CN105912616B

CN105912616B - 一种增强的基于轨迹重构的隐私保护方法

Info

Publication number: CN105912616B
Application number: CN201610212638.0A
Authority: CN
Inventors: 邵杰; 代燕; 申恒涛; 张东祥
Original assignee: University of Electronic Science and Technology of China
Current assignee: University of Electronic Science and Technology of China
Priority date: 2016-04-07
Filing date: 2016-04-07
Publication date: 2019-03-26
Anticipated expiration: 2036-04-07
Also published as: CN105912616A

Abstract

本发明公开了一种增强的基于轨迹重构的隐私保护方法。本发明首先标记原始轨迹中的停留点，其包括停留时间较长和一定时间内频繁访问的采样位置。然后为各停留点匹配用户兴趣点，基于对应兴趣点替换停留点的方式，分别替换各停留点得到重构用户轨迹。在替换时，若兴趣点在原始轨迹上，则直接替换；否则在靠近当前停留点的两段原始轨迹片段上查找分别到停留点和兴趣点的距离差最小的移动点，然后基于其重构该移动点到兴趣点之间的移动点，得到重构轨迹片段，并判断重构轨迹片段是否穿越障碍物区域，若是，则需要重新匹配用户兴趣点，直到重构轨迹片段不穿越障碍物区域。本发明能尽可能保护用户轨迹不受恶意攻击者的推测攻击，且保证轨迹数据可用性。

Description

一种增强的基于轨迹重构的隐私保护方法

技术领域

本发明在障碍物广泛存在的空间环境中，提供一种高效的用户自定义轨迹隐私保护方法。该方法基于轨迹重构在保证轨迹隐私保护的前提下，可以获得较高的轨迹数据可用性。

背景技术

从2003年起，研究者们对位置数据隐私保护技术展开了研究，并获得了丰富的研究成果。比如，利用各类改进后的k-匿名算法、空间匿位算法以及数据加密技术进行位置数据隐私保护。然而，近年来研究者们发现发布的用户轨迹包含更多的用户敏感信息，仅仅保护移动对象的实时位置是不够的：一方面，保护了移动用户位置隐私并不能保证用户的轨迹隐私不泄露；另一方面，如果将用户位置的隐私保护策略直接应用到数据发布中的轨迹隐私保护上效果并不理想，比如，在位置匿位技术中，攻击者可以将连续发出的用户查询匿名框连接起来得到移动用户大致的运行路线。因此，用户轨迹数据隐私保护成为用户密切关注以及研究者们亟待解决的问题。

当前，用户轨迹隐私保护技术大致分为以下四类：

第一类，假轨迹隐私保护策略。将假的轨迹和用户原始轨迹一起发布达到干扰原始数据的目的，但同时也要保证假轨迹上的某些统计属性不能与原始轨迹偏离太大，因为严重的失真会导致攻击者很容易判断出移动用户的真实运行轨迹。该方法简单，计算量小，但实用性不大。原因有三：(1)在前面的假设中，尽管保证了重构后的用户真实轨迹尽可能不失真，但假轨迹很有可能会穿越空间环境内的障碍物，这样的假轨迹很容易被攻击者判断和排除；(2)假轨迹数据所需的储存开销大；(3)由于发布后的假轨迹数据的可用性较差，可能对开发位置服务应用的第三方造成的干扰较大，导致服务应用的质量严重降低。

第二类，匿位轨迹隐私保护策略。将轨迹上的所有采样位置都泛化为对应的匿位区域，然后发布最终的匿位轨迹以达到隐私保护的目的。这是目前最为广泛采用的轨迹隐私保护策略。该方法可以保证轨迹数据都是真实的，同时在隐私保护度和数据可用性上取得了较好的平衡。但是，对所有轨迹上的采样位置进行匿位处理会造成大量的计算开销，同时恶意攻击者通过连接不同时刻的匿位区域也能很容易地得到移动用户大致的移动路线。

第三类，选择性发布的轨迹隐私保护策略。根据具体的情况有条件地选择性发布轨迹数据，即不发布轨迹上某些敏感程度高或者频繁访问的采样位置以达到隐私保护的目的。该方法限制了发布轨迹上某些敏感的位置信息，算法实现简单，但是会导致轨迹数据的信息大量丢失，严重降低了轨迹数据的可用性，所以该算法的实用性和价值性不大。

第四类，差分隐私模型。其主要思想是在用户轨迹数据集中加入噪声数据使得攻击者无法分辨特定的用户轨迹记录是否在该数据集中。最早也是最广泛应用的差分隐私噪声就是拉普拉斯噪音。虽然该方法与用户背景无关，能有效的保护用户的轨迹隐私，但也有很多不足之处。轨迹数据发布的多样性会造成加入的拉普拉斯噪音也具有多样性，而加入大量噪音会严重影响发布轨迹的数据可用性。

发明内容

本发明的发明目的在于：针对上述存在的问题，提供一种基于轨迹重构的隐私保护方法，该方法旨在避免恶意攻击者通过发现和分析用户轨迹上用户的敏感位置或频繁访问的位置对用户的轨迹数据进行推测攻击。

本发明的一种增强的基于轨迹重构的隐私保护方法，包括下列步骤：

采集移动对象的原始轨迹序列、空间环境中障碍物的位置分布信息以及用户兴趣点的位置分布信息，其中与用户轨迹对应的原始轨迹序列是指某个移动对象的位置信息按着采样时间排序的序列。通常情况下，用T＝{q_i,(x₁,y₁,t₁),(x₂,y₂,t₂),…,(x_n,y_n,t_n)}表示某个移动对象的原始轨迹序列，其中，q_i为T的标识符，通常代表移动对象、个体或者某种服务的用户。(x_i,y_i,t_i)(1≤i≤n)表示轨迹上的一个离散位置点，代表移动对象在t_i时刻的位置为(x_i,y_i)，也称为采样位置或者采样点，t_i则被称为采样时间，n为对用户轨迹的总采样点个数。

标记原始轨迹序列中的停留点和移动点：

本发明中，用户轨迹上的停留点即指用户停留时间较长的位置和用户一定时间内频繁访问的位置。所以针对不同类型的停留点，采用不同的选取标记方式。

首先针对用户停留时间较长的位置，对于原始轨迹序列T上的每个采样位置，为了简化描述，将原始轨迹序列T中的每个采样位置(x_i,y_i)用l_i表示，下标为采样位置标识符，即1≤i≤n，与采样位置l_i对应的采样时间为时刻t_i，若|t_i+1-t_i|≥th1，则将当前采样位置l_i标记为第一轨迹停留点；

然后针对用户一定时间内频繁访问的位置，依次选取原始轨迹序列上的非第一轨迹停留点的采样位置，得到第二轨迹序列，再在第二轨迹序列中标记第二轨迹停留点：查找与当前采样位置l_j(采样时间为时刻t_j，其中j∈[1,n])的距离大于或等于距离阈值th2的第一个采样位置l_k(采样时间为时刻t_k，其中k∈[1,n])，并判断是否|t_k-t_j|≥th3，若是，则将当前采样位置l_j标记为第二轨迹停留点，并从采样位置l_k开始继续在第二轨迹序列中标记第二轨迹停留点；否则，从当前采样位置l_j的后一相邻采样位置l_j+1开始继续在第二轨迹序列中标记第二轨迹停留点。

因为采样位置l_n没有后相邻采样位置可比对，则可直接将原始轨迹序列T的最后一个采样位置l_n标记为第一轨迹停留点或第二轨迹停留点。

时间阈值th1、th3，距离阈值th2均为用户预设值，且优选的，时间阈值th1、th3的取值相同。

第一轨迹停留点和第二轨迹停留点构成原始轨迹序列中的停留点，同时将原始轨迹序列中除停留点以外的采样位置标记为移动点；

依次为各停留点匹配用户兴趣点后重构用户轨迹：

对原始轨迹序列的第一个停留点和最后一个停留点，则直接用所匹配的用户兴趣点替换停留点；

判断当前停留点O的匹配用户兴趣点O′是否在原始轨迹序列所确定的原始轨迹上，若是，则直接用点O′替换当前停留点O；否则基于点O′对经过点O的轨迹片段A→O→B进行轨迹片段重构，并判断重构后的轨迹片段是否穿越障碍物区域，若是，则重新为当前停留点O匹配用户兴趣点后再对轨迹片段A→O→B进行轨迹片段重构，其中点A表示点O和上一停留点确定的轨迹片段的中点，点B表示点O和下一停留点确定的轨迹片段的中点；

对轨迹片段A→O→B的重构过程如下：

在点A和点O所确定的轨迹片段上查找移动点C，其中移动点C分别到点O和点O′的距离的差值最小；并在移动点C与点O′之间均匀构造出与点C与点O所确定的轨迹片段上数目一致的移动点，得到重构轨迹片段C→O′，并用轨迹片段C→O′替换点C与点O确定的轨迹片段C→O；在点B和点O所确定的轨迹片段上查找移动点D，其中移动点D分别到点O和点O′的距离的差值最小；并在移动点D与点O′之间均匀构造出与点D与点O所确定的轨迹片段上数目一致的移动点，得到重构轨迹片段O′→D，并用轨迹片段O′→D替换点O与点D确定的轨迹片段O→D。即对于用户兴趣点O′不在原始轨迹的上的当前停留点O，将原轨迹片段A→O→B用轨迹片段A→C→O′→D→B替换，其中

当前，为已标记的停留点匹配对应的用户兴趣点的方式有以下两大类：

第一，在整条轨迹(原始轨迹序列T)所确定的空间范围内查找匹配，即在当前确定的空间范围内搜索出所有用户兴趣点，然后选取敏感程度低的用户兴趣点(敏感程度属性值最小的用户兴趣点，用户兴趣点的敏感程度属性值可由用户进行预设)来替代相应的停留点。但是，上述方式的计算开销大，而且获取过多的用户兴趣点也会增加选取合适的用户兴趣点的难度。

第二，利用轨迹上标记的停留点将用户轨迹划分为不同的多个轨迹片段，每个轨迹片段包括两个相邻的停留点，然后迭代地在每个轨迹片段上或该轨迹片段所确定的空间范围内搜索合适的用户兴趣点来替代相应的停留点，直到完成整条用户轨迹的重构。该搜索方式可以比较容易地匹配出合适的用户兴趣点(当前确定的空间范围内敏感程度属性值最小的用户兴趣点)，计算量小，操作简单。但是如果轨迹上两个相邻停留点之间的轨迹片段过长也容易导致计算开销增大，而且较长的轨迹片段可能导致匹配到的用户兴趣点数目大量增加从而增加选取的难度。

本发明中，在为已标记的各停留点匹配用户兴趣点时，既可以采用现有方式，也可以是下述本发明所提的匹配方式：

从已标记的每个停留点的角度出发，迭代地在每个停留点所确定的某段轨迹片段上或者一定空间范围内匹配合适的用户兴趣点，即基于初始查找半径，根据预设增加步长Δ迭代扩张查找半径直到匹配到敏感程度合适的用户兴趣点，且最大查找半径不得超过当前停留点O与下一停留点的距离。

首先基于预设的初始查找半径R，在圆心为停留点O，半径为R的圆内查找敏感程度属性值最低的用户兴趣点，作为当前匹配结果，得到与点O匹配的用户兴趣点O′。但是当经过用户兴趣点O′的重构轨迹片段A→C→O′→D→B穿越障碍物区域时，则需要重新匹配，此时需要进行一次查找半径调整，将当前查找半径增加一个步长Δ，然后在圆心为点O，半径为当前查找半径的圆内查找敏感程度属性值最低的用户兴趣点，且该用户兴趣点不等于与已匹配过的用户兴趣点。在进行第二次及其后续的用户兴趣点匹配时，直接将已匹配的用户兴趣点剔除，在圆心为停留点O、半径为当前查找半径的圆内查找敏感程度属性值最低的用户兴趣点。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

(1)重构后的用户轨迹可以支持多种与用户相关的应用。现有的大多数空间查询工作往往基于理想的欧式空间和路网空间。实际上，地面、室内设置虚拟空间内移动物体一般都会受到地理条件的限制，因此本发明充分考虑障碍物因素的影响。在匹配用户兴趣点时，还涉及判断重构后的轨迹片段是否穿越障碍物区域，若是则重新匹配直到重构出较为精确合理的用户轨迹。

(2)在匹配用户兴趣点时，本发明依次从用户轨迹上敏感的停留位置(所标记的停留点)出发，选取偏离程度尽可能小同时敏感程度低的用户兴趣点进行对应的替换。使得本发明在保证隐私保护度的情况下达到了很高的轨迹数据可用性，同时障碍物对本发明的影响要小于障碍物对从轨迹片段出发的搜索方式的影响。

(3)重构轨迹片段的位置突变会使得攻击者很容易发现用户轨迹上某些特殊的位置。所以，本发明在轨迹片段重构过程中不是单纯地用匹配的用户兴趣点位置直接替换掉原始轨迹序列中的停留点位置，对于不在轨迹片段上的用户兴趣点的情况，则同时选取合适的一些移动点进行对应的替换，从而使得重构的用户轨迹的合理度更高。

附图说明

图1是具体实施方式的流程图。

图2是关于轨迹片段A→O→B重构示意。

图3是隐私保护度的实验结果分析图

图4是数据可用性的实验结果分析图

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合实施方式和附图，对本发明作进一步地详细描述。

参见图1，本发明通过保护用户轨迹上的停留点信息进而保护整条用户轨迹。首先从位置服务(LBS)提供商采集移动对象的原始轨迹序列T＝{q_i,(x₁,y₁,t₁),(x₂,y₂,t₂),…,(x_n,y_n,t_n)}、空间环境中障碍物的位置分布信息以及用户兴趣点的位置分布信息，其中原始轨迹序列包括移动对象的采样位置和采样时间。允许用户自定义用户轨迹上的各采样位置以及用户兴趣点的敏感属性值。

然后将原始轨迹序列中的采样位置标记为停留点和移动点，其中停留点包括用户停留时间较长的采样位置和用户一定时间内频繁访问的采样位置。

基于输入的用户兴趣点的位置分布信息，依次为各停留点匹配用户兴趣点：用stop_i(1≤i≤n)表示当前待匹配的停留点，在圆心为stop_i，预设的查找半径初始值为半径的圆内查找r_p最小的用户兴趣点poi_i作为匹配结果并输出，同时将用户兴趣点poi_i放入记录已匹配结果的集合M中。

基于停留点stop_i的匹配用户兴趣点poi_i，重构轨迹片段。参见图2，将停留点stop_i用点O表示，对应的匹配用户兴趣点poi_i用点O′表示(点O′不在原始用户轨迹上)，点O的上一停留点为stop_i-1，下一停留点为stop_i+1，将点O和stop_i-1之间的中点用点A表示，点O和stop_i+1之间的中点用点B表示，在点A和点O之间的轨迹片段上查找移动点C，其中点C分别到点O、O′的距离的差值最小；同理，在点B和点O之间的轨迹片段上查找移动点D，其中点D分别到点O、O′的距离的差值最小；然后在点C和点O′之间的轨迹片段上均匀构建2个移动点(与点C和点O之间的轨迹片段上的移动点个数相同)，同理在点D和点O′之间的轨迹片段上均匀构建2个移动点，从而得到轨迹片段A→O→B的重构轨迹片段A→C→O′→D→B。

基于所输入的障碍物的位置分布信息，判断轨迹片段A→C→O′→D→B是否穿越障碍物区域，若是，则调整查找半径后重新为停留点stop_i匹配用户兴趣点，即增大查找半径，从查找范围内待查找对象中剔除集合M所包含的成员后，查找r_p最小的用户兴趣点作为当前匹配结果并输出，同时将当前匹配结果放入集合M中。

再基于当前重新匹配的用户兴趣点，构建轨迹片段A→O→B的重构轨迹片段，直到重构轨迹片段不穿越障碍物位置。

最后，基于各重构轨迹片段、以及直接用匹配用户兴趣点替换停留点得到重构的用户轨迹并输出。

在进行用户轨迹发布时，若涉及到发布采样时间，则对替换后的各移动点和停留点(用户兴趣点替换)所对应的采样时间进行微调整，以使得发布的用户轨迹的各离散位置的时间信息比较合理，例如基于相邻两个停留点的采样时间差和移动距离所估计的平均速度，根据替换后各位置距离上一个停留点的移动距离来设置对应采样时间。

针对用户轨迹数据发布应用中的轨迹隐私保护，由于发布后的轨迹数据会被第三方(商业决策者、政府机构等)用以分析和使用，所以轨迹隐私保护技术要在保护轨迹隐私的同时保证较高的数据可用性。因此，轨迹隐私保护技术的度量标准分为隐私保护度和轨迹数据可用性两个方面。

(1)轨迹隐私保护度

本发明在考虑障碍物分布的情况下，迭代地用低敏感程度的用户兴趣点替换原始轨迹序列中的各停留点。首先由用户自己给停留点和用户兴趣点标记一个敏感属性值r_p，其中r_p的取值在0到1的范围内。r_p的值越高代表用户定义该位置的敏感程度更高。某位置的敏感属性值可以由用户自身的隐私要求设置或者下层应用决定。实际上，不仅停留点和用户兴趣点的地理位置属性能决定该位置的敏感属性，同时移动用户在该采样位置的停留时间也在确定敏感属性值中发挥着不可替代的作用。r_p是移动用户自己指定的该采样位置的最小敏感属性值，它能随着用户在该位置停留或访问的持续时间增大。换言之，移动对象在一个停留点停留时间越长，该位置的敏感程度越高。假设用户设定停留点的初始敏感属性值为r_p，在该采样位置停留或访问持续时间为d_s，整条用户轨迹的持续时间为d_t，停留点的敏感属性值可用如下公式计算：

其中，r_s的取值是r_p到1的范围。若r_s＝1，则表示整条用户轨迹就是相当于一个停留点。显然，如果用户轨迹的敏感程度越高，则其隐私保护需求程度也就越高。通过用敏感程度低的用户兴趣点与对应的停留采样点交换，降低了用户轨迹数据的敏感程度来实现隐私保护要求。所以，可以用原始轨迹敏感程度与重构后轨迹的敏感程度的差值来刻画轨迹隐私保护度privacyGain：

公式(2)中，k是用户轨迹上停留点的数目，而r_si和分别是原始轨迹序列上的停留点的敏感属性值和替换该停留位置的用户兴趣点的敏感属性值，获得的轨迹隐私保护度privacyGain也就是轨迹上所有停留点降低的敏感属性平均值。如果privacyGain＝0就意味着没有达到轨迹隐私保护的要求；而privacyGain的值越高，就意味着获得的轨迹隐私保护程度越高，那么发布后轨迹的敏感程度就越低，也就是用户轨迹重构处理方式的性能越好。

(2)轨迹数据可用性

发布后的轨迹数据要供可信任的机制进行支持与移动用户相关的各种应用。因此，如果轨迹数据可用性越高，轨迹数据的质量越好，那么相关应用的服务质量也会越好。一般采用信息丢失率(又称为信息扭曲度)来衡量数据质量的好坏。通过评估重构后的用户轨迹与用户原始轨迹的曲线相似度来刻画轨迹数据的可用性，即重构轨迹与原始轨迹偏离程度越小，数据可用性越高。那么在相同的隐私保护度下，移动对象获得的服务质量就越高，则隐私保护技术越成熟。在本发明中，除了替换停留点，同时也会合理地替换一些轨迹移动点，这样可以有效地避免替换后的轨迹上位置的突变所造成的推测攻击。所以在计算曲线相似度时，本发明不仅仅只考虑被替换的轨迹停留点的位置变化，而是考虑轨迹上所有的位置发生移动的采样点。用同一时刻下两条轨迹中所有位置发生改变的采样点的欧式距离平均值，来刻画两条曲线的相似度。首先，假设原始用户轨迹为ξ，重构后的用户轨迹为ξ^*，那么两条轨迹曲线相似度Distortion(ξ,ξ^*)表示如下：

公式(3)中，k是轨迹上的所有经过重构后位置发生改变的采样点的数目，和分别是在时刻t_i对应的原用户轨迹上的采样位置l_i＝(x_i,y_i)和重构后的用户轨迹的采样位置表示两个采样位置之间的欧式距离，计算公式如下：

如果所有发生位置改变的采样位置之间的欧式距离平均值越小，两轨迹的偏离程度越小，也就意味着重构后的用户轨迹与真实用户轨迹的相似度越高，轨迹数据可用性越高，那么移动对象获得的服务质量就将会越高。通过如下公式定义轨迹数据可用性utility：

其中，Distortion_max是指在计算两条轨迹相似度过程中对应采样位置偏离程度的最大值。在评估轨迹数据可用性时，本文给出最佳轨迹数据可用性和最差轨迹数据可用性的概念。在保证用户轨迹隐私保护的情况下，最佳的轨迹数据可用性，即utility＝1，是指重构后的用户轨迹与原用户轨迹完全吻合，轨迹数据可用性达100％；最差的轨迹数据可用性，即utility＝0，是指重构后轨迹上的采样点都尽可能偏离原始用户轨迹，即达到允许轨迹数据信息丢失最大的情况。

实施例

采用微软亚洲研究所提供的GeoLife GPS轨迹数据集，这个GPS轨迹数据集收集项目中包含182个移动用户，为期三年(从2007年4月至2012年8月)，地理范围在北京市以及周边。此GPS轨迹数据集是由一连串带有时间戳的序列点组成，每个位置点由包含的纬度、经度和时刻信息表示。此数据集包含17621条轨迹，总长达约120万公里，总工期达约48000+小时。上述用户轨迹采用不同的GPS记录器和GPS手机记录，所以拥有各种各样的采样率。91％的轨迹记录采用密集的表示形式，如每1～5秒或每5～10米进行一次位置采样。此数据集涵盖移动对象各种各样的户外运动，其中包括一些生活例程，比如回家、工作等，同时也包括一些娱乐和体育的活动，如购物、观光、餐饮、徒步旅行、骑自行车等。

图3对比了基于本发明的轨迹停留点(point-based)和基于现有的轨迹片段(segment-based，相邻两个停留点所确定的轨迹片段)两种不同的确定各停留点的匹配用户兴趣点的查找方式，图3的[a]～[f]反映了在不同的障碍物(obstacles)数目分布下，不同的用户兴趣点数目(POI number)对隐私保护度(为了简化描述，图中用privacy表示轨迹隐私保护度)的影响。从实验结果来看，不管障碍物或者用户兴趣点的数目是多少，两种方式能达到相近的隐私保护程度。原因是，这两种方法中，选择具有最小敏感属性值的POI点替换标记的停留点。因此，轨迹隐私保护度大部分取决于用户兴趣点的分布，而与用户兴趣点的选取方式关联不大。

此外，从图3可知，轨迹隐私保护度会随着用户兴趣点数目的增加而上升。这是合理的，因为更多的用户兴趣点会导致寻找到敏感属性值低的用户兴趣点的概率较大。

从另一个角度看，如果对比轨迹隐私保护度与障碍物数目变化的关系可以发现，障碍物数目的变化与轨迹隐私保护度的变化是很小的。因此，本发明中引入的障碍物不会导致所达到的隐私保护程度的极大减少，证明了本发明的实用性。

图4的[a]～[f]反映了不同的障碍物数目分布下，不同的用户兴趣点数目对轨迹数据可用性的影响。不同于隐私保护度的结果，本发明的point-based和现有的segment-based方法所获得的轨迹数据可用性差别较大，特别是当障碍的数目较小时，本发明的point-based方法比现有的segment-based方法能获得更高的数据可用性。原因是，在segment-based中，用选定的POI点替换第一个对应的停留点，若当前的轨迹片段很长或者选定的POI点在轨迹片段中的下一停留点附近，则segment-base方法导致原始用户轨迹和重构后的用户轨迹之间存在很大偏差。不过，如图4所示，这种情况会随着障碍数目的增加而逐渐消失。原因是，远离对应停留点的POI点重构出的轨迹片段极有可能穿越空间内存在的障碍物区域，所以重新匹配的用户兴趣点会更接近对应停留点，进而减小两条轨迹之间的偏差。因此，随着障碍物数目的增加，重新选取兴趣点的可能性增大，估计数据的可用性也将增大。此外，从实验结果可以看到，数据可用性会随着用户兴趣点数目增加而增大。因为如果用户兴趣点的数量很大，在一个较小的区域范围获取合适的POI点的可能性非常高，因此轨迹之间的偏差就会比较小。

上述结果显示，在基于障碍物的空间内，本发明提出的从轨迹停留点出发的隐私保护技术与现有的从轨迹片段出发的隐私保护技术相比较：首先，两者能达到的隐私保护程度都比较高；但本发明的轨迹数据可用性远远高于现有的从轨迹片段出发的隐私保护技术，本发明的数据可用性甚至可以达到utility＝0.96；再者，空间障碍物对本发明的隐私保护技术的影响较小。所以，本发明提出的从轨迹停留点出发的隐私保护技术，既能很好地保护重构后的用户轨迹尽可能不受恶意攻击者的推测攻击，也能保证发布后的轨迹数据具有很高的可用性，进而保证轨迹数据支持的位置服务应用拥有较高的服务质量。

以上所述，仅为本发明的具体实施方式，本说明书中所公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换；所公开的所有特征、或所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以任何方式组合。

Claims

1.一种增强的基于轨迹重构的隐私保护方法，其特征在于，包括下列步骤：

采集移动对象的原始轨迹序列、空间环境中障碍物的位置分布信息以及用户兴趣点的位置分布信息，其中原始轨迹序列包括移动对象的采样位置和采样时间；

标记原始轨迹序列中的停留点和移动点：

依次判断原始轨迹序列的每个采样位置，若当前采样位置与相邻采样位置的采样时间差大于或等于时间阈值th₁，则将当前采样位置标记为第一轨迹停留点；

依次选取原始轨迹序列上的非第一轨迹停留点的采样位置，得到第二轨迹序列，在第二轨迹序列中标记第二轨迹停留点：查找与当前采样位置l_j的距离大于或等于距离阈值th₂的第一个采样位置l_k，若采样位置l_k与当前采样位置l_j之间的采样时间差大于或等于时间阈值th₃，则将当前采样位置l_j标记为第二轨迹停留点，并从采样位置l_k开始继续在第二轨迹序列中标记第二轨迹停留点；否则，从当前采样位置l_j的后一相邻采样位置l_j+1开始继续在第二轨迹序列中标记第二轨迹停留点；

第一轨迹停留点和第二轨迹停留点构成原始轨迹序列中的停留点，并将原始轨迹序列中除停留点以外的采样位置标记为移动点；

依次为各停留点匹配用户兴趣点后重构用户轨迹：

对轨迹片段A→O→B的重构过程如下：

在点A和点O所确定的轨迹片段上查找移动点C，其中移动点C分别到点O和点O′的距离的差值最小；并在移动点C与点O′之间均匀构造出与点C与点O所确定的轨迹片段上数目一致的移动点，得到重构轨迹片段C→O′，并用轨迹片段C→O′替换点C与点O所确定的轨迹片段C→O；

在点B和点O所确定的轨迹片段上查找移动点D，其中移动点D分别到点O和点O′的距离的差值最小；并在移动点D与点O′之间均匀构造出与点D与点O所确定的轨迹片段上数目一致的移动点，得到重构轨迹片段O′→D，并用轨迹片段O′→D替换点O与点D所确定的轨迹片段O→D。

2.如权利要求1所述的方法，其特征在于，为当前停留点匹配用户兴趣点的过程为：以当前停留点O为圆心，在当前查找半径所确定的圆内查找敏感属性值最低的用户兴趣点作为当前停留点O的匹配用户兴趣点，其中用户兴趣点的敏感属性值为用户预设值，取值在0到1的范围内；

查找半径的初始值为预设值，当基于匹配用户兴趣点对经过当前停留点O的轨迹片段A→O→B进行轨迹片段重构时，若重构后的轨迹片段穿越障碍物区域，则基于预设增加步长，迭代增加查找半径后继续查找敏感属性值最低的用户兴趣点作为当前停留点O的匹配用户兴趣点，其中当前匹配用户兴趣点与当前停留点O已匹配的用户兴趣点不重叠，且最大查找半径不得超过当前停留点O与下一停留点的距离。

3.如权利要求1或2所述的方法，其特征在于，时间阈值th1与th3的取值相同。