终端位置信息保密方法、操作系统和移动终端与流程

本发明涉及计算机、移动终端、网络软件和信息安全
技术领域：
。
背景技术：
：随着电子信息技术的迅速发展普及，终端设备如手机(移动电话)、穿戴设备、信息平板、笔记本电脑等，已经广为大众所使用。全球卫星定位系统gps(包括北斗、伽利略、格拉纳斯等卫星导航系统)技术模组或装置，已被普遍集成或外接到终端设备上，在为广大用户提供所需导航定位服务的同时，也使用户的位置信息处于暴露之中。终端获取定位信息的方式，除了gps之外，还有通过电信运营商的无线通信网络(如gsm、csma)，以及宽带无线接入等。这些方式在终端内，实现为位置服务或定位服务而能够被应用程序所使用。商家和恶意程序(计算机病毒和间谍程序)也大肆利用软件技术和网络服务，或明或暗任意收集终端用户的位置信息。长期大量收集用户的位置信息，再结合地理信息和时间规律，通过大数据分析就能对用户本人精准画像，使其诸多隐私尽在掌握中，包括用户的：家庭住址、工作单位、职业身份、出行规律、健康状况、兴趣爱好、生活水平、个性习惯、交往密友、宗教活动、涉事嫌疑等。这些已经涵盖了个人隐私的主要方面，泄露则可能带来不可预见而又令人不安的风险隐患，例如：商业推销、信息骚扰、声誉贬损、追踪监视、敲诈勒索、绑架威胁、定点伤害等。这种由位置信息泄露带来的潜在风险，目前还未引起但必将会引起广泛重视。但要解决位置信息泄露问题，法律制度作用滞后低效，商家道德自律也不可靠，恶意程序更是无孔不入，唯有依靠技术手段防范方为上策。然而现有管理位置信息的技术，首先偏向于解决定位精度和可靠性，例如利用差分技术修正卫星信号的定位精度；一些技术关注定位的可用性，例如“一种在移动定位业务系统中转换位置信息的方法”(专利申请号cn200510036020)，提出设置位置转换服务器来解决位置信息与地图数据之间的保密转换匹配问题；有的技术则关注定位的应用，如“基于位置信息设置移动终端安全级别的方法及移动终端”(专利申请号cn200910081050)，提出查找位置信息与策略文件对应关系来设置移动终端的安全级别；鲜有技术深究位置信息的保密与保护。“位置信息通知系统和方法、终端位置特定装置和保密检查装置”(专利申请号cn200480037545)，提出由移动网络的终端位置特定装置来判断用户的保密设置信息，而决定是否与终端之间进行测位处理并向终端提供位置信息。“干扰定位的方法、装置、存储介质及移动终端”(专利申请号cn201810491399)，提出在终端内附加预设部件以预设工作频率的倍频对终端中的定位模组进行同频干扰，由此达成对终端位置信息进行保密。但这种改变硬件的方法将增加产品的成本、辐射和功耗，使用也不够方便灵活。现今市面上流行的手机，在设置管理中也有对访问位置信息的控制，还能够落实到具体应用，但都只能简单地选择允许或禁止。而许多流行的应用服务app，如导航、打车、社交、搜索、新闻、娱乐、商务、政务、办公，甚至某些浏览器等软件客户端，却强制要求允许访问终端的位置信息。于是，用户在接受服务和保护隐私之间，常常面临两难选择而被迫允许，然后就忘了禁止而持续暴露自己的位置信息。市面上也出现一些应用软件，如“位置修改器”、“虚拟定位王”、“位置伪装大师”等，利用android系统的开放性，能将手机gps定位随意修改到某个虚拟位置，还以伪装位置、打卡签到、异地同城交友等为噱头，已经超出个人正当保密保护的范畴而带有作弊性质。即使这样虚构定位，也还不能妥善有效做到位置信息保密。而且，从应用层修改定位的漏洞，终将会被终端操作系统的升级堵住。因此，还需要新的有效技术来实现对终端位置信息的保密。本申请人此前就同一主题，在先提出的“终端位置信息保密方法、操作系统和移动终端”(专利申请号201910367206.0)，给出了一种恰当的技术解决方案，也还有必要加以改进完善。技术实现要素：本发明的目的，是提出一种终端位置信息保密方法、操作系统和移动终端，能够灵活有效地对终端的位置信息进行保密，而又无须改变终端设备的硬件电路配置。本发明提出这样一种终端位置信息保密方法，为限制应用程序访问终端位置信息，而对敏感区域定位数据进行过虑，所述方法包括以下步骤：预设策略步骤：由用户预先设定保密策略，所述保密策略包括敏感区域、过虑方式和敏感时间，所述敏感区域由定形位置参数结合表征，所述过虑方式由包括含义为禁止输出、无效输出和映射指向这三项中至少一项的选项集提供选择，若选择映射指向则还指定欲指向的虚拟位置，所述敏感时间若空缺则表示任何时间都敏感；获取输入步骤：从定位设备获取定位数据，连同所述敏感区域，以及所述敏感时间(可空缺)，作为输入变量；检验过虑步骤：以所述过虑方式作为控制约束，综合检验所述输入变量，若在所述敏感时间范围内所述定位数据落入所述敏感区域内则按所述过虑方式执行过虑，否则不在所述敏感时间范围内或位于所述敏感区域外而保持所述定位数据不变作为位置数据；输出位置步骤：输出过虑结果位置数据。所谓敏感区域是地理意义上的几何图形概念，姑且忽略高度坐标，则为平面几何图形，如点(定点)、线(道路)、圆形、三角形、矩形、多边形等。由定形位置参数结合表征，例如，圆形用其圆半径(或直径)和圆心坐标来表示，多边形则用其所有顶点的坐标序列来表示。所说过虑方式包括的三个选项，是语言意涵能理解的称谓，故可以等价地用别的语言词汇乃至符号来改变命名而不构成本质区别。所述映射指向，是将真实的实测的定位位置，变换指向某个虚拟位置；而所谓虚拟位置，是一个远离实际定位的位置，或一个过时过期的位置，甚至是一个虚构的位置。如此也是一种掩护性的保密方式。所述过虑方式，实际要达到三种保密效果之一：位置禁止访问，即应用程序不可访问；位置无法确定，即应用程序可访问却得到无效数据，类似“gps信号弱”的效应；位置虚构掩护，即应用程序可访问得到的却是虚构数据，而真实数据已被掩盖保护起来。这些都是针对所述敏感区域内的定位位置，但对敏感区域外的定位位置则保持不变。所述敏感时间，包括日期区间和时段，在此时间范围内才执行检验过虑，即所述敏感区域要保密的时间范围。若所述敏感时间空缺，则表示无时间限制，意味着任何时候都要保密。还能够进一步允许指定例外应用程序，即信任的应用程序可不受保密限制而不被过虑。所述虚拟位置，还可以扩展为虚拟区域，使得具体映射指向的虚拟位置在该虚拟区域内带有随机性，甚至带有某种虚拟的行动规律性(例如移动路线和速度)，但这样就有追求欺骗误导效果的意味了。上述保密方法，还能够利用电子地图，其特征是，所述预设策略步骤还适时展示电子地图操作背景，辅助用户设定所述保密策略。在电子地图上划定要保密的敏感区域，和欲映射指向的虚拟位置(如果需要的话)，操作起来简便实用。上述保密方法，还能够集中保存而简化设置，其特征是，所述预设策略步骤还定义保密方案来归集存储所述保密策略，所述保密方案和/或保密策略还能够保存而复用于对访问位置信息约束限制。命名一个保密方案后，即可向其中增加、修改和删除多项保密策略。所述保密方案可被引用来对全体或具体应用访问位置信息加以具体限制。所述保密方案，通常不应允许一般应用程序(除非配置管理程序)存取，以免被篡改或绕过。上述保密方法，还能够审慎引入外部既定保密方案，其特征是，所述保密方案还允许在通过身份认证信赖条件下由外部注入。即保密方案可由终端所信任的外围设备或网上服务应用所设定。上述保密方法，进一步明确保密策略的存储形态，其特征是，所述保密策略定义为多元组而包括以下五项中的至少三项以上作为多元组的元素：区域类型，表示敏感区域的几何形状类型；区域参数，表示构成敏感区域的几何形状的位置定位和覆盖范围；过虑方式，表示含义为禁止输出、无效输出和映射指向的选项之一；虚拟位置，表示敏感区域内的定位将映射指向的虚拟定位，也能够选择为最近记录的位于敏感区域外的定位位置，当过虑方式不是映射指向则为空；敏感时间，表示敏感的日期区间和时段，空缺表示任何时间。上述保密方法，还基于规范gps数据格式来实现过虑变换，其特征是，所述保密策略中的过虑方式，实际通过对所述定位数据的规范gps数据格式中的相关字段进行置换来实现，包括以下处理情形：对于禁止输出，直接忽略所述定位数据，于是得出空的位置数据；对于无效输出，将所述定位数据格式中的定位状态字段，置换为定位无效标志，附带还能将经度和纬度字段复位，于是得出无效的位置数据；对于映射指向，用所述虚拟位置定位坐标数据格式中的经度、纬度字段的数值和经度半球、纬度半球字段的标志，分别对应置换所述定位数据格式中的经度、纬度字段的数值和经度半球、纬度半球字段的标志，于是得出虚拟的位置数据。所述定位状态字段，在规范gps数据格式中表示定位数据的有效性，不同gps数据格式可有不同名称，比如叫定位质量指示字段。所述定位无效标志，也因不同gps数据格式而可有不同符号和含义。本发明基于上述保密方法，还提出一种终端位置信息保密操作系统，包括核心层、功能层、管理层和应用层，为限制应用进程访问终端位置信息，而对敏感区域定位数据进行过虑，所述操作系统包括以下功能：在管理层，提供设置操作界面由用户预先设定保密策略，所述保密策略包括敏感区域、过虑方式和敏感时间，所述敏感区域由定形位置参数结合表征，所述过虑方式由包括含义为禁止输出、无效输出和映射指向这三项中至少一项的选项集提供选择，若选择映射指向则还需指定欲指向的虚拟位置，所述敏感时间若空缺则表示任何时间都敏感；在功能层，实现过虑模块，从核心层获取定位设备的定位数据，连同所述敏感区域，以及所述敏感时间(可空缺)作为输入变量，以所述过虑方式作为控制约束，综合检验所述输入变量，若在所述敏感时间范围内所述定位数据落入所述敏感区域内则按所述过虑方式执行过虑，否则不在所述敏感时间范围内或位于所述敏感区域外而保持所述定位数据不变作为位置数据；在功能层向应用层提供的位置数据功能调用接口，输出过虑结果位置数据。上述保密操作系统，所述核心层、功能层、管理层和应用层只是逻辑划分概念，而不意味着体系结构类型上限定只能是层次型操作系统，也不意味着层次只能如此划分和命名。实际上操作系统的体系结构还包括非层次型，也可按功能分层来解释。因此要申明，本发明所述保密操作系统，不只限于层次型体系结构的操作系统，还包括非层次型体系结构的操作系统。上述保密操作系统，还能够利用电子地图，其特征是，所述提供设置操作界面还适时展示电子地图操作背景，辅助用户设定所述保密策略。上述保密操作系统，还基于规范gps数据格式来实现过虑，其特征是，所述保密策略中的过虑方式，实际通过对所述定位数据的规范gps数据格式中的相关字段进行置换来实现，包括以下处理情形：对于禁止输出，直接忽略所述定位数据，于是得出空的位置数据；对于无效输出，将所述定位数据格式中的定位状态字段，置换为定位无效标志，附带还能将经度、纬度字段复位，于是得出无效的位置数据；对于映射指向，用所述虚拟位置定位坐标数据格式中的经度、纬度字段的数值和经度半球、纬度半球字段的标志，分别对应置换所述定位数据格式中的经度、纬度字段的数值和经度半球、纬度半球字段的标志，于是得出虚拟的位置数据。本发明基于上述保密方法和操作系统，还提出一种终端位置信息保密移动终端，包括存储器和处理器，所述存储器存储有上述保密操作系统，所述处理器运行存储器中存储的保密操作系统和应用程序，用于执行上述保密方法。本发明的积极效果，是提出了一种终端位置信息保密方法，进而提出适用的保密操作系统和保密终端，采取对敏感区域定位数据策略化过虑方式，无须改变终端的硬件电路配置，就能够灵活有效地对终端的位置信息进行保密，带来终端保密性能的明显提升，从而改善用户安全体验，切实保护个人隐私及其所涉相关机构的秘密。这对于在移动互联时代维护信息安全秩序，具有重要意义和实用价值。附图说明图1是本发明方法和操作系统的示意图。总体自下而上看，有物理设备(1)、操作系统(2)和用户系统(3)。物理设备(1)处于设备层(10)，包括定位设备(100)。操作系统(2)包括核心层(20)、功能层(21)和管理层(22)；核心层(20)通过设备驱动程序，驱动控制设备层(10)中的定位设备(100)，获取定位数据(200)；管理层(22)提供设置操作界面，由用户设定保密策略，包括敏感区域(220)、过虑方式(221)和敏感时间(222)；功能层(21)中特别包括过虑模块(210)，能够被应用层(30)所调用执行；过虑模块(210)以定位数据(200)、敏感区域(220)，以及敏感时间(222)(可空缺)作为输入变量，以过虑方式(221)作为控制约束，输出位置数据(211)而被应用程序的调用所获取。应用层(30)与管理层(22)同处一层又有交叉，都位于核心层(20)之上，而都为用户(31)所操作使用。概念上，应用层(30)和用户(31)即构成用户系统(3)，与操作系统(2)既区别又相关。图2是本发明方法的示意图。概略包括四个步骤：预设策略步骤(1)，由用户预先设定保密策略，包括敏感区域、过虑方式、虚拟位置和敏感时间；获取输入步骤(2)，从定位设备获取定位数据，连同敏感区域，以及敏感时间(可空缺)，作为输入变量；检验过虑步骤(3)，以过虑方式作为控制约束，综合检验输入变量，若在敏感时间范围内定位数据落入敏感区域内则按过虑方式执行过虑，否则保持定位数据不变作为位置数据；输出位置步骤(4)，输出过虑结果位置数据。图3是本发明实施例中过虑模块的功能处理流程图。图4是本发明实施例中用于位置保密设置的操作界面。具体实施方式作为本发明实施例，利用广泛用于手机上的android(安卓)操作系统来修改实施本发明。android操作系统是google公司推出的操作系统，实行开源开放，便于修改升级。需要申明的是，以下实施例不应被理解为本发明的全部可能范围，也不应构成对本发明权利的限制。android操作系统采用软件堆层(softwarestack)结构，可分为三层：底层以linux内核为基础，中间层包括函数库和虚拟机，上层为应用层即各种应用软件。参照图1来看，分别对应本发明所述操作系统的核心层(20)、功能层(21)、管理层(22)与应用层(30)。android操作系统内置的位置信息服务，主要有三种，提供对移动数据(celltower，或称蜂窝发射塔)、无线网络(wi-fi)和全球定位系统(gps)定位技术的访问，由相应的位置服务api对应用程序提供。以下分两方面进行修改来实施本发明。先定义如下两个表格：表1敏感区域的定形位置参数定义定形参数选项位置参数说明a全部无任何区域n地名地域名称代表已知场所、地域的名称，既有边界定位。p点定点坐标单一定点坐标。ln线线的定点坐标组n大于等于2，n个定点坐标。yn多边形多边形顶点的定点坐标序列n大于等于3，n个定点坐标。rn圆圆心的定点坐标n为圆半径，一个圆心定点坐标。表2过虑方式的符号定义方式符号选项说明0禁止输出不输出位置数据1无效输出输出无效位置数据2映射指向输出虚拟位置数据首先，在管理层亦即应用层上，对现有手机设置程序扩充修改，编制提供用户操作界面如图4所示。其中，在保密方案分组框，用一个方案名称下拉框，列选一组保密方案中的一个为当前保密方案(当前的名称为“方案1”)，按钮[增案]和[减案]分别增加一个新方案和删除当前方案，[确定]则保存或选择当前保密方案。用一个策略列表框，列出当前保密方案所有保密策略的名称标识，选中其中一项为当前保密策略(当前的名称为“策略11”)，按钮[增策]和[减策]分别增加一项新保密策略和删除当前保密策略；[返回]则关闭结束。策略列表框的显示内容，随方案名称下拉框的选项而动，效果是，选中一个保密方案则列出其所包含的保密策略表。而选中一项保密策略，又联动在下面的保密策略分组框，显示该当前保密策略的相应内容。在保密策略分组框，用一个敏感区域下拉框，列出如表1敏感区域的定形位置参数定义中所示的选项，包括：全部、地名、点、线、多边形、圆。当前选中圆，故有圆心和半径(当前输入的是800米)。对其它选项，要相应改变静态文本“圆心：”和“半径：”的文本，例如，对地名，相应地隐藏“圆心：”并将“半径：”改为“地名：”。旁边的按钮[查看]，在下面的地图上显示敏感区域，还可以直接在地图上操作，移动定位、调整修改，[选定]则保存。用一个过虑方式下拉框，列出如表2过虑方式的符号定义中所示的选项，包括：禁止输出、无效输出、映射指向。当前选中映射指向，故有虚拟位置，但对其它选项，要隐藏静态文本“虚拟位置：”和复选框[默认]。旁边的按钮[查看]，在下面的地图上显示虚拟位置，可以直接在地图上操作，移动定位、调整修改，也可以点选[默认]来选择最近记录的位于敏感区域外的定位位置，[选定]则保存。敏感时间的两对文本框，用于输入当前保密策略的敏感时间的日期区间和时段。若日期区间为空则表示每天，时段为空则表示全天，全为空则表示任何时间。地图视图窗口，通过调用操作系统的地图定位功能，展示地图操作界面，获取、标定、调整和移动区域和定位。初始显示终端所在当前定位位置，对用户选定当前的保密方案、保密策略中的敏感区域，则在地图上即时更新显示之。保密方案和保密策略的存储，采取纯文本格式，每个保密方案存储一项或多项保密策略，各项保密策略之间以分号“；”分隔，形如：<保密策略1>；<保密策略2>；…；<保密策略m>其中，每项保密策略又是一个复合五元组，形如：策略名(<定形参数>，<位置参数>，<过虑变换>，<虚拟位置>，<敏感时间>)其中，<定形参数>如表1中定义有6种；<位置参数>与<定形参数>相关，除了前2种之外，都是一个或多个定点坐标的序列，多个定点坐标之间以逗号“，”分隔；<过虑方式>如表2中定义有3种；<虚拟位置>是一个定点坐标，空则表示取最近记录的位于敏感区域外的定位位置；<敏感时间>是日期区间和时段的结合，日期格式采用简短型(yyyymmdd)，时间格式采用紧凑型(hhmm)，精确到分而省去秒；日期区间的起始日期与截止日期之间以符号“～”分隔，时段的起始时间与截止时间之间也以符号“～”分隔，日期区间与时段之间以逗号“，”分隔，形如：<起始日期>～<截止日期>，<起始时间>～<截止时间>例如图4中，敏感时间即为：20190416～20201231，1730～1030一个定点坐标，参照gps最小数据格式(gprmc)，定义形如：<纬度>，<纬度区分>，<经度>，<经度区分>其中，<纬度>的格式为：度度分分.分分分分(ddmm.mmmm)。<纬度区分>标志为：北半球(n)或南半球(s)。<经度>的格式为：度度度分分.分分分分(dddmm.mmmm)。<经度区分>标志为：东(e)半球或西(w)半球。例如图4中，假设圆心的定位是北纬38度42.5678分、东经109度43.6123分，则该圆心的定位坐标即为：3842.5678，n，10943.6123，e又假设虚拟位置的定位是北纬38度42.5632分、东经109度43.6145分，则该虚拟位置的定位坐标即为：3842.5632，n，10943.6145，e于是，图4中的当前保密策略即为：策略11(r800，3842.5678，n，10943.6123，e，2，3842.5632，n，10943.6145，e，20190416～20201231，1730～1030)其次，对中间层既有的位置调用功能(位置服务提供程序api的内部实现)，扩充覆盖一个过虑模块，而保留原有的api函数接口不变，原有的获取位置数据的底层实现也不变。该过虑模块的功能处理流程，如图3所示：获取了当前定位数据，就打开保密方案，看是否预设有保密策略。若没有，就保存定位数据(刷新最近记录的位于敏感区域外的定位位置，将可作为默认映射指向的虚拟位置)，并以定位数据作为位置数据返回。若有保密策略就解析之，先看当前时刻是否在敏感时间内。若不在，则转去查找下一项保密策略继续。若在敏感时间内，则检验定位数据的坐标，是否落在敏感区域内。若不在，则转去查找下一项保密策略继续。若在敏感区域内，则按过虑方式执行相应处理。对禁止输出，赋位置数据为空；对无效输出，赋位置数据为无效数据；对映射指向，赋位置数据为虚拟定位数据。最后，输出位置数据并返回。gps数据格式，反映在定位设备的输出语句上，有多种规范，如：gpgga(gps固定数据输出语句)、rmc(推荐定位信息)、gprmc(建议使用最小gps数据格式)等。本实施例用gprmc，其格式如下：$gprmc，<1>，<2>，<3>，<4>，<5>，<6>，<7>，<8>，<9>，<10>，<11>，<12>其中，<1>是标准定位时间(utctime)格式：时时分分秒秒.秒秒秒(hhmmss.sss)；<2>是定位状态，a＝数据可用，v＝数据不可用；<3>是纬度，格式：度度分分.分分分分(ddmm.mmmm)；<4>是纬度区分，北半球(n)或南半球(s)；<5>是经度，格式：度度度分分.分分分分(dddmm.mmmm)；<6>是经度区分，东(e)半球或西(w)半球；<7>是相对位移速度，0.0至1851.8knots；<8>是相对位移方向，000.0至359.9度实际值；<9>是日期，格式：日日月月年年(ddmmyy)；<10>是磁极变量，000.0至180.0；<11>是度数；<12>是checksum(检查位)。忽略了末尾的回车换行符。例如，若在上述圆心处，获取的定位数据将会是：$gprmc，182834.567，a，3842.5678，n，10943.6123，e，0.0，000.0，160419，？，？，？其中，相对位移速度、相对位移方向与定位设备的移动载具有关，在此假设是静止不动定位的；磁极变量等是实测值，检查和也与之前数据关联，故以均以问号“？”代替而忽略之。过虑方式的具体处理，对禁止输出，置返回数据指针为null(空)即可。对无效输出，只需置换定位状态字段＝v，以表示数据不可用，但为防止实际定位数据仍可能被利用，就要复位纬度和经度字段以确保过虑之，清零即可。例如上述圆心定位数据，如此过虑(无效输出)之后即为：$gprmc，182834.567，v，0000.0000，n，00000.0000，e，0.0，000.0，160419，？，？，？过虑结果数据，即作为位置数据输出。将如上改进的android操作系统，经过编译生成后，预装到手机或后期刷机升级，则无须改变硬件电路配置，手机就具有位置信息保密功能，即实施了本发明的一种终端位置信息保密移动终端。当前第1页12