CN105069371A - 一种地理空间数据的用户隐私保护方法及系统 - Google Patents

Abstract

本发明提供一种地理空间数据的用户隐私保护方法及系统，包括对数据空间进行分割，基于均匀性度量参数将相似单元格合并到同一个划分，向每个划分中分别添加符合拉普拉斯分布的随机噪声得到含噪数据集，基于含噪数据集对外提供数据查询结果。本发明基于对噪声误差和均匀假设误差的分析，提出了一种新颖的数据域粒度划分模型来平衡两种误差，使得数据查询总误差最小。此模型建立时考虑了查询为矩形的情形，更符合数据查询实际情况。进一步，通过对数据空间中相似单元格进行合并，使得地理空间数据的查询误差更低，在保护用户隐私记录安全的同时，极大增强了数据的可用性。

Description

一种地理空间数据的用户隐私保护方法及系统

技术领域

本发明属于信息安全隐私保护领域，特别涉及一种地理空间数据的用户隐私保护方法及系统。

背景技术

信息时代的飞速发展，使得数据的获取变得日益容易，如用户的移动轨迹数据、购物记录数据和办公/家庭地址数据等，所有这些由位置点构成的数据称之为地理空间数据。通过对地理空间数据进行分析，能够获取很多有用信息。对于交通部门，可以通过分析用户移动轨迹数据，得出当前交通状况，为城市交通控制提供数据支持；对于商家，可以分析用户购物记录数据或车辆移动轨迹数据，得出用户感兴趣的区域或者聚集地，为商业布局提供数据支持；对于城市规划局，可以分析用户家庭地址数据，得出城市住宅布局信息，为城市规划提供数据支持。

上述决策制定离不开对数据的分析，这些数据的发布与共享为决策制定与科研分析提供了极大便利，然而，数据的分析不可避免地涉及到用户隐私安全，存在隐私泄露风险。例如，2015年，麻省理工学院研究员DeMontjoye等证明，在一个110万人的匿名购物记录数据中，仅需要四条购物记录中的日期和位置信息，便能识别出数据集中90％的用户，当今，用户隐私问题已经成为地理空间数据应用的阻碍，如何确保数据高可用性的同时保证用户隐私安全是我们需要考虑的问题。

地理空间数据的广泛应用为数据的安全性提出了更高的要求，如安全可控和严格地可证明安全性，传统的基于匿名模型(如k-匿名、l-多样性)的方法存在泄露用户隐私的风险，并且不能提供安全可控的隐私保护。与此相反，差分隐私是一种严格证明和安全可控的隐私保护技术，在数据分析和应用的同时，能够保护用户隐私数据不被泄露，差分隐私已经成为信息安全研究领域隐私保护事实上的标准。差分隐私通过噪音机制实现，即向输出结果中添加随机噪声来保护数据安全，添加的噪声越大，数据越安全，然而，数据的可用性越低，反之亦然，即数据安全性与数据可用性是一对矛盾关系。

基于差分隐私的数据隐私保护为了提高数据的可用性，增强查询精度，提出了基于树型结构的隐私空间分解方法，它主要是将一个整体数据空间划分成为若干个独立单元格，然后统计每个单元格中的点数。

Cormode等基于完全四叉树提出一种算法，此算法主要采用等比预算分配策略为四叉树每层分配不同隐私预算，以提高数据查询精度。Fan等利用四叉树将数据空间递归划分成四等份，与kd-树划分相比，四叉树递归划分效率高。然而，当数据比较稀疏时，会导致较大误差。为了降低添加噪声大小，提高数据查询精确度，Fan等人将相似单元格合并到一个划分中以克服数据的稀疏性，并向此划分添加噪声，降低了每个单元格中噪声大小。针对二维地理空间数据，通过树型结构对数据域进行分割以提高数据可用性时，树深是影响数据查询结果的关键因素，而上述文献没有给出具体树深或者划分粒度的理论支持。Qardaji等从数据域的划分粒度出发，研究如何构建差分隐私数据集，并提出一种基于噪声误差和均匀假设误差的粒度划分模型，开辟了提高数据可用性的新方向，然而其模型建立时假设数据查询形状为正方形，长等于宽，不符合数据查询实际情况，并且设均匀假设误差正比于查询边界单元格中总点数，未考虑单元格面积因素。

发明内容

针对现有技术存在的不足，本发明结合一种新颖的数据域粒度划分模型和均匀性度量参数，提供了一种面向地理空间数据的用户隐私保护技术方案。

本发明的技术方案提供一种地理空间数据的用户隐私保护方法，包括以下步骤，

步骤1，根据数据域粒度划分模型对数据空间进行分割，包括以下步骤，

步骤1.1，根据数据空间大小得到数据空间的长度L和宽度H；

步骤1.2，根据以下数据域粒度划分模型，将数据空间划分为m×m个单元格,

其中，k为相对误差与面积的比例系数，ε为隐私预算，

计算横轴上每个单元格长度l，l＝L/m，

计算纵轴上每个单元格长度h，h＝H/m，

根据l和h的值，依次记录每个单元格c_i的左、上、右、下四个边框的坐标值，i＝1,2,...,m×m；

步骤1.3，从数据集中依次取出一个数据点point(x,y)，如果point(x,y)落于单元格c_i，则c_i增加一个计数，否则不增加；

步骤1.4，返回步骤1.3从数据集中依次取出下一个数据点进行处理，直到数据集中所有数据点都取完成为止，最后得到一个数据空间S的单元格集合{c₁,c₂,...c_i,...c_m×m}，对应的计数集合为{x₁,x₂,...x_i,...x_m×m}，x_i为单元格c_i中的数据点计数；

步骤2，基于均匀性度量参数，将相似单元格合并到同一个划分，包括以下步骤，

步骤2.1，从数据空间S的m×m个单元格中依次取出一个单元格c_i，计算均匀性度量参数U(S)，

$U\left(S\right)=\underset{c_j\∈S}{\Σ}|x\left(c_i\right)-x\left(c_j\right)|/Num,$

其中，x(c_i)为当前单元格中数据点集计数，x(c_j)为除当前单元格的其他单元格中数据点集计数，|x(c_i)-x(c_j)|不超过相应给定阈值，Num为|x(c_i)-x(c_j)|不超过相应给定阈值的单元格总个数；

步骤2.2，若U(S)小于等于相应给定阈值，则单元格c_i与c_j合并到一个划分，若大于相应给定阈值，则单元格c_i与c_j不合并到一个划分；

若当前单元格c_i没有与任何单元格进行合并，则当前单元格c_i单独作为一个划分；

将合并的单元格从数据空间S中移除；

步骤2.3，返回步骤2.1从数据空间S中依次取出下一个单元格进行处理，直到数据空间S为空，设得到N个划分，最后得到一个数据空间S的划分集合{p₁,p₂,...p_n,...p_N}，n＝1,2,...,N；步骤3，向每个划分中分别添加符合拉普拉斯分布的随机噪声，得到含噪数据集，包括以下步骤，

步骤3.1，计算符合拉普拉斯分布的随机噪声noise～Lap(Δf/ε)，相应位置参数为0，尺度参数为Δf/ε，其中，Δf为全局敏感度；

步骤3.2，从数据空间S的划分集合{p₁,p₂,...p_n,...p_N}中依次取出一个划分p_n，向划分p_n中添加噪声noise(p_n)；

步骤3.3，计算划分p_n中每个单元格噪声的大小，设某单元格c_i为划分p_n中所包含的单元格，相应噪声noise(c_i)＝noise(p_n)/p_n.size()，p_n.size()为划分p_n中所包含的单元格个数；

步骤3.4，返回步骤3.2从数据空间S的划分集合{p₁,p₂,...p_n,...p_N}中依次取出下一个划分进行处理，直到数据空间S的N个划分都取完为止，最后得到一个含噪数据集每个含噪计数对应一个单元格c_i；

步骤4，基于含噪数据集对外提供数据查询结果，包括以下步骤，

步骤4.1，给定一个查询Q，指定左、上、右、下四个边框的坐标值，Q为正方形或矩形；

步骤4.2，从数据空间S的m×m个单元格中依次取出一个单元格c_i，若c_i完全包含于查询Q，则Q得到单元格c_i的噪声计数若c_i不完全包含于查询Q，Q与c_i的交集为I_i，通过I_i的面积与c_i面积的比值乘以噪声计数得到交集I_i中的噪声计数

步骤4.3，返回步骤4.2从数据空间S的m×m个单元格中依次取出下一个单元格进行处理，直到数据空间S的m×m个单元格都取完为止，求得查询Q包含的单元格中噪声计数之和

步骤4.4，为查询Q返回含噪结果

而且，步骤3.1中，全局敏感度Δf＝1。

而且，步骤4.2中，若c_i不完全包含于查询Q，Q与单元格c_i交集I_i的噪声计数area(I_i)为Q与单元格c_i交集I_i的面积，area(c_i)为单元格c_i的面积。

本发明提供一种地理空间数据的用户隐私保护系统，包括以下模块，

数据空间分割模块，用于根据数据域粒度划分模型对数据空间进行分割，包括以下子模块，

数据空间尺寸确定子模块，用于根据数据空间大小得到数据空间的长度L和宽度H；

单元格划分子模块，用于根据以下数据域粒度划分模型，将数据空间划分为m×m个单元格,

其中，k为相对误差与面积的比例系数，ε为隐私预算，

计算横轴上每个单元格长度l，l＝L/m，

计算纵轴上每个单元格长度h，h＝H/m，

根据l和h的值，依次记录每个单元格c_i的左、上、右、下四个边框的坐标值，i＝1,2,...,m×m；

数据点处理子模块，用于从数据集中依次取出一个数据点point(x,y)，如果point(x,y)落于单元格c_i，则c_i增加一个计数，否则不增加；

单元格集合生成子模块，用于命令数据点提取子模块从数据集中依次取出下一个数据点进行处理，直到数据集中所有数据点都取完成为止，最后得到一个数据空间S的单元格集合{c₁,c₂,...c_i,...c_m×m}，对应的计数集合为{x₁,x₂,...x_i,...x_m×m}，x_i为单元格c_i中的数据点计数；划分模块，用于基于均匀性度量参数，将相似单元格合并到同一个划分，包括以下子模块，

均匀性度量参数确定子模块，用于从数据空间分割模块所得数据空间S的m×m个单元格中依次取出一个单元格c_i，计算均匀性度量参数U(S)，

$U\left(S\right)=\underset{c_j\∈S}{\Σ}|x\left(c_i\right)-x\left(c_j\right)|/Num,$

其中，x(c_i)为当前单元格中数据点集计数，x(c_j)为除当前单元格的其他单元格中数据点集计数，|x(c_i)-x(c_j)|不超过相应给定阈值，Num为|x(c_i)-x(c_j)|不超过相应给定阈值的单元格总个数；

单元格合并子模块，用于若U(S)小于等于相应给定阈值，则单元格c_i与c_j合并到一个划分，若大于相应给定阈值，则单元格c_i与c_j不合并到一个划分；

若当前单元格c_i没有与任何单元格进行合并，则当前单元格c_i单独作为一个划分；

将合并的单元格从数据空间S中移除；

划分集合生成子模块，用于命令均匀性度量参数确定子模块从数据空间S中依次取出下一个单元格进行处理，直到数据空间S为空，设得到N个划分，最后得到一个数据空间S的划分集合{p₁,p₂,...p_n,...p_N}，n＝1,2,...,N；

含噪数据添加模块，用于向每个划分中分别添加符合拉普拉斯分布的随机噪声，得到含噪数据集，包括以下子模块，

随机噪声计算子模块，用于计算符合拉普拉斯分布的随机噪声noise～Lap(Δf/ε)，相应位置参数为0，尺度参数为Δf/ε，其中，Δf为全局敏感度；

随机噪声添加子模块，用于从数据空间S的划分集合{p₁,p₂,...p_n,...p_N}中依次取出一个划分p_n，向划分p_n中添加噪声noise(p_n)；

单元格噪声确定子模块，用于计算划分p_n中每个单元格噪声的大小，设某单元格c_i为划分p_n中所包含的单元格，相应噪声noise(c_i)＝noise(p_n)/p_n.size()，p_n.size()为划分p_n中所包含的单元格个数；

含噪数据集生成子模块，用于命令随机噪声添加子模块从数据空间S的划分集合{p₁,p₂,...p_n,...p_N}中依次取出下一个划分进行处理，直到数据空间S的N个划分都取完为止，最后得到一个含噪数据集每个含噪计数对应一个单元格c_i；

查询模块，用于基于含噪数据添加模块所得含噪数据集对外提供数据查询结果，包括以下子模块，

查询输入子模块，用于给定一个查询Q，指定左、上、右、下四个边框的坐标值，Q为正方形或矩形；

噪声计数子模块，用于从数据空间S的m×m个单元格中依次取出一个单元格c_i，若c_i完全包含于查询Q，则Q得到单元格c_i的噪声计数若c_i不完全包含于查询Q，Q与c_i的交集为I_i，通过I_i的面积与c_i面积的比值乘以噪声计数得到交集I_i中的噪声计数

含噪结果统计子模块，用于命令噪声计数子模块从数据空间S的m×m个单元格中依次取出下一个单元格进行处理，直到数据空间S的m×m个单元格都取完为止，求得查询Q包含的单元格中噪声计数之和

结果返回子模块，用于为查询Q返回含噪结果

而且，随机噪声计算子模块中，全局敏感度Δf＝1。

而且，噪声计数子模块中，若c_i不完全包含于查询Q，Q与单元格c_i交集I_i的噪声计数area(I_i)为Q与单元格c_i交集I_i的面积，area(c_i)为单元格c_i的面积。

本发明基于对噪声误差和均匀假设误差的分析，提出了一种新颖的数据域粒度划分模型来平衡两种误差，使得数据查询总误差最小。此模型建立时考虑了查询为矩形的情形，更符合数据查询实际情况。进一步，通过对数据空间中相似单元格进行合并，使得地理空间数据的查询误差更低，在保护用户隐私记录安全的同时，极大增强了数据的可用性。

与现有技术对比有如下的有益效果：

1.从数据域划分粒度出发，而不是仅仅通过树型结构对数据域进行分割以提高数据可用性，使得数据划分粒度更优，数据可用性更高。

2.数据域粒度划分模型建立时，数据查询Q可以是正方形，也可以是矩形，此模型更符合数据查询实际情况，使得划分粒度更准确。

3.相似单元格合并时，不仅仅是相邻单元格之间进行合并，只要均匀性度量参数小于给定阈值，不相邻的单元格也可以合并，降低了添加到每个单元格中的噪声，进一步提高了数据可用性。

附图说明

图1是本发明实施例的数据查询Q的查询示意图。

图2是本发明实施例的相似单元格合并示意图。

具体实施方式

本发明提出了一种面向地理空间数据的用户隐私保护方法，该方法基于噪声误差和均匀假设误差提出了一种更符合数据查询实际情况的数据域粒度划分模型，通过此模型，能够更准确地对数据空间进行分割，提高数据查询精度和数据可用性；本发明还设计了数据空间中相似单元格的合并，进一步提高了数据的可用性。为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施案例，并参照附图，对本发明进一步详细说明。

图1所示为本发明数据查询Q的查询示意图，如图所示，查询Q为虚线框，Q与数据空间中的单元格相交，图中阴影部分为Q包含区域，点阴影部分所属单元格完全包含于Q，斜线阴影部分所属单元格部分包含于Q，查询Q形状可为矩形，在其基础上建立的数据域粒度划分模型更符合数据查询实际情况，数据空间的分割粒度更准确。图2为相似单元格合并示意图，所有相似单元格合并到同一个划分，如所有点阴影单元格合并到划分A，所有斜线阴影单元格合并到划分B，所有斜线网格阴影单元格合并到划分C，所有横竖线网格阴影单元格合并到划分D，等等类似，进一步提高数据查询精度和数据可用性。

本发明提出一种地理空间数据的用户隐私保护方法，具体实施时可采用计算机软件技术实现自动运行流程。实施例流程包括以下步骤：

步骤一、根据数据域粒度划分模型对数据空间进行分割，将整体数据空间划分为一个个独立单元格，执行以下步骤：

1.1根据数据空间大小得到数据空间的长度L和宽度H；

1.2将数据空间划分为m×m个单元格,本发明的数据域粒度划分模型如下，

其中，k为相对误差与面积的比例系数，可通过线性回归分析确定，例如可取值为0.1314，ε为隐私预算，本领域技术人员可自行预设取值，通常取一个较小值，如0.1、0.5或1，计算横轴上每个单元格长度l，l＝L/m，计算纵轴上每个单元格长度h，h＝H/m，根据l和h的值，依次记录每个单元格c_i的左、上、右、下四个边框的坐标值，i＝1,2,...,m×m；

1.3从数据集中依次取出一个数据点point(x,y)，如果point(x,y)落于单元格c_i，即x小于c_i右侧边框横轴坐标值，大于等于c_i左侧边框横轴坐标值，y小于c_i上侧边框纵轴坐标值，大于等于c_i下侧边框纵轴坐标值，则c_i增加一个计数，否则不增加；

1.4返回步骤1.3从数据集中依次取出下一个数据点，重复上述步骤1.3，直到数据集中所有数据点都取完成为止，最后得到一个数据空间S的单元格集合{c₁,c₂,...c_i,...c_m×m}，其对应的计数集合为{x₁,x₂,...x_i,...x_m×m}，x_i为单元格c_i中的数据点计数。

步骤一中数据域划分粒度m值推导如下：

设查询Q长为a，宽为b，查询Q与单元格相交，设图1中斜线阴影部分为I，当I的面积为0时，Q与单元格不相交，即Q的四边与单元格四边重合，此时，Q中单元格完全包含于Q，均匀假设误差为0，当I的面积逐渐增大，此时，Q中周边部分单元格不完全包含于Q，均匀假设误差逐渐增大，有均匀假设误差正比于斜线阴影部分I的面积，比例系数为k，以面积为横坐标，相对误差为纵坐标，相对误差随着面积的变化而变化，对面积和相对误差做线性回归分析，得比例系数k的值，I的面积越大，均匀假设误差越大，取极值情况，当I的面积为查询Q与数据空间S中所有相交单元格的面积时，此时均匀假设误差最大。已知查询Q与数据空间S中所有相交单元格的个数Num＝2am/L+2bm/H，得所有相交单元格的总面积area＝(2am/L+2bm/H)×LH/m²，均匀假设误差nu-error＝k(2am/L+2bm/H)×LH/m²。噪声误差由添加的噪声引入，因为噪声符合拉普拉斯分布，即noise～Lap(1/ε)，得每个单元格中引入的标准差为则查询Q总共引入的标准差，即噪声误差其中，r＝ab/LH为查询Q与数据空间S的面积比值。则总误差 $to-error=nu-error+no-error=k(2am/L+2bm/H)\×LH/m^2+\sqrt{2r}m/\mathrm{\ϵ},$ 均匀假设误差 $nu-error=k(2am/L+2bm/H)\×LH/m^2\≥2k\sqrt{2aH\×2bL/m^2}=2k\sqrt{4HL\×rHL/m^2}=2kHL\sqrt{4r/m^2}$ $=4kHL\sqrt{r}/m,$ 当no-error＝nu-error时，总误差最小，此时，推得最终解得

步骤二、基于均匀性度量参数，将相似单元格合并到同一个划分，执行以下步骤：

2.1从数据空间S的m×m个单元格中依次取出一个单元格c_i，计算均匀性度量参数其中x(c_i)为当前单元格中数据点集计数，x(c_j)为除当前单元格的其他单元格中数据点集计数，即i不等于j，|x(c_i)-x(c_j)|不超过相应给定阈值，具体实施时本领域技术人员可自行预设阈值，如5，则Num为|x(c_i)-x(c_j)|不超过相应给定阈值(5)的单元格总个数；

2.2若U(S)小于等于相应给定阈值，具体实施时本领域技术人员可自行预设阈值，如5，则单元格c_i与c_j合并到一个划分，若大于相应给定阈值，则单元格c_i与c_j不合并到一个划分，若当前单元格c_i没有与任何单元格进行合并，则当前单元格c_i单独作为一个划分；并将合并的的单元格从数据空间S中移除；

2.3返回步骤2.1从数据空间S中依次取出下一个单元格，重复上述步骤2.1、2.2，直到数据空间S为空(原有的m×m个单元格都合并完成)为止，设得到N个划分，最后得到一个数据空间S的划分集合{p₁,p₂,...p_n,...p_N}，n＝1,2,...,N。

步骤三、向每个划分中分别添加符合拉普拉斯分布的随机噪声，得到含噪数据集，执行以下步骤：

3.1计算符合拉普拉斯分布的随机噪声noise～Lap(Δf/ε)，其位置参数为0，尺度参数为Δf/ε，其中，Δf为全局敏感度，取值为1，ε为前述隐私预算；

3.2从数据空间S的划分集合{p₁,p₂,...p_n,...p_N}中依次取出一个划分p_n，向划分p_n中添加噪声noise(p_n)；

3.3计算划分p_n中每个单元格噪声的大小，设某单元格c_i为划分p_n中所包含的单元格，相应噪声noise(c_i)＝noise(p_n)/p_n.size()，p_n.size()为划分p_n中所包含的单元格个数；

3.4返回步骤3.2从数据空间S的划分集合{p₁,p₂,...p_n,...p_N}中依次取出下一个划分，重复上述步骤3.2、3.3，直到数据空间S的N个划分都取完为止，最后得到一个含噪数据集每个含噪计数对应一个单元格c_i。

步骤三中噪声的计算如下：

拉普拉斯机制是差分隐私中最为重要的基础机制，此机制通过为原始数据添加服从Laplace分布的噪声来实现差分隐私，下面本发明先阐明此机制的具体内容。

定义1全局敏感度：对于任意一个函数f:D→R^d，函数f的全局敏感度Δf为：

$\mathrm{\Δ}f=\underset{D,D^{\′}}{max}\left|\right|f\left(D\right)-f\left(D^{\′}\right)|{|}_1$

其中，D和D'为任意两个只相差一个元素的邻近数据集，R为映射的实数空间，d表示维度，||f(D)-f(D')||₁是f(D)和f(D')间的一阶范数距离，记为L₁＝||f(D)-f(D')||₁，通常对于计数操作来说，其全局敏感度为1。

定义2Laplace机制：给定数据集D，设有函数f:D→R^d，其全局敏感度为Δf，若随机算法A(D)＝f(D)+noise提供ε-差分隐私，则noise～Lap(Δf/ε)为向输出结果中添加的随机噪声，服从位置参数为0，尺度参数为Δf/ε的Laplace分布。

根据定义1，本发明中的全局敏感度Δf＝1。

根据定义2，随机噪声符合拉普拉斯分布，noise～Lap(1/ε)，其位置参数μ＝0，尺度参数b＝1/ε，其概率密度函数为f(x)＝(1/2b)exp(-|x|/b)，x为随机变量，逆累积分布函数为F^-1(p)＝μ-bsgn(p-0.5)ln(1-2|p-0.5|)，p为(0,1)区间内均匀分布的随机数，sgn(.)为指出参数正负号的符号函数。

步骤四、基于含噪数据集对外提供数据查询结果，执行以下步骤：

4.1给定一个查询Q，指定其左、上、右、下四个边框的坐标值，Q可以是正方形，也可以是矩形；

4.2从数据空间S的m×m个单元格中依次取出一个单元格c_i，若c_i完全包含于查询Q，则Q得到单元格c_i的噪声计数若c_i不完全包含于查询Q，Q与c_i的交集为I_i，通过I_i的面积与c_i面积的比值乘以含噪计数得到交集I_i中的噪声计数

4.3返回步骤4.2从数据空间S的m×m个单元格中依次取出下一个单元格进行处理，直到数据空间S的m×m个单元格都取完为止，求得查询Q包含的单元格中噪声计数之和即图1中阴影部分所含有的噪声计数之和；

4.4为查询Q返回含噪结果

步骤四中查询Q的返回值计算如下：

查询Q返回的含噪结果为其所包含的每一个单元格中噪声计数之和，给定单元格c_i，若c_i不完全包含于查询Q，即单元格c_i部分包含于Q，Q与单元格c_i交集I_i的噪声计数area(I_i)为Q与单元格c_i交集I_i的面积，area(c_i)为单元格c_i的面积。

因此实施例具体计算如下：

当单元格c_i与Q不相交时，area(I_i)＝0，此时

当单元格c_i完全包含于Q时，area(I_i)＝area(c_i)，此时

当单元格c_i部分包含于Q时，此时具体来说，Q与单元格c_i交集I_i的噪声计数area(I_i)为Q与单元格c_i交集I_i的面积，area(c_i)为单元格c_i的面积。

依次从数据空间S的m×m个单元格中取出一个单元格c_i，计算Q与单元格c_i交集I_i的噪声计数将所有噪声计数(i＝1,2,...,m×m)相加，即为查询Q最后返回的含噪结果

基于实施例所提供流程，以图1为例，整个数据查询过程如下：

1、根据数据域粒度划分模型对数据空间进行分割，将整体数据空间划分为一个个独立单元格

根据数据空间大小得到数据空间的长度L和宽度H，将数据空间划分为m×m个单元格,其中，k为比例系数，通常取值为0.1314，ε为隐私预算，通常取一个较小值，如0.1，如图1所示，m＝8，计算横轴上每个单元格长度l，l＝L/8，计算纵轴上每个单元格长度h，h＝H/8，根据l和h的值，依次记录每个单元格c_i的左、上、右、下四个边框的坐标值。

从数据集中依次取出一个数据点point(x,y)，如果point(x,y)落于单元格c_i，即x小于c_i右侧边框横轴坐标值，大于等于c_i左侧边框横轴坐标值，y小于c_i上侧边框纵轴坐标值，大于等于c_i下侧边框纵轴坐标值，则c_i增加一个计数，否则不增加，重复此操作直到数据集中所有数据点都取完成为止，最后得到一个数据空间S的单元格集合{c₁,c₂,...c_i,...c₆₄}，其对应的计数集合为{x₁,x₂,...x_i,...x₆₄}，x_i为单元格c_i中的数据点计数。

2、基于均匀性度量参数，将相似单元格合并到同一个划分

从数据空间S的64个单元格中依次取出一个单元格c_i，计算均匀性度量参数其中x(c_i)为当前单元格中数据点集计数，x(c_j)为除当前单元格的其他单元格中数据点集计数，即i不等于j，|x(c_i)-x(c_j)|不超过给定阈值，如5，Num为|x(c_i)-x(c_j)|不超过5的单元格总个数，若U(S)小于等于给定阈值，如5，则单元格c_i与c_j合并到一个划分，若大于给定阈值，则单元格c_i与c_j不合并到一个划分，若当前单元格c_i没有与任何单元格进行合并，则当前单元格c_i单独作为一个划分，并将合并到一个划分的单元格从数据空间S的64个单元格中移除，重复此步骤，直到数据空间S的64个单元格都合并完成为止，最后得到一个数据空间S的划分集合{p₁,p₂,...p_i,...p_n}，其中n≤64。

3、向每个划分中分别添加符合拉普拉斯分布的随机噪声，得到含噪数据集

计算符合拉普拉斯分布的随机噪声noise～Lap(Δf/ε)，其中，位置参数为0，尺度参数为1/ε。从数据空间S的N个划分中依次取出一个划分p_n，向其中添加噪声noise(p_n)，计算划分p_n中每个单元格噪声的大小，直到数据空间S的N个划分都添加完噪声为止，最后得到一个含噪数据集每个含噪计数对应一个单元格c_i，总共64个单元格。

4、基于含噪数据集对外提供数据查询结果

给定一个查询Q，指定其左、上、右、下四个边框的坐标值，Q可以是正方形，也可以是矩形，从数据空间S的64个单元格中依次取出一个单元格c_i，若c_i完全包含于查询Q，则Q得到单元格c_i的噪声计数若c_i与查询Q不相交，则Q得到单元格c_i的噪声计数为0，若c_i不完全包含于查询Q，Q与c_i的交集为I_i，则通过I_i的面积与c_i面积的比值乘以噪声计数得到交集I_i中的噪声计数例如，若I_i的面积与c_i面积的比值为0.5，则直到数据空间S的64个单元格都取完为止，将所有噪声计数(i＝1,2,...,64)相加，即为查询Q最后返回的含噪结果

具体实施时，还可以采用模块化方式提供相应系统。本发明提供一种地理空间数据的用户隐私保护系统，包括以下模块：

数据空间分割模块，用于根据数据域粒度划分模型对数据空间进行分割，包括以下子模块，

数据空间尺寸确定子模块，用于根据数据空间大小得到数据空间的长度L和宽度H；

单元格划分子模块，用于根据以下数据域粒度划分模型，将数据空间划分为m×m个单元格,

其中，k为相对误差与面积的比例系数，ε为隐私预算，

计算横轴上每个单元格长度l，l＝L/m，

计算纵轴上每个单元格长度h，h＝H/m，

根据l和h的值，依次记录每个单元格c_i的左、上、右、下四个边框的坐标值，i＝1,2,...,m×m；

数据点处理子模块，用于从数据集中依次取出一个数据点point(x,y)，如果point(x,y)落于单元格c_i，则c_i增加一个计数，否则不增加；

单元格集合生成子模块，用于命令数据点提取子模块从数据集中依次取出下一个数据点进行处理，直到数据集中所有数据点都取完成为止，最后得到一个数据空间S的单元格集合{c₁,c₂,...c_i,...c_m×m}，对应的计数集合为{x₁,x₂,...x_i,...x_m×m}，x_i为单元格c_i中的数据点计数；划分模块，用于基于均匀性度量参数，将相似单元格合并到同一个划分，包括以下子模块，

均匀性度量参数确定子模块，用于从数据空间分割模块所得数据空间S的m×m个单元格中依次取出一个单元格c_i，计算均匀性度量参数U(S)，

$U\left(S\right)=\underset{c_j\∈S}{\Σ}|x\left(c_i\right)-x\left(c_j\right)|/Num,$

其中，x(c_i)为当前单元格中数据点集计数，x(c_j)为除当前单元格的其他单元格中数据点集计数，|x(c_i)-x(c_j)|不超过相应给定阈值，Num为|x(c_i)-x(c_j)|不超过相应给定阈值的单元格总个数；

单元格合并子模块，用于若U(S)小于等于相应给定阈值，则单元格c_i与c_j合并到一个划分，若大于相应给定阈值，则单元格c_i与c_j不合并到一个划分；

若当前单元格c_i没有与任何单元格进行合并，则当前单元格c_i单独作为一个划分；

将合并的单元格从数据空间S中移除；

划分集合生成子模块，用于命令均匀性度量参数确定子模块从数据空间S中依次取出下一个单元格进行处理，直到数据空间S为空，设得到N个划分，最后得到一个数据空间S的划分集合{p₁,p₂,...p_n,...p_N}，n＝1,2,...,N；

含噪数据添加模块，用于向每个划分中分别添加符合拉普拉斯分布的随机噪声，得到含噪数据集，包括以下子模块，

随机噪声计算子模块，用于计算符合拉普拉斯分布的随机噪声noise～Lap(Δf/ε)，相应位置参数为0，尺度参数为Δf/ε，其中，Δf为全局敏感度；

随机噪声添加子模块，用于从数据空间S的划分集合{p₁,p₂,...p_n,...p_N}中依次取出一个划分p_n，向划分p_n中添加噪声noise(p_n)；

单元格噪声确定子模块，用于计算划分p_n中每个单元格噪声的大小，设某单元格c_i为划分p_n中所包含的单元格，相应噪声noise(c_i)＝noise(p_n)/p_n.size()，p_n.size()为划分p_n中所包含的单元格个数；

含噪数据集生成子模块，用于命令随机噪声添加子模块从数据空间S的划分集合{p₁,p₂,...p_n,...p_N}中依次取出下一个划分进行处理，直到数据空间S的N个划分都取完为止，最后得到一个含噪数据集每个含噪计数对应一个单元格c_i；

查询模块，用于基于含噪数据添加模块所得含噪数据集对外提供数据查询结果，包括以下子模块，

查询输入子模块，用于给定一个查询Q，指定左、上、右、下四个边框的坐标值，Q为正方形或矩形；

噪声计数子模块，用于从数据空间S的m×m个单元格中依次取出一个单元格c_i，若c_i完全包含于查询Q，则Q得到单元格c_i的噪声计数若c_i不完全包含于查询Q，Q与c_i的交集为I_i，通过I_i的面积与c_i面积的比值乘以噪声计数得到交集I_i中的噪声计数

含噪结果统计子模块，用于命令噪声计数子模块从数据空间S的m×m个单元格中依次取出下一个单元格进行处理，直到数据空间S的m×m个单元格都取完为止，求得查询Q包含的单元格中噪声计数之和

结果返回子模块，用于为查询Q返回含噪结果

各模块具体实现与步骤相应，本发明不予赘述。

以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围内。

Claims (6)

1.一种地理空间数据的用户隐私保护方法，其特征在于：包括以下步骤，

步骤1，根据数据域粒度划分模型对数据空间进行分割，包括以下步骤，

步骤1.1，根据数据空间大小得到数据空间的长度L和宽度H；

步骤1.2，根据以下数据域粒度划分模型，将数据空间划分为m×m个单元格,

其中，k为相对误差与面积的比例系数，ε为隐私预算，

计算横轴上每个单元格长度l，l＝L/m，

计算纵轴上每个单元格长度h，h＝H/m，

根据l和h的值，依次记录每个单元格c_i的左、上、右、下四个边框的坐标值，i＝1,2,...,m×m；

步骤1.3，从数据集中依次取出一个数据点point(x,y)，如果point(x,y)落于单元格c_i，则c_i增加一个计数，否则不增加；

步骤1.4，返回步骤1.3从数据集中依次取出下一个数据点进行处理，直到数据集中所有数据点都取完成为止，最后得到一个数据空间S的单元格集合{c₁,c₂,...c_i,...c_m×m}，对应的计数集合为{x₁,x₂,...x_i,...x_m×m}，x_i为单元格c_i中的数据点计数；

步骤2，基于均匀性度量参数，将相似单元格合并到同一个划分，包括以下步骤，

步骤2.1，从数据空间S的m×m个单元格中依次取出一个单元格c_i，计算均匀性度量参数U(S)，

其中，x(c_i)为当前单元格中数据点集计数，x(c_j)为除当前单元格的其他单元格中数据点集计数，|x(c_i)-x(c_j)|不超过相应给定阈值，Num为|_x(c_i)-x(c_j)|不超过相应给定阈值的单元格总个数；

步骤2.2，若U(S)小于等于相应给定阈值，则单元格c_i与c_j合并到一个划分，若大于相应给定阈值，则单元格c_i与c_j不合并到一个划分；

若当前单元格c_i没有与任何单元格进行合并，则当前单元格c_i单独作为一个划分；

将合并的单元格从数据空间S中移除；

步骤2.3，返回步骤2.1从数据空间S中依次取出下一个单元格进行处理，直到数据空间S为空，设得到N个划分，最后得到一个数据空间S的划分集合{p₁,p₂,...p_n,...p_N}，n＝1,2,...,N；步骤3，向每个划分中分别添加符合拉普拉斯分布的随机噪声，得到含噪数据集，包括以下步骤，

步骤3.1，计算符合拉普拉斯分布的随机噪声noise～Lap(Δf/ε)，相应位置参数为0，尺度参数为Δf/ε，其中，Δf为全局敏感度；

步骤3.2，从数据空间S的划分集合{p₁,p₂,...p_n,...p_N}中依次取出一个划分p_n，向划分p_n中添加噪声noise(p_n)；

步骤3.3，计算划分p_n中每个单元格噪声的大小，设某单元格c_i为划分p_n中所包含的单元格，相应噪声noise(c_i)＝noise(p_n)/p_n.size()，p_n.size()为划分p_n中所包含的单元格个数；

步骤3.4，返回步骤3.2从数据空间S的划分集合{p₁,p₂,...p_n,...p_N}中依次取出下一个划分进行处理，直到数据空间S的N个划分都取完为止，最后得到一个含噪数据集每个含噪计数对应一个单元格c_i；

步骤4，基于含噪数据集对外提供数据查询结果，包括以下步骤，

步骤4.1，给定一个查询Q，指定左、上、右、下四个边框的坐标值，Q为正方形或矩形；

步骤4.2，从数据空间S的m×m个单元格中依次取出一个单元格c_i，若c_i完全包含于查询Q，则Q得到单元格c_i的噪声计数若c_i不完全包含于查询Q，Q与c_i的交集为I_i，通过I_i的面积与c_i面积的比值乘以噪声计数得到交集I_i中的噪声计数

步骤4.3，返回步骤4.2从数据空间S的m×m个单元格中依次取出下一个单元格进行处理，直到数据空间S的m×m个单元格都取完为止，求得查询Q包含的单元格中噪声计数之和

步骤4.4，为查询Q返回含噪结果

2.根据权利要求1所述的地理空间数据的用户隐私保护方法，其特征在于：步骤3.1中，全局敏感度Δf＝1。

3.根据权利要求1或2所述的地理空间数据的用户隐私保护方法，其特征在于：步骤4.2中，若c_i不完全包含于查询Q，Q与单元格c_i交集I_i的噪声计数为Q与单元格c_i交集I_i的面积，area(c_i)为单元格c_i的面积。

4.一种地理空间数据的用户隐私保护系统，其特征在于：包括以下模块，

数据空间分割模块，用于根据数据域粒度划分模型对数据空间进行分割，包括以下子模块，

数据空间尺寸确定子模块，用于根据数据空间大小得到数据空间的长度L和宽度H；

单元格划分子模块，用于根据以下数据域粒度划分模型，将数据空间划分为m×m个单元格,

其中，k为相对误差与面积的比例系数，ε为隐私预算，

计算横轴上每个单元格长度l，l＝L/m，

计算纵轴上每个单元格长度h，h＝H/m，

根据l和h的值，依次记录每个单元格c_i的左、上、右、下四个边框的坐标值，i＝1,2,...,m×m；

数据点处理子模块，用于从数据集中依次取出一个数据点point(x,y)，如果point(x,y)落于单元格c_i，则c_i增加一个计数，否则不增加；

单元格集合生成子模块，用于命令数据点提取子模块从数据集中依次取出下一个数据点进行处理，直到数据集中所有数据点都取完成为止，最后得到一个数据空间S的单元格集合{c₁,c₂,...c_i,...c_m×m}，对应的计数集合为{x₁,x₂,...x_i,...x_m×m}，x_i为单元格c_i中的数据点计数；划分模块，用于基于均匀性度量参数，将相似单元格合并到同一个划分，包括以下子模块，

均匀性度量参数确定子模块，用于从数据空间分割模块所得数据空间S的m×m个单元格中依次取出一个单元格c_i，计算均匀性度量参数U(S)，

其中，x(c_i)为当前单元格中数据点集计数，x(c_j)为除当前单元格的其他单元格中数据点集计数，|x(c_i)-x(c_j)|不超过相应给定阈值，Num为|x(c_i)-x(c_j)^|不超过相应给定阈值的单元格总个数；

单元格合并子模块，用于若U(S)小于等于相应给定阈值，则单元格c_i与c_j合并到一个划分，若大于相应给定阈值，则单元格c_i与c_j不合并到一个划分；

若当前单元格c_i没有与任何单元格进行合并，则当前单元格c_i单独作为一个划分；

将合并的单元格从数据空间S中移除；

划分集合生成子模块，用于命令均匀性度量参数确定子模块从数据空间S中依次取出下一个单元格进行处理，直到数据空间S为空，设得到N个划分，最后得到一个数据空间S的划分集合{p₁,p₂,...p_n,...p_N}，n＝1,2,...,N；

含噪数据添加模块，用于向每个划分中分别添加符合拉普拉斯分布的随机噪声，得到含噪数据集，包括以下子模块，

随机噪声计算子模块，用于计算符合拉普拉斯分布的随机噪声noise～Lap(Δf/ε)，相应位置参数为0，尺度参数为Δf/ε，其中，Δf为全局敏感度；

随机噪声添加子模块，用于从数据空间S的划分集合{p₁,p₂,...p_n,...p_N}中依次取出一个划分p_n，向划分p_n中添加噪声noise(p_n)；

单元格噪声确定子模块，用于计算划分p_n中每个单元格噪声的大小，设某单元格c_i为划分p_n中所包含的单元格，相应噪声noise(c_i)＝noise(p_n)/p_n.size()，p_n.size()为划分p_n中所包含的单元格个数；

含噪数据集生成子模块，用于命令随机噪声添加子模块从数据空间S的划分集合{p₁,p₂,...p_n,...p_N}中依次取出下一个划分进行处理，直到数据空间S的N个划分都取完为止，最后得到一个含噪数据集每个含噪计数对应一个单元格c_i；

查询模块，用于基于含噪数据添加模块所得含噪数据集对外提供数据查询结果，包括以下子模块，

查询输入子模块，用于给定一个查询Q，指定左、上、右、下四个边框的坐标值，Q为正方形或矩形；

噪声计数子模块，用于从数据空间S的m×m个单元格中依次取出一个单元格c_i，若c_i完全包含于查询Q，则Q得到单元格c_i的噪声计数若c_i不完全包含于查询Q，Q与c_i的交集为I_i，通过I_i的面积与c_i面积的比值乘以噪声计数得到交集I_i中的噪声计数

含噪结果统计子模块，用于命令噪声计数子模块从数据空间S的m×m个单元格中依次取出下一个单元格进行处理，直到数据空间S的m×m个单元格都取完为止，求得查询Q包含的单元格中噪声计数之和

结果返回子模块，用于为查询Q返回含噪结果

5.根据权利要求4所述的地理空间数据的用户隐私保护系统，其特征在于：随机噪声计算子模块中，全局敏感度Δf＝1。

6.根据权利要求4或5所述的地理空间数据的用户隐私保护系统，其特征在于：噪声计数子模块中，若c_i不完全包含于查询Q，Q与单元格c_i交集I_i的噪声计数area(I_i)为Q与单元格c_i交集I_i的面积，area(c_i)为单元格c_i的面积。