CN112069532B - 一种基于差分隐私的轨迹隐私保护方法与装置 - Google Patents

Abstract

本发明提供了一种基于差分隐私的轨迹数据保护方法与装置，涉及网络及信息安全技术领域，包括如下步骤：根据城市真实地图转化的无向图，获取与真实轨迹同起始点、终止点以及轨迹长度相同的轨迹集合，计算路段间的概率转移矩阵；根据一阶马尔科夫模型与概率转移矩阵，计算轨迹集合中每条轨迹的先验概率；根据轨迹的相似性，计算混淆概率矩阵；计算真实轨迹后验概率；根据真实轨迹的先验概率及后验概率，找出是否存在符合差分隐私条件的目标轨迹T^*，上报目标轨迹T^*与真实轨迹的交集路段。本发明能够上报真实位置的数据，同时可以很好的保护参与用户的轨迹隐私。

Description

一种基于差分隐私的轨迹隐私保护方法与装置

技术领域

本发明涉及网络及信息安全技术领域，具体涉及一种基于差分隐私的轨迹数据保护方法与装置。

背景技术

近年来，随着移动群智感知网络的发展，其被广泛应用于各种应用中。如，城市噪音监测、城市交通状况监测、城市环境监测等。移动群智感知网络利用参与用户手中的手机、平板、智能手表等移动智能设备中集成的传感器来感知数据，随后通过无线网络(如，Wi-Fi，4G网络)将感知数据传输到移动群智感知服务器。然而，在类似于城市噪音监测等应用中，往往需要参与用户上报数据时附带所采集数据的位置信息才有意义。不幸的是，参与用户连续的位置泄漏将会导致其移动轨迹的暴露，因此，如何保护移动群智感知网络中参与用户的轨迹隐私是该领域的一个研究热点。

目前，针对移动群智感知网络中的参与用户的轨迹隐私保护研究已经取得了很大的成果。其主要保护方法与思想分为以下4类：1)基于假轨迹的轨迹隐私保护方法：根据真实轨迹的特征，生成与真实轨迹在某些数据特征上类似的假轨迹，用以避免真实轨迹被识别的风险；2)基于泛化法的轨迹隐私保护方法：将组成轨迹的各个位置点泛化为一个区域，该区域包含k条不同轨迹的位置，因此可以达到匿名的目的，从而保护了用户的轨迹隐私；3)基于抑制法的轨迹隐私保护方法：直接将用户移动轨迹中敏感的位置点给抹去；4)基于混合区思想的轨迹隐私保护方法：当用户经过指定区域时，通过变化用户的假名来切断两段轨迹之间的联系，从而保护了用户的轨迹隐私。以上四种方法在实现用户轨迹隐私有效保护时存在两个问题：1)隐私保护与数据质量是一对矛盾，对用户隐私的保护势必会影响到数据的质量；2)以上四种方法只是基于语义上的保护，缺乏严格的隐私定义，同时，对攻击者所拥有的背景知识敏感。

近年来，差分隐私被广泛应用于移动群智感知领域中用户的位置隐私保护，因为它具有严格的数学定义，同时无视攻击者所具有的背景知识。然而，由于差分隐私需要数据集内部不存在关联性，因此直接将差分隐私应用到用户的轨迹隐私保护还存在一些困难。

发明内容

本发明目的在于提供一种基于差分隐私的轨迹数据保护方法与装置，利用差分隐私限制攻击者从用户上报数据中获取更多关于用户真实轨迹的信息，无需向用户上报数据中添加噪音，因此保证了数据的准确性，同时能够保护用户的真实轨迹不被泄漏，方法简单高效。

为达成上述目的，本发明提出如下技术方案：一种基于差分隐私的轨迹数据保护方法，包括如下步骤：

1)获取用户在由城市地图转化的无向图中的历史轨迹、真实轨迹T_t、与真实轨迹T_t同起始点和终止点且轨迹长度相同的轨迹集合计算无向图中所有路段间的概率转移矩阵M；

2)根据概率转移矩阵M以及一阶马尔科夫模型，计算轨迹集合中任一条轨迹的先验概率；

3)根据轨迹的相似性，计算轨迹集合中的任一条轨迹T_i混淆到另一条轨迹T_j的混淆概率P(T_i，T_j)，生成一个混淆概率矩阵G；

4)根据贝叶斯攻击模型、混淆概率矩阵G和先验概率计算真实轨迹的后验概率；

5)判断轨迹集合中是否存在一轨迹T^*，该轨迹T^*对真实轨迹和轨迹集合/>中任一条轨迹T_j(T_j≠T^*)满足公式：

其中，π(T_t)表示真实轨迹的先验概率，σ(T_t)表示真实轨迹的后验概率，P(T_t，T^*)表示目标轨迹混淆至真实轨迹的混淆概率，P(T_j，T^*)

表示目标轨迹混淆

至轨迹T_j的混淆概率，∈为差分隐私的参数，隐私预算；

若存在，则轨迹T^*为满足差分隐私的目标轨迹，上报目标轨迹T^*与真实轨迹T_t的交集路段；

若不存在，则取消本次上报轨迹。

进一步的，所述步骤1)中概率转移矩阵M的计算过程为：

获取城市地图转化的无向图，记为G＝(V，E)，其中，V表示无向图中路口集合，V＝{v₁，v₂，......，v_n}，n表示无向图中路口的总数目；E表示无向图中路段集合，E＝{e₁，e₂，......，e_m}，m表示无向图中路段的总数目；

根据历史轨迹，计数集合E中任一路段e_i跳转到下一个路段e_j的频数N(e_i，e_j)、以及所有经过当前路段e_i的频数N(e_i)，则

其中，j∈{1，2，......，m，j≠i}；

路段e_i与e_j之间的转移概率p(e_i，e_j)为：

由路段集合E中所有的路段之间的转移概率组成的矩阵，即为概率转移矩阵M。

进一步的，根据路段集合E，确定真实轨迹T_t在无向图中的路段序列，T_t＝{e_t1，e_t2，......，e_tk}，其中，t为真实轨迹的下标，k为真实轨迹中路段的总数目；

所述步骤2)中轨迹集合中任一条轨迹记为T，轨迹T＝{e₁，e₂，......，e_k}，其先验概率π(T)的计算公式为：

其中，e_x表示轨迹T中的一个路段。

进一步的，所述步骤3)中混淆概率矩阵G的计算过程为：

对于轨迹集合中任两条轨迹T_i与T_j，分别计算轨迹T_i与T_j的先验概率π(T_i)、π(T_j)；

计数轨迹T_i与轨迹T_j中相交的路段数量，记为count(T_i，T_j)；

计算轨迹T_i与轨迹T_j欧式距离D_E(T_i，T_j)，

其中，表示轨迹中第m个顶点的横坐标，/>第m个顶点的纵坐标；

则，轨迹T_i与轨迹T_j的相似性sm(T_i，T_j)为：

则，轨迹T_i混淆至轨迹T_j的混淆概率P(T_i，T_j)为：

其中，μ为位置参数，λ为尺度参数；

由轨迹集合中所有的轨迹之间的混淆概率组成的矩阵，即为混淆概率矩阵G。

进一步的，所述步骤4)中真实轨迹T_t后验概率σ(T_t)的计算公式为：

其中，π(T_t)为真实轨迹的先验概率。

进一步的，所述步骤5)中根据差分隐私的定义对贝叶斯攻击模型进行保护，则真实轨迹的先验概率π(T_t)和后验概率σ(T_t)满足：

其中，∈表示差分隐私的参数，隐私预算，∈越小，隐私保护级别越高；

进一步对公式(6-1)进行化简，转化为如下形式：

基于在轨迹集合中，/>则上述进一步化简得

判断轨迹集合中是否存在一轨迹T^*，该轨迹T^*满足条件满足公式(6-2)；若轨迹集合/>中存在轨迹T^*，则该轨迹T^*为满足∈-差分隐私的目标轨迹，上报目标轨迹T^*与真实轨迹T_t的交集路段；

若轨迹集合中不存在轨迹T^*，则取消本次上报轨迹。

进一步的，所述步骤1)中根据邻接矩阵利用路径搜索算法获取同起始点、终止点以及相同轨迹长度的所有轨迹，获得轨迹集合

进一步的，当轨迹集合中存在一目标轨迹T^*满足差分隐私要求，则目标轨迹T^*与真实轨迹T_t的交集路段集合记为Q，

Q＝T_t∩T^* (8-1)；

定义用户轨迹隐私保护过程中用户关注的敏感路段集合为W，则上报路段集合记为R，

R＝C_Q(Q∩W) (8-2)。

本发明还公开了一种基于差分隐私的轨迹数据保护装置，包括：处理器，所述处理器用于执行存储在存储器中的以下程序模块；

获取模块，用于获取用户在由城市地图转化的无向图中的历史轨迹、真实轨迹T_t、与真实轨迹T_t同起始点和终止点且轨迹长度相同的轨迹集合

第一计算模块，用于计算无向图中所有路段间的概率转移矩阵M；

第二计算模块，用于根据概率转移矩阵M以及一阶马尔科夫模型，计算轨迹集合中任一条轨迹的先验概率；

第三计算模块，用于根据轨迹的相似性，计算轨迹集合中的任一条轨迹T_i混淆到另一条轨迹T_j的混淆概率P(T_i，T_j)，生成混淆概率矩阵G；

第四计算模块，用于根据贝叶斯攻击模型、混淆概率矩阵G和先验概率计算真实轨迹的后验概率；

判断模块，用于判断轨迹集合中是否存在一目标轨迹T^*，该轨迹T^*对真实轨迹和轨迹集合/>中任一条轨迹T_j(T_j≠T^*)满足如下公式(6-3)：

其中，π(T_t)表示真实轨迹的先验概率，σ(T_t)表示真实轨迹的后验概率，P(T_t，T^*)表示目标轨迹混淆至真实轨迹的混淆概率，P(T_j，T^*)表示目标轨迹混淆至轨迹T_j的混淆概率，∈为差分隐私的参数，隐私预算；

上报模块，用于当轨迹集合中存在满足差分隐私的目标轨迹T^*时，上报目标轨迹T^*与真实轨迹T_t的交集路段。

本发明还公开了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时，实现上述的基于差分隐私的轨迹数据保护方法。

由以上技术方案可知，本发明的技术方案提供的基于差分隐私的轨迹数据保护方法与装置，获得了如下有益效果：

1)本发明的技术方案采用差分隐私作为隐私定义，相较于传统的隐私定义，例如k匿名而言，其具有严格的、可证明的数学定义，并且无需考虑攻击者所具备的背景知识；

2)本发明的技术方案无需考虑可信第三方，直接在参与用户的本地客户端完成，无需用户间的相互协作，避免了恶意参与用户的可能性；

3)本发明最终上报的是用户真实位置的数据，因此不存在数据精度的问题，无需考虑因添加噪音而造成的数据精度损失问题；

4)本发明相较于加密算法，只需要执行简单的计算即可完成隐私保护效果，大大降低了计算成本，提高了计算效率。

应当理解，前述构思以及在下面更加详细地描述的额外构思的所有组合只要在这样的构思不相互矛盾的情况下都可以被视为本公开的发明主题的一部分。

结合附图从下面的描述中可以更加全面地理解本发明教导的前述和其他方面、实施例和特征。本发明的其他附加方面例如示例性实施方式的特征和/或有益效果将在下面的描述中显见，或通过根据本发明教导的具体实施方式的实践中得知。

附图说明

附图不意在按比例绘制。在附图中，在各个图中示出的每个相同或近似相同的组成部分可以用相同的标号表示。为了清晰起见，在每个图中，并非每个组成部分均被标记。现在，将通过例子并参考附图来描述本发明的各个方面的实施例，其中：

图1为本发明***流程图；

图2为本发明的移动群智感知网络数据采集模型；

图3(a)为城市真实道路地图；

图3(b)为城市真实道路地图转化后的逻辑地图；

图4为本发明上报路径流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例的附图,对本发明实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于所描述的本发明的实施例,本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。除非另作定义,此处使用的技术术语或者科学术语应当为本发明所属领域内具有一般技能的人士所理解的通常意义。

本发明专利申请说明书以及权利要求书中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。同样,除非上下文清楚地指明其它情况，否则单数形式的“一个”“一”或者“该”等类似词语也不表示数量限制,而是表示存在至少一个。“包括”或者“包含”等类似的词语意指出现在“包括”或者“包含”前面的元件或者物件涵盖出现在“包括”或者“包含”后面列举的特征、整体、步骤、操作、元素和/或组件,并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

基于现有技术中针对移动群智感知网络实现用户轨迹隐私保护的方法存在隐私保护与数据质量的矛盾、缺乏严格隐私定义的技术问题；差分隐私基于其具有严格的数据定义并能无视攻击者所具有的背景知识，因此能解决上述技术问题，但是基于差分隐私应用在用户轨迹隐私保护时需要数据集内部不存在关联性，因此无法直接应用；本发明旨在提出一种基于差分隐私的轨迹数据保护方法与装置，利用差分隐私限制攻击者从用户上报数据中获取更多关于用户真实轨迹的信息，无需向用户上报数据中添加噪音，保证数据准确性和用户真实轨迹，方法简单高效。

下面结合附图所示，对本发明基于差分隐私的轨迹数据保护方法与装置，作进一步具体介绍。

本发明旨在利用移动群智感知网络构建城市规模的数据采集模型，本发明需要借助于移动群智感知网络中参与用户的手持智能设备进行数据的感知、采集以及传输。在很多应用中，往往需要参与者所采集的数据的时空信息才具有意义。然而，用户时空信息的泄露将会导致其相关隐私遭受威胁，如，工作地址、个人爱好、健康状况等私密信息。目前，已经存在相关工作对用户的轨迹隐私进行保护，例如k-匿名、假数据、抑制法、混合区思想和差分隐私等。然而，这些方案一方面存在数据隐私定义问题，另一方面，需要对用户的隐私保护级别与数据的可用性之间进行平衡。

结合图1所示，本发明提出的基于差分隐私的轨迹隐私保护方法，直接应用在用户本地端，通过使用与真实轨迹同起始点、终止点，且轨迹长度相同的相似的假轨迹来混淆真实轨迹，并根据轨迹的相似程度为其指派一混淆概率。同时考虑贝叶斯攻击模型，找一条能够完美混淆真实轨迹的假轨迹，把假轨迹中与真实轨迹的交集路段部分进行上报，一方面保证数据的精度，另一方面防止真实轨迹被识别。

本发明基于差分隐私的轨迹数据保护方法，具体包括如下步骤：

1)获取用户在由城市地图转化的无向图中的历史轨迹、真实轨迹T_t、与真实轨迹T_t同起始点和终止点且轨迹长度相同的轨迹集合计算无向图中所有路段间的概率转移矩阵M；

2)根据概率转移矩阵M以及一阶马尔科夫模型，计算轨迹集合中任一条轨迹的先验概率；

3)根据轨迹的相似性，计算轨迹集合中的任一条轨迹T_i混淆到另一条轨迹T_j的混淆概率P(T_i，T_j)，生成一个混淆概率矩阵G；

4)根据贝叶斯攻击模型、混淆概率矩阵G和先验概率计算真实轨迹的后验概率；

5)判断轨迹集合中是否存在一轨迹T^*，该轨迹T^*对真实轨迹T_t和轨迹集合/>中任一条轨迹T_j(T_j≠T^*)满足公式：

其中，π(T_t)表示真实轨迹的先验概率，σ(T_t)表示真实轨迹的后验概率，P(T_t，T^*)表示目标轨迹混淆至真实轨迹的混淆概率，P(T_j，T^*)表示目标轨迹混淆至轨迹T_j的混淆概率，∈为差分隐私的参数，隐私预算；

若存在，则轨迹T^*为满足差分隐私的目标轨迹，上报目标轨迹T^*与真实轨迹T_t的交集路段；若不存在，则取消本次上报轨迹。

本发明中，对于轨迹数据的采集，可结合图2所示的实施例，通常以参与用户手中的手持设备作为数据采集工具，如可穿戴智能设备、智能手机、平板电脑等，用以进行相关数据的收集工作。其中，感知平台将数据收集任务分发给参与用户，移动用户端利用手持智能设备的相关传感器进行数据的感知、收集，随后通过无线网络将采集的数据传输到感知平台。

结合图3(a)和3(b)所示，本发明先将真实城市地图转化为对应的逻辑地图，即无向图，将真实城市地图中的交叉路口对应到无向图中的顶点，路段对应到无向图中的边，记为G＝(V，E)，其中，V表示无向图中路口集合，V＝{v₁，v₂，......，v_n}，n表示无向图中路口的总数目；E表示无向图中路段集合，E＝{e₁，e₂，......，e_m}，m表示无向图中路段的总数目；轨迹集合的获取过程为，先通过本地端的移动智能设备获取到用户的真实轨迹，了解真实轨迹的完整信息，包括起始点v_s、终止点v_e、轨迹长度L等信息；其次根据这些信息，根据邻接矩阵利用路径搜索算法可从无向图G＝(V，E)中得到一系列具有相同的起始点、终止点与轨迹长度的轨迹，完成轨迹集合/>的获取。

因此，本发明的技术方案将对真实地图中的路段、节点的操作均转化为对无向图中顶点与边的操作，符合差分隐私的路段上报问题转化为在无向图中筛选满足用户隐私条件的边进行上报。

结合无向图G＝(V，E)，在步骤1)中概率转移矩阵M的计算过程为：

根据历史轨迹，计数集合E中任一路段e_i跳转到下一个路段e_j的频数N(e_i，e_j)、以及所有经过当前路段e_i的频数N(e_i)，则

其中，j∈{1，2，......，m，j≠i}；

路段e_i与e_j之间的转移概率p(e_i，e_j)为：

由路段集合E中所有的路段之间的转移概率组成的矩阵，即为概率转移矩阵M。

结合无向图G＝(V，E)中的路段集合E，确定真实轨迹T_t在无向图中的路段序列，T_t＝{e_t1，e_t2，......，e_tk}，其中，t为真实轨迹的下标，k为真实轨迹中路段的总数目；则对于轨迹集合中任一条轨迹，其轨迹的起始点和终止点均为e_t1和e_tk。

因此，对于步骤2)中轨迹集合中任一条轨迹记为T，T＝{e₁，e₂，......，e_k}，由概率转移矩阵M可得，其先验概率π(T)的计算公式为：

其中，e_x表示轨迹T中的一个路段。

对于轨迹相似性的度量，考虑轨迹集合中任一条轨迹的先验概率、集合中任两条轨迹T_i与T_j的相交的路段数量，以及集合中任两条轨迹T_i与T_j的欧式距离。其中，轨迹的先验概率可以通过路段间的概率转移矩阵M结合一阶马尔科夫计算得到。

对于轨迹集合中任两条轨迹T_i与T_j，轨迹T_i与T_j的先验概率π(T_i)、π(T_j)可分别采用公式(3－1)结合路段间的概率转移矩阵M计算得到。

结合无向图G＝(V，E)中的路段集合E，计数轨迹T_i与轨迹T_j中相交的路段数量，记为count(T_i，T_j)；

计算轨迹T_i与轨迹T_j欧式距离D_E(T_i，T_j)，

其中，表示任一轨迹中第m个顶点的横坐标，/>第m个顶点的纵坐标，字母d表示两条轨迹中的任一条；

则，综合以上三个因素来度量两条轨迹的相似性，记为sm(T_i，T_j)：

在计算得到轨迹之间的相似性之后，根据轨迹间的相似度为轨迹间的混淆指定一个概率，即为混淆概率，混淆概率的指定采用如下公式进行，即

轨迹T_i混淆至轨迹T_j的混淆概率P(T_i，T_j)为：

其中，μ为位置参数，λ为尺度参数，该两个参数在现有技术中可通过最大似然估计进行求解；由轨迹集合中所有的轨迹之间的混淆概率组成的矩阵，即为混淆概率矩阵G，大小为/>

如何从轨迹集合中选定一条假，来实现最优上报路径的选择，具体过程如下：

由前述计算得到的轨迹集合中任一条轨迹的先验概率π(T)、轨迹集合/>中轨迹的混淆概率矩阵G，则根据贝叶斯攻击模型，可直接计算出攻击者推测的真实轨迹的后验概率，记为σ(T_t)，

其中，π(T_t)为真实轨迹的先验概率。

根据差分隐私的定义对贝叶斯攻击模型进行保护，则真实轨迹的先验概率π(T_t)和后验概率σ(T_t)应满足如下公式：

其中，∈表示差分隐私的参数，隐私预算，∈越小，隐私保护级别越高；

进一步对公式(6-1)进行化简，转化为如下形式：

基于在轨迹集合中，/>则上述进一步化简得

因此，本发明的技术方案转化为从轨迹集合中找到一条轨迹T_i，其对于轨迹集合/>的任意一条轨迹和真实轨迹都满足公式(6-2)，该轨迹T_i记为目标轨迹T^*，取目标轨迹T^*与真实轨迹T_t的交集路段，即是属于满足用户隐私要求的上报路段。上述公式(6-2)进一步表示如下：

结合图4所示，在具体实施时，可将轨迹集合中的所有轨迹都当成是待判断的目标轨迹T^*；接下来，遍历整个轨迹集合/>如果存在一条轨迹T_i对于该集合中的任意一条轨迹T_j都有公式(6-2)成立，即说明该轨迹T_i满足了差分隐私，即找到目标轨迹T^*；随后，只需要拿目标轨迹T^*与真实轨迹T_t取交集路段，便可得到上报路段集合R。如果在轨迹集合/>中找不到这样的目标轨迹T^*，说明参与者对自己的隐私保护要求高，因此无法上报，即取消本次上报轨迹。

在具体应用时，存在真实城市地图中的某些路段对于参与用户而言属于敏感路段，因此，需要对上报路段进行进一步的筛选。

定义在真实城市地图中用户敏感的路段集合为W，目标轨迹T^*与真实轨迹T_t的交集路段集合记为Q，则若集合Q中包含敏感路段，将应将其删除，随后再进行路段上报，即

Q＝T_t∩T^* (8－1)；

R＝C_Q(Q∩W) (8－2)；

若集合Q中不包含敏感路段，则R＝Q，即可直接上报集合Q。

本发明一实施例提供了一种基于差分隐私的轨迹数据保护装置，该实施例公开的装置包括处理器、存储器，以及存储在存储器中并可在所述处理器上运行的计算机程序，即上述的基于差分隐私的轨迹数据保护方法。该装置采用上述公开的基于差分隐私的轨迹数据保护方法实现对用户的隐私保护。示例性的，所述基于差分隐私的轨迹数据保护方法可以被分割成多个模块，多个模块被存储在存储器中，由处理器执行完成本发明。所述多个模块或单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述基于差分隐私的轨迹数据保护方法在所述基于差分隐私的轨迹数据保护装置中的执行过程。例如，所述基于差分隐私的轨迹数据保护方法可以被分割成获取模块、第一计算模块、第二计算模块、第三计算模块、第四计算模块、判断模块和上报模块，各模块的具体功能如下：

获取模块，用于获取用户在由城市地图转化的无向图中的历史轨迹、真实轨迹T_t、与真实轨迹T_t同起始点和终止点且轨迹长度相同的轨迹集合

第一计算模块，用于计算无向图中所有路段间的概率转移矩阵M；

第二计算模块，用于根据概率转移矩阵M以及一阶马尔科夫模型，计算轨迹集合中任一条轨迹的先验概率；

第三计算模块，用于根据轨迹的相似性，计算轨迹集合中的任一条轨迹T_i混淆到另一条轨迹T_j的混淆概率P(T_i，T_j)，生成混淆概率矩阵G；

第四计算模块，用于根据贝叶斯攻击模型、混淆概率矩阵G和先验概率计算真实轨迹的后验概率；

判断模块，用于判断轨迹集合中是否存在一目标轨迹T^*，该轨迹T^*对真实轨迹T_t和轨迹集合/>中任一条轨迹T_j(T_j≠T^*)满足如下公式(6－3)：

其中，π(T_t)表示真实轨迹的先验概率，σ(T_t)表示真实轨迹的后验概率，P(T_t，T^*)表示目标轨迹混淆至真实轨迹的混淆概率，P(T_j，T^*)

表示目标轨迹混淆

至轨迹T_j的混淆概率，∈为差分隐私的参数，隐私预算；

上报模块，用于当轨迹集合中存在满足差分隐私的目标轨迹T^*时，上报目标轨迹T^*与真实轨迹T_t的交集路段。

部分实施例中基于差分隐私的轨迹数据保护装置还包括第二判断模块和删除模块，用于判断目标轨迹T^*与真实轨迹T_t交集路段中是否存在用户不想公开的敏感路段，若存在，采用删除模块删去交集路段中的敏感路段后，再由上报模块上报。

所述实施例公开的基于差分隐私的轨迹数据保护装置，可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述基于差分隐私的轨迹数据保护装置可包括，但不仅限于，处理器、存储器。本领域技术人员可以理解，图2所述的模型示意图仅仅是基于差分隐私的轨迹数据保护装置数据采集的示例，并不构成对基于差分隐私的轨迹数据保护装置的限定，可以包括比图2更多或更少的部件，或者组成某些部件，或者不同的部件，例如，所述基于差分隐私的轨迹数据保护装置还可以包括输入输出设备、网络接入设备、总线等。

所述处理器可以是中央处理单元，还可以是其他通用处理器、数字信号树立起、专用集成电路、现成可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，所述处理器是所述基于差分隐私的轨迹数据保护装置的控制中心，利用各种借口和线路连接整个基于差分隐私的轨迹数据保护装置的各个部分。

存储器作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如本发明实施例中的基于差分隐私的轨迹数据保护方法对应的程序指令/模块，处理器通过运行存储在存储器的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及数据处理，即实现上述方法实施例中的基于差分隐私的轨迹数据保护方法。

存储器可以包括存储程序区和存储数据区，其中，存储程序区可存储操作***、至少一个功能所需要的应用程序；存储数据区可存储处理器所创建的数据等。此外，存储器优选但不限于高速随机存取存储器，例如，还可以是非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器还可选包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

本发明公开的基于差分隐私的轨迹数据保护方法作为计算机程序一软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本发明上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述方法实施例的步骤和结果。其中，存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘或固态硬盘等；存储介质还可以包括上述种类的存储器的组合。

本发明中，采用差分隐私作为技术方案的隐私定义，因此其具有严格的数学隐私定义；其次，本发明上报的数据是真实位置的数据，不需要考虑数据精度与隐私保护级别之间的冲突。同时，本发明没有考虑可信第三方，其计算均是在本地端完成，随后将筛选的数据传输到群智感知服务器，计算量小且安全。

虽然本发明已以较佳实施例揭露如上，然其并非用以限定本发明。本发明所属技术领域中具有通常知识者，在不脱离本发明的精神和范围内，当可作各种的更动与润饰。因此，本发明的保护范围当视权利要求书所界定者为准。

Claims (10)

1.一种基于差分隐私的轨迹数据保护方法，其特征在于，所述方法包括如下步骤：

1)获取用户在由城市地图转化的无向图中的历史轨迹、真实轨迹T_t、与真实轨迹T_t同起始点和终止点且轨迹长度相同的轨迹集合计算无向图中所有路段间的概率转移矩阵M；

2)根据概率转移矩阵M以及一阶马尔科夫模型，计算轨迹集合中任一条轨迹的先验概率；

3)根据轨迹的相似性，计算轨迹集合中的任一条轨迹T_i混淆到另一条轨迹T_j的混淆概率P(T_i，T_j)，生成一个混淆概率矩阵G；

4)根据贝叶斯攻击模型、混淆概率矩阵G和先验概率计算真实轨迹的后验概率；

5)判断轨迹集合中是否存在一轨迹T^*，该轨迹T^*对真实轨迹和轨迹集合/>中任一条轨迹T_j(T_j≠T^*)满足公式：

其中，π(T_t)表示真实轨迹的先验概率，σ(T_t)表示真实轨迹的后验概率，P(T_t，T^*)表示目标轨迹混淆至真实轨迹的混淆概率，P(T_j，T^*)表示目标轨迹混淆至轨迹T_j的混淆概率，∈为差分隐私的参数，隐私预算；

若存在，则轨迹T^*为满足差分隐私的目标轨迹，上报目标轨迹T^*与真实轨迹T_t的交集路段；

若不存在，则取消本次上报轨迹。

2.根据权利要求1所述的基于差分隐私的轨迹数据保护方法，其特征在于，所述步骤1)中概率转移矩阵M的计算过程为：

获取城市地图转化的无向图，记为G＝(V，E)，其中，V表示无向图中路口集合，V＝{v₁，v₂，......，v_n}，n表示无向图中路口的总数目；E表示无向图中路段集合，E＝{e₁，e₂，......，e_m}，m表示无向图中路段的总数目；

根据历史轨迹，计数集合E中任一路段e_i跳转到下一个路段e_j的频数N(e_i，e_j)、以及所有经过当前路段e_i的频数N(e_i)，则

其中，j∈{1，2，......，m，j≠i}；

路段e_i与e_j之间的转移概率p(e_i，e_j)为：

由路段集合E中所有的路段之间的转移概率组成的矩阵，即为概率转移矩阵M。

3.根据权利要求2所述的基于差分隐私的轨迹数据保护方法，其特征在于，所述步骤2)中轨迹集合中任一条轨迹记为T，

根据路段集合E，确定真实轨迹T_t在无向图中的路段序列，T_t＝{e_t1，e_t2，......，e_tk}，其中，t为真实轨迹的下标，k为真实轨迹中路段的总数目；

则，轨迹T＝{e₁，e₂，......，e_k}，其先验概率π(T)的计算公式为：

其中，e_x表示轨迹T中的一个路段。

4.根据权利要求3所述的基于差分隐私的轨迹数据保护方法，其特征在于，所述步骤3)中混淆概率矩阵G的计算过程为：

对于轨迹集合中任两条轨迹T_i与T_j，分别计算轨迹T_i与T_j的先验概率π(T_i)、π(T_j)；

计数轨迹T_i与轨迹T_j中相交的路段数量，记为count(T_i，T_j)；

计算轨迹T_i与轨迹T_j欧式距离D_E(T_i，T_j)，

其中，表示轨迹中第m个顶点的横坐标，/>第m个顶点的纵坐标；

则，轨迹T_i与轨迹T_j的相似性sm(T_i，T_j)为：

则，轨迹T_i混淆至轨迹T_j的混淆概率P(T_i，T_j)为：

其中，μ为位置参数，λ为尺度参数；

由轨迹集合中所有的轨迹之间的混淆概率组成的矩阵，即为混淆概率矩阵G。

5.根据权利要求4所述的基于差分隐私的轨迹数据保护方法，其特征在于，所述步骤4)中真实轨迹T_t后验概率σ(T_t)的计算公式为：

其中，π(T_t)为真实轨迹的先验概率。

6.根据权利要求5所述的基于差分隐私的轨迹数据保护方法，其特征在于，所述步骤5)中根据差分隐私的定义对贝叶斯攻击模型进行保护，则真实轨迹的先验概率π(T_t)和后验概率σ(T_t)满足：

其中，∈表示差分隐私的参数，隐私预算，∈越小，隐私保护级别越高；

进一步对公式(6－1)进行化简，转化为如下形式：

基于在轨迹集合中，/>则上述进一步化简得

判断轨迹集合中是否存在一轨迹T_i，该轨迹T_i满足条件满足公式(6－2)；若轨迹集合中存在轨迹T_i，则该轨迹T_i为满足∈-差分隐私的目标轨迹T^*，公式(6－2)进一步表示为：

上报目标轨迹T^*与真实轨迹T_t的交集路段；

若轨迹集合中不存在轨迹T^*，则取消本次上报轨迹。

7.根据权利要求1所述的基于差分隐私的轨迹数据保护方法，其特征在于，所述步骤1)中根据邻接矩阵利用路径搜索算法获取同起始点、终止点以及相同轨迹长度的所有轨迹，获得轨迹集合

8.根据权利要求6所述的基于差分隐私的轨迹数据保护方法，其特征在于，当轨迹集合中存在一目标轨迹T^*满足差分隐私要求，则目标轨迹T^*与真实轨迹T_t的交集路段集合记为Q，

Q＝T_t∩T^* (8-1)；

定义用户轨迹隐私保护过程中用户敏感的路段集合为W，则上报路段集合记为R，

R＝C_Q(Q∩W) (8－2)。

9.一种基于差分隐私的轨迹数据保护装置，其特征在于，包括：处理器，所述处理器用于执行存储在存储器中的以下程序模块；

获取模块，用于获取用户在由城市地图转化的无向图中的历史轨迹、真实轨迹T_t、与真实轨迹T_t同起始点和终止点且轨迹长度相同的轨迹集合

第一计算模块，用于计算无向图中所有路段间的概率转移矩阵M；

第二计算模块，用于根据概率转移矩阵M以及一阶马尔科夫模型，计算轨迹集合中任一条轨迹的先验概率；

第三计算模块，用于根据轨迹的相似性，计算轨迹集合中的任一条轨迹T_i混淆到另一条轨迹T_j的混淆概率P(T_i，T_j)，生成混淆概率矩阵G；

第四计算模块，用于根据贝叶斯攻击模型、混淆概率矩阵G和先验概率计算真实轨迹的后验概率；

判断模块，用于判断轨迹集合中是否存在一轨迹T^*，该轨迹T^*对轨迹集合/>中任一条轨迹T_j(T_j≠T^*)满足如下公式(6－3)：

其中，π(T^*)表示轨迹T^*的先验概率，σ(T^*)表示轨迹T^*的后验概率，P(T_t，T^*)表示目标轨迹混淆至真实轨迹的混淆概率，P(T_j，T^*)表示目标轨迹混淆至轨迹T_j的混淆概率，∈为差分隐私的参数，隐私预算；

上报模块，用于当轨迹集合中存在满足差分隐私的目标轨迹T^*时，上报目标轨迹T^*与真实轨迹T_t的交集路段。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时，实现如权利要求1－8任一项所述的基于差分隐私的轨迹数据保护方法。