CN114885289B - 一种基于虚拟轨迹生成机制的位置隐私保护方法 - Google Patents

Abstract

本发明公开了一种基于虚拟轨迹生成机制的位置隐私保护方法，通过在客户端使用虚拟轨迹生成机制，根据真实用户的用户画像、地图API，生成与真实用户不可区分的生活在不同地点的k‑1个虚拟用户，再根据虚拟用户的用户画像，生成与真实轨迹不可区分的虚假轨迹，供用户在LBS查询中使用。本发明通过虚拟轨迹生成机制结合了真实用户的兴趣点信息和已知地图的公开兴趣点信息，生成了与真实用户具有相同行为、移动模式的虚拟用户，在连续向LSP查询中有效地保护了真实用户的位置隐私。

Description

一种基于虚拟轨迹生成机制的位置隐私保护方法

技术领域

本发明涉及计算机科学与技术领域，具体地讲，是涉及一种基于虚拟轨迹生成机制的位置隐私保护方法。

背景技术

近年来，随着移动互联网技术的发展，基于位置服务(Location Based Service,LBS)的应用已经广泛惠及到商业、民生、医疗等领域。移动用户通过位置服务提供商(Location-based Service Provider,LSP)所提供的移动应用，可以获得当前位置或某个位置附近的兴趣点信息(Point of Interest,POI),例如，用户可以通过美团app搜索附近的餐馆、酒店、电影院等。然而，当用户进行连续的位置服务请求时，攻击者能够根据用户的连续位置信息推断出用户的个人隐私信息，比如家庭住址、生活习惯、宗教信仰等信息。滴滴公司引发的“退市审查”事件，加剧了国家对数据安全，特别是位置数据安全担忧，而滴滴公司就是通过LBS来收集用户的位置隐私。因此，LBS中的位置隐私保护已成为急需解决的问题。

目前，在连续位置隐私保护领域，国内外学者已经提出一些位置隐私保护方法，主要包括三种方法：一、基于加密的位置隐私保护方案。移动用户通过将加密的位置信息发送给位置服务提供商，对服务端将会产生极大的计算开销。二、在基于时空隐匿的位置隐私保护方案中，移动用户通过将一个大范围区间代替自己的实际位置发送给位置服务提供商，这会导致用户查询的结果不够精确，降低了用户的服务质量水平。三、在基于虚假位置的位置隐私保护方案中，移动用户通过发送精心选取k-1个虚假位置以及真实位置给服务器，即k匿名，以达到服务器不能够区分真实位置与虚假位置的目的。然而随着大数据，人工智能等技术的发展，通过k匿名的方法并不能抵抗数据挖掘攻击，从而导致移动用户的位置隐私泄露。即使在LBS查询过程中采用了一些隐私保护技术，但这些方法有的会产生极大的计算开销，有的降低了用户的服务质量水平，有的不能够抵抗数据挖掘攻击。因此，如何能够在保证高效和服务质量的前提下，保护移动用户的个人位置隐私对本领域技术人员来说是亟待解决的问题。

发明内容

针对上述现有技术存在基于虚假位置的位置隐私保护方法的局限性问题，本发明提供一种基于虚拟轨迹生成机制的位置隐私保护方法，通过在客户端使用虚拟轨迹生成机制，根据真实用户的用户画像、地图API，生成与真实用户不可区分的生活在不同地点的k-1个虚拟用户，再根据虚拟用户的用户画像，生成与真实轨迹不可区分的虚假轨迹，供用户在LBS查询中使用，降低用户位置信息暴露给LSP的风险。

虚拟轨迹生成机制：Virtual Trajectory Generation Mechanism,VTGM。

为了实现上述目的，本发明采用的技术方案如下：

一种基于虚拟轨迹生成机制的位置隐私保护方法，由数据拥有者客户端执行，包括以下步骤：

S10、初始化系统，生成k-1个虚拟用户及其对应的所在城市；

S20、轨迹预处理，在一设定时间间隔内，持续获取用户的基于GPS位置的实时位置数据作为一条真实轨迹Traj_real，通过停留点检测算法识别出当前真实轨迹的停留点集合；

S30、兴趣点映射，根据获得的真实轨迹的停留点集合，通过兴趣点预处理得到已映射的兴趣点集合和未映射的兴趣点集合；

S40、构建虚拟兴趣点集，通过兴趣点映射算法，将每一个未映射的兴趣点映射到k-1个虚拟用户中任一个所在的城市中，获得与未映射的兴趣点集合对应的虚拟兴趣点集合，并与步骤S30中已映射的兴趣点集合对应的虚拟兴趣点集合共同构成虚拟兴趣点集VPOI；

S50、真实数据提取，基于步骤S20中得到的真实轨迹Traj_real，计算该真实轨迹中相邻两个GPS位置点的距离，得到距离序列dis_seq，计算每个GPS位置点的瞬时速度v_i，得到速度序列speed_seq，计算该真实轨迹的平均速度

n为该真实轨迹中的GPS位置点个数；

S60、构建虚拟导航轨迹，基于步骤S40得到的虚拟兴趣点集VPOI，根据真实轨迹的平均速度进行虚拟导航，在相邻两个虚拟兴趣点之间生成一条导航轨迹，再将所有的导航轨迹进行首尾衔接，得到一条包含整个虚拟兴趣点集VPOI的虚拟导航轨迹Traj_nav＝{navp₁,navp₂,…,navp_n}；

S70、速度混淆，基于真实轨迹的速度序列speed_seq，通过计算虚拟导航轨迹的两个导航点之间的垂直角度θ₁和水平角度θ₂，在虚拟导航轨迹之间插入适当的虚拟GPS位置点，使虚拟导航轨迹的速度序列和真实轨迹的速度序列保持一致；

S80、形状混淆，基于真实轨迹的GPS位置点的距离序列，通过直角锐化算法将虚拟导航轨迹的直角锐化，使虚拟导航轨迹与真实轨迹在形状上保持一致性；

S90、地理坐标混淆，通过在GPS位置点的经纬度上添加预设的高斯噪声，使虚拟导航轨迹变得不平滑，与真实轨迹保持一致，由此将虚拟导航轨迹处理为虚拟轨迹Traj_virtual；

S100、数据更新，将未映射的兴趣点集合与虚拟兴趣点集VPOI存储到映射表中，使二者保持一一映射关系，并将真实轨迹和虚拟轨迹分别存储到真实用户和虚拟用户的用户画像中；

S110、根据真实用户所在的位置信息，结合映射表中的映射关系，得到k-1个在虚拟轨迹中的与真实用户位置信息所对应的虚拟位置；

S120、在用户请求LBS服务时，系统构造生成k个不同的请求，并通过高纳德洗牌算法将该k个请求打乱后发送到服务器端。

本发明中所称的用户画像是自定义的一种数据结构，它主要用于存储地理坐标相关的信息并且能够体现出用户的行为习惯、移动模式等信息。它至少包含用户ID、用户类型、居住城市、关键点集合、兴趣点集合、历史轨迹集合等信息。

本发明中所称的映射表是一个存储真实用户的兴趣点集合与某一个虚拟用户的兴趣点集合之间一一映射关系的表格，表达了真实用户与虚拟用户在兴趣点方面的一种对应关系。它主要包含映射表的ID以及映射关系。

具体地，所述步骤S10中，通过导入真实用户的历史轨迹数据辅助构建虚拟用户的用户画像，包括以下步骤：

S11、位置数据清洗，将导入的历史轨迹数据中的位置数据通过设定的数据清洗规则识别出不合理或/和错误的位置数据，并删除，获得清洗后的位置数据集；

S12、停留点检测，将清洗后的位置数据集通过设定的停留点检测算法识别出其中的停留点信息，获得停留点集；

S13、生成虚拟用户的用户画像：

S13a、将得到的停留点集通过逆地理编码方法将每个停留点映射到地图中与停留点相近的兴趣点，得到兴趣点集合；

S13b、将兴趣点集合通过聚类算法，使相近或相同的兴趣点聚合为一个兴趣点；

S13c、将得到的兴趣点集合以及历史轨迹数据添加到用户画像的数据结构中，得到真实用户画像；

S13d、通过执行k-1次映射算法将真实用户画像映射为k-1个虚拟用户画像。

具体地，所述步骤S20中，通过用户持有的移动终端上的GPS模块获取用户的实时GPS位置点。

具体地，所述步骤S30中通过兴趣点预处理得到已映射的兴趣点集合和未映射的兴趣点集合的过程包括：

S31、根据获得的当前真实轨迹的停留点集合，通过逆地理编码方法将每一个停留点映射到地图中与该停留点邻近的兴趣点，得到停留点对应的兴趣点集合；

S32、根据预置的映射表，通过顺序遍历算法，找出兴趣点集合中在映射表当中的子集POI1，以及不在映射表当中的子集POI2，该子集POI1为已映射的兴趣点集合，该子集POI2为未映射的兴趣点集合。

具体地，所述步骤S40中通过兴趣点映射算法，将每一个未映射的兴趣点映射到k-1个虚拟用户中任一个所在的城市中的过程包括：

S41、基于未映射的兴趣点集合和用户画像中的兴趣点集合RUP.POI，计算两个集合之间的距离矩阵DIS＝{dis_i,j}，其中dis_i,j＝Distance(poi_i,rup.poi_j)，Distance表示欧氏距离函数，poi_i表示未映射的某一兴趣点，rup.poi_j表示用户画像中的某一兴趣点；

S42、根据未映射的兴趣点的语义信息，通过预置的地图兴趣点搜索API，以虚拟用户画像中的关键点作为中心，搜索与关键点相近的且语义信息相同的兴趣点集合，得到搜索结果SR，其中通过执行k-1次以不同的虚拟用户画像的关键点作为中心的搜索，得到k-1个对应不同的虚拟用户的搜索结果；

S43、基于距离矩阵DIS以及搜索结果SR，通过最优函数OPT得到虚拟兴趣点，同一虚拟用户的所有虚拟兴趣点构成一组虚拟兴趣点集VPOI。

具体地，所述最优函数OPT为：

OPT＝arg min_r(|Distance(poi_i,rup.poi_j)-Distance(search_r,vup.poi_j)|)

其中，poi_i表示未映射的某一兴趣点，rup.poi_j表示用户画像中的某一兴趣点，search_r表示某一搜索结果，vup.poi_j表示虚拟用户画像的某一兴趣点。

具体地，所述步骤S70中计算虚拟导航轨迹的两个导航点之间的垂直角度θ₁和水平角度θ₂采用以下公式：

其中，navp_i表示第i个导航点，navp_i.Lat表示第i个导航点的纬度，navp_i.Lng表示第i个导航点的经度。

具体地，所述步骤S90中在GPS位置点的经纬度上添加的高斯噪声为α＝Gaussian(0,0.00001)，在该GPS位置点上表示为

Virtual.latitude＝GPS.latitude+α*sin(β)Virtual.longitude＝GPS.longitude+α*cos(β)

其中，β表示在任意角度上添加噪声，Virtual.latitude表示添加噪声后的GPS位置点坐标的纬度，GPS.latitude表示添加噪声前的GPS位置点坐标的纬度，Virtual.longitude表示添加噪声后的GPS位置点坐标的经度，GPS.longitude表示添加噪声前的GPS位置点坐标的经度。

与现有技术相比，本发明具有以下有益效果：

本发明针对用户连续向LSP查询而增加用户隐私泄漏风险的问题，LSP被定义为诚实而好奇的实体，通过虚拟轨迹生成机制减少用户隐私信息泄漏给LSP的风险，相比已有的虚拟轨迹生成算法，本发明结合了真实用户的兴趣点信息和已知地图的公开兴趣点信息，生成了与真实用户具有相同行为、移动模式的虚拟用户，但由于它们在地理位置上是不同的，从而有效地保护了真实用户的位置隐私。并且本发明团队通过实验验证了该方法在现有的移动端平台(Android和iOS平台)上可以实现使用，并且相应时间短，保障了用户的体验水平；而且通过实验和分析表明，本发明生成的虚拟轨迹和真实轨迹无法区分，虚拟轨迹的识别率约为55％，而理想的识别率为50％，非常接近于随机猜测。

附图说明

图1为本发明-实施例的流程示意图。

图2为本发明-实施例中对应的系统框架示意图。

图3为本发明-实施例中真实用户与虚拟用户映射样例示意图。

图4为本发明-实施例中轨迹模拟中形状混淆示意图。

图5为本发明-实施例中用户画像数据结构样例图。

图6为本发明-实施例中映射表数据结构样例图。

图7为本发明-实施例中与同类方法的识别率对比示意图。

图8为本发明-实施例中在不同LBS下的系统响应时间对比示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步说明，本发明的实施方式包括但不限于下列实施例。

实施例

如图1至图3所示，该基于虚拟轨迹生成机制的位置隐私保护方法，配置于用户使用的移动终端，利用高德地图APP作为地图数据基础，包括客户端初始化、轨迹预处理、兴趣点映射、轨迹模拟、客户端请求查询等五个主要过程。具体过程如下：

客户端初始化

步骤S10、初始化生成k-1个虚拟用户及其对应的所在城市；在客户端系统刚开始运行时，由用户选择k-1个不同城市{city₁,city₂,…,city_k-1}，用来表示k-1个虚拟用户所在城市。与此同时，用户可以选择导入自己的历史轨迹，也可以选择不导入。本实施例在这里主要介绍用户选择不导入的情况。

轨迹预处理

步骤S20、用户在移动终端使用该方法的过程中，系统会在后台通过GPS模块持续获取用户的实时位置数据；系统通过设置一个时间间隔interval，将每隔一个时间间隔interval收集到的GPS位置数据作为一条真实轨迹Traj_real(包含多个GPS位置点)。如果interval的值太大，则会导致一条轨迹的数据量变大，影响系统的运行，如果interval的值过小，则会导致一条轨迹的数据量太小，不能够准确表达出用户的轨迹特征。在实验中我们选择将interval的值设置为两个小时，以达到轨迹数量大小的平衡。

然后将得到的轨迹通过停留点检测算法识别出当前真实轨迹的停留点集合SP＝{sp₁,sp₂,sp₃,…}，以便系统使用。

兴趣点映射

步骤S30、兴趣点预处理，根据获得的真实轨迹的停留点集合SP，通过兴趣点预处理得到已映射的兴趣点集合和未映射的兴趣点集合，为兴趣点映射做准备工作。

其中兴趣点预处理的过程包括：

S31、当得到当前真实轨迹的停留点集合时，通过逆地理编码方法(如高德地图逆地理编码API，regeocode())，将每一个停留点sp映射到(高德)地图中与该停留点邻近的兴趣点poi，得到停留点对应的兴趣点集合POI＝{poi₁,poi₂,…}；在这里要保证两个停留点与兴趣点之间距离不能太远，在这里会通过设置一个距离阈值Dis_spTpoi，保证Distance(sp,poi)<Dis_spTpoi；否则会降低真实用户画像与虚拟用户画像的相似性。

S32、根据预置的映射表，通过顺序遍历算法，找出兴趣点集合POI中在映射表当中的兴趣点子集POI1，以及不在映射表当中的兴趣点子集POI2，该子集POI1为已映射的兴趣点集合，该子集POI2为未映射的兴趣点集合。由于POI1集合中的兴趣点都在映射表当中，则可以直接通过映射表得到相应的虚拟兴趣点集VPOI1。由于POI2集合中的兴趣点不在映射表当中，则需要通过兴趣点映射算法，根据兴趣点POI2得到相对应的虚拟兴趣点集VPOI2。

步骤S40、兴趣点映射，根据步骤S32中得到的未映射的兴趣点集合POI2，通过基于高德地图搜索API的兴趣点映射算法，将每一个未映射的兴趣点映射到k-1个城市中，这些城市是初始化时所选择的k-1个城市，这里设每一个城市生活着一个虚拟用户。得到与未映射的兴趣点集合POI2对应的虚拟兴趣点集VPOI2。

构建虚拟兴趣点集：通过兴趣点映射算法，将真实用户的POI在k-1个不同的城市中进行映射，最终得到k-1个虚拟用户的兴趣点集合VPOI，该虚拟兴趣点集合VPOI包含了虚拟兴趣点集VPOI1和虚拟兴趣点集VPOI2；

其中所采用的兴趣点映射算法的过程包括：

S41、基于未映射的兴趣点集合POI2和用户画像中的兴趣点集合RUP.POI，计算两个集合之间的距离矩阵DIS＝{dis_i,j}，例如

其中dis_i,j＝Distance(poi_i,rup.poi_j)，Distance表示欧氏距离函数，poi_i表示未映射的某一兴趣点，rup.poi_j表示用户画像中的某一兴趣点。

S42、根据未映射的兴趣点的语义信息poi.Semantic，通过预置的地图兴趣点搜索API，如高德地图兴趣点搜索API，以虚拟用户画像中的关键点作为中心，搜索与关键点相近的且语义信息相同的兴趣点集合，得到搜索结果SR＝{search₁,search₂,…,search_l}。其中在此步骤中，通过执行k-1次以不同的虚拟用户画像的关键点作为中心的搜索，得到k-1个对应不同的虚拟用户的搜索结果。

S43、基于距离矩阵DIS以及搜索结果SR，通过最优函数OPT得到相对应的虚拟兴趣点，所述最优函数OPT为：

其中，poi_i表示未映射的某一兴趣点，rup.poi_j表示用户画像中的某一兴趣点，search_r表示某一搜索结果，vup.poi_j表示虚拟用户画像的某一兴趣点，l表示搜索结果数量，N表示虚拟用户画像的兴趣点个数。

同一虚拟用户的所有虚拟兴趣点构成一组虚拟兴趣点集VPOI。

轨迹模拟

基于真实轨迹的相关特征以及高德地图API，系统经过速度混淆、形状混淆、地理位置混淆步骤生成与真实轨迹不可区分的虚拟轨迹。具体过程如下：

步骤S50、真实数据提取，基于步骤S20中得到的真实轨迹Traj_real＝{p₁,p₂,…,p_n}，p_n为GPS位置点，计算该真实轨迹中相邻两个GPS位置点的距离，得到距离序列dis_seq＝{d₁,d₂,…,d_n-1}，d_n-1为两个GPS位置点之间的距离，计算每个GPS位置点的瞬时速度，得到速度序列speed_seq＝{v₁，v₂，…，v_n-1}，计算该真实轨迹的平均速度

步骤S60、基于步骤S40得到的虚拟兴趣点集VPOI，根据真实轨迹的平均速度进行虚拟导航，如选择不同的高德地图导航API，在任意两个虚拟兴趣点之间生成一条导航轨迹navp_i；例如，当真实轨迹的平均速度为3m/s，则选择高德地图的步行导航API以相邻的两个兴趣点为起始点和终点进行导航，若平均速度大于20km/h，则可以选择汽车导航API进行导航。之后再将所有的导航轨迹进行首尾衔接，得到一条包含整个虚拟兴趣点集VPOI的虚拟导航轨迹Traj_nav＝{navp₁，navp₂，...，navp_n}，navp_n为虚拟导航点。

步骤S70、速度混淆，基于真实轨迹的速度序列speed_seq以及虚拟导航轨迹Traj_nav，通过计算虚拟导航轨迹的连续两个导航点之间的垂直角度θ₁和水平角度θ₂，在虚拟导航轨迹之间插入适当的虚拟GPS位置点，使虚拟导航轨迹的速度序列和真实轨迹的速度序列保持一致。设临时点p_raw＝navp₁，计算连续两个导航点之间的垂直角度

水平角度

进一步计算临时点的经度和纬度：

p_raw.Lat＝p_raw.Lat+disToLatitude(p_raw.Lng，υ₁*t*sin(θ₂))

p_raw.Lng＝p_raw.Lng+disToLatitude(p_raw.Lat，υ₁*t*sin(θ₁))

其中p_raw为需要添加的虚拟GPS位置点，v_i表示真实轨迹的速度。disToLatitude与disToLongitude为将距离值变为经度和维度的函数。因此，得到的虚拟导航轨迹的速度与真实轨迹的速度保持了一致。

步骤S80、形状混淆，目前得到的虚拟导航轨迹已经和真实轨迹在速度上已经保持一致，由于基于高德地图生成的导航轨迹，一般在轨迹的转角处是直角形状，不符合真实轨迹的特点，因此，需要将虚拟导航轨迹的直角进行锐化。计算真实轨迹的相邻GPS位置点的距离向量信息{vec₁，vec₂，...，vec_n-1}，通过判断

是否大于80°，识别出近似于直角的拐点。再通过已知的直角锐化算法将拐点以及相邻的点向内偏移，使虚拟导航轨迹的直角锐化，从而使虚拟导航轨迹与真实轨迹在形状上保持了一致性。

S90、地理坐标混淆，由于GPS设备的不稳定性，通常收集到的地理位置数据会随机偏离真实位置一定的距离并且连续的位置数据是不平滑的，而虚拟导航轨迹的地理坐标是平滑的，因此，通过在GPS位置点的经纬度上添加预设的高斯噪声α＝Gaussian(0，0.00001)，使虚拟导航轨迹变得不平滑，与真实轨迹保持一致。假设导航轨迹内的点为Point_nav，则最终得到的导航点的经纬度为：

Point_naυ.latitude＝Point_naυ.latitude+α*sin(β)

Point_naυ.longitude＝Point_naυ.longitude+α*cos(β)

其中，β表示在任意角度上添加噪声。

由此将虚拟导航轨迹处理为虚拟轨迹Traj_virtual。

S100、数据更新，

首先，系统通过顺序遍历未映射的兴趣点集合POI2以及与之对应的虚拟兴趣点集VPOI2，将每一对映射关系存储到映射表中，使二者保持一一映射关系，以方便后续作为已知映射的兴趣点集合使用。其次，系统也将真实轨迹和虚拟轨迹分别存储到真实用户和虚拟用户的用户画像中，供系统使用。

客户端请求查询以及请求返回

S110、当用户进行LBS查询过程中，首先，系统根据真实用户所在的位置信息，通过映射表中的映射关系得到在虚拟轨迹当中的与真实用户位置所对应的虚拟位置，如果存在k-1个虚拟用户，则可以得到k-1个虚拟位置；其次，系统会根据真实位置以及k-1个虚拟位置构造k个不同的LBS请求，再通过高纳德洗牌算法将k个请求进行顺序打乱，最终发送到服务器端。

当服务器返回k个不同的响应后，系统会根据返回的结果确定哪一个是真实用户需要的请求结果，并进行显示。而其他的k-1个不需要的虚假的相应，系统则不会去响应。

在进一步的实施例中，所述步骤S10中，还可以通过导入真实用户的历史轨迹数据辅助构建虚拟用户的用户画像，包括以下步骤：

S11、位置数据清洗，将导入的历史轨迹数据中的位置数据通过设定的数据清洗规则识别出不合理或/和错误的位置数据，并删除，获得清洗后的位置数据集；

S12、停留点检测，将清洗后的位置数据集通过设定的停留点检测算法识别出其中的停留点信息，获得停留点集；

S13、生成虚拟用户的用户画像：

S13a、将得到的停留点集通过逆地理编码方法将每个停留点映射到地图中与停留点相近的兴趣点，得到兴趣点集合；

S13b、将兴趣点集合通过聚类算法，使相近或相同的兴趣点聚合为一个兴趣点；

S13c、将得到的兴趣点集合以及历史轨迹数据添加到用户画像的数据结构中，得到真实用户画像；

S13d、通过执行k-1次映射算法将真实用户画像映射为k-1个虚拟用户画像，该映射算法如前述步骤S30-S100所示。

攻击者的主要目标是获取特定用户的位置隐私，本方案假定VPN、Tor等第三方匿名器是安全的。可能有几种类型的攻击者想要获取用户的位置隐私，例如，内部、外部攻击者或LSP。一般情况下，如果用户频繁访问相同的LBS服务，LSP会保存用户的历史轨迹，从而更有机会挖掘用户的个人信息。因此，我们只从LSP的角度分析我们系统的隐私保护能力，因为它比其他对手更了解用户。具体分析VTGM方法抵制LSP的攻击如下：

1)为了防止LSP通过分析IP地址获取用户位置信息，用户需要使用某种VPN或匿名网络TOR来访问基于位置的服务。此外，在我们的系统中，当用户请求服务时，k匿名机制和洗牌算法被用于混淆请求，这些请求由一个真实请求和k-1个虚假请求组成。shuffle算法保证了用户请求查询的安全性，即LSP虽然可以收集之前的请求数据，但不能通过请求序列特征识别出真正的请求。

2)我们方法的主要思想是系统在模拟用户轨迹的同时隐含地模拟用户画像和运动模式，生成与真实用户具有相同运动模式但位置不同的虚拟用户。具体而言，基于高德地图API，通过停留点检测、兴趣点映射、导航轨迹生成、速度混淆、地理位置混淆和形状混淆等，系统所生成的虚拟轨迹在运动模式上尽可能地模拟真实轨迹。试验结果表明，LSP没有区分真实和虚拟用户轨迹的能力，即LSP仅有55％的概率(接近于猜测)来识别真实轨迹和虚拟轨迹。

3)在我们的系统中，采用k-匿名机制来保护用户的位置隐私。具体来说，系统根据真实用户画像和移动模式，借助高德地图API，在不同城市生成k-1个虚拟用户。因此，虽然LSP保存了所有k个用户的位置数据，但由于虚拟用户的移动模式与真实用户的移动方式相似，它无法通过移动模式从k个用户中正确识别出真实用户的位置。此外，由于VUP.POI的语义信息可以映射到其他类型，LSP无法使用高级数据挖掘技术正确分析真实用户的个人信息，例如，爱好、饮食习惯和宗教信仰等。

从以上分析可知，在用户查询过程中LSP不能推断出任何关于用户的信息，也不能获得用户的精确位置，因此，本发明所述的VTGM方法能抵制LSP的攻击。

由于用户的轨迹包含了用户的位置，因此，如果保证了用户的轨迹隐私，则更加保证了用户位置隐私。通过实验验证用户连续查询时，我们假设LSP能够实时获取用户的位置信息，即获得用户的轨迹。我们的实验采用微软亚洲研究院发布的广泛用于位置隐私保护的GeoLife GPS轨迹数据集，这个数据集包含了从2007年4月到2012年8月收集的182个用户轨迹数据。在这些用户的轨迹当中，我们实验使用ID为128和256的两个人的数据，因为这两个人的位置数据的时间跨度比较长、数据量比较大、交通类型比较多，并且包含不同类型的标签，例如，步行、自行车、公共汽车和火车。

1)轨迹不可区分性

针对于我们系统的方法和随机生成方法，每个机器学习算法都使用从GeoLife轨迹数据集中选取的1000条真实轨迹和系统生成的1000条虚拟轨迹进行训练。此外，在训练中使用了轨迹的几种特征，包括最小段长度、最大段长度、平均段长度、最小速度、最大速度、平均速度和速度的标准差。此外，将500条真实的GeoLife轨迹与500条虚拟轨迹混合作为测试数据集，类似于文献[1]Kang,Jian,Steiert,Doug,Lin,Dan,and Fu,Yanjie."MoveWithMe:Location Privacy Preservation for Smartphone Users."IEEETransactions on Information Forensics and Security 15(2020):711-24.Web.。但是，对于MoveWithMe的方法，由于无法获取源代码，我们只参考其结果。具体的实验结果如图7所示。通过使用我们的方法，虚假轨迹被识别出来的概率仅仅只有55％左右，比MoveWithMe的方案略好，远远优于随机生成方案。需要注意的是，当真假轨迹不可区分时，轨迹的识别概率是接近于随机猜测的，即50％。

2)响应时间

为了说明当用户使用我们的系统用来保护在不同LBS中的位置隐私时，系统对用户的体验水平没有影响，我们评估本发明所提出的VTGM方案的响应时间。我们测试了当匿名参数k从0到20线性变化时的系统响应时间，其中k＝0表示用户在没有隐私保护的情况下正常访问LBS。响应时间的结果如图8所示。从图中我们可以观察到服务的响应时间随着虚拟用户个数的增加而略有增加，因为虚拟用户的请求在后台只占用了一点带宽。与真实用户不同的是，虚拟用户在接收响应时不需要加载图像和视频，因此对响应时间的影响可以忽略不计。总之，我们的系统不会给用户带来额外的负担，也不会降低用户体验。

上述实施例仅为本发明的优选实施例，并非对本发明保护范围的限制，但凡采用本发明的设计原理，以及在此基础上进行非创造性劳动而做出的变化，均应属于本发明的保护范围之内。

Claims (8)

1.一种基于虚拟轨迹生成机制的位置隐私保护方法，其特征在于，由数据拥有者客户端执行，包括以下步骤：

S10、初始化系统，生成k-1个虚拟用户及其对应的所在城市；

S20、轨迹预处理，在一设定时间间隔内，持续获取用户的基于GPS位置的实时位置数据作为一条真实轨迹Traj_real，通过停留点检测算法识别出当前真实轨迹的停留点集合；

S30、兴趣点映射，根据获得的真实轨迹的停留点集合，通过兴趣点预处理得到已映射的兴趣点集合和未映射的兴趣点集合；

S40、构建虚拟兴趣点集，通过兴趣点映射算法，将每一个未映射的兴趣点映射到k-1个虚拟用户中任一个所在的城市中，获得与未映射的兴趣点集合对应的虚拟兴趣点集合，并与步骤S30中已映射的兴趣点集合对应的虚拟兴趣点集合共同构成虚拟兴趣点集VPOI；

S50、真实数据提取，基于步骤S20中得到的真实轨迹Traj_real，计算该真实轨迹中相邻两个GPS位置点的距离，得到距离序列dis_seq，计算每个GPS位置点的瞬时速度v_i，得到速度序列speed_seq，计算该真实轨迹的平均速度

n为该真实轨迹中的GPS位置点个数；

S60、构建虚拟导航轨迹，基于步骤S40得到的虚拟兴趣点集VPOI，根据真实轨迹的平均速度进行虚拟导航，在相邻两个虚拟兴趣点之间生成一条导航轨迹，再将所有的导航轨迹进行首尾衔接，得到一条包含整个虚拟兴趣点集VPOI的虚拟导航轨迹Traj_nav；

S70、速度混淆，基于真实轨迹的速度序列speed_seq，通过计算虚拟导航轨迹的两个导航点之间的垂直角度θ₁和水平角度θ₂，在虚拟导航轨迹之间插入适当的虚拟GPS位置点，使虚拟导航轨迹的速度序列和真实轨迹的速度序列保持一致；

S80、形状混淆，基于真实轨迹的GPS位置点的距离序列，通过直角锐化算法将虚拟导航轨迹的直角锐化，使虚拟导航轨迹与真实轨迹在形状上保持一致性；

S90、地理坐标混淆，通过在GPS位置点的经纬度上添加预设的高斯噪声，使虚拟导航轨迹变得不平滑，与真实轨迹保持一致，由此将虚拟导航轨迹处理为虚拟轨迹Traj_virtual；

S100、数据更新，将未映射的兴趣点集合与虚拟兴趣点集VPOI存储到映射表中，使二者保持一一映射关系，并将真实轨迹和虚拟轨迹分别存储到真实用户和虚拟用户的用户画像中；

S110、根据真实用户所在的位置信息，结合映射表中的映射关系，得到k-1个在虚拟轨迹中的与真实用户位置信息所对应的虚拟位置；

S120、在用户请求LBS服务时，系统构造生成k个不同的请求，并通过高纳德洗牌算法将该k个请求打乱后发送到服务器端。

2.根据权利要求1所述的基于虚拟轨迹生成机制的位置隐私保护方法，其特征在于，所述步骤S10中，通过导入真实用户的历史轨迹数据辅助构建虚拟用户的用户画像，包括以下步骤：

S11、位置数据清洗，将导入的历史轨迹数据中的位置数据通过设定的数据清洗规则识别出不合理或/和错误的位置数据，并删除，获得清洗后的位置数据集；

S12、停留点检测，将清洗后的位置数据集通过设定的停留点检测算法识别出其中的停留点信息，获得停留点集；

S13、生成虚拟用户的用户画像：

S13a、将得到的停留点集通过逆地理编码方法将每个停留点映射到地图中与停留点相近的兴趣点，得到兴趣点集合；

S13b、将兴趣点集合通过聚类算法，使相近或相同的兴趣点聚合为一个兴趣点；

S13c、将得到的兴趣点集合以及历史轨迹数据添加到用户画像的数据结构中，得到真实用户画像；

S13d、通过执行k-1次映射算法将真实用户画像映射为k-1个虚拟用户画像。

3.根据权利要求1所述的基于虚拟轨迹生成机制的位置隐私保护方法，其特征在于，所述步骤S20中，通过用户持有的移动终端上的GPS模块获取用户的实时GPS位置点。

4.根据权利要求1所述的基于虚拟轨迹生成机制的位置隐私保护方法，其特征在于，所述步骤S30中通过兴趣点预处理得到已映射的兴趣点集合和未映射的兴趣点集合的过程包括：

S31、根据获得的当前真实轨迹的停留点集合，通过逆地理编码方法将每一个停留点映射到地图中与该停留点邻近的兴趣点，得到停留点对应的兴趣点集合；

S32、根据预置的映射表，通过顺序遍历算法，找出兴趣点集合中在映射表当中的子集POI1，以及不在映射表当中的子集POI2，该子集POI1为已映射的兴趣点集合，该子集POI2为未映射的兴趣点集合。

5.根据权利要求1所述的基于虚拟轨迹生成机制的位置隐私保护方法，其特征在于，所述步骤S40中通过兴趣点映射算法，将每一个未映射的兴趣点映射到k-1个虚拟用户中任一个所在的城市中的过程包括：

S41、基于未映射的兴趣点集合和用户画像中的兴趣点集合RUP.POI，计算两个集合之间的距离矩阵DIS＝{dis_i,j}，其中dis_i,j＝Distance(poi_i,rup.poi_j)，Distance表示欧氏距离函数，poi_i表示未映射的某一兴趣点，rup.poi_j表示用户画像中的某一兴趣点；

S42、根据未映射的兴趣点的语义信息，通过预置的地图兴趣点搜索API，以虚拟用户画像中的关键点作为中心，搜索与关键点相近的且语义信息相同的兴趣点集合，得到搜索结果SR，其中通过执行k-1次以不同的虚拟用户画像的关键点作为中心的搜索，得到k-1个对应不同的虚拟用户的搜索结果；

S43、基于距离矩阵DIS以及搜索结果SR，通过最优函数OPT得到虚拟兴趣点，同一虚拟用户的所有虚拟兴趣点构成一组虚拟兴趣点集VPOI。

6.根据权利要求5所述的基于虚拟轨迹生成机制的位置隐私保护方法，其特征在于，所述最优函数OPT为：

OPT＝argmin_r(|Distance(poi_i,rup.poi_j)-Distance(search_r,vup.poi_j)|)

其中，poi_i表示未映射的某一兴趣点，rup.poi_j表示用户画像中的某一兴趣点，search_r表示某一搜索结果，vup.poi_j表示虚拟用户画像的某一兴趣点。

7.根据权利要求1所述的基于虚拟轨迹生成机制的位置隐私保护方法，其特征在于，所述步骤S70中计算虚拟导航轨迹的两个导航点之间的垂直角度θ₁和水平角度θ₂采用以下公式：

其中，navp_i表示第i个导航点，navp_i.Lat表示第i个导航点的纬度，navp_i.Lng表示第i个导航点的经度。

8.根据权利要求1所述的基于虚拟轨迹生成机制的位置隐私保护方法，其特征在于，所述步骤S90中在GPS位置点的经纬度上添加的高斯噪声为α＝Gaussian(0,0.00001)，在该GPS位置点上表示为

Virtual.latitude＝GPS.latitude+α*sin(β)

Virtual.longitude＝GPS.longitude+α*cos(β)

其中，β表示在任意角度上添加噪声，Virtual.latitude表示添加噪声后的GPS位置点坐标的纬度，GPS.latitude表示添加噪声前的GPS位置点坐标的纬度，Virtual.longitude表示添加噪声后的GPS位置点坐标的经度，GPS.longitude表示添加噪声前的GPS位置点坐标的经度。

Images