WO2018184441A1

WO2018184441A1 - 用户信息处理方法及装置

Info

Publication number: WO2018184441A1
Application number: PCT/CN2018/078348
Authority: WO
Inventors: 欧锻灏; 雷文卿
Original assignee: 华为技术有限公司
Priority date: 2017-04-07
Filing date: 2018-03-07
Publication date: 2018-10-11
Also published as: EP3605379A1; CN108694333A; EP3605379A4; CN108694333B

Abstract

一种用户信息处理方法及装置。其中的方法包括：获取用户的用户信息（S101），用户信息包括用户的标识符和用户数据；生成占位符（S102）；存储占位符和用户的标识符的密文的对应关系到用户映射表（S103）；其中，用户的标识符的密文为采用密钥加密用户的标识符得到的数据；假名化用户信息，得到假名化后的用户信息（S104），其中，假名化用户信息包括使用占位符替换用户信息中的用户的标识符；存储假名化后的用户信息到至少一个节点中（S105）。通过在用户映射表中存储占位符与用户的标识符的密文的对应关系，并假名化节点中的用户信息，使得后续的对用户信息的操作都可以在用户映射表中进行，无需到节点中处理，使得用户信息的处理更简单高效、更安全可靠。

Description

用户信息处理方法及装置

本申请要求于2017年4月7日提交中国专利局、申请号为201710225812.X，发明名称为“用户信息处理方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及大数据处理领域，尤其涉及用户信息处理方法及装置。

背景技术

随着计算机技术和网络技术的发展，企业和个人用户每天都产生海量的数据，这些数据通过多种存储技术进行存储，例如可以采用分布式存储技术，将海量的用户信息分布式存储在多个数据节点中。然而，当要对这些存储的数据进行处理(例如删除、加解密)时，则需要到多个数据节点中进行索引，例如可以通过用户的标识符进行索引，数据处理的效率非常低下。

现有技术一提出的一种用户信息处理方案为：在采集和存储用户信息时，首先采用一个密钥加密所采集的用户信息中的用户的标识符，然后再对包含用户的标识符的密文的用户信息进行存储，以确保用户的标识符的存储安全。当需要删除用户信息时，根据用户的标识符密文找出该用户的所有的用户信息，并逐一进行删除；当需要修改密钥时，也需要在所有节点中找出用户的标识符的密文，用旧密钥还原出用户的标识符，再用新密钥对用户的标识符重新进行加密。现有技术一的方案保护了用户的标识符的存储安全，但是需要到所有节点上去索引和删除用户信息，以及需要到所有节点上刷新所有用户的标识符旧密文，由于节点上的数据量非常庞大，需要花费大量的时间进行用户信息的删除和用户的标识符的密文的更新。

现有技术二提出来一种解决用户信息“到处”删除的方案。该方案为每个用户维护一个密钥，在存储用户信息时，先对用户的标识符进行加密，后将用户的标识符的密文与用户数据存储到节点中。当用户提出数据删除要求时，直接删除用户密钥。用户密钥被删除将导致节点上采用该密钥加密的用户的标识符的密文不可还原。但是该方案需要为大量用户维护大量的密钥，这增加了密钥的管理成本。此外，在密钥变更时，需要到所有节点上索引用户的标识符的密文，并用新密钥刷新用户的标识符密文。因此，密钥变更需要耗费大量***时间去执行，同样影响业务的可用性。

因此，亟待提供一种简单高效、安全可靠的用户信息处理方案。

发明内容

本申请提供一种用户信息处理方法及装置，以提供一种简单高效、安全可靠的用户信息处理方案。

本申请的一方面，提供了一种用户信息处理方法，获取用户的第一用户信息，该第一用户信息包括用户的标识符和第一用户数据，生成第一占位符，存储第一占位符和用户的标识符的密文的对应关系到用户映射表，存储假名化后的第一用户信息到至少一个节点中，假名化用户信息是指使用第一占位符替换用户信息中的用户的标识符。在该实现方式中，通过在用户映射表中存储占位符与用户的标识符的密文的对应关系，并假名化节点中的用户信息，使得后续的对用户信息的操作都可以在用户映射表中进行，无需到节点中处理，使得用户信息的处理更简单高效、更安全可靠。

在一种可能的实现方式中，当重新或重复采集到第二用户信息时，如果确定用户映射表中存在包含用户标识的密文的对应关系，则获取该对应关系中的第一占位符，使用该第一占位符替换第二用户信息中的用户的标识符，得到假名化后的第二用户信息。在该实现方式中，在重复或重新采集到用户信息时，可以先确定用户映射表中是否已存在包含用户的标识符的密文的对应关系，如果已存在，则可以根据该对应关系，对重复或重新采集到的用户信息进行假名化处理和存储，以保证占位符的全局唯一性。

在另一种可能的实现方式中，当需要对敏感数据进行假名化处理时，根据第一占位符，生成第二占位符，存储第二占位符和敏感数据的密文的对应关系到用户映射表中，使用第二占位符替换用户信息中的敏感数据，得到假名化后的用户信息。具体地，根据第一占位符和敏感数据的密文对应的字段属性生成第二占位符，即是将用户映射表进行两列存储。在该实现方式中，为对包括用户的标识符和敏感数据进行假名化处理，具体是存储为两列用户映射表。对敏感数据也进行假名化处理，方便后续可对敏感数据进行细粒度的操作，以及两列用户映射表方便进行敏感数据的密文对应的字段的扩展。

在又一种可能的实现方式中，在所述用户映射表中的所述第一占位符和所述用户的标识符的密文的对应关系中增加所述敏感数据的密文，得到所述第一占位符、所述用户的标识符的密文和所述敏感数据的密文的对应关系，即是对用户映射表进行多列存储。在该实现方式中，为对包括用户的标识符和敏感数据进行假名化处理，具体是存储为多列用户映射表。对敏感数据也进行假名化处理，方便后续可对敏感数据进行细粒度的操作。

在又一种可能的实现方式中中，需要保证用户标识符的密文对应的占位符的全局唯一性。

在又一种可能的实现方式中，对密钥进行更新时，仅需在用户映射表中进行密文数据的更新，而无需到每个数据节点中进行更新，极大地提高了密钥更新的效率。

在又一种可能的实现方式中，通过破坏用户映射表中第一占位符与用户的标识符的密文的对应关系，使得用户的标识符无法还原，则可以达到删除整个用户信息的效果，而无需到每个数据节点进行用户信息的删除，极大地提高了用户信息删除的效率。

在又一种可能的实现方式中，通过破坏用户映射表中第二占位符与敏感数据的密文的对应关系，实现了两列用户映射表中敏感数据的密文的删除，达到了删除该敏感数据的效果，实现了敏感数据的细粒度删除。

在又一种可能的实现方式中，通过置空用户标识符的密文的对应关系中的敏感数据密文，实现了多列用户映射表中敏感数据的密文的删除，达到了删除该敏感数据的效果，实现了敏感数据的细粒度删除。

在又一种可能的实现方式中，可以授权数据中心节点主动对用户信息进行去假名化，实现对用户信息的利用。具体在两列用户映射表的情况下，使用用户的标识符替换假名化后的用户信息中的第一占位符，以及使用敏感数据替换假名化后的用户信息中的第二占位符；在多列用户映射表的情况下，使用用户的标识符和敏感数据分别替换假名化后的用户信息中的第一占位符。

在又一种可能的实现方式中，可以接收用户的用户信息获取请求，根据该请求对假名化后的用户信息进行去假名化，以方便用户的查询。具体在两列用户映射表的情况下，使用用户的标识符替换假名化后的用户信息中的第一占位符，以及使用敏感数据替换假名化后的用户信息中的第二占位符；在多列用户映射表的情况下，使用用户的标识符和敏感数据分别替换假名化后的用户信息中的第一占位符。

本申请的另一方面，提供了一种用户信息处理装置，该用户信息处理装置具有实现上述方法中的行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

一种可能的实现方式中，所述用户信息处理装置包括：获取单元，用于获取用户的第一用户信息，所述用户信息包括用户的标识符和第一用户数据；生成单元，用于生成第一占位符；存储单元，用于存储所述第一占位符和所述用户的标识符的密文的对应关系到用户映射表；其中，所述用户的标识符的密文为采用第一密钥加密所述用户的标识符得到的数据；假名化单元还用于假名化所述用户信息，得到假名化后的用户信息，其中，所述假名化所述用户信息包括使用所述第一占位符替换所述用户信息中的用户的标识符；所述存储单元还用于存储所述假名化后的用户信息到至少一个节点中。

另一种可能的实现方式中，所述用户信息处理装置包括：存储器和处理器；其中，所述存储器中存储一组程序代码，且所述处理器用于调用所述存储器中存储的程序代码，执行以下操作：获取用户的第一用户信息，所述用户信息包括用户的标识符和第一用户数据；生成第一占位符；存储所述第一占位符和所述用户的标识符的密文的对应关系到用户映射表；其中，所述用户的标识符的密文为采用第一密钥加密所述用户的标识符得到的数据；假名化所述用户信息，得到假名化后的用户信息，其中，所述假名化所述用户信息包括使用所述第一占位符替换所述用户信息中的用户的标识符；存储所述假名化后的用户信息到至少一个节点中。

基于同一发明构思，由于该用户信息处理装置解决问题的原理以及有益效果可以参见上述各可能的方法实施方式以及所带来的有益效果，因此该用户信息处理装置的实施可以参见方法的实施，重复之处不再赘述。

本申请的又一方面，提供了一种用户信息处理***，所述***包括终端设备、上述各实现方式中描述的用户信息处理装置和至少一个数据节点。

本申请的又一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

本申请的又一方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

附图说明

为了更清楚地说明本发明实施例或背景技术中的技术方案，下面将对本发明实施例或背景技术中所需要使用的附图进行说明。

图1为本发明的实施例可以应用于其中的一种分布式存储架构示意图；

图2为本发明实施例提供的一种用户信息处理方法的流程示意图；

图3为本发明实施例提供的另一种用户信息处理方法的流程示意图；

图4为本发明实施例提供的又一种用户信息处理方法的流程示意图；

图5为本发明实施例提供的又一种用户信息处理方法的流程示意图；

图6为本发明实施例提供的又一种用户信息处理方法的流程示意图；

图7为本发明实施例提供的又一种用户信息处理方法的流程示意图；

图8为本发明实施例提供的又一种用户信息处理方法的流程示意图；

图9为本发明实施例提供的又一种用户信息处理方法的流程示意图；

图10为本发明实施例提供的又一种用户信息处理方法的流程示意图；

图11为本发明实施例提供的又一种用户信息处理方法的流程示意图；

图12为本发明实施例提供的又一种用户信息处理方法的流程示意图；

图13为本发明实施例提供的又一种用户信息处理方法的流程示意图；

图14为本发明实施例提供的又一种用户信息处理方法的流程示意图；

图15为本发明实施例提供的又一种用户信息处理方法的流程示意图；

图16为本发明实施例提供的又一种用户信息处理方法的流程示意图；

图17为本发明实施例提供的一种用户信息处理装置的模块示意图；

图18为本发明实施例提供的一种用户信息处理装置的硬件架构图。

具体实施方式

下面结合本发明实施例中的附图对本发明实施例进行描述。

本申请中将在多处涉及以下几个概念，先对这几个概念解释如下：

假名化(Pseudonymization)，为了限制通过个人数据来识别数据主体，个人数据中包含的身份信息可以被假名替代。这种替代就是假名化，假名化的两个属性是：(1)和假名相关联的其他属性不足以识别这些属性关联的数据主体；(2)除假名分配者外，隐私相关方(例如数据控制者)在有限的努力下无法根据假名逆推出数据主体。假名化以后的数据依然属于个人数据。

去假名化，是假名化的逆过程。

匿名化(Anonymization)，匿名化是对个人数据进行不可逆改变的过程。匿名化处理后，无论数据控制者凭借自己的力量还是与任何第三方合作，都无法直接或间接地识别数据主体。匿名化处理的数据除了包括假名化数据的两个属性之外，还消除了数据之间的关联性。在匿名化过程中，身份信息被擦除或被假名替代，并且，用于生成假名数据的相关函数或是转换表格被销毁。这样，匿名化的数据不再属于个人数据。

占位符，具有全局唯一性的符号，例如可以是全局唯一的随机数或者随机字符串。

本申请可应用于对海量数据的处理场景，通过在映射表中存储数据的索引标识与用户的标识符的对应关系，可提高数据处理的效率。如果该海量数据是用户信息，该用户可以是企业用户或个人用户。该索引标识例如可以是占位符，如果需要考虑用户的标识符的安全性，则需要对用户映射表中存储的用户的标识符进行加密。该海量数据可以以多种存储技术进行存储，例如分布式存储技术。

下面的实施例以大数据分布式存储为例进行描述，海量的用户信息被分布式存储在大数据服务器中。然而，对用户来讲，大数据服务器作为第三方通常被认为是“半可信”的，它可能出于某种盈利目的去分析存储在它上面的用户信息来获得额外的信息，从而威胁到用户的隐私安全。用户要求大数据服务器提供个人数据删除能力。通过删除数据功能，用户可以根据自己意愿停止大数据服务器使用自己的用户信息或从大数据服务器中删除自己的用户信息。

图1为本发明的实施例可以应用于其中的一种分布式存储架构示意图。如图1所示，分布式存储***包括数据中心节点11、密钥管理中心12、一个或多个数据节点13(图1中是数据节点1～N)和一个或多个终端设备14(图1中是终端设备1～N)。其中，数据中心节点接收终端设备的用户信息写入请求，并根据特定的副本策略及某些业务需求，将用户信息重复存储到多个数据节点，并接收密钥管理中心的密钥更新、终端设备的查看用户信息请求和删除用户信息请求等。该用户信息包括用户的标识符和用户数据，而用户数据中又可能包括一些敏感数据，例如用户的工资、疾病信息等。用户的标识符和这些敏感数据作为敏感信息存储到数据节点中需要进行假名化处理，以保护这些敏感信息的安全。密钥管理中心负责密钥的生成、存储、分发和变更。终端设备主要负责授权数据中心节点采集用户信息、向数据中心节点发送用户信息、请求删除数据节点上的用户信息以及请求查看数据节点上的用户信息等。

需要说明的是，本发明实施例中，密钥管理中心以及数据处理节点可以跟数据中心节点合设在同一个设备上，例如，密钥管理中心可以是数据中心节点的一个模块单元。本发明对于密钥管理中心、数据处理节点以及数据中心节点的具体部署方式不做限定。

关于密钥管理中心中密钥的存储，密钥管理中心可采用根密钥对生成的密钥进行加密，然后将加密后的密钥密文进行存储。其中，根密钥是由多个密钥组件共同确定的，为了保护根密钥，需要对多个密钥组件的存储进行特别的限制：(1)多个密钥组件分散存储在本地，增加攻击者同时得到全部的密钥组件并破解出根密钥的难度；(2)密钥组件必须被严格的访问控制机制保护，例如不允许使用任何通信接口(如：FTP、MML)供***外的操作人员访问。针对密钥定期变更的功能，密钥管理中心在不同的周期提供不同的密钥，并通知数据中心节点刷新旧密文。

本申请中的终端设备是一种具有无限通信功能的设备，可以是具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备等。在不同的网络中终端设备可以叫做不同的名称，例如：用户设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置、蜂窝电话、无绳电话、会话启动协议(Session Initiation Protocol，SIP)电话、无线本地环路(Wireless Local Loop，WLL)站、个人数字处理(Personal Digital Assistant，PDA)、5G网络或未来演进网络中的终端设备等。

本发明实施例提供一种用户信息处理方法及数据中心节点，通过在用户映射表中存储占位符与用户的标识符的密文的对应关系，并假名化节点中的用户信息，使得后续的对用户信息的操作都可以在用户映射表中进行，无需到节点中处理，使得用户信息的处理更简单高效、更安全可靠。

图2为本发明实施例提供的一种用户信息处理方法的流程示意图，该方法可包括以下步骤：

S101，获取用户的第一用户信息。

数据中心节点可以采集终端设备的第一用户信息或接收终端设备发送的第一用户信息，第一用户信息包括用户的标识符和第一用户数据。这里的用户可以是企业用户和个人用户。用户的标识符用于标识该用户的用户数据，例如，表1示例的数据中心节点获取的用户信息，用户的标识符可以是手机号码或Email地址等任意可以标识该用户的信息，表1中以手机号码为用户的标识符进行描述。在表1中，用户数据类型包括年龄、性别、工资、疾病、家庭地址和职位。数据中心节点获取到这些用户信息，可以先缓存在数据中心节点中。当然，在数据存储技术中，不限于以数据表的形式存储数据。

表1 数据中心节点获取的用户信息

用户的标识符	年龄	性别	工资	疾病	家庭地址	职位
Phone1	20	女	3000	胃病	北京市	行政助理
Phone2	28	男	6000	颈椎病	深圳市	研发科长
…	…	…	…	…	…	…

S102，生成占位符。

本实施例需要采用占位符对用户信息进行假名化处理，因此，先生成该用户的占位符PID。具体地，为用户生成一个全局唯一的占位符，确保不同用户的占位符不一样，即需要保证占位符的全局唯一性。为用户生成占位符包括但不限于下面描述的方式：

方式1：所述占位符可以为根据设定算法和所述用户的标识符生成的，其中，所述设定算法包括以下至少一种：HMAC、SHA-1和MD5。

以HMAC为例：

对于方式1的一种具体实现方式是，对用户的标识符进行HMAC运算，得到的值作为占位符。

对于方式1的另一种具体实现方式是：

为某一用户的标识符生成一个随机字符串RandString；

采用RandString、用户的标识符和一个一一映射的函数来生成一个占位符PID，例如PID＝HMAC(randString，个人标识符)，值的注意的是，数据中心节点不存储RandSTring；

将PID返回作为个人标识符的占识符。

需要说明的是，以上两种实现方式都是哈希机制，可以确保生成的占位符的唯一性；但如果用随机的字符串和HMAC加密用户的标识符，同时将该随机字符串删除，使得加密结果不可逆，这种情况更满足隐私要求。

方式2：所述占位符可以为随机数或者随机字符串。具体地，包括以下步骤：

为某一用户的标识符生成一个随机数RN；

获取用户映射表；

判断生成的随机数RN是否已经存在于用户映射表中，如果已经存在，则返回继续生成随机数；如果RN不存在，则将该随机数RN作为用户的标识符的唯一占位符。

S103，存储所述占位符和所述用户的标识符的密文的对应关系到用户映射表；其中，所述用户的标识符的密文为采用第一密钥加密所述用户的标识符得到的数据。

数据中心节点从密钥管理中心获取该第一密钥对用户的标识符进行加密，得到用户的标识符的密文。本实施例中，所有用户采用同一个密钥，密钥管理中心无需给每个用户分配一个密钥。将占位符和用户的标识符的密文对应存储到用户映射表中。由于用户映射表中存储的是用户的标识符的密文，该用户的标识符的安全性能够得到保障。

继续以表1的用户信息的处理为例，得到表2所示的用户映射表，其中，PhoneCT1是采用第一密钥加密用户的标识符Phone1得到的数据；PID1是为用户标识符Phone1对应生成的占位符。

表2 用户映射表

占位符	手机密文
PID1	PhoneCT1
PID2	PhoneCT2
…	…

S104，假名化所述用户信息，得到假名化后的用户信息，其中，所述假名化所述用户信息包括使用所述第一占位符替换所述用户信息中的用户的标识符。

在将数据中心节点中缓存的用户信息存储到数据节点之前，需要对用户信息进行假名化处理，以提高数据存储的安全性。具体地，使用占位符替换用户信息中的用户的标识符，得到假名化后的用户信息，具体如表3示例的假名化后的用户信息，采用PID1代替了用户信息中的Phone1，采用PID2代替了用户信息中的Phone2。

S105，存储所述假名化后的用户信息到至少一个节点中。

表3 假名化后的用户信息

用户的标识符	年龄	性别	工资	疾病	家庭地址	职位
PID1	20	女	3000	胃病	北京市	行政助理
PID2	28	男	6000	颈椎病	深圳市	研发科长
…	…	…	…	…	…	…

将表3的假名化后的用户信息存储到一个或多个数据节点中。

需要说明的是，S103与S104～S105的顺序不限定，可以是先存储用户映射表，再假名化用户信息和存储假名化的用户信息；也可以是先假名化用户信息和存储假名化的用户信息，再存储用户映射表。可以看出，用户映射表中存储了用户信息中重要的用户的标识符的密文与占位符的对应关系，通过这样一张统一的用户映射表，后续的对用户信息的操作(例如删除、密钥更新等)均可以在用户映射表中进行，无需到数据节点中进行处理，而一张用户映射表相对于海量的数据节点中的用户信息显得非常小，从而使得用户信息的处理更简单高效、更安全可靠。

进一步地，在数据中心节点存储了用户映射表，以及在数据节点存储了假名化后的用户信息，则可以根据需要进行后续的操作，包括：删除用户信息、去假名化、密钥更新、用户信息的重复采集等。下面分别进行描述：

用户对于自身的用户信息需要具有删除的权利，本实施例描述删除用户信息的过程。图3为本发明实施例提供的另一种用户信息处理的方法的流程示意图，该方法可包括以下步骤：

S106、接收用户信息删除请求，所述用户信息删除请求包括所述用户的标识符。

S107、破坏所述用户映射表中所述占位符与所述用户的标识符的密文的对应关系。

即在删除某个用户的用户信息时，仅需数据中心节点破坏用户映射表中占位符与该用户的标识符的密文的对应关系，而无需到数据节点中一一删除用户信息，极大地提高了删除用户信息的效率。需要说明的是，该破坏对应关系包括删除所述对应关系、对所述对应关系中的一方进行置空。当然，也可以将对应关系中的一方填为任意的数或符号。

例如，针对表2所述的用户映射表，当数据中心节点接收到用户的删除请求(携带用户的标识符Phone1)时，数据中心节点可以用密钥对用户的标识符进行加密得到PhoneCT1，然后使用用户标识符的密文PhoneCT1查询用户映射表，确定用户映射表中占位符与用户的标识符的密文的对应关系，如表2中的第一行。破坏用户映射表中占位符与用户的标识符的密文的对应关系，具体可以是，表2用户映射表中的第一行；或者将表2用户映射表中的第一行中的PID1或者PhoneCT1删除；或者将表2用户映射表中的第一行中的PID1或者PhoneCT1置空(设为Null)等等。

当数据中心节点将假名化的用户信息存储到数据节点中后，数据中心节点在后续可能会接收到用户的数据查询请求，即用户希望查看自己的用户信息；或者在另一种场景下，在用户授信的情况下，数据中心节点可以主动从数据节点中提取用户信息并对用户信息进行分析，进而为给用户提供个性化服务器提供便利。两种情况都需要涉及将存储在数据节点上的假名化数据恢复出来(即去假名化的过程)。

作为一种可能的实现方式，如图4所示的本发明实施例提供的又一种用户信息处理方法的流程示意图，当数据中心节点接收到用户的用户信息获取请求时，执行如下步骤：

S108、当接收到用户的用户信息获取请求时，根据所述用户信息获取请求中包括的用户的标识符，在所述用户映射表中获取与所述用户的标识符的密文对应的所述占位符。

S109、使用所述用户的标识符替换所述假名化后的用户信息中的占位符。

去假名化是假名化的一个逆过程，具体实现中，对获取请求中包括的用户的标识符进行加密，然后，在用户映射表中获取与用户的标识符的密文对应的占位符，根据占位符到数据节点中索引该用户的假名化的用户信息，并用用户的标识符替换占位符，即可还原出用户信息。

作为另一种可能的实现方式，如图5所示的本发明实施例提供的又一种用户信息处理方法的流程示意图，当数据中心节点主动从数据节点中提取用户信息并对用户信息进行分析时，执行如下步骤：

S110、根据所述用户映射表中的所述占位符，从所述至少一个节点中获取所述假名化后的第一用户信息。

S111、获取所述用户映射表中包括所述第一占位符的对应关系中的所述用户标识符的密文。

S112、使用所述第一密钥解密所述用户标识符的密文，得到所述用户的标识符。

S113、使用所述用户的标识符替换所述假名化后的用户信息中的占位符。

数据中心主动对用户信息去假名化的过程与用户请求去假名化的过程类似，所不同的是，数据中心是直接根据用户映射表中的占位符去索引用户信息。

为了保证密钥的安全性，密钥管理中心可能会定期对密钥进行更新，具体如图6所示的本发明实施例提供的又一种用户信息处理方法的流程示意图，该方法包括以下步骤：

S114、获取第二密钥。

S115、使用所述第一密钥、所述第二密钥更新所述用户映射表。

具体地，S115包括以下步骤：

使用所述第一密钥解密所述用户映射表中的用户标识符的密文，得到所述用户的标识符；

使用所述第二密钥加密所述用户的标识符，得到更新后的用户的标识符的密文；

使用所述更新后的用户的标识符的密文更新所述用户映射表中的所述用户的标识符的密文。

在进行密钥更新时，数据中心节点仅需要对用户映射表中的用户标识符的密文进行更新，无需到每个数据节点中进行密文更新。

数据中心节点在数据处理过程中，可能会重复采集到同一个用户的用户数据。由于每一个用户的标识符对应一个全局唯一的占位符，因此，当重复采集到同一个用户的用户数据时，数据中心节点不需要重新再生成一个占位符。

一种可能的实现方式中，如图7所示的本发明实施例提供的又一种用户信息处理方法的流程示意图，该方法包括以下步骤：

S116、获取所述用户的第二用户信息，所述第二用户信息包括所述用户的标识和第二用户数据。

S117、确定所述用户映射表中存在包含所述用户标识的密文的对应关系。

S118、获取所述对应关系中的所述占位符。

S119、假名化所述第二用户信息，得到假名化后的第二用户信息，其中，所述假名化所述第二用户信息包括使用所述占位符替换所述第二用户信息中的用户的标识符。

S120、存储所述假名化后的第二用户信息到所述至少一个节点中。

可以看出，该用户信息的重复采集的过程与步骤S101～S105的区别在于，用户映射表中已经存在用户的标识符的密文与占位符的对应关系，可以直接获取该对应关系，采用该对应关系中的占位符对用户信息进行假名化。

根据本发明实施例提供的一种用户信息处理方法，通过在用户映射表中存储占位符与用户的标识符的密文的对应关系，并假名化节点中的用户信息，使得后续的对用户信息的操作都可以在用户映射表中进行，无需到节点中处理，使得用户信息的处理更简单高效、更安全可靠。

需要说明的是，本发明实施例中对存储在用户映射表中的用户标识符进行了加密处理，加密处理主要是为了安全性考虑。本领域技术人员应该知道的是，当不需要考虑安全性的问题时，步骤103可以改为：存储所述占位符和所述用户的标识符的对应关系到用户映射表中。此时，步骤107则相应的为：破坏所述用户映射表中所述占位符与所述用户的标识符的对应关系。步骤108则相应的为：当接收到用户的用户信息获取请求时，根据所述用户信息获取请求中包括的用户的标识符，在所述用户映射表中获取与所述用户的标识符对应的所述占位符。本申请下面的实施例中将以需要加密用户的标识符为例进行论述。

以上实施例描述的是对用户的标识符的假名化处理，从而使得用户信息成为假名化的用户信息，保护了用户信息的安全，还描述了在用户的标识符被占位符替代后，用户信息的删除、密钥更新和去假名化，但该实施例无法对敏感数据进行细粒度的敏感数据的删除、去假名化等，下面的实施例将描述对敏感数据的细粒度的处理：

具体地，用户映射表又可以分为两列存储和多列存储，两列存储包括占位符的一列和敏感信息的密文对应的一列，多列存储是指占位符的一列和敏感新型的密文对应的多列。下面根据这两种用户映射表分别进行其存储、用户信息删除、去假名化和密钥更新的操作的描述：

下面的图8～图12的实施例描述用户映射表两列存储的情况：

图8为本发明实施例提供的另一种用户信息处理方法的流程示意图，该方法可包括以下步骤：

S201，获取用户的用户信息。

本步骤与图2所示实施例中的步骤S101相同，在此不再赘述。所不同的是，用户信息包括用户的标识符和用户数据，其中，用户数据又可以包括敏感数据和非敏感数据。例如，数据中心节点获取的表1的用户信息中的工资和疾病是敏感数据，而家庭地址和职位是非敏感数据。用户的标识符和敏感数据可以统称为敏感信息，用户的敏感信息以明文的形式存储在数据节点中可能会导致用户信息存在安全隐患。

S202，生成第一占位符，并根据所述第一占位符，生成第二占位符。

生成第一占位符的过程与图2所示实施例中的步骤S102相同，在此不再赘述。

进一步地，需要根据第一占位符，生成第二占位符。具体地，根据第一占位符，生成第二占位符，包括：根据所述第一占位符和所述敏感数据的密文对应的字段属性生成所述第二占位符。其中，所述字段属性可以是字段的名称或字段的名称的变形，其中所述字段的名称的变形包括：对字段的名称进行加密或者对字段的名称进行一一映射的编码。以表1中的用户信息为例，该表中用户的工资和疾病是敏感数据。第一占位符为PID，用户1的工资“3000”的密文对应的字段的名称(工资)编码为1，则第二占位符可以为PID_1，用户1的疾病“胃病”的密文对应字段的名称的编码为2，则第二占位符可以为PID_2，以此类推需要说明的是，这里的第二占位符是指生成第二占位符的方式相同，而并不是指的占位符的数量。

S203，存储所述第一占位符和所述用户的标识符的密文的对应关系、以及所述第二占位符和所述敏感数据的密文的对应关系到用户映射表；其中，所述用户的标识符的密文为采用第一密钥加密所述用户的标识符得到的数据，所述敏感数据的密文为采用所述第一密钥加密所述敏感数据得到的数据。

具体地，本实施例采用两列用户映射表的方式表示占位符与用户的标识符密文、敏感数据的密文的对应关系。例如，根据表1的用户信息生成的用户映射表如下表4所示：

表4 两列的用户映射表

占位符	敏感信息密文
PID1	PhoneCT1
PID1_1	SalaryCT1
PID1_2	DiseaseCT1
PID2	PhoneCT2
PID2_1	SalaryCT2
PID2_2	DiseaseCT2
…	…

需要说明的是，当用户信息中存在多个用户的标识符时，可以根据需要选取其中的一个用户的标识符作为标识，其它的用户的标识符作为敏感数据进行存储。

S204，使用所述第一占位符替换所述用户信息中的用户的标识符，以及使用所述第二占位符替换所述用户信息中的所述敏感数据，得到假名化后的用户信息。

在存储用户信息到数据节点中时，需要对用户信息进行假名化处理，以保护数据的安全。具体地，使用所述第一占位符替换所述用户信息中的用户的标识符，以及使用所述第二占位符替换所述用户信息中的所述敏感数据，得到假名化后的用户信息。仍以上面示例的表1的用户信息为例，其假名化处理后得到的用户信息如下表5所示：

表5 假名化后的用户信息

用户的标识符	年龄	性别	工资	疾病	家庭地址	职位
PID1	20	女	PID1_1	PID1_2	北京市	行政助理
PID2	28	男	PID2_1	PID2_2	深圳市	研发科长
…	…	…	…	…	…	…

可以看出，用户的标识符被替换为第一占位符存储到了数据节点中，需要进行特别的安全保护的工资和疾病的用户信息也被替换为相应的占位符存储到了数据节点中，这样，即使非法用户获取到了该用户信息，而如果没有获取到密钥和用户映射表，也不能无法识别该用户信息属于哪个用户，因此对该用户信息也无法进行进一步的处理。S205，存储所述假名化后的用户信息到至少一个节点中。

将表5的假名化后的用户信息存储到一个或多个数据节点中。

进一步地，在数据中心节点存储了用户映射表，以及在数据节点存储了假名化后的用户信息，则可以根据需要进行后续的操作，包括：删除用户信息、去假名化、密钥更新等。下面分别进行描述：

用户对于自身的用户信息需要具有删除的权利，而用户信息的删除又包括删除整个用户信息和细粒度地删除某些敏感数据，即若用户不希望删除自己所有用户信息，而只要求删除对自己的某一敏感数据，例如工资或及疾病，则可以只对敏感数据进行细粒度的删除。下面分别描述删除用户信息的过程。

在一种可能的实现方式中，需要对整个用户信息进行删除，如图9所示的本发明实施例提供的又一种用户信息处理的方法的流程示意图，该方法可包括以下步骤：

S206，接收用户信息删除请求，所述用户信息删除请求包括所述用户的标识符。

S207，破坏所述用户映射表中所述第一占位符与所述用户的标识符的密文的对应关系。

步骤207同步骤107，在此不再赘述。在另一种可能的实现方式中，对敏感数据进行细粒度的删除，如图10所示的本发明实施例提供的又一种用户信息处理的方法的流程示意图，该方法可包括以下步骤：

S208、接收敏感数据删除请求，所述敏感数据删除请求包括所述用户的标识符和删除所述敏感数据的指示信息。

所述删除所述敏感数据的指示信息例如可以是该敏感数据对应的字段。例如所述敏感数据删除请求包括用户的标识符Phone1和字段工资。

S209、在所述用户映射表中查找与所述用户的标识符的密文对应的所述第一占位符。

S210、根据所述第一占位符和所述删除所述敏感数据的指示信息确定所述第二占位符。

例如，步骤208中敏感数据删除请求包括用户的标识符Phone1和字段工资，则根据步骤202中第二占位符的生成方法可知，第二占位符为PID_1。

S211、破坏所述用户映射表中所述第二占位符与所述敏感数据的密文的对应关系。

具体地，数据中心节点接收用户的敏感数据删除请求，所述敏感数据删除请求包括所述用户的标识符和删除所述敏感数据的指示信息，该删除敏感数据的指示信息用于指示待删除的敏感数据的密文对应的字段属性。采用密钥对该用户的标识符进行加密，得到用户的标识符的密文。然后，在用户映射表中查找与该用户的标识符的密文对应的第一占位符，根据该第一占位符、和敏感数据的密文对应的字段属性，可以查找到该敏感数据对应的第二占位符，删除用户映射表中第二占位符与敏感数据的密文的对应关系。由于删除了第二占位符与敏感数据的密文的对应关系，使得无法根据数据节点中的第二占位符查找到敏感数据的密文，从而无法解密出敏感数据，从而达到了删除敏感数据的目的。

例如，接收到敏感数据删除请求，该请求携带手机号Phone1和删除工资数据的指示，则对Phone1加密得到PhoneCT1，在表4所示的用户映射表中查找到与PhoneCT1对应的第一占位符PID1，根据工资密文对应的数据库字段编号1，则可得到第二占位符为PID1_1，删除PID1_1与SalaryCT1的对应关系，得到删除敏感数据的用户映射表如下表6所示：

表6 删除某个敏感数据的用户映射表

需要说明的是，以上破坏所述用户映射表中所述第一占位符与所述用户的标识符的密文的对应关系，或破坏所述用户映射表中所述第二占位符与所述敏感数据的密文的对应关系，该破坏对应关系包括删除所述对应关系、对所述对应关系中的一方进行置空。例如，在删除敏感数据时，可以对敏感信息密文置空，或对该敏感信息密文对应的第二占位符置空。当然，也可以将对应关系中的一方填为特定的数值或符号。

在一种可能的实现方式中，如图11所示的本发明实施例提供的又一种用户信息处理方法的流程示意图，当数据中心节点接收到用户的用户获取请求时，执行如下步骤：

S212、当接收到用户的用户信息获取请求时，根据所述用户信息获取请求中包括的用户的标识符，在所述用户映射表中获取与所述用户的标识符的密文对应的所述第一占位符。

S213、根据所述第一占位符从所述至少一个节点中获取所述假名化后的第一用户信息。

S214、去假名化所述假名化后的第一用户信息。

其中，步骤S214具体包括：

获取所述用户映射表中包括所述第二占位符的对应关系中的所述敏感数据的密文。

使用所述第一密钥解密所述敏感数据的密文，得到所述敏感数据。

使用所述用户的标识符替换所述假名化后的用户信息中的第一占位符，以及使用所述敏感数据替换所述假名化后的用户信息中的第二占位符。

去假名化是假名化的一个逆过程，具体实现中，对获取请求中包括的用户的标识符进行加密，然后，在用户映射表中获取与用户的标识符的密文对应的第一占位符，根据第一占位符到数据节点中索引该用户的假名化的用户信息，并根据用户的标识符的密文或第一占位符在映射表中获得敏感数据的密文，对敏感数据进行解密，使用用户的标识符替换假名化后的用户信息中的第一占位符，以及使用敏感数据替换假名化后的用户信息中的第二占位符，即可还原出用户信息。

在另一种可能的实现方式中，在授权发布用户信息、授权短信营销、授权邮箱通知等的场景下，数据中心节点可以主动从数据节点中提取用户信息并对用户信息进行分析，如图12所示的本发明实施例提供的又一种用户信息处理方法的流程示意图，包括如下步骤：

S215、根据所述用户映射表中的所述第一占位符，从所述至少一个节点中获取所述假名化后的第一用户信息。

S216、去假名化所述假名化后的第一用户信息。

其中，S216具体包括：

获取所述用户映射表中包括所述第一占位符的对应关系中的所述用户标识符的密文，以及包括所述第二占位符的对应关系中的所述敏感数据的密文；

使用所述第一密钥解密所述用户标识符的密文和所述敏感数据的密文，分别得到所述用户的标识符和所述敏感数据；

下面以一个具体的示例描述以上具体的去假名化的过程，例如，数据中心节点被授权主动对表5中用户信息的第一条用户信息进行去假名化，首先，根据该假名化的用户信息中的第一占位符PID1，到数据节点中索引获取假名化后的用户信息，然后，获取包括该PID1的对应关系中的手机密文PhoneCT1、与第二占位符PID1_1对应的工资密文、以及与第二占位符PID1_2对应的疾病密文，然后，从密钥管理中心获取第一密钥，解密查找到的手机密文PhoneCT1、工资密文和疾病密文，分别得到手机号明文：Phone1，工资明文信息：3000，以及疾病明文信息：胃病，然后，还可以根据第一占位符PID1，从数据节点中获取假名化后的用户信息，使用所述用户的标识符替换所述假名化后的用户信息中的第一占位符，以及包括使用所述敏感数据替换所述假名化后的用户信息中的第二占位符，则得到完整的去假名化后的用户信息。

为了保证密钥的安全性，密钥管理中心可能会定期对密钥进行更新，具体如图13所示的本发明实施例提供的又一种用户信息处理方法的流程示意图，该方法包括以下步骤：

S217，获取第二密钥。

S218，使用所述第一密钥、所述第二密钥更新所述用户映射表。

数据中心节点从密钥管理中心获取更新的第二密钥，然后使用更新前的第一密钥和第二密钥更新用户映射表。需要说明的是，由于所有用户均采用一个密钥，因此，进行密钥更新时，需要对用户映射表中所有的用户的标识符的密文和敏感数据的密文进行更新。

具体地，步骤S218具体可包括以下步骤：

使用所述第一密钥解密所述用户映射表中的密文数据，得到明文数据；其中，所述密文数据为采用所述第一密钥加密后得到的数据，例如包括上面实施例中提到的用户标识符的密文、敏感数据的密文等等。

使用所述第二密钥加密所述明文数据，得到更新后的密文数据。

使用所述更新后密文数据更新所述用户映射表中的所述密文数据。

在具体的实现中，进行密钥更新时，首先获取用户映射表，然后，使用第一密钥一一解密用户映射表中的每个用户的标识符的密文和敏感数据的密文，然后，使用第二密钥重新对每个用户的标识符的密文和敏感数据的密文进行加密，得到更新后的用户的标识符的密文和更新后的敏感数据的密文，最后，使用更新后的用户的标识符的密文和更新后的所述敏感数据的密文，分别更新用户映射表中的用户的标识符的密文和敏感数据的密文。例如，对表4的用户映射表进行密钥更新后，得到表7所示的密钥更新后的两列的用户映射表如下：

表7 密钥更新后的两列的用户映射表

占位符	敏感信息密文
PID1	PhoneCT3
PID1_1	SalaryCT3
PID1_2	DiseaseCT3
PID2	PhoneCT4
PID2_1	SalaryCT4
PID2_2	DiseaseCT4
…	…

可以看出，进行密钥更新时，仅需更新用户映射表中的用户的标识符的密文和敏感数据的密文，而由于每个数据节点中的用户的标识符和敏感数据分别被第一占位符和第二占位符所代替，因此无需对每个数据节点中的用户信息进行处理，极大地减少了密钥更新的工作量。

需要说明的是，以上关于用户信息的存储、去假名化、用户的标识符的删除或敏感数据的删除、密钥的更新，并不是每一个操作都是必须的，且每个操作的顺序也不是不可变的，可以根据需要执行其中的任一操作。

根据本发明实施例提供的一种用户信息处理方法，通过在用户映射表中存储第一占位符与用户的标识符的密文、第二占位符与敏感数据的密文的对应关系，并假名化节点中的用户的标识符和敏感数据，删除用户信息时，仅需删除第一占位符与用户的标识符的密文的对应关系，以及删除敏感数据时，仅需删除第二占位符与敏感数据的密文的对应关系；在进行密钥更新时，仅需更新用户映射表中的用户的标识符的密文和敏感数据的密文；从而保证用户敏感信息的安全存储、高效和细粒度删除、以及密钥的高效更新。

下面的图13～图16的实施例描述用户映射表多列存储的情况：

图13为本发明实施例提供的又一种用户信息处理方法的流程示意图，该方法可包括以下步骤：

S301，获取用户的用户信息，所述用户信息包括用户的标识符和用户数据。

本步骤与图2所示实施例的步骤S101或图3所示实施例的步骤S201相同，在此不再赘述。所不同的是，用户信息包括用户的标识符和用户数据，其中，用户数据又可以包括敏感数据和非敏感数据。例如，数据中心节点获取的表1的用户信息中的工资和疾病是敏感数据，而家庭地址和职位是非敏感数据。用户的标识符和敏感数据可以统称为敏感信息。

S302，生成第一占位符。

该步骤与图2所示实施例中的步骤S102相同，在此不再赘述。

S303，存储所述第一占位符和用户的标识符的密文、敏感数据的密文的对应关系到用户映射表；其中，所述用户的标识符的密文为采用第一密钥加密所述用户的标识符得到的数据，所述敏感数据对应的密文为采用所述第一密钥加密所述敏感数据得到的数据，所述用户映射表字段包括：占位符字段、用户的标识符密文字段和敏感数据密文字段。需要说明的是，该用户映射表中可能存在多个敏感密文字段。

具体地，本实施例采用多列用户映射表的方式表示占位符与用户的标识符密文、敏感数据的密文的对应关系。例如，根据表1的用户信息生成的用户映射表如下表8所示：

表8 多列的用户映射表

占位符	手机号密文	工资密文	疾病密文
PID1	PhoneCT1	SalaryCT1	DiseaseCT1
PID2	PhoneCT2	SalaryCT2	DiseaseCT2
…	…	…	…

S304，使用所述第一占位符替换所述用户信息中的用户的标识符，以及使用所述第一占位符替换所述用户信息中的所述敏感数据，得到假名化后的用户信息。

在存储用户信息到数据节点中时，需要对用户信息进行假名化处理，以保护数据的安全。具体地，使用所述第一占位符替换所述用户信息中的用户的标识符，以及使用所述第一占位符替换所述用户信息中的所述敏感数据，得到假名化后的用户信息。仍以上面示例的表1的用户信息为例，其假名化处理后得到的用户信息分别如下表9所示：

表9-1 假名化后的用户信息1

用户的标识符	年龄	性别	工资	疾病	家庭地址	职位
PID1	20	女	PID1	PID1	北京市	行政助理
PID2	28	男	PID2	PID2	深圳市	研发科长
…	…	…	…	…	…	…

S305，存储所述假名化后的用户信息到至少一个节点中。

将表9的假名化后的用户信息存储到一个或多个数据节点中。

在一种可能的实现方式中，需要对整个用户信息进行删除，该删除的过程可参考前述实施例中相应的部分的描述，在此不再赘述。

在另一种可能的实现方式中，对敏感数据进行细粒度的删除，如图14所示的本发明实施例提供的又一种用户信息处理的方法的流程示意图，该方法可包括以下步骤：

S306、接收敏感数据删除请求，所述敏感数据删除请求包括所述用户的标识符和删除所述敏感数据的指示信息。

S307、在所述用户映射表中获取包括所述用户的标识符的密文的对应关系；

S308、根据所述删除所述敏感数据的指示信息，置空包括所述用户标识符的密文的对应关系中的所述用户敏感数据密文。

具体地，数据中心节点接收用户的敏感数据删除请求，所述敏感数据删除请求包括所述用户的标识符和删除所述敏感数据的指示信息，该指示信息用于指示对某个字段的敏感数据的密文进行删除。然后，在用户映射表中获取包括该用户的标识符的密文的对应关系，即可可以查找到该敏感数据的密文，置空用户映射表中该对应关系中的敏感数据的密文。由于置空了敏感数据的密文，使得无法解密出敏感数据，从而达到了删除敏感数据的目的。

例如，接收到敏感数据删除请求，该请求携带手机号Phone1和删除工资数据的指示，则对Phone1加密得到PhoneCT1，在表8所示的用户映射表中查找到包括PhoneCT1的对应关系，然后查找到工资密文字段，对该对应关系中的该工资密文字段置空，得到删除敏感数据的用户映射表如下表10所示：

表10 空置某个敏感数据的用户映射表

占位符	手机号密文	工资密文	疾病密文
PID1	PhoneCT1	NULL	DiseaseCT1
PID2	PhoneCT2	SalaryCT2	DiseaseCT2
…	…	…	…

在一种可能的实现方式中，如图15所示的本发明实施例提供的又一种用户信息处理方法的流程示意图，当数据中心节点接收到用户的用户获取请求时，执行如下步骤：

S309、当接收到用户的用户信息获取请求时，根据所述用户信息获取请求中包括的用户的标识符，在所述用户映射表中获取与所述用户的标识符的密文对应的所述第一占位符。

S310、根据所述第一占位符从所述至少一个节点中获取所述假名化后的第一用户信息。

S311、去假名化所述假名化后的第一用户信息。

其中，步骤S311具体包括：

获取所述用户映射表中包括所述第一占位符的对应关系中的所述敏感数据的密文；

使用所述第一密钥解密所述敏感数据的密文，得到所述敏感数据；

使用所述用户的标识符和所述敏感数据分别替换所述假名化后的用户信息中相应的第一占位符。

在另一种可能的实现方式中，在授权发布用户信息、授权短信营销、授权邮箱通知等的场景下，数据中心节点可以主动从数据节点中提取用户信息并对用户信息进行分析，如图16所示的本发明实施例提供的又一种用户信息处理方法的流程示意图，包括如下步骤：

S312、根据所述用户映射表中的所述第一占位符，从所述至少一个节点中获取所述假名化后的第一用户信息。

S313、去假名化所述假名化后的第一用户信息。

其中，步骤S313具体包括：

获取所述用户映射表中包括所述第一占位符的对应关系中的所述用户标识符的密文和所述敏感数据的密文；

使用所述用户的标识符和所述敏感数据分别替换所述假名化后的用户信息中的第一占位符。

数据中心节点主动对用户信息去假名化的过程与用户请求去假名化的过程类似，所不同的是，数据中心节点是直接根据用户映射表中的占位符去索引用户信息。

下面以一个具体的示例描述以上具体的去假名化的过程，例如，数据中心节点被授权主动对表9中的第一条用户信息进行去假名化，首先，根据该假名化的用户信息中的第一占位符PID1，到数据节点中索引获取假名化后的用户信息，然后，获取包括该PID1的对应关系中的的手机密文PhoneCT1、工资密文、以及疾病密文，然后，从密钥管理中心获取第一密钥，解密查找到的手机密文PhoneCT1、工资密文和疾病密文，分别得到手机号明文：Phone1，工资明文信息：3000，以及疾病明文信息：胃病，然后，使用所述用户的标识符、工资明文信息“3000”和疾病明文信息“胃病”分别替换表9中第一条用户信息中“用户的标识符”、“工资”和“疾病”字段下的第一占位符PID1。在该替换过程中，需要将表-9的字段名称与映射表的字段名称结合起来，如表-9的“工资”字段下的第一占位符PID1，要用映射表下“工资密文”字段解密结果，即工资明文替换。其他字段类似处理。

为了保证密钥的安全性，密钥管理中心可能会定期对密钥进行更新，密钥更新的过程与前述实施例中相应的部分的描述相似，在此不再赘述。

根据本发明实施例提供的一种用户信息处理方法，通过在用户映射表中存储占位符与用户的标识符的密文、敏感数据的密文的对应关系，并假名化节点中的用户的标识符和敏感数据，删除用户信息时，仅需删除占位符与用户的标识符的密文的对应关系，以及删除敏感数据时，仅需删除占位符与敏感数据的密文的对应关系；在进行密钥更新时，仅需更新用户映射表中的用户的标识符的密文和敏感数据的密文；从而保证用户敏感信息的安全存储、高效和细粒度删除、以及密钥的高效更新。

作为进一步的实现方式，对一个数据表按照某个字段进行预分布，以使得包含相同字段值的数据分布在相同的节点，这样当不同数据表通过该字段值进行关联时，仅需要做本节点内数据关联，不需要跨节点进行关联，有利于提高不同数据表之间关联的效率。

预分布的方法有很多，例如表中数据按照字段的hash值模数据节点的数量得到模结果N，则将数据存储到节点N中。由于相同字段内容的hash值是相同，数据所存储的节点也相同。

在去假名化的过程中，要获得大数据节点上用户数据表的个人数据密文对应的明文，首先需要将用户数据表与映射表进通过占位符进行关联，获得相应的个人数据密文，然后再进行解密。为了快速关联，利用大数据计算的特点对映射表和用户数据表按占位符进行预分布。

同样的，在假名化过程中，要获得用户数据表上个人数据明文对应的占位符，首先对包括个人标识符的个人数据进行确定性加密，然后将加密后的用户数据表和映射表通过个人标识符密文进行关联，以获得相应的占位符。为了快速关联，利用大数据计算的特点对映射表和加密后的用户数据表按个人标识符密文进行预分布。

上述详细阐述了本发明实施例的方法，下面提供了本发明实施例的装置。

图17为本发明实施例提供的一种用户信息处理装置的模块示意图，该装置1000包括：第一获取单元10、生成单元11、存储单元12和假名化单元13；其中：

第一获取单元10，用于获取用户的第一用户信息，所述第一用户信息包括用户的标识符和第一用户数据；

生成单元11，用于生成第一占位符；

存储单元12，用于存储所述第一占位符和所述用户的标识符的密文的对应关系到用户映射表；其中，所述用户的标识符的密文为采用第一密钥加密所述用户的标识符得到的数据；

假名化单元13，用于假名化所述用户信息，得到假名化后的用户信息，其中，所述假名化所述用户信息包括使用所述第一占位符替换所述用户信息中的用户的标识符；

所述存储单元12还用于存储所述假名化后的用户信息到至少一个节点中。

进一步地，当用户信息处理装置重复或重新采集到用户信息时：

所述第一获取单元还用于获取所述用户的第二用户信息，所述第二用户信息包括所述用户的标识和第二用户数据；

所述用户信息处理装置还包括：

第一确定单元，用于确定所述用户映射表中存在包含所述用户标识的密文的对应关系；

第二获取单元，用于获取所述对应关系中的所述第一占位符；

所述假名化单元还用于假名化所述第二用户信息，得到假名化后的第二用户信息，其中，所述假名化所述第二用户信息包括使用所述第一占位符替换所述第二用户信息中的用户的标识符；

所述存储单元还用于存储所述假名化后的第二用户信息到所述至少一个节点中。

进一步地，下面分别对两列用户映射表和多列用户映射表的情形，对模块的进一步细化进行描述(图中未示出)：

对于两列用户映射表的情形：

所述第一用户数据包括敏感数据；

所述生成单元还用于根据所述第一占位符，生成第二占位符；

所述存储单元还用于存储所述第二占位符和所述敏感数据的密文的对应关系到所述用户映射表；其中，所述敏感数据的密文为采用所述第一密钥加密所述敏感数据得到的数据；

所述假名化单元还用于使用所述第二占位符替换所述用户信息中的所述敏感数据。

所述生成单元具体用于：根据所述第一占位符和所述敏感数据的密文对应的字段属性生成所述第二占位符。

进一步地，为了保证密钥的安全性，密钥管理中心可能会定期对密钥进行更新，因此，该用户信息处理装置还可包括：

第三获取单元，用于获取第二密钥；

密钥更新单元，用于使用所述第一密钥、所述第二密钥更新所述用户映射表。

所述密钥更新单元具体用于：

使用所述第一密钥解密所述用户映射表中的密文数据，得到明文数据；其中，所述密文数据为采用所述第一密钥加密后得到的数据；

使用所述第二密钥加密所述明文数据，得到更新后的密文数据；

进一步地，用户对于自身的用户信息需要具有删除的权利，在一种可能的实现方式中，需要对整个用户信息进行删除，该用户信息处理装置还可以包括：

第一接收单元，用于接收用户信息删除请求，所述用户信息删除请求包括所述用户的标识符；

第一破坏单元，用于破坏所述用户映射表中所述第一占位符与所述用户的标识符的密文的对应关系。

在另一种可能的实现方式中，对敏感数据进行细粒度的删除，该用户信息处理装置还可以包括：

第二接收单元，用于接收敏感数据删除请求，所述敏感数据删除请求包括所述用户的标识符和删除所述敏感数据的指示信息；

查找单元，用于在所述用户映射表中查找与所述用户的标识符的密文对应的所述第一占位符；

第二确定单元，用于根据所述第一占位符和所述删除所述敏感数据的指示信息确定所述第二占位符；

第二破坏单元，用于破坏所述用户映射表中所述第二占位符与所述敏感数据的密文的对应关系。

所述破坏对应关系包括删除对应关系、对对应关系中的一方进行置空。

进一步地，当用户信息处理装置将假名化的用户信息存储到数据节点中后，用户信息处理装置在后续可能会接收到用户的数据查询请求，即用户希望查看自己的用户信息；或者在另一种场景下，在用户授信的情况下，用户信息处理装置可以主动从数据节点中提取用户信息并对用户信息进行分析，进而为给用户提供个性化服务器提供便利。两种情况都需要涉及将存储在数据节点上的假名化数据恢复出来(即去假名化的过程)。

在另一种实现方式中，当用户信息处理装置主动从数据节点中提取用户信息并对用户信息进行分析时，该用户信息处理装置还可包括：

第五获取单元，用于根据所述用户映射表中的所述第一占位符，从所述至少一个节点中获取所述假名化后的第一用户信息；

第一去假名化单元，用于去假名化所述假名化后的第一用户信息，所述第一去假名化单元具体用于：

在另一种实现方式中，当用户信息处理装置接收到用户的用户信息获取请求时，该用户信息处理装置还可包括：

第六获取单元，用于当接收到用户的用户信息获取请求时，根据所述用户信息获取请求中包括的用户的标识符，在所述用户映射表中获取与所述用户的标识符的密文对应的所述第一占位符；

所述第六获取单元还用于根据所述第一占位符从所述至少一个节点中获取所述假名化后的第一用户信息；

第二去假名化单元，用于去假名化所述假名化后的第一用户信息，所述第二去假名化单元具体用于：

获取所述用户映射表中包括所述第二占位符的对应关系中的所述敏感数据的密文；

对于多列用户映射表的情形：

所述第一用户数据包括敏感数据；所述存储单元还用于在所述用户映射表中的所述第一占位符和所述用户的标识符的密文的对应关系中增加所述敏感数据的密文，得到所述第一占位符、所述用户的标识符的密文和所述敏感数据的密文的对应关系；

所述假名化所述用户信息，还包括：使用所述第一占位符替换所述用户信息中的所述敏感数据。

第三获取单元，用于获取第二密钥；

所述密钥更新单元具体用于：

第三接收单元，用于接收敏感数据删除请求，所述敏感数据删除请求包括所述用户的标识符和删除所述敏感数据的指示信息；

第四获取单元，用于在所述用户映射表中获取包括所述用户的标识符的密文的对应关系；

置空单元，用于根据所述删除所述敏感数据的指示信息，置空包括所述用户标识符的密文的对应关系中的所述敏感数据密文。

第七获取单元，用于根据所述用户映射表中的所述第一占位符，从所述至少一个节点中获取所述假名化后的第一用户信息；

第三去假名化单元，用于去假名化所述假名化后的第一用户信息，所述第三去假名化单元具体用于：

第八获取单元，用于当接收到用户的用户信息获取请求时，根据所述用户信息获取请求中包括的用户的标识符，在所述用户映射表中获取与所述用户的标识符的密文对应的所述第一占位符；

所述第八获取单元还用于根据所述第一占位符从所述至少一个节点中获取所述假名化后的第一用户信息；

第四去假名化单元，用于去假名化所述假名化后的第一用户信息，所述第四去假名化单元具体用于：

这些单元的功能的实现可参考上述方法实施例中的描述，在此不再赘述。

根据本发明实施例提供的一种用户信息处理装置，通过在用户映射表中存储占位符与用户的标识符的密文的对应关系，并假名化节点中的用户信息，使得后续的对用户信息的操作都可以在用户映射表中进行，无需到节点中处理，使得用户信息的处理更简单高效、更安全可靠。

请参阅图18，为本发明实施例提供的一种用户信息处理设备的硬件架构图，该用户信息处理设备2000可以包括存储器21、处理器22和通信接口23，所述存储器21、处理器22和通信接口23通过总线24相互连接。

处理器22用于控制用户信息处理设备2000的操作，处理器22还可以称为中央处理单元(英文：central processing unit，缩写：CPU)。具体的应用中，用户信息处理设备2000的各个组件通过总线***耦合在一起，其中总线***除包括数据总线之外，还可以包括电源总线、控制总线和状态信号总线等，但是为了清楚说明起见，在图18中将各种总线都称为总线***。

存储器21，可以包括只读存储器(英文：read-only memory，缩写：ROM)和随机存取存储器(英文：random access memory，缩写：RAM)，还可以其他存储器或者是存储介质，并向处理器301提供指令和数据。存储器21的一部分还可以包括非易失性随机存取存储器(英文：non－volatile random access memory，缩写：NVRAM)。存储器21存储有操作***和操作指令、可执行模块或者数据结构，或者它们的子集，或者它们的扩展集，其中，操作指令可包括各种操作指令，各种操作指令用于实现各种操作。操作***可包括各种***程序，用于实现各种基础业务以及处理基于硬件的任务。存储器21还存储有本申请实施例所涉及的数据、信令等。

处理器22可以是一种集成电路芯片，具有信号的处理能力。在本申请实施例实现过程中，本申请实施例中用户信息处理设备所执行的各步骤可以通过处理器23中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器23可以是通用处理器、数字信号处理器(英文：digital signal processing，缩写：DSP)、专用集成电路(英文：application-specific integrated circuit，缩写：ASIC)、现场可编程门阵列(英文：field－programmable gate array，缩写：FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。

通信接口23可用于接收或者发送信息/数据，例如用于接收终端设备反馈的用户信息等，以及产生功能控制有关的信号，从而进行用户信息的处理。

该处理器22通过运行所述存储器中的程序，以用于执行以下操作：

获取用户的第一用户信息，所述第一用户信息包括用户的标识符和第一用户数据；

生成第一占位符；

存储所述第一占位符和所述用户的标识符的密文的对应关系到用户映射表；其中，所述用户的标识符的密文为采用第一密钥加密所述用户的标识符得到的数据；

假名化所述用户信息，得到假名化后的用户信息，其中，所述假名化所述用户信息包括使用所述第一占位符替换所述用户信息中的用户的标识符；

存储所述假名化后的用户信息到至少一个节点中。

在一种可能的实现方式中，所述处理器22还用于执行以下操作：

获取所述用户的第二用户信息，所述第二用户信息包括所述用户的标识和第二用户数据；

确定所述用户映射表中存在包含所述用户标识的密文的对应关系；

获取所述对应关系中的所述第一占位符；

假名化所述第二用户信息，得到假名化后的第二用户信息，其中，所述假名化所述第二用户信息包括使用所述第一占位符替换所述第二用户信息中的用户的标识符；

存储所述假名化后的第二用户信息到所述至少一个节点中。

在另一种可能的实现方式中，所述第一用户数据包括敏感数据，所述处理器22还用于执行以下操作：

根据所述第一占位符，生成第二占位符；存储所述第二占位符和所述敏感数据的密文的对应关系到所述用户映射表；其中，所述敏感数据的密文为采用所述第一密钥加密所述敏感数据得到的数据；

所述假名化所述用户信息，还包括：使用所述第二占位符替换所述用户信息中的所述敏感数据。

在又一种可能的实现方式中，所述根据所述第一占位符，生成第二占位符，包括:

根据所述第一占位符和所述敏感数据的密文对应的字段属性生成所述第二占位符。

在又一种可能的实现方式中，所述第一用户数据包括敏感数据，所述处理器22还用于执行以下操作：

在所述用户映射表中的所述第一占位符和所述用户的标识符的密文的对应关系中增加所述敏感数据的密文，得到所述第一占位符、所述用户的标识符的密文和所述敏感数据的密文的对应关系；

在又一种可能的实现方式中，所述第一占位符为全局唯一。

在又一种可能的实现方式中，所述处理器22还用于执行以下操作：

获取第二密钥；

使用所述第一密钥、所述第二密钥更新所述用户映射表。

在又一种可能的实现方式中，所述处理器22执行所述使用所述第一密钥、所述第二密钥更新所述用户映射表的操作，包括：

接收用户信息删除请求，所述用户信息删除请求包括所述用户的标识符；

破坏所述用户映射表中所述第一占位符与所述用户的标识符的密文的对应关系。

接收敏感数据删除请求，所述敏感数据删除请求包括所述用户的标识符和删除所述敏感数据的指示信息；

在所述用户映射表中查找与所述用户的标识符的密文对应的所述第一占位符；

根据所述第一占位符和所述删除所述敏感数据的指示信息确定所述第二占位符；

破坏所述用户映射表中所述第二占位符与所述敏感数据的密文的对应关系。

在又一种可能的实现方式中，所述破坏对应关系包括删除对应关系、置空对应关系中的一方。

在又一种可能的实现方式中，所述处理器22还用于执行以下操作：：

在所述用户映射表中获取包括所述用户的标识符的密文的对应关系；

根据所述删除所述敏感数据的指示信息，置空包括所述用户标识符的密文的对应关系中的所述敏感数据密文。

根据所述用户映射表中的所述第一占位符，从所述至少一个节点中获取所述假名化后的第一用户信息；

去假名化所述假名化后的第一用户信息，所述去假名化所述假名化后的第一用户信息包括：

当接收到用户的用户信息获取请求时，根据所述用户信息获取请求中包括的用户的标识符，在所述用户映射表中获取与所述用户的标识符的密文对应的所述第一占位符；

根据所述第一占位符从所述至少一个节点中获取所述假名化后的第一用户信息；

在又一种可能的实现方式中，所述处理器22还用于执行以下操作：所述存储所述假名化后的用户信息到至少一个节点中之后，所述方法还包括：

具体可参见方法实施例中的描述，在此不再赘述。

可以理解的是，图18仅仅示出了用户信息处理设备的简化设计。在实际应用中，用户信息处理设备还可以分别包含必要的其他元件，包含但不限于任意数量的收发器、处理器、控制器、存储器等，而所有可以实现本发明的终端设备都在本发明的保护范围之内。

根据本发明实施例提供的一种用户信息处理设备，通过在用户映射表中存储占位符与用户的标识符的密文的对应关系，并假名化节点中的用户信息，使得后续的对用户信息的操作都可以在用户映射表中进行，无需到节点中处理，使得用户信息的处理更简单高效、更安全可靠。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的***、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的***、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(Solid State Disk，SSD))等。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，该流程可以由计算机程序来指令相关的硬件完成，该程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法实施例的流程。而前述的存储介质包括：ROM或随机存储记忆体RAM、磁碟或者光盘等各种可存储程序代码的介质。

Claims

一种用户信息处理方法，其特征在于，所述方法包括：

获取用户的第一用户信息，所述第一用户信息包括用户的标识符和第一用户数据；

生成第一占位符；

存储所述第一占位符和所述用户的标识符的密文的对应关系到用户映射表；其中，所述用户的标识符的密文为采用第一密钥加密所述用户的标识符得到的数据；

假名化所述用户信息，得到假名化后的用户信息，其中，所述假名化所述用户信息包括使用所述第一占位符替换所述用户信息中的用户的标识符；

存储所述假名化后的用户信息到至少一个节点中。
如权利要求1所述的方法，其特征在于，所述方法还包括：

获取所述用户的第二用户信息，所述第二用户信息包括所述用户的标识和第二用户数据；

确定所述用户映射表中存在包含所述用户标识的密文的对应关系；

获取所述对应关系中的所述第一占位符；

假名化所述第二用户信息，得到假名化后的第二用户信息，其中，所述假名化所述第二用户信息包括使用所述第一占位符替换所述第二用户信息中的用户的标识符；

存储所述假名化后的第二用户信息到所述至少一个节点中。
如权利要求1所述的方法，其特征在于，所述第一用户数据包括敏感数据，所述方法还包括：

根据所述第一占位符，生成第二占位符；存储所述第二占位符和所述敏感数据的密文的对应关系到所述用户映射表；其中，所述敏感数据的密文为采用所述第一密钥加密所述敏感数据得到的数据；

所述假名化所述用户信息，还包括：使用所述第二占位符替换所述用户信息中的所述敏感数据。
如权利要求3所述的方法，其特征在于，所述根据所述第一占位符，生成第二占位符，包括:

根据所述第一占位符和所述敏感数据的密文对应的字段属性生成所述第二占位符。
如权利要求1所述的方法，其特征在于，所述第一用户数据包括敏感数据，所述方法还包括：

在所述用户映射表中的所述第一占位符和所述用户的标识符的密文的对应关系中增加所述敏感数据的密文，得到所述第一占位符、所述用户的标识符的密文和所述敏感数据的密文的对应关系；

所述假名化所述用户信息，还包括：使用所述第一占位符替换所述用户信息中的所述敏感数据。
如权利要求1至5任一项所述的方法，其特征在于，所述第一占位符为全局唯一。
如权利要求1至6任一项所述的方法，其特征在于，所述方法还包括：

获取第二密钥；

使用所述第一密钥、所述第二密钥更新所述用户映射表。
如权利要求7所述的方法，其特征在于，所述使用所述第一密钥、所述第二密钥更新所述用户映射表，包括：

使用所述第一密钥解密所述用户映射表中的密文数据，得到明文数据；其中，所述密文数据为采用所述第一密钥加密后得到的数据；

使用所述第二密钥加密所述明文数据，得到更新后的密文数据；

使用所述更新后密文数据更新所述用户映射表中的所述密文数据。
如权利要求1至8任一项所述的方法，其特征在于，所述方法还包括：

接收用户信息删除请求，所述用户信息删除请求包括所述用户的标识符；

破坏所述用户映射表中所述第一占位符与所述用户的标识符的密文的对应关系。
如权利要求3或4所述的方法，其特征在于，所述方法还包括：

接收敏感数据删除请求，所述敏感数据删除请求包括所述用户的标识符和删除所述敏感数据的指示信息；

在所述用户映射表中查找与所述用户的标识符的密文对应的所述第一占位符；

根据所述第一占位符和所述删除所述敏感数据的指示信息确定所述第二占位符；

破坏所述用户映射表中所述第二占位符与所述敏感数据的密文的对应关系。
如权利要求9或10所述的方法，其特征在于，所述破坏对应关系包括删除对应关系、置空对应关系中的一方。
如权利要求5所述的方法，其特征在于，所述存储所述假名化后的用户信息到至少一个节点中之后，所述方法还包括：

接收敏感数据删除请求，所述敏感数据删除请求包括所述用户的标识符和删除所述敏感数据的指示信息；

在所述用户映射表中获取包括所述用户的标识符的密文的对应关系；

根据所述删除所述敏感数据的指示信息，置空包括所述用户标识符的密文的对应关系中的所述敏感数据密文。
如权利要求3或4所述的方法，其特征在于，所述存储所述假名化后的用户信息到至少一个节点中之后，所述方法还包括：

根据所述用户映射表中的所述第一占位符，从所述至少一个节点中获取所述假名化后的第一用户信息；

去假名化所述假名化后的第一用户信息，所述去假名化所述假名化后的第一用户信息包括：

获取所述用户映射表中包括所述第一占位符的对应关系中的所述用户标识符的密文，以及包括所述第二占位符的对应关系中的所述敏感数据的密文；

使用所述第一密钥解密所述用户标识符的密文和所述敏感数据的密文，分别得到所述用户的标识符和所述敏感数据；

使用所述用户的标识符替换所述假名化后的用户信息中的第一占位符，以及使用所述敏感数据替换所述假名化后的用户信息中的第二占位符。
如权利要求3、4或13所述的方法，其特征在于，所述存储所述假名化后的用户信息到至少一个节点中之后，所述方法还包括：

当接收到用户的用户信息获取请求时，根据所述用户信息获取请求中包括的用户的标识符，在所述用户映射表中获取与所述用户的标识符的密文对应的所述第一占位符；

根据所述第一占位符从所述至少一个节点中获取所述假名化后的第一用户信息；

去假名化所述假名化后的第一用户信息，所述去假名化所述假名化后的第一用户信息包括：

获取所述用户映射表中包括所述第二占位符的对应关系中的所述敏感数据的密文；

使用所述第一密钥解密所述敏感数据的密文，得到所述敏感数据；

使用所述用户的标识符替换所述假名化后的用户信息中的第一占位符，以及使用所述敏感数据替换所述假名化后的用户信息中的第二占位符。
如权利要求5所述的方法，其特征在于，所述存储所述假名化后的用户信息到至少一个节点中之后，所述方法还包括：

根据所述用户映射表中的所述第一占位符，从所述至少一个节点中获取所述假名化后的第一用户信息；

去假名化所述假名化后的第一用户信息，所述去假名化所述假名化后的第一用户信息包括：

获取所述用户映射表中包括所述第一占位符的对应关系中的所述用户标识符的密文和所述敏感数据的密文；

使用所述第一密钥解密所述用户标识符的密文和所述敏感数据的密文，分别得到所述用户的标识符和所述敏感数据；

使用所述用户的标识符和所述敏感数据分别替换所述假名化后的用户信息中相应的第一占位符。
如权利要求5所述的方法，其特征在于，所述存储所述假名化后的用户信息到至少一个节点中之后，所述方法还包括：

当接收到用户的用户信息获取请求时，根据所述用户信息获取请求中包括的用户的标识符，在所述用户映射表中获取与所述用户的标识符的密文对应的所述第一占位符；

根据所述第一占位符从所述至少一个节点中获取所述假名化后的第一用户信息；

去假名化所述假名化后的第一用户信息，所述去假名化所述假名化后的第一用户信息包括：

获取所述用户映射表中包括所述第一占位符的对应关系中的所述敏感数据的密文；

使用所述第一密钥解密所述敏感数据的密文，得到所述敏感数据；

使用所述用户的标识符和所述敏感数据分别替换所述假名化后的用户信息中相应的第一占位符。
一种用户信息处理装置，其特征在于，包括：

第一获取单元，用于获取用户的第一用户信息，所述第一用户信息包括用户的标识符和第一用户数据；

生成单元，用于生成第一占位符；

存储单元，用于存储所述第一占位符和所述用户的标识符的密文的对应关系到用户映射表；其中，所述用户的标识符的密文为采用第一密钥加密所述用户的标识符得到的数据；

假名化单元，用于假名化所述用户信息，得到假名化后的用户信息，其中，所述假名化所述用户信息包括使用所述第一占位符替换所述用户信息中的用户的标识符；

所述存储单元还用于存储所述假名化后的用户信息到至少一个节点中。
如权利要求17所述的用户信息处理装置，其特征在于：

所述第一获取单元还用于获取所述用户的第二用户信息，所述第二用户信息包括所述用户的标识和第二用户数据；

所述用户信息处理装置还包括：

第一确定单元，用于确定所述用户映射表中存在包含所述用户标识的密文的对应关系；

第二获取单元，用于获取所述对应关系中的所述第一占位符；

所述假名化单元还用于假名化所述第二用户信息，得到假名化后的第二用户信息，其中，所述假名化所述第二用户信息包括使用所述第一占位符替换所述第二用户信息中的用户的标识符；

所述存储单元还用于存储所述假名化后的第二用户信息到所述至少一个节点中。
如权利要求17所述的用户信息处理装置，其特征在于，所述第一用户数据包括敏感数据；

所述生成单元还用于根据所述第一占位符，生成第二占位符；

所述存储单元还用于存储所述第二占位符和所述敏感数据的密文的对应关系到所述用户映射表；其中，所述敏感数据的密文为采用所述第一密钥加密所述敏感数据得到的数据；

所述假名化单元还用于使用所述第二占位符替换所述用户信息中的所述敏感数据。
如权利要求19所述的用户信息处理装置，其特征在于，所述生成单元具体用于：根据所述第一占位符和所述敏感数据的密文对应的字段属性生成所述第二占位符。
如权利要求17所述的用户信息处理装置，其特征在于，所述第一用户数据包括敏感数据；所述存储单元还用于在所述用户映射表中的所述第一占位符和所述用户的标识符的密文的对应关系中增加所述敏感数据的密文，得到所述第一占位符、所述用户的标识符的密文和所述敏感数据的密文的对应关系；

所述假名化所述用户信息，还包括：使用所述第一占位符替换所述用户信息中的所述敏感数据。
如权利要求17至21任一项所述的用户信息处理装置，其特征在于，所述第一占位符为全局唯一的。
如权利要求17至22任一项所述的用户信息处理装置，其特征在于，还包括：

第三获取单元，用于获取第二密钥；

密钥更新单元，用于使用所述第一密钥、所述第二密钥更新所述用户映射表。
如权利要求23所述的用户信息处理装置，其特征在于，所述密钥更新单元具体用于：

使用所述第一密钥解密所述用户映射表中的密文数据，得到明文数据；其中，所述密文数据为采用所述第一密钥加密后得到的数据；

使用所述第二密钥加密所述明文数据，得到更新后的密文数据；

使用所述更新后密文数据更新所述用户映射表中的所述密文数据。
如权利要求17至24任一项所述的用户信息处理装置，其特征在于，还包括：

第一接收单元，用于接收用户信息删除请求，所述用户信息删除请求包括所述用户的标识符；

第一破坏单元，用于破坏所述用户映射表中所述第一占位符与所述用户的标识符的密文的对应关系。
如权利要求19或20所述的用户信息处理装置，其特征在于，还包括：

第二接收单元，用于接收敏感数据删除请求，所述敏感数据删除请求包括所述用户的标识符和删除所述敏感数据的指示信息；

查找单元，用于在所述用户映射表中查找与所述用户的标识符的密文对应的所述第一占位符；

第二确定单元，用于根据所述第一占位符和所述删除所述敏感数据的指示信息确定所述第二占位符；

第二破坏单元，用于破坏所述用户映射表中所述第二占位符与所述敏感数据的密文的对应关系。
如权利要求25或26所述的用户信息处理装置，其特征在于，所述破坏对应关系包括删除对应关系、对对应关系中的一方进行置空。
如权利要求21所述的用户信息处理装置，其特征在于，还包括：

第三接收单元，用于接收敏感数据删除请求，所述敏感数据删除请求包括所述用户的标识符和删除所述敏感数据的指示信息；

第四获取单元，用于在所述用户映射表中获取包括所述用户的标识符的密文的对应关系；

置空单元，用于根据所述删除所述敏感数据的指示信息，置空包括所述用户标识符的密文的对应关系中的所述敏感数据密文。
如权利要求19或20所述的用户信息处理装置，其特征在于，还包括：

第五获取单元，用于根据所述用户映射表中的所述第一占位符，从所述至少一个节点中获取所述假名化后的第一用户信息；

第一去假名化单元，用于去假名化所述假名化后的第一用户信息，所述第一去假名化单元具体用于：

获取所述用户映射表中包括所述第一占位符的对应关系中的所述用户标识符的密文，以及包括所述第二占位符的对应关系中的所述敏感数据的密文；

使用所述第一密钥解密所述用户标识符的密文和所述敏感数据的密文，分别得到所述用户的标识符和所述敏感数据；

使用所述用户的标识符替换所述假名化后的用户信息中的第一占位符，以及使用所述敏感数据替换所述假名化后的用户信息中的第二占位符。
如权利要求19、20或29所述的用户信息处理装置，其特征在于，还包括：

第六获取单元，用于当接收到用户的用户信息获取请求时，根据所述用户信息获取请求中包括的用户的标识符，在所述用户映射表中获取与所述用户的标识符的密文对应的所述第一占位符；

所述第六获取单元还用于根据所述第一占位符从所述至少一个节点中获取所述假名化后的第一用户信息；

第二去假名化单元，用于去假名化所述假名化后的第一用户信息，所述第二去假名化单元具体用于：

获取所述用户映射表中包括所述第二占位符的对应关系中的所述敏感数据的密文；

使用所述第一密钥解密所述敏感数据的密文，得到所述敏感数据；

使用所述用户的标识符替换所述假名化后的用户信息中的第一占位符，以及使用所述敏感数据替换所述假名化后的用户信息中的第二占位符。
如权利要求21所述的用户信息处理装置，其特征在于，还包括：

第七获取单元，用于根据所述用户映射表中的所述第一占位符，从所述至少一个节点中获取所述假名化后的第一用户信息；

第三去假名化单元，用于去假名化所述假名化后的第一用户信息，所述第三去假名化单元具体用于：

获取所述用户映射表中包括所述第一占位符的对应关系中的所述用户标识符的密文和所述敏感数据的密文；

使用所述第一密钥解密所述用户标识符的密文和所述敏感数据的密文，分别得到所述用户的标识符和所述敏感数据；

使用所述用户的标识符和所述敏感数据分别替换所述假名化后的用户信息中相应的第一占位符。
如权利要求21所述的用户信息处理装置，其特征在于，还包括：

第八获取单元，用于当接收到用户的用户信息获取请求时，根据所述用户信息获取请求中包括的用户的标识符，在所述用户映射表中获取与所述用户的标识符的密文对应的所述第一占位符；

所述第八获取单元还用于根据所述第一占位符从所述至少一个节点中获取所述假名化后的第一用户信息；

第四去假名化单元，用于去假名化所述假名化后的第一用户信息，所述第四去假名化单元具体用于：

获取所述用户映射表中包括所述第一占位符的对应关系中的所述敏感数据的密文；

使用所述第一密钥解密所述敏感数据的密文，得到所述敏感数据；

使用所述用户的标识符和所述敏感数据分别替换所述假名化后的用户信息中相应的第一占位符。
一种用户信息处理装置，其特征在于，包括处理器和存储器，其中，所述存储器中存有计算机可读程序；所述处理器通过运行所述存储器中的程序，以用于执行上述权利要求1至16所述的方法。