WO2019128713A1

WO2019128713A1 - 一种隐私信息的处理方法、装置及存储介质

Info

Publication number: WO2019128713A1
Application number: PCT/CN2018/120568
Authority: WO
Inventors: 李凤华; 华佳烽; 李晖; 牛犇; 谢绒娜
Original assignee: 西安电子科技大学; 中国科学院信息工程研究所
Priority date: 2017-12-29
Filing date: 2018-12-12
Publication date: 2019-07-04
Also published as: CN107944299B; CN107944299A

Abstract

一种隐私信息的处理方法、装置及存储介质，所述方法包括：接收到文档信息后，从所述文档信息中获取多个隐私信息分量，生成隐私文档描述信息（11）；接收到访问实体访问所述文档信息的请求后，根据所述访问实体的身份信息和所述隐私文档描述信息，确定所述访问实体能访问所述文档信息的隐私信息分量中的一个或多个（12）。

Description

一种隐私信息的处理方法、装置及存储介质

技术领域

本申请涉及但不限于信息技术领域，尤其涉及一种隐私信息的处理方法、装置及存储介质。

背景技术

随着网络技术、信息技术的持续快速发展和应用的广泛普及，形成了包含局域网、互联网、移动网和物联网等具有开放性、异构性、移动性、动态性、多安全域等诸多特性的泛在网络，其信息传播方式可以归纳为通过“网络之网络”访问“系统之系统”。泛在网络中，跨系统随机访问成为信息交换的主体，为人们工作、生活、学习等提供了便利。

然而，随着云计算和大数据技术的迅速发展，数据的收集、共享、发布与分析会导致用户隐私信息的泄露，给用户带来巨大的安全威胁。在信息跨系统随机访问的过程中，不同信息系统中的访问实体和访问环境也不同，而当前的隐私保护技术大多是针对特定系统和特定访问环境下的隐私保护，欠缺对于隐私需求会随时间、环境等因素动态变化的考虑，当隐私信息在不同的信息系统中流转时，相关技术中的隐私保护机制将无法实现动态隐私保护。

发明概述

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。本申请实施例提供了一种隐私信息的处理方法、装置及存储介质。

本申请实施例提供了一种隐私信息的处理方法，包括：

接收到文档信息后，从所述文档信息中获取多个隐私信息分量，生成隐私文档描述信息；

接收到访问实体访问所述文档信息的请求后，根据所述访问实体的身份信息和所述隐私文档描述信息，确定所述访问实体能访问所述文档信息的隐私信息分量中的一个或多个。

可选地，所述从所述文档信息中获取多个隐私信息分量，包括：

根据信息类型和语义特征对所述文档信息进行拆分，得到多个隐私信息分量，其中，

所述信息类型包括以下的一种或多种的任意组合：文本、音频、视频、图像，

所述语义特征包括以下的一种或多种的任意组合：字、词、语调、语气、音素、音调、帧、像素、颜色；

所述隐私信息分量用于描述在语义上具有信息量的、不可分割的、彼此互不相交的原子信息。

可选地，所述隐私文档描述信息包括约束条件集合和隐私属性向量，所述生成隐私文档描述信息包括：

对任一所述隐私信息分量，根据应用场景特征信息生成对应的约束条件向量，根据所有约束条件向量生成约束条件集合；

对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，根据所述约束条件向量和预定的量化操作函数生成所述隐私属性分量，根据所有隐私属性分量生成隐私属性向量。

可选地，所述应用场景特征信息包括以下的一种或多种的任意组合：时间权限、空间权限、设备权限、网络权限；

所述约束条件向量包括以下的一种或多种的任意组合：访问角色、访问时间、访问空间、访问设备、访问网络。

可选地，所述根据访问实体的身份信息和所述隐私文档描述信息，确定能访问所述文档信息的隐私信息分量中的一个或多个，包括：

从所述文档信息中提取所述隐私文档描述信息；

对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，根据所述访问实体的身份信息、所述约束条件向量和预定的访问阈值生成函数，生成访问阈值分量；

对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，确定对应的隐私属性分量与所述访问阈值分量之间的差值，当所述差值满足指定范围时，所述差值对应的隐私信息分量或所述多个隐私信息分量的组合能被所述访问实体访问。

可选地，所述隐私文档描述信息还包括传播控制操作集合，所述生成隐私文档描述信息还包括：

对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，根据所述约束条件向量、所述隐私属性分量和预定的操作判别函数生成所述传播控制操作向量，

所述传播控制操作向量用于描述与其对应的所述隐私信息分量或所述多个隐私信息分量的组合能被执行的操作，所述操作包括以下的一种或多种的任意组合：隐私信息分量的复制、粘贴、转发、剪切、修改、删除。

可选地，所述根据所述访问实体的身份信息和所述隐私文档描述信息，确定所述访问实体能访问所述文档信息的隐私信息分量中的一个或多个之后，还包括：

接收到所述访问实体选取一个或多个所述隐私信息分量或所述多个隐私信息分量的任意组合以执行操作的指令后，针对所选取的一个或多个所述隐私信息分量或所述多个隐私信息分量的组合，确定待执行的所述操作符合对应的所述传播控制操作向量所描述的操作时，执行所述操作。

可选地，所述隐私文档描述信息还包括广义定位信息集合，或还包括审计控制信息集合，或还包括广义定位信息集合和审计控制信息集合，所述生成隐私文档描述信息还包括：

根据任一所述隐私信息分量生成广义定位信息向量，或生成审计控制信息向量，或生成广义定位信息向量和审计控制信息向量，对所有所述隐私信息分量对应的所述广义定位信息向量生成广义定位信息集合，对所有所述隐私信息分量对应的所述审计控制信息向量生成审计控制信息集合，

所述广义定位信息向量用于描述对应的隐私信息分量在所述文档信息中的位置信息及属性信息，所述审计控制信息向量用于描述对应的隐私信息分量在流转过程中的主客体信息和被执行的操作的记录。

可选地，所述执行所述操作之后，还包括：

更新所述操作的对象对应的隐私信息向量、广义定位信息集合、审计控制信息集合、隐私属性向量、约束条件集合、传播控制操作集合中的一个或多个。

可选地，所述方法利用隐私计算语言进行形式化描述，所述隐私计算语言包括以下的一种或多种的任意组合：隐私定义语言、隐私操作语言和隐私控制语言，

所述隐私定义语言用于描述所述文档信息的属性信息的数据类型、数据长度及其相关的完整性约束；

所述隐私操作语言用于描述对所述文档信息进行操作的行为；

所述隐私控制语言用于描述对所述文档信息的访问控制权限的授予、鉴别和撤销中的一种或多种的任意组合。

本申请实施例提供了一种隐私信息的处理装置，其中，包括：

生成模块，用于接收到文档信息后，从所述文档信息中获取多个隐私信息分量，生成隐私文档描述信息；

处理模块，用于接收到访问实体访问所述文档信息的请求后，根据所述访问实体的身份信息和所述隐私文档描述信息，确定所述访问实体能访问所述文档信息的隐私信息分量中的一个或多个。

可选地，所述生成模块，从所述文档信息中获取多个隐私信息分量，包括：根据信息类型和语义特征对所述文档信息进行拆分，得到多个隐私信息分量，其中，所述信息类型包括以下的一种或多种的任意组合：文本、音频、视频、图像，所述语义特征包括以下的一种或多种的任意组合：字、词、语调、语气、音调、音素、帧、像素、颜色；所述隐私信息分量用于描述在语义上具有信息量的、不可分割的、彼此互不相交的原子信息。

可选地，所述生成模块，生成的所述隐私文档描述信息包括约束条件集合和隐私属性向量，所述生成隐私文档描述信息包括：对任一所述隐私信息分量，根据应用场景特征信息生成所述约束条件向量，根据所有约束条件向量生成约束条件集合；对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，根据所述约束条件向量和预定的量化操作函数生成所述隐私属性分量，根据所有隐私属性分量生成隐私属性向量，

所述应用场景特征信息包括以下的一种或多种的任意组合：时间权限、空间权限、设备权限、网络权限；

可选地，所述处理模块，根据所述访问实体的身份信息和所述隐私文档描述信息确定能访问所述文档信息的隐私信息分量中的一个或多个，包括：从所述文档信息中提取所述隐私文档描述信息；对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，根据所述访问实体的身份信息、所述约束条件向量和预定的访问阈值生成函数，生成访问阈值分量；对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，确定对应的所述隐私属性分量与所述访问阈值分量之间的差值，当所述差值满足指定范围时，所述差值对应的隐私信息分量或所述多个隐私信息分量的组合能被所述访问实体访问。

可选地，所述生成模块，生成的隐私文档描述信息还包括传播控制操作集合，所述生成隐私文档描述信息还包括：对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，根据所述约束条件向量、所述隐私属性分量和预定的操作判别函数生成所述传播控制操作向量，所述传播控制操作向量用于描述与其对应的所述隐私信息分量或所述隐私信息分量的组合能被执行的操作，所述操作包括以下的一种或多种的任意组合：隐私信息分量的复制、粘贴、转发、剪切、修改、删除。

可选地，所述处理模块，根据所述访问实体的身份信息和所述隐私文档描述信息确定能访问所述文档信息的隐私信息分量中的一个或多个之后，所述处理器还执行以下步骤：接收到所述访问实体选取一个或多个所述隐私信息分量或所述多个隐私信息分量的任意组合执行操作的指令后，针对所选取的一个或多个隐私信息分量或所述多个隐私信息分量的组合确定待执行的所述操作符合对应的所述传播控制操作向量所描述的操作时，执行所述操作。

可选地，所述生成模块，生成的隐私文档描述信息还包括广义定位信息集合，或还包括审计控制信息集合，或还包括广义定位信息集合和审计控制信息集合，所述生成隐私文档描述信息还包括：根据任一所述隐私信息分量生成广义定位信息向量，或生成审计控制信息向量，或生成广义定位信息向量和审计控制信息向量，对所有所述隐私信息分量对应的所述广义定位信息向量生成广义定位信息集合，对所有所述隐私信息分量对应的所述审计控制信息向量生成审计控制信息集合，所述广义定位信息向量用于描述对应的隐私信息分量在所述文档信息中的位置信息及属性信息，所述审计控制信息向量用于描述对应的隐私信息分量在流转过程中的主客体信息和被执行的操作的记录。

可选地，所述处理模块，执行所述操作之后，还包括：更新所述操作的对象对应的隐私信息向量、广义定位信息集合、审计控制信息集合、隐私属性向量、约束条件集合、传播控制操作集合中的一个或多个。

本申请实施例提供了一种隐私信息的处理装置，包括处理器和非易失性计算机可读存储介质，所述非易失性计算机可读存储介质中存储有指令，其中，当所述指令被所述处理器执行时，所述处理器执行以下步骤：

接收到访问实体访问所述文档信息的请求后，根据所述访问实体的身份信息和所述隐私文档描述信息，确定所述访问实体能访问所述文档信息的隐私信息分量中的一个或多个。可选的，从所述文档信息中获取多个隐私信息分量，包括：根据信息类型和语义特征对所述文档信息进行拆分，得到多个隐私信息分量，其中，所述信息类型包括以下的一种或多种的任意组合：文本、音频、视频、图像，所述语义特征包括以下的一种或多种的任意组合：字、词、语调、语气、音调、音素、帧、像素、颜色；所述隐私信息分量用于描述在语义上具有信息量的、不可分割的、彼此互不相交的原子信息。

可选的，生成的所述隐私文档描述信息包括约束条件集合和隐私属性向量，所述生成隐私文档描述信息包括：对任一所述隐私信息分量，根据应用场景特征信息生成所述约束条件向量，根据所有约束条件向量生成约束条件集合；对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，根据所述约束条件向量和预定的量化操作函数生成所述隐私属性分量，根据所有隐私属性分量生成隐私属性向量，

可选的，根据所述访问实体的身份信息和所述隐私文档描述信息确定能访问所述文档信息的隐私信息分量中的一个或多个，包括：从所述文档信息中提取所述隐私文档描述信息；对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，根据所述访问实体的身份信息、所述约束条件向量和预定的访问阈值生成函数，生成访问阈值分量；对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，确定对应的所述隐私属性分量与所述访问阈值分量之间的差值，当所述差值满足指定范围时，所述差值对应的隐私信息分量或所述多个隐私信息分量的组合能被所述访问实体访问。

本申请实施例提供了一种非易失性计算机可读存储介质，包括计算机程序，其中，所述计算机程序被处理器执行时执行以下步骤：

本申请实施例提供了一种隐私信息的处理系统，包括上述的装置。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

图1为本申请实施例的一种隐私信息的处理方法的流程图；

图2为本申请又一实施例的一种隐私信息的处理方法的流程图；

图3为本申请再一实施例的一种隐私信息的处理方法的流程图；

图4为本申请应用实例的隐私文档描述信息的生成装置的示意图；

图5为本申请应用实例1的文本信息的隐私文档描述信息的封装方法的示意图；

图6为本申请应用实例2的JEPG文件的隐私文档描述信息的封装方法的示意图；

图7为本申请应用实例3的MP4文件的隐私文档描述信息的封装方法的示意图；

图8为本申请一实施例的一种隐私信息的处理装置的示意图。

图9为本申请另一实施例的一种隐私信息的处理装置的示意图。

详述

下面将结合附图及实施例对本申请的技术方案进行更详细的说明。所举实例只用于解释本申请，并非用于限定本申请的范围。

需要说明的是，如果不冲突，本申请实施例以及实施例中的一个或多个基本要素可以相互结合，均在本申请的保护范围之内。另外，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1为本申请一示例性实施例的一种隐私信息的处理方法的流程图，如图1所示，本实施例的方法可以包括步骤11至12。

步骤11、接收到文档信息后，从所述文档信息中获取多个隐私信息分量，生成隐私文档描述信息。

隐私信息分量用于描述在语义上具有信息量的、不可分割的、彼此互不相交的原子信息。

隐私信息向量包含n个隐私信息分量，n为正整数。

步骤12、接收到访问所述文档信息的请求后，根据访问实体的身份信息和所述隐私文档描述信息确定能访问所述文档信息的隐私信息分量中的一个或多个。

本实施例的方法能够实现不同访问实体在相同访问环境下所能访问的隐私信息分量不同，同一访问实体在不同访问环境下所能访问的隐私信息分量也不同，实现对隐私信息跨系统、跨安全域流转过程中的延伸控制。

图2为本申请又一示例性实施例的一种隐私信息的处理方法的流程图，如图2所示，所述的方法可以包括步骤101至106。

步骤101，隐私信息向量生成步骤。

根据信息类型和语义特征对文档信息M进行拆分，得到隐私信息分量i ₁,i ₂,…,i _n，n为正整数；对所有隐私信息分量i ₁,i ₂,…,i _n生成隐私信息向量I＝(i ₁,i ₂,…,i _n)；

所述信息类型用于描述可以唯一确定信息格式的标识，包括但不限于包括文本、音频、视频、图像中的一种或多种的任意组合；

所述语义特征用于描述构成词义的若干元素中对形成某个句法结构起决定作用的元素；所述元素是指文档信息中有含有语义的元素，包括但不限于包括字、词、语调、语气、音调、音素、帧、像素、颜色中的一种或多种的任意组合；

所述隐私信息向量I包含n个隐私信息分量i _k，n为正整数，k取值为从1到n的正整数；

所述隐私信息分量i _k用于描述在语义上具有信息量的、不可分割的、彼此互不相交的原子信息；所述在语义上具有信息量是指任意的隐私信息分量i _k的信息熵不为0；所述在语义上不可分割是指任一隐私信息分量i _k在语义上是最小单元；所述在语义上彼此互不相交是指任意两个隐私信息分量在语义上不会重叠。

步骤102，广义定位信息集合和审计控制信息集合生成步骤。

根据任一隐私信息分量i _k生成广义定位信息向量γ _k和审计控制信息向量 ω _k，k为取值从1到n的正整数；对所有隐私信息分量i ₁,i ₂,…,i _n，分别生成广义定位信息集合Γ＝(γ ₁,γ ₂,…,γ _n)，或生成审计控制信息集合Ω＝(ω ₁,ω ₂,…,ω _n)，或生成广义定位信息集合Γ＝(γ ₁,γ ₂,…,γ _n)和审计控制信息集合Ω＝(ω ₁,ω ₂,…,ω _n)。

所述广义定位信息集合Γ包含n个广义定位信息向量γ _k，n为正整数，k取值为从1到n的正整数；

所述广义定位信息向量γ _k用于描述隐私信息分量i _k在所述文档信息M中的位置信息及其属性信息，可对隐私信息分量i _k快速定位；所述位置信息用于描述所述隐私信息分量i _k在所述文档信息M中的位置，包括但不限于包括页码、章节、段落、序号、坐标、帧序号、时间段、音轨、图层、像素数中的一种或多种的任意组合；所述属性信息包括但不限于包括字体、大小、粗细、行间距、像素、色度、亮度、音调、语调、语气中的一种或多种的任意组合；

在文本文件中，位置信息主要包括页码、章节、段落、序号等，属性信息主要包括字体、字号、粗细、斜体、下划线、删除线、上角标、下角标、样式、行间距等；

在图像文件中，位置信息主要包括坐标、图层、像素数，属性信息主要包括像素值、尺寸、宽度、高度、水平分辨率、垂直分辨率、位深度、压缩、颜色表示、对比度、亮度、饱和度、平衡度等；

在视频文件中，位置信息主要包括帧序号、时间段、音轨、图层，属性信息主要包括分辨率、帧速率、比特率、语调、语气、音调、声道、亮度、色度；

在音频文件中，位置信息主要包括时间段、音轨，属性信息主要包括语调、语气、音调、音量。

所述审计控制信息集合Ω包含n个审计控制信息向量ω _k，n为正整数，k取值为从1到n的正整数；

所述审计控制信息向量ω _k用于描述隐私信息分量i _k在流转过程中的主客体信息和被执行的操作记录，若发生隐私信息泄露，可进行追踪溯源；所述主客体信息包括但不限于包括信息所有者、信息转发者、信息接收者、信息发送设备、信息接收设备、信息传输方式、信息传输信道中的一种或多种的任意组合；

所述操作记录包括但不限于包括以下一种或多种的任意组合：复制、粘贴、剪切、转发、修改、删除。

由于跨系统信息交换会导致隐私信息在多个系统中留存，而不同系统的隐私保护策略和能力具有差异性，导致隐私信息存在多点泄露的风险，一旦任一系统发生隐私泄露，势必导致其他系统的隐私保护失效。本申请实施例中的审计控制信息集合生成步骤中，当隐私信息在不同的系统间流转时，通过审计控制信息集合记录一个或多个隐私信息分量的访问实体的变化信息及其被执行的隐私运算操作和隐私控制操作，一旦发生隐私泄露，可根据审计控制信息集合中记录的信息进行追踪溯源。

步骤103，约束条件集合生成步骤。

对任一隐私信息分量i _k，根据应用场景特征信息，生成约束条件向量θ _k，k为取值从1到n的正整数；对所有隐私信息分量i ₁,i ₂,…,i _n，生成约束条件集合Θ＝{θ ₁,θ ₂,…,θ _n}；

所述应用场景特征信息用于描述访问实体为实现访问功能所需权限的集合，包括但不限于包括时间权限、空间权限、设备权限、网络权限中的一种或多种的任意组合；

所述约束条件向量θ _k用于描述在不同场景下访问实体访问隐私信息分量i _k所需的访问权限；所述访问权限包括但不限于包括访问角色、访问时间、访问空间、访问设备、访问网络中的一种或多种的任意组合，只有满足约束条件向量θ _k中全部访问权限的访问实体才能正常访问隐私信息分量i _k。

本申请实施例中的约束条件集合生成步骤从访问实体、时间、空间、网络等多维度生成隐私信息中一个或多个隐私信息分量的约束条件向量，然后根据访问实体的身份信息和约束条件向量生成访问阈值向量，再通过比较隐私属性向量和访问阈值向量判断用户能够访问的隐私信息向量，实现不同访问实体在相同访问环境下所能访问的隐私信息分量不同，同一访问实体在不同访问环境下所能访问的隐私信息分量也不同，实现对隐私信息跨系统、跨安全域流转过程中的延伸控制。

步骤104，隐私属性向量生成步骤。

对任一隐私信息分量i _k，根据约束条件向量θ _k和隐私保护程度量化操作函数σ生成隐私属性分量a _k，其中a _k＝σ(i _k,θ _k)，k为取值从1到n的正整数。对于隐私信息分量i ₁,i ₂,…,i _n的任意组合

为组合运算符，根据隐私保护程度量化操作函数σ生成隐私属性分量a _n+j，其中

对所有隐私信息分量i ₁,i ₂,…,i _n和隐私信息分量组合i _n+1,i _n+2,…,i _m，生成隐私属性向量A＝(a ₁,a ₂,…,a _k,…,a _n,a _n+1,…,a _m)，其中m取值为大于等于n的正整数；

所述隐私保护程度量化操作函数σ用于生成隐私信息分量和隐私信息分量组合对应的隐私属性分量，包括但不限于包括人工标记、加权函数中的一种或多种的任意组合；

所述隐私属性分量a _k用于描述所述隐私信息分量及其组合的保护程度，数值越小表示保护程度越好；

所述组合运算符

可以有多种组合方式，包括但不限于包括语义、语法、加权中的一种或多种的任意组合。

步骤105，传播控制操作集合生成步骤。

对任一隐私属性分量a _k，根据约束条件向量θ _k和操作判别函数g，生成传播控制操作向量ψ _k，其中传播控制操作向量ψ _k＝g(a _k,θ _k)，k为取值从1到n的正整数；或

对任一所述隐私属性分量a _l，根据约束条件向量θ _l和操作判别函数g，生成传播控制操作向量ψ _l，其中传播控制操作向量ψ _l＝g(a _l,θ _l)，约束条件向量

l为取值n+1到m的正整数时；

对所有隐私属性分量a ₁,a ₂,…,a _m，生成传播控制操作集合Ψ＝{ψ ₁,ψ ₂,…,ψ _m}；

所述操作判别函数g包括但不限于包括人工标记、加权函数中的一种或多种的任意组合；所述传播控制操作信息向量ψ _k用于描述隐私信息分量i _k及其组合可被执行的操作；

所述操作用于控制用户对隐私信息分量的使用，包括但不限于包括对隐私信息分量使用以下一种或多种的任意组合：复制、粘贴、转发、剪切、修改、删除。

隐私保护的相关技术普适性较差，大多通过调整单一方案的相关参数或对已有方案进行排列组合来实现，缺乏算法间的细粒度融合和自适应调整，且隐私信息由多个隐私信息分量组成，然而不同隐私信息分量在不同场景下隐私保护需求也具有差异性，亟需多种隐私保护算法协同保护。本申请实施例中的传播控制操作集合生成步骤根据隐私信息分量或隐私信息分量的组合对应的隐私属性分量，利用操作判别函数生成隐私信息分量或隐私信息分量可被执行的隐私运算操作，或可被执行的隐私控制操作，或可被执行的隐私运算操作和隐私控制操作，其中隐私运算操作用于描述隐私信息分量可被执行的隐私保护算法，所述隐私保护算法包括但不限于诸如加密、模糊、泛化中的一种或多种的任意组合，从而为访问实体提供隐私保护算法的选择依据；隐私控制操作用于描述隐私信息分量或隐私信息分量的组合可被执行的操作，所述的可被执行的操作包括但不限于复制、粘贴、转发、剪切、修改、删除中的一种或多种的任意组合，用于确定访问实体对隐私数据的访问控制，或对隐私数据的操作控制，或对隐私数据的访问控制和操作控制。

步骤106，隐私文档描述信息生成步骤。

根据隐私信息向量I、广义定位信息集合Γ、审计控制信息集合Ω、约束条件集合Θ、隐私属性向量A和传播控制操作集合Ψ，生成文档信息M的隐私文档描述信息P；将所述文档信息M与所述隐私文档描述信息P，按照隐私文档描述信息封装方法进行封装；

所述隐私文档描述信息封装方法用于将所述隐私文档描述信息写入到文档信息的指定位置；所述指定位置包括但不限于包括文档信息的头部、尾部、保留字段、拓展域中的一种或多种的任意组合。

隐私保护的相关技术中，对不同类型信息实施不同的隐私保护机制而导致隐私化后的信息难以跨平台共享，本申请实施例中的隐私文档描述信息生成步骤中设计了一种隐私文档描述信息，适用于描述文本、图像、音频、视频等多种类型的隐私信息，使得隐私语义在跨不同平台时能被理解，实现隐私信息跨系统交互。

图3为本申请再一示例性实施例的一种隐私信息的处理方法的流程图，本实施例的方法用于描述隐私文档描述信息的使用方法，如图3所示，本实施例的方法可以包括步骤201至205。

步骤201，隐私文档描述信息提取步骤。

从已经完成封装的文档信息中提取隐私文档描述信息P，所述隐私文档描述信息P包括隐私信息向量I、广义定位信息集合Γ、审计控制信息集合Ω、约束条件集合Θ、隐私属性向量A和传播控制操作集合Ψ。

步骤202，访问阈值向量生成步骤。

对任一隐私信息分量i _k，根据访问实体身份信息u、约束条件向量θ _k和访问阈值生成函数f，生成访问阈值分量b _k，其中访问阈值分量b _k＝f(u,θ _k)，k为取值从1到n的正整数；对所有隐私信息分量i ₁,i ₂,…,i _n，生成访问阈值向量B＝(b ₁,b ₂,…,b _n)；

所述身份信息u用于描述用户身份的唯一标识，包括但不限于包括以下一种或多种的任意组合：用户ID、身份证号、手机号码、邮箱、电话号码、员工编号、网络标识；

所述访问阈值向量中的访问阈值分量与约束条件集合中的约束条件向量一一对应；所述访问阈值分量用于描述访问实体的权限级别；

所述访问阈值生成函数f包括但不限于包括人工标记、加权函数中的一种或多种的任意组合。

步骤203，访问内容判断步骤。

对任一隐私信息分量i _k，计算隐私属性分量a _k和访问阈值分量b _k间的差值c _k＝a _k-b _k，k为取值从1到n的正整数；当c _k大于等于零时，访问实体可以正常访问隐私信息分量i _k；当c _k小于零时，则不能访问；

对任意隐私信息分量组合i _n+j，其中

分别计算隐私属性分量a _n+j和访问阈值分量

的差值

s为取值从1到n的正整数，t为取值从1到s的正整数；当满足所有的

均大于等于零的条件时，访问实体可以正常访问该隐私信息分量的组合；当不满足所述条件时，则不能访问。

步骤204，操作对象选择/执行步骤。

访问实体选取任一所述隐私信息分量i _k，或选取任意所述隐私信息分量组合i _n+j，或选取任一所述隐私信息分量i _k和任意所述隐私信息分量组合i _n+j作为操作对象，并选择可执行的操作。

步骤205，操作合规性判断步骤。

对所述操作对象中的任一隐私信息分量i _k，判断步骤204中所执行的操作是否符合对应的传播控制操作向量ψ _k；对所述操作对象中的任意隐私信息分量的组合i _n+j，判断步骤204中所执行的操作是否符合对应的传播控制操作ψ _n+j；

当符合所述传播控制操作时，执行该操作，并更新操作对象对应的隐私信息向量、广义定位信息集合、审计控制信息集合、隐私属性向量、约束条件集合、传播控制操作集合中的一个或多个；当不符合所述传播控制操作时，则返回操作失败信息。

下面通过应用实例对本申请技术方案进行示例性说明。

应用实例1

本应用实例通过示例性例子来说明如何对文本信息生成隐私文档描述信息及其使用方法。

在本实例中，假设所述的文档信息为文本信息，该文本信息T位于第11页、第3段、第2行，内容是“lucy和willy去中关村吃饭”，文本信息创建者为creator，文本信息中汉字的编码大小为2字节，英文字符的ASCII码大小为1字节。

图4为本应用实例的隐私文档描述信息的生成装置的示意图，如图4所示，根据下面步骤完成隐私信息的处理。

步骤301：隐私信息向量生成单元收到上述文本信息T，根据文件标识符确定信息的类型，根据语义特征将文本信息T进行拆分，得到7个在语义上不可分割的隐私信息分量lucy、和、willy、去、中关村、吃、饭，隐私信息向量，可以表示为I＝(lucy，和，willy，去，中关村，吃，饭)；

分别获取隐私信息分量lucy、和、willy、去、中关村、吃、饭在文本信息T中的广义定位信息向量γ ₁、γ ₂、γ ₃、γ ₄、γ ₅、γ ₆、γ ₇。在本实例中，利用页码、段落、行数、起始位和终止位来表示定位信息，利用字体、字号来表示属性信息。假设γ ₁＝(P11，S3，R2，0，4；Times New Roman，四号)，表示隐私信息分量lucy位于文本信息T的第11页、第3段中的第2行，起始位为0，终止位为4；字体和字号分别为Times New Roman、四号。同理可以得到γ ₂、γ ₃、γ ₄、γ ₅、γ ₆、γ ₇，生成广义定位信息集合Γ＝{γ ₁,γ ₂,…,γ ₇}；

分别获取隐私信息分量lucy、和、willy、去、中关村、吃、饭的审计控制信息向量ω ₁,ω ₂,…,ω ₇。在初始化阶段，审计控制信息向量可以为空。当审计控制信息向量为非空时，假设ω ₁＝(UID ₁，复制，转发；UID ₂，转发，修改)，表示隐私信息分量lucy先后被唯一标识为UID ₁和UID ₂的用户访问和操作过，其中“UID ₁，复制，转发”表示隐私信息分量lucy被用户UID ₁执行了复制、转发的操作；当该隐私信息分量传播至用户UID ₂，被执行了转发和修改的操作。同理可以得到ω ₂,ω ₃…,ω ₇，生成审计控制信息集合Ω＝{ω ₁,ω ₂,ω ₃…,ω ₇}。

步骤302：约束条件集合生成单元收到隐私信息向量I＝(lucy,和,willy,去,中关村,吃,饭)，根据隐私信息分量的应用场景，文件创建者creator对隐私信息分量i _k设置相应的约束条件向量θ _k＝(u _k,t _k,d _k,n _k)，其中，k为取值范围从1到7的正整数，u表示访问者名单、t表示访问时间、d表示访问设备、n表示网络标识。例如，假设θ ₁＝(UID ₁,9:00-21:00,9EF0038DE32,10.10.30.13)，表示，只有用户标识为UID ₁、时间区间为9:00-21:00、设备ID为9EF0038DE32、网络IP地址为10.10.30.13的用户，才能访问隐私信息分量lucy。同理，creator可对其他隐私信息分量设置约束条件向量θ ₂,…,θ ₇。因此，约束条件集合可表示为Θ＝{θ ₁,θ ₂,…,θ ₇}。

步骤303：隐私属性向量生成单元收到隐私信息向量I＝(lucy,和,willy,去,中关村,吃,饭)和约束条件集合Θ＝{θ ₁,θ ₂,…,θ ₇}，通过预先标记或隐私保护程度量化操作函数，生成上述隐私信息向量的隐私属性分量a ₁,a ₂,…,a ₇。由于lucy是名字，隐私信息含量相对较少，可假设其隐私属性分量为1(假设隐私属性分量的范围为0到9，隐私属性分量越小，其对应的隐私信息分量的保护程度越高)。由于不同的隐私信息分量可以根据语法或语义相互组合，所得到的组合结果将产生新的隐私属性分量。例如，隐私信息向量lucy和willy 组合后，可能会泄露他们之间的社会关系或亲密度等信息，因此其组合结果的隐私属性分量会更小。依据预先标记或隐私保护程度量化操作函数，依次计算隐私信息向量和隐私信息向量组合(i ₁,i ₂,i ₃,i ₄,i ₅,i ₆,i ₇,i ₁i ₂,i ₁i ₃,i ₁i ₄,…,i ₂i ₃i ₄i ₅i ₆,i ₁i ₂i ₃i ₄i ₅i ₆i ₇)对应的隐私属性向量A＝(a ₁,a ₂,…,a ₇,…,a ₁₂₇)＝(1,0.4,1.2,0.5,0.4,0.3,1.2,…,1.4,1.5,0.9,1.4,1.4,1.5,1.3,1.6)。

步骤304：传播控制操作集合生成单元收到隐私属性向量A＝(a ₁,a ₂,…,a ₇,…,a ₁₂₇)和约束条件集合Θ＝{θ ₁,θ ₂,…,θ ₇}，根据操作判别函数或人工标记，生成隐私信息分量I＝(lucy,和,willy,去,中关村,吃,饭)及其组合的传播控制操作向量Ψ＝{ψ ₁,ψ ₂,…,ψ ₁₂₇}。在初始化阶段，传播控制操作向量可以为空。当传播控制操作向量为非空时，假设隐私信息分量lucy的传播控制操作向量ψ ₁＝(删除,复制)，表示文本信息M中的隐私信息分量lucy可被执行的操作为“复制、删除”。同理，得到传播控制操作向量ψ ₂,…,ψ ₁₂₇，共同组成传播控制操作集合Ψ＝{ψ ₁,ψ ₂,…,ψ ₁₂₇}。

步骤305：隐私文档描述信息生成单元收到隐私信息向量I、广义定位信息集合Γ、审计控制信息集合Ω、隐私属性向量A、约束条件集合Θ和传播控制操作集合Ψ，生成文本信息M的隐私文档描述信息P。如图5所示，将隐私文档描述信息P封装到文本信息M中的索引表后。当然，隐私文档描述信息P也可以封装到文本信息M中的其他位置。

步骤306：当不同的用户访问文本信息T时，根据其身份信息Receiver、约束条件集合Θ＝{θ ₁,θ ₂,…,θ ₇}和访问阈值生成函数，生成访问阈值向量B＝(b ₁,b ₂,…,b ₇)。在本实例中，可假设生成的访问阈值向量(b ₁,b ₂,…,b ₇)＝(0.9,0.3,1.4,0.3,0.6,0.1,0.1)。

步骤307：计算隐私属性分量(a ₁,a ₂,…,a ₇)和访问阈值分量(b ₁,b ₂,…,b ₇)间的差值c _k＝a _k-b _k，其中k为取值从1到7的正整数，得到差值集合C＝(c ₁,c ₂,…,c ₇)＝(0.1,0.1,-0.2,0.2,-0.2,0.2,0.1)；

由于c ₁、c ₂、c ₄、c ₆、c ₇均大于零，故访问实体可以正常访问隐私信息分量(i ₁,i ₂,i ₄,i ₆,i ₇)＝(lucy,和,去,吃,饭)，而其他的隐私信息分量则无法被正常访问。

步骤308：访问实体选择隐私信息分量lucy作为操作对象进行复制操作，由于传播控制操作向量ψ ₁＝(删除,复制)，故判断用户可以对隐私信息分量lucy进行复制操作。

步骤309：根据308步骤中隐私信息分量lucy被执行的选取和复制操作，更新审计控制信息向量ω ₁＝(Reciever,复制)；由于隐私信息分量i ₁的复制操作并未改变相应隐私信息分量的广义定位信息向量，故广义定位信息向量不进行更新。

应用实例2

本应用实例通过示例性例子来说明如何生成JPEG图像的隐私文档描述信息。

步骤401：隐私信息向量生成单元收到上述JPEG图像，根据文件标识符确定信息的类型，根据语义特征和图像语义分割技术将JPEG图像内容进行拆分，得到3个在语义上不可分割像素集，可作为隐私信息分量i ₁,i ₂,i ₃，隐私信息向量可以表示为I＝(汽车,树,人)。

分别获取隐私信息分量汽车、树、人在JPEG图像中的广义定位信息向量γ ₁、γ ₂、γ ₃，得到广义定位信息集合Γ＝(γ ₁,γ ₂,γ ₃)。在本实例中，可根据隐私信息分量在JPEG图像中的坐标位置和像素个数来表示其对应的广义定位信息向量；

分别获取隐私信息分量I＝(汽车,树,人)的审计控制信息向量ω ₁,ω ₂,ω ₃。在初始化阶段，审计控制信息向量可以为空。当审计控制信息向量为非空时，假设ω ₁＝(UID ₁,复制,转发；UID ₂,转发,修改)，表示隐私信息分量汽车先后被唯一标识为UID ₁和UID ₂的用户访问过，其中“UID ₁，复制，转发”表示隐私信息分量汽车被用户UID ₁执行了复制、转发的操作；当该隐私信息分量传输至用户UID ₂，被执行了转发、修改的操作，同理可以表示ω ₂,ω ₃，生成审计控制信息集合Ω＝{ω ₁,ω ₂,ω ₃}。

步骤402：约束条件集合生成单元收到隐私信息向量I＝(汽车,树,人)，根据隐私信息分量的应用场景，可对隐私信息分量i _k设置相应的约束条件向量θ _k＝(u _k,t _k,d _k,n _k)，其中，k为取值范围从1到3的正整数，u表示访问者名单、t表示访问时间、d表示访问设备、n表示网络标识。例如，假设θ ₁＝(UID ₁,9:00-21:00,9EF0038DE32,10.10.30.13)，表示只有用户标识为UID ₁、时间区间为9:00-21:00、设备ID为9EF0038DE32、网络IP地址为10.10.30.13的用户才能访问隐私信息分量汽车。同理，可对其他隐私信息分量设置约束条件向量θ ₂,θ ₃。因此，约束条件集合可表示为Θ＝{θ ₁,θ ₂,θ ₃}。

步骤403：隐私属性向量生成单元收到隐私信息向量I＝(汽车,树,人)和约束条件集合Θ＝{θ ₁,θ ₂,θ ₃}，通过预先设定或通过隐私保护程度量化操作函数，生成一个或多个隐私信息向量的隐私属性分量。隐私属性分量的范围为0到9，隐私属性分量越小，其对应的隐私信息分量的保护程度越高。由于不同的隐私信息分量可以根据语法或语义相互组合，所得到的组合结果将产生新的隐私属性分量。例如，隐私信息向量汽车和人组合后，可能会泄露其经济能力，因此其隐私属性分量会更小。依据隐私保护程度量化操作函数，依次计算隐私信息向量和隐私信息向量组合(i ₁,i ₂,i ₃,i ₁i ₂,i ₁i ₃,…,i ₁i ₂i ₃)对应的隐私属性向量A＝(a ₁,a ₂,…,a ₇)＝(1,0.4,1.2,1.1,1.8,1.3,2.0)。

步骤404：传播控制操作集合生成单元收到隐私属性向量A＝(a ₁,a ₂,…,a ₇)和约束条件集合Θ＝{θ ₁,θ ₂,θ ₃}，根据操作判别函数判断或人工标记生成一个或多个隐私信息分量及其组合的传播控制操作向量(ψ ₁,ψ ₂,…,ψ ₇)。在初始化阶段，传播控制操作向量可以为空。当传播控制操作向量为非空时，假设传播控制操作向量ψ ₁＝(复制,转发)，表示JEPG图像中的隐私信息分量汽车可被执行的操作为“复制、转发”。同理，得到传播控制操作向量ψ ₂,…,ψ ₇，共同组成传播控制操作集合Ψ＝(ψ ₁,ψ ₂,…,ψ ₇)。

步骤405：隐私文档描述信息生成单元收到隐私信息向量I、广义定位信息集合Γ、审计控制信息集合Ω、隐私属性向量A、约束条件集合Θ和传播控制操作集合Ψ，生成JPEG图像的隐私文档描述信息P。如图6所示，将隐私文档描述信息P写入到JEPG图像中的标识符EOI后，写入的隐私文档描述信息对JPEG图像的显示和使用不产生影响。当然，隐私文档描述信息P也可以写入到JPEG图像中的其他位置。

步骤406：当不同的用户访问JEPG图像时，根据其身份信息Receiver、约束条件集合Θ＝{θ ₁,θ ₂,θ ₃}和访问阈值生成函数，生成访问阈值向量B＝(b ₁,b ₂,b ₃)。在本实例中，可假设生成的访问阈值向量(b ₁,b ₂,b ₃)＝(0.8,0.3,1.4)。

步骤407：计算隐私属性分量(a ₁,a ₂,a ₃)和访问阈值(b ₁,b ₂,b ₃)间的差值c _k＝a _k-b _k，其中k为取值从1到3的正整数，得到差值集合C＝(c ₁,c ₂,c ₃)＝(0.2,0.1,-0.2)；

由于c ₁和c ₂均大于零，故访问实体可以独立正常访问隐私信息分量(i ₁,i ₂)＝(汽车,树)，而隐私信息分量“人”则无法正常访问，故包含隐私信息分量“人”的组合都无法访问；由于i ₁i ₂组合对应的隐私属性分量大于b ₁,b ₂，故访问实体可以正常访问JPEG图像的内容为“汽车、树”。

步骤408：访问实体选择隐私信息分量“汽车”作为操作对象进行复制操作，由于传播控制操作向量ψ ₁＝(删除,复制)，故判断用户可以对隐私信息分量“汽车”进行复制操作。

步骤409：根据308步骤中隐私信息分量“汽车”被执行的复制操作，更新审计控制信息向量ω ₁＝(Reciever,复制)；由于隐私信息分量“汽车”的复制操作并未改变相应隐私信息分量的广义定位信息向量，故广义定位信息集合中的元素不进行更新。

应用实例3

本应用实例通过示例性例子来说明如何生成MP4视频文件的隐私文档描述信息。

步骤501：隐私信息向量生成单元收到上述MP4视频文件，根据文件标识符确定信息的类型，根据语义特征和分割算法将MP4视频内容进行拆分，得到m个在语义上不可分割的帧集合。每个帧集合中可以包括一个或多个时间连续的帧，帧集合可作为隐私信息分量i ₁,i ₂,…,i _m，隐私信息向量可以表示为I＝(i ₁,i ₂,…,i _m)。

分别获取隐私信息分量i ₁,i ₂,…,i _m在MP4视频中的广义定位信息向量ψ ₁,ψ ₂,…,ψ _m，得到广义定位信息集合Γ＝(ψ ₁,ψ ₂,…,ψ _m)。在本实例中，可根据隐私信息分量在MP4文件中的起始时间和帧序号来表示其对应的广义定位信息向量；

分别获取隐私信息分量i ₁,i ₂,…,i _m的审计控制信息向量ω ₁,ω ₂,…,ω _m。在初始化阶段，审计控制信息向量可以为空。当审计控制信息向量为非空时，假设ω ₁＝(UID ₁,剪切；UID ₂,复制)，表示隐私信息分量i ₁先后被唯一标识为UID ₁和UID ₂的用户访问过，其中“UID ₁，剪切”表示隐私信息分量i ₁被用户UID ₁执行了剪切的操作；当该隐私信息分量传输至用户UID ₂，被执行了复制的操作，同理可以表示ω ₂,ω ₃…,ω _m，生成传播控制信息集合Ω＝{ω ₁,ω ₂,ω ₃…,ω _m}。

步骤502：约束条件集合生成单元收到隐私信息向量i ₁,i ₂,…,i _m，根据隐私信息分量的应用场景，可对隐私信息分量i _k设置相应的约束条件向量θ _k＝(u _k,t _k,d _k,n _k)，其中，k为取值范围从1到m的正整数，u表示访问者名单、t表示访问时间、d表示访问设备、n表示网络标识。例如，假设θ ₁＝(UID ₁,9:00-21:00,9EF0038DE32,10.10.30.13)，表示只有用户标识为UID ₁、时间区间为9:00-21:00、设备ID为9EF0038DE32、网络IP地址为10.10.30.13的用户才能访问隐私信息分量i ₁。同理，可对其他隐私信息分量设置约束条件向量θ ₂,…,θ _m。因此，约束条件集合可表示为Θ＝{θ ₁,θ ₂,…,θ _m}。

步骤503：隐私属性向量生成单元收到隐私信息向量I＝(i ₁,i ₂,…,i _m)和约束条件集合Θ＝{θ ₁,θ ₂,…,θ _m}，通过预先设定或通过隐私保护程度量化操作函数，生成一个或多个隐私信息向量的隐私属性分量。假设隐私属性分量的范围为0到9，隐私属性分量越小，其对应的隐私信息分量的保护程度越高。由于不同的隐私信息分量可以根据语法或语义相互组合，所得到的组合结果将产生新的隐私属性分量。根据隐私保护程度量化操作函数，依次计算隐私信息向量和隐私信息向量组合对应的隐私属性向量A＝(a ₁,a ₂,…,a _q)，其中q为取值m到2 ^m-1的正整数。

步骤504：传播控制操作集合生成单元收到隐私属性向量A＝(a ₁,a ₂,…,a _q)和约束条件集合Θ＝{θ ₁,θ ₂,…,θ _m}，根据操作判别函数判断或人工标记，生成隐私信息分量的传播控制操作向量(ψ ₁,ψ ₂,…,ψ _q)。在初始化阶段，传播控制操作向量可以为空。当传播控制操作向量为非空时，假设传播控制操作向量ψ ₁＝(复制,剪切)，表示MP4视频中的隐私信息分量i ₁可被执行的操作为“复制、剪切”。同理，得到传播控制操作向量ψ ₂,…,ψ _q，共同组成传播控制操作集合Ψ＝(ψ ₁,ψ ₂,…,ψ _q)。

步骤505：隐私文档描述信息生成单元收到隐私信息向量I、广义定位信息集合Γ、审计控制信息集合Ω、隐私属性向量A、约束条件集合Θ和传播控制操作集合Ψ，生成MP4视频文件的隐私文档描述信息P。如图7所示，将隐私文档描述信息P写入到MP4视频文件中的用户自定义UUID ₁至UUID _n中，所写入的隐私文档描述信息对MP4视频文件的显示和使用不产生影响。当然，隐私文档描述信息P也可以写入到MP4视频文件中的其他位置。

步骤506：当不同的用户访问MP4视频文件时，根据其身份信息Receiver、约束条件集合Θ＝{θ ₁,θ ₂,…,θ _m}和访问阈值生成函数，生成访问阈值向量B＝(b ₁,b ₂,…,b _m)。

步骤507：计算隐私属性分量a ₁,a ₂,…,a _m和访问阈值b ₁,b ₂,…,b _m间的差值c _k＝a _k-b _k，其中k为取值从1到m的正整数，得到差值c ₁,c ₂,…,c _m。

当c _k大于等于0时，则访问实体可以访问隐私信息分量i _k；对包含隐私信息分量i _k的任意隐私信息分量组合i _k+j，其中

分别计算隐私属性分量a _k+j和访问阈值

的差值

s为取值从1到m的正整数，t为取值从1到s的正整数，当所有的

均大于等于零时，访问实体可以正常访问隐私信息分量组合i _k+j。

步骤508：假设访问实体选择隐私信息分量i ₁作为操作对象进行剪切操作，由于传播控制操作向量ψ ₁＝(复制，剪切)，故判断用户可以对隐私信息分量i ₁进行剪切操作。

步骤509：根据308步骤中隐私信息分量i ₁被执行的剪切操作，更新审计控制信息向量ω ₁＝(Reciever,剪切)；由于隐私信息分量i ₁的剪切操作改变了隐私信息分量的广义定位信息向量，同时隐私信息分量个数的减少也将改变隐私属性向量和约束条件向量中元素的个数，传播控制操作集合也将发生变化，故更新隐私信息向量、广义定位信息集合、约束条件集合、隐私属性向量和传播控制操作集合。

实施例3

本示例性实施例的一种隐私信息的处理方法可利用隐私计算语言进行形式化描述，所述隐私计算语言包括但不限于包括隐私定义语言、隐私操作语言和隐私控制语言中的一种或多种的任意组合：

所述隐私信息由一个或多个对象(即文档信息)复合而成；所述对象包括但不限于包括文本、图像、音频、视频中的一种或多种的任意组合；

所述隐私定义语言用于描述所述对象属性信息的数据类型和数据长度，及其相关的完整性约束；

所述属性信息包括但不限于包括隐私信息时空特性集合、信息所有者集合、信息发布者集合、信息接收者集合、约束条件集合中的一种或多种的任意组合；

所述隐私信息时空特性集合用于描述所述隐私信息中一个或多个对象所包含的时间和空间特征的集合；所述信息所有者集合用于描述所述隐私信息的产生者或归属者集合；所述信息接收者集合用于描述所述隐私信息的受众方集合；所述信息发布者集合用于描述通过某种形式对所述隐私信息进行传播的人或程序的集合；所述约束条件集合用于描述所述隐私信息的一个或多个对象中所有约束条件的集合；

所述数据类型包括但不限于包括比特串型、整型、浮点型、字符串型、逻辑型、表页数据、元数据、网页数据、文本数据、图像数据、音频数据、视频数据中的一种或多种的任意组合；

所述数据长度用于描述所述属性信息的字节数；

所述隐私定义语言还用于描述所述对象的计算步骤；所述计算步骤包括但不限于包括隐私信息抽取、场景抽象、隐私操作选取、隐私保护方案选择/设计、隐私保护效果评估中的一种或多种的任意组合；

所述隐私操作语言用于描述对所述对象进行操作的行为，包括但不限于包括模加、模乘、模幂、异或、置换、扰乱、选中、复制、粘贴、转发、剪切、修改、删除、查询中的一种或多种的任意组合。

所述隐私控制语言用于描述用户或用户组对所述对象访问控制权限的授予、鉴别和撤销中的一种或多种的任意组合；所述权限包括但不限于包括选中、复制、粘贴、转发、剪切、修改、删除、查询中的一种或多种的任意组合。

上述的隐私计算语言包括但不限于包括隐私定义语言、隐私操作语言和隐私控制语言中的一种或多种的任意组合，可利用示例性实例对其语法结构进行说明。

所述隐私定义语言可利用关键字CREATE、ALTER、DROP来定义属性信息的数据类型、数据长度及其相关的完整性约束，其语法定义示例性实例如下：

(1)CREAT语句用于创建对象及其属性信息的数据类型、数据长度及其相关的完整性约束，其基本语法规则如下：

CREATE Object object_name

(object_definition,...)

其中object_definition的语法规则如下：

object_definition::＝

attribute_name attribute_definition

其中attribute_definition的语法规则如下：

attribute_definition::＝

data_type(data_length)CONSTRAINTS

其中CONSTRAINTS的语法规则如下：

CONSTRAINTS::＝

[NOT NULL|NULL]|[UNIQUE]|[PRIMARY KEY]|

[FOREIGN KEY]|[CHECK]

参数说明：

NOT NULL：非空约束，指定某个属性不为空。

UNIQUE：唯一约束，指定某个属性和多个属性组合的数据不能重复。

PRIMARY KEY：主键约束，指定某个属性的数据不能重复、唯一。

FOREIGH KEY：外键，指定该列记录属于主表中的一条记录。

CHECK：检查，指定一个表达式，用于检验指定数据。

下面根据CREATE语句语法规则分别给出一个创建文本对象Text1的控制属性信息和显示属性信息的示例。

示例1

CREATE Object Text1的控制属性信息

(

修改时间Time NOT NULL,

定位信息char(128)NOT NULL,

所有者char(32)NOT NULL,

接收者char(32),

发布者char(32),

可被执行的操作char(128),

操作时间time NOT NULL,

操作者char(32),

操作记录char(128)

)；

示例2

CREATE Object Text1的显示属性信息

(

字体char(32)NOT NULL,

字号char(32)NOT NULL,

加粗bool NOT NULL,

斜体bool NOT NULL

)；

(2)ALTER语句用于修改所述对象的结构，包括但不限于包括添加一个新的属性、删除一个属性、为对象添加一项新的限制条件、为对象删除一项限制条件、设置属性默认值、删除属性默认值中的一种或多种的任意组合，其基本语法规则如下：

ALTER Object object_name

[alter_specification[,alter_specification]…]

其中alter_specification的语法规则如下：

alter_specification::＝

ADD attribute_name attribute_definition AFTER

attribute_name|

DROP attribute_name|

ADD[CONSTRAINT constraint_name](attribute_name,…)|

DROP[CONSTRAINT constraint_name](attribute_name,…)|

ALTER attribute_name SET DEFAULT default_Option|

ALTER attribute_name DROP DEFAULT

下面根据ALTER语句语法规则给出示例，用于将“下划线”属性增加至“斜体”属性之后。

示例3

ALTER Object Text1

ADD下划线bool NOT NULL AFTER斜体

(3)DROP语句用于删除一个或多个对象及其属性信息，其基本语法规则如下：

DROP Object

object_name[,object_name]…

下面根据DROP语句语法规则给出一个删除文本对象Text1的控制属性信息的示例。

示例3

DROP Object Text1

所述隐私操作语言可利用关键字CHOOSE、COPY、PASTE、TRANSMIT、 CUT、MODIFY、DELETE、SELECT对所述对象执行选中、复制、粘贴、转发、剪切、修改、删除、查询操作，其语法定义示例性实例如下：

(1)CHOOSE语句用于选中一个或多个对象，其基本语法规则如下：

CHOOSE Object

object_name[,object_name]…

(2)COPY语句用于复制所选中的一个或多个对象及其属性信息，其基本语法规则如下：

COPY Object

{object_name(attribute_name_list)VALUE(value_list),…}

其中attribute_name_list的语法规则如下：

attribute_name_list::＝

attribute_name,[attribute_name,…]

其中value_list的语法规则如下：

value_list::＝

value,[value,…]

(3)PASTE语句用于粘贴所复制的一个或多个对象及其属性信息，其基本语法规则如下：

PASTE Object

{object_name(attribute_name_list)VALUE(value_list),…}

下面根据CHOOSE、COPY、PASTE语句语法规则给出一个示例。根据示例1，用户Lilei选中、复制文本对象Text1，并在2017年12月27日15时30分将所述文本对象Text1粘贴到文档中的第11页、第3段中的第2行，其中选中、复制、粘贴操作不改变文本对象Text1的显示属性信息，而复制、粘贴操作会改变文本对象Text1的控制属性信息。

示例4

CHOOSE Object Text1；

COPY Object Text1(操作者,操作记录)(Lilei,复制)；

PASTE Object Text1(操作时间,定位信息,操作记录)(20171227.15.30,

Page11 Section3 Row2,粘贴)；

(4)TRANSMIT语句用于转发一个或多个对象及其属性信息，其基本语法规则如下：

TRANSMIT Object

{object_name(attribute_name_list)VALUE(value_list),…}

下面根据TRANSMIT语句语法规则给出一个示例。根据示例1，用户Lilei在2017年12月27日16时00分将所述文本对象Text1转发至用户Willy。

示例5

TRANSMIT Object Text1(接收者,操作者,操作时间,操作记录)

(Willy,Lilei,201712271600,转发)

(5)CUT语句用于剪切所选中的一个或多个对象及其属性信息，其基本语法规则如下：

CUT Object

{object_name(attribute_name_list)VALUE(value_list),…}

下面根据CUT语句语法规则给出一个剪切文本对象Text1的示例。

示例6

CUT Object Text1

(6)MODIFY语句用于修改一个或多个对象的属性值，不改变对象的结构，其基本语法规则如下：

MODIFY Object

{object_name SET assignment_list[WHERE

where_condition],…}

其中SET用于设置所述对象的某个属性的取值，其中assignment_list的语法规则如下：

assignment_list::＝

assignment,[assignment,…]

其中assignment的语法规则如下：

assignment::＝

attribute_name＝value

其中where_condition的语法规则如下：

where_condition::＝

condition,[condition,…]

下面根据MODIFY语句语法规则给出一个修改文本对象Text1的显示属性信息的示例：

示例7

MODIFY Object Text1 SET加粗FALSE

(7)DELETE语句用于删除对象的一个或多个属性信息，其基本语法规则如下：

DELETE Object

{object_name(attribute_name_list),…}

下面根据DELETE语句语法规则给出一个删除文本对象Text1的控制属性信息的示例。

示例8

DELETE Object Text1的控制属性信息

(8)SELECT语句用于查询某个对象及其属性信息，其基本语法规则如下：

SELECT Object

{select_expr FROM object_name[WHERE where_condition]

[ORDER BY{attribute_name|expr|position}],…}

其中select_expr为查询内容表达式。

下面根据SELECT语句语法规则给出一个示例，用于查询在2017年12月27日对文本对象Text1的操作记录，语法示例如下：

示例9

SELECT Object操作记录FROM Text1 WHERE操作时间LIKE

‘％20171227％’ORDER BY position

所述隐私控制语言可利用关键字GRANT、VERIFY、REVOKE对用户的访问和操作权限进行授予、鉴别、撤销，其语法定义示例性实例如下：

(1)GRANT用于为某个用户授予对某个对象的操作权限。

GRANT{privilege_list|ALL PRIVILEGES}

ON object_name

TO{authorization_list|PUBLIC}

其中privilege_list的语法规则如下：

privilege_list::＝

PICK,|COPY,|PASTE,|TRANSMIT,|

CUT,|MODIFY,|DELETE,|SEEK,

下面根据GRANT语句语法规则给出一个示例，用于为用户Lilei授予对文本对象Text1的复制、粘贴、转发权限。

示例10

GRANT复制,粘贴,转发ON Text1TO Lilei

(2)VERIFY用于对某个用户对某个对象的操作权限进行鉴别。

VERIFY{privilege_list|ALL PRIVILEGES}

ON object_name

FOR{authorization_list|PUBLIC}

下面根据VERIFY语句语法规则给出一个示例，用于鉴别用户Lilei是否具有对文本对象Text1的修改权限。

示例11

VERIFY修改ON Text1FOR Lilei

(3)REVOKE用于为某个用户撤销某个对象的某个权限。

REVOKE{privilege_list|ALL PRIVILEGES}

ON object_name

FROM{authorization_list|PUBLIC}

下面根据REVOKE语句语法规则给出一个示例，用于撤销用户Lilei对文本对象Text1的复制、粘贴、转发权限。

示例12

REVOKE复制,粘贴,转发ON Text1FROM Lilei

图8为本申请示例性实施例的一种隐私信息的处理装置80的示意图，如图8所示，本实施例的装置包括：

生成模块801，设置成接收到文档信息后，从所述文档信息中获取多个隐私信息分量，生成隐私文档描述信息；

处理模块802，设置成接收到访问所述文档信息的请求后，根据访问实体的身份信息和所述隐私文档描述信息确定能访问所述文档信息的隐私信息分量中的一个或多个。

在一示例性实施例中，所述生成模块801，从所述文档信息中获取多个隐私信息分量，可以包括：根据信息类型和语义特征对所述文档信息进行拆分，得到多个隐私信息分量，其中，所述信息类型可以包括以下的一种或多种的任意组合：文本、音频、视频、图像，所述语义特征可以包括以下的一种或多种的任意组合：字、词、语调、语气、音素、音调、帧、像素、颜色；所述隐私信息分量可以用于描述在语义上具有信息量的、不可分割的、彼此互不相交的原子信息。

在一示例性实施例中，所述生成模块801，生成的所述隐私文档描述信息可以包括约束条件向量和隐私属性分量，所述生成隐私文档描述信息可以包括：对任一所述隐私信息分量，根据应用场景特征信息生成所述约束条件向量，对所有约束条件向量生成约束条件集合；对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，根据所述约束条件向量和指定的隐私保护程度量化操作函数生成所述隐私属性分量，对所有隐私属性分量生成隐私属性向量，

所述应用场景特征信息可以包括以下的一种或多种的任意组合：时间权限、空间权限、设备权限、网络权限；

所述约束条件向量可以包括以下的一种或多种的任意组合：访问角色、访问时间、访问空间、访问设备、访问网络。

在一示例性实施例中，所述处理模块802，根据访问实体的身份信息和所述隐私文档描述信息确定能访问所述文档信息的隐私信息分量中的一个或多个，可以包括：从所述文档信息中提取所述隐私文档描述信息；对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，根据所述访问实体的身份信息、所述约束条件向量和预定的访问阈值生成函数，生成访问阈值分量；对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，确定对应的所述隐私属性分量与所述访问阈值分量之间的差值，若所述差值满足指定范围，则所述差值对应的隐私信息分量或所述隐私信息分量的组合可被所述访问实体访问。

在一示例性实施例中，所述生成模块801，生成的隐私文档描述信息可以还包括传播控制操作向量，所述生成隐私文档描述信息包括：对任一所述隐私信息分量，根据所述约束条件向量、所述隐私属性分量和预定的操作判别函数生成所述传播控制操作向量，所述传播控制操作向量用于描述对应的所述隐私信息分量或所述隐私信息分量的组合可被执行的操作，所述操作可以包括以下的一种或多种的任意组合：隐私信息分量的复制、粘贴、转发、剪切、删除。

在一示例性实施例中，所述处理模块802，根据访问实体的身份信息和所述隐私文档描述信息确定能访问所述文档信息的隐私信息分量中的一个或多个之后，可以还包括：接收到所述访问实体选取一个或多个所述隐私信息分量或所述隐私信息分量的组合执行操作的指令后，针对所选取的所述隐私信息分量或所述隐私信息分量的组合确定待执行的操作符合对应的所述传播控制操作向量，执行所述操作。

在一示例性实施例中，所述生成模块801，生成的隐私文档描述信息可以还包括广义定位信息集合，或还包括审计控制信息集合，或还包括广义定位信息集合和审计控制信息集合，所述生成隐私文档描述信息可以包括：根据任一所述隐私信息分量生成广义定位信息向量，或生成审计控制信息向量，或生成广义定位信息向量和审计控制信息向量，对所有所述隐私信息分量对应的所述广义定位信息向量生成所述广义定位信息集合，对所有所述隐私信息分量对应的所述审计控制信息向量生成所述审计控制信息集合，所述广义定位信息向量用于描述对应的隐私信息分量在所述文档信息中的位置信息及属性信息，所述审计控制信息向量用于描述对应的隐私信息分量在流转过程中的主客体信息和被执行的操作记录。

在一示例性实施例中，所述处理模块802，执行所述操作之后，可以还包括：更新所述操作的对象对应的所述隐私信息向量、广义定位信息集合、审计控制信息集合、隐私属性向量、约束条件集合、传播控制操作集合中的一个或多个。

本申请示例性实施例还提供了一种隐私信息的处理装置，如图9所示，可以包括处理器901和非易失性计算机可读存储介质902，所述非易失性计算机可读存储介质902中存储有指令，其中，当所述指令被所述处理器901执行时，实现上述任意一种隐私信息的处理方法。

本申请示例性实施例还提供了一种计算机可读存储介质，包括计算机程序，所述计算机程序被处理器执行时实现上述任意一种隐私信息的处理方法的步骤。

本申请示例性实施例还提供了一种隐私信息的处理系统，包括上述任意一种隐私信息的处理装置。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由多个物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

虽然本申请所揭露的实施方式如上，但所述的内容仅为便于理解本申请而采用的实施方式，并非用以限定本申请。任何本申请所属领域内的技术人员，在不脱离本申请所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本申请的专利保护范围，仍须以所附的权利要求书所界定的范围为准。

Claims

一种隐私信息的处理方法，包括：

接收到文档信息后，从所述文档信息中获取多个隐私信息分量，生成隐私文档描述信息；

接收到访问实体访问所述文档信息的请求后，根据所述访问实体的身份信息和所述隐私文档描述信息，确定所述访问实体能访问所述文档信息的隐私信息分量中的一个或多个。
如权利要求1所述的方法，其中，所述从所述文档信息中获取多个隐私信息分量，包括：

根据信息类型和语义特征对所述文档信息进行拆分，得到多个隐私信息分量，其中，

所述信息类型包括以下的一种或多种的任意组合：文本、音频、视频、图像，

所述语义特征包括以下的一种或多种的任意组合：字、词、语调、语气、音素、音调、帧、像素、颜色；

所述隐私信息分量用于描述在语义上具有信息量的、不可分割的、彼此互不相交的原子信息。
如权利要求1所述的方法，其中，所述隐私文档描述信息包括约束条件集合和隐私属性向量，所述生成隐私文档描述信息包括：

对任一所述隐私信息分量，根据应用场景特征信息生成对应的约束条件向量，根据所有约束条件向量生成约束条件集合；

对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，根据所述约束条件向量和预定的量化操作函数生成所述隐私属性分量，根据所有隐私属性分量生成隐私属性向量。
如权利要求3所述的方法，其中，

所述应用场景特征信息包括以下的一种或多种的任意组合：时间权限、空间权限、设备权限、网络权限；

所述约束条件向量包括以下的一种或多种的任意组合：访问角色、访问时间、访问空间、访问设备、访问网络。
如权利要求3所述的方法，其中，所述根据所述访问实体的身份信息和所述隐私文档描述信息，确定所述访问实体能访问所述文档信息的隐私信息分量中的一个或多个，包括：

从所述文档信息中提取所述隐私文档描述信息；

对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，根据所述访问实体的身份信息、所述约束条件向量和预定的访问阈值生成函数，生成访问阈值分量；

对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，确定对应的隐私属性分量与所述访问阈值分量之间的差值，当所述差值满足指定范围时，所述差值对应的隐私信息分量或所述多个隐私信息分量的组合能被所述访问实体访问。
如权利要求3所述的方法，其中，所述隐私文档描述信息还包括传播控制操作集合，所述生成隐私文档描述信息还包括：

对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，根据所述约束条件向量、所述隐私属性分量和预定的操作判别函数生成所述传播控制操作向量，

所述传播控制操作向量用于描述与其对应的所述隐私信息分量或所述多个隐私信息分量的组合能被执行的操作，所述操作包括以下的一种或多种的任意组合：隐私信息分量的复制、粘贴、转发、剪切、修改、删除。
如权利要求6所述的方法，其中，所述根据所述访问实体的身份信息和所述隐私文档描述信息，确定所述访问实体能访问所述文档信息的隐私信息分量中的一个或多个之后，所述方法还包括：

接收到所述访问实体选取一个或多个所述隐私信息分量或所述多个隐私信息分量的任意组合以执行操作的指令后，针对所选取的一个或多个所述隐私信息分量或所述多个隐私信息分量的组合，确定待执行的所述操作符合对应的所述传播控制操作向量所描述的操作时，执行所述操作。
如权利要求3所述的方法，其中，所述隐私文档描述信息还包括广义定位信息集合，或还包括审计控制信息集合，或还包括广义定位信息集合和审计控制信息集合，所述生成隐私文档描述信息还包括：

根据任一所述隐私信息分量生成广义定位信息向量，或生成审计控制信息向量，或生成广义定位信息向量和审计控制信息向量，对所有所述隐私信息分量对应的所述广义定位信息向量生成广义定位信息集合，对所有所述隐私信息分量对应的所述审计控制信息向量生成审计控制信息集合，

所述广义定位信息向量用于描述对应的隐私信息分量在所述文档信息中的位置信息及属性信息，所述审计控制信息向量用于描述对应的隐私信息分量在流转过程中的主客体信息和被执行的操作的记录。
如权利要求8所述的方法，其中，所述执行所述操作之后，所述方法还包括：

更新所述操作的对象对应的隐私信息向量、广义定位信息集合、审计控制信息集合、隐私属性向量、约束条件集合、传播控制操作集合中的一个或多个。
如权利要求1所述的方法，其中，

所述方法利用隐私计算语言进行形式化描述，所述隐私计算语言包括以下的一种或多种的任意组合：隐私定义语言、隐私操作语言和隐私控制语言，

所述隐私定义语言用于描述所述文档信息的属性信息的数据类型、数据长度及其相关的完整性约束；

所述隐私操作语言用于描述对所述文档信息进行操作的行为；

所述隐私控制语言用于描述对所述文档信息的访问控制权限的授予、鉴别和撤销中的一种或多种的任意组合。
一种隐私信息的处理装置，包括处理器和非易失性计算机可读存储介质，所述非易失性计算机可读存储介质中存储有指令，其特征在于，当所述指令被所述处理器执行时，所述处理器执行以下步骤：

接收到文档信息后，从所述文档信息中获取多个隐私信息分量，生成隐私文档描述信息；

接收到访问实体访问所述文档信息的请求后，根据所述访问实体的身份信息和所述隐私文档描述信息，确定所述访问实体能访问所述文档信息的隐私信息分量中的一个或多个。
如权利要求11所述的装置，其中，

从所述文档信息中获取多个隐私信息分量，包括：根据信息类型和语义特征对所述文档信息进行拆分，得到多个隐私信息分量，其中，所述信息类型包括以下的一种或多种的任意组合：文本、音频、视频、图像，所述语义特征包括以下的一种或多种的任意组合：字、词、语调、语气、音调、音素、帧、像素、颜色；所述隐私信息分量用于描述在语义上具有信息量的、不可分割的、彼此互不相交的原子信息。
如权利要求11所述的装置，其中，

生成的所述隐私文档描述信息包括约束条件集合和隐私属性向量，所述生成隐私文档描述信息包括：对任一所述隐私信息分量，根据应用场景特征信息生成所述约束条件向量，根据所有约束条件向量生成约束条件集合；对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，根据所述约束条件向量和预定的量化操作函数生成所述隐私属性分量，根据所有隐私属性分量生成隐私属性向量，

所述应用场景特征信息包括以下的一种或多种的任意组合：时间权限、空间权限、设备权限、网络权限；

所述约束条件向量包括以下的一种或多种的任意组合：访问角色、访问时间、访问空间、访问设备、访问网络。
如权利要求13所述的装置，其中，

根据访问实体的身份信息和所述隐私文档描述信息确定能访问所述文档信息的隐私信息分量中的一个或多个，包括：从所述文档信息中提取所述隐私文档描述信息；对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，根据所述访问实体的身份信息、所述约束条件向量和预定的访问阈值生成函数，生成访问阈值分量；对任一所述隐私信息分量或所述多个隐私信息分量的任意组合，确定对应的所述隐私属性分量与所述访问阈值分量之间的差值，当所述差值满足指定范围时，所述差值对应的隐私信息分量或所述多个隐私信息分量的组合能被所述访问实体访问。
一种非易失性计算机可读存储介质，包括计算机程序，其中，所述计算机程序被处理器执行时执行以下步骤：

接收到文档信息后，从所述文档信息中获取多个隐私信息分量，生成隐私文档描述信息；

接收到访问实体访问所述文档信息的请求后，根据所述访问实体的身份信息和所述隐私文档描述信息，确定所述访问实体能访问所述文档信息的隐私信息分量中的一个或多个。