本發明公開了一種應用于計算機安全系統的流文件脫敏方法及裝置，包括：獲取一級文件的類型信息，根據一級文件的類型信息創建一級解碼器；將原始文件流輸入至所述一級解碼器，根據一級解碼器的解析數據識別是否存在內嵌的下一級文件，若不存在，則創建脫敏組件；將一級解碼器對一級文件的解析數據輸入至脫敏組件，并將脫敏后的結構化數據輸入至一級解碼器的回寫接口，一級解碼器對脫敏后的結構化數據進行編碼處理，得到原始文件脫敏后的文件流，輸出為新的脫敏文件。本發明將CPU的占用分攤開，CPU的使用率比較平穩，內存的使用不會有太多的占用，使網絡數據包的轉發不會造成延遲。

技術領域

本發明涉及數據安全技術領域，特別涉及一種應用于計算機安全系統的流文件脫敏方法及裝置。

背景技術

隨著數據安全越來越重要，對于文件的脫敏處理也越來約重要，目前比較通用的文件，docx、pptx，xlsx，vsdx等都是流文檔文件，壓縮文件zip，tar，gz，bz2，xz也是支持流的，所以需要一種通用的流文件脫敏框架來在線脫敏這種類型文件。

目前對文檔文件進行解析，一般通過將文檔緩存完整后，進行解析和脫敏的操作，這樣在同一時刻占用的CPU和內存會比較高，CPU的使用率不平穩，波動較大，這將最終導致網絡數據包的轉發發生延遲。

發明內容

鑒于現有技術中的上述缺陷或不足，本發明提供了一種應用于計算機安全系統的流文件脫敏方法及裝置，以全部或部分的解決上述技術問題。

本發明的一個方面，提供了一種應用于計算機安全系統的流文件脫敏方法，包括如下步驟：

讀取原始文件流獲取一級文件的類型信息，根據所述一級文件的類型信息創建一級解碼器；

將所述原始文件流輸入至所述一級解碼器，根據所述一級解碼器的解析數據識別是否存在內嵌的下一級文件，若不存在，則創建脫敏組件；

將所述一級解碼器對所述一級文件的解析數據輸入至所述脫敏組件，并將脫敏后的結構化數據輸入至所述一級解碼器的回寫接口，所述一級解碼器對脫敏后的結構化數據進行編碼處理，得到原始文件脫敏后的文件流，輸出為新的脫敏文件。

進一步的，還包括：若存在內嵌的二級文件，則根據所述一級解碼器的解析數據識別內嵌的二級文件的類型，根據所述內嵌的二級文件類型創建二級解碼器；將所述一級解碼器解析出的所述二級文件的文件流輸入至所述二級解碼器，根據所述二級解碼器對所述二級文件的解析數據，判斷是否存在內嵌的下一級文件類型，若不存在，則創建脫敏組件；

將所述二級解碼器對所述二級文件的解析數據輸入至所述脫敏組件，并將脫敏后的結構化數據輸入至所述二級解碼器的回寫接口；二級解碼器對脫敏后的結構化數據進行第一編碼處理，得到所述二級文件脫敏后的文件流；將所述二級文件脫敏后的文件流輸入至所述一級解碼器的回寫接口；所述一級解碼器對所述二級文件脫敏后的文件流進行第二編碼處理，得到原始文件脫敏后的文件流，輸出為新的脫敏文件。

進一步的，還包括：當所述一級解碼器解析出所述二級文件的尾部數據時，所述第一級解碼器將二級文件脫敏后的大小和CRC校驗信息添加到所述新的脫敏文件的尾部，調用所述二級解碼器的結束接口，銷毀所述二級解碼器和所述脫敏組件。

進一步的，還包括：當所述一級解碼器解析出所述原始文件流的尾部數據時，將最后一級文件脫敏后的大小和CRC校驗信息添加到所述新的脫敏文件的尾部，調用所述一級解碼器的結束接口，銷毀所述一級解碼器。

進一步的，所述二級文件包括第一類型文件和第二類型文件；

當一級解碼器讀取到所述解析數據中的所述第一類型文件的文件頭和部分數據時，識別出所述第一類型文件的類型，根據所述第一類型文件的類型創建第一二級解碼器和第一脫敏組件。