个性化时空数据隐私保护

admin管理员组

文章数量:1597901

2024年3月25日发(作者：)

JournalofComputerApplications

计算机应用,

2021,41(3):643-650

文章编号：1001-9081（2021）03-0643-08

ISSN1001⁃9081

CODENJYIIDU

2021⁃03⁃10

http：

//

DOI：10.11772/.1001-9081.2020091463

个性化时空数据隐私保护

刘向宇

*

，夏国平，夏秀峰，宗传玉，朱睿，李佳佳

（沈阳航空航天大学计算机学院，沈阳110136）

（∗通信作者电子邮箱liuxy@）

摘要：智能移动终端的普及导致收集的时空数据中个人位置隐私、签到数据隐私、轨迹隐私等敏感信息容易泄

露，且当前研究分别针对上述隐私泄露单独提出保护技术，而没有面向用户给出防止上述隐私泄露的个性化时空数

据隐私保护方法。针对这个问题，提出一种面向时空数据的个性化隐私保护模型（p，q，ε）-匿名和基于该模型的个性

化时空数据隐私保护（PPP

ST

）算法，从而对用户个性化设置的隐私数据（位置隐私、签到数据隐私和轨迹隐私）加以保

护。设计了启发式规则对时空数据进行泛化处理，保证了发布数据的可用性并实现了时空数据的高可用性。对比实

验中PPP

ST

算法的数据可用率比个性化信息数据K-匿名（IDU-K）和个性化CliqueCloak（PCC）算法分别平均高约

4.66%和15.45%。同时，设计了泛化位置搜索技术来提高算法的执行效率。基于真实时空数据进行实验测试和分

析，实验结果表明PPP

ST

算法能有效地保护个性化时空数据隐私。

关键词：时空数据；隐私保护；个性化；数据可用性；泛化匿名

中图分类号：TP309.2文献标志码：A

Personalizedprivacyprotectionforspatio-temporaldata

LIUXiangyu

*

，XIAGuoping，XIAXiufeng，ZONGChuanyu，ZHURui，LIJiajia

（CollegeofComputerScience，ShenyangAerospaceUniversity，ShenyangLiaoning110136，China）

Abstract:Duetothepopularityofsmartmobileterminals，sensitiveinformationsuchaspersonallocationprivacy，

check-indataprivacyandtrajurrent

researches，protectiontechnologiesareproposedfortheaboveprivacyleakagesrespectively，andthereisnotapersonalized

spatio-temporaldataore，apersonalized

privacyprotectionmodelforspatio-temporaldatanamed（p，q，ε）-anonymityandaPersonalizedPrivacyProtectionforSpatio-

TemporalData（PPP

ST

）algorithmbasedonthismodelwereproposedtoprotecttheusers’privacydatawithpersonalized

settings（locationprivacy，check-indataprivacyandtrajectoryprivacy）.Theheuristicrulesweredesignedtogeneralizethe

spatio-temporaldatatoensuretheavailabilityofthepublisheddataandrealizethehighavailabilityofspatio-temporaldata.

Inthecomparisonexperiments，thedataavailabilityrateofPPP

ST

algorithmisabout4.66%and15.45%higherthanthoseof

InformationDataUsedthroughK-anonymity（IDU-K）andPersonalizedCliqueCloak（PCC）algorithmsonaverage

ametime，thegeneralizedlocationsearchtechnologywasdesignedtoimprovetheexecutionefficiency

mentalresultsshow

thatPPP

ST

algorithmcaneffectivelyprotecttheprivacyofpersonalizedspatio-temporaldata.

Keywords:spatio-temporaldata;privacyprotection;personalized;datautility;generalizedanonymity

在数字化时代，隐私保护已成为一个越来越具有挑战性

的问题。随着科学技术的发展，许多科研机构、企业、国家和

个人希望从个人信息中找到可利用的信息，这使得个人信息

被许多第三方获取。其中，基于时空数据的大数据分析方法

可以帮助实现规划城市发展、制定最优出行计划等功能。时

空数据在提供多重纬度数据分析的同时，也存在着严重的个

人隐私（如住址、生活习惯和健康状况等）泄露威胁。因此，保

0引言

护时空数据中的隐私已经成为一项热点研究问题

［1-2］

。

图1（a）中的用户时空数据以轨迹数据形式列出，每条轨

迹由若干个签到数据按时间先后顺序排列而成。图1（b）为

用户设置的敏感数据。其中，位置l

3

为医院，其在轨迹tr

1

、tr

3

和tr

5

中均出现过，用户不想泄露在任何时间前往过该位置的

（l

7

，t

23

）是用户在t

23

时刻前往过位置l

7

形成的签到数据，t

23

属于

时空数据，将l

3

设置为敏感位置；位置l

7

是酒吧，轨迹tr

2

中的

用户上班时间段内，用户不想泄露此签到数据，将（l

7

，t

23

）设置

收稿日期：2020⁃09⁃07；修回日期：2020⁃10⁃17；录用日期：2020⁃10⁃20。

基金项目：国家自然科学基金资助项目（61802268，61702344）；辽宁省自然科学基金计划重点项目（2）。

作者简介：刘向宇（1981—），男，辽宁开原人，讲师，博士，CCF会员，主要研究方向：数据隐私保护；夏国平（1995—），男，山东寿光人，硕士

研究生，CCF会员，主要研究方向：数据隐私保护；夏秀峰（1964—），男，山东胶南人，教授，博士，CCF会员，主要研究方向：数据库、分布式数据

库、数据仓库、数据挖掘；宗传玉（1985—），男，山东潍坊人，讲师，博士，CCF会员，主要研究方向：数据清洗、数据溯源、查询处理优化；朱睿

（1982—），男，辽宁沈阳人，副教授，博士，CCF会员，主要研究方向：数据流；李佳佳（1987—），女，辽宁绥中人，副教授，博士，CCF会员，主要研

究方向：时空数据库、智能交通。

644

计算机应用

第41卷

为敏感签到数据。而轨迹tr

4

中的（l

7

，t

42

）是用户在t

42

时刻出现

在酒吧形成的签到数据，该时刻属于用户的休息时间，用户没

有将其设置为敏感数据；（l

1

，t

31

）→（l

5

，t

32

）→（l

3

，t

a）中的轨迹tr

33

）为用户在某

段时间内经过的轨迹，对应图1（

3

，该条轨迹包含

用户的私密行程，用户将tr

用户具有个性化隐私保护需求。

3

设置为敏感轨迹。可见，对于时空

数据，

目前针对时空数据的隐私保护方法分别对位置隐私

［3-7］

和轨迹隐私

［8-11］

单独进行保护，针对上述个性化时空数据隐私

保护需求，会造成隐私数据泄露或者过度保护，使得数据可用

性降低。为解决此问题，本文提出一种个性化时空数据隐私

保护方法，用户可以个性化设置隐私数据（位置隐私、签到数

据隐私、轨迹隐私），从而有效地对用户的时空数据进行个性

化隐私保护。

图1（c）为泛化匿名后的时空数据（以轨迹数据形式列出，

泛化后的时空数据如虚下划线处所示）。其中，轨迹tr

l

1

、tr

中的敏感位置l

3

和

tr

5

；轨迹

3

均被泛化为位置集合｛

tr

3

，l

8

，l

9

，l

12

｝，使得l

3

的

泄露概率为1/4

，l

2

中的敏感签到数据（l

7

，t

l

23

）被泛化为

｛

7

，l

t

1011

｝，t

23

），使其泄露率为1/3；敏感轨迹tr

l，l

3

中的签到数据

5

，

32

）和（l

3

，t

33

）分别被泛化为（｛l

5

，l

413

，l

14

｝，t

33

）和（｛l

3

，l

，

8

，l

l

TA

9

，

12

｝，t

33

），使得轨迹tr

3

的轨迹匿名（TrajectoryAnonymity）

率

50%

（具体定义后文给出）

）=50%。

为50%，轨迹泄露的概率为（100%-

图1时空数据和敏感数据及泛化后的时空数据

Fig.1Spatio

generalized

-temporal

spatio

data

-temporal

，sensitive

data

dataand

本文采用启发式泛化方法处理隐私数据，在满足个性化

隐私保护需求的前提下，尽可能减少信息损失。例如，针对轨

迹隐私保护，以往的研究方法都是对敏感轨迹中所有的签到

位置进行处理，这样会因过度保护造成大量信息损失。而采

用启发式泛化方法，泛化操作的每一步都同时考虑隐私保护

的最大化和信息损失的最小化，减少因过度保护造成的信息

损失。实验结果表明，本文算法能有效地个性化保护隐私数

据，且信息损失最低。

本文研究内容主要面临

保护具有挑战性。以往的研究中，

1）针对用户分类设置的隐私数据，

3个挑战，如下所述：

对位置隐私和轨迹隐私单

如何实现个性化隐私

独进行保护，而且没有考虑针对签到数据的隐私保护。如何

实现3种隐私数据的综合保护，且不造成隐私过度保护是研

究的难点。

挑战性。被保护的时空数据最终是要通过大数据分析方法得

2）如何实现隐私保护最大化的同时降低信息损失具有

到利用，以往的研究中，往往只考虑隐私保护最大化，忽略了

信息损失造成的影响。本文针对此问题设计的启发式泛化方

法是研究的难点。

（l，t）

3

中的位置

）候选泛化位置的选取具有挑战性。如果将签到数据

l泛化到位置集合g=｛l，l′｝，假设签到数据（l，t）

的前驱和后继签到数据分别为（l

p

，t

p

）和（l

s

，t

s

），那么，位置集合

g中的泛化位置l′需要满足以下约束条件：1）泛化位置l′∈g应

满足l

p

和l

s

之间的时空可达性。以l

p

为例，用户能在从l

p

到l的

时间（t-t

p

）内由l

p

到达l′，即满足时空可达性；2）泛化位置l′应

符合用户的运动模式，否则泛化位置l′容易被攻击者识别为

假位置；3）因为道路网中的位置数量巨大，如何有效地选择

满足上述约束条件的泛化位置是研究的难点，而且是个性化

隐私保护算法高效实用的关键。

本文主要贡献包括：1）定义了时空数据发布中保护用户

个性化设置的隐私数据的问题；2）提出了一种个性化时空数

据隐私保护算法保护用户数据隐私；3）优化了候选泛化位置

搜索技术，提高算法执行效率；4）经过大量基于真实时空数

据的实验，证明本文算法能有效地保护用户隐私，同时保持已

发布时空数据的高可用性。

1

针对位置隐私的保护方法主要有差分隐私、

相关工作

空间匿名和加

密技术。差分隐私保护技术通过在原始数据中添加随机噪声

来干扰隐私数据，

Xiong

能够有效防止基于背景知识的恶意攻击。

［3］

向用户位置信息中添加

等

提出一种基于奖励机制的空间众包分配方法，并通过

Laplace噪声来达到位置隐私保护的目

的。但是，由于差分隐私方法需要在查询结果中添加大量随机

化噪声信息来保护隐私，这样会导致数据可用性急剧下降，甚

至在有些复杂查询中，某些真实结果会被随机添加的噪声数据

完全掩盖。空间匿名技术最早是由Sweeney

［4］

提出的一种避免

个人敏感数据泄露隐私保护技术，主要思想是用户的敏感位置

不能与其他用户的至少k-1个位置区分。Vu等

［5］

提出了基于局

部敏感哈希

［6］

的隐私保护机制，将用户的位置进行分组，每组包

含至少k位用户以实现空间匿名。基于加密技术的隐私保护方

法是对用户的基于位置服务查询信息进行加密处理，使攻击者

获取到用户信息后也无法分析出隐私信息。Khoshgozaran等

［7］

提出了一种基于PIR（ProtocolIndependentRouting）协议并通过

模糊位置查询获取k-NN（k-NearestNeighbor）服务的方法，这种

方法可以降低计算和通信的复杂度。

轨迹隐私保护方法主要有抑制法、假轨迹法、泛化法和差

分隐私法。抑制法是有选择地抑制发布轨迹数据中的敏感位

置或者整条轨迹。赵婧等

［8］

提出了基于轨迹频率的轨迹抑制

方法，采用特定的轨迹局部抑制法对数据进行处理。抑制法

虽能简单直接地对轨迹隐私进行保护，但会造成大量信息损

失，且当攻击模型不确定时，抑制法将失效。假轨迹法是通过

向原始轨迹数据中加入虚假轨迹来进行干扰，降低原始轨迹

泄露的概率。董玉兰等

［9］

提出了通过旋转真实轨迹得到候选

假轨迹的方法，然后根据隐私保护要求阈值对假轨迹进行筛

选，并将假轨迹添加到真实轨迹中以达到保护隐私的目的。

基于泛化的轨迹隐私保护方法的核心思想是采用空间匿名技

术，找到k-1条与敏感轨迹相似的泛化轨迹与敏感轨迹同时

发布，使敏感轨迹泄露的概率不超过1/k以达到隐私保护目

的。Abul等

［10］

提出了基于贪心聚类算法的（k-δ）-匿名模型，

利用每一个采样时间点的位置均值形成聚类轨迹进行发布。

基于差分隐私的轨迹隐私保护方法类似于位置差分隐私保护

技术，主要思想是向原始轨迹数据中添加随机噪声来扰动原

始数据。Hua等

［11］

提出了以空间泛化为基础的差分隐私算

法，利用Laplace机制向轨迹数据中添加噪声来保护敏感

（

（

第3期刘向宇等：个性化时空数据隐私保护

645

轨迹。

关于个性化隐私保护方法中，目前的研究同样都是分别

对位置隐私和轨迹隐私进行保护，没有考虑用户个性化隐私

保护需求。Jia等

［12］

提出了基于p-敏感k-匿名的个性化敏感

特征匿名技术，利用敏感层次树推广敏感属性级别来保护位

置隐私。Tian等

［13］

提出了一种用于轨迹数据发布的新型个性

化差分隐私机制，利用Hilbert曲线原理对原始轨迹数据进行

扰动来实现隐私保护。同样，此方法采用了差分隐私机制，会

造成大量的信息损失，使数据可用性降低。孙岚等

［14］

提出一

种个性化隐私保护轨迹匿名算法。该算法采用基于贪心聚类

的等价类划分思想对含有不同隐私需求的轨迹集合进行个性

化匿名处理。Gedil等

［15］

提出了一种针对移动系统中位置隐

私的个性化匿名模型，利用统一的个性化隐私框架使每个移

动节点能够指定其最低的匿名级别，通过消息扰动引擎来实

现隐私数据保护。Deldar等

［16］

通过提出一种针对移动对象的

个性化隐私保护算法来满足不同运动对象的个性化隐私保护

要求。此算法将非时空敏感属性和差分隐私有机结合起来，

以统一的方式实现个性化隐私属性泛化。

现有的个性化隐私保护方法没有对隐私数据进行分类，

用户不能设置自己的隐私数据，不能达到真正的个性化隐私

保护要求。本文针对此问题，提出了个性化时空数据隐私保

护方法。

2

时空数据

预备知识与问题定义

（Spatio-TemporalData，STD）是同时具有时间和

空间维度的数据，时空数据集合用D

（家、超市、药店、医院、公司等）

ST

表示。位置是地图上的

空间坐标点，表示为l=（x，y），

其中x为经度，y为纬度，直接使用l代表位置，用L表示位置集

合。签到数据是带有时间戳的位置信息，用cd=（l

i

，t

dm

）来表

示，用D

C

来表示签到数据集合。一条轨迹是由m个签到数据

组成的序列，可以将轨迹表示为tr=（l

D

1

，t

11

）→（l

2

，t

12

）→（l

i

，t

dm

），

轨迹集合表示为

时空数据隐私。用户不愿泄露的时空数据称为

TR

。

定义1

时空数据隐私。本文将时空数据隐私分为3个类型，分别为

位置隐私、签到数据隐私和轨迹隐私。

位置隐私指用户不愿泄露的敏感空间位置l，如图1（b）中

的位置l

3

是医院，用户不想泄露在任何时间前往过此位置的

信息，将其定义为位置隐私，其集合表示为S

L

；签到数据隐私

指用户不想泄露某一具体时刻签到的敏感空间位置（l，t），如

图1（b）中的签到数据（l

时间可以随意前往该位置，

7

，t

23

）中的位置l

但是t

7

是酒吧，用户在休息

用户不想泄露此签到数据，将其定义为签到数据隐私，

23

时刻属于用户上班时间段

内，其

集合表示为S

C

；轨迹隐私指用户不愿泄露的某一天内敏感签

到数据按时间先后顺序排列形成的集合，如图1（b）中的轨迹

l

1

，t

31

）→（l

5

，t

32

）→（l

3

，t

33

）是用户某天依次经过了位置l

1

、l

5

、l

所形成的轨迹，用户不想泄露此条轨迹，将其定义为轨迹隐

3

私，其集合表示为S

定义2位置距离

TR

。

dist。给定两个位置l

i

和l

j

，两个位置间

的欧氏距离称为位置距离，如式（1）所示：

dist=(l

i

定义3位置泄露率

.x-l

j

.x)

2

+

lr

(l

i

.y-l

j

.y)

2

（1）

i

。给定用户时空数据集D

ST

，每个

签到数据中时刻t

dm

对应的位置集为g

i

，在此时刻泄露用户真

实位置的概率为

lr

i

=1

|

g

i

|

。

其中，位置集g

i

为对该位置泛化处理后，t

dm

时刻时空数据

所包含所有位置的集合。

定义4轨迹匿名率TA。给定一条敏感轨迹tr，该轨迹

泛化处理后的轨迹匿名率如式（2）所示：

|

G

tr

|

TA=

|

G

1

(

1

|

gtr

i

|

tr

|

∑

i=1

|

gtr

i

|

∑

dl

j=1

j

)

（2）

其中：

|

G

tr

|

为轨迹tr泛化后的轨迹数量；

|

gtr

i

|

表示每条泛化轨

迹中位置的数量；dl表示泛化后的位置是否与原位置相同，相

同为0，不同为1。

轨迹匿名率用来衡量对敏感轨迹泛化处理后相应轨迹集

的匿名程度。例如，图1（c）中敏感轨迹tr

数量

|

G

3

所形成的泛化轨迹

tr

|

=1×4×4=16条，每条泛化轨迹中的位置数量

=（l

|

gtr

i

|

个。如果第16条泛化轨迹gtr，t

=3

其中：l

161

，t

31

）→（l

14

，t

32

）→（l

1233

），

同，则公式

1

与原轨迹中的位置相同，l

TA中的dl

14

和l

12

与原轨迹中的位置不

tr

1

1

、

(

dl

0

2

、

+

dl

0

3

+

分别为

0

0、1、1。所以，敏感轨迹

24

3

的轨迹匿名率

TA=

163

+

0+0

3

+1

+⋯+

0+1

3

+1

)

=

48

=50%。

此定义保证了敏感轨迹中不同位置的泛化程度均满足隐

私保护需求。例如，针对敏感轨迹tr

于20%，那么对其泛化后的时空

3

，若仅考虑其泄露概率小

数据可为tr

，t（｛ll

3

12

l

14

｝，t

33

）。因位置l

=（l

1

，t

31

）→

l

5

，l

32

）→

3

，l

8

，l

9

，

3

被泛化成位置集合

l

38

，l

9

，l

12

l

14

｝，所以，敏感轨迹tr

和l

3

的泄露概率为20%；但是，此

方法中，位置l

敏感轨迹。采用定义

15

没有得到保护，攻击者容易推断出真实的

4给出的轨迹匿名率TA度量轨迹匿名

程度，可以使敏感轨迹tr

3

中2/3的敏感位置得到匿名保护，使

得此轨迹被推演攻击的概率降低。

定义5时空数据隐私泄露。给定用户时空数据集

1

S

D

敏感数据集D（p，q，ε），如果：

ST

，

S

=｛

L

，S

C

，S

TR

｝，隐私保护阈值

2

）存在位置

l∈S

L

泄露概率大于1/p；

3

）存在签到数据

）存在轨迹

tr∈S

cd

TR

∈

轨迹匿名率小于

S

C

泄露概率大于1/q；

ε。

以上任意一条成立，则称为时空数据隐私泄露。

例如，将位置隐私保护阈值p设为5，图1（c）中的敏感位

置l

3

全部泛化为｛l

3

，l

8

，l

9

，l

12

｝，使l

签到数据隐私泄露指敏感签到

3

泄露的概率为1/4，大于1/p，

将造成位置隐私泄露。同理，

数据泄露概率大于1/q。轨迹隐私泄露指敏感轨迹泛化后按

式（2）计算得到轨迹匿名率小于ε，即泄露概率大于（1-ε）。

定义6时空数据泛化。给定一个签到数据（l

i

，t

dm

），泛化

操作定义为将签到数据（l

i

，t

dm

）中的位置l

i

转换为位置集合g=

l

i

，l′

1

，…，l′｝

s

，g中有s+1个位置，g中的每个位置出现在t

d（m-1）

时刻到t

d（m+1）

时刻之间的概率相等。

定义7信息损失。给定时空数据集D

…，（l

ST

=｛（l

1

，t

11

），（l

2

，

t

一个位置集合

12

），

n

，t

dm

）｝，将敏感签到数据中的位置l（

i

1≤i≤n）泛化到

g

i

中，得到泛化后的时空数据集D

ST

′=｛（g

=

1

，t

-

11

），

g

2

，t

12

），…，（g

n

，t

dm

）｝。时空数据的熵定义为

H(D

ST

)

lp

1

×

lp×lb(lp)=

∑

n

i=1

lb(

|

g

i

|

)

，其中

lp=1

抑制，则

|

g

i

|

=

|

L

i

|

，

|

L

∏

n

|

g

|

。如果位置l

i

被

i=1

i

i

|

为敏感位置所在轨迹的位置数。对时

空数据集D

|

D

ST

|

ST

进行泛化和抑制操作时，造成的信息损失定义为

Loss=

∑

H(D

i=1

ST

)

。

此信息损失定义考虑了位置信息熵对于用户整个时空数

（

（

｛

｛

（

646

计算机应用

第41卷

据集的影响。以往关于时空数据信息损失的定义，只考虑替

换或删除某个位置后该位置的信息损失比率、本文定义更有

利于计算因时空数据泛化操作所造成的信息损失。

定义8（p，q，ε）-匿名。给定用户时空数据集D

保护阈值（p，q，ε），经泛化处理后，得到匿名时空数据集

ST

，隐私

D

中任一位置隐私泄露率不大于1/p，签到数据隐私泄露率不大

ST

′

于1/q，轨迹匿名率不小于ε，则认为时空数据集D

ε）-匿名。

ST

′满足（p，q，

图1（c）中的时空数据集满足（4，3，0.5）-匿名。

问题1给定用户的时空数据集D

｛SS（p，q，

ST

，用户设置的隐私数

据集合

L

，

C

，S

TR

｝，隐私保护阈值ε），通过对时空数据

进行泛化处理，得到的时空数据集D

ST

′满足（p，q，ε）-匿名要

求，且保证最低信息损失。

3个性化时空数据隐私保护

Privacy

在本章中，

Protection

提出个性化时空数据隐私保护

forSpatio-temporalData，PPP

（Personalized

ST

）算法，对用户

个性化设置的隐私数据进行保护，设计了启发式规则度量泛

化操作，并优化了候选泛化位置搜索方法。

SDD）

首先，

算法，

提出敏感数据判定

对用户定义的敏感数据集

（Sensitive

D

DataDetermination，

S

=｛S

L

，S

断，

C

，S

TR

｝进行判

3.1

生成敏感数据列表

如算法

敏感数据判定算法

S，以便进行启发式迭代泛化。

1所示，算法SDD以时空数据集合D

ST

、敏感数据

集合D

S

=｛S

L

，S

C

，S

TR

｝、隐私保护阈值（p，q，ε）作为输入，输出一

个敏感数据列表S。

算法1敏感数据判定算法（SDD）。

输入：时空数据集合D敏感数据集合D

q，ε）；

ST

，

S

，隐私保护阈值（p，

输出：敏感数据列表S。

1

2

）S=∅；

4

3

）

）

for

for

each

each

sensitive

check-in

location

datacd

l

i

∈S

L

do

5

）ifl

j

∈D

ST

do

6

）

7

）

if

i

（

∈

Insert

|

cd

g

j

then

j

|

cd

）theng

j

∈cd

j

；

j

tolistS；

//

9

8

）

）

）

for

if（

each

Insert

|g

sensitivecheck-indatacd

i

∈S

C

do

i

|<

cd

q）then//g

i

∈cd

i

；

10

i

tolistS；

11

）

12

）计算

foreach

13

）

）

if（

for

TA

tr

sensitivetrajectorytr

i

∈S

TR

do

i

each

<

的轨迹匿名率

ε）

check

then

TA；

14

-indatacd

j

∈tr

i

do

15

）

对敏感数据集合

）return

Insert

S；

cd

j

tolistS；

｛S

D

L

，S

的签到数据

C

，S

TR

｝进行分类判断，若时空数据

ST

中每个包含敏感位置lcd泛化后的位置集合g

中位置个数小于阈值p，则将该签到数据添加到敏感数据列表

S中（第2）~6）行）；若敏感签到数据集S

C

中每个签到数据cd泛

化后的位置集合g中位置个数小于q，则将该签到数据添加到

敏感数据列表S中（第7）~9）行）；若敏感轨迹集S

ε，则将该敏感轨迹中对应

TR

中每条敏

感轨迹tr泛化后的轨迹匿名率小于

的签到数据添加到敏感数据列表S中（第10）~14）行）。最后，

算法

3.2

SDD返回一个敏感数据列表S（第15）行）。

算法

个性化时空数据隐私保护算法

PPP

ST

的主要思想是根据用户的隐私保护需求对每

个敏感数据进行启发式迭代泛化，直到满足匿名需求，生成可

发布的时空数据集合，且保证最低的信息损失。算法2以用

户时空数据集合D

（

ST

、用户设置的敏感数据集合D

p，q，ε）作为输入，返回一个可发布的时空

S

=｛S

L

，S

C

，

S

数据集

TR

｝、隐私保护阈值

D

ST

′。

算法2个性化时空数据隐私保护算法（PPP

输入：时空数据集合D

ST

）。

q，ε）；

ST

，敏感数据集合D

S

，隐私保护阈值（p，

输出：可发布的时空数据集合D

1

2

）

）

S

Q

=SDD

=LG（

（

D

D

ST

′。

S

，p，q，ε）；

3）whileS≠

ST

∅

，S

do

，p，q，ε）；

4

6

5

）

）

）

Select

return

Update

the

D

Qand

topone

S；

fromQtoD

ST

′；

每一种泛化处理方法都倾向于增加隐私数据匿名性和降

ST

′；

低信息损失，关键在于泛化处理的每一步都同时考虑这两种

影响，使泛化收益最大。所以，本文采用启发式迭代泛化方

法，对隐私数据进行处理。算法2首先通过SDD算法生成敏

感数据列表S（第1）行）。然后，算法PPP

序排列的候选泛化列表Q（第2）行）。其中，

ST

获得一个Score值降

Score是一个启发

式函数，其值度量了泛化操作匿名性和信息损失的共同影响。

Score值越高，泛化操作的匿名性越高，且信息损失越小。列

表

Generalization

Q中所有的候选泛化数据通过位置泛化（Location

最大（在列表

，

Q

LG

顶端）

）算法计算得到。算法

的候选泛化位置集合

2

g

循环选择

加入到时空数据

Score值

集D

ST

中，直到敏感数据列表S为空，即隐私数据全部泛化完

毕（第3）~5）行）。最后，算法返回一个符合个性化隐私保护

要求的时空数据集合

3.3

D

ST

（′第6）行）。

对敏感时空数据进行泛化处理，

泛化数据度量

实际上是对各类敏感数

据中签到数据（l，t）中的位置l进行泛化。用op=（l

i

，g）表示一

次数据泛化，其中g是一个泛化位置集合，g中的位置由泛化

位置搜索（GeneralizedLocationSearch，GLS）算法搜索得到。

用op=（l

i

，-）表示抑制操作，是将因用泛化操作无法达到保护

要求的位置数据进行删除。

泛化操作的每一步都需考虑隐私保护的最大化和信息损

失的最小化。本文通过位置多样性（表示为Div（g，D

（op））来衡量泛化处理的影响，

ST

））和信

息损失度（表示为InfoLoss为了

最大化泛化处理的作用效果，本文设计了如式（3）所示的启发

式规则来度量泛化数据：

Score=

Div(g，D

InfoLoss(op

ST

)

)

（3）

其中：位置多样性Div（g，D

ST

）取值越大，Score值越高，隐私保

护效果越好，但会造成更多的信息损失；信息损失度InfoLoss

op）越低，Score值越高，数据可用性越高，但隐私不能得到很

好的保护。对隐私数据进行泛化操作时，每一步操作都生成

一个Score值，并将其降序排列，最终选择Score值最大的位置

匿名集合添加到时空数据集中。

位置多样性Div（g，D

ST

）的定义如式（4）所示，此式表示泛

化处理后，时空数据集中有数量变化的签到数据集数占总签

到数据集数的比例。

Div(g，D

ST

)=

(

(g，D

C

)

)

|

D

ST

|

（4）

其中：div（g，D

C

）表示签到数据集合

∑

n

div

i=1

D

C

在添加位置集g后的数

（

第3期刘向宇等：个性化时空数据隐私保护

647

据量变化，有变化为1，无变化为0。如图1（c）所示，对用户原

始

0+

时

0

空

+

数

1+

据

⋯

泛

+

化

0

处

+0

理

+

完

1

后的位置多样性为

Div(g，D

=

5

ST

)=

信息损

14

失度InfoLoss（op

14

。

）的公式表示为

InfoLoss(op)=

H(D

在泛化操作前后的熵值

STop

)-H(D

ST

)

，其中H（D

ST

）和H（D

STop

）分别表示时空数据

3.4

（由前文定义7给出）。

本文提出位置泛化算法

位置泛化算法

LG，以生成按Score值降序排列

的候选泛化时空数据列表Q。泛化过程受两个条件约束，分

别是时空可达性和用户运动模式。

定义9时空可达性。用户在两个相邻签到位置间，以

该用户平均最大的位移速度v

max

在某一时间段内是可达的，称

为时空可达性，由式（5）判断：

ì

ï

dist(l

i-1

，g)

ï

v

í

max

≤t

di

-t

d(i-1)

ï

dist(g，l

（5）

ï

i+1

)

î

v

max

≤t

d(i+1)

-t

di

其中：dist（l

i-1

，

l）

i

表示t

di

时刻的敏感位置l

i

与t

d（i-1）

时刻的签到

位置l

i-1

之间在路网中的最短距离，v

（5）第1

max

表示用户时空数据中的

平均最大位移速度。如果式行不等式不成立，用户将

不能在（t

di

-t

d（i-1）

）时间内由泛化位置l

i-1

到达敏感位置l

i

。同

理，很容易推导出式（5）第2行不等式。当敏感位置l

i

是起始

位置时，只考虑式（5）第2行不等式；当敏感位置l

i

是终点位置

时，只考虑式（5）第1行不等式。

如图2所示，签到数据（l

的签到数据，

3

，t

di

）中的l

（l

3

为敏感位置，（l

2

，

t

d（i-1）

）

是其前一时刻t

d（i-1）

6

，t

d（i+1）

）是其后一时刻t

d（i+1）

的

签到数据。根据式（5）计算判断可得候选泛化区域Z。

Fig.2

图

Candidate

2候选泛化区域

generalized

Z

regionZ

为了防止攻击者识别出泛化位置，算法LG还必须保证泛

化位置符合用户的运动模式。因此设置阈值α，只有泛化位

置出现的频度大于α才被作为候选泛化位置。

如算法3所示，输入时空数据集D

私保护阈值（p，q，ε）；输出一个Score值按降序排列的候选泛

ST

，敏感数据列表S，隐

化时空数据列表Q。

算法3位置泛化算法（LG）。

输入：输入时空数据集D

q，ε）；

ST

，敏感数据列表S，隐私保护阈值（p，

输出：候选泛化时空数据列表Q。

1

2

）

3

）

Q

for

=

each

∅；

check-indata

4

）

）

Z

for

=

each

GLS（

candidate

D

∈

cd

i

∈Sdo

ST

，sl

locations

cd

i

）；

l∈Zdo

5

6

）

）

if（

Candl

|l

DST

|≥

=

α

Candl

）then

∪l；

8

7）for

9

）

10

）

Generate

eachgeneralized

op=（

locationl

′

∈Candldo

11

）

Calculate

Insert

Score

sl

，t

=

，

Score

g=

（

｛l

op

′

｝

）

）

；

；

di

∈cd

i

，Score>intoQ

12

）

）

for

if

each

|g

generalizationgroupg

；

i

∈Qdo

i

∈S

L

|

i

∈S

C

|

i

∈S

TR

||TA（tr∈S

TR

）<ε））

13

14

）Generate

then

（

op=（sl，-）；

16

15

）

）

）

Calculate

return

Insert

Q；

Score

，t

=Score（op）

>

；

di

∈cd

i

，ScoreintoQ；

在算法3中，对敏感数据列表S里每个敏感签到数据cd

中的敏感位置sl进行泛化操作op=（sl，g=｛l′｝）（第2）~10）行）。

其中，候选区域Z是通过式（5）计算得来，针对敏感位置sl的

候选泛化位置l均从泛化位置搜索算法生成的区域Z中选择

3）行），且候选泛化位置l要符合用户运动模式约束条件，

即l在时空数据集D

ST

中出现的频度不小于阈值α（第5）行）。

然后，计算泛化操作op的Score值，并将泛化操作op、敏感位置

sl

10

对

）行

应的签到时间t

di

和Score值插入到列表Q中（第9）~

算法

）。

3还要对生成的候选泛化位置集合g进行判断，判断

其中的位置数是否满足隐私保护阈值的要求，若敏感位置或

敏感签到数据泛化后的位置集合g中的位置数分别小于p或

q，敏感轨迹泛化后的轨迹匿名率小于ε，则将相应的位置集

合g中敏感位置进行抑制操作op=（sl，-）（第12）~13）行）。然

后，计算抑制操作op的Score值，并将抑制操作op、敏感位置sl

对应的签到时间t

di

和Score值插入到列表Q中（第14）~15）

行）

16

。最后，算法LG返回一个Score值降序排列的列表

3.

）

Q（第

5

行）。

本文提出泛化位置搜索

泛化位置搜索算法

（GLS）算法，对生成泛化区域Z

中的位置搜索进行优化。因生成泛化区域Z时采用宽度优先

遍历（BreadthFirstSearch，BFS）搜索候选位置，每个敏感位置

需要对路网进行两次BFS，对于一个敏感位置集S

∑

L

总共需要

2×

n

i=1

|

S

L

|

次BFS，会增加算法运行时间，本文提出Dist-Index

数据结构来存储候选泛化位置，以此节省算法运行时间。

定义10距离索引Dist-Index。给定一个敏感位置l，该

位置与其他位置的距离索引Dist-Index定义为一个列表，用l.

D表示。列表中存储的元素是搜索得到的候选位置l′和l与l′

之间在路网中的距离，l.D中所有的元素按照位置间距离升序

排列。

图3（a）所示为道路网中各位置之间的距离矩阵，距离的

单位为千米（km）。图3（b）表示各位置间的距离索引。设l.D

d）表示与位置l距离dkm的一组位置，其中d是输入的参数。

例如，对于距离敏感位置l

0.5）=｛l

1

，l

3

0.5km的区域搜索，结果为l

3

.D

如算法

2

，l

4

5

｝。

所示，输入时空数据集D

.D。运用数据结构Dist-Index，

ST

，敏感位置sl，输出位

置列表l算法以D

l作为起点，执行一次BFS就可以得到所有可达的位置及位

ST

中的每个位

置

置间的距离。

算法4泛化位置搜索（GLS）算法。

输入：时空数据集D

ST

，敏感位置sl；

（第

（

（

648

计算机应用

第41卷

输出：位置列表l.D。

1

2

）

3

）

d

max

=0，l.D=∅；

4

）

for

if

each

if

l

l

i

∈D

ST

do

（

i

==

d

i==

sl

0

then

5

））&&（d

max

max

×（t

d（i+1）

-t

di

））then

6

）

max

=v

max

×（t

d（i+1）

-t

di

）；

7

）if（

d

i==|D

ST

|-1）&&（d

max

max

×（t

di

-t

d（i-1）

））then

8

）

max

=v

max

×（t

di

-t

d（i-1）

）；

9

）if（

10

）if

0

（

<

d

d

i<|D

v

ST

max

<

max

|-

×（

1）

t

then

d（i+1）

-t

di

））then

11

）

max

=v

max

×（t

d（i+1）

-t

di

）；

12

）

13

）

if（

）以位置

d

d

max

=

<

v

v

max

×（t

di

-t

d（i-1）

））then

maxmax

×（t

di

-t

d（i-1）

）；

搜索的距离等于

sl为起点在路网中进行一次宽度优先遍历

d

D

max

时结束遍历，并将覆盖的位置和相应的

（BFS），当

14）return

距离长度插入到

l.D；

l.中。

算法4首先以敏感位置sl为中心点，通过式（5）计算并判

断出用户在最大移动速度下行驶的最大距离d

。然后，以敏感位置sl为起点在道路网中进行一次宽度优

max

（第2）~12）

行）

先遍历，

Index

13）行

为存储结构的

将搜索得到的候选位置和相应的距离插入以

）。最后，算法返回一个列表

l.D中，直到搜索距离等于

l.D。

d

Dist-

max

时结束（第

图3距离矩阵和每个位置的Dist-Index

3.6

Fig.3DistancematrixandDist-Indexofdifferentlocations

在本节中，

算法复杂度分析

将对算法的复杂度进行理论分析。设D

空数据集合，D

ST

为时

据集合，L为时空数据集中签到位置集合，

S

为敏感数据集合，S

C

为敏感数据集中的签到数

tr为敏感位置所在

的轨迹。

在算法SDD中，需要对|S

法SDD的时间复杂度为O（|S

C

|个敏感位置进行判断，所以，算

位置sl所涉及到的时空数据集中的前后位置进行

C

|）。在算法GLS中，需要对敏感

BFS遍历搜

索，所以，算法GLS的时间复杂度为O（|tr|

2

）。在算法LG中，需

要进行|S

C

|次泛化区域搜索，时间复杂度为O（|S

C

|·|tr|

2

），每个

泛化操作计算

2

Score值的时间复杂度为O（4·|S

|tr

C

|），最多耗时

需要

|tr

·

|

|

|S

2

）。对于算法

C

|，所以算法

PPP

LG生成列表Q的时间复杂度为O（

行

2

|tr

·

|

|S

），分别

C

|

2

·

O（|S

ST

，在每次迭代泛化中（第3）~5）

多包含|S

C

|）和O（4·|S

C

·||Q|）的时间来更新列表S和Q，Q中最

以，算法PPP

C

·||L·||tr|个元素，算法需要循环迭代|S

C

·||L·||tr|次，所

4

ST

的时间复杂度为O（2

|tr

·

|

|S

C

|

3

·|L·||tr|

3

）。

本章通过实验测试对提出的个性化时空数据隐私保护算

实验评估与分析

法进行性能分析和评价。用户的时空数据来自斯坦福大学复

杂网络分析平台公开的两个真实数据集Gowalla和Brightkite，

同时也利用了这两个数据集所在California州的道路网数据，

包括21047个节点和21692条边。本文从两个数据集中分别

随机选取了5000个用户在加州签到的时空数据集，表1展示

了数据集的相关信息。

表1实验数据集的统计信息

Tab.1Statisticsofexperimentaldatasets

数据集位置数签到数轨迹数

位置平均用户平均

Gowalla

签到数

Brightkite

34

40

712

867

221

签到数

283

113

211

53

69

799

585

6.

6.

37

93

44.

56.

22

64

本文提出的个性化时空数据隐私保护算法PPP

个性化信息数据

ST

，通过与

anonymity

CliqueCloak

，IDU-K

K

）

-匿名算法（InformationDataUsedthroughK-

［14］

和个

通过实验评估各算法对数据可用性的影响。

，PCC）算法

性化CliqueCloak（Personalized

［15］

进行对比实验来分析本文算法的性

能。最后，

实验环境如下。

1

2

）计算机硬件配置：IntelCorei52.5GHz，8GBDRAM

3

）操作系统：Windows10；

；

实验中，

）编程环境：

敏感数据集

Java语言，

D

IDEA开发平台。

设置的敏感位置、敏感签到数据和敏感轨迹中的签到数据数

S

中签到数据个数|S

C

|是用户个性化

量之和，其取值范围为［5，25］（默认为5）；隐私保护阈值p和q

根据两个真实时空数据集实验总结所得，

6

为

］（

0.

默认为

5）；用户运动模式频度阈值

2），轨迹匿名率阈值ε的取值范围为

其取值范围均为

α由关联规则挖掘算法根据

［0.5，1］（默认

［2，

实验数据集统计所得，

4.1算法性能分析

其默认值为2。

图4展示了时空数据集D

数据集D

ST

的平均信息损失随敏感时空

S

中签到数据个数|S

D

C

Loss

|变化的情况。对于时空数据集

ST

，定义其平均信息损失为

|

D

ST

|

，其中Loss为定义7中

给出的时空数据集D

ST

总共的信息损失，

|

D

ST

|

为时空数据集中

签到数据的数量。

PPP

由图可见，随着|S

C

|的增加，信息损失越多，但本文提出的

约82.

ST

算法造成的信息损失远低于IDU-K和PCC算法，平均低

53%。由于本文算法考虑了隐私分类保护，轨迹隐私中

可能包含位置隐私和签到数据隐私，采用启发式泛化方法时，

第3期刘向宇等：个性化时空数据隐私保护

649

当敏感轨迹匿名率大于给定阈值后结束泛化操作，这在一定

程度上会降低隐私过度保护造成的信息损失。

图4信息损失

Fig.4Informationloss

图5展示了三个算法的运行时间随敏感签到数据个数|S

变化的情况。可以看出，随|S

C

|

本文算法PPP

C

|的增加，

IDU-K

运行时间也逐渐增加。

ST

运行时间始终比和PCC算法运行时间

高，平均多出29.36%的运行时间，因为本文算法采取了启发

式时空数据泛化方法，需要更多的时间计算泛化操作的Score

值并更新泛化区域Z。但本文算法GLS（算法4）优化了泛化位

置的搜索，在一定程度上节省了一半的位置搜索时间。

图5算法运行时间

根据定义3中给出的位置泄露率公式

Fig.5Algorithmrunningtime

lr

i

，时空数据集D

|

D

|

ST

的平均位置泄露率可以定义为

AL=

|

D

1

ST

ST

|

∑

1

。

i=1

|

g

i

|

图6展示了平均位置泄露率AL随敏感位置隐私保护阈值

p的变化情况。可见，阈值p越高，时空数据的平均位置泄露

率越低。因为随着泛化位置的增加，每个敏感位置得到的混

淆位置更多，位置泄露的概率就会降低。本文算法PPP

ST

的平

K

均位置泄露率比

算法对未被泛化的位置信息进行舍弃，

IDU-K和PCC算法平均低约

会使攻击者通过关

6.54%，因IDU-

联规则攻击技术更容易判断出发布轨迹与原始轨迹的差别，

使得平均位置泄露率远高于本文算法；而PCC算法采用自适

应敏感分级的方法对敏感数据进行保护，对于敏感级别较低

的属性，该算法不予以保护，所以平均位置泄露率高于本文保

护算法。

图6平均位置泄露率

Fig.6Averagelocationleakagerate

|

D

图7为平均签到数据泄露率

AC=

1

C

|

|

D

C

|

∑

i=1

|

g

1

随敏感签

i

|

到数据隐私保护阈值q的变化情况。可见，阈值q越高，平均

签到数据泄露率越低。因本文算法PPP

即同一位置不同时刻的隐私保护需求。而算

ST

考虑了用户设置的

签到数据隐私，

法IDU-K和PCC仅考虑保护轨迹隐私或者位置隐私，没有根

据用户的实际隐私保护需求对敏感签到数据进行保护，导致

其平均签到数据泄露率远高于本文算法，平均高约88.2%。

图7平均签到数据泄露率

Fig.7Averagecheck-indataleakage

|

rate

S

|

图8展示了平均轨迹泄露率

ATR=

|

S

1

TR

|

∑

TR

i=1

(1-TA

tr

i

∈S

TR

)

其中，TA为定义4给出的轨迹匿名率（随轨迹匿名率阈值ε的

变化情况）。由图可见，阈值ε越高，平均轨迹泄露率越低。

本文算法PPP

ST

采用启发式泛化方法，当敏感轨迹匿名率大于

匿名阈值ε后，终止对敏感轨迹的泛化操作，使敏感轨迹得到

保护的同时，其信息损失最低。算法IDU-K对敏感轨迹中的

所有签到位置进行匿名操作，其轨迹匿名率最高，平均轨迹泄

露率最低，比本文算法平均低约19.8%。算法PCC只对敏感

位置进行个性化保护，导致敏感位置所在的轨迹泄露概率最

高，比本文算法平均高约65.3%。

图8平均轨迹泄露率

4.2

Averagetrajectoryleakagerate

本文评估了发布的时空数据在频繁模式挖掘中的性能，

数据可用性分析

Fig.8

图9展示了数据可用率随敏感位置数|S

式置信度阈值设置为10%，时空数据泛化前挖掘出的频繁模

C

|变化的情况。频繁模

式（大于10%）定义为P，泛化后的频繁模式定义为

P

据可用率可以定义为

DR=

|

P∩P

OP

|

|

P

|

。

OP

，则数

图9数据可用率

由图可见，随着

Fig.

|S

9Dataavailabilityrate

加更多的泛化位置来保护隐私数据，

C

|的增加，需要在用户原始数据集中添

IDU-K算法对未被聚类的位置进行舍弃，

使得

造成大量信息损失，

DR逐渐降低。因

650

计算机应用

第41卷

所以其DR值最低；本文算法中考虑了用户的时空可达性和运

动模式的限制，使得泛化位置更接近于敏感位置，所以本文算

法

4.

5

66%

PPP

ST

结语

和

的平均数据可用率分别比

15.45%。

PCC和IDU-K算法高约

本文首次提出面向时空数据的个性化隐私保护模型，并

基于该模型提出一种个性化时空数据隐私保护算法PPP

ST

。

该算法采用启发式规则来选择候选泛化数据，并对泛化位置

搜索进行了优化。PPP

数据隐私进行保护，同时实现了数据的高可用性。基于真实

ST

算法可以对用户个性化设置的时空

时空数据集进行实验测试和分析，实验结果表明PPP

有效地保护个性化时空数据隐私。由于本文采用欧氏距离的

ST

算法能

方式计算签到位置间的距离，这与用户真实的移动轨迹存在

差异，怎样将真实路网添加到时空数据隐私保护中，将是下一

步的研究方向。

参考文献（

[1]王璐，

2014

孟小峰

References

.位置大数据隐私保护研究综述

）

preservation

，25（4）

[2]

2014

in

：693

big

-712.

［J］.软件学报，

data

（WANGL，onprivacy

HWANG

，25（4

era：asurvey［J］.JournalofSoftware，

obfuscated

R

）：

H

693

，

-

HSUEH

712.）

Y

[3]

Transactions

algorithm

XIONG

onServices

for

Computing

trajectory

L，CHUNG

，

privacy

time-

2014，7

protection［J］.IEEE

crowdsourcing

P，

[4]

Information

with

ZHANG

differential

L，ZHU

（2）：126-139.

privacy

T.

preservation

Reward

［

-based

J］.

spatial

SWEENEY

Systems

International

L.k-anonymity

，2017，11

：

（

a

10

model

）：1500

for

-1517.

Enterprise

protectingprivacy［J］

[5]

Based

VU

location

K，

Systems

Journal

ZHENG

，2002

ofUncertainty，FuzzinessandKnowledge

.

-

R，

，10（5）：557-570.

2012

privacyinparticipatory

ent

sensing

algorithms

［C］//Proceedings

fork-anonymous

ofthe

[6]

Piscataway

IEEEInternationalConferenceonComputerCommunications.

DATAR

hashing

the

scheme

M

：

，

IEEE

IMMORLICA

，2012：2399

basedonp-

N，

-

INDYK

2407.

P，ty-sensitive

[7]

York

20thAnnualSymposium

stable

on

distributions

Computational

［C］//Proceedingsof

KHOSHGOZARAN

：ACM，2004：253

Location

A

-

，

262.

anonymizers

privacy

［J］.

：

Knowledge

going

SHAHABI

beyond

andInformation

K-

C

anonymity

，SHIRANI-MEHRH.

Systems

，cloaking

，2011

and

[8]

（

赵婧，

3）：435

，26

法［

ZHANG

J］

张渊，

-465.

.计算

李兴华，

机学报

等

，

.

2014

基于轨迹频率抑制的轨迹隐私保护方

，37

viatrajectory

Y，LIX

（10）：2096-2106.（ZHAOJ，

frequency

H，etal.

suppression

Atrajectory

［

privacyprotectionapproach

[9]

Computers，2014，37（10）

J］.ChineseJournalof

［

董玉兰，

J］.计算机科学，

皮德常.一种基于假数据的新型轨迹隐私保护模型

：2096-2106.）

2017，44（8）：124-128，139.（DONGYL，PI

D

[10]

dummies

ABUL

［

for

O

J］.Computer

trajectory

Science

privacy

，2017

preserving

，44（8）

mechanism

：124-128，

based

139.）

on

IEEE

anonymity

，BONCHI

inmoving

F，NANNI

objects

M.

databases

Never

［

walk

C］//

alone

Proceedings

：uncertainty

ofthe

[11]

Piscataway

24thInternationalConferenceonDataEngineering.

HUA

general

J，

IEEE

time

GAO

：IEEE

-serial

Y，

，

ZHONG

2008：376

trajectory

S.

-385.

data

Differentially

［C］//Proceedings

privatepublication

of

of

[12]

IEEE

JIA

，

Conference

2015：549-557.

away

the2015

：

anonymity

J，YAN

the

based

G，

on

XING

p-

alizedsensitiveattribute

[13]

1

2016International

sensitive

Conference.

k-anonymity

NewYork

［

：

C］

ACM

//Proceedings

，2016，57

of

：

TIAN

-7.

privacy

F，ZHANGS，

Proceedings

mechanism

LU

for

L，et

trajectory

data

personalized

publication

differential

［

[14]

and

孙岚，

Network

of

Applications.

the2017International

C］//

Piscataway：

ConferenceonNetworking

系

GUO

统工

郭旭东，

程与电

王一蕾，

子技术

等

，

.

2014

个性化隐私保护轨迹发布算法

IEEE，2017：61-68.

，36（12

［J］.

algorithm

XD

for

，WANG

trajectory

YL

）：2550-2555.（SUNL，

data

，et

publishing

alized

［J］.Systems

privacypreserving

[15]

and

GEDIL

Electronics，2014，36（12）：2550-2555.）

Engineering

personalized

B，LIU

IEEE

anonymization

on

model

privacy

［C

inmobilesystems：a

[16]

Piscataway

International

］//Proceedingsofthe25th

DELDAR

：

protection

F

IEEE

ConferenceonDistributedComputingSystems.

，ABADI

，2005：620

M.

-629.

PDP-SAG：personalized

privacy

2019，7

and

in

：85887

sensitive

movingobjects

-85902.

attribute

databases

generalization

bycombining

privacy

［J］.IEEE

differential

Access，

Foundation

Thisworkispartially

NaturalScience

ofChina

supportedbytheNationalNaturalScience

Foundation

（61802268

ofLiaoning

，61702344

Province

），

（2

theKeyProgram

）.

of

interests

LIU

include

Xiangyu

data

，

privacy

bornin

protection.

1981，Ph.D.，earch

interests

XIA

include

Guoping

data

，

privacy

bornin

protection.

1995，earch

mining.

interests

XIA

include

Xiufeng

database

，born

，

in

distributed

1964，Ph.

database

D.，professor.

，datawarehouse

Hisresearch

，data

interests

ZONGChuanyu，bornin1985，Ph.D.，earch

processing.

includedatacleaning，dataprovenance，optimizationofquery

interests

ZHU

include

Rui，

streaming

bornin1982

data.

，Ph.D.，earch

interests

LIJiajia

include

，born

spatio

in

-temporal

1987，Ph.

database

D.，associate

，intelligent

professor.

transportation.

Herresearch

本文标签： 数据位置泛化