CN112035880B - 一种基于偏好感知的轨迹隐私保护服务推荐方法 - Google Patents

Abstract

本发明公开了一种基于偏好感知的轨迹隐私保护服务推荐方法，包括：步骤1、对待查询用户的初始位置进行匿名；步骤2、确定所述待查询用户的偏好以及背景信息后，根据所述待查询用户的对位置的不同偏好，划分出不同的隐私风险等级；步骤3、采取拉普拉斯保护机制向查询结果中添加噪声；步骤4、将添加噪声后的位置进行组合形成行的匿名轨迹。

Description

一种基于偏好感知的轨迹隐私保护服务推荐方法

技术领域

本发明涉及信息安全领域，尤其涉及一种基于偏好感知的轨迹隐私保护服务推荐方法。

背景技术

基于位置的个性化服务推荐系统能较好地结合用户的地理位置，帮助用户获得个人所需的信息，快速的为用户提供有效的个性化服务。但在推荐的过程中，用户信息的泄露问题十分严峻，用户的个人信息以及推荐列表中的敏感信息的泄露会对用户造成一定的威胁，如何防止用户信息的泄露，同时又能精确高效地为用户提供个性化服务，是当前研究面临的主要难点。

现如今越来越多的学者重视隐私保护的问题，在过去的研究中，提出的研究方案大都是在用户信息和位置服务中混淆，现有方法对用户信息大多采用mix-zone、k-匿名、扰动、泛化等方法，但却忽视了信息追踪问题；对位置服务大多采用基于差分隐私的加密方法，但却忽视了加躁机制的添加问题。

发明内容

基于上述技术问题，本发明设计开发了一种基于偏好感知的轨迹隐私保护服务推荐方法，解决了用户敏感信息泄露、数据可用性低以及缺乏自适应的问题。

本发明提供的技术方案为：

一种基于偏好感知的轨迹隐私保护服务推荐方法，包括如下步骤：

步骤1、对待查询用户的初始位置进行匿名；

步骤2、确定所述待查询用户的偏好以及背景信息后，根据所述待查询用户的对位置的不同偏好，划分出不同的隐私风险等级；

步骤3、采取拉普拉斯保护机制向查询结果中添加噪声；

步骤4、将添加噪声后的位置进行组合形成行的匿名轨迹。

优选的是，在所述步骤1中，基于聚类的mix-zone算法对初始位置进行匿名过程包括：

步骤1.1、使用sim(A_s,A_s′)量化属性相似性，若存在sim(A_s,A_s′)＜λ则认为进出mix-zone的用户为同一用户；

其中，sim(.)为相似性，A_s＝(a₁,a₂,……,a_m)为某一指定被追踪用户的属性，A_s′＝(a₁′,a₂′,……,a_m′)为所述指定被追踪用户离开mix-zone之后表现出的属性，m为可被识别的属性数量，a₁,a₂,……,a_m为A_s的属性，a₁′,a₂′,……,a_m′为A_s′的属性，λ为可被攻击者使用的相似属性最小阈值；

步骤1.2、假设拟将数据聚类为k个种类，则选取k个初始中心位置后，分别计算样本数据至各个初始中心位置的欧式距离：

其中，s_j，表示计算(i,j)位置的欧氏距离；s_jn表示第n个点的第j维坐标，/>表示第n个点的第i维坐标；

步骤1.3、从n个位置数据集中随机选择k个对象作为初始的代表对象，将剩下的所有对象分配到最近的代表所代表的簇，随机选择一个非代表对象O_random，计算用O_random代替代表对象O_i的总代价S，如果S<0，O_i代替O_random，生成一组新的k个代表对象，直到没有发生更改；每个簇分别做下列步骤：

RSU集合S_MZ←Φ，初始化节点数目S_MZ，N←0，当N≤K时，S_MZ←S_MZ∪AZ_T，N←N+n，将S_MZ合并到List(S_MZ)，通过计算H，选择聚类中最大的mix-zone。

优选的是，在所述步骤2中，通过构建用户的用户熟悉度确定所述待查询用户的偏好以及背景信息：

式中，为用户从位置i转移到位置j的概率，/>为用户对每一语义类型的用户熟悉度，/>为位置在对应语义类型中的位置流行度。

优选的是，在所述步骤2中，通过构建用户的位置流行度确定所述待查询用户的偏好以及背景信息：

式中，为用户从位置i转移到位置j的概率，/>为用户对每一语义类型的用户熟悉度，/>为位置在对应语义类型中的位置流行度。

优选的是，在所述步骤3中，采取拉普拉斯保护机制向查询结果中添加噪声过程包括：

对于任一一个函数f:D→R^d，函数f的全局敏感性为Δf＝max_D,D′|f(D)-f(D′)|，D和D′为相邻数据集，d为函数输出的维度，所述概率差异公式为

本发明与现有技术相比较所具有的有益效果：

1、本发明提出的基于偏好感知的轨迹隐私保护服务推荐算法分两部分进行隐私保护，首先提出了一种能够实现用户属性不可关联且mix-zone中用户无法获知彼此真实信息的隐私保护方法，该方法通过秘密选择代理，并由代理完成私密相似属性计算，最终实现离开mix-zone的用户彼此间的属性不可关联；通过与现有相关mix-zone的算法进行比较，证明本发明所提基于聚类的mix-zone算法的有效性和算法执行效率更有优势；

2、本发明还提出了一种基于差分隐私的偏好感知算法(PPBP)，针对位置社交网络下敏感位置攻击，通过语义描述和行为模式提取的方法进行偏好建模，根据偏好模型进行隐私风险评定，按照位置匿名规则添加对应的拉普拉斯噪声机制，将匿名后的位置按原轨迹序列的顺序连接起来，以生成匿名的轨迹序列；

3、本发明提供的算法既能在一定程度上减少运行的花费时间又能提高数据的可用性且能够有效的保护敏感数据的隐私性，未来将继续研究隐私保护在位置轨迹中的应用。

附图说明

图1为属性变化导致的信息熵变化曲线示意图。

图2为随用户数量变化导致的进出mix-zone用户可关联性差异图。

图3为随属性变化的算法执行成功率示意图。

图4为随用户数变化的算法执行成功率示意图。

图5为轨迹匿名算法示例示意图。

图6为数据效应对比图。

图7为执行效率对比图。

具体实施方式

下面结合附图对本发明做进一步的详细说明，以令本领域技术人员参照说明书文字能够据以实施。

本发明提出的一种基于偏好感知的轨迹隐私保护服务推荐方法，为了提高个性化服务轨迹隐私的保护性能，基于现有研究结果及存在的问题，提出并设计了基于偏好感知的轨迹隐私保护服务推荐方法；本发明考虑到mix-zone在路网中生成一个隐私保护的区域，当用户过多时，可被攻击者利用属性追踪的方法进行拦截，所以需要利用聚类方法对用户进行聚类，同一簇中的用户同时进行属性泛化，提高相似属性的混淆性和算法执行效率；另外，还考虑到差分隐私加躁机制的添加问题，所以需要对噪声的添加进行合理的分配，采用了偏好感知的方法，针对不同用户对不同位置的敏感程度的不同，设计偏好感知模型和噪声分布表，提高轨迹数据安全性的同时也有利于算法的执行效率。

本发明提出的基于偏好感知的轨迹隐私保护服务推荐方法的核心思想在于：第一层隐私保护：当用户需要进行推荐查询时，用户的真实位置和真实信息就会暴露出来，此时运用基于聚类的mix-zone算法进行隐私保护，mix-zone在路网中生成一个隐私保护的区域，然后对输入查询命令的所有用户进行聚类，同一簇中的用户同时进行属性泛化，提高了相似属性的混淆性，这既节省加密时间又增强了隐私保护；第二层保护：由于不同用户对于不同位置的敏感程度不同，所以需要根据用户对不同位置的偏好划分风险等级，运用基于差分隐私的偏好感知算法，按照重要程度设置不同的隐私预算，在服务推荐数据集中加入与其对应的Laplace噪声；

具体流程包括如下步骤：

步骤1、位置空间匿名：通过基于聚类的mix-zone算法对查询用户的初始位置进行匿名；

步骤2、偏好模型建立：通过HITS算法的中心节点和权威节点找出用户的偏好以及背景信息；

步骤3、隐私风险评定：根据用户对位置的不同偏好，划分出不同的隐私风险等级，采取不同程度的Laplace保护机制；

步骤4、位置轨迹匿名：根据加躁后各个位置的布局，按照顺序将已经加噪的位置组合到一起形成新的匿名轨迹。

在步骤1中，mix-zone算法：使用sim(A_s,A_s′)量化属性相似性，其中sim(.)表示相似性，设某一指定被追踪用户的属性为A_s＝(a₁,a₂,……,a_m)，该用户离开mix-zone之后表现出的属性为A_s′＝(a₁′,a₂′,……,a_m′)，若存在sim(A_s,A_s′)＜λ，则可认为这2种属性为同一用户所表现，即进出mix-zone用户为同一用户，其中，m为可被识别的属性数量；其中，A_s为指定用户的原本属性，a₁,a₂,……,a_m为A_s的属性，A_s′为指定用户在离开匿名域后用户的属性，a₁′,a₂′,……,a_m′为A_s′的属性，λ为攻击者可使用的属性相似最小阈值。

聚类算法：一种适用于大规模数据的高效数据挖掘方法；假设拟将数据聚类为k个种类，则首先选取k个初始中心位置，记为其中i＝1,2,3,…,k；然后，分别计算样本数据至各个初始中心位置的欧式距离如下：

式中，s_j，/>表示计算(i,j)位置的欧氏距离；s_jn表示第n个点的第j维坐标，/>表示第n个点的第i维坐标；

聚类算法把数据对象集划分成多个组或簇，簇内的对象具有很高的相似性，但与其他簇中的对象很不相似，mix-zone在路网中生成一个隐私保护的区域，然后对输入查询命令的所有用户进行聚类，同一簇中的用户同时进行属性泛化，提高了相似属性的混淆性。

在步骤2中，偏好模型建立通过偏好感知建立：偏好感知是用来解决如何有效的从移动轨迹数据中提取用户的运动模式，进而实现一种轨迹匿名；

本发明需要构建用户的偏好模型，主要从用户熟悉度和位置流行度两个方面进行：

用户熟悉度：中心节点的个数表示用户熟悉度，可以通过权威节点的值的综合来计算用户熟悉度，计算过程如下：

式中，表示用户从位置i转移到位置j的概率，/>表示用户对每一语义类型的用户熟悉度，/>表示位置在对应语义类型中的位置流行度；

位置流行度：权威节点的个数表示位置流行度，可以通过中心节点的值的总和来计算位置流行度，计算过程如下：

式中，表示用户从位置i转移到位置j的概率，/>表示用户对每一语义类型的用户熟悉度，/>表示位置在对应语义类型中的位置流行度；

应用服务器根据用户的兴趣对用户进行个性化服务推荐，对推荐的原始轨迹K进行语义描述和行为模式提取，然后考虑用户对语义类型的熟悉度以及位置流行度的分析计算，生成偏好模型，根据用户在偏好模型中地理位置的偏好，生成隐私风险评级标准，并加入适当的差分隐私预算ε，生成匿名轨迹K′，最后将结果返回服务器，以实现位置社交网络的个性化轨迹隐私保护。

在步骤3中，差分隐私：Laplace机制通过向查询结果中添加噪声，使真实输出值产生概率波动，从而实现ε-差分隐私保护；由于Laplace噪声服从概率分布，在相邻数据集上分别进行相同的查询，可能得到相同的结果，对于任意一个函数f:D→R^d，函数f的全局敏感性为Δf＝max_D,D′|f(D)-f(D′)|，D和D′为相邻数据集，d为函数输出的维度；概率差异公式如下：

对本发明中的算法进行进一步的算法描述包括：

算法1：

输入：初始位置数据集SID₁、SID₂、...、SID_n，更新增量n；

输出：位置空间匿名标识符Alias(SID1)、Alias(SID2)、...、Alias(SIDn)；

1.真实位置标识符SIDm→Alias(SIDm)；

2.从n个位置数据集中随机选取k个对象作为初始的代表对象

3.repeat；

4.将每个剩余的对象分配到最近的代表所代表的簇；

5.随机选择一个非代表对象O_random；

6.计算用O_rando_m代替代表对象O_j的总代价S；

7.if S<0，then O_rando_m替换O_j，形成新的k个代表对象的集合；

8.Until不发生变化；

9.每个簇分别做下列步骤；

10.RSU集合S_MZ←Φ；

11.初始化节点数目S_MZ，N←0；

12.当N≤K时；

13.S_MZ←S_MZ∪AZ_T；

14.N←N+n；

15.将S_MZ合并到List(S_MZ)；

16.通过计算H；

17.选择聚类中最大的mix-zone；

18.结束。

其中，公式H中的参数定义：j、h表示用户位置点；n表示最大位置数；k表示聚类个数。

算法2：

输入：用户熟悉度阈值λ，位置流行度阈值τ，原始轨迹序列K，位置匿名空间Z；

输出：匿名轨迹K′；

1.定义len表示原始轨迹序列的长度；

2.初始化K′＝φ，i＝1，j＝1；

3.when i<len do

4.判断位置L_i的类型C；

5.计算用户熟悉度和位置流行度/>的值；

6.While j<t do；

7.If&&/>then；

8.将位置L_i加入到

9.Else If&&/>then

10.随机选择一个与L_i具有相同语义类型的位置L_i′；

11.将位置L_i′加入到

12.Else If&&/>then

13.随机选择一个与Li不具有相同语义类型的位置

14.将位置加入到/>

15.Else If&&/>then

16.将位置L_i从中删除；

17.End if

18.j＝j+1；

19.End while

20.i＝i+1；

21.End while

22.返回加入不同隐私预算参数ε噪音；

23.输出匿名轨迹K^*；

24.结束。

实施例

为了证明本发明方法的有效性，仿真实验采用GPS Trajectories withtransportationmode labels数据集作为实验数据集，它包含了17621个轨迹信息，并采用Python语言、虚拟机和My Eclipse集成开发软件开发实现。为了有效验证本发明方法的性能，分别从隐私保护能力、数据效应和算法执行效率进行仿真实验与结果分析。

基于聚类的mix-zone算法：

1、隐私保护能力分析

为了验证本发明所提基于聚类的mix-zone算法在隐私保护能力和算法执行效率这2个方面的优势，在测试的过程中与当前的一些同类算法进行了比较，参与比较的算法有AG mix-zone算法、通过移动耽搁泛化查询间隔时间的等待忍耐mix-zone(delay-tolerantmix-zone)、利用mix-zone变形降低关联程度的偏移mix-zone(shifted mix-zone)、多维mix-zone授权的多维mix-zone(multiple mix-zone)、和基于身份验证加密的加密mix-zone(cryptographic mix-zone)。

从图1中可以看出，除了本发明所提基于聚类的mix-zone算法外，在用户数量一定的前提下，其余算法的信息熵均随属性数量的增加而减小。这是由于本发明算法主要针对mix-zone中的用户利用量化的多属性相似计算完成属性泛化，该方法处理的属性数量大大超过了其他算法；从图2中可以看出，随着用户数量的变化，成对熵表示的用户可关联性均无变化，呈直线状态。这是由于在实验测试过程中，针对的是已确定的进出用户，成对熵表现的是同一用户在进入和离开mix-zone中的可关联性变化，这种变化不随其他用户的加入而受影响。但是在这些平行的直线中，基于聚类的mix-zone算法的成对熵取值要高于其他算法，这是由于基于聚类的mix-zone算法对表现出来的所有属性展开了泛化，其可关联特性降到最低，即使在确定进出用户是同一用户的前提下，仍不可用属性相似的原理来确定该用户。

2、算法执行效率分析

从图3中可以看出，在mix-zone下随属性变化导致的算法执行产生的成功率差异。基于聚类的mix-zone算法的执行成功率受属性变化的影响较小，仅当属性数量超过某一阈值时才逐渐表现出成功率的降低，这是由于该算法是通过属性量化后展开的相似属性泛化实现的隐私保护，算法所处理的是属性共有值而不是单独某一个值，而表现为不受属性数量影响的处理过程。而其他算法中，由于是直接对属性展开泛化，因此在属性增加的情况下，需要寻找满足属性相似的大量用户，在一定程度上，因属性数量增加而导致的相似属性用户寻找的困难造成了算法执行成功率的降低。从图4中可以看出，在mix-zone中随着用户数量的增加，各算法的执行成功率逐渐降低，这是由于所有算法均需要在mix-zone中找到足够的用户以满足当前属性泛化所要求的用户数量，当不能找到足够数量的用户情况下，算法执行失败。在这些算法中，基于聚类的mix-zone算法的执行成功率受用户数量的影响较小，这是由于该算法通过mix-zone中用户彼此间的聚类和多方安全计算来完成属性泛化，算法的执行仅需要找到足够数量的用户即可，并不需要对用户情况加以限制。

实验验证结果可以看出，该算法可更好地应用在实际路网环境的部署当中，有效地提高了隐私保护能力和算法执行效率。

基于差分隐私的偏好感知算法：

如图5所示为偏好感知的轨迹匿名算法的一个示例。上半部分表示一个用户的原始轨迹，下半部分表示对应的匿名轨迹序列。其中，位置L1，与位置L5属于隐私风险评级NFNP，位置L2属于隐私风险评级FP，位置L3属于隐私风险评级FNP，位置L4属于隐私风险评级NFP。

表1显示了轨迹隐私保护中ε的分类情况，可信第三方可以针对不同的隐私风险评级，利用差分隐私加躁的方法，对不同的轨迹位置添加相应的噪声。

表1 ε的添加分布情况

1、数据效用分析对比

通过基于差分隐私的偏好感知算法(PPBP)与现有的匿名方法和偏好感知隐私保护算法(PTPP)，在数据效用和执行效率两个方面的对比，来观察PPBP算法的优势。首先是数据效应的对比，本发明采用轨迹隐私保护过程中的信息丢失量来衡量其数据效用。信息丢失量可以由以下公式得出。

公式中m表示删除位置的个数、q表示删除位置的终值、n表示匿名空间的位置个数、i、j表示匿名空间的位置。

其中，area(zone(Z_i,t_j))表示位置匿名空间Z_i在t_j时刻的区域大小，L_m表示删除的位置，|T|表示轨迹中总的位置个数。

图6显示了PPBP算法与PTPP算法和匿名方法在数据效用方面的性能对比。从图中可以出，PPBP算法的信息丢失量比PTPP算法和/> 匿名方法的信息丢失量低，主要因为匿名方法在进行轨迹隐私保护时，没有考虑用户对位置的偏好以及隐私风险评级，并且该方法对轨迹序列中所有的位置采用统一的位置匿名规则，而PTPP算法也考虑用户对位置的偏好以及隐私风险评级，但匿名规则不能很好的对应风险评级标准。PPBP算法在进行轨迹隐私保护时，轨迹序列中的位置能够根据用户偏好及背景信息自适应地釆取不同位置匿名规则，从而有效地减少了轨迹隐私保护过程中的信息丢失量。

2、执行效率分析对比

图7显示了PPBP算法与PTPP算法和匿名方法在执行效率方面的性能对比本发明采用运行时间来衡量两种方法的执行效率。从图中可以看出，当T小于4时，PPBP算法与PTPP算法的运行时间比/>匿名方法的运行时间长，而当T大于4时，PPBP算法与PTPP算法的运行时间逐渐比匿名方法的运行时间短。主要原因是PPBP算法与PTPP算法首先需要生成位置匿名空间，对位置匿名空间进行语义描述，并构建用户对位置的偏好模型，这样会增加轨迹隐私保护的运行时间。但是，用户偏好模型构建完成之后，其运行会逐渐加快，即：随着T的增大，运行时间逐渐变短。而/>匿名方法随着T的增大，运行时间逐渐变长，主要是因为/>匿名方法需要不断增加其匿名区域的大小。当T大于4时，PPBP算法比PTPP算法执行速度快，是因为PPBP算法比PTPP算法对位置匿名规则的添加速度快，极大的减少了算法的执行时间。

因此，本发明采用双重加密保护的方法，针对用户信息提出了基于聚类的mix-zone加密算法，对输入查询命令的所有用户进行聚类，同一簇中的用户同时进行属性泛化，提高了相似属性的混淆性，同时秘密计算的属性处理不会泄露任何信息给参与者，这既节省加密时间又增强了隐私保护。针对位置服务提出了基于差分隐私的偏好感知算法，针对位置社交网络下敏感位置攻击，通过语义描述和行为模式提取的方法进行偏好建模，根据偏好模型进行隐私风险评定，按照位置匿名规则添加对应的拉普拉斯噪声机制，增加了轨迹数据安全性的同时，也有效控制了算法复杂度，提高了数据的可用性。

尽管本发明的实施方案已公开如上，但其并不仅仅限于说明书和实施方式中所列运用，它完全可以被适用于各种适合本发明的领域，对于熟悉本领域的人员而言，可容易地实现另外的修改，因此在不背离权利要求及等同范围所限定的一般概念下，本发明并不限于特定的细节和这里示出与描述的图例。

Claims (1)

1.一种基于偏好感知的轨迹隐私保护服务推荐方法，其特征在于，包括如下步骤：

步骤1、对待查询用户的初始位置进行匿名；

步骤2、确定所述待查询用户的偏好以及背景信息后，根据所述待查询用户的对位置的不同偏好，划分出不同的隐私风险等级；

步骤3、采取拉普拉斯保护机制向查询结果中添加噪声；

步骤4、将添加噪声后的位置进行组合形成行的匿名轨迹；

在所述步骤1中，基于聚类的mix-zone算法对初始位置进行匿名过程包括：

步骤1.1、使用sim(A_s,A_s′)量化属性相似性，若存在sim(A_s,A_s′)<λ则认为进出mix-zone的用户为同一用户；

其中，sim(.)为相似性，A_s＝(a₁,a₂,……,a_m)为某一指定被追踪用户的属性，A_s′＝(a₁′,a₂′,……,a_m′)为所述指定被追踪用户离开mix-zone之后表现出的属性，m为可被识别的属性数量，a₁,a₂,……,a_m为A_s的属性，a₁′,a₂′,……,a_m′为A_s′的属性，λ为可被攻击者使用的相似属性最小阈值；

步骤1.2、假设拟将数据聚类为k个种类，则选取k个初始中心位置后，分别计算样本数据至各个初始中心位置的欧式距离：

其中，s_j，表示计算(i,j)位置的欧氏距离；s_jn表示第n个点的第j维坐标，/>表示第n个点的第i维坐标；

步骤1.3、从n个位置数据集中随机选择k个对象作为初始的代表对象，将剩下的所有对象分配到最近的代表所代表的簇，随机选择一个非代表对象O_random，计算用O_random代替代表对象O_i的总代价S，如果S<0，O_i代替O_random，生成一组新的k个代表对象，直到没有发生更改；每个簇分别做下列步骤：

RSU集合S_MZ←Φ，初始化节点数目S_MZ，N←0，当N≤K时，S_MZ←S_MZ∪AZ_T，N←N+n，将S_MZ合并到List(S_MZ)，通过计算H，选择聚类中最大的mix-zone；

在所述步骤2中，通过构建用户的用户熟悉度确定所述待查询用户的偏好以及背景信息：

式中，为用户从位置i转移到位置j的概率，/>为用户对每一语义类型的用户熟悉度，/>为位置在对应语义类型中的位置流行度；

在所述步骤2中，通过构建用户的位置流行度确定所述待查询用户的偏好以及背景信息：

式中，为用户从位置i转移到位置j的概率，/>为用户对每一语义类型的用户熟悉度，/>为位置在对应语义类型中的位置流行度；

在所述步骤3中，采取拉普拉斯保护机制向查询结果中添加噪声过程包括：

对于任一一个函数f:D→R^d，函数f的全局敏感性为△f＝max_D,D′|f(D)-f(D′)|，D和D′为相邻数据集，d为函数输出的维度，所述概率差异公式为