平码五不中公式规律
  • / 33
  • 下载费用:30 金币  

在保护敏感信息的同时外包文档传输任务.pdf

关 键 ?#21097;?/dt>
保护 敏感 信息 同时 外包 文档 传输 任务
  专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
摘要
申请专利号:

CN201580047220.2

申请日:

2015.08.31

公开号:

CN106663175A

公开日:

2017.05.10

当前法律状态:

实审

?#34892;?#24615;:

审中

法?#19978;?#24773;: 实质审查的生效IPC(主分类):G06F 21/62申请日:20150831|||公开
IPC分类号: G06F21/62(2013.01)I; G06Q10/10(2012.01)I 主分类号: G06F21/62
申请人: 微软技术许可有限责任公司
发明人: L·H·利登; D·J·德里斯科尔; A·F·蒙罗伊-赫南德兹
地址: 美国华盛顿州
优?#28909;ǎ?/td> 2014.09.03 US 14/475,964
专利代理机构: ?#26412;?#24066;金杜律师事务所 11256 代理人: 王茂华;杨立
PDF完整版下载: PDF下载
法律状态
申请(专利)号:

CN201580047220.2

授权公告号:

|||

法律状态公告日:

2017.06.06|||2017.05.10

法律状态类型:

实质审查的生效|||公开

摘要

本文描述了外包环境,通过该外包环境,外包实体可以将文档转换任务委托给至少一个工作者实体,同时防止工作者实体获得可能包含在非混淆原始文档(NOD)中的敏感项目的知识。在一个示例中,环境可以通过从NOD移除敏感项目来将NOD转换为经混淆的原始文档(OOD)。工作者实体可以在OOD上执行格式化和/或其他文档转换任务,而?#25442;?#24471;NOD中的敏感项目的知识,以产生经混淆的经转换文档(OTD)。然后,环境可以允许外包实体查看OTD的内容恢复版本。

权利要求书

1.一种用于使用一个或多个计算设备以协作方式创建文档的方法,包括:
使用计算设备提供能够由外包实体访问的非混淆的原始文档(NOD),所述NOD具有包含
在其中的一个或多个敏感项目;
使用计算设备?#36816;?#36848;NOD中的所述一个或多个敏感项目进行混淆,以产生包含经混淆
的项目的经混淆的原始文档(OOD);
经由网络向工作者实体提供所述OOD;
使用计算设备从所述工作者实体接收经混淆的经转换文档(OTD),所述OTD包含由所述
工作者实体?#36816;?#36848;OOD做出的至少一个改变,所述至少一个改变有助于最终文档的开发;以

使用计算设备通过将所述经混淆的项目恢复到其对应的敏感项目来?#36816;?#36848;OTD进行去
混淆,以产生内容恢复的经转换文档(CTD)。
2.根据权利要求1所述的方法,进一步包括:在所述混淆之后,验证旨在?#25442;?#28102;的所有
敏感项目已在所述NOD中?#25442;?#28102;。
3.根据权利要求1所述的方法,其中所述至少一个改变影响所述NOD中包含的信息的呈
现方式,而不影响所述NOD中包含的所述信息的语义内容。
4.根据权利要求1所述的方法,
其中所述一个或多个计算设备包括所述外包实体能?#29615;?#38382;的第一客户端计算设备和
所述工作者实体能?#29615;?#38382;的第二客户端计算设备。
5.根据权利要求4所述的方法,其中所述混淆和去混淆由所述第一客户端计算设备执
行。
6.根据权利要求4所述的方法,其中所述混淆和去混淆由至少一个远程计算系统执行,
所述第一客户端计算设备和所述第二客户端计算设备通信地耦合到所述至少一个远程计
算系统。
7.根据权利要求6所述的方法,其中所述至少一个远程计算系统还托管协作文档创建
工具,所述外包实体和所述工作者实体均使用所述协作文档创建工具以在所述外包实体和
所述工作者实体可用的相应文档上工作。
8.根据权利要求4的方法,其中:
所述第一客户端计算设备能?#29615;夢始用?#23494;钥,
所述第二客户端计算设备不能访问所述加密密钥,
所述第一客户端计算设备使用所述加密密钥来呈现所述NOD和所述CTD,
所述第二客户端计算设备在不拥有所述加密密钥的情况下呈现所述OOD和所述OTD。
9.一种在协作文档创建环境中使用的计算设备,包括:
混淆组件,被配置为对外包实体能?#29615;?#38382;的非混淆的原始文档(NOD)中的一个或多个
敏感项目进行混淆,以产生具有经混淆的项目的经混淆的原始文档(OOD);
去混淆组件,被配置为接收由工作者实体产生的经混淆的经转换文档(OTD),并且通过
将所述经混淆的项目恢复到其对应的敏感项目,来将所述OTD转换为内容恢复的经转换文
档(CTD),
所述OTD包含由所述工作者实体?#36816;?#36848;OOD做出的至少一个改变,所述至少一个改变有
助于最终文档的开发;以及
通信组件,被配置为允许所述外包实体与所述工作者实体通信。
10.一种用于存储计算机可读指令的计算机可读存储介?#21097;?#25152;述计算机可读指令在由
一个或多个处理设备执行时实现外包工具,所述计算机可读指令包括:
混淆组件,被配置为对外包实体能?#29615;?#38382;的非混淆的原始文档(NOD)中的一个或多个
敏感项目进行混淆,以产生具有经混淆的项目的经混淆的原始文档(OOD),
所述混淆组件还包括验证组件,所述验证组件被配置为验证旨在在所述NOD中?#25442;?#28102;
的所有敏感项目已经?#25442;?#28102;;以及
去混淆组件,被配置为接收由工作者实体产生的经混淆的经转换文档(OTD),并且通过
将所述经混淆的项目恢复到其对应的敏感项目,来将所述OTD转换为内容恢复的经转换文
档(CTD),
所述OTD包含由所述工作者实体?#36816;?#36848;OOD做出的至少一个改变,所述至少一个改变有
助于最终文档的开发。
11.根据权利要求1的方法,其中:
所述OOD的所述提供包括向两个或更多工作者实体提供所述OOD,所述两个或更多工作
者实体中的每个工作者实体?#36816;?#36848;OOD进行至少一个相应的改变,以产生多个经混淆的经
转换文档(OTD)部分;以及
所述OTD的所述接收包括从所述两个或更多工作者实体接收所述多个OTD部分。
12.根据权利要求1所述的方法,进一步包括:使用至少一个通信机制经由所述网络在
所述外包实体与所述工作者实体之间?#25442;?#20449;息。
13.根据权利要求12所述的方法,进一步包括:作为从所述外包实体经由通信机?#21697;?#36865;
到所述工作者实体的指令的结果,接收更新的OTD,所述更新的OTD包含由所述工作者实体
?#36816;?#36848;OOD做出的至少一个附加改变。
14.根据权利要求9所述的计算设备,其中所述计算设备表示所述外包实体能?#29615;?#38382;的
客户端计算设备。
15.根据权利要求9所述的计算设备,其中所述计算设备表示能够由所述外包实体和所
述工作者实体两者经?#19978;?#24212;的客户端计算设备访问的远程计算系统。

?#24471;?#20070;

在保护敏感信息的同时外包文档传输任务

背景技术

作者可以创建具有适合于一些读者而不是其他读者消费的信息的文档。例如,医
疗记录可以包含关于患者的敏感信息;在许多司法管辖区,法律可能会阻止作者将敏感信
息泄露给未经授权的个人。为了解决这个问题,作者可以选择来混淆文?#30340;?#30340;敏感项目,以
产生经混淆的或“清理过的”文档。混淆可以构成去除敏感项目,并且可能用不具有敏感内
容的虚拟项目替换敏感项目(例如,通过用虚构名“John Doe”替换实际患者姓名)。然后,作
者可以将经混淆的文档分发给?#23454;?#30340;接收者。为了完成交易,接收者可以根据不同的应用
特定目标读取或分析经混淆的文档。在本文中,接收者作为经混淆的文档的“端点消费者”
操作,并且交易可以被表征为“单向?#20445;?#20363;如从作者到消费者进行。

虽然上述总体战略通常对其预期目的?#34892;В?#20294;只设计用于涉及文档传播的一?#32440;?br />易。该策略可能不太适合于其他更复杂的事务。

发明内容

本文描述了外包环境,外包实体可以通过该外包环境在开发最终文档的过程中与
工作者实体合作,而不以其非混淆的原始形式将可能包含在文档中的敏感信息泄露给工作
者实体。

从外包实体的角度来看,环境可以通过以下操作:(a)提供其中包含一个或多个敏
感项目的非混淆原始文档(NOD);(b)混淆NOD中的敏感项目以产生包含经混淆的项目的经
混淆的原始文档(OOD);(c)向工作者实体提供OOD;(d)从工作者实体接收经混淆的经转换
文档(OTD),该OTD包含由工作者实体做出的、有助于最终文档的开发的对OTD的至少一个改
变;以及(e)通过将经混淆的项目恢复到其对应的敏感项目来对OTD进行去混淆,以产生内
容恢复的经转换文档(CTD)。在一种情况下,例如,工作者实体可以通过对OOD进行不影响
NOD的信息承载内容的格式化类?#36879;?#21464;来产生OTD。

上述方法可以在各种类型的系统、设备、组件、方法、计算机可读存储介质、数据结
构、图形用户界面演示、?#30772;?#31561;中体现。

本发明内容被提供以用于以简化形式介绍概念的选择,这些概念在以下的具体实
施方式中将作出进一步的描述。本发明内容并不旨在识别要求保护的主题的管件特征或者
核心特征,其也并不旨在被用来限制要求保护的主题的范围。

附图?#24471;?br />

图1?#22659;?#20102;用于外包在文档上执行的文档转换任务同时保护包含在文档中的敏感
信息的环境的概述。

图2?#22659;?#20102;用于在图1的环境中使用的文档创建工具的实例和外包工具的实例。

图3?#22659;?#20102;图1的环境的一个实施方式。

图4?#22659;?#20102;图1的环境的另一实施方式。

图5-8?#22659;?#20102;可以由图1的环境提供的各种用户界面演示。

图9?#22659;?#20102;作为图2的外包工具的组件的混淆组件的一个实施方式。

图10?#22659;?#20102;去混淆组件的一个实施方式,该去混淆组件是图2的外包工具的另一
组件。

图11描绘了分别用于控制向外包实体和工作者实体呈现非混淆内容和混淆内容
的一个策略。

图12是?#22659;?#20174;外包实体的角度看图1的环境的一种操作方式的流程图。

图13是?#22659;?#20174;工作者实体的角度看图1的环境的一种操作方式的流程图。

图14?#22659;?#20102;可用于实现前述附图中所示的特征的任何方面的?#24471;?#24615;计算功能。

在整个公开和附图中使用相同的附图标记来指代相同的组件和特征。系列100数
字是指最初在图1中?#19994;?#30340;特征,系列200数?#31181;?#30340;是最初在图2中?#19994;?#30340;特征,系列300数
?#31181;?#30340;是最初在图3中?#19994;?#30340;特征,等?#21462;?br />

具体实施方式

本公开内容组织如下。部分A描述了用于以安全方式将文档转换任务外包给工作
者实体的?#24471;?#24615;环境,即,没有以原始形式向工作者实体公开可能包含在文档中的敏感信
息。部分B阐述了解释部分A的环境的操作的?#24471;?#24615;方法。部分C描述可用于实施部分A和B中
描述的特征的任何方面的?#24471;?#24615;计算功能。

作为初步事项,一些附图描述了在一个或多个结构组件的上下文中的概念,不同
地被称为功能、模块、特征、元件?#21462;?#22270;中所示的各种组件可以以任何方式由任何物理和有
形机制实施,例如通过在计算机设备上运行的软件、硬件(例如,芯片实现的逻辑功能)等,
和/或其任何组合。在一种情况下,图中所示的各种组件的分离成不同的单元可以?#20174;?#22312;实
际实施方式中对应的不同物理和?#34892;?#32452;件的使用。附加地或另外,图中所示的任何单个组
件可以由多个实际物理组件实现。附加地或另外,图中的任何两个或更多个分离组件的描
绘可?#20174;?#30001;单个实际物理组件执行的不同功能。将?#26469;?#25551;述的图14提供关于图中所示的功
能的一个?#24471;?#24615;物理实施方式的附加?#38468;凇?br />

其他附图以流程形式描述了概念。在该形式中,某些操作被描述为构成以某?#25215;?br />执行的不同框。这样的实施方式是?#24471;?#24615;的而非限制性的。本文描述的某些框可以?#29615;?#32452;
在一起并且在单个操作中执行,某些框可以?#29615;纸?#25104;多个组件框,并且某些框可以以与本
文所示的?#25215;?#19981;同的?#25215;?#25191;行(包括执行框的并行方式)。流程图中所示的框可以通过任何
物理和?#34892;?#26426;制以任何方式实现,例如通过在计算机设备上运行的软件、硬件(例如,芯片
实现的逻辑功能)等,和/或其任何组合。

关于术语,短语“被配置为”包括可以构造任何种类的物理和?#34892;?#21151;能以执行识别
的操作的任何方式。该功能可以被配置为使用例如在计算机设备上运行的软件、硬件(例
如,芯片实现的逻辑功能)等和/或其任何组合来执行操作。

术语“逻辑”包括用于执行任务的任何物理和?#34892;?#21151;能。例如,流程图中所示的每
个操作对应于用于执行该操作的逻辑组件。可以使用例如在计算机设备上运行的软件、硬
件(例如,芯片实现的逻辑功能)等和/或其任何组合来执行操作。当由计算设备实施?#20445;?#36923;
辑组件表示电子组件,其是计算系统的物理部分,然而被实施。

以下解释可将一个或多个特征识别为“可选”。这种类型的语句不应被解释为可以
被认为是可选的特征的详尽指示;即,其他特征可以被认为是可选的,虽然在文本中没有明
确地标识。此外,单个实体的任何描述并不旨在排除使用?#35789;?#20010;这样的实体;类似地,多个
实体的描述并不旨在排除单个实体的使用。此外,虽然描述可以将某些特征解释为执行所
识别的功能或实施所识别的机制的替代方式,但是特征也可以以任何组合方式组合在一
起。最后,术语“示例性”或“?#24471;?#24615;”是指潜在的许多实施方式中的一个实施方式。

A.?#24471;?#24615;环境

图1?#22659;?#20102;用于以安全方式外包文档转换任务的环境102的概述。即,环境102提供
允许至少一个外包实体和至少一个工作者实体在产生任何类型的最终文档中协作的功能
(下面提供其示例)。此外,环境102提供确保正在创建的文档中的任何敏感内容对于外包实
体而不是对工作者实体可访问的功能。这样,外包实体可以将文档转换任务委托给工作者
实体,而工作者实体不知道敏感内容。外包实体可能想要防止工作者实体学习敏感内容,因
为工作者实体没有被授权消费该信息,和/或任何其他应用特定的原因。

在一种情况下,外包实体和工作者实体可以对应于文档创建过程中的两个人类参
与者。通常,工作者实体作为相对于外包实体的共同创建者操作。例如,在一种情况下,工作
者实体可以对应于执行外包实体的指令的外包实体的代理。可替代地或另外,工作者实体
可以基于具有任何特定等级的外包实体所提供的指导,或者可能基于没有来自外包实体的
指导,在修改文档时行使他或她的独立判断。例如,对于指?#35745;?#30340;许可端,外包实体可以简
单地要求工作者实体以由工作者实体认为合适的任何方式改进文档。任何类型的协议或认
识可以决定外包实体与工作者实体之间的关系的性质。在一些情况下,工作者实体为外包
实体执行工作以获费用。在其他情况下,工作者实体“免?#36873;?#25191;行工作,例如,当工作者实体
和外包实体对应于相同组织的雇员时。

在其他情况下,工作者实体可以代表自动化代理(诸如计算机程序),其在具有或
不具有人工的监督的情况下响应于来自外包实体的指令而执行任务。然而,为了便于和简
化解释,此后将假设外包实体和工作者实体代表文档创建过程的人类参与者。

总的来说,图1表示由外包实体和工作者实体对文档执行的时间序列的操作,最终
产生最终文档。在初始阶段,外包实体可以使用一个或多个文档创建工具104(以下以单数
引用)来创建非混淆原始文档(NOD)106。例如,文档创建工具104或NOD 106的一些其他源可
以使用文?#25191;?#29702;应用、图形应用、图像捕获和/或编辑应用、视频捕获和/或编辑应用、幻灯
片组生成应用、网页编辑工具等或其任何组合来产生NOD 106。附加地或替代地,文档创建
工具104可以表示用于获取已创建的文档的机制,诸如用于扫描已经存在的文档或照片等
的扫描仪,或用于从本地和/或远程数据存储或其他源取得NOD 106的机制。

无论以何种方式产生,NOD 106可以包括任何类型的内容并且可以具有任何组织
结构(包括没有结构)。例如,NOD 106可以包含字母数字内容、图像内容、视?#30340;?#23481;、图?#25991;?br />容、原始数据等的任何组合。在NOD 106表示网页或网页的一部分的特定情况下,NOD 106还
可以包含与呈现相关的标记内容(例如,超文本标记语?#38405;?#23481;、?#35835;?#26679;式表内容等)、可执行
内容(例如,代码、代码等)?#21462;?#22312;其他情况下,文档可以包括具有
相同类型或不同类型的两个或更多个部分。例如,文档可以对应于包含多个组件文档或部
分的主文档;这些组成部分可以具有相同类型或不同类型。

更一般地,在开发过程的该阶段,假如状态还不是最终的,NOD 106表示具有任何
完成状态的“进行中”文档。在一个示例中,例如,外包实体可以生成文档的原始文本,并且
工作者实体可以对该文档执行格式化;在这里,外包实体所准备的文档尚未是最终的,因为
格式化尚未完成。

NOD 106还包含一个或多个敏感项目108形式的敏感信息。敏感信息表示对于任何
应用程序特定的原因,工作者实体不被允许消费的任?#25991;?#23481;。例如,NOD 106中的敏感信息
可以对应于NOD 106的所有字母数字内容。在另一种情况下,敏感信息可以对应于NOD 106
中的所有(或一些)实体名,和/或NOD 106中的所有(或一些)数值,等?#21462;?#27809;有限制什么内容
项目在特定环境中可以被认为是“敏感的”。

在外包过程中的这一点上,NOD 106暴露其包含的敏感信息。换言之,敏感信息尚
未?#25442;?#28102;,使得检索文档的任何人都可以检查敏感信息(即,假设NOD 106未被加密或以其
他方式被保护)。

在开发过程的下一阶段中,环境102使用混淆组件110来混淆NOD 106中的敏感项
目108,以产生经混淆的原始文档(OOD)112。OOD 112包含表示NOD 106中的敏感项目108的
经混淆的对?#20219;?#30340;经混淆的项目114。作为本文所使用的术语,经混淆的项目表示作为敏感
项目的替代而操作并且隐藏敏感项目的实际信息承载内容的任何信息。混淆组件110可以
使用一种或多种自动和/或手动技术来识别NOD 106中要被替换的敏感项目,如下面将结合
图6的解?#36879;?#35814;细地描述的。此外,如下面结合图9的解释将更详细地描述的,混淆组件110
可以使用一种或多种技术来产生经混淆的项目114,一旦它们被?#19994;健?br />

如下面将要阐明的,混淆组件110还可以通过提供允许外包实体验证NOD 106中意
图?#25442;?#28102;的所有敏感项目实际上已?#25442;?#28102;的一个或多个工具来帮助外包实体混淆NOD
106。下面结合图6的?#24471;?#26469;描述代表性的验证工具。

接下来,工作者实体可以使用至少一个文档创建工具116(以下以单数形式提及)
对OOD 112进行至少一个改变,产生经混淆的经转换文档(OTD)118。每个这样的改变转换文
档,并?#20918;?#31034;对产生最终文档的总任务的贡献。更具体地,在第一类型的改变中,工作者实
体改变在OOD 112中呈现信息的方式,但不影响底层信息本身。在第二类型的改变中,工作
者实体将至少一个内容项目添加到OOD 112,但是同样地,不修改出现在OOD 112中的原始
信息。但是在第三种类型的改变中,环境102可以允许工作者实体至少在一定程度上改变
OOD 112中的信息的信息承载内容。其他类型的改变可以表示上述三种类型的改变的混合。

考虑以?#28388;得?#24615;示例来阐明可以由工作者实体执行的操作的性质。在一种情况
下,工作者实体改变OOD 112的格式。例如,工作者实体可以改变OOD 112中的内容的空间布
置,OOD 112内的文本信息的大小和样式字体等?#21462;?#22312;一些情况下,工作者实体可以使用由
文档编辑程序提供的?#23454;?#26684;式化工具进行格式化改变。可替代地,在OOD 112表示注定要成
为网页(或其部分)的页面的那些情况下,工作者实体可以通过修改与OOD 112相关联的与
呈现相关的标记内容来进行格式化类?#36879;?#21464;,例如,通过修改与网页相关联的HTML。

在另一种情况下,工作者实体通过将背景图像添加到OOD 112来转换OOD 112。或
者,工作者实体可以在由外包实体所选择的OOD 112中的特定?#24674;?#22788;将库存图像添加到OOD
112,以例如?#22659;?#30001;OOD 112中的文本信息进行的点。

在另一种情况下,工作者实体产生将伴随OOD 112并影响OOD 112呈现其信息的方
式的程序。例如,工作者实体可以产生根据一些指定的一个或多个因素来过滤与OOD 112相
关联的数据项目的脚本型程序。可替代地或附加地,在OOD 112表示注定要成为网页的页面
的那些情况下,工作者实体可以添加影响网页的功能的代码(例如,代码
等),例如通过添加管理页面对终端用户?#20801;?#26631;点击和鼠标悬停的响应的方式的代码?#21462;?br />

在另一种情况下,工作者实体可以进行影响文档本身的整体特性或分类的改变。
例如,外包实体可以使用文?#25191;?#29702;应用来创建常规文档。工作者实体可以例如通过向文档
添加?#23454;?#30340;HTML、代码等将文档转换为网页。在其他情况下,工作者实体可
以仅使用OOD 112作为创建单独的新文档的指导,而不是逐字地对与OOD 112本身相关联的
信息进行操作。在本文中,与上面提供的示例相比,工作者实体可以被说成以更具有比喻和
间接的意义“转换”OOD 112。

在另一种情况下,工作者实体可以创建可视呈现以描绘与OOD 112相关联的一组
数据项目。例如,工作者实体可以在任何类型的图表、任何类型的图形等中组织集合中的数
据项目。工作者实体可以例如通过使用由图表生成应用、图形编辑应用等提供的工具以手
动方式产生这种改变。或者,工作者实体可以产生程序(如前面段落中所描述的),当运行
?#20445;?#20854;将产生数据项目的期望的可视描述。

上述类型的改变不影响存在于OOD 112中的信息的信息承载内容。例如,上述类型
的改变不以将改变OOD 112的语义内容的方式改变OOD 112中的字或符号。实际上,环境102
可以通过防止工作者实体修改出现在OOD 112中的原始信息,例如通过防止工作者实体修
改OOD 112中的字的?#22336;?#21477;子中的单词的?#25215;頡?#21477;子的?#25215;?#31561;,来对工作者实体的改变实
施该?#38469;?#29615;境102可以通过锁定OOD 112中的单个项目(或所有项目),防止它们被工作者
实体修改来实现上述效果。

但是如上所述,在其他情况下,环境102可以可选地允许工作者实体对信息本身进
行改变。例如,在另一种情况下,工作者实体可以通过将原始文档中的单词从一种自然语言
转换为另一种自然语言来进行翻译类型的改变。在另一种情况下,工作者实体可以通过修
改原始文档中的单词的语法和/或拼写等来进行校对类型的改变。

环境102可以以不同的方式记?#21152;?#24037;作者实体做出的改变。在一种情况下,环境
102将OTD 118保留为由工作者实体做出的改变的唯一记录。在其他情况下,除了创建OTD
118本身之外,环境102可以保存由工作者实体做出的每个单独改变的记录,或者这些改变
的至少一个子集。并且可以以任何特异?#36816;?#24179;捕获每个这样的改变。例如,如果工作者实体
改变OOD 112中的特定字的字体,则环境102可以在对应的粒度水平上记录该改变。总体上,
由工作者实体进行的改变的记录在本文中被称为改变历史信息。

注意,上述类型的改变是在?#24471;?#30340;精神而不是限制的情况下列举的;工作者实体
可以做出上面没有提到的其他类型的改变。在所有情况下,这些改变促进了开发过程向着
最终文档产生。

在文档创建流程的下一阶段中,去混淆组件120恢复在OTD 118中?#25442;?#28102;的敏感项
目,以产生内容恢复的被转换文档(CTD)122,以供外包实体消费(但不是工作者实体)。去混
淆组件120可以以下面将描述的不同方式来执行该任务。

图1描述了在简化示例的上下文中的上述过程改变。在该示例中,NOD 106对应于
幻?#30772;?#32452;。在图1中以高级形式描绘的幻?#30772;?#32452;的至少一个幻?#30772;?#20855;有多个要点。假设要点
中的至少一些信息项目包含敏感项目108。图1以非混淆形式将这些敏感项目108描绘为实
线框。混淆组件110例如通过将敏感项目108转换为经混淆的项目114来混淆敏感项目108,
以产生OOD 112。图1将经混淆的项目描绘为虚线框。

工作者实体然后将OOD 112中的要点组织成两列,然后将要点在它们各自的列中
置于中心,以产生OTD 118。这种改变可以被表征为格式化类型的改变,其不影响由NOD 106
赋予的任何语义内容。去混淆组件120然后在OTD 118上操作以将经混淆的项目114转换为
其原始对等的敏感项目108,以产生CTD 122。CTD 122保留由工作者实体做出的格式化类型
的改变。

总的来说,协作过程集成了两个领域的工作:非混淆的和混淆的。图1中的虚线124
图形地表示这两个领域之间的边界。根据一个益处,环境102提供了一?#21482;?#21046;,外包实体通
过该机制可以在联合创建文档的过程中与工作者实体自由地?#25442;ィ?#32780;不向工作者实体泄露
包含在文?#30340;?#30340;敏感信息。

环境102可以提供允许外包实体在整个文档创建过程中与工作者实体?#25442;?#30340;一个
或多个通信机制。例如,通信机制可以包括基于文本的机制(例如,即时消息传递机制、电子
?#22987;?#26426;制等)、语音通信机制、视频通信机制?#21462;?#36890;过这些机制,外包实体可以向工作者实体
发送指令,并且工作者实体可以向外包实体提出问题。图1?#22659;?#20102;虚线126,其表示由一个或
多个通信机制提供的外包实体与工作者实体之间的一个或多个通信信道。

此外,在外包实体和工作者实体参与基于文本的通信会话的那些情况下,在这些
实体之间?#25442;?#30340;消息可以被认为是它们自己权利的文档。因此,混淆组件110和去混淆组件
120可以以与上述相同的方式对这些文档进行操作。例如,假设外包实体写了一条消息“我
想以粗体和更大的字体看到销售数字‘$140万’”而没有立即意识到他已经制作了包含敏感
信息的消息。混淆组件110可以移除消息中的敏感项目并且用经混淆的项目替换它,例如通
过用“$##金额”替换“$140万”?#21462;?#22312;从工作者实体返回给外包实体的消息线程中,去混淆组
件120可以用其原始敏感项目(即“140万”)替换经混淆的项目。此外,通信信道可以可选地
被加密,以防止其他实体(不是外包实体与工作者实体之间的?#25442;?#30340;?#29615;?访问消息?#25442;弧?br />

在一些情况下,外包实体可以满意由工作者实体产生的经转换文档(例如,OTD
118)。外包实体收到CTD 122因此将呈现文档创建过程的结束以及最终文档的产生。在其他
情况下,外包实体可以对CTD 122执行进一步的操作以产生最终文档。在其他情况下,外包
实体可以指示工作者实体对工作者实体已经拥有的现有OTD 118做出附加的改变。或者外
包实体可以生成新的OOD,并且要求工作者实体对该新的OOD做出改变。

作为另一变型,上文描述的文档创建过程开始于生成或接收包含敏感项目108且
没有经混淆的项目的非混淆原始文档(NOD)106。但是原始文档可以可选地包含处于其原始
状态的至少一些经混淆的项目,例如由一些其他初步过程产生的(图1中未?#22659;?。在这个意
义上,术语非混淆文档(NOD)是指示起始文档包含至少一些尚未?#25442;?#28102;的敏感项目的相对
术语。

作为另一可能的变型,上面在使用单个工作者实体的上下文中描述了环境102。在
其他情况下,协作文档创建过程可以表示团?#20248;?#21147;。即,一个或多个外包实体可以准备NOD
106,并且一个或多个工作者实体可以将对等OOD 112转换成OTD 118。例如,外包实体可以
将NOD 106分成多个部分。混淆组件110可以混淆多个部分,以产生多个经混淆的部分。不同
的工作者实体可以对经混淆的部分进行操作以产生多个经混淆的经转换部分。去混淆组件
120可以恢复在经混淆的经转换部分中的敏感项目,以产生多个内容恢复的经转换部分。外
包实体然后可以将多个内容恢复的转换部分组合成单个内容恢复的经转换文档。在一个特
定实施方式中,外包实体可以使用众包平台?#20174;?#19978;述多个工作者实体?#25442;ァ?#27492;外,在一些情
况下,可以授权不同的工作者实体来消耗NOD 106的不同部分,而不消耗其他部分。在该情
况下,混淆组件110可以以不同的方式混淆NOD 106,以供不同的相应工作者实体使用。

作为另一可能的变型,NOD 106的至少一部分可以包含音频信息。混淆组件104可
以通过用经混淆的音频项目(例如,嘟声、空?#33258;?#20572;、哑词发音等)替换这些敏感音频项目来
混淆NOD 106中的敏感话语(或声音)。去混淆组件120可以执行相反的转换。在混淆与去混
淆之间,工作者实体可以修改NOD 106的任何方面,诸如其体积、声音质量?#21462;?#20294;是为了简化
解释的其余部分,此后将假设混淆和去混淆发生在视觉领域。

作为另一变型,外包实体和工作者实体可以表示参与文档的联合创建的对等体。
更?#38750;械?#35828;,这两个个体可以代表两个工作者,没有工作者在另一工作者的指导下。此外,
外包实体可能不知道工作者实体未被授权接收的某些敏感信息(如上述示例中);此外,工
作者实体可能不知道外包实体未被授权接收的其他敏感信息。在这种情况下,混淆组件110
可以可选地混淆从外包实体流向工作者实体的某些敏感信息,并且可选地混淆从工作者实
体流向外包实体的其他信息。在对等操作中,去混淆组件120可以可选地对从工作者实体流
向外包实体的某些敏感信息去混淆,并且可选地对从外包实体流向工作者实体的其他信息
去混淆。

更具体地说,假设两名律师正在着手销售合同,例如代表第三方实体购买化合物。
假设第一名律师可以消费合同中的销售数据,但不消费技术数据,而第二名律师可以消费
合同中的技术数据,但不消费销售数据。混淆组件110将防止第二名律师接收销售数据并且
防止第一名律师接收技术数据。另?#29615;?#38754;,第三方实体可以被授权消费整个文档。

环境102可以以不同的方式实现上述行为,诸如通过使用不同的相应加密密钥加
密文档的不同部分,并将对等的解密密钥分发给不同的工作者实体。可替代地或另外,环境
102可以通过使用访问控制列表(ACL)功能等来实现上述行为。

现在转到图2,该图?#22659;?#20102;至少一个文档创建工具202(以下以单数指代)的实例以
及外包工具204的实例。图1的环境102使用这些工具的一个或多个实例来执行其功能,如下
面关于图3和图4的示例所描述的。

在一个实施方式中,文档创建工具202和外包工具204表示两个计算机实现的应
用。在本文中,文档创建工具202可以包含用于在其执行过程中激活外包工具204的接口机
制206,和/或外包工具204可以包含用于在其执行过程中激活文档创建工具202的接口机制
(未?#22659;?。在另一示例中,文档创建工具202和外包工具204一起集成到单个应用中。例如,
外包工具204可以表示与由文档创建工具202提供的代码相关联的模块。环境102可以提供
用于实现文档创建工具202和外包工具204的功能的其他方式。

文档创建工具202可以包括用于加载文档、创建和编辑文档、呈现文档等的任何文
档操纵机制208。文档操作机制208将根据所考虑的文档的类型而变化。例如,机制208表示
用于创建和呈现文?#25191;?#29702;文档、幻?#30772;?#32452;、载有图形的文档、图像、视?#26723;?#20013;的任一个的功
能。在另一种情况下,机制206表示用于创建旨在用于呈现为网页的文档的功能?#21462;?br />

外包工具204本身可以包括执行不同相应功能的任?#38382;?#30446;的模块,其可以在单个
?#38236;?#22788;提供或分布在多个?#38236;?#19978;。混淆组件210将未混淆的原始文档(NOD)转换为经混淆的
原始文档(OOD)。换言之,混淆组件210表示在图1中引入的混淆组件110的实例化。去混淆组
件212将经混淆的经转换文档(OTD)转换为内容恢复的经转换文档(CTD)。换言之,去混淆组
件212表示图1的去混淆组件120的实例化。通信组件214实现允许外包实体与工作者实体通
信的一个或多个通信机制。或者通信组件214可以表示到一个或多个单独实现的通信机制
的入口。

外包工具204还可以包括一个或多个其他组件216,诸如用于从一组可用工作者实
体之中选择工作者实体的模块,用于?#36816;?#36873;工作者实体执行的工作进?#20449;?#21517;的模块?#21462;?br />

图3?#22659;?#20102;代表图1的环境102的一个实施方式的系统302。关于一个外包实体与一
个工作者实体之间的?#25442;?#26469;描绘系统302,但是如上所述,对于任何给定的文档转换任务,
环境102可以由多个外包实体和/或多个工作者实体使用。

系统302包括经由网络308耦合在一起的第一客户端计算设备304和第二客户端计
算设备306。外包实体与第一客户端计算设备304?#25442;ィ?#32780;工作者实体与第二客户端计算设
备306?#25442;ァ?#23458;户端计算设备(304、306)可以表示任何类型的用户计算设备,例如选自:固定
个人计算设备或工作?#23613;?#33181;上?#22270;?#31639;设备、平板?#22270;?#31639;设备、游戏控制台设备、机顶盒设备、
智能?#21482;取?br />

网络308可以对应于广域网(例如因特网)、局域网、点对点链路等或其任何组合。
可替代地,外包实体和工作者实体可以经由其他通信策略(例如,经由便携式存储设备,如
拇指驱动器等)来?#25442;?#25991;档。

第一客户端计算设备304可以托管一个或多个文档创建工具310(以下以单数引
用)和外包工具312。类似地,第二客户端计算设备306可以托管一个或多个文档创建工具
314(以下以单数引用)和外包工具316。文档创建工具(310、314)可以包括上面关于图2描述
的任何文档创建应用。类似地,外包工具(312、316)可以包括上面关于图2描述的任?#25991;?#22359;。

第一客户端计算设备304可以包括用于存储其创建或接收的文档的一个或多个数
据存储装置318。类似地,第二客户端计算设备306可以包括用于存储其创建或接收的文档
的一个或多个数据存储装置320。数据存储装置(318、320)相对于它们各自的客户端计算设
备(304、306)可以是本地的或远程的。

在一个功能分配中,第一客户端计算设备304的外包工具312负责混淆NOD 106以
产生OOD 112,以及负责去混淆OTD 118以产生CTD 122。在该实施方式中,工作者的客户端
计算设备306的外包工具316可以省略其自己的混淆组件和去混淆组件的本地实例化。或
者,工作者的外包工具316可以包括混淆组件和去混淆组件,但是在上述场景中不调用这些
组件。

例如,该描述将针对图11阐述以下实施方式,其中所有客户端计算设备都配备有
去混淆文档的能力。但是该能力取决于具有解密密钥的去混淆组件,该解密密钥允许其访
问文档中的敏感信息。在图3的上下文中,工作者的客户端计算设备306将缺少这样的密钥,
使得其不能访问或产生NOD 106或CTD 122。在另一实施方式中,环境102可以使用访问控制
列表(ACL)技术来管理不同种类的文档和文档部分的选择性消?#36873;?br />

第一客户端计算设备304可以以任何形式(例如作为对电子?#22987;?#28040;息的附件等)经
由网络308向第二客户端计算设备306发送OOD 112。类似地,第二客户端计算设备306可以
以任何形式经由网络308向第一客户端计算设备304发送OTD 118。

图4?#22659;?#20102;代表图1的环境102的另一实施方式的另一系统402。系统402包括外包
实体与其?#25442;?#30340;第一客户端计算设备404和与工作者实体?#25442;?#30340;第二客户端计算设备406。
网络408将第一客户端计算设备404与第二客户端计算设备406耦合。关于对等的相同名称
的组件,客户端计算设备(404、406)和网络408可以使用上面针对图3描述的相同的计算设
备来实现。

第一客户端计算设备404可以托管一个或多个文档创建工具410(以下以单数引
用)和外包工具412,并且可以将其文档存储在一个或多个本地和/或远程数据存储装置414
中。类似地,第二客户端计算设备406可以托管一个或多个文档创建工具416(以下以单数引
用)和外包工具418,并且可以将其文档存储在一个或多个本地和/或远程数据存储装置420
中。同样,这些组件可以包括上面关于图3所描述的相同的功能。

与图3不同,图4的系统402还包括一个或多个远程计算系统422,下文中以单数简
称为远程系统。远程系统422可以由一个或多个服务器计算设备和/或其他计算设备实现。
远程系统422托管一个或多个文档创建工具(以下以单数引用)424和外包工具426,并且它
将其文档存储在一个或多个数据存储装置428中。

在一个功能分配中,?#31245;?#31243;系统422托管的远程外包工具426执行系统402中的所
有混淆和去混淆功能。例如,第一客户端计算设备404可以将NOD 106传送到远程混淆组件,
然后远程混淆组件产生OOD 112并将其传送到第二客户端计算设备406。类似地,第二客户
端计算设备406将OTD 118传送到?#31245;?#31243;系统422托管的远程去混淆组件,于是去混淆组件
将其转换为CTD 122并将其传送到第一客户端计算设备404。为了服务于该角色,远程系统
422可以用作由外包实体信任的服务,以维护其接收或产生的任何非混淆内容的机密性。

在上述情景下,第一客户端计算设备404可以以与上述相同的方式使用其本地文
档创建工具410来执行文档创建任务。类似地,第二客户端计算设备406可以使用其自己的
本地文档创建工具416来执行文档创建任务。

在又一实施方式中,系统402将所有文档创建任务分配给远程文档创建工具424。
例如,文档创建工具424可以表示web实现的文?#25191;?#29702;应用。第一客户端计算设备404和第二
客户端计算设备406可以对?#31245;?#31243;文档创建工具424提供的服务的分离实例化进行操作。在
该情况下,由外包实体和工作者实体产生的文档可以?#31245;?#31243;系统422操作和维护;因此,客
户端计算设备(404、406)不需要对文档执行本地操作,并且不需要以上述方式经?#19978;?#24687;在
它们之间传送文档。

在另一种情况下,第一客户端计算设备404可用的文档创建功能以任何方式分布
在本地客户端计算设备404与远程系统422之间。类似地,第二客户端计算设备406可用的文
档创建功能以任何方式分布在本地客户端计算设备406与远程系统422之间。

在另一个实施方式中,远程文档创建工具424表示协作文档创建功能,其允许外包
实体和工作者实体例如在共享工作空间内(而不是如上面提供的示例中的单独的非共享工
作空间)同时创建的相同文档上工作。但是,在任何给定时间,远程外包组件426向外包实体
和工作者实体给予在当前时间正在操作的文档的两个不同视图。即,外包组件426向外包实
体提供文档的非混淆版本,同时向工作者实体提供文档的混淆版本。

此外,在上述协作情景中,?#31245;?#31243;系统422提供的远程混淆组件可以自动将由外包
实体进行的任何新的增量改变转换为文档的?#23454;?#28151;淆的视图,以呈现给工作者实体。类似
地,?#31245;?#31243;系统422提供的远程去混淆组件可以自动地将由工作者实体做出的任何新的增
量改变应用到文档的?#23454;?#30340;非混淆视图,以呈现给外包实体。换言之,在上述实施方式中,
在图1的上下文中引入的基本流程可以对于由外包实体或工作者实体对文档做出的每个增
量改变以分片方式进行。此外,除了进行串行改变之外,外包实体和工作者实体可以彼此并
行地进行一些改变。

图3和图4的实施方式应当在?#24471;?#30340;精神而不是限制的情况下理解;即,图1的环境
102的其他实施方式是可能的。

图5-8?#22659;?#20102;可以由图1的环境102提供的?#24471;?#24615;用户界面演示。即,环境102的功
能可以在开发最终文档的不同相应阶段产生用户界面演示。为了便于描述,将假设过程流
以基本上?#25215;?#30340;方式进行,例如,其中外包实体产生NOD 106,随后是产生OTD 118的工作者
实体。但是如上所述,在其他情况下,外包实体和工作者实体可以在大致相同的时间在同一
文档上工作,以增量方式进行改变。

用户界面呈现的视觉和功能方面在下文中以?#24471;?#30340;精神阐述,而不是限制。其他
实施方式可以改变用户界面呈现的任何方面,包括但不限于GUI特征的选择,那些特征的布
置,与这些特征相关联的功能?#21462;?#20165;举一个例子,在图5-8中,文档创建工具和外包工具有助
于具有专用于不同功能的两个或更多个部分的单个集成用户界面演示。但是在其他示例
中,文档创建工具和外包工具可以呈现单独的相应用户界面演示。

从图5开始,该图?#22659;?#20102;用户界面呈现502,外包实体可以在最初调用外包工具时
与之进行?#25442;ァ?#22806;包工具可以对应于驻留在外包实体的客户端计算设备和/或远程系统上
的代码。

更具体地,假设用户首先与文档创建工具?#25442;?#20197;产生或以其他方式提供具有单个
页面504的幻?#30772;?#32452;。文档创建工具在用户界面演示502的部分506内呈现页面504。页面504
包括表示关于特定主题的信息的多个要点。在图1的术语中,页面504构成未混淆的原始文
档(NOD)106,并且在页面504上表达的信息可以被概念化为由多个内容项目组成。

假设外包实体考虑页面504中的至少一些内容项目作为对于任何特定于应用的原
因而不应向工作者实体公开的敏感信息。例如,外包实体可以将页面504中的所有字母数字
文本视为机密。可替代地,如在图5中实际描绘的示例中,外包实体可以仅考虑指定的发布
日期(“2015年8月”)、关键市场细分(“韩国”)和基础设施成本数据(“300”、“400”和“700”)
作为页面504中的敏感项目。外包实体对上面阐述的页面504的解释仅仅是?#24471;?#24615;的。

文档创建工具可以呈现第一部分506中的任何类型的控件,诸如控制按钮508。外
包实体可以点击按钮508来调用外包工具。响应于按钮508的激活,外包工具在用户界面演
示502的第二部分512中向外包实体呈现选项?#35828;?10。第一选项514允许外包实体混淆文
档。第二选项允许外包实体对文档去混淆(假设在外包实体从工作者实体接收?#20445;?#25991;档?#25442;?br />被自动去混淆)。第三选项允许外包实体从可用工作者实体池中选择一个或多个工作者实
体。第四选项允许外包实体评估已经由工作者实体执行的工作,等?#21462;?#36824;有其他选项可以是
可用的,诸如允许外包实体管理帐户、支付服务等的选项。

前进到图6,该图?#22659;?#20102;可以在外包实体在图5的选项510的?#35828;?#20013;选择混淆?#35828;?br />选项514时呈现给外包实体的用户界面呈现602。在该用户界面呈现602中,文档创建工具可
以可选地继续在用户界面呈现602的第一部分506内呈?#21482;玫破?#32452;的页面504。此外,外包工
具现在可以呈现允许用户混淆页面504中的敏感项目的各种GUI特征。如上所述,在图1的术
语中,其原始形式的页面504构成非混淆的原始文档(NOD)106。

例如,在部分604中,外包工具可以提供允许用户使用不同的相应机制来查找和替
换NOD 106中的敏感项目的各种选项。例如,第一子部分606允许用户指定应该?#25442;?#28102;的内
容项目的类型,诸如所有字母数字内容、所有实体名称、所有数?#26723;齲?#25110;其任何组合。外包工
具可以使用一个或多个策略来根据用户选择的内容项目的类型来?#19994;?#25152;选择的内容项目。
例如,假设用户指定要?#36816;?#26377;实体名称进行混淆。外包工具可以使用任何实体检测技术来
在文档中?#19994;?#23454;体名称,诸如通过将文档中的术语与标识已知实体名称的字典进行比较,
或者通过使用机器训练的实体检测模型或基于规则的实体检测模型来分析文档中的项,等
?#21462;?br />

第二子部分608允许外包实体指示外包工具搜索指定的敏感项目。在?#19994;?#25935;感项
目?#20445;?#22806;包工具可以突出其存在,然后给予外包实体手动或自动混淆敏感项目的能力。第三
子部分610邀请外包实体手动搜索NOD 106以识别敏感项目。外包工具然后可以给予外包实
体手动或自动地将每个识别的敏感项目转换为经混淆的对?#20219;?#30340;选项。仍然进一步的寻找
和替换策?#20801;?#21487;能的。

虽然未?#22659;觶?#20294;是部分604还可以给予外包实体选择要被进行混淆的NOD 106的部
分的选项,假设是某些部分要?#25442;?#28102;,并且一些部分不需要?#25442;?#28102;。同样,部分604可以提供
用于完成该任务的各种工具。在一种情况下,部分604可以允许外包实体手动选择要?#25442;?#28102;
的部分(例如,部分或页面)。可替代地或另外,部分604可允许外包实体指定部分选择准则;
混淆组件110然后?#19994;接?#20934;则匹配的部分并?#19968;?#28102;它们。例如,在具有机密名称和货币数字
的合同中,外包实体可以宽泛地指定包含这些数据项目的至少一个出现的文档的任何部分
将被整体混淆。

此外,尽管未?#22659;觶?#20294;是部分604还可以给予用户选择执行混淆的方式的选项,即,
在外包工具自动执行混淆的情况下(而不是依靠外包实体手动执行混淆)。例如,在第一选
项中,外包工具可以用与被替换的相应敏感项目具有相同长度的随机?#22336;?#20018;替换敏感项
目。在第二选项中,外包工具可以通过对其执行混淆的方式放置各种?#38469;?#26469;修改其随机混
淆,诸如通过用随机选择的字母?#22336;?#26367;换字母?#22336;?#36890;过用随机选择的数字?#22336;?#26367;换数字
?#22336;?#36890;过用分别具有相同大小写状态的?#22336;?#26367;换大写?#22336;托?#20889;?#22336;?#31561;?#21462;?#22312;第三选项
中,外包工具可以用类似的虚拟“真实”字替换敏感项目,例如通过用虚拟名称“John Doe”
替换实际名称,或者通过用虚拟年份“3000”代替实际年份?#21462;?#22312;一种技术中,外包工具可以
通过使用将敏感项目的?#22336;成?#21040;经混淆的项目的集合内的条目的散列表或?#25104;?#31639;法来
执行上述功能;该条目表示实际的?#21097;?#20294;是尽管如此,它仍然?#25442;?#26174;示任何敏感信息。

假设外包实体选择手动审阅页面504以识别页面504中的敏感项目。作为响应,外
包工具可以呈现用户界面演示602的部分612。如图所示,用户已经手动识别发布日期
(“2015年8月”)、关键市场细分(“韩国”)和一个基础设施成本数据项(“300”)作为敏感项
目。响应于这些选择,外包工具可以使用上述任何混淆策略来自动用经混淆的项目替换敏
感项目,例如通过用无意义和随机选择的文本“Hjus&s 3333”替换敏感项目“2015年8月”。
或者外包工具可以允许外包实体手动混淆这些敏感项目。

外包工具还可以应用各种策略,其允许外包实体验证他或她意图混淆的所有敏感
项目实际上已经?#25442;?#28102;。例如,部分612可以呈现突出显示在混淆过程中已经改变的所有内
容项目的子部分614。外包实体可以通过检查子部分614中的突出显示和/或通过将子部分
614与出现在第一部分506中的原始页面504进行比较来验证所有?#23454;?#30340;内容项目已经被替
换。

在一些实施方式中,外包工具还可以使用第二子部分616来提供关于在混淆过程
中做出的改变的附加信息。例如,第二子部分616可以列出已经从NOD 106移除以产生OOD
112的所有原始内容项目。例如,第二子部分616揭示了混淆项目618已经替换了原始敏感项
目620。第二子部分616还可以提供概括已经进行的替换的更高级别的元数据。例如,摘要消
息622指示已经对NOD 106进行了三次改变以产生OOD 112。

可替代地或另外,外包工具可以自动检测外包实体已经做出的改变的类型,然后
自动确定是否存在尚未被替换的相同类型的现有内容项目。例如,假设外包实体手动地移
除NOD 106内的除了一个实体名称之外的所有实体名称。外包工具可以通过检测已经被替
换的内容项目可能与例如通过使用上述任何实体检测算法的实体名称相关来响应这些动
作。外包工具然后可以确定是否存在仍在NOD 106中的尚未被替换的任何附加实体名称。如
果仍有待替换的敏感项目,则外包工具可以警告用户该事实;外包工具还可以给予用户混
淆剩余的敏感项目的机会。

在图6的特定示例中,外包工具已经检测到外包实体已经替换了三个基础设施成
本值的集合中的第一数值,而不是第二值和第三值。作为响应,外包工具可以突出显示剩余
的数值,例如,如?#24471;?#24615;突出显示624所示。此外,外包工具可以显示消息626,其邀请用户修
改第二和第三数值。还可以使用其他策略来识别尚未?#25442;?#28102;的敏感项目。

在某些情况下,外包实体还可能希望向工作者实体传达具体指令。外包实体可以
以任何方式执行该任务,例如通过使用任何通信机制与工作者实体直接通信。在图6的情况
下,外包实体还将元数据?#24230;?#21040;OOD 112中,其作为对工作者实体的指令进行操作。例如,第
一指令628可以要求工作者实体将背景图像添加到OOD 112。第二指令630可以请求工作者
实体产生呈?#21482;?#30784;设施成本值的条形图。在其他情况下,如上所述,外包实体可以给予工作
者实体更大的自由度来进行改变,例如,通过给予工作者实体使用工作者实体认为最?#34892;?br />的图表类型来?#24471;?#25968;值的选项。

图7?#22659;?#20102;环境102可以呈现给工作者实体以供工作者实体将OOD 112转换为OTD
118使用的用户界面呈现702。更具体地,工作者实体可用的文档创建工具可以呈现用户界
面演示702的第一部分704。工作者实体可以经由该部分704做出任何改变,以产生对应于
NOD 106的对等页面504的OTD 118的页面706。工作者实体与之?#25442;?#30340;文档创建工具可以由
本地客户端计算设备和/或远程系统托管。

例如,在图7的仅仅代表性的情况下,工作者实体具有:(a)改变的OOD 112中的字
母数字文本的字体;(b)添加到OOD 112中的相应要点的开始处的要点符号;(c)添加到OOD
112的背景图像;(d)添加到OOD 112的补充图像708;(e)格式化为条形图的数据项目,等?#21462;?br />尽管未?#22659;觶?#20294;是环境102可以可选地继续例如在用户界面演示702的另一部分中显示原始
(未修改的)OOD 112。

在进行所有上述改变的过程中,工作者实体不暴露于出现在NOD 106中的敏感信
息的真?#30340;?#23481;。例如,工作者实体可以格式化第一要点710,而不知?#28010;?#25152;指的具体日期。在
其他情况下,外包实体可以选择对NOD 106中的所有字母数字内容进行混淆,在该处,工作
者实体将具有关于每个要点的更少的信息。

特别关于页706中所示的条形图,回想外包实体已经用虚拟值替换了实?#36866;?#20540;。此
外,外包实体已经指示工作者实体产生传达基础设施成本与时间的条形图。工作者实体通
过基于那些虚拟成本值714而不是真实值构建图表712来做出响应。在另一种情况下(未示
出),外包实体可以保留OOD 112中的实际值,但是混淆这些实际值的含义。例如,外包实体
可以识别条形图将由第一变量(用于在垂直轴上呈现)和第二值(用于在水平轴上呈现)定
义,但是没有?#24471;?#31532;一变量和第二变量分别对应于成本和时间。还可以采用其他策略来混
淆要在图表或图形的构造中使用的原始数据。

工作者实体可以通过点击命令按钮716等来调用外包工具的实例化的服务。作为
响应,外包工具可以呈现图5所示的选项?#35828;?#31867;型510。假设工作者实体希望在生产OTD 118
的过程中与外包实体通信。工作者实体可以点击选项510的?#35828;?#20013;的?#23454;?#30340;与通信相关的
条目。作为响应,外包工具可以呈现用户界面演示702的部分718。

部分718可以表示到工作者实体的一个或多个接口,工作者实体可以通过该接口
与外包实体通信。例如,部分718可以包括允许工作者实体以文本形式呈现问题的子部分
720和/或允许工作者实体使用视频通信机制直接与外包实体交谈的子部分722,等?#21462;?br />

图8?#22659;?#20102;呈现给外包实体以显示CTD 122的用户界面呈现802。CTD 122是由工作
者实体使用图7的用户界面演示702生成的OTD 118的内容恢复版本。

更具体地,可用于外包实体的文档创建工具可以在用户界面呈现802的第一部分
806中呈现OTD 118的页面804。页面804可以具有与OTD 118的页面706相同的内容和外观,
除了去混淆组件现在将经混淆的项目恢复到其对应的原始敏感项目。例如,页面804可以包
含第一要点中的实际启动日期(“2015年8月”)808,而不是页面706中的经混淆的项目
(“Hjus&s 3333”)。并且条形图被修改为包括实?#36866;?#20540;成本值810,而不是虚拟成本值714。

再次,外包实体可以通过激活命令按钮812等来调用外包工具的服务。作为响应,
外包工具可以再次呈现图5所示的选项510的?#35828;ァ?#20551;设外包实体希望向工作者实体发送进
一步的指令。外包实体然后可以在选项510的?#35828;?#20013;激活通信相关选项,外包工具在其上呈
现用户界面呈现802的第二部分814。

第二部分814提供允许外包实体使用不同的相应通信机制(例如,基于文本的通信
机制、视频通信机制等)与工作者实体进行通信的各?#32440;?#21475;(816、818)。响应于外包实体的
进一步指令,工作者实体可以对OTD 118做出进一步的改变;外包实体将接收那些改变作为
CTD 122的更新版本。上述协作过程可以以上述方式重复任?#26410;问?#30452;到最终文档被产生为
外包实体满意为止。

图9?#22659;?#20102;混淆组件210的一个实施方式,其是图2的外包工具204的组件,并且可
以相对于外包实体的客户端计算设备而本地和/或远程地实现。混淆组件210包括项目选择
组件902,其提供用于选择要由混淆的项目替换的敏感项目的一个或多个机制。在一种情况
下,项目选择组件902可以提供(图6的)部分604,外包实体可以通过该部分604与项目选择
组件902?#25442;ァ?#22312;一种方法中,项目选择组件902从外包实体接收匹配准则,然后自动?#19994;接?br />这些准则匹配的NOD 106中的内容项目。在第二方法中,项目选择组件902提供外包实体可
以手动审阅NOD 106并选择感兴趣的内容项目等的功能。

修改验证组件904呈现一个或多个机制,外包实体通过该机制可以验证旨在?#25442;?br />淆的所有内容项目实际上已经?#25442;?#28102;。在一个示例中,修改验证组件904可以经由图6的部
分612与外包实体?#25442;ァ?#22312;一个验证策略中,修改验证组件904可以突出已经在部分612内对
NOD 106做出的改变。在另一策略中,修改验证组件904可以自动检测外包实体已经做出的
改变的类型,并且向外包实体警告尚未?#25442;?#28102;的相同类型的内容项目,等?#21462;?br />

项目修改组件906执行敏感项目与对等的经混淆的项目的实际替换。项目修改组
件906可以使用不同的策略来执行该任务。在一种方法中,项目修改组件906可以用随机选
择的?#22336;?#25110;随机选择的实?#39318;?#31561;替换每个敏感项目。在另一种方法中,项目修改组件906可
以使用?#25104;?#34920;(例如,哈希表)或?#25104;?#31639;法以将每个敏感项目?#25104;?#21040;经混淆的项目,等?#21462;?#25968;
据存储装置908可以存储?#25104;?#34920;或?#25104;?#31639;法的操作?#38382;?br />

在一些情况下,项目修改组件906可以与OOD 112一起生成混淆化信息。混淆化信
息识别已经使用一种或多种技术对NOD 106做出以产生OOD 112的改变。在一种技术中,例
如,项目修改组件906可以创建将原始敏感项目?#25104;?#21040;对应的经混淆的项目的文件。例如,
混淆化信息中的一个条目可以指示敏感项目“2015年8月?#24065;?#34987;随机文本“Hjus&s 333”替
换。在另一技术中,项目修改组件906可以创建将NOD 106内的敏感项目出现的?#24674;?#19982;已从
那些?#24674;?#31227;除的敏感项目一起?#25104;?#30340;文件;这样的文件可以可选地省略描述经混淆的项目
的信息。例如,该文件中的一个条目可以指示敏感项目“2015年8月”出现在页面504内的规
定文本?#24674;謾?br />

在另一种情况下,项目修改组件906可以向NOD 106和/或OOD 112添加标记。标记
还可以保存在OTD 118中。每个标记标识已经被敏感项目替换的NOD 106中的敏感内容的单
元(例如,?#22336;?#21333;词、句子、段落等)。项目修改组件906可以将该标记添加到文档中已经移
除敏感项目的?#24674;謾?#22312;一种情况下,默认情况下,标记可能对读者不可见,但是如果允许,则
可以给予读者通过选择?#23454;?#30340;显示设置使其可见的能力。

在上述标记相关实施方式中,混淆化信息可以描述标记与敏感项目之间和/或标
记与敏感项目与经混淆的项目项之间的关系。例如,混淆化信息可以包含与图6中的混淆相
关联的标记“Z001?#20445;?#20854;中用随机文本“Hjus&s 333”替换“2015年8月”。NOD 106和/或OOD
112可以在页面504中敏感项目(“2015年8月”)已?#25442;?#28102;的?#24674;?#22788;包括该标记。

在其他实施方式中,项目修改组件906的?#25104;?#34920;或算法可足以重构敏感项目而无
需单独考虑已经进行的改变的意义上,混淆化信息是可选的。

在产生混淆化信息的那些情况下,混淆组件210可以在环境102内的各种?#24674;?#22788;存
储该信息。在一种情况下,混淆组件210可以将混淆化信息转发到至少去混淆组件212,这使
得去混淆组件212能?#25442;?#20110;该信息恢复敏感项目。在其他情况下,混淆组件210可以将模糊
化信息的加密版本附加到NOD 106、OOD 112等中的一个或多个。加密的混淆化信息可以保
留在由工作者实体产生的OTD 118中并被转发到去混淆组件212。

图10?#22659;?#20102;去混淆组件212的一个实施方式,去混淆组件212是图2的外包工具204
的另一个组件。去混淆组件212包括可选许可组件1002,其确定去混淆组件212是否具有将
OTD 118转换为CTD 122的许可。在一种情况下,许可组件1002可以通过确定数据存储装置
1004是否包含?#23454;?#30340;解密密钥以用于解密经加密的混淆化信息等来做出该决定。一旦允许
执行转换,项目恢复组件1006执行使用解密的版本的混淆化信息将OTD 118中的经混淆的
项目转换为CTD 122中的原始敏感项目的实际任务。

在其他情况下,数据存储装置1008可以存储未加密版本的混淆化信息,其直接从
混淆组件210接收。项目恢复组件1006可以使用未加密的混淆化信息将OTD 118转换为CTD
122。

在其他情况下,项目恢复组件1006访问由混淆组件210的项目修改组件906使用的
相同的?#25104;?#34920;或算法。项目恢复组件1006可以使用该?#25104;?#20449;息将OTD 118转换为CTD 122,
假设?#25104;?#20449;息本身执行转换是足够的(这是在其他情况下可能不是真实的假设)。

如上所述,在一些情况下,外包工具2004可以防止工作者实体改变他或她没有对
其进行改变的OOD 112中的任?#25991;?#23481;项目。例如,外包工具2004可以防止工作者实体改变
OOD 112中的文本“启动日期:Hjus&s 3333?#20445;?#36825;可以通过将该文本指定为锁定项目来实现。
在其他情况下,外包工具2004可以允许工作者实体?#38405;?#23481;项目做出有限的改变。然而,存在
由工作者实体做出的改变可能损坏经混淆的项目的风险。继而,这种损坏可能潜在地使去
混淆组件212将经混淆的项目?#25104;?#22238;其敏感项目对?#20219;?#30340;能力复杂化,这取决于环境102如
何解释已经做出的混淆。例如,在一些情况下,经混淆的项目本身可以用作用于?#19994;?#30456;应的
敏感项目的密钥;因此,经混淆的项目的损坏可能会干扰项目恢复组件1006?#19994;?#27491;确的敏
感项目的能力。

项目恢复组件1006可以使用不同的策略来解决上述情况。在第一种情况下,项目
恢复组件1006可以使用相似性测试来确定修改的经混淆的项目是否充分地类似于原始的
经混淆的项目(如在混淆化信息中所?#20174;?#30340;)。如果项目充分相似,则项目恢复组件1006可
以用其假定的对应敏感项目对?#20219;?#26469;代替损坏的经混淆的项目。

在另一种情况下,如上所述,外包工具可以存储跟踪由工作者实体做出的每个改
变或这些改变中的至少一些改变的改变历史信息。项目恢复组件1006可以查阅改变历史信
息以确定损坏的经混淆的项目的原始形式。项目恢复组件然后可以用其假定的对应敏感项
目对?#20219;?#26469;替换损坏的经混淆的项目。或者,项目恢复组件1006可以向外包实体显示改变
历史信息,这允许外包实体手动地检查和批准任何所讨论的恢复操作。

图11?#22659;?#20102;在由工作者实体做出的改变之后可以对外包工具204的各个组件可用
的信息束1102。该信息束1102可以作为集成数据结构或作为单独的信息项目存在。信息束
1102可以存储在环境102内的一个或多个?#24674;?#22788;。

信息束1102包括NOD 106、混淆化信息1104、OTD 118和改变历史信息1106。NOD
106对应于非混淆的原始文档。混淆化信息标识由混淆组件210做出的改变。OTD 118对应于
由工作者实体产生的经混淆的转换文档。并且改变历史信息枚举由工作者实体做出的所有
改变。

在一个实施方式中,可以允许外包工具的不同实例化读取正在处理的文档的不同
版本,这取决于它们是否拥有解密密钥。例如,期望外包实体的外包工具拥有解密密钥,使
其能够读取信息1102的所有部分。特别地,外包实体的外包工具可以访问NOD 106和OTD
118;它也可以使用混淆信息1104以将OTD 118转换为CTD 122。相比之下,工作者实体的外
包工具预期缺少解密密钥。由此,即使其可以具有去混淆组件,该组件也不能成功地读取
NOD 106或混淆化信息。在?#29615;?#38382;混淆化信息的情况下,工作者实体的外包工具也不能产生
CTD 122。

再次注意,图11的实施方式仅表示环境102可以防止敏感信息的传播的一种技术。
在另一种情况下,去混淆组件212可以直接从混淆组件210接收混淆化信息,这消除了对加
密和解密混淆化信息的需要。即,在后一种情况下,工作者实体的外包工具不以加密或解密
形式接收混淆化信息。

B.?#24471;?#24615;过程

图12和图13?#22659;?#20102;以流程图形式?#24471;?#37096;分A的环境102的操作的过程。由于已经在
部分A中描述了环境102的操作的基本原理,因此在本部分中将以概括的方式解决某些操
作。

从图12开始,该图?#22659;?#20102;从外包实体的角度描述图1的环境102的一种操作方式的
过程1202。例如,过程1202的至少一些方面可以由外包实体可用的外包工具的实例来执行。
该外包工具可以由本地客户端计算设备和/或至少一个远程计算系统托管。

在框1204中,环境102提供其中包含可由外包实体访问的一个或多个敏感项目108
的非混淆原始文档(NOD)106。在框1206中,环境102混淆NOD 106中的敏感项目108,以产生
包含经混淆的项目的经混淆的原始文档(OOD)112。在框1208中,环境102可选地验证意图被
混淆的所有敏感内容项目已?#25442;?#28102;。在框1210中,环境102向工作者实体提供OOD 112。在框
1212中,环境102从工作者实体接收经混淆的经转换文档(OTD)118。OTD 118包含由工作者
实体对OOD 112做出的至少一个改变。这种改变继而有助于最后文件的开发。在框1214中,
环境102对OTD 118进行去混淆以产生内容恢复的转换文档(CTD)122。

框1216指示,在产生最终文档的过程中的任何阶?#26410;Γ?#22806;包实体可以使用一个或
多个通信机制与工作者实体通信。环回路径1218指示工作者实体可以继续对OTD 118做出
改变,并且环境102可以继续将OTD 118在其当前状态下转换成CTD 122的实例以供外包实
体审查。

图13是?#22659;?#20174;工作者实体的角度看图1的环境102的一种操作方式的过程1302。例
如,过程1302的至少一些方面可以由文档创建工具的实例和可由工作者实体使用的外包工
具来执行。这些工具可以由本地客户端计算设备和/或至少一个远程计算系统托管。

在框1304中,环境102从外包实体接收OOD 112。在框1306中,在工作者实体的指导
下的文档创建工具对OOD 12做出至少一个改变以产生OTD 118。在框1306中,环境102将OTD
118转发至外包实体,或者使OTD 118对外包实体可用。框1310指示,在产生最终文档的过程
中的任何阶?#26410;Γ?#24037;作者实体可以使用一个或多个通信机制与外包实体通信。回送路径
1312指示工作者实体可以在收到来自外包实体的指令时继续对OTD 118做出改变。

图12和13,其中框架在信息的串行流的上下文中,其中外包实体和工作者实体正
在不同的相应时间处在开发中的文档的它们各自的版本上工作。但是在其他情况下,环境
102可以允许外包实体和工作者实体并行做出改变。此外或可选地,图12和13的过程(1202、
1302)可以扩展到多个工作者实体在由一个或多个外包实体提供的OOD 112的部分上工作
的情况。

C.代表性计算功能

图14?#22659;?#20102;可以用于实现在上述附图中阐述的环境102的任何方面的计算功能
1402。例如,图14中所示的计算功能1402的类型可以用于实现图3和图4的任何客户端计算
设备、图4的远程系统422等?#21462;?#22312;所有情况下,计算功能1402表示一个或多个物理和?#34892;未?br />理机制。

计算功能1402可以包括一个或多个处理设备1404,诸如一个或多个中央处理单元
(CPU),和/或一个或多个图?#26410;?#29702;单元(GPU)等?#21462;?br />

计算功能1402还可以包括用于存储任何种类的信息(例如代码、设置、数据等)的
任?#26410;?#20648;资源1406。例如,存储资源1406可以包括任何类型的RAM、任何类型的ROM、闪存设
备、硬盘、光盘等中的任一个。更一般地,任?#26410;?#20648;资源可以使用任何用于存储信息的技术。
此外,任?#26410;?#20648;资源可以提供信息的?#36164;?#24615;或非?#36164;?#24615;保留。此外,任?#26410;?#20648;资源可以表示
计算功能1402的固定或可移除组件。当处理设备1404执行存储在任?#26410;?#20648;资源或存储资源
组合中的指令?#20445;?#35745;算功能1402可以执行上述功能中的任何功能。

关于术语,任?#26410;?#20648;资源1406或存储资源1406的任何组合可以被视为计算机可读
介质。在许多情况下,计算机可读介?#26102;?#31034;?#25345;中?#24335;的物理和?#34892;?#23454;体。术语计算机可读介
质还包括例如经由物理导管和/或空气或其他无线介?#23454;?#21457;送或接收的传播信号。然而,特
定术语“计算机可读存储介质”和“计算机可读介质设备”明确排除传播信号本身,同时包括
所有其他形式的计算机可读介质。

计算功能1402还包括用于与任?#26410;?#20648;资源?#25442;?#30340;一个或多个驱动机构1408,诸如
硬盘驱动机构、光盘驱动机构?#21462;?br />

计算功能1402还包括用于接收各种输入(经由输入设备1412)和用于提供各种输
出(经由输出设备1414)的输入/输出模块1410。?#24471;?#24615;输入设备包括键盘设备、鼠标输入设
备、触摸屏输入设备、数字化垫、一个或多个摄像机、一个或多个深度相机、自由空间?#36136;?#35782;
别机构、一个或多个麦克风、语音识别机构、任何运动检测机制(例如,加速度计、陀螺仪等)
?#21462;?#19968;个特定输出机制可以包括呈现设备1416和相关联的图形用户界面(GUI)1418。其他输
出设备包括打印机、模型生成机构、触觉输出机构、存档机构(用于存储输出信息)?#21462;?#35745;算
功能1402还可以包括用于经由一个或多个通信管道1422与其他设备?#25442;?#25968;据的一个或多
个网络接口1420。一个或多个通信总线1424将上述组件通信地耦合在一起。

通信管道1422可以以任何方式实现,例如通过局域网、广域网(例如,因特网)、点
对点连接等或其任何组合来实现。通信管道1422可以包括由任何协议或协议组合管理的硬
连线链路、无线链路、路由器、网关功能、名?#21697;?#21153;器等的任何组合。

可替代地或另外,可以至少部分地通过一个或多个硬件逻辑组件来执行前面部分
中描述的任何功能。例如但不限于,计算功能1402可以使用以下各项中的一个或多个来实
现:现场可编程门阵列(FPGA);专用集成电路(ASIC);应用特定标准产品(ASSP);片上系统
(SOC);复杂可编程逻辑器件(CPLD)?#21462;?br />

最后,尽管用结?#22266;?#24449;和/或方法动作专用的语言描述了主题,但是应当理解,所
附权利要求中定义的主题不一定限于上述具体特征或动作。相反,上述具体特征和动作被
公开作为实现权利要求的示例形式。

关于本文
本文标题:在保护敏感信息的同时外包文档传输任务.pdf
链接地址:http://www.pqiex.tw/p-6091832.html
关于我们 - 网站声明 - 网?#38236;?#22270; - 资源地图 - 友情链接 - 网站客服 - 联系我们

[email protected] 2017-2018 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备17046363号-1 
 


收起
展开
平码五不中公式规律 老人中彩票 天津十一选五爱彩乐 福建体育彩票官方网站 天津十一选五开奖公告 11选5任选3胆拖中奖规则 大连福彩中心 有趣的二人扑克玩法 幸运飞艇开奖直播官网 双色球赚钱 河南十一选五走势图百度彩票