[发明专利]一种面向隐私保护的用户轨迹生成方法及系统

说明书

本发明公开了一种面向隐私保护的用户轨迹生成方法及系统，属于数据安全领域。包括：将时间段t对应的位置元组数据流所在区域范围划分为层次网格，采用Geohash算法对各个网格编码，得到每个位置数据元组的编码字符串；根据划分后的网格和所有位置数据元组的编码字符串，生成元组数据流对应前缀层次树；将元组数据流划分为k段，根据隐私预算值对每段数据流进行采样，得到采样后的位置元组数据集根据差分隐私指数机制，将各个采样后的位置元组泛化到对应划分区域内，得到泛化后的位置元组数据集通过隐私预算，对处于相同划分网格内的元组数据合并得到用户轨迹。做到用户数据隐私的保密性的同时，保证一定的数据可用性以及流数据处理的高效性。

技术领域

本发明属于数据安全领域，更具体地，涉及一种面向隐私保护的用户轨迹生成方法及系统。

背景技术

近年来，随着GPS移动设备、智能手机、基于位置的社交网络和谷歌地图等交通导航服务的大力普及与发展，产生了大量基于用户的移动轨迹数据。利用第三方服务挖掘这些数据，以实现城市规划、出行模式分析、路线推荐和交通管理等目的。但是，轨迹数据往往蕴含了移动用户在时间、空间维度上的丰富信息，发布轨迹数据引发了合理的隐私担忧。针对轨迹数据的推理攻击，不仅可得出用户在什么时间去过什么位置，还可以分析出目标用户的家庭住址、工作地点等敏感位置信息，甚至可推测出用户的生活习惯、健康状态、宗教信仰等隐私信息。研究发现即使是完全的伪匿名化，通过一个外部数据集或者额外的背景知识足以高精度地重新识别个体。因此，传统的发布轨迹数据集的方法可能会造成隐私泄露，需要探索保护隐私的轨迹数据发布的新途径。

轨迹数据也是流数据的一种，即就是时空环境下，通过对一个或多个移动对象运动过程的采样所获得的数据信息序列，包括采样点位置、采样时间等。这些采样点数据信息根据采样先后顺序构成了轨迹数据流。对于轨迹数据隐私保护处理来说，需要讲求的是隐私性、可用性、高效性三者的动态平衡。由于轨迹流数据自身的高速、海量、不确定性(位置数据在每个单位时间到来的规模以及形式都是不可预知的)等特点，使得在轨迹流数据上做到实时隐私保护处理显得尤为困难。目前，针对轨迹数据信息的隐私保护的方法大致可以分为两类：

基于数据匿名化的隐私保护方法，如基于轨迹数据的k匿名技术，其核心思想为将一条轨迹和其他k-1条相似的轨迹泛化为一个匿名区域，使得每个区域至少覆盖k个用户，从而使得攻击者成功识别特定的轨迹信息的概率最高为1/k，以此满足匿名需求以达到隐私保护的目的。但这种k匿名技术存在一些漏洞和缺点，攻击者可以利用背景知识对数据集进行攻击，这种基于分区的轨迹隐私保护数据发布模型由于其确定性，很难抵抗这种类型的攻击。其可用性较高，而且其算法原理相对简单，但无法在理论上证明其绝对安全，只能对已有的方案进行改进和完善。

基于数据扰动的隐私保护方法，如差分隐私技术，它的原理是对原始数据、对原始数据的转换或者是对统计结果添加噪音来达到隐私保护效果。即使攻击者已经掌握除某一条记录之外的所有记录的信息，该记录的隐私也无法被披露。在攻击者在拥有最大背景知识条件下，系统仍能抵御各种攻击。也就是说，这个机制保证了一个数据集的每个个体的隐私信息都不被泄露，即使在数据集中添加或删除一条记录都不会对输出结果产生影响，但数据集整体的统计学信息比如均值，方差等却可以被外界了解。隐私性和可用性在不同的应用场景中难以做到更好的平衡。

发明内容

针对现有技术的缺陷和改进需求，本发明提供了一种面向隐私保护的用户轨迹生成方法及系统，其目的在于做到用户数据隐私的保密性的同时，保证一定的数据可用性以及流数据处理的高效性。

为实现上述目的，按照本发明的第一方面，提供了一种面向隐私保护的用户轨迹生成方法，该方法包括以下步骤：

S1.将时间段t对应的位置元组数据流S所在区域范围划分为层次网格，采用Geohash算法对各个网格进行编码，得到每个位置数据元组的编码字符串；

S2.根据划分后的网格和所有位置数据元组的编码字符串，生成该元组数据流S对应的前缀层次树；