一种用于物联网设备的隐私保护的方法和系统与流程

本发明属物联网通信技术领域，涉及一种基于物联网设备的隐私保护方法和系统。

背景技术：

如今，能与人进行互动的智能音箱和智能家电一起走进我们的生活。但是，与智能音箱对话，甚至被智能音箱听到的对话，都有泄露出去的可能。美国媒体2019年4月11日爆料，科技巨头亚马逊就雇佣了上千名员工收听和分析被智能音箱录下来的对话。亚马逊的这款“回声”智能音箱搭载有语音助手“亚力克萨”，能根据用户指令完成对话、播放音乐等操作。亚马逊公司在全世界雇用上千名员工，收听其智能音箱产品录下的语音。他们每天工作9个小时，每人分析多达1000段音频。亚马逊表示这样做的目的是提升语音助手的语言理解能力，改善用户体验。尽管亚马逊表示员工不会获取用户的姓名等信息，但这种做法还是引起人们对隐私安全的关注。他们担心，一旦这些信息被泄露给第三方，后果将不堪设想。

类似的，国内众多硬件厂商也都推出了其各自品牌的智能音箱，或类似的智能语音设备，他们都试图通过采集和分析用户语音，提升其各自产品的智能化程度。如何在技术上保证用户隐私的保护，让用户在其知晓和允许的情况下获取用户音频，或是如何确保用户隐私在未经允许的条件下被非法收集和利用是我们亟待解决的问题。

技术实现要素：

为解决上述技术问题，本发明提出了一种物联网设备的隐私保护方法，所述方法包括在物联网终端设备根据用户的语音激活信号，启动捕获用户的语音信息，并在其中添加用户标记信息，该用户标记信息用于标识用户是否允许将其语音信息在网络中保存；并发送给后端系统设备；所述后端系统设备接收所述用户标记信息的用户的语音，并根据用户标记信息判断用户是否允许隐私信息的保存，如果所述用户标记信息显示用户不允许其语音信息被保存时，则后端系统设备可丢弃上述语音信息。

特别的，该用户标记信息中还包括用户的身份信息标识符。

特别的，该用户标记信息中以有声信号或无声信号的形式添加到用户的语音中。

特别的，所述物联网终端设备将包含所述用户标记信息的用户的语音加密后发送到后端系统设备。

特别的，将包含所述用户标记信息的用户的语音使用散列算法生成用户的语音的摘要，使用物联网设备的私钥对摘要进行加密生成物联网设备的签名；所述物联网设备生成会话密钥，使用所述会话密钥对包含所述用户标记信息的用户的语音加密；将使用后端系统设备的公钥对会话密钥加密生成加密的会话密钥，将所述的加密的会话密钥与所述加密的用户语音及用户签名三者合并后发送到后端系统设备。

特别的，所述物联网终端设备在初次使用时，会生成非对称密钥对，其中的私钥由物联网设备中保存，公钥则发送到后端系统设备保存；后端系统设备将其公钥发送给所述物联网终端设备。

特别的，后端系统设备在接收到合并的用户语音后，分割为加密的会话密钥，加密的用户语音，用户签名三个部分；后端系统设备使用其私钥对加密的会话密钥解密，得到会话密钥；使用会话密钥对加密的用户语音进行解密得到包含所述用户标记信息的用户的语音；后端系统设备使用物联网设备的公钥对所述物联网设备的签名解密，得到包含所述用户标记信息的用户语音的摘要；对上述包含所述用户标记信息的用户的语音进行散列计算后与用户语音的摘要进行比较，以确定用户的语音是否被篡改。

特别的，用户的标记信息中的格式和含义可以基于用户与后端系统设备协商确定，所述用户的标记信息的格式和含义可定期改变，通过不同的版本号对用户标记信息进行识别。

本发明还提出了一种物联网设备的隐私保护系统，该系统包括物联网终端设备及后端系统设备；所述物联网终端设备根据用户的语音激活信号，启动捕获用户的语音信息，并在其中添加用户标记信息，该用户标记信息用于标识用户是否允许将其语音信息在网络中保存；并发送给后端系统设备；所述后端系统设备接收所述用户标记信息的用户的语音，并根据用户标记信息判断用户是否允许隐私信息的保存，如果所述用户标记信息显示用户不允许其语音信息被保存时，则后端系统设备可丢弃上述语音信息。

采用本发明的方法和系统，可以防止用户的语音信息被未经许可的情况下被后台系统设备采集和保存，保证了用户的隐私不被泄露，解决了现有技术中物联网终端设备如智能音箱，智能家电随意获取用户语音信息的技术缺陷。

附图说明

图1为本发明提出的物联网终端设备的隐私保护方法的步骤框图

具体实施方式

以下结合附图对本发明的具体实施方式作出详细说明。

本发明提出的物联网终端设备的隐私保护方法，在物联网终端设备首次使用时，用户会收到厂家发出的许可询问，具体涉及是否允许采集用户的语音信息的许可协议的相关内容，是否允许其语音内容被保存；根据用户对许可协议内容的选择，物联网终端设备可以对用客户的语音添加相应的标记信息，具体包括如下步骤：

s101，在物联网终端设备根据用户的语音激活信号，启动捕获用户的语音；

s102，所述物联网终端设备在其中添加标记信息，该标记信息用于标识用户是否愿意将其语音隐私信息被保存；

s103，将包含标记信息的用户语音发送给后端系统设备。

具体地，这种标记信息可以嵌入在有声信号中；或者是嵌入在无声信号中，有声信号可以噪声的形式出现，具体可以通过放置在通常不被话音占用的频率范围中，其可以使任何人都可以听到的一个声音被嵌入到用户的语音中；标记信息也可以是无声的标记，该标记不能被人感知，例如，该标签可以是一个位于高频范围的声音信号，将其嵌入到用户的语音信号中。具体的，用户标记信息中可包括用户的身份标识。

具体地，为了保证带有用户标记信息的用户语音在传输过程中被泄露或篡改，需要对用户的语音进行加密，并且提供相应的技术保证其标记信息不会被非法修改和剔除，需要添加严格而有效的保密措施。

具体地，将包含所述标记信息的用户的语音使用散列算法生成用户的语音的摘要；散列算法可以是各种hash算法，本发明中并不作具体限定。

随后，使用物联网终端设备的私钥对摘要进行加密生成物联网设备的签名；通过数字签名可保证用户语音内容可以被追溯；所述物联网设备生成会话密钥，该会话密钥为对称加密密钥，可每隔一段时间自动更新，或者每次加密都采用不同的密钥；使用所述会话密钥对包含所述标记信息的用户的语音加密；将使用后端系统公钥对会话密钥加密，生成加密的会话密钥；将经过加密的会话密钥与所述加密的用户语音及用户签名三者合并后发送给后端系统。通过数字签名技术保证了对物联网终端设备的可追溯性；通过数字摘要技术防止包括用户标记信息的语音内容在传输过程中被非法篡改。

为了保证上述加解密过程的顺利实施，物联网终端设备会生成公私密钥对，将私钥在其本地保存，公钥发送给后端系统保存；同时，后端系统设备的公钥也会提前发送给物联网终端设备。同时，为了保证不同厂商和不同设备之间的用户标记信息发生重复，或者被破解，用户的标记信息中的格式和含义可以基于用户与后端系统设备协商确定；具体可以事先在物联网终端设备和后端系统设备之间交换各自公钥时，将公钥信息与用户标记信息的格式和含义及加密用户语音数据的格式两者一起通过带外方式进行协商；标记信息的格式和含义可定义不同的版本，通过版本号进行识别，并可定期更换，如每隔半个月更新一次标记信息的格式和对应的含义，并通过新的版本号进行标记，通过上述方式可以使得与用户的标记信息不会轻易被破解，有效保障了用户的隐私。

s104，后端系统设备接收用户的语音信息；

s105，所述后端系统设备解析其中的用户标记信息，并根据标记信息判断用户是否允许隐私信息的保存，如果标记信息显示用户不允许隐私信息被保存，则后端系统设备将会拒绝保存并丢弃上述用户语音信息。

具体的，当用户语音信息为加密信息时，后端系统设备在接收到用户语音后，首先将其分割为加密的会话密钥，加密的用户语音，用户签名三个部分；

后端系统设备使用其私钥对加密的会话密钥解密，得到会话密钥；使用会话密钥对加密的用户语音进行解密得到包含所述标记信息的用户的语音；后端系统设备使用物联网设备的公钥对所述物联网设备的签名解密，得到包含所述用户标记信息的用户语音的摘要；对上述包含所述标记信息的用户的语音进行散列计算后与用户语音的摘要进行比较，如果两者一致，则表示用户的语音和标记信息未被篡改，否则可确定用户的语音信息或标记信息在传输过程中被篡改过，后端系统设备将会丢弃上述用户语音信息。

具体的，为了保证不同厂商和不同设备之间的用户标记信息发生重复，或者被破解，用户的标记信息中的格式和含义可以基于用户与后端系统设备协商确定。用户标记信息中的格式和含义可分别定义不同的版本，通过版本号进行识别，并可定期更换，如每隔半个月更新一次标记信息的格式和对应的含义，并通过新的版本号进行标记。后端系统设备将用户的标识信息的版本号，用户的标识信息的格式和含义，与用户的身份标识形成对应关系，在本地保存。

可选的，在物联网终端设备和后端系统设备之间交换各自公钥时，将公钥信息与用户标记信息的格式和含义及加密用户语音数据的格式和含义两者一起通过带外方式进行协商；后端系统设备通过带外方式的协商得到带有用户标记信息的语音信息时，根据其中的版本号得到对应的用户的语音标记信息的格式和对应的含义，通过解析得到的用户标记信息确定保存或是丢弃用户的语音。

本发明提出了一种物联网终端设备的隐私保护系统，包括物联网终端设备和后端系统设备，通过前述的方法在物联网终端设备和后端系统设备中实现，有效保护的用户的隐私，保证用户的语音信息不被非法利用。

对于本领域技术人员而言，显然本发明实施例不限于上述示范性实施例的细节，而且在不背离本发明实施例的精神或基本特征的情况下，能够以其他的具体形式实现本发明实施例。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明实施例的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明实施例内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。系统、装置或终端权利要求中陈述的多个单元、模块或装置也可以由同一个单元、模块或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。

最后应说明的是，以上实施方式仅用以说明本发明实施例的技术方案而非限制，尽管参照以上较佳实施方式对本发明实施例进行了详细说明，本领域的普通技术人员应当理解，可以对本发明实施例的技术方案进行修改或等同替换都不应脱离本发明实施例的技术方案的精神和范围。