軌跡隱私保護(hù)問(wèn)題研究的國(guó)內(nèi)外文獻(xiàn)綜述當(dāng)前針對(duì)軌跡隱私保護(hù)問(wèn)題的研究方法主要分為四種，分別是軌跡泛化方法、軌跡抑制方法、虛假軌跡法和差分隱私法。（1）軌跡泛化法軌跡泛化方法是當(dāng)前已有的軌跡隱私保護(hù)的方法中最經(jīng)典的技術(shù)，這個(gè)方法的目的就是要構(gòu)造符合匿名原則的軌跡數(shù)據(jù)集。這個(gè)方法最早由Gruteser等人[7]提出，該方法強(qiáng)調(diào)軌跡在任一采樣時(shí)刻時(shí)，至少條其他軌跡與軌跡共同組成一個(gè)軌跡集合時(shí)，就稱(chēng)這條軌跡滿足匿名。Abul等人[8]引入了用于在軌跡數(shù)據(jù)發(fā)布中保護(hù)隱私的匿名性的概念，該概念利用位置的固有不確定性來(lái)減少使軌跡數(shù)據(jù)匿名化所需的失真量。Nergiz等人[9]采納匿名的概念，提出軌跡的匿名性并提出基于軌跡數(shù)據(jù)匿名化的方法。然后他們展示釋放匿名軌跡可能會(huì)導(dǎo)致一些侵犯隱私的問(wèn)題，因此提出了基于隨機(jī)的匿名軌跡釋放的三維重構(gòu)算法數(shù)據(jù)。Monreale等人[10]提出了一種軌跡數(shù)據(jù)的匿名化結(jié)合了空間泛化和匿名。主要思想是通過(guò)替換精確位置來(lái)匿名化軌跡近似的。為此他們首先構(gòu)建了一個(gè)合適的將地理區(qū)域細(xì)分為子區(qū)域，然后將空間概括應(yīng)用于原始軌跡數(shù)據(jù)。他們進(jìn)一步轉(zhuǎn)換廣義軌跡數(shù)據(jù)以確保滿足匿名的概念。Chen等人[11]提出支持本地抑制的匿名化框架。目的是既保留移動(dòng)點(diǎn)又保留頻繁的軌跡數(shù)據(jù)中的子軌跡。雖然這一方法考慮到了身份鏈接攻擊，但卻不能抵抗相似性攻擊。ChengChang等人[12]提出了一種基于子軌跡聚類(lèi)可視化軌跡聚類(lèi)結(jié)果的方法。Yarovoy等人[13]根據(jù)定義與原始軌跡及失真軌跡相關(guān)的攻擊圖，引入了匿名性的概念。他們將時(shí)間戳記作為準(zhǔn)標(biāo)識(shí)符，并提出了兩種不同的算法，即臨界聯(lián)合和對(duì)稱(chēng)匿名化，以建立可證明滿足匿名性要求的匿名化組。雖然軌跡泛化的方法操作簡(jiǎn)單、數(shù)據(jù)真實(shí)、算法的可移植性強(qiáng)，但同時(shí)這種方法也會(huì)導(dǎo)致生成數(shù)據(jù)集的可用性嚴(yán)重依賴(lài)所泛化的程度，在一些敏感度較低的軌跡區(qū)域做泛化會(huì)嚴(yán)重影響軌跡的可用性；同時(shí)軌跡泛化的程度又非常依賴(lài)用戶(hù)周?chē)幍沫h(huán)境，如所處的地理位置、街道的規(guī)劃、行動(dòng)中采取的交通方式等；軌跡泛化方法還應(yīng)該引入一個(gè)值得信任的第三方，但是在實(shí)際生活中不太容易找到完全可信的第三方。（2）軌跡抑制法軌跡抑制法是發(fā)布者考慮到自身軌跡的實(shí)際情況，有選擇地發(fā)布自身的軌跡，對(duì)敏感信息部分保留，只發(fā)布不敏感信息的部分從而保護(hù)軌跡隱私。ChenRui等人[14]最早提出將局部抑制引入軌跡數(shù)據(jù)的論文匿名化以增強(qiáng)匿名數(shù)據(jù)的數(shù)據(jù)實(shí)用性，同時(shí)提出了一個(gè)新的匿名框架，該框架可以刪除軌跡數(shù)據(jù)表中的所有隱私威脅均通過(guò)本地抑制。該框架獨(dú)立于基礎(chǔ)數(shù)據(jù)指標(biāo)，因此適合于不同的軌跡數(shù)據(jù)挖掘工作。俞慶英等人[15]提出由于全局抑制通常會(huì)使得需要被保護(hù)的軌跡信息損失得較大，因此提出了一種滿足模型的優(yōu)化局部抑制的算法，降低了軌跡數(shù)據(jù)的損失率也保證了安全性，但是卻存在保護(hù)效率較低的問(wèn)題。Terrovitis等人[16]假定對(duì)手利用一些局部軌跡信息作為其背景知識(shí)來(lái)推測(cè)運(yùn)動(dòng)點(diǎn)，因此，他們從原始軌跡數(shù)據(jù)中消除了選定的運(yùn)動(dòng)點(diǎn)，直到確定了隱私約束為止。在之后他們[17]又在其中增添了軌跡分裂的思想，利用抑制混合分裂的辦法降低信息損失。Ghinita等人[18]提出了全新的一種排列方法，該方法將緊密接近的軌跡點(diǎn)分組，然后將每個(gè)組與一組多樣化的敏感值相關(guān)聯(lián)。Komishani等人[19]提出了對(duì)軌跡中的敏感屬性泛化的觀點(diǎn)，同時(shí)對(duì)軌跡中位置點(diǎn)進(jìn)行局部抑制。通過(guò)對(duì)軌跡中隱私分級(jí)，之后對(duì)敏感屬性等級(jí)高的位置點(diǎn)進(jìn)行消除，讓軌跡中缺少蘊(yùn)含重大隱私的位置點(diǎn)。雖然軌跡抑制方法操作簡(jiǎn)單、隱私保護(hù)效果好，但是同樣有很多問(wèn)題。首先因?yàn)檐壽E發(fā)布者不能確切了解攻擊者所掌握發(fā)布軌跡的具體背景，所以導(dǎo)致在設(shè)置閾值時(shí)也有可能造成提升攻擊者識(shí)別敏感區(qū)域的概率；其次當(dāng)所抑制的軌跡敏感區(qū)域較多時(shí)，即使采用局部抑制也同樣會(huì)造成大量有效數(shù)據(jù)的丟失，從而影響數(shù)據(jù)的可用性。（3）虛假軌跡法虛假軌跡法主要通過(guò)在原始軌跡中添加虛假數(shù)據(jù)而形成干擾，從而讓攻擊者無(wú)法完全掌握被攻擊者的軌跡信息，保護(hù)軌跡隱私。虛假軌跡法由Kido等人[20-21]最早提出，起初是根據(jù)需要被保護(hù)的位置點(diǎn)建立虛假位置點(diǎn)，從而根據(jù)假位置點(diǎn)最終連成軌跡。LEI等人[22]提出攻擊者通過(guò)探索數(shù)據(jù)挖掘技術(shù)，有可能發(fā)現(xiàn)用戶(hù)的移動(dòng)模式，進(jìn)而入侵用戶(hù)位置隱私。為了解決這一問(wèn)題，提出了隨機(jī)方案。隨機(jī)模式方案指的是隨機(jī)生成具有一致運(yùn)動(dòng)模式的虛擬對(duì)象來(lái)保護(hù)軌跡。HShuhei等人[23]提出基于虛假軌跡的方法，生成虛擬對(duì)象，并將虛擬對(duì)象的位置與用戶(hù)的實(shí)際位置一起發(fā)送給位置服務(wù)提供商。根據(jù)用戶(hù)移動(dòng)計(jì)劃并設(shè)計(jì)虛擬軌跡，以便對(duì)手無(wú)法分辨真實(shí)軌跡與虛擬軌跡。WPTunhaoYou等人[24]認(rèn)為攻擊者通過(guò)監(jiān)控用戶(hù)的長(zhǎng)期移動(dòng)模式，移動(dòng)用戶(hù)的軌跡仍然可以被暴露。所以他們提出兩個(gè)方案，在用戶(hù)指定的隱私下的三個(gè)參數(shù)，即短期公開(kāi)、長(zhǎng)期公開(kāi)和距離偏差的指導(dǎo)下，所提出的方案為虛擬用戶(hù)的運(yùn)動(dòng)軌跡。林鄧偉等人[25]提出將虛假軌跡與匿名技術(shù)相結(jié)合，通過(guò)構(gòu)建條虛假軌跡來(lái)與真實(shí)軌跡構(gòu)成匿名，同時(shí)構(gòu)建了馬爾科夫模型，以防對(duì)手依靠自己所掌握的背景找出真實(shí)軌跡。廖春和等人[26]提出在建立虛擬軌跡時(shí)要考慮用戶(hù)的位置所處的真實(shí)地理環(huán)境，同時(shí)要考慮相鄰位置點(diǎn)的相互間關(guān)系，提出利用信息熵和位置可達(dá)性約束生成虛假軌跡，以防止攻擊者通過(guò)找出用戶(hù)的背景知識(shí)攻擊用戶(hù)軌跡。JiangXutong等人[27]提出了一種生成虛擬頻繁區(qū)域的方法，使虛擬物體盡可能地位于這些虛擬區(qū)域中。KYLei等人[28]提出從運(yùn)動(dòng)方向、相鄰位置之間的可達(dá)時(shí)間和運(yùn)動(dòng)距離三個(gè)方面分析相鄰位置間的時(shí)空相關(guān)性和軌跡相似性，提出一種基于時(shí)空相關(guān)性的虛擬軌跡隱私保護(hù)方案，混淆了用戶(hù)的真實(shí)軌跡和虛擬軌跡，從而保護(hù)了用戶(hù)的軌跡隱私。雖然虛假軌跡法通過(guò)添加虛假軌跡數(shù)據(jù)可以一定程度上做到迷惑攻擊者的行為，但是生成的虛假軌跡需要嚴(yán)格符合路網(wǎng)的要求和真實(shí)軌跡的運(yùn)行方式，否則不但起不到保護(hù)的作用，反而更容易暴露出需要被保護(hù)的真實(shí)軌跡。若添加的軌跡數(shù)量越多，雖然可以讓被保護(hù)的軌跡相對(duì)更安全，但也降低了數(shù)據(jù)集的可用性，若加入虛假軌跡數(shù)量過(guò)少又起不到好的保護(hù)效果，因此如何通過(guò)模擬生成合適的虛假軌跡一直是人們所探討的話題。（4）差分隱私法差分隱私法指的是抵御差分攻擊所采取的方法，近年來(lái)在國(guó)內(nèi)成為大家關(guān)注的熱點(diǎn)。差分隱私方法最早是Dwork[29]在2006年針對(duì)隱私破壞提出的基于概率的隱私模型。LiuLing等人[30]提出使用中值長(zhǎng)度估計(jì)方法來(lái)估計(jì)用戶(hù)的軌跡長(zhǎng)度，并生成既保護(hù)差異隱私又具有高效用的合成軌跡。HuaJingyu等人[31]針對(duì)軌跡的差分隱私泛化算法，利用指數(shù)機(jī)制，根據(jù)不同點(diǎn)的距離來(lái)合并節(jié)點(diǎn)。之后他們提出了另一種不同的方式釋放泛化后的軌跡。Muhammad等人[32]將差分隱私與軌跡泛化方法相結(jié)合，以保護(hù)敏感車(chē)輛軌跡的隱私，這不僅為車(chē)輛軌跡提供了不同的隱私預(yù)算，同時(shí)也為不同的軌跡提供了不等的保護(hù)程度。HanQilong等人[33]提出采用指數(shù)機(jī)制輸出更精確的位置點(diǎn)分區(qū)和軌跡計(jì)數(shù)組，以確保隱私，然后在向軌跡數(shù)組中添加拉普拉斯噪聲后釋放數(shù)據(jù)。同時(shí)使用希爾伯特曲線以非交互方式劃分軌跡數(shù)量，最后，對(duì)真實(shí)軌跡數(shù)據(jù)集進(jìn)行時(shí)空范圍查詢(xún)。ZhaoXiaodong等人[34]提出了基于前綴樹(shù)的差分隱私保護(hù)方法，在提出的前綴樹(shù)結(jié)構(gòu)中，樹(shù)的節(jié)點(diǎn)存儲(chǔ)軌跡段，同時(shí)與Dijkstra方法相結(jié)合，選擇代表整個(gè)軌跡的特征軌跡點(diǎn)，從而進(jìn)一步降低數(shù)據(jù)處理的復(fù)雜度。并利用差分隱私技術(shù)在軌跡段的位置數(shù)據(jù)中加入噪聲。Chen等人[35]提出了一個(gè)數(shù)據(jù)相關(guān)解決方案，用于凈化大規(guī)模的真實(shí)軌跡數(shù)據(jù)，同時(shí)開(kāi)發(fā)了一種約束推理技術(shù)，以提高結(jié)果的效用。該方法的優(yōu)勢(shì)是可以適用于不同類(lèi)型的軌跡數(shù)據(jù)。Fan等人[36]提出了一種新的基于等差數(shù)列隱私預(yù)算分配的差分隱私聚類(lèi)算法，將總的隱私預(yù)算分解為遞減的等差數(shù)列，在迭代過(guò)程中由大到小分配隱私預(yù)算，以保證早期迭代的快速收斂。在軌跡隱私保護(hù)的幾種方法中，差分隱私法是目前研究最廣的方法，這種方法不需要對(duì)攻擊者所掌握的攻擊背景做出嚴(yán)格限制，允許攻擊者了解部分攻擊背景，但是差分隱私方法也存在一定缺陷：近年來(lái)對(duì)差分隱私的研究過(guò)于看重最終的保護(hù)效果，但忽視了為了保護(hù)所添加的噪聲強(qiáng)度過(guò)大導(dǎo)致數(shù)據(jù)可用性不足，導(dǎo)致失去保護(hù)的意義得不償失；此外現(xiàn)在的大部分研究追求保護(hù)效果但往往造成計(jì)算復(fù)雜度過(guò)大、時(shí)間相應(yīng)長(zhǎng)，忽視了時(shí)間成本，這樣雖然加大了隱私保護(hù)程度但是卻造成了時(shí)間上的浪費(fèi)，因此，如何平衡隱私保護(hù)程度和數(shù)據(jù)可用性是本文的研究重點(diǎn)。參考文獻(xiàn)GedikB,LingL.Liu,L.:ProtectingLocationPrivacywithPersonalizedk-Anonymity:ArchitectureandAlgorithms.IEEETransactionsonMobileComputing7(1),1-18[J].IEEETransactionsonMobileComputing,2008,7(1):1-18.JUNYANDING,LUISGRAVANO,NARAYANANSHIVAKUMAR.ComputingGeogra-phicalScopesofWebResources[C].//Proceedingsofthe26thInternationalConferenceonVeryLargeDataBases.2000:545-556.MontjoyeY,HidalgoCA,VerleysenM,etal.UniqueintheCrowd:Theprivacyboundsofhumanmobility[J].ScientificReports,2013,3(3):1376.MontjoyeYAD,RadaelliL,SinghVK,etal.[SpecialIssueReport]Uniqueintheshoppingmall:Onthereidentifiabilityofcreditcardmetadata[J].Science,2015,347(6221):536-539.霍崢,孟小峰.軌跡隱私保護(hù)技術(shù)研究[J].計(jì)算機(jī)學(xué)報(bào),2011(10):1820-1830.ZhaoX,PiD,ChenJ.Noveltrajectoryprivacy-preservingmethodbasedonprefixtreeusingdifferentialprivacy[J].Knowledge-BasedSystems,2020,198:105940.GruteserM,DGrunwald.Anonymoususageoflocation-basedservicesthroughspatialandtemporalcloaking.2003.NeverWalkAlone:UncertaintyforAnonymityinMovingObjectsDatabases[C]//DataEngineering,2008.ICDE2008.IEEE24thInternationalConferenceon.IEEE,2008.NergizME,AtzoriM,SayginY.TowardsTrajectoryAnonymization:aGeneralization-BasedApproach[C]//SigspatialAcmGisInternationalWorkshoponSecurity&PrivacyinGis&Lbs.ACM,2008.GennadyAndrienko,NataliaAndrienko,FoscaGiannotti,AnnaMonreale,DinoPedreschi.Movementdataanonymitythroughgeneralization[P].SecurityandPrivacyinGISandLBS,2009.ChenR,FungB,MohammedN,etal.Privacy-preservingtrajectorydatapublishingbylocalsuppression[J].InformationSciences,2013,231(1):83-97.ChengC,ZhouB.Multi-granularityVisualizationofTrajectoryClustersUsingSubtrajectoryClustering[C]//IEEEInternationalConferenceonDataMiningWorkshops.IEEE,2009.Anonymizingmovingobjects:howtohideaMOBinacrowd?.2009:72.ChenR,FungB,MohammedN,etal.Privacy-preservingtrajectorydatapublishingbylocalsuppression[J].InformationSciences,2013,231(1):83-97.俞慶英,王燕飛,葉梓彤,等.基于優(yōu)化局部抑制的軌跡數(shù)據(jù)發(fā)布隱私保護(hù)算法[J].計(jì)算機(jī)工程.TerrovitisM,MamoulisN,KalnisP.PrivacyPreservationinthePublicationofSparseMultidimensionalData.2011.TerrovitisM,PoulisG,MamoulisN,etal.LocalSuppressionandSplittingTechniquesforPrivacyPreservingPublicationofTrajectories[J].IEEETransactionsonKnowledge&DataEngineering,2017,29(99):1466-1479.G.Ghinita,Y.TaoandP.Kalnis,"OntheAnonymizationofSparseHigh-DimensionalData,"2008IEEE24thInternationalConferenceonDataEngineering,2008,pp.715-724,doi:10.1109/ICDE.2008.4497480.KomishaniEG,AbadiM,DeldarF.PPTD:Preservingpersonalizedprivacyintrajectorydat