[发明专利]基于移位的发布轨迹个性化隐私保护方法

说明书

本发明公开了一种基于移位的发布轨迹个性化隐私保护方法，属于数据挖掘与信息安全的交叉领域，具体包括：构建个性化隐私需求框架；基于该个性化隐私需求框架，获取轨迹数据，将轨迹点按照时间分量排序；对于每个轨迹点，在每个轨迹点自身周围时间范围内，比较相邻点间的距离，以确定可移位关系，进而构建轨迹点可移位关系网络；最后，在轨迹点可移位关系网络中实施基于移位的轨迹点扰动策略，实现发布轨迹点的脱敏和匿名。该方法克服了轨迹个性化k‑匿名隐私保护造成的隐私水平偏高以及泛化结果失真严重的问题，也克服了轨迹点个性化隐私保护中隐私需求主观定义的缺点。

技术领域

本发明涉及数据挖掘与信息安全的交叉技术领域，特别涉及一种轨迹数据发布前的身份隐私保护方法。

背景技术

随着定位技术和无线通信技术的成熟，基于位置的服务(Location BasedServices，LBS)越来越受到人们的青睐。在LBS中包括三个主要对象:用户、可信的匿名服务器(Servers for anonymity，SA)和位置服务提供者(location based service provider，LSP)。用户将带有主体的隐私需求的位置服务请求(local service request，LSR)发送给SA。SA根据隐私保护要求处理收到的LSR，然后将处理过的LSR发送给LSP。SA在接收用户的LSR的过程中积累了大量的轨迹数据。对轨迹数据的分析可以揭示有用的知识，但也会威胁到轨迹主体的隐私。轨迹数据在发布到第三方进行分析之前，需要对其进行隐私保护，这被称为面向发布的轨迹隐私保护，如图1中的阴影部分所示。

一些轨迹数据带有个性化隐私需求，例如，一些用户在导航服务期间将GPS精度设置为高水平。另一些人则控制GPS的精度随着时空位置的变化而变化，有时用户会允许GPS服务的精确性来提高导航精度，但在敏感的时空位置时则降低GPS精度。根据提出需求的对象来划分，发布轨迹的个性化隐私保护分为两类。

第一类，轨迹主体设置个性化隐私需求

一些数据中的轨迹由轨迹主体设置了不同的匿名需求k。对于这类数据，通常将轨迹k-匿名方法扩展到个性化轨迹隐私保护应用中，以轨迹身份作为隐私保护对象，通过轨迹的聚簇-重构矿浆匿名化轨迹，抵抗对身份链接的攻击。一种轨迹聚簇策略是：首先按照轨迹间的距离对轨迹进行聚类，然后选择聚类中匿名需求最高的层次作为聚类的隐私层次。另一种聚簇策略首先选取轨迹数据中匿名要求最高的轨迹为中心对轨迹进行聚类，然后逐渐扩展簇容量，直到其容量不低于中心的隐私要求。这两种方法都将簇内轨迹的匿名需求的最大值作为簇的匿名需求，使得其它轨迹的匿名处理超出了要求，并没有提高有效的隐私水平，同时这种策略造成了严重的信息损失。

第二类，轨迹发布者设置个性化隐私要求

由于轨迹体和时空位置的不同，每个轨迹点可能会有不同的隐私要求。然而，在大多数轨迹数据中，轨迹主体没有设定自己的隐私需求。数据发布者需要根据数据本身的特点设定隐私需求，并完成隐私保护。对整个数据设置相同的隐私需求无疑是最方便快捷的。但是，轨迹数据具有明显的不均匀的时空分布特性，对不同的轨迹点设置个性化的隐私需求，无疑会提高隐私保护的效果，减小不必要的数据损失。

轨迹点的个性化隐私保护通常基于其语义属性的分类树。首先对轨迹上所有采样点的语义属性进行标注，建立分类树。然后提取出敏感的驻点、拐点等隐私位置。最后通过选择合适的替换节点或区域来扰动或泛化，实现轨迹点的个性化隐私保护。

与第一类方法相比，这种方法放弃了轨迹的匿名性，无法抵抗对身份链接的攻击，只能根据不同的隐私要求泛化轨迹点的具体位置，并保证推断原始位置的概率不超过一定的阈值。但这种方法大大降低了数据失真。语义属性分类树是归类的基础，它是通过数据分析或主观判断得到的。然而，轨迹的隐私性是轨迹主体的客观要求，不应该仅仅由采集器根据地图上轨迹的语义和分布特征进行设置。主观性是这类方法的一个缺点。