一种分配文档权限的方法及装置与流程

本发明涉及信息安全
技术领域：
，具体涉及一种分配文档权限的方法及装置。
背景技术：
：在互联网时代，信息安全非常重要，特别是在信息企业中，电子资料是企业的重要资产，需要格外注意信息安全保护。虽然现有技术中存在多种文档防泄密解决方案，但是在很多文档防泄密解决方案中都存在用户可以绕过防护方案的漏洞，例如将加密文档做些修改，或者摘抄几段核心内容，然后保存成一个新的文档，这个新的文档便很有可能因为权限信息的缺失而被泄露或被非法访问，造成信息泄密。技术实现要素：有鉴于此，本发明的目的在于克服现有技术的不足，提供一种分配文档权限的方法及装置。为实现以上目的，本发明采用如下技术方案：一种分配文档权限的方法，包括：获取待分配权限的文档；计算所述待分配权限的文档的文档值；根据所述待分配权限的文档的文档值和已有权限文档的文档值，计算所述待分配权限的文档与每个已有权限文档之间的距离值；在计算得到的各距离值中确定最小距离值；在所述最小距离值小于预设阈值时，将最小距离值所对应的已有权限文档的权限分配给所述待分配权限的文档。可选的，所述方法还包括：在所述最小距离值大于或等于预设阈值时，将预设的默认权限分配给所述待分配权限的文档。可选的，所述获取待分配权限的文档之后，所述方法还包括：将所述待分配权限的文档解析为文本格式。可选的，计算所述待分配权限的文档的文档值之前，所述方法还包括：对文本格式的所述待分配权限的文档进行分词，以根据分词得到的词条计算所述待分配权限的文档的文档值。可选的，所述文档值为相似哈希值。可选的，所述距离值为汉明距离值。可选的，在所述待分配权限的文档被分配权限后，所述方法还包括：接收对所述待分配权限的文档的权限修改指令，并根据所述权限修改指令修改所述待分配权限的文档的权限；将所述最小距离值所对应的已有权限文档的权限修改为所述待分配权限的文档修改后的权限。本发明还提供了一种分配文档权限的装置，包括：获取模块，用于获取待分配权限的文档；第一计算模块，用于计算所述待分配权限的文档的文档值；第二计算模块，用于根据所述待分配权限的文档的文档值和已有权限文档的文档值，计算所述待分配权限的文档与每个已有权限文档之间的距离值；确定模块，用于在计算得到的各距离值中确定最小距离值；分配模块，用于在所述最小距离值小于预设阈值时，将最小距离值所对应的已有权限文档的权限分配给所述待分配权限的文档。本发明还提供了一种非临时性计算机可读存储介质，当所述存储介质中的指令由服务端的处理器执行时，使得服务端能够执行一种分配文档权限的方法，所述方法包括：获取待分配权限的文档；计算所述待分配权限的文档的文档值；根据所述待分配权限的文档的文档值和已有权限文档的文档值，计算所述待分配权限的文档与每个已有权限文档之间的距离值；在计算得到的各距离值中确定最小距离值；在所述最小距离值小于预设阈值时，将最小距离值所对应的已有权限文档的权限分配给所述待分配权限的文档。本发明还提供了一种分配文档权限的装置，包括：处理器和用于存储处理器可执行指令的存储器；其中，所述处理器被配置为：获取待分配权限的文档；计算所述待分配权限的文档的文档值；根据所述待分配权限的文档的文档值和已有权限文档的文档值，计算所述待分配权限的文档与每个已有权限文档之间的距离值；在计算得到的各距离值中确定最小距离值；在所述最小距离值小于预设阈值时，将最小距离值所对应的已有权限文档的权限分配给所述待分配权限的文档。本发明采用以上技术方案，所述分配文档权限的方法，包括：获取待分配权限的文档；计算所述待分配权限的文档的文档值；根据所述待分配权限的文档的文档值和已有权限文档的文档值，计算所述待分配权限的文档与每个已有权限文档之间的距离值；在计算得到的各距离值中确定最小距离值；当所述最小距离值小于预设阈值时，将最小距离值所对应的已有权限文档的权限分配给所述待分配权限的文档。本发明能够对新增加的文档自动分配文档权限，避免了新增文档由于权限缺失而被泄露或被非法访问的风险。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本发明分配文档权限的方法实施例一的流程图；图2是本发明分配文档权限的方法实施例二的流程图；图3是本发明分配文档权限的装置实施例一的结构示意图；图4是本发明分配文档权限的装置实施例二的结构示意图。图中：1、获取模块；2、第一计算模块；3、第二计算模块；4、确定模块；5、分配模块；6、文档上传模块；7、文档存储模块；8、文档解析模块；9、文档分词模块；10、相似哈希值计算模块；11、文档权限管理模块；12、文档监控模块。具体实施方式为使本发明的目的、技术方案和优点更加清楚，下面将对本发明的技术方案进行详细的描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式，都属于本发明所保护的范围。如图1所示，作为本发明实施例一，提供了一种分配文档权限的方法，包括：S11：获取待分配权限的文档。例如，待分配权限的文档是指客户端的文档，在需要为某一文档分配权限时，客户端将该文档发送给服务端，从而服务端可以获取到客户端发送的待分配权限的文档。上述的某一文档例如为新增加的没有权限的文档。S12：计算所述待分配权限的文档的文档值；上述的文档值可以具体是指相似哈希值(Simhash值)。S13：根据所述待分配权限的文档的文档值和已有权限文档的文档值，计算所述待分配权限的文档与每个已有权限文档之间的距离值。上述的距离值可以具体是指汉明距离值。S14：在计算得到的各距离值中确定最小距离值；S15：在所述最小距离值小于预设阈值时，将最小距离值所对应的已有权限文档的权限分配给所述待分配权限的文档。上述各已有权限文档的权限可以是预先人为配置的，或者预先采用上述方式分配得到的。上述的权限可以包括：文档的公开范围，能够操作的行为，例如读写，拷贝，外发等行为。本实施例中，通过为文档分配权限，可以实现文档的权限的自动分配，进而可以避免文档由于不存在权限而造成的泄密等问题。如图2所示，作为本发明的实施例二，进一步限定了该方法的处理过程，包括：S21：获取待分配权限的文档。S22：将所述待分配权限的文档解析为文本格式。待分配权限的文档的初始格式可以是任意的，比如为文本格式或图片等非文本格式。对于初始格式为文本格式的文档，可以直接解析到文本格式的文档；对于初始格式为非文本格式的文档，可以对该文档进行格式转换，从而解析为文本格式的文档。具体的格式转换方式可以参见已有的相应格式的转换方式，在此不再详述。S23：对文本格式的所述待分配权限的文档进行分词处理。S24：根据分词处理得到的词条计算所述待分配权限的文档的相似哈希值。S25：根据所述待分配权限的文档的相似哈希值和已有权限文档的相似哈希值，计算所述待分配权限的文档与每个已有权限文档之间的汉明距离值。S26：在计算得到的各汉明距离值中确定最小的汉明距离值。S27：判断该最小的汉明距离值是否小于预设阈值，若是，执行S28，否则执行S29。S28：将最小距离值所对应的已有权限文档的权限分配给所述待分配权限的文档。S29：将预设的默认权限分配给所述待分配权限的文档。具体的，所述分词处理是指：将所述文本文档作为一个字符串输入分词模块，所述分词模块根据词库将输入的字符串拆分成多个词组；拆分后的词组通过空格与相邻词组相连，形成分词处理后的字符串。例如，文本格式的文档为“香山的红叶很美”，经过分词后就成了“香山”、“的”、“红叶”、“很美”共四个词组。将四个词组组合成一个词组“香山的红叶很美”，然后将该字符串当做计算simhash的输入参数。进一步的，以分词处理得到的词条计算所述待分配权限的文档的相似哈希值的具体处理步骤为：从接收的字符串中提取多个特征向量a1，a2，……，am，并对每个特征向量赋予权值weight1，weight1，……，weightm；利用哈希算法计算所述每个特征向量的哈希值：hash1，hash2，……，hashm，所述哈希值是一个n位的二进制比特串；分别对每个特征向量求解加权值w1，w2，……，wm；将所有特征向量的加权值进行合并累加，得到一个n位的二进制比特串str；对所述比特串str进行降维处理，得到所述待分配权限文档的相似哈希值。可以理解的是，所述对每个特征向量求解加权值的具体方法是：w1＝hash1*weight1，w2＝hash2*weight2，……，wm＝hashm*weightm。对所述比特串str进行降维处理的具体方法是：对所述比特串str上的每一位进行处理：若该位大于0则置1，否则该位置0。可选的，所述相似哈希值和哈希值分别是一个64位的二进制比特串。需要补充说明的是，实施例二中已有权限文档被保存在数据库里，当所述待分配权限的文档被分配权限后，该文档也会作为已有权限文档被保存在数据库里。如果用户下发了修改数据库中文档A的权限的指令，则文档A的权限会进行相应的修改，并且与该文档A具有高相似度(最小汉明距离值小于预设阈值)的已有权限文档的权限也会进行相应修改。本发明在实际使用中，比如待分配权限的文档的内容是“香山的红叶很美……”，则经过分词处理后得到字符串“香山的红叶很美……”，计算该字符串的相似哈希值：首先，对每个特征向量赋予权值，比如：香山(5)的(1)红叶(3)很美(4)……，这里香山就是特征向量，括号内的数字就是权值weight，数字越大代表越重要。然后根据哈希算法计算出每个特征向量的哈希值，此处，每个哈希值是一个64位的二进制比特串，如：特征向量“香山”的哈希值是：1110001……011010001；特征向量“的”的哈希值是：1100001……011110011；特征向量“红叶”的哈希值是：1111101……011110011；……，求解加权值w(香山)＝1110001……011010001*5＝5550005……055050005；w(的)＝1100001……011110011*1＝1100001……011110011；w(红叶)＝1111101……011110011*4＝3333303……033330033；……，再将上述各个特征向量的加权值进行累加，假设得到比特串str，str＝9994409……099490049；再进行降维处理：对所述比特串str上的每一位进行处理：若该位大于0则置1，否则该位置0，处理后得到该文档的相似哈希值：1111101……011110011。数据库中保存着已有权限文档的相似哈希值和权限属性，如下表1所示：文档相似哈希值(64bit)权限策略文档A1110001……011010101完全公开文档B1010101……010010011指定某些人可以访问文档C00100010……01001010在公司内部公开文档D01010101……101010指定某些人可以访问表1分别计算待分配权限的文档相似哈希值与数据库中每一个已有文档相似哈希值的汉明距离值，完成待分配权限的文档权限的设置。汉明距离值又叫汉明值，是以理查德·卫斯里·汉明的名字命名的。在信息论中，两个等长字符串之间的汉明距离是两个字符串对应位置的不同字符的个数。换句话说，它就是将一个字符串变换成另外一个字符串所需要替换的字符个数。例如：1011101与1001001之间的汉明距离值是2；2143896与2233796之间的汉明距离值是3；"toned"与"roses"之间的汉明距离值是3。进一步的，一些实施例中，文档的权限值还可以联动修改。例如，与第一文档的汉明距离值最小的文档是第二文档，则如果对第一文档的权限进行修改后，可以自动将第二文档的权限修改为第一文档修改后的权限。第一文档的权限例如为人为修改的。相应的，以修改的文档是上述待分配权限的文档为例，在所述待分配权限的文档被分配权限后，所述方法还包括：接收对所述待分配权限的文档的权限修改指令，并根据所述权限修改指令修改所述待分配权限的文档的权限；将所述最小距离值所对应的已有权限文档的权限修改为所述待分配权限的文档修改后的权限。需要进一步补充说明的是，本发明还提供了一种分配文档权限的装置，图3是该装置实施例一的结构示意图，包括：获取模块1，用于获取待分配权限的文档；第一计算模块2，用于计算所述待分配权限的文档的文档值；第二计算模块3，用于根据所述待分配权限的文档的文档值和已有权限文档的文档值，计算所述待分配权限的文档与每个已有权限文档之间的距离值；确定模块4，用于在计算得到的各距离值中确定最小距离值；分配模块5，用于当所述最小距离值小于预设阈值时，将最小距离值所对应的已有权限文档的权限分配给所述待分配权限的文档；当所述最小距离值大于或等于预设阈值时，将预设的默认权限分配给所述待分配权限的文档。如图4所示，作为本发明分配文档权限的装置实施例二，客户端包括文档上传模块6和文档监控模块12；服务端包括文档存储模块7、文档解析模块8、文档分词模块9、相似哈希值计算模块10和文档权限管理模块11；所述文档上传模块6，用于将客户端待分配权限的文档(如：新增加的文档)上传至服务端；所述文档监控模块12，用于根据文档的权限实施放行或拦截；所述文档存储模块7，用于接收和保存所述文档上传模块6上传的待分配权限的文档；可见，所述文档上传模块6和文档存储模块7共同组成了所述获取模块1；所述文档解析模块8，用于读取所述文档存储模块7中的待分配权限的文档，并将所述待分配权限的文档转换成文本格式，然后将转换后的文档传送给所述文档分词模块9；所述文档分词模块9，用于对接收的文档进行分词处理，并将分词处理后的信息传送给所述相似哈希值计算模块10；所述相似哈希值计算模块10(相当于所述第一计算模块2)，用于对接收的信息进行相似哈希值算法处理，并将处理得到的相似哈希值发送给所述文档权限管理模块11；所述文档权限管理模块11(相当于所述第二计算模块3、确定模块4和分配模块5的集合)，用于接收所述待分配权限的文档的相似哈希值，并根据该相似哈希值给所述待分配权限的文档分配权限。在使用中，所述文档权限管理模块11将设置的权限下发到客户端的所述文档监控模块12，所述文档监控模块12根据文档的权限实施放行或拦截。关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。另外，本申请还提供如下实施例：一种非临时性计算机可读存储介质，当所述存储介质中的指令由服务端的处理器执行时，使得服务端能够执行一种分配文档权限的方法，所述方法包括：获取待分配权限的文档；计算所述待分配权限的文档的文档值；根据所述待分配权限的文档的文档值和已有权限文档的文档值，计算所述待分配权限的文档与每个已有权限文档之间的距离值；在计算得到的各距离值中确定最小距离值；在所述最小距离值小于预设阈值时，将最小距离值所对应的已有权限文档的权限分配给所述待分配权限的文档。此外，本申请还提供如下实施例：一种分配文档权限的装置，包括：处理器和用于存储所述处理器可执行指令的存储器；其中，所述处理器被配置为：获取待分配权限的文档；计算所述待分配权限的文档的文档值；根据所述待分配权限的文档的文档值和已有权限文档的文档值，计算所述待分配权限的文档与每个已有权限文档之间的距离值；在计算得到的各距离值中确定最小距离值；在所述最小距离值小于预设阈值时，将最小距离值所对应的已有权限文档的权限分配给所述待分配权限的文档。可以理解的是，上述各实施例中相同或相似部分可以相互参考，在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。需要说明的是，在本申请的描述中，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。此外，在本申请的描述中，除非另有说明，“多个”的含义是指至少两个。流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本申请的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本申请的实施例所属
技术领域：
的技术人员所理解。应当理解，本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。本
技术领域：
的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。此外，在本申请各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器，磁盘或光盘等。在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。尽管上面已经示出和描述了本申请的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本申请的限制，本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。当前第1页1 2 3