具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

本公开实施例提供一种用户数据保护方法，如图1所示，该用户数据保护方法包括以下步骤：

101、接收移动零终端发送的音频信号。

在本公开实施例中，音频信号为移动零终端采集的所处当前环境中的音频信号。具体的，移动零终端可以按照预设频率对当前所处环境进行音频信号的采集，并将采集的音频信号发送给对应的虚拟机。

102、对音频信号进行分析，并根据分析结果判断移动零终端是否处于疑似不安全场景。

在本公开实施例中，对音频信号进行分析，并根据分析结果判断移动零终端是否处于疑似不安全场景包括：对音频信号进行预处理，得到预处理后的音频信号；对预处理后的音频信号提取特征向量；将提取的特征向量输入预先训练好的神经网络模型中，通过神经网络模型判断音频信号是否为异常音频；在音频信号为异常音频时，确定移动零终端处于疑似不安全场景。

其中，对于预先训练好的神经网络模型，可以事先收集大量异常声音的音频数据，并针对每一个音频数据进行预处理，并对预处理后的音频数据进行特征向量提取；然后，根据提取到的特征向量得到异常声音的特征向量库，之后，将异常声音特征向量库中的特征向量作为训练数据，不断输入预先建立的神经网络模型中进行训练，经过大量训练后得到训练好的神经网络模型，该训练好的神经网络模型具备识别异常音频信号的能力。

具体的，虚拟机在接收到移动零终端发送的音频信号时，对音频信号进行噪声去除等预处理，得到预处理后的音频信号，并对预处理后的音频信号提取特征向量；当将提取特征向量后的音频数据输入预先训练好的神经网络模型之后，通过该模型识别音频信号是否异常音频，异常音频包括但不限于：爆炸声、玻璃粉碎声、人员呼救声等；在音频信号为异常音频时，确定移动零终端处于疑似不安全场景。

103、在确定移动零终端处于疑似不安全场景时，进入应急处理模式。

在本公开实施例中，在确定移动零终端处于疑似不安全场景时，可以直接进入应急处理模式，也可以在收到用户确认移动零终端处于不安全场景的信息时，进入应急处理模式。其中，应急处理模式包括：中断向移动零终端传输图像，或者，向移动零终端传输预设的屏保图像；或者，发送应急切换请求给安全切换管理平台，以便安全切换管理平台根据应急切换请求断开当前虚拟机与移动零终端的连接，并将移动零终端与安全虚拟机连接。需要说明的是，安全虚拟机是不存在任何涉密数据的虚拟机。这样，通过以上三种方式都可以保证当前用户的数据不发生泄露。

在一个示例中，在确定移动零终端处于疑似不安全场景时，虚拟机可以向移动零终端发送是否处于不安全场景的询问信息，若用户确定移动零终端处于不安全场景时，移动零终端将用户确认移动零终端处于不安全场景的信息发送给虚拟机，此时，虚拟机进入应急处理模式。由用户进行二次确认的原因是：由于存在一些可能的干扰声音(如电视声音、杯子摔碎声音等)，导致这些干扰声音作为音频信号时被确定为异常音频，因此，不能完全断定当前一定处于不安全场景，所以需要进行二次确认。

进一步的，该方法还包括：设置退出应急处理模式的入口，退出应急处理模式的入口包括预设的按钮或者显示在移动零终端屏幕图像上的按键。

当用户点击预设的按钮或者显示在移动零终端屏幕图像的按键时，移动零终端将用户点击的退出应急处理模式的触发操作发送给虚拟机，此时虚拟机可以直接解除应急处理模式，并恢复正常模式；也可以接收移动零终端发送的待验证信息，待验证信息包括语音信息、人脸动态信息，对待验证信息进行安全性验证，在验证通过后再解除应急处理模式，并恢复正常模式。

在第一个示例中，在待验证信息为语音信息时，根据语音信息获取语音口令和当前用户的语音特征；判断语音口令是否为指定的语音口令，以及，判断当前用户的语音特征与预先存储的语音特征是否匹配；在语音口令为指定的语音口令，且当前用户的语音特征与预先存储的语音特征匹配时，解除应急处理模式，并恢复到正常模式。

在第二个示例中，在待验证信息为人脸动态信息时，根据人脸动态信息获取当前用户的人脸信息和人脸动作；判断当前用户的人脸信息与预先存储的人脸信息是否匹配，以及，判断人脸动作是否符合要求；在当前用户的人脸信息与预先存储的人脸信息匹配，且人脸动作符合要求时，解除应急处理模式，并恢复到正常模式。

对于第一个示例所描述的语音验证和第二示例所描述的人脸验证，可以单独进行验证，也可以同时进行验证，具体可根据实际情况进行选择，本公开实施例对此不加任何限定。

本公开实施例提供的用户数据保护方法，通过对移动零终端所处当前环境的音频信号进行识别，以判断移动零终端是否处于疑似不安全场景中，在确定移动零终端处于疑似不安全场景时，进入应急处理模式，能够对移动零终端所处环境进行识别，以在信息安全要求高的场景中有效保证用户数据的安全性。

基于上述图1对应的实施例提供的用户数据保护方法，本公开另一实施例提供一种用户数据保护方法，该方法可以应用于图2所示的用户数据的保护系统，该系统架构包括：云端服务器和至少一个移动零终端，云端服务器中运行有至少一个虚拟机。图2中以n个移动零终端和n个虚拟机为例进行示例性说明。其中，云端服务器为每一个移动零终端分配一个虚拟机，移动零终端通过连接相应的虚拟机来获取相应的应用服务，移动零终端和虚拟机之间通过因特网(Internet)或局域网(LAN，Local Area Network)通信连接。具体的，移动零终端获取该虚拟机的桌面图像后，通过操作该桌面图像产生反向控制指令，该反向控制指令发送给虚拟机后，由虚拟机在本地执行相应的处理从而对桌面进行操作，并由虚拟机实时将产生的桌面图像不断发送给移动零终端，从而，对于移动零终端用户来说，能够基于本地操作接收到的桌面图像来不断访问位于云端的虚拟机。

基于上述架构，本发明提供了一种针对移动零终端的用户数据保护方法。该方法主要包括以下步骤：

201、移动零终端与云端服务器上与其对应的虚拟机建立连接后，持续接收该虚拟机向其发送的桌面显示图像，并对接收到的图像进行反向操作。

202、移动零终端不断采集音频信号，并将采集到的音频信号上传给虚拟机，由虚拟机对采集到的音频信号进行分析以判断移动零终端是否处于疑似不安全场景。

其中，移动零终端可以按照预设频率进行音频信号的采集，并将采集的音频信号发送给对应的虚拟机。对于虚拟机如何判断移动零终端是否处于疑似不安全场景，可执行以下具体步骤：

S11、虚拟机对采集到的音频信号进行预处理。

预处理包括去除噪声。

S12、对预处理后的音频信号提取特征向量。

S13、将提取的特征向量输入预先训练好的神经网络模型中，通过神经网络模型判断当前音频信号是否为异常音频信号；如果是，则确定移动零终端处于疑似不安全场场景。

具体的，可以事先对收集大量异常声音的音频数据，并针对每一个音频数据进行预处理后，进行特征向量提取；然后，根据提取到的特征向量得到异常声音的特征向量库；之后，异常声音特征向量库中的特征向量作为训练数据不断输入预先建立的神经网络模型中进行训练，经过大量训练后，得到最终的目标模型。该目标模型具备识别异常音频信号并进行分类的能力。实际实现时，预先建立的神经网络模型可以是SVM模型。

当将提取特征向量后的音频数据输入预先训练好的神经网络模型之后，可以通过该模型识别当前音频信号是否为异常音频。具体的，异常音频所表示的声音包括但不限于：爆炸声、玻璃破碎的声音、人员呼救的声音等等。

203、当通过声音识别确定移动零终端当前处于疑似不安全场景时，有两种处理方式：

第一种方式：直接进入应急处理模式，并设置退出应急处理模式的入口。

第二种方式：进行二次确认，确定当前处于不安全场场景，然后进入应急处理模式，同时，也提供退出应急处理模式的入口。

具体的，进入应急处理模式后，虚拟机将中断向当前移动零终端传输图像；或者，向当前移动零终端传输预设的屏保图像；或者，云端服务器进行虚拟机切换，将当前与移动零终端连接的虚拟机切换为另外一台预设的不存在任何隐私信息的安全虚拟机；通过这三种方式都可以保证当前用户的数据不发生泄漏。

其中，对于虚拟机切换的实现的具体流程是：

S21、虚拟机向位于云端服务器中的安全切换管理平台发起应急切换请求。

S22、接收到应急切换请求之后的安全切换管理平台通过以下方式执行虚拟机安全切换：

安全切换管理平台断开移动零终端与当前虚拟机的连接状态，然后将当前移动零终端与安全虚拟机相连接；安全虚拟机是预先设置在云端服务器中的与普通虚拟机相类似，但是不存在任何涉密数据的虚拟机。在发生危险泄密场景的情况下，通过切换虚拟机既可以保证用户数据的安全，还可以对非法窃密人员产生干扰。

优选的，如第二种方式，在进入应急处理模式之前，先进行二次确认，从而确定当前移动零终端确实处于不安全场景。之所以进行二次确认的原因是：当识别结果为异常声音信号时，由于一些可能的干扰(比如，电视声音、意外事件造成的玻璃破碎等等)，因此，还不能完全断定当前一定处于不安全场景，还需要进行二次确认。

对于退出应急处理模式的入口，可以为预设的按钮或者显示在屏幕图像上的按键。当用户点击按钮或者按键触发退出应急处理模式时，需要进行安全性验证。其中，安全性验证包括但不限于：要求用户语音输入指定的语音口令(可以是随机生成的)、对用户进行指定动作的人脸动态识别。

为了实现语音验证，需要预先采集用户的语音数据，并分析用户的语音特征，然后基于语音特征对比确定是否为机主本人的声音，以及所输入的音频是否是指定的语音口令；另外，为了进行人脸验证，需要事先采集用户的人脸图像，从而通过人脸比对算法确定当前人脸图像是否与机主的人脸特征相匹配，同时，还需要判断用户人脸的动作是否符合要求。当通过安全性验证之后，可以解除当前应急处理模式，恢复到正常模式。在正常模式下，虚拟机正常向移动零终端进行画面传输，同时，移动零终端能够进行反向控制。

本公开实施例提供的用户数据的保护方法，通过对移动零终端所处当前环境的音频信号进行识别，以判断移动零终端是否处于疑似不安全场景中，在确定移动零终端处于疑似不安全场景时，进入应急处理模式，能够对移动零终端所处环境进行识别，以在信息安全要求高的场景中有效保证用户数据的安全性。

基于上述图1对应的实施例中所描述的用户数据的保护方法，下述为本公开装置实施例，可以用于执行本公开方法实施例。

本公开实施例提供一种用户数据的保护装置，如图3所示，该用户数据的保护装置30包括：接收模块301、分析判断模块302和处理模块303；

接收模块301，用于接收移动零终端发送的音频信号，音频信号为移动零终端采集的所处当前环境中的音频信号；

分析判断模块302，用于对音频信号进行分析，并根据分析结果判断移动零终端是否处于疑似不安全场景；

处理模块303，用于在确定移动零终端处于疑似不安全场景时，进入应急处理模式。

在一个实施例中，如图4所示，分析判断模块302包括：

预处理单元3021，用于对音频信号进行预处理，得到预处理后的音频信号；

提取单元3022，用于对预处理后的音频信号提取特征向量；

判断单元3023，将提取的特征向量输入预先训练好的神经网络模型中，通过神经网络模型判断音频信号是否为异常音频；

确定单元3024，用于在音频信号为异常音频时，确定移动零终端处于疑似不安全场景。

在一个实施例中，如图5所示，用户数据的保护装置30还包括：发送模块304；

处理模块303，用于在确定移动零终端处于疑似不安全场景时，直接进入应急处理模式；或者，在收到用户确认移动零终端处于不安全场景的信息时，进入应急处理模式；

发送模块304，用于中断向移动零终端传输图像，或者，向移动零终端传输预设的屏保图像；或者，发送应急切换请求给安全切换管理平台，以便安全切换管理平台根据应急切换请求断开当前虚拟机与移动零终端的连接，并将移动零终端与安全虚拟机连接。

在一个实施例中，处理模块303，用于设置退出应急处理模式的入口，退出应急处理模式的入口包括预设的按钮或者显示在移动零终端屏幕图像上的按键。

在一个实施例中，接收模块301，用于在接收到移动零终端发送的退出应急处理模式的触发操作时，接收移动零终端发送的待验证信息，待验证信息包括语音信息、人脸动态信息；

处理模块303，用于在对待验证信息验证通过后，解除应急处理模式，并恢复到正常模式。

在一个实施例中，处理模块303，用于在待验证信息为语音信息时，根据语音信息获取语音口令和当前用户的语音特征；判断语音口令是否为指定的语音口令，以及，判断当前用户的语音特征与预先存储的语音特征是否匹配；在语音口令为指定的语音口令，且当前用户的语音特征与预先存储的语音特征匹配时，解除应急处理模式，并恢复到正常模式。

在一个实施例中，处理模块303，用于在待验证信息为人脸动态信息时，根据人脸动态信息获取当前用户的人脸信息和人脸动作；判断当前用户的人脸信息与预先存储的人脸信息是否匹配，以及，判断人脸动作是否符合要求；在当前用户的人脸信息与预先存储的人脸信息匹配，且人脸动作符合要求时，解除应急处理模式，并恢复到正常模式。

本公开实施例提供的用户数据的保护装置，通过对移动零终端所处当前环境的音频信号进行识别，以判断移动零终端是否处于疑似不安全场景中，在确定移动零终端处于疑似不安全场景时，进入应急处理模式，能够对移动零终端所处环境进行识别，以在信息安全要求高的场景中有效保证用户数据的安全性。

本公开实施例还提供了一种用户数据的保护设备，该用户数据的保护设备包括接收器、发射器、存储器和处理器，该发射器和存储器分别与处理器连接，存储器中存储有至少一条计算机指令，处理器用于加载并执行至少一条计算机指令，以实现上述图1对应的实施例中所描述的用户数据的保护方法。

基于上述图1对应的实施例中所描述的用户数据的保护方法，本公开实施例还提供一种计算机可读存储介质，例如，非临时性计算机可读存储介质可以是只读存储器(英文：Read Only Memory，ROM)、随机存取存储器(英文：Random Access Memory，RAM)、CD-ROM、磁带、软盘和光数据存储装置等。该存储介质上存储有计算机指令，用于执行上述图1对应的实施例中所描述的用户数据的保护方法，此处不再赘述。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

本领域技术人员在考虑说明书及实践这里公开的公开后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。