用于保護連接到網絡的用戶的隱私的過程的制作方法

本發明涉及用于來保護通過終端連接到網絡的用戶的隱私的過程、諸如用于實現這樣的過程的架構，該終端包括被適配為發出與所述用戶的地理位置有關的地理定位信息的裝置。

背景技術：

隨著諸如智能電話之類的移動終端的網絡容量和處理能力的持續增長，許多這樣的移動終端幾乎持續地連接到互聯網。

這種持續連接的狀態意味著移動終端應當被適配為受益于快速的網絡連接、同時為它們的用戶提供與諸如臺式計算機之類的固定終端相同的體驗質量而無論所述用戶的地理位置在哪里。

另一方面，在這樣的持續連接狀態下，安全和隱私保護的概念越發值得一談，例如在用戶的個人信息應當被輸出給諸如云服務平臺之類的外部服務平臺的情況中。

事實上，用戶的個人信息的控制是非常重要的問題，并且所述用戶可能想要在特定情況中禁止它們的公開。此外，對用戶的隱私的這些新的潛在威脅可能使得稱職的機構通過法律規定以強制提供技術手段來確保在給定情境下的個人信息保護。

具體地，要被保護的個人信息的類型可以取決于服務的使用情境。因此，包括地理定位裝置、尤其是被實施到終端的應用中的地理定位裝置的移動終端可以持續地發出與用戶的地理位置有關的地理定位信息，這可能被認為威脅到所述用戶的隱私、特別是當所述用戶訪問醫療中心以便獲得對嚴重疾病的醫學治療時。

為了避免這樣的機密地理定位信息的泄露，用戶可以一旦進入機密地理區域就執行手動過程，這包括禁用他的移動終端的地理定位裝置、例如被實施到所述終端的GPS模塊(用于全球定位系統)。

然而，這個解決方案在實踐中并不有效，因為這樣的移動終端的許多用戶完全不知道哪個(哪些)應用正在他們的移動終端上運行以及這個(些)應用中的哪個(哪些)應用向未知服務器發送地理定位信息，而且許多用戶一般甚至沒有意識到隱私問題。

此外，隨著計算能力和“大數據”數據集(它們太大以至于不能由傳統的數據庫管理裝置有效地管理)的興起，如果用戶突然切斷他的移動終端的地理定位裝置，他可能無意中制造了非常可辨識和可疑的行為模式，這個行為模式可能觸發不期望的對于所述用戶的最后已知地理位置附近的機密位置的研究、并且因此可能使得所述用戶對他的隱私保護的企圖作廢。

技術實現要素：

本發明旨在于通過如下提出方案來改進現有技術：為裝備有地理定位裝置的終端的用戶提供具體的技術手段以用于控制與他們的地理位置有關的地理定位信息的通信，這樣的控制對于所述用戶的意愿或法律規定一致地可強制執行。

出于以上目的，并且根據第一方面，本發明涉及一種用于保護通過終端連接到網絡的用戶的隱私的過程，該終端包括被適配為發出與所述用戶的地理位置有關的地理定位信息的地理定位裝置，所述過程提供：

-分析來自所述終端的分組以檢測地理定位信息在所述分組中的最終存在；

-在所述分組中用已經為所述用戶計算的虛擬地理定位信息替換檢測到的所述地理定位信息；

-通過所述網絡轉發具有所述虛擬地理定位信息的所述分組。

根據第二方面，本發明涉及一種用于保護通過終端連接到網絡的用戶的隱私的架構，所述終端包括被適配為發出與所述用戶的地理位置有關的地理定位信息的地理定位裝置，所述架構包括：

-檢測設備，包括用于分析由所述終端發送的分組以檢測地理定位信息在所述分組中的最終存在的裝置；

-計算設備，包括用于為所述用戶計算虛擬地理定位信息的裝置；

-修補(patching)設備，包括用于在所述分組中用所述虛擬地理定位信息替換檢測到的所述地理定位信息的裝置和用于通過所述網絡轉發具有所述虛擬地理定位信息的所述分組的裝置。

根據第三方面，本發明一種用于保護通過終端連接到網絡的用戶的隱私的架構，所述終端包括被適配為發出與所述用戶的地理位置有關的地理定位信息的地理定位裝置，所述架構包括：

-服務平臺，所述服務平臺被嵌入到所述網絡中并且包括計算設備，所述計算設備包括用于為所述用戶計算虛擬地理定位信息的裝置；

-被嵌入到所述終端的設備，所述設備包括：

■用于分析要由所述終端發送的分組以檢測地理定位信息在所述分組中的最終存在的裝置；

■用于在所述檢測時向所述計算設備請求針對所述用戶的虛擬地理定位信息的計算的裝置；

■用于在所述分組中用所述虛擬地理定位信息替換檢測到的所述地理定位信息的裝置；

■用于通過所述網絡轉發具有所述虛擬地理定位信息的所述分組。

根據第四方面，本發明涉及一種用于保護通過終端連接到網絡的用戶的隱私的架構，所述終端包括被適配為發出與所述用戶的地理位置有關的地理定位信息的地理定位裝置，所述架構包括：

-服務平臺，所述服務平臺被嵌入到所述網絡中并且包括計算設備，所述計算設備包括用于為所述用戶計算虛擬地理定位信息的裝置；

-網絡設備，包括：

■用于分析要由所述終端發送的分組以檢測地理定位信息在所述分組中的最終存在的裝置；

■用于在所述檢測時向所述計算設備請求針對所述用戶的虛擬地理定位信息的計算的裝置；

■用于在所述分組中用所述虛擬地理定位信息替換檢測到的所述地理定位信息的裝置；

■用于通過所述網絡轉發具有所述虛擬地理定位信息的所述分組的裝置。

附圖說明

在以下參照附圖做出的描述中，本發明的其他方面和優點將變得清楚，該附圖描繪了用于實現根據本發明的過程的架構。

具體實施方式

結合這個附圖，下文將描述一種用于保護通過終端連接到網絡的用戶的隱私的過程、諸如用于實現這樣的過程的架構，該終端包括被適配為發出與所述用戶的地理位置有關的地理定位信息的地理定位裝置。

用戶的終端可以特別是諸如智能電話之類的移動終端，并且地理定位裝置可以被嵌入在被實施到所述終端的專用模塊中、諸如GPS模塊(用于全球定位系統)。此外，由這樣的地理定位裝置提供的地理定位信息可以是用戶的地理位置的地理坐標。

用戶特別地連接到網絡以用于通過所述網絡發送分組1，所述分組包括特別是由被實施在所述用戶的終端上的具體應用、諸如舉例而言是多媒體播放器應用所提供的數據。具體地，分組1可以根據互聯網協議(IP)而以一種格式被編碼。此外，終端的應用可以要求與用戶的地理位置有關的地理定位信息，以便于將這樣的地理定位信息嵌入到它們的要被發送的分組1中。

結合附圖，提供了一種架構用于保護用戶(未被示出)的隱私。該架構可以被實施到用戶通過他的終端連接到的網絡中，特別是被實施到所述網絡的接入節點中，以便于保留被定位在由所述接入節點覆蓋的地理區域中的用戶的隱私，或者甚至被更深入地實施在所述網絡中、例如被實施在由涵蓋由若干接入節點覆蓋的地理區域的聚合節點中，以便于保護漫游到地理區域的所述群組中的用戶的隱私。

具體地，該架構可以包括用于允許用戶訂閱它實施的隱私保護的服務的裝置。為了實現這一點，該架構可以特別地由可以向它的訂戶提供這一服務的電話運營商來實施。

該過程提供了分析來自終端的分組1以便檢測地理定位信息2在所述分組中的最終存在。為了實現這一點，該架構包括檢測設備3，該檢測設備3包括用于分析由終端發送的分組1以檢測地理定位信息2在所述分組中的最終存在(eventual presence)。

根據一個實施例，該過程在之前提供允許用戶的注冊和在從所述用戶接收到分組1時檢驗所述用戶的注冊，根據所述檢驗所述分組被分析或不被分析用于對最終地理定位信息2的檢測。

為了實現這一點，該架構包括注冊設備4，該注冊設備4包括用于在之前允許用戶的注冊的裝置、諸如用于在所述注冊時將與所述用戶有關的信息存儲到客戶端數據庫5的裝置。此外，注冊設備4包括用于實現用戶界面、諸如圖形用戶界面(GUI)的裝置，所述界面使得用戶能夠注冊以便于受益于他的隱私的保護。

具體地，用戶可以通過先前選擇通常被認為是機密的預定義地理區域和/或他想要針對其而受益于隱私保護服務的預定義地理區域來注冊。因此，一旦用戶進入這樣的被選擇的地理區域，該過程將會自動觸發，并且通過在所述用戶的終端上發送專用通知，所述用戶可以被通知到這一點。

該過程還為發送分組1并且未被注冊的每個用戶提供對所述用戶的地理定位信息2a進行追蹤并且對追蹤的所述地理定位信息的機密性進行估計，而且因此根據所述估計向所述用戶發送針對注冊的通知，所述用戶根據所述用戶對所述通知的響應而被注冊。

為了實現這一點，注冊設備4包括用于為發送分組并且未被注冊的每個用戶追蹤所述用戶的地理定位信息2a的裝置。具體地，注冊設備4可以追蹤剛剛進入到由該架構被實施于其中的節點所覆蓋的地理區域或地理區域群組中的用戶的地理定位信息2a。

此外，注冊設備4包括用于估計追蹤的所述地理定位信息2a的機密性的裝置。

為了實現這一點，該架構包括機密數據庫6，用于存儲被標識的機密地理定位信息。這個機密地理定位信息可以特別地對應于諸如醫療中心之類的一般被認為是機密的地理區域，并且可以被預先記錄到機密數據庫6中。

具體地，被標識的機密地理定位信息可以由該架構的管理員、并且特別地由實施所述架構的電話運營商的管理員記錄在數據庫6中。所存儲的機密地理定位信息還可以從另一個開放源全局數據庫獲得或者甚至從其他用戶獲得、例如通過社交網絡服務提供方獲得。

此外，注冊設備4包括用于將追蹤的地理定位信息2a與被存儲在機密數據6中的機密地理定位信息進行比較的裝置，以便于根據所述比較、特別是根據與追蹤的地理定位信息2a匹配的條目在所述數據庫中存在與否來估計追蹤的所述地理定位信息的機密性。

注冊設備4還包括用于根據以上機密性評估來向用戶發送針對注冊的通知，從而所述注冊設備根據所述用戶對所述通知的響應來將與用戶有關的信息注冊到客戶端數據庫5中。

具體地，如果追蹤的地理定位信息2a不是機密的，注冊設備4不向用戶發送通知，而如果追蹤的地理定位信息是機密的，所述注冊設備則向所述用戶發送這樣的通知。

此外，如果用戶返回對該通知的否定響應，注冊設備4不會將與所述用戶有關的信息注冊到客戶端數據庫5中，而如果所述用戶返回肯定響應，則所述注冊設備將與所述用戶有關的信息注冊到所述客戶端數據庫。

為了實現這一點，注冊設備4可以發送通知，該通知被適配為觸發窗口在所述用戶的終端上的顯示，該窗口包括用于警告所述用戶他剛剛進入到機密地理區域的消息，諸如顯示交互按鈕，用于允許用戶返回對注冊提議的肯定響應(“是”按鈕)或否定響應(“否”按鈕)。

因此，任何進入到由該架構覆蓋的機密區域中的用戶可以被警告有關用于保護他的隱私的服務的存在并且可以簡單地通過對該通知做出肯定回答來受益于所述服務。

該架構還包括交換設備7，其包括用于接收由用戶發送的分組1的裝置和用于在客戶端數據5中檢驗與所述用戶有關的信息的存在的裝置，所述交換設備進一步包括用于根據與所述用戶有關的這樣的信息在所述客戶端數據庫中存在與否來向所述檢測設備3轉發或不轉發所述分組的裝置。

更準確地說，交換設備7獲得到達其中實施了該架構的節點處的分組1并且在客戶端數據庫5中檢驗與發送所述分組的用戶有關的信息的最終存在、例如所述用戶的標識符(ID)是否存在。如果客戶端數據庫5包含這樣的信息，交換設備7將分組1轉發給檢測設備3。否則的話，交換設備7轉發給該節點的一般處理，并且該過程結束。

對于地理定位信息2的檢測，該架構包括用于存儲針對地理定位模式匹配的規則的格式數據庫8、諸如用于在應用將地理定位信息2發送到新的格式中時更新所述格式數據庫的裝置，以便在進一步的地理定位信息2的檢測中考慮將所述新的格式。此外，檢測設備3被適配為與格式數據庫8交互以便于檢測地理定位信息2在分組1中的最終存在。

因此，如果分組1包含至少一個地理定位信息2，檢測模塊將所述分組連同與所述地理定位信息有關的其他信息轉發到根據本發明的過程的進一步處理，這些其他信息諸如是它們的偏移、它們的長度或它們的類型。否則的話，檢測模塊3將該分組1轉發給其中實施了該架構的節點的一般處理，并且該過程結束。

一旦已經檢測到地理定位信息2，該過程提供用已經為該用戶計算的虛擬地理定位信息9來替換檢測到的所述地理定位信息。

為了實現這一點，該架構包括計算設備10，該計算設備10包括用于為該用戶計算虛擬地理定位信息9的裝置，諸如修補設備11包括用于在由檢測模塊3轉發的分組1中用計算的所述虛擬地理定位信息來替換檢測到的地理定位信息2。

具體地，注冊設備4包括用于向計算設備10發送通知14以便在所述用戶的注冊時開始針對用戶的虛擬地理定位信息9的計算的裝置，所述通知特別地包括用戶在所述注冊時追蹤到的地理定位信息2a。

此外，該過程提供在虛擬定位數據庫12中存儲與用戶相關聯的所計算的虛擬地理定位信息，以便于在分組1中用從所述虛擬定位數據庫獲取的虛擬地理定位信息9來替換檢測到的地理定位信息2。

為了實現這一點，該架構包括這樣的虛擬定位數據庫12，并且計算設備10包括用于向所述虛擬定位數據庫中存儲與用戶相關聯的所計算的虛擬地理定位信息9的裝置，例如通過與所述用戶的標識符(ID)一起注冊所述虛擬地理定位信息。此外，修補設備11包括用于例如通過將包含在所述分組中的用戶的標識符(ID)作為密鑰而與虛擬定位數據庫12交互的裝置，以便在分組1中用從所述虛擬定位數據庫中獲取的虛擬地理定位信息9來替換檢測到的地理定位信息2。

具體地，該過程提供以相關方式為用戶計算虛擬地理定位信息9。

為了實現這一點，計算設備10可以準確地考慮所述用戶的由注冊設備4追蹤并且通過通知14被通信到所述計算設備的地理定位信息2a。具體地，計算設備10可以提供明顯與位于被標識為機密的地理區域的外部的地理位置對應的虛擬地理定位信息9，例如通過進一步檢驗機密數據庫6。

此外，計算設備10可以提供相對于彼此一致的連續虛擬地理定位信息9。為了實現這一點，計算設備10可以實施時鐘功能，該時鐘功能定期地觸發虛擬地理定位信息9的重新計算并且將它連同用戶的標識符一起存儲到虛擬定位數據庫12中。

對于貌似真實的(plausible)虛擬地理定位信息9，計算設備10可以實施計算算法，這些計算算法被適配為簡單地模擬用戶在其中實施有該架構的節點所覆蓋的地理區域中隨機地以腳步來漫步。為了實現這一點，這樣的算法可以特別地使用局部地圖，這些局部地圖非常類似于由被嵌入在移動終端中的一般GPS(全球定位系統)所使用的那些地圖。

計算設備10還可以實施更高級的算法，這些算法向由GPS模塊所使用的那些算法一樣利用興趣點(Point Of Interest，POI)數據庫。具體地，這些算法可以為朝向例如餐廳、商場或電影院這樣的興趣點的用戶計算虛擬路徑，并且因此建立在某些時間內停留在所述興趣點附近的虛擬地理位置9。

對于更加貌似真實的計算，用戶可以特別地在他的注冊期間精確他傾向于在他已經進入的機密區域中停留的時間，因而算法可以選擇與被精確的所述時間兼容的相關興趣點。例如，如果用戶精確了他可能在他進入的機密區域中停留大約三個小時，那么算法可以模擬在電影院中的停留。

計算設備10還可以實現用于如下的裝置：利用類似社交網絡的系統并且為用戶計算基于來自附近的其他用戶的地理定位習慣的虛擬地理定位信息9。

該過程還可以為發送分組1的每個注冊用戶提供對所述用戶的地理定位信息2a進行追蹤并且對追蹤的所述地理定位信息的機密性進行評估，虛擬地理定位信息9根據所述評估而進一步被計算。

為了實現這一點，注冊設備4包括用于追蹤發送分組1的每個注冊用戶的地理定位信息2a的裝置、諸如用于評估追蹤的所述地理定位信息的機密性的裝置，特別是通過將追蹤的所述地理定位信息與被存儲在機密數據庫6中的地理定位信息進行比較。此外，計算設備10被適配為根據由注冊設備4做出的評估來為該用戶計算虛擬地理定位信息9。

具體地，該過程可以在用戶的取消注冊時停止，所述取消注冊特別地發生在所述用戶的最新追蹤的地理定位信息2a不是機密的而先前的地理定位信息是機密的時候，即當所述用戶退出機密地理定位區域的時候，或者可以在所述用戶的手動干預的時候、特別是通過由所述用戶對取消注冊的請求15的發送或者通過由所述用戶自己設置的時間限制的注冊的結束。

為了實現這一點，注冊設備4包括用于在所述用戶的最新追蹤的地理定位信息2a不是機密的而先前的地理定位信息是機密的時候取消注冊該用戶、特別地自動取消注冊該用戶的裝置，諸如用于允許該用戶手動干預它的注冊的裝置，例如通過對取消注冊的請求15的發送或者通過設置時間限制的注冊。

之后，注冊設備4向計算設備10發送通知16以用于指示用戶的取消注冊，并且計算設備10停止為所述用戶計算虛擬地理定位信息9，因而所述用戶的分組1將進一步與所述用戶的真實地理定位信息2一起被發送。

然而，突然的中斷是不期望的，因為這將在來自所述用戶的被通信到分組1中的針對該用戶的地理定位信息2、9中引起瞬移效果(teleport effect)，這嚴重不利于保護所述用戶的隱私。

為了避免這樣的缺陷，該過程提供了在所述用戶的取消注冊時為該用戶計算另外的虛擬地理定位信息9a，所述另外的虛擬地理定位信息創建在為所述用戶在所述取消注冊時計算的最新虛擬地理定位信息9與所述用戶的后來(ulterior)追蹤的地理定位信息2a之間的真實感(realistic)虛擬路徑。

此外，計算設備10包括用于在用戶的取消注冊時觸發虛擬路徑模塊的裝置。這個虛擬路徑模塊(其特別地被實現在計算模塊10中)包括用于計算另外的虛擬地理定位信息的裝置，以便創建在為所述用戶在他的取消注冊時計算的最新虛擬地理定位信息9與所述用戶的后來追蹤的地理定位信息(2a)之間的真實感虛擬路徑。

具體地，虛擬路徑模塊被適配為一旦被觸發就計算另外的虛擬地理定位信息9a，該虛擬地理定位信息9a以貌似真實的速度追蹤用戶的真實地理定位信息2a，例如通過使用以上提及的計算算法中的至少一個算法，以便于避免不真實的瞬移效果或者光速運行效果。因此，一旦另外的虛擬地理定位信息9a非常接近用戶的真實地理定位信息2a，計算設備10停止計算并且該過程停止。此外，計算設備10和注冊模塊4兩者被觸發以刪除與該用戶有關的被存儲到客戶端數據5和虛擬定位數據庫12中的任何信息。

在時間限制的注冊的具體情況中，計算設備10還可以計算虛擬地理定位信息9以用于創建在取消注冊的估計時間處朝向機密區域的出口的真實路徑，因而虛擬路徑模塊可以更有效。

一旦已經計算和在虛擬定位數據庫12中存儲適當的虛擬地理定位信息9、9a，修補設備11可以與所述數據庫交互以獲取這樣的虛擬地理定位信息9、9a用于將其修補到分組1中以取代檢測到的真實地理定位信息2。

具體地，修補設備11被適配為在分組1中以針對所述分組的適當格式用虛擬地理定位信息9、9a來取代檢測到的地理定位信息2。實際上，虛擬地理定位信息9、9a本來就以具體格式被計算、例如以緯度/經度格式，而可以發現被插入在分組1中的地理定位信息2具有其他類型的格式、諸如通用橫向墨卡托(Universal Transverse Mercator，UTM)格式。

為了實現這一點，修補設備1包括用于將所計算的虛擬地理定位信息9、9a從本來使用的格式轉譯成在分組1中發現的任何格式。一旦完成，修補設備1以正確的偏移和正確的長度將虛擬地理定位信息9、9a修補到分組1中。此外，修補設備11被適配為自己更新以便將針對被插入到分組1中的地理定位信息2使用的任何新格式考慮在內。

之后，該過程提供通過網絡將具有虛擬地理定位信息9、9a的分組1進行轉發，并且修補設備11包括具有該效果的用于這樣的轉發的裝置。

利用這樣的架構，用戶的隱私可以得到保護而不需要在所述用戶的終端級別上進行任何修改。該過程的所有步驟以不打擾的方式在網絡級別上被引導。

根據另一個實施例(未被示出)，可以提供一種被部分地實施網絡和用戶的終端兩者中的架構。這個架構可以特別地包括：

-服務平臺，所述服務平臺被嵌入到所述網絡中并且包括計算設備，該計算設備包括用于為所述用戶計算虛擬地理定位信息的裝置；

-被嵌入到所述終端的設備，所述設備包括：

■用于分析要由所述終端發送的分組以檢測地理定位信息在所述分組中的最終存在的裝置；

■用于在所述檢測時向所述計算設備請求針對所述用戶的虛擬地理定位信息的計算的裝置；

■用于在所述分組中用所述虛擬地理定位信息替換檢測到的所述地理定位信息的裝置；

■用于通過所述網絡轉發具有所述虛擬地理定位信息的所述分組。

具體地，該設備在固件級別上被實施到該終端中并且根據用戶的需要連接到計算設備以請求為所述用戶計算虛擬地理定位信息，因而虛擬地理定位信息到分組中的修補將在用戶的終端級別上完成，并且這是針對由使用所述終端的地理定位裝置的任何應用發送的所有分組。

因此，該設備提供為運行在用戶的終端上的許多不同應用提供隱私保護服務、甚至對于被加密的應用，被加密的應用所發送的分組1被加密并且特別地是不容易可改變的。

為了實現這一點，該設備可以以專用的另外的代碼的方式被實施在該終端的驅動程序中。

所計算的虛擬地理定位信息可以被存儲到以上給出的虛擬位置數據庫中，其中該設備進行周期性地查找以便替換要被發送的分組中的真實地理定位信息。在一種變化中，計算設備可以周期性地向該設備發送虛擬地理定位信息。

根據另一個實施例，可以完全在網絡中實施類似的架構，所述架構包括：

-服務平臺，所述服務平臺被嵌入到所述網絡中并且包括計算設備，所述計算設備包括用于為所述用戶計算虛擬地理定位信息的裝置；

-網絡設備，包括：

■用于分析要由所述終端發送的分組以檢測地理定位信息在所述分組中的最終存在的裝置；

■用于在所述檢測時向所述計算設備請求針對所述用戶的虛擬地理定位信息的計算的裝置；

■用于在所述分組中用所述虛擬地理定位信息替換檢測到的所述地理定位信息的裝置；

■用于通過所述網絡轉發具有所述虛擬地理定位信息的所述分組的裝置。

一般而言，所提出的解決方案允許有效地保護用戶的地理定位信息2、2a的隱私，并且因此不必要關閉他們的終端的地理定位裝置而無論在所述終端上運行的使用這樣的地理定位裝置的應用的數目是多少。具體地，通過避免關閉地理定位裝置，使用這樣的裝置的許多應用可以被允許如預期那樣運行。

說明書和附圖僅僅解釋說明了本發明的原理。因此將理解的是，本領域的技術人員將能夠想到各種布置，這些布置盡管沒有在本文中明確地被描述或示出、但是體現了本發明的原理并且本發明的原理被包括在它的精神和范圍內。此外，本文中記載的所有示例在原理上旨在于從表述上用于教學目的，以協助讀者理解本發明的原理和由(多個)發明人貢獻的用于促進本領域的概念，并且要被認為不是對這樣具體記載的示例和條件的限制。此外，本文記載本發明的原理、方面和實施例的所有陳述及其具體示例旨在于涵蓋它們的等同方式。