一种基于时空关联性的假轨迹隐私保护方法转让专利
申请号 : CN201611008254.3
文献号 : CN106529336B
文献日 : 2019-08-13
发明人 : 李兴华 , 雷凯跃 , 刘海 , 裴卓雄 , 马建峰 , 李晖 , 雒彬
申请人 : 西安电子科技大学
摘要 :
本发明公开了一种基于时空关联性的假轨迹隐私保护方法,从轨迹的整体方向、轨迹中相邻位置的时间可达及移动距离对单条轨迹中相邻位置间的时空关联性和轨迹间的相似性进行分析。本发明从局部和整体的角度考虑了单条轨迹中相邻位置间的时空关联性以及轨迹之间的时空关联性,提出了一个假轨迹隐私保护方法。安全性分析表明,能混淆真实轨迹和假轨迹;大量的实验表明,本发明在具有较低计算开销的同时,与现有的轨迹隐私保护方法相比,具有更低的真实轨迹隐私泄露率,有效保护轨迹发布中的用户轨迹隐私。
权利要求 :
1.一种基于时空关联性的假轨迹隐私保护方法,其特征在于,所述基于时空关联性的假轨迹隐私保护方法从轨迹的整体方向、轨迹中相邻位置的时间可达及移动距离对单条轨迹中相邻位置间的时空关联性和轨迹间的相似性进行分析;
所述基于时空关联性的假轨迹隐私保护方法包括:
(1)利用最小二乘法拟合真实轨迹的整体方向,用户真实轨迹的移动方向的斜率l为:其中,
(2)利用假位置生成方法,分别以真实轨迹的起点和终点为保护点生成假位置集合和 并分别从LocSet1和LocSetn中选择假位置,使得真实轨迹整体移动方向的斜率l与假轨迹起止点构成的斜率lslope相近且起止点未在已有轨迹中出现;
(3)逐一为每条假轨迹生成其第2个到第n-1个位置,在生成假轨迹的第i(2≤i≤n-1)个位置时,以真实轨迹的第i-1和i个位置之间的欧式距离r+random为半径,random表示随机数,以假轨迹第i-1个位置为圆心作圆;
(4)在生成完整的假轨迹后,拟合假轨迹的整体移动方向的斜率:其中, 表示第d条假轨迹trajd的第i个位置;
(5)对任意第d条假轨迹trajd的第i个位置和第i+1个位置形成的路径进行时间可达性检查和移动距离检查,若:不成立,则记录下不满足要求的路径段
数num,如果num>δ×(n-1),则表示不满足要求的轨迹数过多,此时重新生成假轨迹,否则,该条轨迹即为所生成假轨迹,其中,δd,δt和δ为检查阈值,直到生成k-1条假轨迹。
2.如权利要求1所述的基于时空关联性的假轨迹隐私保护方法,其特征在于,起止位置还需要满足下列条件:其中, 表示从位置 到 的移动距离,δdis_all为限制移动距离的阈值。
3.如权利要求1所述的基于时空关联性的假轨迹隐私保护方法,其特征在于,在lslope所在直线的两侧,每间隔θ度选择一个候选位置,构成假位置候选集合,直至网格边界与lslope所在直线的夹角达到阈值,在候选集合LocSet′中随机选择假位置,d是网格的边长。
4.一种应用权利要求1-3任意一项所述基于时空关联性的假轨迹隐私保护方法的基于位置的服务系统。
5.一种应用权利要求1-3任意一项所述基于时空关联性的假轨迹隐私保护方法的物流运输轨迹分析系统。
6.一种应用权利要求1-3任意一项所述基于时空关联性的假轨迹隐私保护方法的路网建设系统。
7.一种应用权利要求1-3任意一项所述基于时空关联性的假轨迹隐私保护方法的交通管理系统。
说明书 :
一种基于时空关联性的假轨迹隐私保护方法
技术领域
[0001] 本发明属于隐私保护技术领域,尤其涉及一种基于时空关联性的假轨迹隐私保护方法。
背景技术
[0002] 基于位置的服务(Location-based Service,LBS)是指与用户指定地理位置密切相关的信息服务。例如,用户可利用Google Latitude等应用查询指定位置的美食、酒店等信息。随着LBS的广泛应用,用户不再局限于享受实时的查询服务,而是更广泛地应用由位置序列构成的轨迹发布。例如,物流公司保存自己的运输轨迹,用于分析其运输路线是否是合理;市政部门收集出租车运行轨迹用于路网建设或交通管理。然而,人们在享受便捷的LBS的同时,也面临着隐私被窃取的风险。用户发布的轨迹中往往包含大量的时空信息。这就使得恶意攻击者可通过分析这些时空信息,结合自己掌握的背景知识,非法获取用户的兴趣爱好、宗教信仰、身体状况、家庭及工作地址等个人隐私,甚至给用户带来经济损失或者威胁用户的人身安全。因此,轨迹发布中的隐私保护受到了国内外学者的广泛关注。
[0003] 现有的轨迹发布隐私保护方法可分为三种:假轨迹、轨迹k-匿名和轨迹抑制。与后两种方法相比,假轨迹隐私保护方法无需可信第三方,且能保留完整的轨迹信息,因此常被用于保护轨迹发布中的用户轨迹隐私。而现有的假轨迹隐私保护方案在假轨迹的生成过程中,不仅未结合实际的地貌、路况等因素考虑单条轨迹中相邻位置间的时空关联性,也忽略了轨迹之间的时空关联性。因此,若用户采用现有假轨迹方案保护自己的真实轨迹,攻击者就能利用单条轨迹中相邻位置间的时空关联性和轨迹之间的时空关联性,识别出某些假轨迹,甚至直接获取用户的真实轨迹。现有假轨迹隐私保护方案仅能以不高于15%的成功率保护用户的真实轨迹。由于无需第三方且能保证轨迹数据的完整性,假轨迹方法已被广泛用于保护轨迹发布中的用户轨迹隐私。现有的假轨迹隐私保护方法不仅未考虑单条轨迹中相邻位置间的时空关联性,也忽略了轨迹之间的时空关联性,使得攻击者能正确识别出某些假轨迹,乃至推测出用户的真实轨迹。使得真实轨迹被识别的概率增大,不能有效的保护用户隐私信息。
发明内容
[0004] 本发明的目的在于提供一种基于时空关联性的假轨迹隐私保护方法,旨在解决现有的假轨迹隐私保护方法未考虑单条轨迹中相邻位置间的时空关联性和轨迹之间的时空关联性,使得攻击者能正确识别出某些假轨迹,推测出用户的真实轨迹,使得隐私保护安全性较低的问题。
[0005] 本发明是这样实现的,一种基于时空关联性的假轨迹隐私保护方法,所述基于时空关联性的假轨迹隐私保护方法从轨迹的整体方向相似、轨迹中相邻位置的时间可达及移动路程相近等因素,对单条轨迹中相邻位置间的时空关联性和轨迹间的相似性进行分析。
[0006] 进一步,所述基于时空关联性的假轨迹隐私保护方法包括:
[0007] (1)利用最小二乘法拟合真实轨迹的整体方向,用户真实轨迹的移动方向的斜率l为:
[0008]
[0009] 其中, (x,y)表示位置坐标。
[0010] (2)利用假位置生成,分别以真实轨迹的起点和终点为保护点生成假位置集合和 并分别从LocSet1和LocSetn中选择假位置,使得真实轨迹整体移动方向的斜率l与假轨迹起止点构成的斜率lslope相近且起止点未在已有轨迹中出现;
[0011] (3)逐一为每条假轨迹生成其第2个到第n-1个位置,在生成假轨迹的第i(2≤i≤n-1)个位置时,以真实轨迹的第i-1和i个位置之间的欧式距离r+random为半径,random表示随机数,以假轨迹第i-1个位置为圆心作圆;
[0012] (4)在生成完整的假轨迹后,拟合假轨迹的整体移动方向的斜率:
[0013]
[0014] 其中, 表示第d条假轨迹trajd的第i个位置;
[0015] (5)对任意第d条假轨迹trajd的第i个位置和第i+1个位置形成的路径进行时间可达性检查和移动距离检查,若:
[0016] 不成立,则记录下不满足要求的路径段数num,如果num>δ×(n-1),则表示不满足要求的轨迹数过多,此时重新生成假轨迹,否则,该条轨迹即为所生成假轨迹,其中,δd,δt和δ为检查阈值,直到生成k-1条假轨迹。
[0017] 进一步,所述起止位置还需要满足下列条件:
[0018]
[0019] 其中, 表示从位置 到 的移动距离,δdis_all为限制移动距离的阈值。
[0020] 进一步,所述在lslope所在直线的两侧,每间隔θ度选择一个候选位置,构成假位置候选集合,直至网格边界与lslope所在直线的夹角达到阈值,在候选集合LocSet′中随机选择假位置, d是网格的边长。
[0021] 进一步,所述基于时空关联性的假轨迹隐私保护方法包括:
[0022]
[0023]
[0024] 本发明的另一目的在于提供一种应用所述基于时空关联性的假轨迹隐私保护方法的基于位置的服务系统。
[0025] 本发明的另一目的在于提供一种应用所述基于时空关联性的假轨迹隐私保护方法的物流运输轨迹分析系统。
[0026] 本发明的另一目的在于提供一种应用所述基于时空关联性的假轨迹隐私保护方法的路网建设系统。
[0027] 本发明的另一目的在于提供一种应用所述基于时空关联性的假轨迹隐私保护方法的交通管理方法。
[0028] 本发明提供的基于时空关联性的假轨迹隐私保护方法,针对所述基于时空关联性的假轨迹隐私保护方法从轨迹的整体方向、轨迹中相邻位置的时间可达及移动距离对单条轨迹中相邻位置间的时空关联性和轨迹间的相似性进行分析的问题,从轨迹的整体方向、轨迹中相邻位置的时间可达及移动距离对单条轨迹中相邻位置间的时空关联性和轨迹间的时空关联性进行分析,提出了一个假轨迹隐私保护方案。
[0029] 本发明针对现有的假轨迹隐私保护方法,利用时间可达性和出入度提出了一个假轨迹识别方法。从整体和局部的角度考虑了单条轨迹中相邻位置间的时空关联性以及轨迹之间的时空关联性,提出了一个假轨迹隐私保护方案。安全性分析表明,能混淆真实轨迹和假轨迹。大量的实验表明,本发明在具有较低计算开销的同时。与现有假轨迹隐私保护方法相比,具有更低的真实轨迹隐私泄露率,有效保护轨迹发布中的用户轨迹隐私。
附图说明
[0030] 图1是本发明实施例提供的基于时空关联性的假轨迹隐私保护方法流程图。
[0031] 图2是本发明实施例提供的假位置候选集示意图。
[0032] 图3是本发明实施例提供的轨迹数量k对轨迹相似度的影响示意图。
[0033] 图4是本发明实施例提供的k对轨迹相度的影响示意图。
[0034] 图5是本发明实施例提供的k对方案运行时间的影响示意图。
具体实施方式
[0035] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0036] 本发明从轨迹的整体方向、轨迹中相邻位置的时间可达及移动距离对单条轨迹中相邻位置间的时空关联性和轨迹间的相似性进行分析,提出了一个基于时空关联性的假轨迹隐私保护方案。安全性分析表明所提方案能有效混淆假轨迹与真实轨迹,避免攻击者识别出假轨迹。大量实验表明,所提方案在仅需较少计算时间的同时,能确保生成的假轨迹与真实轨迹具有相似性,从而有效保护轨迹发布中用户的轨迹隐私。
[0037] 下面结合附图对本发明的应用原理作详细的描述。
[0038] 如图1所示,本发明实施例的基于时空关联性的假轨迹隐私保护方法包括以下步骤:
[0039] S101:利用最小二乘法拟合真实轨迹的整体方向,保证随后生成的假轨迹的移动方向与用户真实轨迹的移动方向相似,使得攻击者难以通过移动方向识别出假轨迹;
[0040] S102:利用现有的假位置生成方案,分别以真实轨迹的起点和终点为保护点生成假位置集合,并分别选择假位置,使得真实轨迹整体移动方向的斜率与假轨迹起止点构成的斜率相近且起止点未在已有轨迹中出现;
[0041] S103:逐一为每条假轨迹生成其第2个到第n-1个位置,在生成假轨迹的第i个位置时,以真实轨迹的第i-1个和第i个位置之间的欧式距离为半径,以假轨迹第i-1个位置为圆心作圆;
[0042] S104:在生成完整的假轨迹后,拟合假轨迹的整体移动方向的斜率:
[0043] S105:对假轨迹的每段路径进行时间可达性和移动距离检查。
[0044] 下面结合具体实施例对本发明的应用原理作进一步的描述。
[0045] 1预备知识
[0046] 1.1基本概念
[0047] 轨迹即由用户的不断移动而产生由时间和位置组成时空序列。本发明将轨迹表示为:
[0048] traj={,,
[0049] …},其中,loci(xi,yi)表示在timei时刻的位置坐标,1≤i≤n。当轨迹发布时,由用户生成条k-1假轨迹与真实轨迹trajreal组成的轨迹集合为Trajs={traj1,traj2,…,tarjk-1,trajreal};|Trajs|表示集合Trajs中的元素个数。
[0050] 本发明借用图论中出入度的概念来表示轨迹集合中以各位置为起点或终点的路径数量。也就是说,出度 表示在轨迹集合中,以第i条轨迹traji的第j个位置为起点的路径数量;入度 则表示在轨迹集合中,以第i条轨迹traji的第j个位置为终点的路径数量。
[0051] 1.2攻击模型
[0052] 在轨迹发布中,攻击者的目的是推测出某些假轨迹,降低用户的轨迹隐私保护需求,甚至直接识别出用户的真实轨迹,从而非法获取用户的个人隐私信息。本发明假设攻击者可以获取用户发布的所有轨迹移动完整路径,掌握地图知识,且能够利用地图接口计算轨迹中前后相邻位置的移动距离和到达时间。攻击者识别假轨迹的能力可从以下两个方面进行度量:
[0053] (1)误判率τ:表示攻击者将用户的真实轨迹识别为假轨迹的概率。样本空间由轨迹集合Trajs,用E表示样本容量。若用E'表示将用户真实轨迹识别为假轨迹的样本数,那么:
[0054]
[0055] 其中,
[0056] (2)识别率 表示攻击者在未将用户的真实轨迹识别为假轨迹的情形下,识别出假轨迹的概率。
[0057] 1.3隐私度量标准
[0058] 定义1(轨迹移动方向相似性).假设loci-1,loci和loci+1是任意一条轨迹traj种相邻的三个位置,令 和 表示它们形成的两个方向向量。此时,这2个方向向量形成的方向夹角θ满足:
[0059]
[0060] 那么,轨迹集合Trajs中的轨迹移动方向相似度σ为:
[0061]
[0062] 其中, 表示真实轨迹trajreal中的第i个方向夹角, 表示第j条轨迹trajj中的第i个方向夹角,m表示任一轨迹中的方向夹角的个数,即表示该轨迹中共包含m+2个位置信息。
[0063] 定义2(轨迹泄露率).假设用户发布的轨迹集合为Trajs,当攻击者利用其具有的轨迹识别能力对轨迹集合Trajs识别后,用户真实位置在任意时刻timei的泄露概率为:
[0064]
[0065] 那么,用户真实轨迹的泄露率为:
[0066]
[0067] 其中,m表示真实轨迹中的方向夹角的个数。
[0068] 2攻击方案
[0069] 下面,为了证明现有假轨迹隐私保护方案忽略了单条轨迹中相邻位置间的时空关联性以及轨迹之间的时空关联性,本发明利用相邻位置间的可达时间和各位置的出入度提出一个假轨迹识别方案。该方案包含时间可达性识别和出入度识别两个步骤。
[0070] 2.1时间可达性识别
[0071] 针对轨迹集中的每条轨迹,依次检查该条轨迹中相邻位置是否满足时间可达性。即将该轨迹中相邻位置坐标发送至地图接口,从地图接口分别获取相邻位置间的可达时间mapTime。随后利用公布时间间隔pubTime(对于具有n个点的轨迹traj,可被划分为n-1段路径,即每相邻两点构成一段路径,那么每条轨迹最多进行n-1次比较)。最终根据比对结果,判断该条轨迹是否为假轨迹。对于任意条轨迹traji∈Trajs,其时间可达性识别步骤如下。
[0072] Step1:若mapTime>>pubTime,即在用户在实际环境中,形成该段路径所需的时间较长(如相邻两个位置分别位于难以河的两岸)。此时,将该条路径判定为假轨迹。否则,进入Step 2。
[0073] Step2:设定识别阈值δt。当|mapTime-pubTime|≥δt·pubTime时,就判定该段路径为可疑路径。分别统计每条轨迹中可疑轨迹的段数numi。
[0074] Step3:计算可疑轨迹的段数numi占该条轨迹中总路径段数的比例。当numi>δt_all×(n-1)时,该条轨迹被识别为假轨迹。其中,δt_all为阈值,
[0075] 2.2出入度识别
[0076] 出入度识别是利用发布的轨迹集合中各位置的出入度值,对假轨迹进行识别。其基本步骤如下:
[0077] Step1:统计轨迹集合中每条轨迹上各个点的出入度。用Di和Ci分别表示轨迹traji∈Trajs上各个位置的出度总和以及入度总和,即: 其中,n表示为轨迹traji上位置的数量。
[0078] Step2:计算轨迹集合的平均出度DaverageOut和平均入度DaverageIn,即:
[0079]
[0080] Step3:当Di<δout·DaverageOut,Ci<δin·DaverageIn时,就将该轨迹识别为假轨迹。其中,δout和δin表示出入度识别阈值。
[0081] 2.3实验评估
[0082] 这部分实验所用的轨迹数据来自Wikiloc网站,首先在该数据集中挑选用户在城市中形成的轨迹数据,然后选用文献[WuX,Sun G.ANovel Dummy-Based Mechanismto ProtectPrivacy onTrajectories[C]//DataMiningWorkshop(ICDMW),2014IEEE International Conference on.IEEE,2014:1120-1125.]提出的假轨迹生成算法——ADTGA生成假轨迹,从而得到轨迹集合。ADTGA生成算法是目前最好的假轨迹生成算法,它在假轨迹生成过程中不仅考虑了真实轨迹与假轨迹之间的距离,还考虑了假轨迹之间的距离。最后,再利用上述假轨迹识别方案对生成的轨迹集进行识别。实验环境为:Intel(R)Core(TM)i5-3470@3.20GHz,4GB内存。算法由C++编程实现,程序运行在windows 7环境下。
[0083] 2.3.1时间可达性识别效果评估
[0084] 随着δt和δt_all的增大,误判率和识别率均呈下降状态。这是由于随着δt和δt_all的不断增大,使得越来越多假轨迹能满足时间可达性识别条件,使得它们不会被识别成假轨迹。这就导致了识别率的降低。相应地,误判率也会随着被判断为假轨迹的轨迹数量减少而降低。
[0085] 2.3.2出入度识别效果评估
[0086] 出入度识别阈值δout和δin对出入度识别效果的影响情况如表1所示。在这部分实验,设置δout=δin。这是因为在由ADTGA算法生成的假轨迹集合中,各位置具有相同的出度和入度。由于ADTGA算法在生成假轨迹的过程中,每条假轨迹是由真实轨迹旋转得到的。这就使得生成的每条假轨迹均与真实轨迹相交。显然,每个交点均会造成出入度的增加。这就导致真实轨迹的出入度总是大于轨迹集合的平均出入度。因此,当出入度识别阈值δout=δin≤1时,误判率为0。当δout=δin>1时,平均出入度与一个大于1的值相乘,得到的结果变大。此时出现真实轨迹出入度小于平均出入度的情况,因此存在误判。
[0087] 表1δout和δin对出入度识别的影响
[0088]
[0089] 2.3.3所提方案的识别效果评估
[0090] 将时间可达性识别和出入度识别同时用于识别假轨迹时,通过表1可知,当δout=δin=1时,出入度攻击具有较高的识别率且误判率为0。因此,此处将出入度阈值设为1。当δt=2/7、δt_all=5/12时,所提假轨迹识别方案的误判率仅为23%,而识别率高达85%。也就是说,现有的假轨迹隐私保护方案仅能以15%的成功率保护用户的真实轨迹。
[0091] 3基于时空关联性的假轨迹隐私保护方案
[0092] 基于上述假轨迹识别原理,本发明还提出了一个基于时空关联性的假轨迹隐私保护方案。本发明在假轨迹生成过程中不仅考虑了每段路径的时间可达性及移动距离,还对轨迹的整体移动方向进行限制。最后还保证在生成的轨迹集合中,每个位置具有相同的出入度。具体过程如下所示。
[0093] (1)拟合真实轨迹的整体方向
[0094] 利用最小二乘法拟合真实轨迹的整体方向,从而保证随后生成的假轨迹的移动方向与用户真实轨迹的移动方向相似,使得攻击者难以通过移动方向识别出假轨迹。其中,用户真实轨迹的移动方向的斜率l为:
[0095]
[0096] 其中,
[0097] (2)起止假位置的生成
[0098] 利用现有的假位置生成方案,分别以真实轨迹的起点和终点为保护点生成假位置集合 和 并分别从LocSet1和LocSetn中选择假位置,使得真实轨迹整体移动方向的斜率l与假轨迹起止点构成的斜率lslope相近且起止点未在已有轨迹中出现。这不仅能限制假轨迹的整体运动方向,还能保证起止位置的出入度均为1。此外,起止位置还需要满足下列条件:
[0099]
[0100] 其中, 表示从位置 到 的移动距离,δdis_all为限制移动距离的阈值。
[0101] 这是因为只有在保证假轨迹起止点在时间区间内可达,才有可能保证该轨迹中任意相邻两位置能在发布时间间隔内可达。并且,移动距离的控制又使得假轨迹与真实轨迹具有相似的移动速度。
[0102] (3)中间位置的生成
[0103] 逐一为每条假轨迹生成其第2个到第n-1个位置。在生成假轨迹的第i(2≤i≤n-1)个位置时,以真实轨迹的第i-1个和第i个位置之间的欧式距离r+random为半径(random表示随机数),以假轨迹第i-1个位置为圆心作圆。在lslope所在直线的两侧,每间隔θ度选择一个候选位置,构成假位置候选集合,直至网格边界与lslope所在直线的夹角达到阈值,如图2所示。假位置候选集为图2中阴影部分。然后再在候选集合LocSet′中随机选择假位置。这样不仅保证生成的假位置具有随
[0104] 机性,而且不能避免出现中间位置突然远离整体轨迹的情况。其中,
[0105]
[0106] d是网格的边长。
[0107] (4)对完整的假轨迹进行整体方向的检查
[0108] 在生成完整的假轨迹后,拟合假轨迹的整体移动方向的斜率:
[0109]
[0110] 其中, 表示第d条假轨迹trajd的第i个位置。
[0111] 随后,将假轨迹的整体移动方向的斜率ldummy与真实轨迹的整体移动方向的斜率l进行对比。如果斜率相近,则进行时间及移动距离的判断。如果不满足,则重新生成假轨迹。
[0112] (5)对假轨迹的每段路径进行时间可达性和移动距离检查
[0113] 对任意第d条假轨迹trajd的第i个位置和第i+1个位置形成的路径进行时间可达性检查和移动距离检查。若:
[0114] 不成立,则记录下不满足要求的路径段数num。如果num>δ×(n-1),则表示不满足要求的轨迹数过多,此时重新生成假轨迹。否则,该条轨迹即为所生成假轨迹。其中,δd,δt和δ为检查阈值。
[0115] 利用上述方案,直到生成k-1条假轨迹。综上所示,本发明所提的基于时空关联性的假轨迹生成算法如下所示:
[0116]
[0117]
[0118] 3.1安全性分析
[0119] 当用户采用本发明生成假轨迹时,首先拟合用户真实轨迹的整体移动方向,计算其斜率。随后在假轨迹起止位置的生成过程中,通过计算斜率比,避免出现假轨迹与真实轨迹移动方向相反的情况。当斜率比不断接近于1时,就能保证虚假移动路径的整体方向与用户真实路径的移动方向平行,使得攻击者难以利用移动方向识别出假轨迹。并且,本发明还能保证起止位置构成的路径能在发布时间间隔内可达,并利用移动距离使得用户在假轨迹与真实轨迹上具有相近的移动速度。这样可避免攻击者在获知用户采用某种交通工具时,利用该类交通工具的移动速度通过计算可达时间识别出假轨迹。当为每条假轨迹生成中间位置时,首先生成候选假位置时,还保证任意2条轨迹不会相交。在遵循上述同样的原则进行对假轨迹进行合理轨迹段比例检查。攻击者从每个时刻观察到的位置数目即为轨迹的数量k。此时,用户真实轨迹的泄露率:
[0120]
[0121] 满足用户的隐私保护需求。综上所述,当攻击者与用户具有相同的假轨迹识别能力时,用户采用本发明能有效保护自己的真实轨迹。
[0122] 下面结合实验对本发明的应用效果作详细的描述。
[0123] 1实验分析
[0124] 为了便于进行有效性分析,从实验数据集中随机选择不同的轨迹作为用户真实移动轨迹,随后采用本发明提出的基于时空关联性的假轨迹生成算法生成假轨迹,形成轨迹集合。最后,在利用提出的假轨迹识别方案对生成的轨迹进行识别,从而表明所提的基于时空关联性的假轨迹隐私保护方案能有效保护用户的真实轨迹。
[0125] 1.1轨迹数量k对轨迹泄露概率的影响
[0126] 利用提出的假轨迹识别方法对本发明生成的轨迹集合进行识别,从而说明本发明能有效保护用的轨迹隐私。在这部分实验中设置δout=δin=1,δt=5/7,δdis_all=5/12,实验如图3所示。当攻击者利用单条轨迹中的时空关联性以及轨迹间的时空关联性对生成轨迹集合进行识别后,并不能识出假轨迹。此时用户的真实轨迹隐私保护等级仍为1/k,满足用户隐私保护需求。而攻击者利用上述时空关联性对由ADTGA算法生成的轨迹集合进行识别时,最好的情况是k=15和k=18时,还剩下2条假轨迹未被识别出。此时,用户的真实轨迹隐私保护等级仅为1/3,远大于1/15和1/18。这就说明了本发明能有效保护用户的轨迹隐私。
[0127] 1.2轨迹数量k对轨迹相似度的影响
[0128] 轨迹的移动方向相似度表现了假轨迹与真实轨迹的轮廓相似程度,能在一定程度上反映用户真实轨迹的隐私保护等级。具体实验结果如图4所示。总体来说,随着k的改变,本发明生成的轨迹集合的相似度σ保持不变,且均在0.5以下。从3.3节中可知,σ越低,表明生成的轨迹集合中各轨迹间的运动方向就越相似。这也说明了本发明能预防攻击者利用各轨迹的移动方向识别出虚假移动路径。
[0129] 1.3轨迹数量k对方案执行时间的影响
[0130] 最后,简要分析轨迹数量k对本发明所提出的假轨迹生成方案在计算开销上的影响,实验结果如图5所示。由于生成的假轨迹数量随着k的增大而增多,这就使得本发明的所需的计算时间也随之增加。然而当k=20时,本发明成功为用户生成假轨迹所需的计算时间仅仅需要0.38s。这说明本发明具有良好的实用性。
[0131] 综上所述,本发明在具有较低计算开销的同时,与现有假轨迹隐私保护方案相比,还能混淆真实轨迹与假轨迹间时空关联性,从而有效保护轨迹发布中用户的轨迹隐私。
[0132] 本发明通过大量实验首先证明现有假轨迹隐私保护方案仅能以不高于15%的成功率保护用户的真实轨迹。而造成上述问题的原因是现有假轨迹隐私保护方案不仅未考虑单条轨迹中相邻位置间的时空关联性,也忽略了轨迹之间的时空关联性,使得攻击者能正确识别出某些假轨迹,乃至推测出用户的真实轨迹。针对上述问题,本发明从轨迹的整体方向、轨迹中相邻位置的时间可达及移动距离对单条轨迹中相邻位置间的时空关联性和轨迹之间的时空关联性进行分析,提出了一个假轨迹隐私保护方案。安全性分析表明,所提方案能混淆真实轨迹和假轨迹间的时空关联性,使得攻击者难以识别出假轨迹。大量实验也表明,本发明在具有较低计算开销的同时,与现有假轨迹隐私保护方法相比,能降低用户真实轨迹的隐私泄露率,有效保护轨迹发布中的用户轨迹隐私。
[0133] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。