本發明公開了一種面向隱私保護的用戶軌跡生成方法及系統，屬于數據安全領域。包括：將時間段t對應的位置元組數據流所在區域范圍劃分為層次網格，采用Geohash算法對各個網格編碼，得到每個位置數據元組的編碼字符串；根據劃分后的網格和所有位置數據元組的編碼字符串，生成元組數據流對應前綴層次樹；將元組數據流劃分為k段，根據隱私預算值對每段數據流進行采樣，得到采樣后的位置元組數據集根據差分隱私指數機制，將各個采樣后的位置元組泛化到對應劃分區域內，得到泛化后的位置元組數據集通過隱私預算，對處于相同劃分網格內的元組數據合并得到用戶軌跡。做到用戶數據隱私的保密性的同時，保證一定的數據可用性以及流數據處理的高效性。

技術領域

本發明屬于數據安全領域，更具體地，涉及一種面向隱私保護的用戶軌跡生成方法及系統。

背景技術

近年來，隨著GPS移動設備、智能手機、基于位置的社交網絡和谷歌地圖等交通導航服務的大力普及與發展，產生了大量基于用戶的移動軌跡數據。利用第三方服務挖掘這些數據，以實現城市規劃、出行模式分析、路線推薦和交通管理等目的。但是，軌跡數據往往蘊含了移動用戶在時間、空間維度上的豐富信息，發布軌跡數據引發了合理的隱私擔憂。針對軌跡數據的推理攻擊，不僅可得出用戶在什么時間去過什么位置，還可以分析出目標用戶的家庭住址、工作地點等敏感位置信息，甚至可推測出用戶的生活習慣、健康狀態、宗教信仰等隱私信息。研究發現即使是完全的偽匿名化，通過一個外部數據集或者額外的背景知識足以高精度地重新識別個體。因此，傳統的發布軌跡數據集的方法可能會造成隱私泄露，需要探索保護隱私的軌跡數據發布的新途徑。

軌跡數據也是流數據的一種，即就是時空環境下，通過對一個或多個移動對象運動過程的采樣所獲得的數據信息序列，包括采樣點位置、采樣時間等。這些采樣點數據信息根據采樣先后順序構成了軌跡數據流。對于軌跡數據隱私保護處理來說，需要講求的是隱私性、可用性、高效性三者的動態平衡。由于軌跡流數據自身的高速、海量、不確定性(位置數據在每個單位時間到來的規模以及形式都是不可預知的)等特點，使得在軌跡流數據上做到實時隱私保護處理顯得尤為困難。目前，針對軌跡數據信息的隱私保護的方法大致可以分為兩類：

基于數據匿名化的隱私保護方法，如基于軌跡數據的k匿名技術，其核心思想為將一條軌跡和其他k-1條相似的軌跡泛化為一個匿名區域，使得每個區域至少覆蓋k個用戶，從而使得攻擊者成功識別特定的軌跡信息的概率最高為1/k，以此滿足匿名需求以達到隱私保護的目的。但這種k匿名技術存在一些漏洞和缺點，攻擊者可以利用背景知識對數據集進行攻擊，這種基于分區的軌跡隱私保護數據發布模型由于其確定性，很難抵抗這種類型的攻擊。其可用性較高，而且其算法原理相對簡單，但無法在理論上證明其絕對安全，只能對已有的方案進行改進和完善。

基于數據擾動的隱私保護方法，如差分隱私技術，它的原理是對原始數據、對原始數據的轉換或者是對統計結果添加噪音來達到隱私保護效果。即使攻擊者已經掌握除某一條記錄之外的所有記錄的信息，該記錄的隱私也無法被披露。在攻擊者在擁有最大背景知識條件下，系統仍能抵御各種攻擊。也就是說，這個機制保證了一個數據集的每個個體的隱私信息都不被泄露，即使在數據集中添加或刪除一條記錄都不會對輸出結果產生影響，但數據集整體的統計學信息比如均值，方差等卻可以被外界了解。隱私性和可用性在不同的應用場景中難以做到更好的平衡。

發明內容

針對現有技術的缺陷和改進需求，本發明提供了一種面向隱私保護的用戶軌跡生成方法及系統，其目的在于做到用戶數據隱私的保密性的同時，保證一定的數據可用性以及流數據處理的高效性。

為實現上述目的，按照本發明的第一方面，提供了一種面向隱私保護的用戶軌跡生成方法，該方法包括以下步驟：

S1.將時間段t對應的位置元組數據流S所在區域范圍劃分為層次網格，采用Geohash算法對各個網格進行編碼，得到每個位置數據元組的編碼字符串；

S2.根據劃分后的網格和所有位置數據元組的編碼字符串，生成該元組數據流S對應的前綴層次樹；