CN110750806A - 一种基于tp-mfsa抑制发布的高维位置轨迹数据隐私保护发布系统及方法 - Google Patents

Abstract

一种基于TP‑MFSA抑制发布的高维位置轨迹数据隐私保护发布系统及方法，属于隐私保护算法领域。为了抵御高维轨迹数据发布过程中轨迹序列引起的身份链接攻击和属性链接攻击，并考虑匿名处理后的数据集挖掘实用性。本发明提出一种基于TP‑MFSA抑制发布的高维位置轨迹数据隐私保护发布系统及方法，依据KCL‑隐私模型找到存在隐私泄露的最小违反序列集合；对MVS中每个时空点的抑制方式进行判断，即局部抑制还是全局抑制；基于隐私保护强度和数据实用性设计MVS中各时空点的抑制顺序模型，并按照该顺序对数据集进行抑制操作，得到可以发布的高维轨迹数据集。

Description

一种基于TP-MFSA抑制发布的高维位置轨迹数据隐私保护发 布系统及方法

技术领域

本发明涉及一种基于TP-MFSA抑制发布的高维位置轨迹数据隐私保护发布系统及方法。

背景技术

随着服务提供商存储的用户轨迹数据体积越来越庞大，其蕴含的丰富时空信息促进了轨迹数据挖掘研究的发展。然而，轨迹数据通常包含用户大量的隐私信息，不恰当的轨迹数据发布将会泄露用户隐私，威胁用户的人身安全。当前，轨迹数据发布隐私保护的研究方向主要有以下两类：

(1)轨迹隐私保护：轨迹数据一般包含用户大量的敏感位置，攻击者可以根据这些敏感位置信息去推测用户的其它隐私，比如用户的生活习惯、宗教信仰等隐私信息，用户的人身安全受到威胁。这类保护的主要方法是对发布的原始轨迹数据进行匿名处理，使得攻击者无法根据掌握的背景知识从服务商发布的轨迹数据集中准确识别出受害者的特定轨迹数据，从而实现用户的轨迹隐私保护。

(2)敏感属性保护：这类保护在高维轨迹数据发布隐私保护研究中比较常见，其主要是对数据集包含的用户敏感属性进行保护，防止攻击者利用掌握的用户背景知识推测出用户敏感属性，比如用户疾病信息、薪水状况等。但是与关系型数据保护不同的是，高维轨迹数据集中用户敏感属性与轨迹关联，考虑到数据集的背景知识丰富，简单将l-多样性应用到这类数据集的敏感属性保护上容易造成数据失真严重。因此，在高维轨迹数据集的敏感属性隐私保护方面需要更有效的隐私保护算法。

针对上述两类研究方向，考虑高维轨迹数据集是一种特殊的轨迹数据集，本本发明将分别对轨迹数据发布隐私保护和高维轨迹数据发布隐私保护的研究现状进行简要介绍。

1.1轨迹数据发布隐私保护的研究现状

从2003年开始，国内外研究者对轨迹数据发布隐私保护展开研究，提出了大量的隐私保护算法。这些算法根据隐私保护技术的不同，主要分成三大类：基于假数据的轨迹数据发布隐私保护算法、基于抑制法的轨迹数据发布隐私保护方算法和基于泛化法的轨迹数据发布隐私保护算法。

(1)基于假数据的轨迹数据发布隐私保护算法

假数据法在位置隐私保护研究中比较常见，主要在用户基于位置获取信息服务时，使用假位置来代替用户真实位置，从而保证用户的信息安全。Luper等人将假数据法引入到轨迹数据发布隐私保护研究中，通过对用户真实轨迹数据添加一些与其移动模式相似的假轨迹数据，来降低用户真实轨迹数据被攻击者识别的概率，从而最终实现用户的隐私保护。

(2)基于抑制法的轨迹数据发布隐私保护方算法

抑制法是指通过抑制某些数据项来有选择的发布原始数据，保证用户隐私。Terrovitis 等人在明确知道攻击者掌握的用户背景知识情况下，提出一种基于抑制法的轨迹数据发布隐私保护算法，该算法主要通过位置数据抑制操作得到匿名数据集来抵制背景知识威胁，使得依据背景知识推测出用户轨迹数据的概率始终低于指定的最低阈值；赵婧等人利用隐私关联度和数据效用之间的关系，提出在轨迹数据匿名处理时，可以将位置数据全局抑制操作改进为只对部分位置数据进行抑制操作，有效的提高了数据实用性。

(3)基于泛化法的轨迹数据发布隐私保护算法

泛化法是目前常用的方法，它要求轨迹在相应的采样位置和采样时间上可泛化到同一区域中，使得攻击者依据背景知识不能推测出用户轨迹数据，从而保证用户隐私安全。Abul 等人基于移动对象的位置不确定性提出(k，δ)-隐私模型，利用空间平移技术将轨迹平移到直径为δ的圆柱体中进行聚类的NWA隐私保护算法，其中δ表示可能位置的不确定性；Huo等人考虑实际地图的语义位置，提出基于网格划分和区域密度的区域重构YCWA算法来泛化用户轨迹中停留点，从而保证用户轨迹的隐私性；Huo等人指出发布的轨迹数据集存在语义位置攻击和最大移动速度攻击，并基于用户最大移动速度提出泛化轨迹数据中停留点的WABF隐私保护算法；Cao等人考虑用户轨迹生成的无限性造成差分隐私不能实现每个用户轨迹的保护，提出l-轨迹保护模型，并基于该模型分层设计隐私保护方案来实现用户隐私保护；王爽等人考虑数据采集设备不精确、移动对象延迟更新等原因，提出一种基于k-匿名的不确定轨迹数据发布隐私保护算法，该算法使用概率统计方法进行轨迹泛化，然后对相似度高的轨迹进行聚类得到匿名轨迹数据集，实现用户隐私安全的保护；杨静等人考虑不同用户对轨迹匿名的选择不同，提出(s,λ)-覆盖的轨迹关联模型，并依据该模型提出一种基于贪心策略寻找近似最优k条轨迹来构建轨迹k-匿名集的隐私保护算法。

1.2高维轨迹数据发布隐私保护的研究现状

近些年来，随着高维数据隐私保护研究得到广泛关注，国内外学者开始对高维轨迹数据发布隐私保护展开研究。Mohammed等人指出高维轨迹数据集发布不仅需要保护轨迹隐私和敏感属性隐私，而且数据集本身具备高维性、稀疏性和有序性三大特征，使得传统的轨迹数据发布隐私保护算法不能移植到高维轨迹数据发布隐私保护研究中。目前，该领域取得的研究成果主要分为两种：面向轨迹隐私和敏感属性隐私组合的保护算法、面向轨迹隐私的保护算法。

(1)面向轨迹隐私和敏感属性隐私组合的保护算法

Mohammed等人考虑高维轨迹数据集的高维性造成攻击者获取用户所有背景知识的代价极大，数据集的稀疏性使得泛化处理的数据集失真严重，实用性不高，提出一种假设：限定攻击者掌握用户背景知识的最大长度可以克服数据集的高维性，抑制法可以提高隐私保护算法的数据实用性，之后基于这种假设，采用KCL-隐私模型提出新的隐私保护算法：首先依据KCL-隐私模型获得数据集中可能存在隐私泄露的轨迹序列，然后对这些轨迹序列执行时空点全局抑制操作，最终得到满足KCL-隐私模型的可发布轨迹数据集；Chen等人指出全局抑制时空点的隐私保护算法可能会造成数据集时空点个数大量损失，匿名轨迹数据集的实例个数和最大频繁序列个数实用性降低，因此在兼顾用户隐私保护和数据集高实用性的情况下，提出将局部抑制和全局抑制相结合的隐私保护算法，并通过充分的实验分析验证了算法的有效性；Al-Hussaeni等人提出ITSA隐私保护算法来解决轨迹数据流发布存在的隐私泄露威胁，该算法在用户时空点加入或者消除的基础上动态更新用户隐私保护的区域，然后对各个区域内存在用户隐私泄露的轨迹序列执行抑制操作；Komishani等人将用户对轨迹数据的隐私保

护需求融入到算法设计中，提出基于敏感属性分类树来泛化敏感属性的隐私保护算法，使得攻击者依据轨迹序列不能推测出用户的敏感属性信息。

(2)面向轨迹隐私的保护算法

Ghasemzadeh等人考虑高维轨迹数据发布过程中敏感位置会泄露用户隐私，提出KL- 隐私模型来获取数据集中存在隐私泄露的轨迹序列，然后在轨迹数据概率流程树的基础上提出局部抑制这些轨迹序列，得到可发布的匿名轨迹数据集；Chen等人基于Laplace机制为轨迹数据前缀树添加噪声，使得轨迹前缀树的每个节点都以<tr(v),c(v)>形式存在，从而保证高维轨迹数据发布的隐私保护，其中tr(v)表示轨迹前缀树顶点的集合，c(v)是为每个|tr(v)|添加的Laplace噪声；Chen等人基于树划分方式，提出序列数据长度可变的差分隐私保护模型来实现数据发布过程中的用户位置隐私保护；Li等人提出段聚类的隐私保护算法，该算法首先将原始数据集分成多个数据集块，然后依据最小描述长度原理对每块数据集进行分段，最后使用集群约束策略来实现段匿名，从而最终实现轨迹数据匿名。

高维轨迹数据发布隐私保护作为新的研究领域，国内外学者已经取得了大量的科研成果，但还需要继续深入研究与探索。

隐私保护可以分为位置隐私保护和数据隐私保护两个方面。其中位置信息作为LBS应用中极为关键的一类数据，是LBS应用的基础，对其的保护也不同于普通的数据保护。一般而言，保护隐私最普遍的方式是加密，通过对数据的加密使得数据所承载的信息无法被别人获得。然而，普通的加密方法是在牺牲可用性的基础上实现对隐私性的保护。在LBS应用中，地理位置信息是进行服务的关键，如果无法被服务器获得，则无法提供服务，而这一特点也正是LBS隐私保护的难点所在，目前已有大量研究针对如何保护LBS应用中位置隐私问题，具体包括对单点位置的隐私保护和对轨迹的隐私保护。

对于单点位置的隐私保护，通常的方法有区域覆盖、位置欺骗、密码学方法及其他方法。其中区域覆盖为研究最为广泛的方法，其思想为使用一块区域来替代原始精确位置，利用这种方法使得用户精确位置不会泄露。进一步的，有研究将fc匿名方法与之结合，即在区域内存在至少一个用户，使得服务器无法分辨出发送请求的用户是其中哪一个。位置欺骗则是利用假的位置或有一定偏移量的位置来代替原始位置，使得服务器无法得到用户的真实位置。

这两种方法均是对隐私性和可用性的折中，通过牺牲一定的可用性来达到隐私保护。而密码学方法可以完美的兼顾到隐私性、可用性，如采用HR(Private InformationRetrieval)的方法可以使得服务器在完全不知道用户地理位置信息的情况下提供基于地理位置的服务。然而，这种密码学方法计算复杂度很大，很难运用在实际大规模的LBS应用中。此外，还有一些其他方法从其他角度来实现LBS中位置隐私的保护，如Cache方法利用缓存机制，在本地手机上缓存一部分的数据，当用户进行LBS请求时，可以查询本地缓存，从而不会将位置信息暴露给服务器。MobiCrowd则在缓存的基础上，加入了邻居间的查询，可能减少用户地理位置对服务器的暴露。然而，在这众多的方法中，并没有一种方法能够完美的兼顾隐私性、可用性和计算代价三个方面，对于LBS位置隐私保护的研究仍然是一个需要继续探索的领域。对于轨迹信息的保护是在单点位置隐私保护的基础上发展起来的，可以分为区域覆盖、混合区、路径混清、观轨迹等多种方法。其中区域覆盖方法与对单点位置隐私保护类似，但需要考虑到多个位置之间的关系(用户移动的速度、方向等)，才能从整体上对轨迹实现保护。

各行各业对于信息不确定性和不安全性的质疑和反对呼声也日益加剧，这使得该技术和相关应用不能顺利地发展。一方面，在缺失隐私或敏感信息的情况下，基于数据挖掘技术的许多应用无法正常进行；另一方面，由于民众对于其隐私保护有极高的意识，从他们中搜集来的个人数据的真实度不能保证。有研究显示，在调查问卷中，有73％的被调查者不愿意在没有隐私保护的情况下提供他们的个人信息。因此研究保护隐私的方法，防止数据被误用，找出更多保护数据隐私和安全的解决方案已经成为数据从上述情况看来，数据挖掘和隐私保护似乎是两个相互矛盾的个体。即如果我们强调数据隐私，这将会削弱数据挖掘带来的利益；如果我们专注于知识发现，又可能不能保证敏感数据的机密性。但是，涉及隐私方面的数据挖掘在许多数据分析应用中又有着极其重要的作用。因此，从考虑隐私的数据挖掘技术中获得潜在利益将会使公众更容易接受基于数据挖掘技术的新服务和新应用。

通过融入隐私保护机制，我们可以设计算法，并把它们应用于数据挖掘算法之前来对敏感信息进行隐藏，从而使数据挖掘活动不会危害到这些敏感数据。因此，随着对于隐私保护和相关研究关注度的日益增加。

在高维轨迹数据发布隐私保护研究中，现有的隐私保护算法大多是基于抑制法来设计，主要解决轨迹序列造成的用户隐私泄露问题，但是考虑到高维轨迹数据集有挖掘价值的信息是实例个数和最大频繁序列个数，由于保护方不知道攻击者掌握的背景知识，盲目的抑制操作会使得数据实用性得不到保证；其次，若攻击者掌握的背景知识包括用户轨迹和非敏感信息(如社交关系、邮编等)两部分，目前还没有合理的解决方法。因此，本本发明将着重从这两个方面展开研究，提出更有效的解决方法。

在解决轨迹序列造成的用户隐私泄露问题上，针对抑制操作造成的数据实用性高损失率缺陷，提出一种基于最大频繁序列分析的高维轨迹数据隐私保护算法(以下简称TP-MFSA 算法)。TP-MFSA算法分析抑制操作损失的最大频繁序列在数据集的存在规律，设计隐私泄露消除花费代价函数，用于判断时空点抑制的先后顺序，然后采用局部抑制和全局抑制相结合的方式来解决高维轨迹数据发布过程中存在的隐私泄露问题，最后使用重构操作将局部抑制的时空点写回数据集来降低数据实用性的损失率。。

发明内容

本发明的目的是为了抵御高维轨迹数据发布过程中轨迹序列引起的身份链接攻击和属性链接攻击，并考虑匿名处理后的数据集挖掘实用性，而提出一种基于TP-MFSA抑制发布的高维位置轨迹数据隐私保护发布系统及方法。

一种基于TP-MFSA抑制发布的高维位置轨迹数据隐私保护发布系统，其组成包括：数据收集服务器、轨迹数据库、轨迹隐私保护服务器和可发布数据存储器；数据收集服务器将收集到的位置数据存储转存至轨迹数据库，轨迹数据库将位置数据传输给轨迹隐私保护服务器进行保护，最后由轨迹隐私保护服务器将保护后的位置数据传输给可发布数据存储器进行发布。

一种基于TP-MFSA抑制发布的高维位置轨迹数据隐私保护发布方法，所述方法通过以下步骤实现：

步骤一、依据KCL-隐私模型找到存在隐私泄露的最小违反序列集合；

步骤二、对MVS中每个时空点的抑制方式进行判断，即局部抑制还是全局抑制；

步骤三、基于隐私保护强度和数据实用性设计MVS中各时空点的抑制顺序模型，并按照该顺序对数据集进行抑制操作，得到可以发布的高维轨迹数据集。

本发明的有益效果为：

本发明是基于“先收集、再匿名、后发布”的原则，这种体系结构被广泛接受，如图2所示，即首先使用数据收集服务器来实时记录移动对象的位置数据，得到移动对象的轨迹数据，并存储到指定的轨迹数据库中，然后隐私保护服务器基于数据实用性和隐私保护强度，对轨迹数据库中各轨迹数据进行匿名处理，最后发布匿名处理后的轨迹数据集进行信息挖掘研究。

附图说明

图1为本发明涉及的基于TP-MFSA抑制发布的高维位置轨迹数据隐私保护发布系统；

图2为本发明涉及的基于TP-MFSA抑制发布的高维位置轨迹数据隐私保护发布方法；

图3为本发明涉及的轨迹大数据发布模型；

具体实施方式

具体实施方式一：

本实施方式的一种基于TP-MFSA抑制发布的高维位置轨迹数据隐私保护发布系统，如图1所示，其组成包括：数据收集服务器1、轨迹数据库2、轨迹隐私保护服务器3和可发布数据存储器4；数据收集服务器1将收集到的位置数据存储转存至轨迹数据库2，轨迹数据库2将位置数据传输给轨迹隐私保护服务器3进行保护，最后由轨迹隐私保护服务器3 将保护后的位置数据传输给可发布数据存储器4进行发布。

具体实施方式二：

本实施方式的一种基于TP-MFSA抑制发布的高维位置轨迹数据隐私保护发布方法，如图2所示，所述方法通过以下步骤实现：

步骤一、依据KCL-隐私模型找到存在隐私泄露的最小违反序列(MinimalViolating Sequence，简称MVS)集合；

步骤二、对MVS中每个时空点的抑制方式进行判断，即局部抑制还是全局抑制；

步骤三、基于隐私保护强度和数据实用性设计MVS中各时空点的抑制顺序模型，并按照该顺序对数据集进行抑制操作，得到可以发布的高维轨迹数据集。

具体实施方式三：

本实施方式的一种基于TP-MFSA抑制发布的高维位置轨迹数据隐私保护发布系统，所述的步骤三中，基于隐私保护强度和数据实用性设计MVS中各时空点的抑制顺序模型，并按照该顺序对数据集进行抑制操作，得到可以发布的高维轨迹数据集的过程具体为：在抑制发布安全模型的基础上，建立基于高维轨迹数据的TP-MFSA最大频繁序列分析的隐私保护算法；通过对数据集进行时空点抑制操作，保证用户隐私；同时引入时空点重构操作，将局部抑制的时空点重构到数据集中，降低数据损失率；最后，基于地理位置的信息统计应用，通过对抑制发布服务器、云计算提供商、用户三方需求和能力的分析，建立抑制发布安全模型。

具体实施方式四：

本实施方式的一种基于TP-MFSA抑制发布的高维位置轨迹数据隐私保护发布系统，

(1)提出一种基于最大频繁序列分析的高维轨迹数据隐私保护算法(TP-MFSA,High-dimensional Trajectory data Privacy-preserving algorithm based onMaximal Frequent Sequence Analysis)。该算法在隐私保护强度方面，将局部抑制和全局抑制相结合来解决轨迹序列造成的用户隐私泄露问题，以此达到用户隐私保护的目的；在数据实用性保护方面，观察局部抑制操作损失的最大频繁序列在数据集中存在规律，使用重构操作将局部抑制的时空点重新写回到数据集中，以此来降低抑制操作造成的数据高损失率。

(2)在“抑制发布”安全模型的基础上，提出一种基于移动云计算的LBS信息统计应用的隐私保护协议。针对基于地理位置的信息统计应用，通过对LBS服务器、云计算提供商、用户三方需求和能力的分析，建立“抑制发布”的安全模型，即LBS服务器、云计算提供商、用户三方相互独立且“诚实但不可信”，提出一种基于移动云计算的LBS隐私保护协议PPPL。

关键技术

本发明将最大频繁序列分析的高维轨迹数据隐私保护算法TP-MFSA算法分成两个子算法：

子算法1：对数据集进行时空点抑制操作，保证用户隐私；

其中，时空点抑制是指：

基于MFS对高维轨迹数据集信息挖掘的影响，观察抑制时空点p损失的MFS仍然存在于数据集包含p的轨迹上，通过将p重构到数据集包含p轨迹的子轨迹上，可以降低数据集的MFS损失率，而p完成重构操作的主要依据是p的个数以及所有由p可以到达或者可以到达p的时空点个数，这部分信息越多，时空点重构操作的实现概率越大。因此，在时空点抑制阶段，设计消除p隐私泄露的花费代价函数:

定义(得分值score，s)依据p的抑制方式，定义

来说明消除p引起的隐私泄露花费代价，其值越大，表明隐私获取与数据损失之间的比值越大，数据实用性损失越小，时空点p重构概率越大。其中，eliMvs(p)为MVS_set中包含p的MVS个数，instanceLoss(p)为抑制操作减少的p个数，datasetCount(p)为数据集中p的总个数，sequenceLinkLoss(p)为抑制操作减少的由p可以到达或者可以到达 p的时空点个数,datasetLink(p)为数据集中由p可以到达或者可以到达p的时空点总个数。

子算法2：引入时空点重构操作，将局部抑制的时空点重构到数据集中，降低数据损失率；

其中，时空点重构是指：

算法描述时空点重构阶段，中时空点重构操作主要针对局部抑制的时空点，迭代操作集合P中被抑制个数最多的时空点p。

采用包括假名(删除或用一个临时的标识代替用户身份)、随机化(添加哑元)、模糊化 (泛化或扰动查询中的时空信息)和隐蔽化(对攻击者隐蔽整个查询)方法的扭曲法LBS隐私保护技术。

采用分布式体系结构，在确保服务可用性的情况下不会泄露任何用户的位置信息，以隐藏信息检索和空间转换为主要方式的加密的LBS隐私保护技术。

实施例1：

通过Wifi记录GPS轨迹的通信记录，并通过第三方数据平台传输给移动网络评估城市规划。第三方数据平台将收集的轨迹数据，进行隐私保护；而进行隐私保护的过程采用本发明方法，具体为：依据KCL-隐私模型找到存在隐私泄露的最小违反序列(MinimalViolating Sequence，简称MVS)集合；对MVS中每个时空点的抑制方式进行判断，即局部抑制还是全局抑制；基于隐私保护强度和数据实用性设计MVS中各时空点的抑制顺序模型，并按照该顺序对数据集进行抑制操作，得到可以发布的高维轨迹数据集。

Claims (4)

1.一种基于TP-MFSA抑制发布的高维位置轨迹数据隐私保护发布系统，其特征在于：

其组成包括：数据收集服务器、轨迹数据库、轨迹隐私保护服务器和可发布数据存储器；数据收集服务器将收集到的位置数据存储转存至轨迹数据库，轨迹数据库将位置数据传输给轨迹隐私保护服务器进行保护，最后由轨迹隐私保护服务器将保护后的位置数据传输给可发布数据存储器进行发布。

2.一种利用上述系统进行的基于TP-MFSA抑制发布的高维位置轨迹数据隐私保护发布方法，其特征在于：所述方法通过以下步骤实现：

步骤一、依据 KCL-隐私模型找到存在隐私泄露的最小违反序列集合；

步骤二、对MVS 中每个时空点的抑制方式进行判断，即局部抑制还是全局抑制；

步骤三、基于隐私保护强度和数据实用性设计 MVS 中各时空点的抑制顺序模型，并按照该顺序对数据集进行抑制操作，得到可以发布的高维轨迹数据集。

3.根据权利要求2所述的基于TP-MFSA抑制发布的高维位置轨迹数据隐私保护发布方法，其特征在于：所述的步骤三中，基于隐私保护强度和数据实用性设计 MVS 中各时空点的抑制顺序模型，并按照该顺序对数据集进行抑制操作，得到可以发布的高维轨迹数据集的过程具体为：在抑制发布安全模型的基础上，建立基于高维轨迹数据的TP-MFSA最大频繁序列分析的隐私保护算法；通过对数据集进行时空点抑制操作，保证用户隐私；同时引入时空点重构操作，将局部抑制的时空点重构到数据集中，降低数据损失率；最后，基于地理位置的信息统计应用，通过对抑制发布服务器、云计算提供商、用户三方需求和能力的分析，建立抑制发布安全模型。

4.一种利用权利要求1的系统进行的基于TP-MFSA抑制发布的高维位置轨迹数据隐私保护发布方法，其特征在于：将最大频繁序列分析的高维轨迹数据隐私保护算法TP-MFSA算法分成两个子算法：

子算法1 ：对数据集进行时空点抑制操作，保证用户隐私；

其中，时空点抑制是指：

基于 MFS 对高维轨迹数据集信息挖掘的影响，观察抑制时空点p损失的MFS 仍然存在于数据集包含p的轨迹上，通过将p重构到数据集包含p轨迹的子轨迹上，可以降低数据集的MFS 损失率，而p完成重构操作的主要依据是p的个数以及所有由p可以到达或者可以到达p的时空点个数，这部分信息越多，时空点重构操作的实现概率越大；因此，在时空点抑制阶段，设计消除p隐私泄露的花费代价函数:

定义得分值 score，简写为s，依据p的抑制方式，定义

来说明消除p引起的隐私泄露花费代价，其值越大，表明隐私获取与数据损失之间的比值越大，数据实用性损失越小，时空点p重构概率越大；其中，eliMvs(p)为 MVS_set 中包含p的 MVS 个数，instanceLoss(p)为抑制操作减少的p个数，datasetCount(p)为数据集中p的总个数，sequenceLinkLoss(p)为抑制操作减少的由p可以到达或者可以到达p的时空点个数, datasetLink(p)为数据集中由p可以到达或者可以到达p的时空点总个数；

子算法 2：引入时空点重构操作，将局部抑制的时空点重构到数据集中，降低数据损失率；

其中，时空点重构是指：

算法描述时空点重构阶段，中时空点重构操作主要针对局部抑制的时空点，迭代操作集合 P 中被抑制个数最多的时空点 p；

采用包括假名、随机化、模糊化和隐蔽化方法的扭曲法LBS隐私保护技术；

采用分布式体系结构，在确保服务可用性的情况下不会泄露任何用户的位置信息，以隐藏信息检索和空间转换为主要方式的加密的LBS隐私保护技术。

Images