轨迹隐私是一种特殊的个人隐私,指的是用户的跑步轨迹本身所包含的敏感信息(比如用户曾到访过的一些敏感区域),或者其他信息可以从跑道中推导出来。个人信息(如用户的家庭住址、工作地点、健康状况、生活习惯等)。因此,轨迹隐私保护不仅要保证轨迹本身的敏感信息不被泄露,还要防止攻击者通过轨迹衍生出其他个人信息。01轨迹隐私的度量在轨迹数据发布过程中,为了方便研究者的研究和利用,发布的数据在隐私保护时需要具有较高的数据可用性。对于位置隐私保护,保护技术不仅要保护用户的隐私,还要保证用户能够享受到高质量的服务。对于轨迹隐私保护的程度,一般用三个指标来衡量:轨迹上各点之间的相关性、轨迹上数据点的准确率、轨迹的隐私泄露概率。轨迹是指在一天内按用户的位置和时间关联排序的一组序列。轨迹可以表示为Ti={(xi1,yi1,ti1),(xi2,yi2,t2i),...,(xji,yji,tji),...,(xni,yni,tni)}。其中,Ti表示第i个用户的轨迹,(xji,yji,tji)(1≤j≤n)表示移动用户在tj时刻的位置(xji,yji),tj为采样时间.基站或服务器收集用户一天内的所有数据,然后根据时间连接位置数据,形成用户的轨迹。轨迹数据包含丰富的时空信息,轨迹的分析和挖掘可以支持很多移动应用。例如,研究人员可以通过分析人们的日常轨迹来研究人类的行为模式;政府机构可以使用用户的移动GPS轨迹数据来分析基础交通设施的建设。可见,用户的轨迹数据为社会的发展提供了大量信息,同时也会带来隐私和安全问题。轨迹隐私与位置隐私最大的区别在于轨迹包含时间和位置相关信息,很容易从一条信息中推断出其他信息。在传统的轨迹隐私度量方法中,大多利用时间和空间来分析和度量,然后加上轨迹形状来度量轨迹,这样可以更准确地度量两条轨迹之间的相似度。在定义轨迹相似性的度量时,需要考虑两个方面。如图1所示,有3条轨迹,每条轨迹有5个数据点,每个数据点都是在同一个采样时刻采样得到的,假设每个采样时刻3个数据点的x轴坐标为一样,只是y轴坐标不同。通过计算对应的5个数据点之间的欧式距离,最终得出轨迹2和轨迹3的距离等于轨迹1,但是从图中可以观察到轨迹2的形状与轨迹2的形状完全一样轨迹1的相似性,而轨迹3与轨迹1不同,所以轨迹2与轨迹1的相似性明显强于轨迹3与轨迹1的相似性。因此,在进行轨迹相似度度量时,应从两个方面着手.图1轨迹相似度与轨迹形状距离:给定两个轨迹Ti={(x1i,y1i,t1i),(xi2,y2i,t2i),...,(xni,yni,tni)}和Tj={(x1j,y1j,t1j),(x2j,y2j,t2j),…,(xnj,ynj,tnj)},则两条轨迹的形状距离如下:轨迹位置距离:对于定义6.1中给出的两条轨迹,和它们之间的位置距离如下:基于上述两种距离形式的定义,对它们进行加权合并,得到两条轨迹的轨迹距离。轨迹距离:轨迹距离的定义如下:这里,α∈[0,1]是轨迹形状距离和轨迹位置距离的权重,一般取值α=0.5。02轨迹隐私保护场景目前,关于轨迹隐私保护的研究工作主要针对以下两种应用场景下的隐私问题。1.数据发布中的轨迹隐私保护轨迹数据本身包含丰富的时空信息,轨迹数据的分析挖掘结果可以支持多种移动应用。因此,许多政府和科研机构加大了对轨迹数据的研究力度。例如:美国政府利用移动用户的GPS轨迹数据分析基础交通设施建设,进而为是否更新优化交通设施提供依据;社会学研究人员通过分析人们的日常轨迹来研究人类行为模式;一些公司通过分析员工的通勤和通勤轨迹来提高员工的工作效率。但是,如果恶意攻击者在未经授权的情况下通过计算推理获取与轨迹相关的其他个人信息,则用户的个人隐私将通过其轨迹彻底暴露。数据发布中的轨迹隐私泄露大致可以分为以下两类。①轨迹上敏感或经常访问的位置泄漏导致移动物体的隐私泄漏。轨迹上敏感或经常访问的位置很可能会泄露个人隐私,如个人爱好、健康状况、政治倾向等。例如,某人在一定时间内经常去医院或诊所,攻击者可以推断此人最近生病了。②运动物体轨迹与外部知识的关联导致隐私泄露。例如每天早上固定时间从A地出发到B地,每天下午固定时间从B地出发到A地。通过挖掘和分析,攻击者很容易做出判断:A是某人,B是他的家庭住址,B是他的工作单位。通过查找A、B所在区域的邮政编码、电话簿等公共内容,很容易确定某人的身份、姓名、工作地点、家庭住址等信息。因此,某人的个人隐私通过他的跑道被彻底泄露。在轨迹数据发布中,最简单的隐私保护方法是去除每个轨迹的准签名属性,即QI属性。然而,简单地去除QI属性并不能保护移动物体轨迹的隐私,攻击者也可以推断出个体的隐私信息。例如,在删除了QI属性的数据中,攻击者发现某个移动对象在某个时间ti访问了位置L1和L2,而在攻击者已知的背景知识中,小王分别在时间ti左右访问过这两个位置,如果小王是唯一一个在时间ti访问过L1和L2的移动对象,那么攻击者可以断定该轨迹属于小王,然后从轨迹中找到小王访问过的其他位置。可见,单纯删除移动对象的QI属性并不能达到隐私保护的目的。2、位置服务中的轨迹隐私保护用户在获取LBS服务时,需要提供自己的位置信息。为了保护移动物体的位置隐私,位置隐私保护技术应运而生。但是,保护运动物体的位置隐私并不意味着保护运动物体实时运行轨迹的隐私,攻击者极有可能通过其他方式获取运动物体的实时运行轨迹。例如,当使用位置k-匿名模型对发出连续查询的用户进行位置隐私保护时,移动对象匿名框的位置和大小会产生连续更新。如果将移动对象发出LBS请求时各个时刻的匿名帧连接起来,就可以得到移动对象的大致运行路线。这是因为移动对象在查询过程中产生的匿名帧包含了不同移动对象的信息,简单地延长匿名帧的有效时间会导致服务质量下降。虽然已有连续查询的位置隐私保护技术,但查询的有效期为秒级,不能满足轨迹隐私保护的需要。因此,LBS也需要轨迹隐私保护技术。在以上两种场景下,轨迹隐私保护需要解决以下关键问题:①保护轨迹上敏感/频繁访问的位置信息不被泄露;②保护个体与轨迹之间的关系不被泄露,即保证个体不能通信③防止由于运动物体相关参数(如最大速度、路网等)。03轨迹隐私保护技术分类轨迹隐私保护技术大致可以分为三类。(1)基于虚假数据的轨迹隐私保护技术该技术通过添加虚假轨迹对原始数据进行干扰,同时保证被干扰轨迹数据的某些统计特性不被严重扭曲。基于虚假数据的轨迹隐私保护技术主要是在原始数据中加入虚假数据,在不扭曲原始轨迹数据的前提下,对原始轨迹数据进行干扰。例如表1中有3个运动物体O1、O2、O3,表中的数据分别对应它们在时间t1、t2、t3的数据点,每个物体可以根据时间关联形成轨迹.表1原始数据利用虚假数据的方法对表1中的数据进行干扰后,形成了6条轨迹,如表2所示。这6条轨迹中,I1、I2、I3为O1、O2的化名和O3。这将每个真实轨迹泄露的风险降低到0.5。表2被虚假数据法干扰的数据对于虚假数据法,虚假轨迹的数量越多,被泄露的风险越低,但这对原始数据的影响会更大。错误轨迹的产生增加了空间关系的复杂性,产生了许多交叉点,并降低了容易混淆的风险。在运行方式上,伪轨迹的运行方式与原始轨迹相似,也会对攻击者的攻击产生一定的影响。这类方法比较简单,计算量小,但容易造成存储容量的膨胀,降低数据的可用性。(2)基于泛化方法的轨迹隐私保护技术该技术是指将轨迹上的所有采样点泛化到相应的匿名区域中,从而达到隐私保护的目的。基于泛化方法的轨迹隐私保护技术对所有轨迹中的每个点进行泛化,将其泛化到数据点对应的匿名区域中,从而达到隐私保护的目的。在泛化保护技术中,最常用的是轨迹k-匿名保护技术,其主要保护技术是将需要保护的核心属性泛化,使其无法与其他k-1记录区分开来。对于表1中的轨迹数据,进行了三种轨迹的轨迹泛化和匿名化,即对每个采样点,将数据点泛化到一个匿名区域中,如表3所示。表3轨迹6-匿名时匿名化,仍然以假名发表,同时需要对3个匿名时刻的数据点进行匿名泛化。这种方式可以保证数据都是真实数据,但是由于计算开销比较大,需要考虑性能问题。(3)基于抑制法的轨迹隐私保护技术该技术根据具体情况有条件地释放轨迹数据,不释放轨迹上的某些敏感位置或经常访问的位置,实现隐私保护。表4为表2抑制释放后的数据。表4抑制方法的轨迹匿名性与其他方法相比,抑制方法简单有效。也可以在攻击者具备一定背景知识的前提下进行轨迹保护,效率比较高。但是当您不确切知道攻击者具有哪些背景知识时,这种方法就不起作用了。另一方面,这种方法虽然限制了敏感数据的发布,实现过程简单,但信息丢失量太大。总之,基于虚假数据的轨迹隐私保护技术简单,计算量小,但容易造成虚假数据存储量大,数据可用性降低等问题;基于泛化方法的轨迹隐私保护技术可以保证数据的真实性,但计算开销大;基于抑制法的轨迹隐私保护技术可以限制某些敏感数据的公开,实现也简单,但信息丢失量较大。目前,基于泛化方法的轨迹k-匿名技术在隐私保护和数据可用性之间取得了很好的平衡,是目前轨迹隐私保护的主流方法。04基于语义的轨迹隐私保护方法原始轨迹数据与用户的各种隐私信息密切相关。如果采集到的轨迹数据未经任何处理就发布,恶意攻击者就可以对轨迹数据进行挖掘分析,获取用户信息。家庭住址、兴趣爱好、行为模式等敏感信息。因此,离线轨迹数据的发布必须遵循“数据收集、隐私保护处理、轨迹发布”的原则。轨迹发布后,商业机构和研究机构都希望能够从受保护的轨迹中分析出可用的信息。因此,轨迹隐私保护处理的目标是防止恶意攻击者从处理后的轨迹中推断出用户的敏感信息,并保证处理后的轨迹仍然具有较高的完整性和数据可用性。目前离线轨迹发布中的隐私保护方法,如轨迹聚类、伪轨迹等,只是将轨迹数据看成是欧氏空间中具有时间属性的位置点序列,只考虑轨迹的时间和空间属性,但忽略了实际环境中轨迹上每个采样点对应的位置信息,即轨迹的语义属性。通常,用户轨迹上的位置点可以分为移动点和停留点。移动点只能分析用户经过了哪些道路,而停留点可以反映用户在一定时间内的重要位置特征。通过对停留点的分析,我们可以知道用户经常去的地方,进而推断出用户的工作地址、兴趣爱好,甚至宗教信仰、身体状况等隐私信息。因此,与移动点相比,停留点会暴露更多的用户敏感信息。保护停留点既可以保证用户的隐私,又可以减少对原有轨迹的破坏,在隐私保护和数据可用性之间取得更好的平衡。在现实生活中,不同的用户对同一个语义位置可能有不同的敏感度。例如,患者和医生对医院的敏感度可能不同。患者可能不想透露自己的身体健康状况,但医生通常不介意他们的工作。位置泄露了。因此,在保护轨迹时,不能忽视用户的个人隐私需求。如果对所有用户采用相同的处理标准,可能会导致部分用户的轨迹保护不足,导致隐私泄露,而部分用户的轨迹保护过度,导致数据丢失。忽略轨迹的语义属性会使一些现有方案容易受到语义攻击。与路过的地点相比,用户更关心的是自己经常光顾、长期停留的地方是否会泄露隐私。因此,为了保持轨迹的最大完整性,没有必要保护轨迹上的所有采样点。图2中提出的方案旨在保持轨迹安全性和数据可用性之间的良好平衡,将用户敏感的停留点替换为停留点周围具有不同语义的兴趣点,同时重置少量采样点以隐藏用户的敏感信息.该方案采用个性化隐私保护,用户可以自定义自己的敏感语义位置集和隐私保护程度,在保证轨迹不被过度处理的同时保证轨迹隐私安全。图2基于语义的轨迹隐私保护方案示意图1.基于语义的轨迹隐私保护方案该方案首先基于原始轨迹数据分析用户的移动特征,对时间三个属性进行多维聚类、经纬度,提取用户一天内的停留点集合,利用地图逆向分析得到停留点对应的实际位置,并标注其语义;其次,根据用户自定义的敏感语义位置集,得到用户的敏感停留点集(即图2酒店中的银行和银行);然后,结合用户的移动方向,为每个敏感停留点合理规划一个候选区域,分析候选区域内兴趣点的语义和距离特征,找到满足用户隐私需求的不同语义兴趣点,最小的将包含这些兴趣点的矩形作为敏感区域,在敏感区域随机选择一个备选停靠点(即图2中的肯德基和理发店);最后,为了防止停止点的更换导致轨迹上的定位点突然变化,Reduce轨迹发生变化,只重新选择敏感区域的局部采样点,并保证采样点的个数在敏感区域与原始轨迹一致,形成最终可发布的轨迹数据。2.语义停留点的提取根据用户轨迹提取语义停留点是本方案的首要任务。一个用户在日常生活中会有大量的停留点:对于大多数用户来说,他们从晚上12点到早上6点都在家,这时候用户家的位置就成了他的一个位置停止点;用户的日常工作场所也将成为他的一站;对于在银行办理业务的用户,银行也将成为他的一站。对于具有地图背景知识的恶意攻击者,通过提取用户轨迹中的停留点并将其映射到语义地图上,可以获得用户大量的个人隐私。用户轨迹上的所有采样位置点都具有相应的语义属性。与移动位置相比,恶意攻击者对用户经常访问和长期停留的位置更感兴趣,因为他们可以从中挖掘和分析更多的用户隐私信息。因此,保护??住宿点的隐私非常重要。图3为某用户一段时间内的轨迹数据Traj={P1,P2,...,P9}。通过分析可以看出,轨迹中的五个连续采样位置{P3,P4,P5,P6,P7}都在一定范围内,因此可以推断用户曾停留在该位置(虚线)图中的圆圈)。此时,具有地图背景知识的恶意攻击者可以通过将停留点映射到真实地图上来获取用户停留的位置,从而获取用户的一些隐私信息。图3个人停留点示意图从上面的例子不难看出,通过对用户停留点的挖掘和分析,具有背景知识的攻击者可以轻易获取用户的大量隐私信息。敏感停留点的保护不需要处理轨迹上的所有采样点,既可以隐藏轨迹上用户的敏感信息,又可以减少对原始轨迹的破坏。该方法首先读取一定时间内一定区域内所有用户的原始轨迹数据。如图4所示,Lij表示用户Mi(1≤i≤m)在时间tj(1≤j≤n)的位置,接下来对每个用户的轨迹进行多维聚类,包括时间、经度、纬度聚类,提取一组用户个人停留点。聚类需要三个阈值:时间阈值σt、距离阈值σd和位置点阈值σn。Fig.4User'soriginaltrajectorydata然后,遍历用户轨迹上的采样位置点,可以找到所有核心停留点。停留的核心点是用户Mi在tj时刻的位置点Lij,遍历用户轨迹上的所有位置点Lik(1≤k≤n)并与之比较,找到所有满足|Lij的点-Lik|≤σd和|tj-tk|≤σt点。如果Lij处满足上述条件的点数不小于σn,则Lij为核心停留点。最后将在时间和空间上相邻的停留核心点划分为一个集合,最终得到多个停留核心点的集合,称为语义停留点。可以看出,通过多维聚类的方法对个体用户的多维空间数据进行分析,可以获得用户的移动特征;根据用户的移动特征,提取出一组个人停留点;将停留点逐个映射到地图上,通过标记其语义,根据用户自定义的敏感语义位置集合,得到一组个人敏感停留点(即一组语义停留点)。3.语义停止点的联合采样用户轨迹上可能因为某种原因存在采样异常点,比如某个采样位置点与其前后相邻时刻的采样位置点距离过大,如图在图5中,P5与P4、P6的距离相差太大不现实,即采样定位点及其相邻定位点在采样时间内不可达。异常值的存在会影响单个停留点的提取及其语义标注的准确性,因此在将相邻停留核心点聚类为停留点之前,需要扫描轨迹数据检测异常值。用户的正常步行速度大约为3公里/小时。当用户停留在某个地方时,一般会处于静止或缓慢移动的状态。速度不应大于正常移动速度。结合采样时间,可以计算出距离δ。如果tj如果距离差|Lij-Li(j-1)|和|Lij-Li(j+1)|本次采样位置Lij与相邻时刻采样位置之间的差值大于δ,则认为Lij为异常采样点,合并相邻留核点时应舍弃离群点。完成轨迹数据检测和异常点丢弃后,即可进行留下的核心点的合并。图5采样异常点通过上述方法可以提取出每个用户在一段时间内的停留点集合SP={SP1,SP2,…,SPn},其中SPi(1≤i≤n)包含多个停留点cores点的停留点,每个停留点所包含的停留核心点可以表示为SPi={P1,P2,...,Pm}。后续需要更换停留点和重置采样点。这里以SPi中能够覆盖所有停留核心点的最小覆盖圆的圆心作为停留点的代表坐标,如图5所示。同时,最小覆盖圆半径用于后续采样点复位。对于每个停留点SPi={P1,P2,...,Pm},找到最小覆盖圆。基本思路是:先在SPi中选取3个停留核心点组成一个三角形,求三角形的最小覆盖圆的圆心和半径;然后遍历剩下的核心点,判断该点是否在得到的圆内,如果在圆内,说明该圆仍然是最小覆盖圆,如果不在圆内,随机在上面三个点中选择中的两点,与该点组成新的三角形,重新计算新的最小覆盖圆的圆心和半径。重复上述过程,直到找到能覆盖所有核心停留点的最小覆盖圆的圆心和半径。通过上述方法可以得到各个停靠点的坐标信息和覆盖范围。然后调用百度地图Web服务API,使用反向地理编码服务获取停靠点坐标位置,标记其语义属性。4.敏感停留点的替换提取出用户原始轨迹上的所有敏感停留点后,下一步就是根据用户个性化的隐私保护需求点,在合理的空间范围内对不同语义兴趣的敏感停留点进行替换.其中,选择合适的备选止损点是关键。为了保证加工轨迹的安全性和完整性,备选停止点的选择不能完全随机。需要充分考虑用户的移动方向、兴趣点的语义和距离等特征。备选经停点的选择过程分为两部分:首先为每个敏感经停点构建一个合适的候选区域,然后在候选区域内选择一个合适的兴趣点作为备选经停点。(1)候选区的构建为了防止替换停靠点距离对应的敏感停靠点过远而影响受保护轨迹数据的可用性,必须根据敏感停靠点本身来构建候选区.候选区域的范围由敏感停止点和轨迹上其时空邻居前后两个停止点之间的距离共同确定。如图6所示,用户轨迹上分别存在敏感停留点SP2和SP3。如果在候选区域的重叠区域选择各自的备选停留点SP′2和SP′3,通过比较发现保护轨迹与原轨迹在形状和方向上存在较大偏差,这严重降低了两条轨迹之间的相似性。由于保护轨迹与原始轨迹的相似度是衡量轨迹数据可用性的重要指标,为了防止敏感停止点的更换破坏轨迹的可用性,需要保证候选区域相邻的敏感停止点不能重叠区域。如果现有候选区域内的POI不能满足用户的隐私需求,则应扩大候选区域以搜索更多的POI。如果候选区域的扩大导致部分候选区域重叠,那么就避免在候选区域的重叠区域选择备选停止点。图6.候选区域重叠导致轨迹相似度降低。方案中每个敏感停靠点的候选区域是一个以自身为圆心的圆,以到相邻停靠点的距离中较小的值为直径。对于轨迹上的第一个停留点,如果它是一个敏感停留点,由于它没有上一个相邻的停留点,它的候选区域直径就是它到下一个停留点的距离;同理,如果轨迹上的最后一个停靠点是敏感停靠点,由于没有下一个相邻的停靠点,它的候选区域直径就是它与上一个停靠点的距离。如图7所示,对某用户进行移动特征分析,从其轨迹中提取出5个停留点{SP1,SP2,SP3,SP4,SP5}。如果{SP1,SP2,SP3}是一组敏感停留点,虚线圆圈分别是它们的候选区域。其中,SP1和SP5因为是边界点,只有一个相邻的停止点,所以它们的候选区域半径分别是SP1到SP2和SP4到SP5距离的一半;而SP3前后有相邻的停靠点SP2和SP4,所以其候选区域半径为SP3到SP4距离的一半(因为SP3到SP4的距离小于SP2到SP3的距离)。这样构建的候选区域不会导致备选位置点与自身停留点偏离过大,同时可以避免候选区域重叠导致轨迹相似度下降的情况。图7敏感停留点候选区域(2)备选停留点的选择隐私保护度l是指敏感区域内距离敏感停留点最近但语义不同的其他兴趣点的数量至少为l。隐私保护程度反映了敏感区域兴趣点的多样性。l的值越大,用户的隐私要求越高。在为每个敏感停靠点构建出合理的候选区域后,接下来的工作就是为候选区域内的每个敏感停靠点选择合适的兴趣点,并结合用户自定义的隐私要求将其作为备选停靠点。如果选择与敏感停留点具有相同或相似语义的兴趣点作为替代停留点,恶意攻击者仍然可以从替代停留点的语义中推断出用户的敏感信息;而在实际环境中,这些具有相同语义的兴趣点一般距离较远,可能导致选择的备选停靠点偏离敏感停靠点较远,需要重置的采样位置点数量较多,并且轨迹的完整性很低。在这个方案中,敏感的停留点被具有不同语义的兴趣点所取代。首先,以敏感停留点本身为中心搜索备选停留点,逐渐扩大搜索半径,直到找到不少于l个与敏感停留点具有不同语义的兴趣点;将停留点的距离由近到远排序,取前l个作为备选停留点的候选集,取包含敏感停留点和l个兴趣点的最小矩形作为敏感区域SA;最后,在敏感区域随机选择一个兴趣点作为备选停靠点。在寻找备选停留点集时,遍历每一个新搜索到的兴趣点,如果其语义与敏感停留点不同,则将其加入候选集,否则忽略,最后在所形成的敏感区域点中随机选取一个兴趣并将其用作替代站点。敏感区域包含具有位置和语义多样性的POI,这增加了攻击者猜测真正敏感停止点的难度。同时,POI选择的随机性也提高了真实敏感停靠点的安全性。使用最小外接矩形作为敏感区域可以减少后期必须重新设置的采样点数量,为提高轨迹的完整性打下基础。(3)局部采样点的重置为敏感停止点SPi选择合适的替换位置后,需要选择替换停止点SPif中包含的停止核心点。同时,停止点更换后,部分移动采样点可能无法在采样区间内到达替代停止点,导致位置突然变化,攻击者很容易推断出轨迹段已被替换。因此,为了提高发布后轨道的安全性,还需要重新选择轨道上的一些移动点。为了最大程度保持轨迹形状的一致性,尽可能少地修改原轨迹,只在敏感区域进行局部采样点重置,原轨迹上运动点的速度应复位时要充分考虑。同时,敏感区包含的采样点数量应与原来相同,以提高重置后轨道段的真实性。本地采样点重置分为3部分:敏感区入口与备选停靠点之间的移动采样点重置、备选停靠点中包含的停靠核心点重置、备选停靠点之间的移动采样和敏感区域的出口点击重置。首先,重新设置局部采样点,如图8所示,敏感区第一个采样点为A,最后一个采样点为B;在A到SPi的原轨迹线段上找C点,使C到SPi和C到SPif的距离差最小。同理,在B到SPi的原轨迹线段上找到D点,使D到SPi和D到SPif的距离差最小;同时,以敏感停止点SPi的覆盖作为备选停止点,然后获取敏感区域移动点的速度取值范围{Vmin,Vmax},根据速度确定合适的新采样位置分别在C到SPif和D到SPif的段上取值和采样时间,并保证这两个轨迹段上重置的采样点数等于对应的原始轨迹段上的采样点数。最后,重新设置停留的核心点,在SPif的覆盖范围内随机选择采样点,同样保证采样点数量不变。同时,为了提高轨迹抵抗攻击的能力,在选取新的采样点时需要检查新采样点的位置是否合理。一般情况下,采样点不应位于湖心等小概率位置。图8局部采样点重置示意图找到C、D两个采样点,使得局部采样点重置过程中无需重新选择整个敏感区域的采样点。这不仅减少了需要处理的样本位置的数量,而且提高了轨迹的完整性。局部采样点重置后,用户轨迹等敏感隐私信息不复存在,可直接发布共享,用于数据分析研究。
