分级脱敏加密方法，先建立敏感信息表，敏感信息表通过人为创建、更新敏感信息表，或通过机器学习创建、更新敏感信息表；文档创建者对文档进行安全划分；文档创建者选择对文档进行二次分级并脱敏后进行文档加密共享。具体操作包括如下步骤：1初始化：划分文档的安全等级，以及相对应的人员安全等级；确定加密算法及系统密钥参数；2创建文档不同安全等级敏感信息表：对于不同安全等级，建立相对应的安全等级敏感信息表；根据人为创建或机器学习的方式更新敏感信息表；3可计算的线性代数模型构造：首先将一个单调布尔函数转化成一个访问树，用到的访问树都是二叉树：每一个内部节点都是AND或者OR这样的逻辑关系，叶子结点对应着信息，完成以上变换之后，将访问树变换成一个等价矩阵M；从树的根节点开始，以自顶向下的方式用向量表示一个内部结点；根节点设置其向量为1，即一个长度为1的向量；父节点是一个向量a标记的AND,用向量a|1标记它左边的子节点，用向量0,….0|-1标记它右边的子节点，其中0,…0表示长度为c的零向量；然后将c的长度增加1用于对下一层节点进行如上处理，对下一层节点进行如上处理；整个树的所有节点都标记完成后，所标记树的叶子节点的向量构成了线性矩阵；当这些向量的长度不同的情况下，采用0在该向量的末尾补齐，使得所有向量的长度都相同；将访问树转化成其对应的矩阵M，然后将矩阵M的横向量相加，如果可化为1,0，..，0，则表示这些信息能够组成敏感信息，如不能则表示这些信息不是敏感信息；4文档创始人提交文档上传请求：创建人提出请求，通过则进入下步，不通过则结束；5文档分级：创建者给文档确定安全等级，然后系统根据敏感信息表判断文档安全等级是否合理；杜绝低安全等级人员上传高安全等级文档、杜绝高安全等级文档被划分为低安全等级文档或杜绝低安全等级人员操作高安全等级文档；提高文档在传输和共享方案中访问控制的灵活性和安全性；6加密：对文档进行加密，对于不同安全等级的文档选择不同的加密算法加密文档；对于不同安全等级的文档密钥可选择不同的非对称密码算法加密文档密钥。7上传共享：创建者将分级、脱密、加密后的文档上传共享，供不同安全等级的人员解密使用。对于不同安全等级文档，选择不同加密方法及混合加密方法。加密方法包括加密算法DES、3DES、AES及国密SM4；非对称加密算法可选择RES、ECC及国密SM2。所述的机器学习方式包括关联规则学习、关键词分析、基于事例推理的学习、数据语义分析及历史数据分析。有益效果与现有技术相比，本发明将文档脱敏技术、文档分级技术以及文档加密技术结合实现文档保密性、完整性、可用性、安全共享、文档分级以及特殊情况下的工作需要，构造敏感信息的可计算的线性代数模型，实现敏感信息的快速、准确定位，以及多信息关联确定，防止泄露国家机密，对保障国家安全有着积极推进的作用。对于等级不同的人员，实现保密文档的分级解密访问控制技术，即拥有不同安全级别的人员在解密相同的保密文档时，可以获取不同的解密信息。实现分级解密的能力。提高加密文件在传输和共享方案中访问控制的灵活性、安全性。分级脱敏加密方法适用于银行、军工单位、党政机关等安全办公需求。附图说明图1根据发明方式的文档分级脱密加密方法的流程图；图2多信息可计算的线性代数模型构造图；图3文档安全级别，人员安全级别对应图；图4分级脱密图；图5为高等级别敏感信息表访问树及可计算的线性代数矩阵。具体实施方式下面将以国标SM2、SM4对本发明进行进一步说明，但并不作为本发明的限定。本发明的实施例1：文档分级脱敏加密方法，初始化：划分文档的安全等级，以及相对应的人员安全等级；确定加密算法、系统密钥参数等。本实施例优选的将文档安全等级从高到底可划分为：文档安全一级文档安全二级文档安全三级文档安全四级文档安全五级；对应人员安全级别从高到底可划分为：人员安全一级人员安全二级人员安全三级人员安全四级人员安全五级。安全人员可以处理文档安全级别不高于本人对应文档安全级别的文档、不能处理文档级别高于本人对应文档安全级别的文档。优选加密算法国标SM2、SM4。创建文档不同安全等级敏感信息表：文档安全一级敏感信息表：预研战机OR发动机技术AND突破OR领导指示、……。文档安全二级敏感信息表：检查OR问题AND技术AND6SOR财务。文档安全三级敏感信息表：批评AND有害……。文档安全四级敏感信息表：内部轮休表OR问题AND整顿……。文档安全五级敏感信息表：端午放假通知OR国庆放假通知OR春节放假通知……。实施例将以文档安全二级敏感信息表为例构造访问树及可计算的线性代数矩阵。如图5所示。将各信息所代表的横向量相加，看是否可以转化为1,0,0,0。例如文档中出现“检测”，“技术”信息。则将所代表的向量1,1,0、0,-1,0相加，得到向量1,0,0说明当文档中同时出现“检测”，“技术”时，可定位中高等级别敏感信息。文档创始人提交文档上传请求：创建人提出请求，通过则进入下步，不通过则结束。系统判定创建人是否有上传文档的等权限。文档分级：创建者给文档确定安全等级，然后系统根据敏感信息表判断文档安全等级是否合理。例如当上传者将文档定级为中高等级别，而文档里有“预研战机”等信息，系统提示定级不准确，不准上传。或者一般级别人员定文档级别为中高等级别，由于低级人员无权定高安全级别文档，不准上传。杜绝低安全等级人员上传高安全等级文档、杜绝高安全等级文档被划分为低安全等级文档、杜绝低安全等级人员操作高安全等级文档；提高文档在传输和共享方案中访问控制的灵活性和安全性。文档脱敏二次分级：创建人选择是否进行对文档进行脱敏和二次分级。当用户未选择文档脱敏时，跳到加密步。用户选择文档脱敏和二次分级时，系统依据文档安全等级敏感信息表和用户选择脱敏等级，脱敏成不同级别的安全文档。利用替换、混淆、加密、遮挡等方法实现文档脱敏。例如用户安全级别为重要级别，上传文档安全级别为中高等级别，文档编号为3645152678，选择脱敏级别分为中等级别、中低等级别，脱敏完后该文档有中高等级别、中等级别、中低等级别3个安全级别的文档。不与不同安全级别的人员，可以查看不同级别的文档，提高加密文件在传输和共享方案中访问控制的灵活性、安全性。加密：更加系统选择的加密的算法，对文档利用国密SM4进行加密。利用国密SM2加密文档密钥。上传共享：创建者将分级、脱密、加密后的文档上传共享。更加实际文档操作人为或通过机器学习的办法更新.敏感信息表。尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

权利要求：1.一种文档分级脱敏加密方法，其特征在于：先建立敏感信息表，敏感信息表通过人为创建、更新敏感信息表，或通过机器学习创建、更新敏感信息表；文档创建者对文档进行安全划分；文档创建者选择对文档进行二次分级并脱敏后进行文档加密共享。2.根据权利要求1所述的文档分级脱敏加密方法，其特征在于，具体操作包括如下步骤：1初始化：划分文档的安全等级，以及相对应的人员安全等级；确定加密算法及系统密钥参数；2创建文档不同安全等级敏感信息表：对于不同安全等级，建立相对应的安全等级敏感信息表；根据人为创建或机器学习的方式更新敏感信息表；3可计算的线性代数模型构造：首先将一个单调布尔函数转化成一个访问树，用到的访问树都是二叉树：每一个内部节点都是AND或者OR这样的逻辑关系，叶子结点对应着信息，完成以上变换之后，将访问树变换成一个等价矩阵M；从树的根节点开始，以自顶向下的方式用向量表示一个内部结点；根节点设置其向量为1，即一个长度为1的向量；父节点是一个向量a标记的AND,用向量a|1标记它左边的子节点，用向量0,….0|-1标记它右边的子节点，其中0,…0表示长度为c的零向量；然后将c的长度增加1用于对下一层节点并进行如上述方法处理；直到整个树的所有节点都标记完成后，所标记树的叶子节点的向量构成了线性矩阵；当这些向量的长度不同的情况下，采用0在该向量的末尾补齐，使得所有向量的长度都相同；将访问树转化成其对应的矩阵M，然后将矩阵M的横向量相加，如果可化为1,0，..，0，则表示这些信息能够组成敏感信息，如不能则表示这些信息不是敏感信息；4文档创始人提交文档上传请求：创建人提出请求，通过则进入下步，不通过则结束；5文档分级：创建者给文档确定安全等级，然后系统根据敏感信息表判断文档安全等级是否合理；杜绝低安全等级人员上传高安全等级文档、杜绝高安全等级文档被划分为低安全等级文档或杜绝低安全等级人员操作高安全等级文档；提高文档在传输和共享方案中访问控制的灵活性和安全性；6加密：对文档进行加密，对于不同安全等级的文档选择不同的加密算法加密文档；对于不同安全等级的文档密钥可选择不同的非对称密码算法加密文档密钥。7上传共享：创建者将分级、脱密、加密后的文档上传共享，供不同安全等级的人员解密使用。3.根据权利要求2所述的文档分级脱敏加密方法，其特征在于：对于不同安全等级文档，选择不同加密方法及混合加密方法。4.根据权利要求3所述的文档分级脱敏加密方法，其特征在于：加密方法包括加密算法DES、3DES、AES及国密SM4，用于加密文档；非对称加密算法可选择RES、ECC及国密SM2。5.根据权利要求2所述的文档分级脱敏加密方法，其特征在于：所述的机器学习方式包括关联规则学习、关键词分析、基于事例推理的学习、数据语义分析及历史数据分析。6.根据权利要求2所述的文档分级脱敏加密方法，其特征在于：在进行加密前，将文档脱敏二次分级：创建人选择是否进行对文档进行脱敏和二次分级，不进行脱敏和二次分级，则进入加密步骤；如果进行脱敏和二次分级，则依据文档安全等级敏感信息表和用户选择脱敏等级，脱敏成不同安全级别的安全文档；脱敏是利用替换、混淆、加密或遮挡的方式中的一种或几种实现文档脱敏。

百度查询： 贵州大学 文档分级脱敏加密方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD