图像隐私保护方法及装置与流程

1.本技术涉及信息安全技术领域，具体涉及一种图像隐私保护方法及装置。


背景技术：

2.由于智能终端设备的广泛使用，在操作系统中常常会使用大量的第三方软件，而这些软件大都能够共享操作系统的存储数据、接口，同时用户也很难控制第三方软件的权限，尤其是很多应用软件会自动上传手机中存储的图片，如果其中有包含隐私信息的图片，比如包括个人信息图片，敏感内容照片，被手机应用软件上传后会出现严重的隐私泄漏问题。通常，在一些场景下，用户的隐私信息会存在以下风险：
3.1)包含隐私数据的图片被上传至第三方平台或者网盘，从网络上泄漏隐私照片。
4.2)恶意软件在操作系统中寻找存在隐私数据的照片，并恶意盗用。
5.3)恶意软件可以监控或者主动触发拍摄功能，在客户不知情的情况下将包含隐私信息的照片传送到外部。
6.但如果进行严格的隐私管理，会大大降低智能终端的易用性。过于频繁的隐私和权限提醒会导致用户放弃选择权，默认同意。实质上纵容了隐私数据盗取行为。


技术实现要素：

7.本技术实施例提供一种图像隐私保护方法及装置，以保证用户隐私信息的安全性。
8.一方面，本发明实施例提供一种图像隐私保护方法，所述方法包括：
9.在拍照或录像时，识别摄录信息；
10.根据所述摄录信息确定摄录图像是否包含隐私信息；
11.如果是，则将所述图像保存到可信执行环境tee的存储区。
12.可选地，所述识别摄录信息包括：识别摄录对象类型，并根据所述对象类型获取对象特征。
13.可选地，所述根据所述摄录信息确定摄录图像是否包含隐私信息包括：根据所述对象类型和所述对象特征确定摄录图像是否包含隐私信息。
14.可选地，所述识别摄录信息还包括：识别摄录环境信息；
15.相应地，所述根据所述摄录信息确定摄录图像是否包含隐私信息还包括：根据用户设定的环境类型和所述摄录环境信息确定摄录图像是否包含隐私信息。
16.可选地，所述方法还包括：确定摄录图像包含隐私信息后，展现提示信息。
17.可选地，所述方法还包括：在客户端应用ca触发对所述图像的操作申请后，根据所述ca对所述图像的操作权限控制所述ca对所述图像的操作。
18.可选地，所述根据所述ca对所述图像的操作权限控制所述ca对所述图像的操作包括：如果所述ca没有对所述图像的操作权限，则禁止所述ca对所述图像进行操作，并向所述ca返回拒绝响应。
19.可选地，所述根据所述ca对所述图像的操作权限控制所述ca对所述图像的操作还包括：如果所述ca没有对所述图像的操作权限，则展现权限配置界面；接收用户在所述权限配置界面输入的权限信息；根据所述权限信息控制所述ca对所述图像的操作。
20.可选地，所述方法还包括：根据所述权限信息修改所述ca的权限设置信息。
21.可选地，所述方法还包括：将所述ca的权限设置信息写入tee的存储区。
22.可选地，所述方法还包括：在所述图像被展现时，显示对应所述图像的标识信息。
23.可选地，所述标识信息用于提示所述图像为被保护图像。
24.另一方面，本发明实施例还提供一种图像隐私保护装置，所述装置包括：
25.信息识别模块，用于在拍照或录像时，识别摄录信息；
26.判断模块，用于根据所述摄录信息确定摄录图像是否包含隐私信息；
27.保存模块，用于在所述判断模块确定所述摄录图像包含隐私信息的情况下，将所述图像保存到可信执行环境tee的存储区。
28.可选地，所述装置还包括：显示模块，用于在所述判断模块确定摄录图像包含隐私信息后，展现提示信息。
29.可选地，所述装置还包括：控制模块，用于在客户端应用ca触发对所述图像的操作申请后，根据所述ca对所述图像的操作权限控制所述ca对所述图像的操作。
30.可选地，所述控制模块，具体用于在所述ca没有对所述图像的操作权限的情况下，禁止所述ca对所述图像进行操作，并向所述ca返回拒绝响应。
31.可选地，所述装置还包括：显示模块，用户接口模块；所述控制模块，还用于在所述ca没有对所述图像的操作权限的情况下，控制所述显示模块展现权限配置界面；所述用户接口模块，用于接收用户在所述权限配置界面输入的权限信息；所述控制模块，还用于根据所述权限信息控制所述ca对所述图像的操作。
32.可选地，所述控制模块，还用于根据所述权限信息修改所述ca的权限设置信息。
33.可选地，所述控制模块，还用于将所述ca的权限设置信息写入tee的存储区。
34.可选地，所述显示模块，还用于在所述图像被展现时，显示对应所述图像的标识信息。
35.另一方面，本发明实施例还提供一种终端设备，所述终端设备包括前面所述的图像隐私保护装置。
36.另一方面，本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质为非易失性存储介质或非瞬态存储介质，其上存储有计算机程序，所述计算机程序被处理器运行时使得前面所述方法被执行。
37.另一方面，本发明实施例还提供一种图像隐私保护装置，包括存储器和处理器，所述存储器上存储有可在所述处理器上运行的计算机程序，其特征在于，所述处理器运行所述计算机程序时使得前面所述方法被执行。
38.本技术实施例提供的图像隐私保护方法及装置，在拍照或录像时，识别摄录信息；根据所述摄录信息确定摄录图像是否包含敏感信息，在包含敏感信息的情况下，将所述图像保存到可信执行环境tee的存储区。由于在图像拍摄过程中，即对被摄录信息进行识别，此过程中图像数据尚未生成，一旦发现图像中包含隐私信息，可以在图像生成前就将当前流程转至tee环境处理，从而可以有效防止恶意软件对于早期数据的截取。
39.进一步地，对于在tee环境中保护的图像，可以通过ca/ta的接口进行读取，保障了可信应用程序的方便读取。而且，对于ca对所述图像的操作，根据其操作权限来控制，从而也防止了恶意软件对图像中隐私信息的窃取。
附图说明
40.图1是本技术实施例图像隐私保护方法的一种流程图；
41.图2是本技术实施例图像隐私保护方法中ca对图像的一种操作处理流程图；
42.图3是本技术实施例图像隐私保护方法中ca对图像的另一种操作处理流程图；
43.图4是本技术实施例图像隐私保护装置的一种结构示意图；
44.图5是本技术实施例图像隐私保护装置的另一种结构示意图；
45.图6是本技术实施例图像隐私保护装置的另一种结构示意图；
46.图7是本技术实施例图像隐私保护装置的另一种结构示意图。
具体实施方式
47.为使本技术的上述目的、特征和有益效果能够更为明显易懂，下面结合附图对本技术的具体实施例做详细的说明。
48.由于现在产品的拍摄量和图像摄录场景非常多，无法保证使用者能够主动将一些涉及隐私的图像及时发现并进行妥善的保密处理。另外，考虑到目前支持tee(trusted execution environment，可信执行环境)的设备越来越多。为此，为了保障包含用户隐私的图像不会被恶意软件盗取和扫描，本技术实施例提供一种图像隐私保护方法及装置，在图像生成过程中自动识别隐私数据，并将其保存在tee下。
49.如图1所示，是本技术实施例图像隐私保护方法的一种流程图。该实施例的图像隐私保护方法包括以下步骤：
50.步骤101，在拍照或录像时，识别摄录信息。
51.在具体应用中，识别摄录信息可以根据一种或多种不同的应用需求，比如应用环境、隐私安全等级、用户需求的设置信息等，来确定所要识别的摄录信息。
52.比如，在一种非限制性实施例中，识别摄录信息可以包括：识别摄录对象类型，比如摄录对象是人还是物，并根据所述对象类型获取对象特征，比如识别对象是人时，获取的对象特征比如有：人体局部特征、服饰特征等；再比如识别对象是证件时，获取的对象特征比如有：文本特征、图像特征、身份特征等。
53.再比如，在另一种非限制性实施例中，识别摄录信息可以包括：识别摄录环境信息。比如，办公环境、家庭环境、室外环境等。
54.再比如，在另一种非限制性实施例中，识别摄录信息可以包括：识别摄录对象类型及环境类型等。
55.步骤102，根据摄录信息确定摄录图像是否包含隐私信息。如果是，则执行步骤103。
56.相应地，针对不同的摄录信息可以采用不同的方法确定摄录图像是否包含隐私信息，比如，基于与用户设定的环境类型和所述摄录环境场景相匹配的方法、或者基于预先训练的神经网络的方法等，具体可以使用现有的一些图像信息识别软件，或者根据应用场景
和/或摄录对象(比如人像、文件、证件等)的不同采集图像数据训练隐私判断模型，对此本技术实施例均不做限定。
57.步骤103，将图像保存到tee的存储区。
58.通常，支持tee的设备同时有ree(rich execution environment，富执行环境)和tee两种运行环境，两种环境有独立的操作系统和软件，ree负责运行普通的操作系统，比如ios、android等。因此，根据摄录信息确定摄录图像不包含隐私信息的情况下，可以按照摄录系统的正常存储方式将图像保存到ree的存储区。而在确定摄录图像包含隐私信息的情况下，自动将图像保存到tee的存储区，在此过程中，由于该图像从未被存储在ree区域，第三方程序在这一过程中无法读取到该图像信息，从而保证了隐私图像的安全性。在本发明方法一种非限制性实施例中，在确定摄录图像包含隐私信息后，还可以展现提示信息，以提示用户已经识别到隐私信息，并且进行安全处理。该提示信息可被用户关闭。运行在tee环境下的应用简称为ta(trusted application，可信应用)，运行在ree环境下的应用简称为ca(client application，客户端应用)。在本发明方法另一实施例中，还可对可信的ca，如手机自带的浏览图片软件，可以通过调用ta的接口直接使用上述保存到tee的存储区的图像。
59.进一步地，考虑到在有些情况下，需要向第三方应用提供上述图像，而第三方应用并非系统默认的可信ca，针对这种情况，本发明图像隐私保护方法也提供了相应的解决方案。具体地，在本发明图像隐私保护方法一种非限制性实施例中还可包括以下步骤：在客户端应用ca触发对所述图像的操作申请后，根据所述ca对所述图像的操作权限控制所述ca对所述图像的操作，从而有效避免一些非法ca对该图像的操作。
60.如图2所示，是本技术实施例图像隐私保护方法中ca对图像的一种操作处理流程图，包括以下步骤：
61.步骤201，接收ca发送的对提供访问所述图像的ta的操作命令。
62.步骤202，确定ca是否有对所述图像的操作权限；如果是，则执行步骤203；否则，执行步骤204。
63.步骤203，允许ca通过所述ta对所述图像进行操作。
64.步骤204，禁止ca通过所述ta对所述图像进行操作，并向ca返回拒绝响应。
65.如图3所示，是本技术实施例图像隐私保护方法中ca对图像的另一种操作处理流程图，包括以下步骤：
66.步骤301，接收ca发送的对提供访问所述图像的ta的操作命令。
67.步骤302，确定ca是否有对所述图像的操作权限；如果是，则执行步骤303；否则，执行步骤304。
68.步骤303，允许ca通过所述ta对所述图像进行操作。
69.步骤304，展现权限配置界面。
70.步骤305，接收用户在权限配置界面输入的权限信息。
71.步骤306，根据所述权限信息控制ca对所述ta的调用。
72.通过向展现权限配置界面，可以使用户根据自己实际需要来设置ca对所述图像的操作权限，在保证用户隐私信息安全的情况下，满足用户的一些特定应用需求。
73.在本技术图像隐私保护方法的另一种非限制性实施例中，还可以结合身份认证，
即在ca没有对ta的调用权限的情况下，不仅由用户来确定ca对ta的调用权限，而且还要对用户进行身份认证，也就是是，只有身份认证通过、并且用户输入的权限信息是允许ca对ta调用的情况下，才允许ca调用所述ta，从而可以充分保证用户隐私信息的安全性。需要说明的是，身份认证的方法可以采用现有技术。另外，用户对权限信息的输入及身份认证的顺序不分先后，可以先执行其中任何一个。
74.进一步地，在本技术图像隐私保护方法的另一种非限制性实施例中，还可以根据用户输入的权限信息修改ca的权限设置信息，方便后续该ca对相应ta的调用。当然，也可以不修改ca的权限设置信息，而是在每次ca对ta进行调用时进行询问；或者通过询问用户是否允许修改ca的权限设置信息，在得到用户允许的情况下，再对ca的权限设置信息进行修改，从而更好地保障用户隐私信息。
75.需要说明的是，在实际应用中，可以将ca的权限设置信息写入tee的存储区，以了保障权限设置信息的安全性，避免一些恶意应用对其进行修改。
76.进一步地，在本技术图像隐私保护方法的另一种非限制性实施例中，在所述图像被展现时，显示对应所述图像的标识信息。所述标识信息用于提示所述所述图像为被保护图像，不会被非可信ca操作。所述标识信息的具体形式本技术实施例不做限定。
77.利用本技术实施例提供的图像隐私保护方法，不仅可以在图像生成前就将当前流程转至tee环境处理，防止恶意软件对于早期数据的截取。而且，对于一些系统默认可信的ca可通过对ta的调用来访问图像，对于系统非默认可信的ca，可引导用户进行选择，保证只有用户信任的ca才允许对相应ta的调用来访问图像。
78.进一步地，还可以根据用户输入的权限信息修改ca的权限设置，这样无需用户主动打开相应的权限设置界面，即可自动完成该ca相应的权限设置，方便了用户的操作。而且，在下次该ca对相应ta进行调用时，还可以根据该权限设置来确定是否允许该调用，在保障调用安全的情况下，提高了调用的执行效率。
79.本技术实施例提供的图像隐私保护方法可应用于任何具有tee和ree两种运行环境的系统架构中，比如，基于arm的trustzone架构，基于amd的psp(platform security processor，平台安全处理器)等。
80.相应地，本技术实施例还提供一种图像隐私保护装置，如图4所示，该图像隐私保护装置400的一种非限制性实施例包括以下各模块：
81.信息识别模块401，用于在拍照或录像时，识别摄录信息；
82.判断模块402，用于根据所述摄录信息确定摄录图像是否包含隐私信息；
83.保存模块403，用于在所述判断模块确定所述摄录图像包含隐私信息的情况下，将所述图像保存到可信执行环境tee的存储区。
84.本技术实施例提供的图像隐私保护装置，在拍照或录像时，识别摄录信息；根据所述摄录信息确定摄录图像是否包含敏感信息，在包含敏感信息的情况下，将所述图像保存到可信执行环境tee的存储区。由于在图像拍摄过程中，即对被摄录信息进行识别，此过程中图像数据尚未生成，一旦发现图像中包含隐私信息，可以在图像生成前就将当前流程转至tee环境处理，从而可以有效防止恶意软件对于早期数据的截取。
85.如图5所示，是本技术实施例图像隐私保护装置的另一种结构示意图。
86.与图4所示实施例不同的是，在该实施例中，图像隐私保护装置400还进一步包括：
显示模块601，用于在所述判断模块402确定摄录图像包含隐私信息后，展现提示信息。
87.如图6所示，是本技术实施例图像隐私保护装置的另一种结构示意图。
88.与图4所示实施例不同的是，在该实施例中，图像隐私保护装置400还进一步包括：控制模块501。其中：
89.控制模块501，用于在ca触发对所述图像的操作申请后，根据ca对所述图像的操作权限控制所述ca对所述图像的操作。
90.在一种非限制性实施例中，控制模块501可以在ca没有对所述图像的操作权限的情况下，禁止ca对所述图像进行操作，并向ca返回拒绝响应。
91.在另一种非限制性实施例中，控制模块501可以在ca没有对所述图像的操作权限的情况下，根据用户的选择控制ca对所述图像的操作，具体可参照图7，图7是本技术实施例图像隐私保护装置的另一种结构示意图。
92.在该实施例中，图像隐私保护装置400还进一步包括：用户接口模块602。
93.在该实施例中，控制模块501还用于在ca没有对所述图像的操作权限的情况下，控制显示模块601展现权限配置界面。相应地，用户接口模块602接收用户在权限配置界面输入的权限信息，控制模块502根据所述权限信息控制ca对所述图像的操作。
94.在一种非限制性实施例中，控制模块502还可根据所述权限信息修改所述ca的权限设置信息。进一步地，控制模块502还可将ca的权限设置信息写入tee的存储区。
95.在一种非限制性实施例中，所述显示模块601还可用于在所述图像被展现时，显示对应所述图像的标识信息。
96.关于上述图像隐私保护装置400的工作原理、工作方式的更多内容，可以参照图1至图3中的相关描述，这里不再赘述。
97.相应地，本技术实施例还提供一种包括上述图像隐私保护装置400的终端设备，具体可以指各种形式的终端设备，如手机、用户设备、接入终端、用户单元、用户站、移动站、移动台(mobile station，ms)、远方站、远程终端、移动设备、用户终端、无线通信设备、用户代理或用户装置。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(session initiation protocol，sip)电话、无线本地环路(wireless local loop，wll)站、个人数字处理(personal digital assistant，pda)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备，未来5g网络中的终端设备或者未来演进的公用陆地移动通信网络(public land mobile network，plmn)中的终端设备等，本技术实施例对此并不限定。
98.在具体实施中，上述图像隐私保护装置可以对应于网络设备和/或终端设备中相应功能的芯片，例如soc(system-on-a-chip，片上系统)、基带芯片、芯片模组等。
99.在具体实施中，关于上述实施例中描述的各个装置、产品包含的各个模块/单元，其可以是软件模块/单元，也可以是硬件模块/单元，或者也可以部分是软件模块/单元，部分是硬件模块/单元。
100.例如，对于应用于或集成于芯片的各个装置、产品，其包含的各个模块/单元可以都采用电路等硬件的方式实现，或者，至少部分模块/单元可以采用软件程序的方式实现，该软件程序运行于芯片内部集成的处理器，剩余的(如果有)部分模块/单元可以采用电路等硬件方式实现；对于应用于或集成于芯片模组的各个装置、产品，其包含的各个模块/单
元可以都采用电路等硬件的方式实现，不同的模块/单元可以位于芯片模组的同一组件(例如芯片、电路模块等)或者不同组件中，或者，至少部分模块/单元可以采用软件程序的方式实现，该软件程序运行于芯片模组内部集成的处理器，剩余的(如果有)部分模块/单元可以采用电路等硬件方式实现；对于应用于或集成于终端的各个装置、产品，其包含的各个模块/单元可以都采用电路等硬件的方式实现，不同的模块/单元可以位于终端内同一组件(例如，芯片、电路模块等)或者不同组件中，或者，至少部分模块/单元可以采用软件程序的方式实现，该软件程序运行于终端内部集成的处理器，剩余的(如果有)部分模块/单元可以采用电路等硬件方式实现。
101.本技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质为非易失性存储介质或非瞬态存储介质，其上存储有计算机程序，所述计算机程序被处理器运行时执行上述各方法实施例中的步骤。
102.本技术实施例还提供了一种图像隐私保护装置，包括存储器和处理器，所述存储器上存储有可在所述处理器上运行的计算机程序，所述处理器运行所述计算机程序时执行上述各方法实施例中的步骤。
103.应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，表示前后关联对象是一种“或”的关系。
104.本技术实施例中出现的“多个”是指两个或两个以上。
105.本技术实施例中出现的第一、第二等描述，仅作示意与区分描述对象之用，没有次序之分，也不表示本技术实施例中对设备个数的特别限定，不能构成对本技术实施例的任何限制。
106.本技术所提供的各实施例，可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时，全部或部分地产生按照本技术实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线方式向另一个网站站点、计算机、服务器或数据中心进行传输。应理解，在本技术的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本技术实施例的实施过程构成任何限定。
107.在本技术所提供的几个实施例中，应该理解到，所揭露的方法、装置和系统，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的；例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式；例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
108.作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的
部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
109.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理布置，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
110.虽然本技术披露如上，但本技术并非限定于此。任何本领域技术人员，在不脱离本技术的精神和范围内，均可作各种更动与修改，因此本技术的保护范围应当以权利要求所限定的范围为准。