本發明屬于信息安全技術領域，涉及一種基于圖差分隱私模型的敏感標簽軌跡數據發布方法，包括：軌跡的聚類和泛化，基于圖的時空點差分隱私，和發布帶隱私標簽的軌跡數據。在第一階段，首先將所有時空點劃分為熱點區域和異常值，然后使用熱點區域的中心位置來泛化軌跡數據中的每個具體位置。在第二階段中，建立一個噪聲圖，將熱點、異常值以及隱私標簽映射到有向加權圖，為了控制所添加噪聲的大小并盡可能地保護數據的可用性，為不同的頂點設置不同的隱私預算，然后添加拉普拉斯噪聲以實現差分隱私。在發布階段，首先還原泛化后的軌跡數據集中的各條記錄，并選擇頭頂點，根據啟發式生成軌跡數據，就得到了匿名后的數據，并且保證了數據的高可用性。

技術領域

本發明涉及一種基于圖差分隱私模型的敏感標簽軌跡數據發布方法，屬于信息安全技術領域。

背景技術

隨著位置感知設備和無線通信的爆炸式增長，移動物體的時空軌跡可以被輕松收集和分析。日常生活中依賴這些軌跡數據來為用戶提供豐富服務的應用越來越多，如位置社交網絡，基于位置的服務和移動健康等等。在這種數據驅動的應用中，軌跡很多時候由一個標簽和一系列時空點組成。軌跡數據來源非常豐富，比如各種GPS設備、手機等移動設備、基站甚至社交網絡分享的位置等等。隨著數據的獲取設備越來越發達，軌跡數據有了很大積累，軌跡數據之中隱藏的大量信息越來越引起眾多政府、企業以及科研機構的密切關注。

軌跡數據可以用來為用戶提供更好的服務，這些LBS應用根據用戶的軌跡數據，能夠為用戶推薦與查詢內容更加符合的商家或滿足用戶要求的服務，例如基于位置的餐飲、娛樂和旅游等服務。隨著移動設備越來越成為人們生活的一部分，移動醫療因為其方便性也受到了更多的關注。在移動醫療中，醫生與患者不用每次面對面了解病情，而是通過移動設備來遠程定位和獲取患者的位置以及其他的生理信息，以實現對患者的長期關注，這對于慢性疾病患者、精神患者等特殊人群的診治有著極大的幫助。軌跡數據在災難管理也有重要的應用，軌跡數據的使用有利于大型傳染病的早期發現與范圍控制。例如對流行病的監測，包含軌跡數據的信息能及早發現流行病爆發。此外，軌跡數據在路線推薦、交通路況預測、出租車服務等應用中也被廣泛使用。

但是，這些數據中的許多信息都是隱私的數據，屬于私人敏感信息。其中，軌跡數據包含豐富的時空信息，從大量的軌跡數據之中可以分析得出用戶的行為習慣、常去地點和社交關系等隱私信息，攻擊者可以挖掘出用戶的家庭工作地址、興趣地點或者常去的活動地點等信息。除軌跡數據外，會有一些用戶的隱私標簽(如疾病)隨著軌跡數據一起發布形成帶隱私標簽軌跡數據，因此攻擊者除了可以分析出軌跡中的隱私信息還可能推測出對應的標簽信息。在上述的應用中，有許多隱私標簽隨著軌跡一起發布，或與軌跡數據屬于同一移動對象，又或者在軌跡數據中可以分析出的某些隱私標簽。即使在正確簡單匿名用戶身份之后，軌跡數據發布仍然會造成用戶個人信息的隱私泄露。這是因為通過諸如頻繁訪問的位置之類的一些背景知識，這些軌跡中的位置數據可以用作一些用戶的準標識符。然后，可以通過一系列的背景知識攻擊來識別用戶的隱私，例如已發布的敏感標簽(例如疾病)和位置隱私。

Montjoye等將軌跡數據中的少數軌跡點作為背景知識進行實驗表明，使用軌跡之中四個時空點作為背景知識就可以唯一確定95％的用戶。因此，軌跡數據發布中的隱私保護問題成為研究者和用戶極為關注的問題。

差分隱私在2006年首次由Dwork提出。為了克服基于分區的方法在隱私保護上的缺點，差分隱私進入研究者的視線當中，并已經成為研究熱點。差分隱私方法不會對攻擊者能夠獲取的背景知識做出假設,使用對軌跡數據添加噪音的方法以實現差分隱私。基于差分隱私的隱私保護方法可以分為交互式的和非交互式的隱私保護方法。在非交互方法中，數據擁有者根據匿名方法對數據進行匿名，并發布一個匿名后數據的版本，供數據分析和數據挖掘使用。當然，發布的匿名后數據也可能不是整個數據的詳細內容，而是原始數據的一些統計信息等等。在交互式方法中，數據擁有者本身或者一個可信的第三方持有數據，如果用戶想要使用數據，就向數據擁有者提供的查詢接口提出對應的查詢信息，并獲取到對應的回應而不是直接獲取所有數據，在回復的應答之中加入噪聲以滿足隱私保護要求。本文只關注數據發布的非交互式差分隱私保護方法。