本发明专利技术公开了一种移动终端防范地理位置泄露的方法,包括以下步骤:预先提供关于应用(App)和/或第三方页面的分类,并针对不同类别赋予对应的位置级别,且不同位置级别对应预定的位置偏移量;当移动终端上有一个应用和/或第三方页面请求获取地理位置时,确定该应用和/或该第三方页面的类别,并根据所确定的类别确定其所能够享有的位置级别;根据所确定的位置级别对应的位置偏移量,对所述移动终端所获取到的经纬度信息进行位置信息转换,将转换后的位置信息返回给发出请求的应用和/或第三方页面。本发明专利技术能够保证在不影响应用服务功能的情况下,最大程度地保护用户的位置隐私。
【技术实现步骤摘要】
本专利技术涉及移动互联技术,特别是。
技术介绍
互联网及移动互联网极大地方便了人们的日常生活,但在带来巨大福利的背后也 存在着不少的隐患,而个人隐私的泄露便是其中一个比较令人关注的问题。地理位置作为 个人最重要的信息,在这一方面的隐私保护和安全措施一直是一个热点研究。当前基于位 置的应用越来越火,每一个应用都想知道你在哪里,这样它们就可以利用你的数据做一些 内容服务,比如你在哪里或者提供本地化的服务。基于位置的应用/服务有不同形式。其 中一部分是单纯的检测你的位置信息更新。另外一些应用可以返回一些你指定的数据,比 如根据你位置显示酒店或是天气数据。HTML5为了确保可以提供基于位置信息的服务,提供 了一组GeolocationAPI,用来获取用户的地理位置信息。GeolcationAPI用于将用户当 前地理位置信息共享给信任的站点,这会涉及用户的隐私安全问题,所以当一个站点需要 获取用户的当前地理位置,浏览器会提示用户是"允许"或者"拒绝"。移动端的APP为了给 用户更好的本地体验,都会尝试获取用户的地理位置。而随着html5的出世及Geolocation API的诞生,意味着各类网站都有可能获取用户的地理,随之而来的风险着非常巨大的。 用户地理位置的暴露,还有可能危及用户其他个人信息的暴露,如身份、家庭地 址、公司地址等。通过建立模型可以识别用户的身份、家庭地址等重要的私密信息,将地理 位置信息泄露的危害进行扩大化。因此,对于此地理位置信息的保密程度应该进一步的加 大,使获取地理位置的网站或服务器只能使用其进行预期的功能,而不能再进行除此之外 的用户信息获得。因此有必要将用户地理位置中的特征进行弱化,使网站或者服务器无法 提取明显的特征或即使提取特征之后也无法进行有效的利用。 HybridApp(混合模式移动应用)是指介于WebApp、NativeApp这两者之间的 App,兼具"NativeApp良好用户交互体验的优势"和"WebApp跨平台开发的优势",因此 HybridApp将成为未来App发展的主流趋势。HybridApp中使用WebView可以加载HTML5 网页,所以说WebView中的页面可以通过GeolocationApi获取用户的地理位置。Hybrid App可能会加载第三方页面,所以使针对HybridApp的地理位置信息保护措施比Native App更为复杂。GeolocationAPI,使用方法getCurrentPosition获取当前的地理位置。 HybridApp中,如果WebView中的页面需要获取用户当前的地理位置信息,需要通过 API访问window,navigator对象中新添加的geolocation属性,并调用该属性中的 getCurrentPosition()方法获取用户当前地理位置信息。 黑白名单检测机制,其主要是应用过滤的原理将可以获取位置信息权限的应用与 不可以获取位置信息的应用进行区分。所谓的黑名单是指其名单中的应用都禁止获取用户 地理位置信息,白名单则刚好与之相反为应用可以获取地理位置信息。该种机制的优势在 于可以快速识别应用的地理位置获取权限,进而提供精确的结果反馈。其不足之处在于不 能识别新的应用,需要对应用名单库进行更新操作。 HybridApp中Native层与WebView中页面权限分离机制。在NativeApp中一个 应用中的页面的权限是一致的,但HybridApp可能会通过WebView加载第三方的页面,显 然让第三方页面与本地页面拥有同样的权限是不合适的,所以把第三方的页面与本地页面 的权限分开,增加HybridApp的安全性。 在HybridApp中首先要在Native层采取保护措施。因WebView可以动态加载页 面,故还需对HybridApp的WebView中加载的页面进行判别,采取相应的保护措施。比起 NativeApp,HybridApp所带来的地理位置泄露问题更为严重:l)HybridApp使用WebView 来加载网页,网页可能来自其它的网站,所以位置可能暴露给第三方;2)WebVieW中除了可 以调用本地的LocationAPI来获取地理位置信息外,还可以使用HTML5的Geolocation API来获取地理位置信息;3)WebView中的网页可能来自不同的网站,同时WebView加载网 页时并不显示网页的URL,用户很难判断当前页面的来源,很有可能错误授权;4)攻击者可 以通过XSS攻击、劫持攻击等方式通过HybridApp来获取用户的位置信息;5)给Hybrid App中的WebView赋予获取位置信息的权限,致使HybridApp的Native层获取了相同的权 限;6)WebView中加载页面使用geolocationAPI获取位置和信息时只有"拒绝"和"允许" 两个选项,没有提供临时权限的选项。 专利CN201110121047.X方案提供一种基于HTML5的对移动端进行地理位置定位 的方法和装置,客户端通过HTML5的地理定位接口获取移动终端的地理位置信息,其中地 理位置信息由移动终端中的定位模块提供;根据地理位置信息,客户端显示移动终端的地 理位置,该专利技术具有良好的跨平台性,可以应用于任何支持HTML5移动终端上,而无需根据 移动终端所具有的不同型号或者系统,分别开发用于移动终端地理定位的客户端。然而,该 方案仅仅是利用了HTML5的跨平台的优势,使用GeolocationAPI来进行定位,并没有对用 户的地理位置信息采取任何的保护措施,用户的地理位置信息没有得到很好的保护。 专利CN200810125042. 2方案公开了一种定位过程中保护用户隐私的方法、移动 终端及移动定位中心,应用于包括移动定位中心、定位客户机及向移动台在内的定位业务 中,其中,定位客户机向移动定位中心发起对移动台的定位请求,选择采用在提示信息中地 址欺骗策略的选项后,反馈响应消息至移动定位中心,并通过移动台响应消息中携带的和/ 或移动定位中心预先设置的经炜度信息作为定位请求响反馈至定位客户机,在定位过程中 保护了用户的隐私。然而,该方案需要建立一个定位系统,建设难度大,需要用户人工判断, 且没有梯度级别,并且对于HybirdApp中加载第三方页面的情况不适用。 专利US834123方案讲述了一种在网络中安全地确定用户网络设备的地理位置。 用户的网络设备通过主服务器、第一从服务器、第二从服务器发送信息,该信息附加了时间 戳,然后第一从服务器和第二从服务器把收到信息的时间戳发给主服务,主服务器根据三 者的达到的时间戳来计算用户网络设备的位置。然而,该方案只是确保了用户地理位置信 息的安全传输,至于对地理位置到达服务器后如何处理数据并没有做任何的防护措施,同 时也很容易暴露用户的精确位置。
技术实现思路
本专利技术的主要目的在于针对现有技术的不足,提供一种移动终端防范地理位置泄 露的方法,能够保证在不影响应用服务功能的情况下,最大程度地保护用户的位置隐私。 为实现上述目的,本专利技术采用以下技术方案: ,包括以下步骤: a.预先提供关于应用(App)和/或第三方页面的分类,并针对不同类别赋予对应 的位置级别,且不同位本文档来自技高网...
【技术保护点】
一种移动终端防范地理位置泄露的方法,其特征在于,包括以下步骤:a.预先提供关于应用(App)和/或第三方页面的分类,并针对不同类别赋予对应的位置级别,且不同位置级别对应预定的位置偏移量;b.当移动终端上有一个应用和/或第三方页面请求获取地理位置时,确定该应用和/或该第三方页面的类别,并根据所确定的类别确定其所能够享有的位置级别;c.根据所确定的位置级别对应的位置偏移量,对所述移动终端所获取到的经纬度信息进行位置信息转换,将转换后的位置信息返回给发出请求的应用和/或第三方页面。
【技术特征摘要】
【专利技术属性】
技术研发人员:肖喜,陈春辉,李清,胡光武,江勇,夏树涛,陆孺牛,
申请(专利权)人:清华大学深圳研究生院,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。