一种增强的基于轨迹重构的隐私保护方法

一种增强的基于轨迹重构的隐私保护方法
【专利摘要】本发明公开了一种增强的基于轨迹重构的隐私保护方法。本发明首先标记原始轨迹中的停留点，其包括停留时间较长和一定时间内频繁访问的采样位置。然后为各停留点匹配用户兴趣点，基于对应兴趣点替换停留点的方式，分别替换各停留点得到重构用户轨迹。在替换时，若兴趣点在原始轨迹上，则直接替换；否则在靠近当前停留点的两段原始轨迹片段上查找分别到停留点和兴趣点的距离差最小的移动点，然后基于其重构该移动点到兴趣点之间的移动点，得到重构轨迹片段，并判断重构轨迹片段是否穿越障碍物区域，若是，则需要重新匹配用户兴趣点，直到重构轨迹片段不穿越障碍物区域。本发明能尽可能保护用户轨迹不受恶意攻击者的推测攻击，且保证轨迹数据可用性。
【专利说明】
一种増强的基于轨迹重构的隐私保护方法
技术领域
[0001] 本发明在障碍物广泛存在的空间环境中，提供一种高效的用户自定义轨迹隐私保 护方法。该方法基于轨迹重构在保证轨迹隐私保护的前提下，可以获得较高的轨迹数据可 用性。
【背景技术】
[0002] 从2003年起，研究者们对位置数据隐私保护技术展开了研究，并获得了丰富的研 究成果。比如，利用各类改进后的k-匿名算法、空间匿位算法以及数据加密技术进行位置数 据隐私保护。然而，近年来研究者们发现发布的用户轨迹包含更多的用户敏感信息，仅仅保 护移动对象的实时位置是不够的：一方面，保护了移动用户位置隐私并不能保证用户的轨 迹隐私不泄露；另一方面，如果将用户位置的隐私保护策略直接应用到数据发布中的轨迹 隐私保护上效果并不理想，比如，在位置匿位技术中，攻击者可以将连续发出的用户查询匿 名框连接起来得到移动用户大致的运行路线。因此，用户轨迹数据隐私保护成为用户密切 关注以及研究者们亟待解决的问题。
[0003] 当前，用户轨迹隐私保护技术大致分为以下四类：
[0004] 第一类，假轨迹隐私保护策略。将假的轨迹和用户原始轨迹一起发布达到干扰原 始数据的目的，但同时也要保证假轨迹上的某些统计属性不能与原始轨迹偏离太大，因为 严重的失真会导致攻击者很容易判断出移动用户的真实运行轨迹。该方法简单，计算量小， 但实用性不大。原因有三：（1)在前面的假设中，尽管保证了重构后的用户真实轨迹尽可能 不失真，但假轨迹很有可能会穿越空间环境内的障碍物，这样的假轨迹很容易被攻击者判 断和排除；（2)假轨迹数据所需的储存开销大；（3)由于发布后的假轨迹数据的可用性较差， 可能对开发位置服务应用的第三方造成的干扰较大，导致服务应用的质量严重降低。
[0005] 第二类，匿位轨迹隐私保护策略。将轨迹上的所有采样位置都泛化为对应的匿位 区域，然后发布最终的匿位轨迹以达到隐私保护的目的。这是目前最为广泛采用的轨迹隐 私保护策略。该方法可以保证轨迹数据都是真实的，同时在隐私保护度和数据可用性上取 得了较好的平衡。但是，对所有轨迹上的采样位置进行匿位处理会造成大量的计算开销，同 时恶意攻击者通过连接不同时刻的匿位区域也能很容易地得到移动用户大致的移动路线。
[0006] 第三类，选择性发布的轨迹隐私保护策略。根据具体的情况有条件地选择性发布 轨迹数据，即不发布轨迹上某些敏感程度高或者频繁访问的采样位置以达到隐私保护的目 的。该方法限制了发布轨迹上某些敏感的位置信息，算法实现简单，但是会导致轨迹数据的 信息大量丢失，严重降低了轨迹数据的可用性，所以该算法的实用性和价值性不大。
[0007] 第四类，差分隐私模型。其主要思想是在用户轨迹数据集中加入噪声数据使得攻 击者无法分辨特定的用户轨迹记录是否在该数据集中。最早也是最广泛应用的差分隐私噪 声就是拉普拉斯噪音。虽然该方法与用户背景无关，能有效的保护用户的轨迹隐私，但也有 很多不足之处。轨迹数据发布的多样性会造成加入的拉普拉斯噪音也具有多样性，而加入 大量噪音会严重影响发布轨迹的数据可用性。

【发明内容】

[0008] 本发明的发明目的在于:针对上述存在的问题，提供一种基于轨迹重构的隐私保 护方法，该方法旨在避免恶意攻击者通过发现和分析用户轨迹上用户的敏感位置或频繁访 问的位置对用户的轨迹数据进行推测攻击。
[0009] 本发明的一种增强的基于轨迹重构的隐私保护方法，包括下列步骤：
[0010] 采集移动对象的原始轨迹序列、空间环境中障碍物的位置分布信息以及用户兴趣 点的位置分布信息，其中与用户轨迹对应的原始轨迹序列是指某个移动对象的位置信息按 着采样时间排序的序列。通常情况下，用T= {qi，（xi，yi，ti)，（X2，y2，t2)，…， 示某个移动对象的原始轨迹序列，其中，的标识符，通常代表移动对象、个体或者某种 服务的用户。（^，7141)(1<1<11)表示轨迹上的一个离散位置点，代表移动对象在1 1时刻 的位置为(Xl，yi)，也称为采样位置或者采样点则被称为采样时间，n为对用户轨迹的总 采样点个数。
[0011]标记原始轨迹序列中的停留点和移动点：
[0012] 本发明中，用户轨迹上的停留点即指用户停留时间较长的位置和用户一定时间内 频繁访问的位置。所以针对不同类型的停留点，采用不同的选取标记方式。
[0013] 首先针对用户停留时间较长的位置，对于原始轨迹序列T上的每个采样位置，为了 简化描述，将原始轨迹序列T中的每个采样位置表示，下标为采样位置标识符， 艮P1彡i<n，与采样位置h对应的采样时间为时刻"，若|丨 1+1_丨1|彡让1，则将当前采样位置 h标记为第一轨迹停留点；
[0014]然后针对用户一定时间内频繁访问的位置，依次选取原始轨迹序列上的非第一轨 迹停留点的采样位置，得到第二轨迹序列，再在第二轨迹序列中标记第二轨迹停留点:查找 与当前采样位置^采样时间为时刻其中jG[l， n])的距离大于或等于距离阈值th2的第 一个采样位置lk(采样时间为时刻tk，其中1^[1，1!])，并判断是否|^，|彡让3，若是，则将 当前采样位置h标记为第二轨迹停留点，并从采样位置lk开始继续在第二轨迹序列中标记 第二轨迹停留点；否则，从当前采样位置h的后一相邻采样位置l j+1开始继续在第二轨迹序 列中标记第二轨迹停留点。
[0015] 因为采样位置ln没有后相邻采样位置可比对，则可直接将原始轨迹序列T的最后 一个采样位置14示记为第一轨迹停留点或第二轨迹停留点。
[0016] 时间阈值th 1、th3，距离阈值th2均为用户预设值，且优选的，时间阈值th 1、th3的 取值相同。
[0017] 第一轨迹停留点和第二轨迹停留点构成原始轨迹序列中的停留点，同时将原始轨 迹序列中除停留点以外的采样位置标记为移动点；
[0018] 依次为各停留点匹配用户兴趣点后重构用户轨迹：
[0019] 对原始轨迹序列的第一个停留点和最后一个停留点，则直接用所匹配的用户兴趣 点替换停留点；
[0020] 判断当前停留点0的匹配用户兴趣点是否在原始轨迹序列所确定的原始轨迹 上，若是，则直接用点亇替换当前停留点〇;否则基于点对经过点〇的轨迹片段A-0-B进 行轨迹片段重构，并判断重构后的轨迹片段是否穿越障碍物区域，若是，则重新为当前停留 点0匹配用户兴趣点后再对轨迹片段A-0-B进行轨迹片段重构，其中点A表示点0和上一停 留点确定的轨迹片段的中点，点B表示点0和下一停留点确定的轨迹片段的中点；
[0021] 对轨迹片段A-0-B的重构过程如下：
[0022]在点A和点0所确定的轨迹片段上查找移动点C，其中移动点C分别到点0和点亇的 距离的差值最小；并在移动点C与点0'之间均匀构造出与点C与点0所确定的轨迹片段上数 目一致的移动点，得到重构轨迹片段c-cy，并用轨迹片段c-cy替换点C与点0确定的轨迹 片段C-0;在点B和点0所确定的轨迹片段上查找移动点D，其中移动点D分别到点0和点的 距离的差值最小；并在移动点D与点亇之间均匀构造出与点D与点0所确定的轨迹片段上数 目一致的移动点，得到重构轨迹片段亇-D，并用轨迹片段亇-D替换点0与点D确定的轨迹 片段0-D。即对于用户兴趣点不在原始轨迹的上的当前停留点0,将原轨迹片段A-0-B 用轨迹片段A-C-D-B替换，其中
[0023] 当前，为已标记的停留点匹配对应的用户兴趣点的方式有以下两大类：
[0024] 第一，在整条轨迹(原始轨迹序列T)所确定的空间范围内查找匹配，即在当前确定 的空间范围内搜索出所有用户兴趣点，然后选取敏感程度低的用户兴趣点（敏感程度属性 值最小的用户兴趣点，用户兴趣点的敏感程度属性值可由用户进行预设)来替代相应的停 留点。但是，上述方式的计算开销大，而且获取过多的用户兴趣点也会增加选取合适的用户 兴趣点的难度。
[0025] 第二，利用轨迹上标记的停留点将用户轨迹划分为不同的多个轨迹片段，每个轨 迹片段包括两个相邻的停留点，然后迭代地在每个轨迹片段上或该轨迹片段所确定的空间 范围内搜索合适的用户兴趣点来替代相应的停留点，直到完成整条用户轨迹的重构。该搜 索方式可以比较容易地匹配出合适的用户兴趣点（当前确定的空间范围内敏感程度属性值 最小的用户兴趣点），计算量小，操作简单。但是如果轨迹上两个相邻停留点之间的轨迹片 段过长也容易导致计算开销增大，而且较长的轨迹片段可能导致匹配到的用户兴趣点数目 大量增加从而增加选取的难度。
[0026] 本发明中，在为已标记的各停留点匹配用户兴趣点时，既可以采用现有方式，也可 以是下述本发明所提的匹配方式：
[0027]从已标记的每个停留点的角度出发，迭代地在每个停留点所确定的某段轨迹片段 上或者一定空间范围内匹配合适的用户兴趣点，即基于初始查找半径，根据预设增加步长 A迭代扩张查找半径直到匹配到敏感程度合适的用户兴趣点，且最大查找半径不得超过当 前停留点〇与下一停留点的距离。
[0028] 首先基于预设的初始查找半径R，在圆心为停留点0，半径为R的圆内查找敏感程度 属性值最低的用户兴趣点，作为当前匹配结果，得到与点〇匹配的用户兴趣点亇。但是当经 过用户兴趣点亇的重构轨迹片段A-C-Cy-D-B穿越障碍物区域时，则需要重新匹配，此 时需要进行一次查找半径调整，将当前查找半径增加一个步长A，然后在圆心为点0,半径 为当前查找半径的圆内查找敏感程度属性值最低的用户兴趣点，且该用户兴趣点不等于与 已匹配过的用户兴趣点。在进行第二次及其后续的用户兴趣点匹配时，直接将已匹配的用 户兴趣点剔除，在圆心为停留点〇、半径为当前查找半径的圆内查找敏感程度属性值最低的 用户兴趣点。
[0029] 综上所述，由于采用了上述技术方案，本发明的有益效果是：
[0030] (1)重构后的用户轨迹可以支持多种与用户相关的应用。现有的大多数空间查询 工作往往基于理想的欧式空间和路网空间。实际上，地面、室内设置虚拟空间内移动物体一 般都会受到地理条件的限制，因此本发明充分考虑障碍物因素的影响。在匹配用户兴趣点 时，还涉及判断重构后的轨迹片段是否穿越障碍物区域，若是则重新匹配直到重构出较为 精确合理的用户轨迹。
[0031] (2)在匹配用户兴趣点时，本发明依次从用户轨迹上敏感的停留位置(所标记的停 留点）出发，选取偏离程度尽可能小同时敏感程度低的用户兴趣点进行对应的替换。使得本 发明在保证隐私保护度的情况下达到了很高的轨迹数据可用性，同时障碍物对本发明的影 响要小于障碍物对从轨迹片段出发的搜索方式的影响。
[0032] (3)重构轨迹片段的位置突变会使得攻击者很容易发现用户轨迹上某些特殊的位 置。所以，本发明在轨迹片段重构过程中不是单纯地用匹配的用户兴趣点位置直接替换掉 原始轨迹序列中的停留点位置，对于不在轨迹片段上的用户兴趣点的情况，则同时选取合 适的一些移动点进行对应的替换，从而使得重构的用户轨迹的合理度更高。
【附图说明】
[0033] 图1是【具体实施方式】的流程图。
[0034] 图2是关于轨迹片段A-0-B重构不意。
[0035] 图3是隐私保护度的实验结果分析图
[0036] 图4是数据可用性的实验结果分析图
【具体实施方式】
[0037] 为使本发明的目的、技术方案和优点更加清楚，下面结合实施方式和附图，对本发 明作进一步地详细描述。
[0038] 参见图1，本发明通过保护用户轨迹上的停留点信息进而保护整条用户轨迹。首先 从位置服务(LBS)提供商采集移动对象的原始轨迹序列 (Xn，yn，tn)}、空间环境中障碍物的位置分布信息以及用户兴趣点的位置分布信息，其中原 始轨迹序列包括移动对象的采样位置和采样时间。允许用户自定义用户轨迹上的各采样位 置以及用户兴趣点的敏感属性值。
[0039]然后将原始轨迹序列中的采样位置标记为停留点和移动点，其中停留点包括用户 停留时间较长的采样位置和用户一定时间内频繁访问的采样位置。
[0040]基于输入的用户兴趣点的位置分布信息，依次为各停留点匹配用户兴趣点：用 stopi(Ki<n)表示当前待匹配的停留点，在圆心为stopi，预设的查找半径初始值为半径 的圆内查找rP最小的用户兴趣点poii作为匹配结果并输出，同时将用户兴趣点poii放入记 录已匹配结果的集合M中。
[0041]基于停留点st〇Pl的匹配用户兴趣点poh，重构轨迹片段。参见图2,将停留点st〇Pl 用点0表示，对应的匹配用户兴趣点P〇 i i用点亇表示（点亇不在原始用户轨迹上），点0的上 一停留点为stopi-1，下一停留点为stopi+1，将点0和stopi-1之间的中点用点A表示，点0和 stopi+12间的中点用点B表示，在点A和点0之间的轨迹片段上查找移动点C，其中点C分别到 点〇、(/的距离的差值最小；同理，在点B和点0之间的轨迹片段上查找移动点D，其中点D分别 到点CKC^的距离的差值最小；然后在点C和点0'之间的轨迹片段上均匀构建2个移动点（与 点C和点0之间的轨迹片段上的移动点个数相同），同理在点D和点之间的轨迹片段上均匀 构建2个移动点，从而得到轨迹片段A-0-B的重构轨迹片段A-C-C/ -D-B。
[0042] 基于所输入的障碍物的位置分布信息，判断轨迹片段A-C-Cy-D-B是否穿越障 碍物区域，若是，则调整查找半径后重新为停留点st 〇Ple配用户兴趣点，即增大查找半径， 从查找范围内待查找对象中剔除集合M所包含的成员后，查找rP最小的用户兴趣点作为当 前匹配结果并输出，同时将当前匹配结果放入集合M中。
[0043] 再基于当前重新匹配的用户兴趣点，构建轨迹片段A-0-B的重构轨迹片段，直到 重构轨迹片段不穿越障碍物位置。
[0044] 最后，基于各重构轨迹片段、以及直接用匹配用户兴趣点替换停留点得到重构的 用户轨迹并输出。
[0045] 在进行用户轨迹发布时，若涉及到发布采样时间，则对替换后的各移动点和停留 点（用户兴趣点替换)所对应的采样时间进行微调整，以使得发布的用户轨迹的各离散位置 的时间信息比较合理，例如基于相邻两个停留点的采样时间差和移动距离所估计的平均速 度，根据替换后各位置距离上一个停留点的移动距离来设置对应采样时间。
[0046] 针对用户轨迹数据发布应用中的轨迹隐私保护，由于发布后的轨迹数据会被第三 方(商业决策者、政府机构等）用以分析和使用，所以轨迹隐私保护技术要在保护轨迹隐私 的同时保证较高的数据可用性。因此，轨迹隐私保护技术的度量标准分为隐私保护度和轨 迹数据可用性两个方面。
[0047] (1)轨迹隐私保护度
[0048]本发明在考虑障碍物分布的情况下，迭代地用低敏感程度的用户兴趣点替换原始 轨迹序列中的各停留点。首先由用户自己给停留点和用户兴趣点标记一个敏感属性值rP， 其中^的取值在0到1的范围内。r P的值越高代表用户定义该位置的敏感程度更高。某位置的 敏感属性值可以由用户自身的隐私要求设置或者下层应用决定。实际上，不仅停留点和用 户兴趣点的地理位置属性能决定该位置的敏感属性，同时移动用户在该采样位置的停留时 间也在确定敏感属性值中发挥着不可替代的作用。^是移动用户自己指定的该采样位置的 最小敏感属性值，它能随着用户在该位置停留或访问的持续时间增大。换言之，移动对象在 一个停留点停留时间越长，该位置的敏感程度越高。假设用户设定停留点的初始敏感属性 值为r P，在该采样位置停留或访问持续时间为ds，整条用户轨迹的持续时间为dt，停留点的 敏感属性值可用如下公式计算：
(1)
[0050]其中，^的取值是&到1的范围。若rs = l，则表示整条用户轨迹就是相当于一个停 留点。显然，如果用户轨迹的敏感程度越高，则其隐私保护需求程度也就越高。通过用敏感 程度低的用户兴趣点与对应的停留采样点交换，降低了用户轨迹数据的敏感程度来实现隐 私保护要求。所以，可以用原始轨迹敏感程度与重构后轨迹的敏感程度的差值来刻画轨迹 隐私保护度privacyGain:
C2)
[0052]公式⑵中，k是用户轨迹上停留点的数目，而分别是原始轨迹序列上的停 留点的敏感属性值和替换该停留位置的用户兴趣点的敏感属性值，获得的轨迹隐私保护度 privacyGain也就是轨迹上所有停留点降低的敏感属性平均值。如果privacyGain = 0就意 味着没有达到轨迹隐私保护的要求;而privacyGain的值越高，就意味着获得的轨迹隐私保 护程度越高，那么发布后轨迹的敏感程度就越低，也就是用户轨迹重构处理方式的性能越 好。
[0053] (2)轨迹数据可用性
[0054]发布后的轨迹数据要供可信任的机制进行支持与移动用户相关的各种应用。因 此，如果轨迹数据可用性越高，轨迹数据的质量越好，那么相关应用的服务质量也会越好。 一般采用信息丢失率(又称为信息扭曲度)来衡量数据质量的好坏。通过评估重构后的用户 轨迹与用户原始轨迹的曲线相似度来刻画轨迹数据的可用性，即重构轨迹与原始轨迹偏离 程度越小，数据可用性越高。那么在相同的隐私保护度下，移动对象获得的服务质量就越 高，则隐私保护技术越成熟。在本发明中，除了替换停留点，同时也会合理地替换一些轨迹 移动点，这样可以有效地避免替换后的轨迹上位置的突变所造成的推测攻击。所以在计算 曲线相似度时，本发明不仅仅只考虑被替换的轨迹停留点的位置变化，而是考虑轨迹上所 有的位置发生移动的采样点。用同一时刻下两条轨迹中所有位置发生改变的采样点的欧式 距离平均值，来刻画两条曲线的相似度。首先，假设原始用户轨迹为I，重构后的用户轨迹为 f，那么两条轨迹曲线相似度Dist〇rti〇nU，f)表示如下：
(3)
[0056]公式(3)中，k是轨迹上的所有经过重构后位置发生改变的采样点的数目，g和f分 别是在时刻U对应的原用户轨迹上的采样位置和重构后的用户轨迹的采样位 置表示两个采样位置之间的欧式距离，计算公式如下：
(4)
[0058]如果所有发生位置改变的采样位置之间的欧式距离平均值越小，两轨迹的偏离程 度越小，也就意味着重构后的用户轨迹与真实用户轨迹的相似度越高，轨迹数据可用性越 高，那么移动对象获得的服务质量就将会越高。通过如下公式定义轨迹数据可用性 utility：
(5)
[0060]其中，Distortionmax是指在计算两条轨迹相似度过程中对应采样位置偏离程度的 最大值。在评估轨迹数据可用性时，本文给出最佳轨迹数据可用性和最差轨迹数据可用性 的概念。在保证用户轨迹隐私保护的情况下，最佳的轨迹数据可用性，即utility=l，是指 重构后的用户轨迹与原用户轨迹完全吻合，轨迹数据可用性达100%;最差的轨迹数据可用 性，即utility = 0,是指重构后轨迹上的采样点都尽可能偏离原始用户轨迹，即达到允许轨 迹数据信息丢失最大的情况。
[0061 ] 实施例
[0062] 采用微软亚洲研究所提供的GeoLife GPS轨迹数据集，这个GPS轨迹数据集收集项 目中包含182个移动用户，为期三年(从2007年4月至2012年8月），地理范围在北京市以及周 边。此GPS轨迹数据集是由一连串带有时间戳的序列点组成，每个位置点由包含的炜度、经 度和时刻信息表示。此数据集包含17621条轨迹，总长达约120万公里，总工期达约48000+小 时。上述用户轨迹采用不同的GPS记录器和GPS手机记录，所以拥有各种各样的采样率。91% 的轨迹记录采用密集的表示形式，如每1~5秒或每5~10米进行一次位置采样。此数据集涵 盖移动对象各种各样的户外运动，其中包括一些生活例程，比如回家、工作等，同时也包括 一些娱乐和体育的活动，如购物、观光、餐饮、徒步旅行、骑自行车等。
[0063] 图3对比了基于本发明的轨迹停留点（point-based)和基于现有的轨迹片段 (segment-based，相邻两个停留点所确定的轨迹片段)两种不同的确定各停留点的匹配用 户兴趣点的查找方式，图3的[a]~[f]反映了在不同的障碍物(obs tac 1 e s)数目分布下，不 同的用户兴趣点数目（P〇I number)对隐私保护度(为了简化描述，图中用privacy表示轨迹 隐私保护度）的影响。从实验结果来看，不管障碍物或者用户兴趣点的数目是多少，两种方 式能达到相近的隐私保护程度。原因是，这两种方法中，选择具有最小敏感属性值的P0I点 替换标记的停留点。因此，轨迹隐私保护度大部分取决于用户兴趣点的分布，而与用户兴趣 点的选取方式关联不大。
[0064] 此外，从图3可知，轨迹隐私保护度会随着用户兴趣点数目的增加而上升。这是合 理的，因为更多的用户兴趣点会导致寻找到敏感属性值低的用户兴趣点的概率较大。
[0065] 从另一个角度看，如果对比轨迹隐私保护度与障碍物数目变化的关系可以发现， 障碍物数目的变化与轨迹隐私保护度的变化是很小的。因此，本发明中引入的障碍物不会 导致所达到的隐私保护程度的极大减少，证明了本发明的实用性。
[0066] 图4的[a]~[f]反映了不同的障碍物数目分布下，不同的用户兴趣点数目对轨迹 数据可用性的影响。不同于隐私保护度的结果，本发明的point-based和现有的segment-based 方法所获得的轨迹数据可用性差别较大，特别是当障碍的数目 较小时 ，本发明的 point-based方法比现有的segment-based方法能获得更高的数据可用性。原因是，在 segment-based中，用选定的P0I点替换第一个对应的停留点，若当前的轨迹片段很长或者 选定的P0I点在轨迹片段中的下一停留点附近，则segment-base方法导致原始用户轨迹和 重构后的用户轨迹之间存在很大偏差。不过，如图4所示，这种情况会随着障碍数目的增加 而逐渐消失。原因是，远离对应停留点的P0I点重构出的轨迹片段极有可能穿越空间内存在 的障碍物区域，所以重新匹配的用户兴趣点会更接近对应停留点，进而减小两条轨迹之间 的偏差。因此，随着障碍物数目的增加，重新选取兴趣点的可能性增大，估计数据的可用性 也将增大。此外，从实验结果可以看到，数据可用性会随着用户兴趣点数目增加而增大。因 为如果用户兴趣点的数量很大，在一个较小的区域范围获取合适的P0I点的可能性非常高， 因此轨迹之间的偏差就会比较小。
[0067]上述结果显示，在基于障碍物的空间内，本发明提出的从轨迹停留点出发的隐私 保护技术与现有的从轨迹片段出发的隐私保护技术相比较:首先，两者能达到的隐私保护 程度都比较高;但本发明的轨迹数据可用性远远高于现有的从轨迹片段出发的隐私保护技 术，本发明的数据可用性甚至可以达到utility = 0.96;再者，空间障碍物对本发明的隐私 保护技术的影响较小。所以，本发明提出的从轨迹停留点出发的隐私保护技术，既能很好地 保护重构后的用户轨迹尽可能不受恶意攻击者的推测攻击，也能保证发布后的轨迹数据具 有很高的可用性，进而保证轨迹数据支持的位置服务应用拥有较高的服务质量。
[0068]以上所述，仅为本发明的【具体实施方式】，本说明书中所公开的任一特征，除非特别 叙述，均可被其他等效或具有类似目的的替代特征加以替换;所公开的所有特征、或所有方 法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以任何方式组合。
【主权项】
1. 一种增强的基于轨迹重构的隐私保护方法，其特征在于，包括下列步骤： 采集移动对象的原始轨迹序列、空间环境中障碍物的位置分布信息以及用户兴趣点的 位置分布信息，其中原始轨迹序列包括移动对象的采样位置和采样时间； 标记原始轨迹序列中的停留点和移动点： 依次判断原始轨迹序列的每个采样位置，若当前采样位置与相邻采样位置的采样时间 差大于或等于时间阈值tlu，则将当前采样位置标记为第一轨迹停留点； 依次选取原始轨迹序列上的非第一轨迹停留点的采样位置，得到第二轨迹序列，在第 二轨迹序列中标记第二轨迹停留点：查找与当前采样位置h的距离大于或等于距离阈值th2 的第一个采样位置lk，若采样位置Ik与当前采样位置之间的采样时间差大于或等于时间 阈值th3,则将当前采样位置标记为第二轨迹停留点，并从采样位置I k开始继续在第二轨 迹序列中标记第二轨迹停留点；否则，从当前采样位置h的后一相邻采样位置开始继续 在第二轨迹序列中标记第二轨迹停留点； 第一轨迹停留点和第二轨迹停留点构成原始轨迹序列中的停留点，并将原始轨迹序列 中除停留点以外的采样位置标记为移动点； 依次为各停留点匹配用户兴趣点后重构用户轨迹： 对原始轨迹序列的第一个停留点和最后一个停留点，则直接用所匹配的用户兴趣点替 换停留点； 判断当前停留点〇的匹配用户兴趣点亇是否在原始轨迹序列所确定的原始轨迹上，若 是，则直接用点替换当前停留点0;否则基于点对经过点O的轨迹片段Α-0-Β进行轨迹 片段重构，并判断重构后的轨迹片段是否穿越障碍物区域，若是，则重新为当前停留点0匹 配用户兴趣点后再对轨迹片段Α-0-Β进行轨迹片段重构，其中点A表示点0和上一停留点 确定的轨迹片段的中点，点B表示点0和下一停留点确定的轨迹片段的中点； 对轨迹片段Α-0-Β的重构过程如下： 在点A和点0所确定的轨迹片段上查找移动点C，其中移动点C分别到点0和点亇的距离 的差值最小;并在移动点C与点0'之间均匀构造出与点C与点0所确定的轨迹片段上数目一 致的移动点，得到重构轨迹片段C-O'，并用轨迹片段C-O'替换点C与点0所确定的轨迹片 段 C-0; 在点B和点0所确定的轨迹片段上查找移动点D，其中移动点D分别到点0和点亇的距离 的差值最小;并在移动点D与点亇之间均匀构造出与点D与点0所确定的轨迹片段上数目一 致的移动点，得到重构轨迹片段亇-D，并用轨迹片段亇-D替换点0与点D所确定的轨迹片 段 0-D02. 如权利要求1所述的方法，其特征在于，为当前停留点匹配用户兴趣点的过程为：以 当前停留点0为圆心，在当前查找半径所确定的圆内查找敏感属性值最低的用户兴趣点作 为当前停留点0的匹配用户兴趣点，其中用户兴趣点的敏感属性值为用户预设值； 查找半径的初始值为预设值，当基于匹配用户兴趣点对经过当前停留点〇的轨迹片段A 进行轨迹片段重构时，若重构后的轨迹片段穿越障碍物区域，则基于预设增加步长， 迭代增加查找半径后继续查找敏感属性值最低的用户兴趣点作为当前停留点〇的匹配用户 兴趣点，其中当前匹配用户兴趣点与当前停留点〇已匹配的用户兴趣点不重叠，且最大查找 半径不得超过当前停留点〇与下一停留点的距离。3.如权利要求1或2所述的方法，其特征在于，时间阈值thl与th3的取值相同。
【文档编号】G06F17/30GK105912616SQ201610212638
【公开日】2016年8月31日
【申请日】2016年4月7日
【发明人】邵杰, 代燕, 申恒涛, 张东祥
【申请人】电子科技大学