基于用户相关性的差分隐私轨迹隐私保护方案

摘 要：在使用位置查询服务时需要提供用户真实位置信息，导致用户信息泄露。大部分研究只针对单个用户的隐私保护，而忽略了多用户之间的相关性。针对轨迹隐私保护中多用户相关性的问题，提出了一种基于用户相关性的差分隐私轨迹隐私保护方案。首先，构建历史轨迹树，利用变阶马尔可夫模型预测用户轨迹，从轨迹集合中生成一组高可用性的轨迹数据集；其次，根据用户轨迹之间的相关性获取一组关联性较低的预测轨迹集；最后，通过自定义隐私预算的方法，根据用户不同的隐私需求动态调整每个位置点的隐私预算并为发布轨迹添加拉普拉斯噪声。实验结果表明：与LPADP算法相比，该算法的执行效率提升了10%～15.9%；与PTPP和LPADP算法相比，该算法的数据可用性提升了11%～16.1%，同时提升了隐私保护程度。

关键词：位置隐私；轨迹隐私保护；差分隐私；变阶马尔可夫模型

中图分类号：TP309.2 文献标志码：A 文章编号：1001-3695（2024）07-038-2189-06

doi： 10.19734/j.issn.1001-3695.2023.10.0539

Differential privacy trajectory privacy protection scheme based on user correlation

Abstract： When using location-based services， users need to provide their real location information， which may lead to the leakage of user information. Most research only focuses on the privacy protection of individual users， while ignoring the correlation among multiple users. This paper proposed a differential privacy trajectory protection scheme based on user correlation for trajectory privacy protection issues involving multiple users. Firstly， it constructed a historical trajectory tree and used a variable-order Markov model to predict user trajectories， generating a set of highly usable trajectory datasets from the collection of trajectories. Secondly， it obtained a set of predicted trajectories with lower correlation based on the inter-user trajectory correlations. Finally， by customizing the privacy budget method， it dynamically adjusted the privacy budget for each location point according to different user privacy needs and added Laplacian noise to the published trajectories. Experimental results show that compared to the LPADP algorithm， this algorithm improves execution efficiency by 10%～15.9%. Compared to both PTPP and LPADP algorithms， it enhances data usability by 11%～16.1%， while also increasing the level of privacy protection.

Key words：location privacy; trajectory privacy protection; differential privacy; variable-order Markov model

0 引言

近年来，随着互联网技术、GPS技术和移动设备的飞速发展，基于位置的服务（location-based service，LBS）已经被广泛应用于人们的生活中［1］。以用户日常使用较为广泛的移动导航为例，用户将自己的位置信息发送给位置服务提供商来获取所需的信息。然而服务商在向用户提供服务的同时，也会收集大量的用户位置和轨迹信息。

服务商在接收大量用户数据后，会分析不同用户之间的相关性，这些相关性表现为共同爱好、工作地点等［2］，而且服务商并不总是可信的，自身服务器漏洞或者遭受黑客攻击后，可能会导致用户的位置信息泄露［3， 4］。服务商通过分析位置数据可以推断出用户的敏感信息，如家庭状况、工作地址和身份信息等。因此，保护位置隐私对用户的日常生活非常重要。

现在的轨迹隐私保护方法大多针对单一用户的轨迹隐私保护，而忽略了用户之间的相关性。图1为三个用户某次出行的轨迹信息，攻击者经过分析得知他们经常一起去图书馆和电影院，攻击者就可以根据他们对三个用户的先验知识来确认他们的社会关系。所以，这种轨迹的相互关联应该被隐藏起来，以保护用户之间的社交关系，从而保护他们的隐私。

如果只考虑单一轨迹的隐私保护或只考虑两个用户间的相关性，有很大的局限性，攻击者可以通过分析其余相关用户的轨迹信息，进而分析出需要保护的用户轨迹。因此，对用户轨迹信息的保护，不仅要保护用户的基本位置信息，更要保护用户轨迹之间的相关性。针对这个问题，本文提出了一种基于用户相关性的差分隐私轨迹隐私保护方案（multi-user differential privacy，MUDP），考虑多个用户之间的相关性，通过变阶马尔可夫模型预测用户的轨迹，然后构建轨迹树优化算法的执行效率，根据轨迹间的欧氏距离度量轨迹之间的相关性，确定需要保护的轨迹。最后，针对不同位置的隐私需求，合理分配隐私预算。本文算法可以在保证数据可用性的前提下，保护用户之间的社交关系。本文的主要贡献如下：

a）针对不同用户之间的轨迹关联问题，提出了一种基于差分隐私的轨迹保护方案MUDP，考虑多用户之间的相关性，提高了隐私保护强度。

b）根据历史数据建立轨迹树，同时采用变阶马尔可夫模型动态预测轨迹，提高了查询效率和模型预测的准确性。

c）个性化分配隐私预算，根据用户不同的隐私需求动态分配隐私预算，提高了发布轨迹的可用性。

1 相关工作

目前的研究者们针对用户的轨迹隐私保护提出了一些解决方案，这些方案大致可以分为基于扭曲技术、基于加密技术、基于匿名技术［5］。但是这些方法在面对对手的背景知识攻击、组合攻击时，仍无法保证用户的隐私安全［6］。为了应对上述问题，差分隐私技术被开发出来。差分隐私具有良好的隐私保护强度，是目前主流的隐私保护技术。Dwork［7］在2006年提出了差分隐私的概念，它要求修改单个记录对查询结果的影响可以忽略不计。

1.1 针对单一用户的轨迹隐私保护方案

如今，大部分关于轨迹隐私保护的方案只针对单一用户轨迹隐私保护问题， Zhang等人［8］通过语义分析为轨迹中的位置点分配隐私级别，并根据隐私级别分配相应的隐私预算，从而平衡隐私和效用。Kou等人［9］设计了一种位置隐私保护算法，提出了一种基于差分隐私的传感器网络位置隐私保护方案，在增加噪声的同时保证了数据的实用性。Bi等人［10］将边缘节点分布到构造的对应网格中，利用LDP对每个网格的原始位置数据进行扰动，但是该方法对资源的消耗量较大。Xu等人［11］提出了一种基于轨迹分割的方法。其根据位置点的时间关系将用户轨迹划分为段，然后将轨迹段划分为不同的等价类，最后用它们构建轨迹图和对应的匿名集，增大了轨迹的匿名效率。Wu等人［12］对用户之间的联系进行了研究，采用卡尔曼滤波器对用户轨迹进行预测和修正，最后根据敏感位置添加隐私预算。Qian等人［13］提出了一种基于轨迹相关度的算法，在假位置替换算法的基础上添加了基于轨迹前缀树的差分隐私算法，将原始轨迹替换为区间内最优的伪轨迹，然后建立前缀树，对位置频率添加噪声，达到了对轨迹数据集双重保护的效果，但是没有考虑轨迹的时空特性，数据可用性稍差。上述方案针对单一用户的轨迹隐私保护都有很好的效果，然而，这些方法都忽略了用户之间的相关性，导致隐私泄露问题。

1.2 针对两个用户间相关性的轨迹隐私保护方案

目前针对用户相关性的研究大多只局限于两个用户之间的相关性研究。Ou等人［14］通过隐马尔可夫模型的相似性来量化两个用户之间的位置相关性，可以保留一段时间内用户之间的位置相关性。Wang等人［15］针对空间众包场景下的轨迹安全发布问题，设计了一种基于差分隐私的隐私保护机制，能够准确预测每个区间的位置，自适应分配所需的隐私预算，保持轨迹内的时间相关性，实时安全地发布轨迹。Ou等人［16］提出了基于拉格朗日乘数的差分隐私（LMDP）方法来优化隐私预算，通过定义轨迹相关性分数来衡量两个用户之间的社会关系。上述研究仅局限于两个用户之间的相关性隐私保护，不适用于多用户之间的隐私保护。目前，关于多轨迹间相关性隐私保护的研究还没有得到很好的研究。由于社交关系的泄露会对用户产生巨大的影响，这是一个急需解决的问题。

上述研究都没有全面、多角度地考虑用户之间的相关性对轨迹隐私保护的影响，只有部分研究体现了两用户间相关性的衡量方式，无法保证多用户间相关性和用户个性化的隐私保护需求。因此，本文提出了一种基于多用户间相关性的个性化轨迹隐私保护算法，利用变阶马尔可夫模型预测用户轨迹，增强数据可用性的同时保护用户间的相关性。

2 相关定义

本章介绍本文涉及的基本概念，所用符号如表1所示。

定义1 敏感位置点。包含用户个人信息较多的位置点称为用户敏感位置点。将敏感位置点的集合定义为SL={sl1，sl2，…，sln}，将用户设定的敏感位置隐私级别表示为PL={pl1，pl2，…，pln}，其中pli∈（0，1）。

定义2 用户轨迹。当前位置点由经纬度坐标和时间组成，记作l=（loi，lai），其中loi和lai分别代表用户在i时位置的经度和纬度坐标。用户轨迹T是由一系列位置点组成的集合，可表示为T={l1，l2，…，ln}，其中n表示轨迹点的个数。

定义3 ε-差分隐私。给定邻近数据集D和D′，查询算法M，若算法M在数据集D和D′的任意输出结果O满足式（1），则称该算法满足差分隐私。

其中：ε为隐私预算，表示隐私保护度，ε越小则隐私保护度越高。

其中：D和D′表示有且仅有一条不同数据的相邻数据集；‖f（D）－f（D′）‖1表示一阶范数距离。

常用的差分隐私保护机制有拉普拉斯机制和指数机制，其中拉普拉斯机制主要用于数值型数据，指数机制主要用于非数值型数据，本文采用拉普拉斯机制添加噪声。

定义6 轨迹距离。轨迹间的距离用位置点间的平均距离表示，定义如下：

两条轨迹长度必须相同且定位点相互对应。其中dis（lai，lbi）表示用户a和b在当前位置点的距离，ω表示位置点的个数。

定义7 变阶马尔可夫模型。马尔可夫模型可以预测用户未来可能的位置，而对于m阶马尔可夫模型，用户的下一个发生时刻位置由前m个位置决定，可用公式表示为

Pr（ln+1|ln，ln－1，…，l1）=

Pr（ln+1|ln，ln－1，…，ln－m+1）（5）

其中：（ln－m+1，…，ln）在统计样本中出现的概率为

Pr（ln－m+1，…，ln）=Pr（ln－m+1）Pr（ln－m+2|ln－m+1）…Pr（ln|ln－m+1，…，ln－1） （6）

当m=1时，构成标准形式马尔可夫模型。由式（6）可知，当轨迹长度不满足阶数时，无法预测下一个位置，此时通过降阶进行预测，直到降至一阶。这样既能体现变阶马尔可夫模型的灵活性，又能保证预测效率。

3 方案设计

3.1 系统架构

本文系统架构如图2所示，由用户、可信第三方服务器（trusted third party，TTP）和LBS提供商三部分组成。TTP位于用户和LBS服务器之间，用于防止不可信LBS收集用户信息。本文中TTP的主要作用是收集并处理用户原始位置信息，将处理后的用户信息反馈给LBS服务器。LBS无法通过处理后的信息获取用户当前位置信息。

3.2 威胁模型

本文假设位置服务提供商不可信，当其数据库受到恶意攻击者攻击时，用户的轨迹数据等信息可能被泄露。本方案的威胁模型如图3所示。

用户通过GPS等定位服务获取自身位置信息，并将轨迹数据发送到TTP服务器进行处理，处理后的数据从位置服务提供商处获取服务。几乎所有的LBS提供商都会搜集用户的个人数据，如位置信息、身份信息、兴趣爱好等，攻击者通过攻击TTP服务器或直接攻击位置服务提供商后获取用户各种信息，导致用户的隐私泄露。

3.3 MUDP轨迹隐私保护算法

MUDP算法首先根据TTP中的历史轨迹构建轨迹树，当用户发起查询请求时，根据用户原始轨迹构建预测轨迹集合，然后通过相关度阈值θ判断不同用户间的轨迹相关度。

如图4所示，若不存在相关用户，则根据预测轨迹集构建相邻轨迹集，根据用户不同的隐私需求分配隐私预算并发布轨迹；若存在相关用户，即两用户间的相关度大于θ，则两用户为相关用户，这时需要保护用户间的相关性。根据变阶马尔可夫模型预测用户轨迹，得到用户轨迹预测集PT。经过模型预测后，根据相似度SIM值判断不同用户之间的相关度，得到用户预测轨迹保存集PTS。最后，根据用户不同的隐私需求分配隐私预算并发布轨迹。

算法1 MUDP轨迹隐私保护算法

上述算法中：第1行利用变阶马尔可夫模型得到当前用户的预测轨迹集；第2行获取相关用户轨迹；第3～13行基于第2行计算结果Da非空，这时从相关用户预测轨迹中选出符合要求的关联轨迹集，之后根据相关性阈值获得相关性较低的轨迹，最后构建相邻数据集，为发布轨迹添加拉普拉斯噪声后发布；第14～18行基于第2行计算结果Da为空，这时无相关用户轨迹，需根据当前用户预测轨迹构建相邻数据集，从预测轨迹保存候选集中选出的发布轨迹，然后为发布轨迹添加拉普拉斯噪声后发布。

3.4 轨迹预测

构建一个最大m阶的轨迹树TT，轨迹树的最大深度为m+1。树中每个分支代表服务器中的一条历史轨迹，根节点只存储历史轨迹的总条数，除根节点外，每个子节点由一个位置点和位置点出现的次数组成。假设用户的历史移动轨迹如表2所示。

根据服务器中存在的历史轨迹构建出轨迹树，如图5所示。

当用户发起请求时，通过部分匹配算法依次在轨迹树TT中匹配用户当前轨迹。从起始位置点开始，使用变阶马尔可夫模型预测用户下一位置点。如果对应的轨迹能够在TT中匹配，则使用当前阶数的马尔可夫模型进行预测，并将所有可能的结果存储在位置候选Z′中。m阶预测完成后，如果匹配到对应位置，则根据真实位置预测下一位置点;否则，删除与用户当前位置时间间隔最长的位置后重新匹配。重复上述步骤，直到生成所有预测位置点。之后将Z′中的位置点连接，获得预测轨迹组成的集合PT。PT可以表示为

PT={PT1，PT2，…，PTk}

PTi={li1，li2，…，lin}

其中：lin表示用户i在时间n时所在的位置点；PTi表示某一条预测轨迹。

算法2 变阶马尔可夫轨迹预测算法

3.5 获取关联轨迹

由定义6求出两条轨迹之间的欧氏距离，若已知用户a和b的两条轨迹分别为Ta和Tb，如果Tdis（Ta，Tb）<θ，则表示两条轨迹之间存在关联性，其中θ表示距离阈值。将轨迹数据库D={Ta，Tb，…，Tn}中所有符合Tdis（Ta，Tb）<θ的轨迹存入集合Da中，Da表示用户a的关联轨迹集合。

3.6 获取关联数据集

已知两个用户a和b经过变阶马尔可夫模型的预测后得到的预测轨迹集分别为PTa和PTb，且两用户真实轨迹间的距离Tdis（Ta，Tb）<θ，则轨迹相关性计算公式表示为

其中：Lcov（lai，lbi）表示在i时刻两用户的位置协方差；Lvar（lai）表示在i时刻用户a的位置方差。

获取用户间的轨迹相关度SIM值后根据SIM值大小判断预测轨迹的相关性。相关性阈值为λ，当SIM<λ时，两预测轨迹集相关性低，则可将两预测轨迹集保存在用户预测轨迹保存集PTS中；若SIM≥λ，则需在PTa和PTb中筛选其中LSIM<λ的轨迹，这时用户预测轨迹保存集PTSa可表示为

PTSa=PTa－DLSIMab≥λ（9）

其中：DLSIMab≥λ表示用户a的预测轨迹集中与用户b相关度高的轨迹。

上文构建的轨迹保存集中包含用户的真实轨迹RT，则预测轨迹保存候选集可表示为

PTPa=PTSa－RTa（10）

两集合间相差一条数据，即真实轨迹RT，可以构成相邻数据集。

3.7 轨迹发布

假设用户自定义敏感位置集为SL，对应隐私级别集为PL，根据用户定义的敏感位置构建的Voronoi图如图6所示。Voronoi图中，用户当前所在位置到每个单元格中心点的距离小于到达其他单元格中心的距离。由此可以通过单元格中心（敏感位置）的隐私级别计算出用户当前位置的隐私级别。

如图6所示，用户的某条出行轨迹为：从住宅区域出发经过政府到达公司。假设用户当前位置为v，用户附近敏感位置集为A，p为A中的元素，p的隐私级别为PLp，则当前位置的隐私级别可以表示为

其中：dis（p，v）表示p和v之间的欧氏距离；A={dis（p，v）<r}，r为用户设定的隐私范围阈值。由式（11）可知，距离敏感位置越近，隐私级别越高。

计算出每个位置点的隐私级别之后，为每个位置点分配隐私权重。隐私等级越高的位置，需要更高级别的隐私保护，而差分隐私中隐私预算和隐私保护水平成负相关。由此，可以得到隐私预算分配公式：

根据式（12）循环计算每个位置的隐私预算，从PTP中选出一条轨迹作为发布轨迹，为每个位置添加拉普拉斯噪声后发布。

算法3 个性化差分隐私加噪算法

3.8 安全性分析

证明1 个性化差分隐私加噪算法中添加拉普拉斯噪声满足差分隐私。

拉普拉斯噪声是满足拉普拉斯分布的随机值的集合，其基本原理是在数据中加入服从Lap（Δf/ε） 的噪声，使加入噪声后的数据满足差分隐私。

在算法3中加入拉普拉斯噪声，满足差分隐私，证明过程如下：

相邻数据集PTP和PTS分别记为D1和D2，其输出轨迹为O，则有

证明2 MUDP算法保护了不同用户之间的轨迹相关性。

假设用户a的真实轨迹为RTa，用户b的真实轨迹为RTb，其中RTa，RTb∈PTS，经过MUDP算法处理后的发布轨迹OT∈PTP，攻击者的先验概率为Pr（RT），后验概率为Pr（RT|OT），则有

攻击者无法区分用户a和b，隐藏了用户间的相关性，因此，保护了用户之间的相关性。

4 实验

为了验证本方案的可用性，采用真实数据集T-drive［17］和 Shanghai Taxi［18］。T-Driver数据集包含 2008年2月2日至2月8日北京市内10 357辆出租车的 GPS轨迹，采样时间在30～300 s不等，平均采样时间为177 s。Shanghai Taxi数据集包含 5 000辆公共汽车和出租车的轨迹数据，平均采样时间为60 s。这些轨迹数据集都由一个个数据序列组成，每个数据都包含车辆代码、时间戳和经纬度等信息。为了降低轨迹树的复杂度，剔除了一些日常生活之外的轨迹，如出差、旅行等，选择较为密集的轨迹作为实验数据。

实验使用Python 3.8对本文方法进行仿真实验，编程环境为PyCharm，实验环境为Windows 10操作系统，内存空间为16 GB，处理器为AMD Ryzen 7 4800U。与基于差分隐私的PTPP［19］和LPADP［20］算法进行对比分析实验。PTPP算法基于地理不可区分性，根据用户之间关系的强度来控制隐私预算。LPADP算法根据位置数据的检索难度构造位置隐私树（LPT），为LPT预测值最大的两个节点分配合理的隐私预算，并加入拉普拉斯噪声对位置隐私进行保护。本文将从算法运行时间、数据可用性和隐私保护度三个方面对算法进行分析。每组实验共进行10次，取所有结果的平均值作为最终结果。

4.1 算法运行时间

算法的运行时间影响算法的效率。在其他条件相同的情况下，算法运行时间越短，算法的执行效率越高。执行效率越高的算法，其执行时间越短，对服务器的运算要求越低。

首先分析轨迹长度对算法运行时间的影响，由图7可知，MUDP算法在轨迹长度较短时运行时间长于PTPP算法，原因在于MUDP算法需要构建相关轨迹集处理相关用户的轨迹，故轨迹长度较短时的算法运行时间较长，而随着轨迹长度的增加，MUDP算法只需在轨迹树中查找位置点，在轨迹长度达到70时算法运行时间和PTPP算法持平。MUDP算法采用变阶马尔可夫模型，当轨迹长度不满足阶数时降阶，与采用标准马尔可夫模型的LPADP算法相比，节约了算法的运行时间，在轨迹长度为20～100时的运行时间均优于LPADP算法。

另外，分析敏感位置个数对算法运行时间的影响，为了便于分析敏感位置个数对算法运行时间的影响，取用户的位置敏感度PL=0.4。由图8可知，MUDP算法的平均运行时间优于PTPP算法，在PTPP算法中随着敏感位置个数的增加，需要遍历的位置数量也随之增加，因此需要消耗更多的时间。MUDP算法中构建了轨迹树TT，只需要预测轨迹位置和添加噪声，因此表现出更高的运算效率。而LPADP算法只保护预测值最大的两个节点，未考虑敏感位置的影响，因此敏感位置个数对其影响较小。算法在T-Driver数据集上的运行时间高于Shanghai Taxi数据集，这是由于T-Driver数据集的划分区域比Shanghai Taxi数据集更详细。

4.2 数据可用性

本文采用真实位置与生成位置之间的平均误差（AE）来衡量轨迹的可用性。假设真实轨迹位置集和最终发布轨迹分别为T和O，T中的元素为li，O中的元素为Oi，则将AE定义为

其中：dis（li，Oi）代表li和Oi之间的欧氏距离。显然，AE越大，数据可用性越差。

首先分析敏感位置个数对数据可用性的影响，设定PL的值为0.5，每组实验运行10次，取平均值作为结果。如图9所示，随着敏感位置个数的增加，用户所在位置的敏感度随之增加，由于添加了更多噪声，导致位置偏差更大，从而使数据可用性降低。在MUDP算法中，添加噪声时优化了不同位置的隐私预算的分配方式，数据可用性表现相对更优，剩余两种算法未针对用户需求合理分配隐私预算，因此，数据可用性稍差。

为了验证不同隐私预算下AE的大小，将隐私预算设置为0.2～1.4，分别测试不同算法在不同隐私预算下的AE值，分析算法的可用性。每个实验进行10次，取其平均值作为实验结果。

如图10所示，x轴为隐私预算，y轴为AE值。三种算法的AE均随着隐私预算ε的增大而增大，这是因为隐私预算越大，添加的扰动噪声越小，导致数据可用性变差。T-Driver数据集AE的平均值大于Shanghai Taxi数据集，这是因为T-Driver数据集的采样时间不同，数据稳定性较差，导致数据可用性降低。实验结果表明，本文算法的数据可用性优于其余两种算法。在隐私预算较小的情况下，PTPP虽然可以通过扰动位置提供一定的隐私保护，但增加的噪声过大，导致数据可用性过低，而LPADP算法未优化隐私预算分配方式，导致数据可用性波动过大。与之相比，本文算法针对用户不同的隐私需求分配隐私预算，数据可用性表现更佳。

为了分析预测算法的准确性，将本文所使用的变阶马尔可夫模型与标准马尔可夫模型、轨迹挖掘模型［21］进行对比，实验结果如图11所示。

从算法运行时间分析，变阶马尔可夫模型与标准马尔可夫模型在轨迹长度4 000以下时，运行时间接近，随着历史轨迹数量的增加，变阶马尔可夫模型的运行时间表现更优，原因在于变阶马尔可夫模型相比标准马尔可夫模型优化了算法的执行效率，在轨迹长度满足阶数时，可以直接预测，无须循环遍历，而轨迹挖掘模型运行时间更长；在数据可用性上，变阶马尔可夫和标准马尔可夫模型效果相似。

4.3 隐私保护度

本节分析不同隐私预算对隐私保护程度的影响，实验在T-Driver和Shanghai Taxi数据集下分别进行，实验结果如图12所示。

由图12可知，由于 T-Driver数据集的数据稳定性优于Shanghai Taxi数据集，所以T-Driver数据集上隐私保护程度的平均值优于Shanghai Taxi。随着隐私预算的增加，两种隐私保护算法的隐私保护程度都逐渐减小，但MUDP算法的隐私保护程度始终优于其余两种算法，原因是MUDP算法通过变阶马尔可夫模型生成的轨迹与真实轨迹更接近，同时个性化的隐私预算分配方法使隐私预算的分配更合理，从而在相同隐私预算下有更高的隐私保护程度。

5 结束语

针对不同用户间轨迹相关性的隐私保护存在的问题，本文提出了一种基于用户相关性的差分隐私轨迹隐私保护方案，利用变阶马尔可夫模型预测轨迹，解决了马尔可夫模型轨迹预测误差大、准确性低的问题；在用户相关性上，筛选出相关性较高的轨迹进行处理，使攻击方无法区分相关用户；最后个性化的隐私预算分配方法，解决了其他方案隐私预算分配不合理、添加噪声过大的问题。接下来的研究工作，将针对隐私预算的分配和算法的执行效率作进一步深入研究，进而提高本文方法的数据可用性和执行效率。

参考文献：

［1］Parmar D，Rao U P. Towards privacy-preserving dummy generation in location-based services ［J］. Procedia Computer Science，2020，171： 1323-1326.

［2］Dootio M A，Lakhan A，Sodhro A H，et al. Secure and failure hybrid delay enabled a lightweight RPC and SHDS schemes in Industry 4. 0 aware IIoHT enabled fog computing ［J］. Mathematical Biosciences and Engineering，2022，19（1）： 513-536.

［3］Peng Tao，Liu Qin，Wang Guojun. Enhanced location privacy preserving scheme in location-based services ［J］. IEEE Systems Journal，2014，11（1）： 219-230.

［4］Gursoy M E，Liu Ling，Truex S，et al. Differentially private and utility preserving publication of trajectory data ［J］. IEEE Trans on Mobile Computing，2018，18（10）： 2315-2329.

［5］张青云，张兴，李万杰，等. 基于LBS系统的位置轨迹隐私保护技术综述 ［J］. 计算机应用研究，2020，37（12）： 3534-3544.（Zhang Qingyun，Zhang Xing，Li Wanjie，et al. Overview of location trajectory privacy protection technology based on LBS system ［J］. Application Research of Computers，2020，37（12）： 3534-3544.）

［6］Bolton T，Dargahi T，Belguith S，et al. On the security and privacy challenges of virtual assistants ［J］. Sensors，2021，21（7）： 2312.

［7］Dwork C. Differential privacy ［C］// Proc of the 33rd International Colloquium on Automata，Languages and Programming. Berlin： Springer-Verlag，2006： 1-12.

［8］Zhang Jing，Li Yanzi，Qian Ding，et al. Successive trajectory privacy protection with semantics prediction differential privacy［J］. Entropy，2022，24（9）： 1172.

［9］Kou Kaiqiang，Liu Zhaobin，Ye Hong，et al. A location privacy protection algorithm based on differential privacy in sensor network ［J］. International Journal of Embedded Systems，2021，14（5）： 432-442.

［10］Bi Mengnan，Wang Yingjie，Cai Zhipeng，et al. A privacy-preserving mechanism based on local differential privacy in edge computing ［J］. China Communications，2020，17（9）： 50-65.

［11］Xu Jiuyun，Liu Lele，Zhang Ruru，et al. IFTS： a location privacy protection method based on initial and final trajectory segments ［J］. IEEE Access，2021，9： 18112-18122.

［12］Wu Lei，Qin Chengyi，Xu Zihui，et al. TCPP： achieving privacy-preserving trajectory correlation with differential privacy ［J］. IEEE Trans on Information Forensics and Security，2023，18： 4006-4020.

［13］Qian Kun，Li Xiaohui. LBS user location privacy protection scheme based on trajectory similarity ［J］. Scientific Reports，2022，12（1）： 1-12.

［14］Ou Lu，Qin Zheng，Liu Yonghe，et al. Multi-user location correlation protection with differential privacy ［C］// Proc of the 22nd IEEE International Conference on Parallel and Distributed Systems. Piscata-way，NJ： IEEE Press，2016： 422-429.

［15］Wang Qian，Zhang Yan，Lu Xiao，et al. Real-time and spatio-temporal crowd-sourced social network data publishing with differential privacy ［J］. IEEE Trans on Dependable and Secure Computing，2016，15（4）： 591-606.

［16］Ou Lu，Qin Zheng，Liao Shaolin，et al. Releasing correlated trajectories： towards high utility and optimal differential privacy ［J］. IEEE Trans on Dependable and Secure Computing，2018，17（5）： 1109-1123.

［17］Yuan Jing，Zheng Yu，Zhang Chengyang，et al. T-drive： driving directions based on taxi trajectories［C］// Proc of the 18th SIGSPATIAL International Conference on Advances in Geographic Information Systems. New York： ACM Press，2010：99-108.

［18］Ma Zhuo，Zhang Tian，Liu Ximeng，et al. Real-time privacy-preserving data release over vehicle trajectory ［J］. IEEE Trans on Vehicu-lar Technology，2019，68（8）： 8091-8102.

［19］Li Jiachun，Chen Guoqian. A personalized trajectory privacy protection method ［J］. Computers & Security，2021，108： 102323.

［20］Li Hongtao，Wang Yue，Guo Feng，et al. Differential privacy location protection method based on the Markov model ［EB/OL］.（2021-07-01）. https：//doi.org/10.1155/2021/4696455.

［21］Pan Xiaoying，Zhao Qian，Zhao Pu. Frequent trajectory of pattern mining with spatio-temporal attribute and relationship label ［J］. Computer Engineering and Applications，2019，55（10）： 83-89.