轨迹隐私是一种特殊的个人隐私,指用户的运行轨迹本身含有的敏感信息(如用户去过的一些敏感区域等),或者可以通过运行轨迹推导出其他的个人信息(如用户的家庭住址、工作地点、健康状况、生活习惯等)。因此,轨迹隐私保护既要保证轨迹本身的敏感信息不泄露,又要防止攻击者通过轨迹推导出其他的个人信息。
01 轨迹隐私的度量
在轨迹数据的发布过程中,发布的数据为了方便研究者研究利用,在进行隐私保护时需要具有较高的数据可用性。针对位置隐私保护,保护技术既要保护用户的隐私安全,又要保证用户能够享受到较高的服务质量。
针对轨迹隐私的保护程度,一般可用3个指标来对其进行度量:轨迹上点与点之间的关联性、轨迹中数据点的精确性、轨迹的隐私泄露概率。
轨迹是指某个用户在一天内的位置和时间关联排序的一组序列。一条轨迹可以表示为Ti={(xi1,yi1,ti1),(xi2,yi2,t2i),…,(xji,yji,tji),…,(xni,yni,tni)}。其中,Ti表示第i个用户的轨迹,(xji,yji,tji)(1≤j≤n)表示此移动的用户在tj时刻所在的位置为(xji,yji),tj为采样时刻。基站或服务器将用户在一天内所有的数据收集起来,然后将位置数据根据时间串联起来就是此用户的轨迹。轨迹数据蕴含了丰富的时空信息,对轨迹的分析和挖掘可以支持许多移动应用。例如:研究者通过分析人们的日常轨迹可以研究人类的行为模式;政府机构可以利用用户的移动GPS轨迹数据可以分析基础交通设施的建设情况。由此可知,用户的轨迹数据对社会的发展提供了许多信息,同样也会带来隐私安全问题。
轨迹隐私与位置隐私最大的不同是轨迹包含时间和位置的关联信息,很容易通过一个信息来推测出其他的信息。在传统的轨迹隐私度量方法中,大都用时间和空间两者进行分析度量,之后加入了轨迹形状来对轨迹进行度量,其更能准确地衡量出两条轨迹之间的相似性。
在定义轨迹相似性的度量标准时,需要从两方面进行考虑。如图1所示,有3条轨迹,每条轨迹都具有5个数据点,每个数据点都是在同一采样时间上通过采样得到的,假设每个采样时刻的3个数据点的x轴坐标相同,只有y轴坐标不同。通过计算对应的5个数据点之间的欧氏距离,最后得出轨迹2和轨迹3到轨迹1的距离相等,但是从图中可以观察看出,轨迹2与轨迹1的形状完全相同,而轨迹3与轨迹1不同,所以轨迹2与轨迹1的相似性明显强于轨迹3与轨迹1的相似性。所以,在进行轨迹相似性度量时,要从两个方面着手。
图1 轨迹相似性对比
轨迹形状距离:给定两条轨迹Ti={(x1i,y1i,t1i),(xi2,y2i,t2i),…,(xni,yni,tni)}和Tj={(x1j,y1j,t1j),(x2j,y2j,t2j),…,(xnj,ynj,tnj)},则两条轨迹之间的形状距离如下所示:
轨迹位置距离:针对定义6.1中给定的两条轨迹,它们之间的位置距离如下所示:
基于上述两种距离形式的定义,将它们进行加权合并,即可得到两条轨迹的轨迹距离。
轨迹距离:轨迹距离的定义如下所示:
这里,α∈[0,1]为轨迹形状距离和轨迹位置距离两者的一个权重,一般取值为α=0.5。
02 轨迹隐私保护场景
目前,关于轨迹隐私保护的研究工作主要解决下述两种应用场景中的隐私问题。
1. 数据发布中的轨迹隐私保护
轨迹数据本身蕴含了丰富的时空信息,对轨迹数据的分析和挖掘结果可以支持多种移动应用,因此,许多政府及科研机构都加大了对轨迹数据的研究力度。例如:美国政府利用移动用户的GPS轨迹数据分析基础交通设施的建设情况,进而为是否更新和优化交通设施提供依据;社会学的研究者们通过分析人们的日常轨迹来研究人类的行为模式;某些公司通过分析雇员的上下班轨迹来提高雇员的工作效率等。然而,假如恶意攻击者在未经授权的情况下,计算推理获取与轨迹相关的其他个人信息,则用户的个人隐私会通过其轨迹完全暴露。数据发布中的轨迹隐私泄露情况大致可分为以下两类。
① 轨迹上敏感或频繁访问位置的泄露导致移动对象的隐私泄露。轨迹上的敏感或频繁访问的位置很可能暴露其个人兴趣爱好、健康状况、政治倾向等个人隐私,如某人在某个时间段内频繁访问医院或诊所,攻击者可以由此推断出这个人近期患上了某种疾病。
② 移动对象的轨迹与外部知识的关联导致隐私泄露。例如,某人每天早上在固定的时间段从地点A出发到地点B,每天下午在固定的时间段从地点B出发到地点A,通过挖掘分析,攻击者很容易做出判断:A是某人的家庭住址,B是其工作单位。通过查找A所在区域和B所在区域的邮编、电话簿等公开内容,很容易确定某人的身份、姓名、工作地点、家庭住址等信息。因此,某人的个人隐私通过其运行轨迹被完全泄露。
在轨迹数据发布中,最简单的隐私保护方法是删除每条轨迹的准标志属性,即QI属性。然而,单纯地将QI属性移除并不能保护移动对象的轨迹隐私,攻击者通过将背景知识(如受攻击者的博客、谈话记录或其他外部信息等)与特定用户相匹配,亦可推导出个体的隐私信息。
例如,在删除了QI属性的数据中,攻击者发现某个移动对象在某个时刻ti访问了地点L1和L2,在攻击者已知的背景知识中,小王曾在时刻ti左右分别访问过这两个位置,如果小王是在ti时刻唯一分别访问过L1和L2的移动对象,那么攻击者就可以断定该轨迹属于小王,继而可从轨迹中发现小王访问过的其他位置。可见,简单地删除移动对象的QI属性并不能起到隐私保护的目的。
2. 位置服务中的轨迹隐私保护
用户在获取LBS服务时,需要提供自己的位置信息,为了保护移动对象的位置隐私,出现了位置隐私保护技术。然而,保护了移动对象的位置隐私并不代表能保护移动对象的实时运行轨迹隐私,攻击者极有可能通过其他手段获得移动对象的实时运行轨迹。例如,利用位置k-匿名模型对发出连续查询的用户进行位置隐私保护时,移动对象的匿名框的位置和大小会产生连续更新。如果将移动对象发出LBS请求时各个时刻的匿名框连接起来,就可以得到移动对象大致的运行路线。这是由于移动对象在查询过程中生成的匿名框包含了不同移动对象的信息,单纯地延长匿名框的有效时间会导致服务质量下降。虽然,目前已有针对连续查询的位置隐私保护技术,但是,其查询有效期处于秒级,无法满足轨迹隐私保护的需求。因此,在LBS中也需要轨迹隐私保护技术。
在上述两种场景中,轨迹隐私保护需要解决以下几个关键问题:
① 保护轨迹上的敏感/频繁访问位置信息不泄露;
② 保护个体和轨迹之间的关联关系不泄露,即保证个体无法与某条轨迹相匹配;
③ 防止由移动对象的相关参数限制(如最大速度、路网等)而泄露移动对象轨迹隐私的问题发生。
03 轨迹隐私保护技术分类
轨迹隐私保护技术大致可以分为3类。
(1)基于假数据的轨迹隐私保护技术
该技术通过添加假轨迹对原始数据进行干扰,同时又要保证被干扰的轨迹数据的某些统计属性不发生严重失真。基于假数据的轨迹隐私保护技术主要是在原始数据的基础上添加假数据,进而对原始轨迹数据进行干扰,同时又不会使原始轨迹数据失真。例如,在表1中有3个移动对象O1、O2、O3,表中数据分别对应它们在时刻t1、t2、t3中的数据点,每个对象可根据时间关联形成一条轨迹。
表1 原始数据
利用假数据法对表1中的数据进行干扰之后,形成了6条轨迹,如表2所示,在此6条轨迹中,I1、I2、I3是O1、O2、O3的假名。由此可将每条真实轨迹被泄露的风险降至0.5。
表2 用假数据法干扰后的数据
针对假数据方法,假轨迹的数量越多,被泄露的风险就越低,但是这会对原始数据产生较大的影响。假轨迹的产生在空间关系中增加了复杂性,会产生许多交叉点,因易于混淆而可降低风险。在运行模式中,假轨迹的运行模式与原始轨迹相似,也会对攻击者的攻击造成一定的影响。此类方法较简单且计算量小,但易造成存储量的扩大,使数据可用性降低。
(2)基于泛化法的轨迹隐私保护技术
该技术是指将轨迹上所有的采样点都泛化为对应的匿名区域,以达到隐私保护的目的。基于泛化法的轨迹隐私保护技术针对所有轨迹中的每一个点进行泛化,并将它们泛化成数据点对应的匿名区,从而达到隐私保护的目的。在泛化的保护技术中,最常用的是轨迹k-匿名保护技术,其主要的保护技术是将其需要保护的核心属性进行泛化,使其无法与其他k-1条记录区分开。针对表1中的轨迹数据,将其中的3条轨迹进行轨迹泛化匿名,即针对每个采样时刻的点,将数据点泛化为匿名区,如表3所示。
表3 轨迹6-匿名
在进行匿名时依然通过假名进行发布,同时也须对3个匿名时刻中的数据点进行匿名泛化。此方法可以保证数据均为真实数据,但是由于计算开销比较大,因此需要考虑性能的问题。
(3)基于抑制法的轨迹隐私保护技术
该技术根据具体情况有条件地发布轨迹数据,不发布轨迹上的某些敏感位置或频繁访问的位置以实现隐私保护。表4所示为表2进行抑制发布后的数据。
表4 抑制法进行轨迹匿名
抑制法较其他方法来说简单有效,在攻击者具有一定背景知识的前提下亦可进行轨迹保护,效率也比较高。但在不能确切地了解攻击者具有的背景知识时,这种方法就不再适用了。另一方面,此方法虽然限制了敏感数据的发布且实现过程简单,但是信息丢失量过大。
总之,基于假数据的轨迹隐私保护技术简单、计算量小,但易造成假数据的存储量大及数据可用性降低等问题;基于泛化法的轨迹隐私保护技术可以保证数据的真实性,但计算开销较大;基于抑制法的轨迹隐私保护技术可限制发布某些敏感数据,实现也简单,但信息丢失量较大。目前,基于泛化法的轨迹k-匿名技术在隐私保护度和数据可用性上取得了较好的平衡,是目前轨迹隐私保护使用的主流方法。
04 基于语义的轨迹隐私保护方法
原始的轨迹数据与用户的各类隐私信息紧密相关,如果不对收集到的轨迹数据做任何处理就发布,恶意攻击者就可以通过对轨迹数据进行挖掘分析,获得用户的家庭住址、兴趣爱好、行为模式等敏感信息。因此,离线轨迹数据发布必须遵循“数据采集、隐私保护处理、轨迹发布”的原则。
轨迹发布后,不论是商业机构还是科研单位,都希望能够从保护后的轨迹中分析出可用的信息。因此,轨迹隐私保护处理的目标是:既要能防止恶意攻击者从处理后的轨迹中推测出用户的敏感信息,也要确保处理后的轨迹仍然具有较高的完整性和数据可用性。
目前,离线轨迹发布中的隐私保护方法,如轨迹聚类、假轨迹等,都仅把轨迹数据看作欧式空间中具有时间属性的位置点序列,只考虑到了轨迹的时间和空间属性,却忽视了轨迹上各个采样点在实际环境中对应的位置信息,即轨迹的语义属性。
通常,用户轨迹上的位置点可以分为移动点和停留点。移动点只能分析出用户途经了哪些道路,而停留点却能反映出用户某个时间段的重要位置特征。通过对停留点进行分析可以知道用户频繁访问的地点,进而推测出用户的工作地址、兴趣爱好甚至是宗教信仰、身体状况等私密信息。因此相比移动点,停留点会暴露用户更多的敏感信息。保护停留点不仅能够确保用户的隐私,还能减少对原始轨迹的破坏,在隐私保护和数据可用性之间取得了较好的平衡。
实际生活中,不同用户对相同语义位置的敏感程度可能并不相同,如患者和医生对医院的敏感性就不一样,患者可能并不想暴露自己的身体健康状况,但医生一般不介意自己的工作地点被泄露,因此,对轨迹进行保护时不能忽略用户的个性化隐私需求。假如对所有用户采用相同的处理标准,就可能会导致部分用户的轨迹保护程度不够而造成隐私泄露,部分用户的轨迹保护过度而造成数据损失。
忽略轨迹的语义属性会导致部分现有方案容易遭受语义攻击。相比自己路过的位置,用户更关心自己曾经频繁访问、长时间逗留的地点是否会泄露隐私。因此,为了维持轨迹的最大完整性,无须对轨迹上的所有采样点进行保护处理。
图2提出的方案旨在维持轨迹安全性与数据可用性之间良好的平衡,用停留点周围不同语义的兴趣点取代用户敏感的停留点,同时重置少量采样点以隐藏用户的敏感信息。该方案采取了个性化隐私保护,用户可以自定义自身的敏感语义位置集和隐私保护程度,以在保证轨迹隐私安全的同时确保轨迹不被过度处理。
图2 基于语义的轨迹隐私保护方案示意
1. 基于语义的轨迹隐私保护方案
该方案首先根据原始轨迹数据,分析用户的移动特征,针对时间、经度和纬度3个属性进行多维聚类,提取出用户一天内的停留点集合,利用地图反解析获取停留点对应的实际位置并标记其语义;其次,根据用户自定义的敏感语义位置集,获取用户的敏感停留点集合(即图2中的银行和酒店);然后,结合用户的移动方向,为每个敏感停留点合理地规划一个候选区,分析候选区内兴趣点的语义和距离特性,查找到满足用户隐私需求的不同语义的兴趣点,将包含这些兴趣点的最小矩形作为敏感区,并在敏感区内随机选取一个替代停留点(即图2中的KFC和理发店);最后,为了防止替换停留点导致轨迹上位置点发生突变,以减少轨迹变动,仅对敏感区内的局部采样位置点进行重新选择,并确保敏感区内的采样位置点数量与原始轨迹的一致,进而形成最终可发布的轨迹数据。
2. 语义停留点的提取
根据用户轨迹进行语义停留点提取是本方案的首要工作。
一个用户在日常生活中会产生大量的停留点:对于大部分用户来说,在夜间12点到早晨6点都在自己家中,此时用户的家庭位置就成为了他的一个停留点;用户的日常工作地点也会成为他的一个停留点;在银行办理业务的用户,银行也会成为他的一个停留点。
对于具有地图背景知识的恶意攻击者,通过提取用户轨迹中的停留点并将其映射到语义地图上,可以获取用户大量的个人隐私。
用户轨迹上的所有采样位置点都具有相对应的语义属性。相比移动中的位置点,恶意攻击者对用户频繁访问和长时间停留的位置点更感兴趣,这是因为他们能从中挖掘分析出更多的用户隐私信息。因此,对停留点进行隐私保护至关重要。
图3所示为某个用户在一段时间内的轨迹数据Traj={P1,P2,…,P9}。通过分析可知,轨迹中的5个连续采样位置点{P3,P4,P5,P6,P7}均处于一定的范围内,由此推断该用户曾经在这个地点(图中虚线圈)停留过。具有地图背景知识的恶意攻击者此时就可以通过将停留点映射到真实地图中,得到该用户停留的地点,并由此获得用户的某些隐私信息。
图3 个人停留点示意图
从上面的例子不难看出,通过挖掘分析用户停留点,具有背景知识的攻击者就可以轻易获得用户大量隐私信息。而对敏感停留点进行保护,无须处理轨迹上所有的采样位置点,这不仅能隐藏轨迹上用户的敏感信息,还能减少对原始轨迹的破坏。
该方法首先读取某个区域在一段时间内全体用户的原始轨迹数据,如图4所示,Lij表示用户Mi(1≤i≤m)在tj(1≤j≤n)时刻的位置,依次对每个用户的轨迹进行多维聚类,包括时间、经度和纬度聚类,以提取用户个人停留点集合。聚类时需要3个阈值:时间阈值σt、距离阈值σd和位置点数阈值σn。
图4 用户原始轨迹数据
然后,通过遍历一个用户轨迹上的采样位置点,可以找到所有停留核心点。停留核心点是用户Mi在tj时刻的位置点Lij,遍历该用户轨迹上的所有位置点Lik(1≤k≤n)并使它们与其进行比较,找到所有满足|Lij-Lik|≤σd且|tj-tk|≤σt的点。如果Lij处满足以上条件的点的数量不少于σn,则Lij为停留核心点。
最后,将时空上邻近的停留核心点划分到一个集合,最终得到多个停留核心点的集合,这个集合称为语义停留点。
由此可见,通过多维聚类的方法对个体用户的多维空间数据进行分析,可以得到用户的移动特征;根据用户的移动特征,可以提取个人停留点集合;将停留点一一映射到地图上,通过标记其语义,并根据用户自定义的敏感语义位置集,即可获得个人敏感停留点集合(即语义停留点集合)。
3. 语义停留点的合并
采样的用户轨迹上可能由于某种原因存在采样异常点,如一个采样位置点与其前后相邻时刻的采样位置点之间的距离过大,如图5所示。P5与P4和P6之间的距离差过大,不符合实际,即该采样位置点和它相邻的位置点在采样时间内是不可到达的。异常点的存在会影响个人停留点的提取及其语义标记的精度,因此,在将相邻的停留核心点聚集成停留点之前需要对轨迹数据进行扫描以检测异常点。正常用户行走的速度大致为3 km/h,用户在某个地方停留时一般会处于静止或者慢速移动的状态,速度不应该大于正常移动速度,结合采样时间可以计算出一个距离δ,如果tj时刻的采样位置Lij与其前后相邻时刻采样位置点之间的距离差|Lij-Li(j-1)|和|Lij-Li(j+1)|均大于δ,则认为Lij是采样异常点,在合并相邻停留核心点时应舍弃该异常点。完成轨迹数据检测和异常点舍弃之后,便可以进行停留核心点的合并。
图5 采样异常点
通过上述方法,可以提取到每个用户在一段时间内的停留点集合SP={SP1,SP2,…,SPn},其中SPi(1≤i≤n)是包含多个停留核心点的停留点,每个停留点内包含的停留核心点可以表示为SPi={P1,P2,…,Pm}。后续需要对停留点进行替换和采样点的重置,这里将能够覆盖SPi内所有停留核心点的最小覆盖圆的圆心作为停留点的代表坐标,如图5中的停留点,同时须求出最小覆盖圆半径以备后续重置采样点。
针对每个停留点SPi={P1,P2,…,Pm},求其最小覆盖圆,基本思想为:首先在SPi内任选3个停留核心点组成三角形,求出该三角形的最小覆盖圆圆心与半径;然后依次遍历剩余的停留核心点,判断该点是否在已得到的圆内,如果在圆内,则说明该圆依旧是最小覆盖圆,如果不在圆内,则随机在上述3个点中选择两个点与该点形成新的三角形,并重新计算新的最小覆盖圆的圆心与半径。重复以上过程,直到求出能覆盖所有停留核心点的最小覆盖圆的圆心与半径。
通过上述方法可以获得每个停留点的坐标信息及覆盖范围。接着调用百度地图Web服务API,利用逆地址编码服务,获取停留点坐标所在的位置并标记其语义属性。
4. 敏感停留点的替换
在完成用户原始轨迹上所有敏感停留点的提取后,接下来须根据用户个性化的隐私保护程度要求,在合理的空间范围内将敏感停留点替换成不同语义的兴趣点。其中,选择合适的替代停留点是关键,为了保证处理后的轨迹的安全性和完整性,替代停留点的选取不能完全随机,需要充分考虑用户的移动方向,兴趣点的语义、距离等特性。替代停留点的选择过程分为两部分:首先为每个敏感停留点构建一个合适的候选区,然后在候选区内选择一个合适的兴趣点并将其作为替代停留点。
(1)候选区的构建
为了防止替代停留点偏离相应的敏感停留点太远,影响受保护后轨迹数据的可用性,须根据敏感停留点自身构建候选区,候选区的范围由该敏感停留点以及在轨迹上与其时空相邻的前后两个停留点之间的距离共同决定。
如图6所示,用户轨迹上分别有敏感停留点SP2和SP3。若在候选区的重叠区域内选择了各自的替代停留点SP′2和SP′3,则通过比较发现保护后的轨迹与原始轨迹在形状、方向上都出现了较大的偏差,严重降低了两条轨迹之间的相似性。由于保护后的轨迹与原始轨迹之间的相似性是衡量轨迹数据可用性的重要指标,因此,为了防止敏感停留点替换后会破坏轨迹的可用性,需要确保相邻敏感停留点的候选区不能存在重叠区域。若现有候选区范围内的兴趣点无法满足用户隐私需求,则为了搜索更多的兴趣点,应扩大候选区。如果候选区的扩张导致部分候选区出现重叠,则应避免在候选区的重叠区域选择替代停留点。
图6 候选区重叠导致轨迹相似度降低
方案中每个敏感停留点的候选区均是以其自身为圆心、其到相邻停留点的距离中的较小值为直径的圆域。对于轨迹上的第一个停留点,若它为敏感停留点,则由于它没有上一个相邻停留点,因此,它的候选区直径为它与下一个停留点间的距离;同样,若轨迹上的最后一个停留点为敏感停留点,则由于它不存在下一个相邻停留点,因此,它的候选区直径为它与上一个停留点间的距离。
如图7所示,对某用户进行移动特征分析,从其轨迹上提取出了5个停留点{SP1,SP2,SP3,SP4,SP5}。若其中{SP1,SP2,SP3}为敏感停留点集合,则虚线圆域分别为它们的候选区。其中SP1和SP5由于是边界点,仅有一个相邻停留点,因此,它们的候选区半径分别为SP1到SP2、SP4到SP5距离的一半;而SP3存在前后相邻停留点SP2和SP4,因此它的候选区半径为SP3到SP4距离的一半(因为SP3到SP4的距离小于SP2到SP3的距离)。如此构建的候选区不会导致替代位置点太偏离停留点本身,同时也能避免出现候选区重叠导致轨迹相似度降低的情况。
图7 敏感停留点候选区
(2)替代停留点的选择
隐私保护程度l表示敏感区中与敏感停留点距离最近但语义不同的其他兴趣点的个数至少为l个。隐私保护程度体现了敏感区内兴趣点的多样性。l值越大表示用户隐私需求越高。
为每个敏感停留点构造好合理的候选区之后,下一项工作是结合用户自定义的隐私需求,在候选区内为每个敏感停留点选取合适的兴趣点并将它们作为替代停留点。如果选取与敏感停留点语义相同或者相似的兴趣点并将它们作为替代停留点,则恶意攻击者还是能够从替换后的停留点的语义中推测出用户的敏感信息;而且在实际环境中,某些具有相同语义的兴趣点一般距离较远,这可能会导致选择的替代停留点偏离敏感停留点较远,要重置的采样位置点数量较多,轨迹的完整性较低。
在本方案中,敏感停留点会被替换成语义不同的兴趣点。首先,以敏感停留点自身为中心,搜索替代停留点,并逐渐扩大搜索半径,直至找到不少于l个且语义与敏感停留点不同的兴趣点;然后,将搜索到的兴趣点按照离敏感停留点的距离由近至远排序,取前l个作为替代停留点的候选集,并把包含敏感停留点和这l个兴趣点的最小矩形作为敏感区SA;最后,在敏感区内随机选择一个兴趣点并将其作为替代停留点。
在查找替代停留点集时,遍历每一个新搜索到的兴趣点,如果其语义与敏感停留点不同,则将其加入候选集,反之,则忽略它,最终在形成的敏感区内随机选择一个兴趣点并将其作为替代停留点。敏感区内包含了位置和语义多样性的兴趣点,这加大了攻击者推测出真实敏感停留点的难度,同时兴趣点选择的随机性也提高了真实敏感停留点的安全性。将最小包围矩形作为敏感区,可减少之后须重置的采样点数量,为提高轨迹的完整性奠定基础。
(3)局部采样点的重置
为敏感停留点SPi选取合适的替代位置后,需要为替代停留点SPif选择其包含的停留核心点。同时停留点替换后可能会造成部分移动采样点在采样间隔内不可到达替代停留点,从而导致位置突变,使攻击者易推断出该轨迹段被替换过,因此,为了提高发布后轨迹的安全性,还需要重新选择轨迹上的部分移动点。为了最大程度保持轨迹形状的一致性,尽量少修改原始轨迹,局部采样点重置仅在敏感区内进行,且重置时要充分考虑原始轨迹上移动点的速度。同时敏感区内包含的采样点数量应该与原来的相同,以提高重置后轨迹段的真实性。
局部采样点重置分为3部分:敏感区入口到替代停留点之间的移动采样点重置、替代停留点包含的停留核心点重置,以及替代停留点到敏感区出口之间的移动采样点重置。首先进行局部采样点的重置,如图8所示,敏感区内的第一个采样点为A,最后一个采样点为B;在A到SPi的原始轨迹段上寻找点C,使C到SPi与C到SPif的距离差最小,同理在B到SPi的原始轨迹段上找到点D,使D到SPi与D到SPif的距离差最小;同时将敏感停留点SPi的覆盖范围作为替代停留点SPif的覆盖范围;然后获取敏感区内移动点的速度取值范围{Vmin,Vmax},分别在C到SPif和D到SPif段根据速度值和采样时间确定合适的新采样位置,并保证两条轨迹段上重置的采样点数与对应原始轨迹段上的采样点数相等。最后进行停留核心点的重置,在SPif覆盖范围内随机选取采样点,同样须保证采样位置点数不变。同时,为了提高轨迹抵抗攻击的能力,在选取任何新的采样点时需要检测其位置是否合理,采样点一般不应该位于湖泊中央等小概率的位置处。
图8 局部采样点重置示意图
查找到C、D两个采样点使得在局部采样点重置的过程中,不需要重新选择整个敏感区的采样位置点了。这不仅减少了需要处理的采样位置点的数量,同时也提高了轨迹的完整性。局部采样点重置后,用户轨迹的敏感隐私信息已不存在,可直接发布共享,用于数据分析与研究。
