車輛自組網(wǎng)的位置隱私保護(hù)技術(shù)研究

張建明，趙玉娟，江浩斌，賈雪丹，王良民,

(1. 江蘇大學(xué) 計(jì)算機(jī)科學(xué)與通信工程學(xué)院，江蘇 鎮(zhèn)江 212013；2. 江蘇大學(xué) 汽車工程研究院，江蘇 鎮(zhèn)江 212013)

1 引言

車輛自組網(wǎng)(VANET, vehicle ad hoc network)是一類在交通領(lǐng)域有廣泛應(yīng)用的移動(dòng)自組織網(wǎng)絡(luò)，它支持動(dòng)態(tài)、隨機(jī)、多跳拓?fù)浣Y(jié)構(gòu)。車輛自組網(wǎng)通信范圍內(nèi)的車輛可以自組織地連接成一個(gè)移動(dòng)的網(wǎng)絡(luò)，相互交換各自的車速、位置等信息和車載傳感器感知的數(shù)據(jù)，可使駕駛者在超視距范圍內(nèi)獲得實(shí)時(shí)的路況信息和其他車輛的行車信息，從而解決道路交通安全問(wèn)題，提高行車服務(wù)質(zhì)量。

典型的車輛自組網(wǎng)由3部分構(gòu)成：車輛子網(wǎng)、網(wǎng)絡(luò)運(yùn)營(yíng)商和服務(wù)基礎(chǔ)設(shè)施部分。其中，車輛子網(wǎng)是由車載通信單元(OBU, on-board unit)連接而成的自組織網(wǎng)絡(luò)；網(wǎng)絡(luò)運(yùn)營(yíng)商是已有的基于 Internet的有線無(wú)線網(wǎng)絡(luò)設(shè)施；服務(wù)基礎(chǔ)設(shè)施包含認(rèn)證中心(TA, trusted authority)、服務(wù)供應(yīng)者(SP, service pro-vider)和路邊單元(RSU, road-side unit)。為此車輛自組網(wǎng)的通信也分為2個(gè)部分：車與車(V2V, vehicle to vehicle)通信和車與基礎(chǔ)設(shè)施(V2I, vehicle to infrastructure)通信，如圖1所示。

圖1 典型的車輛自組網(wǎng)結(jié)構(gòu)

車輛網(wǎng)絡(luò)所接受的是一種位置服務(wù)(LBS, location-based service)，LBS提供的服務(wù)與用戶提出請(qǐng)求的位置有關(guān)[1]。例如，V2V中，車輛要實(shí)時(shí)廣播自己的位置、速度信息給周邊車輛，以防止相互碰撞；V2I中，車輛基于位置來(lái)向RSU請(qǐng)求服務(wù)，服務(wù)提供者則基于位置信息，通過(guò)路邊單元給車輛提供各類增值服務(wù)。顯然，使用LBS容易造成位置隱私的泄漏[2]。就 VANET的應(yīng)用與網(wǎng)絡(luò)結(jié)構(gòu)來(lái)說(shuō)，至少有3類位置隱私泄露方式[3]：路邊單元或位置服務(wù)器中用戶信息的泄密的直接方式；通過(guò)觀察被攻擊者行為獲取位置信息觀察方式；通過(guò)與車輛位置的通信連接來(lái)確定用戶位置追溯方式。

然而，VANET中車輛信息、駕乘人員及位置信息往往捆綁在一起的，駕乘人員在享受基于位置服務(wù)的過(guò)程中，有強(qiáng)烈的隱私保護(hù)需求——不愿意泄露自己的身份、現(xiàn)在或?qū)?lái)的位置等重要信息。多數(shù)駕乘者是無(wú)法接受在服務(wù)的同時(shí)遭受個(gè)人隱私泄露。為此，要推廣和應(yīng)用 VANET以及基于VANET的位置服務(wù)，必須解決好車輛使用者的位置隱私保護(hù)問(wèn)題。

本文主要綜述了國(guó)內(nèi)外近幾年來(lái)針對(duì)車輛自組網(wǎng)的位置隱私保護(hù)方法及相關(guān)技術(shù)的研究，在介紹各類方法基本思想的基礎(chǔ)上，對(duì)其主要特點(diǎn)進(jìn)行了歸納總結(jié)，并指出了還需要重點(diǎn)解決的問(wèn)題。本文的組織結(jié)構(gòu)如下：首先，簡(jiǎn)單介紹車輛自組網(wǎng)的組成和特點(diǎn)以及網(wǎng)絡(luò)中的隱私保護(hù)內(nèi)容；接下來(lái)，對(duì)現(xiàn)有的隱私保護(hù)技術(shù)進(jìn)行總結(jié)比較，分析各方案的基本思想、適用環(huán)境及優(yōu)缺點(diǎn)；繼而對(duì)各種隱私度量方案進(jìn)行分析；最后，總結(jié)全文并提出車輛自組網(wǎng)中關(guān)于隱私保護(hù)的進(jìn)一步研究?jī)?nèi)容。

2 車輛自組網(wǎng)的隱私保護(hù)內(nèi)容

當(dāng)前，有關(guān)車輛自組網(wǎng)隱私保護(hù)技術(shù)的研究，多數(shù)和安全研究相關(guān)，而實(shí)際上，隱私和安全是相關(guān)而并不相同的2個(gè)概念。安全是指網(wǎng)絡(luò)不受外界威脅和攻擊，文獻(xiàn)[4]認(rèn)為VANET內(nèi)的位置安全主要有 3個(gè)要素：保密性(confidentiality)、完整性(integrity)和可用性(availability)，而文獻(xiàn)[5]擴(kuò)充了這個(gè)范圍，指出VANET內(nèi)的安全需求主要包括：身份驗(yàn)證(Authentication)、保密性(confidentiality)、隱私(privacy)和付費(fèi)(billing)。這個(gè)廣義的安全范圍，不僅指出受威脅的目標(biāo)不單指車輛，也可以是SP(服務(wù)提供者)；還包含了隱私，隱私是不愿意被別人知曉的信息。

車輛自組網(wǎng)內(nèi)的隱私通常包含身份隱私、服務(wù)隱私和車輛位置隱私3個(gè)方面。身份隱私，即網(wǎng)絡(luò)內(nèi)車輛及車輛用戶的真實(shí)身份，包括駕駛證號(hào)、姓名、身份證及賬戶號(hào)等關(guān)鍵信息，需要車輛頻繁變換身份標(biāo)識(shí)，防止攻擊者關(guān)聯(lián)前后的標(biāo)識(shí)，又稱為句法隱私。服務(wù)隱私即某車輛在享受一個(gè)LBS的過(guò)程中達(dá)到的身份、服務(wù)信息和位置隱私。服務(wù)信息隱私包括內(nèi)容隱私、前向隱私和后向隱私3個(gè)部分：內(nèi)容隱私，即車輛在要求服務(wù)時(shí)的服務(wù)內(nèi)容，如艾滋病醫(yī)院、假發(fā)維護(hù)等；前向隱私是指某輛車在得到一個(gè)LBS的認(rèn)證授權(quán)前，不能從RSU或別的車輛那兒獲取由此LBS發(fā)布的任何服務(wù)內(nèi)容；后向隱私，即某車輛在離開(kāi)一個(gè)LBS后，不再具有繼續(xù)享受該服務(wù)未來(lái)內(nèi)容的權(quán)利。身份隱私和服務(wù)隱私均可通過(guò)現(xiàn)有的隱私保護(hù)技術(shù)移植得到實(shí)現(xiàn)。

位置隱私是車輛自組網(wǎng)隱私保護(hù)中的關(guān)鍵難點(diǎn)，一方面，位置服務(wù)中所有的服務(wù)都是基于位置信息提供的，在某輛車進(jìn)入某位置前或離開(kāi)后，就不能獲得服務(wù)的內(nèi)容；另一方面，位置信息本身是用戶隱私的重要部分，不能泄露。位置隱私不僅需要保護(hù)車輛的物理方位和路徑軌跡不泄露，還需要防止攻擊者利用中心消息中的位置、速度等信息重構(gòu)車輛的軌跡，有時(shí)候也稱為語(yǔ)義隱私。位置隱私可能以“通過(guò)通信連接重建用戶位置信息”的方式泄露，所以位置隱私保護(hù)也應(yīng)包含通信隱私。通信隱私是指通信過(guò)程中通信雙方的身份和位置信息以及通信內(nèi)容不被泄漏或各自的身份與位置不被關(guān)聯(lián)。通信隱私包括V2V通信隱私和V2I通信隱私2類。

3 位置隱私保護(hù)技術(shù)

目前，國(guó)內(nèi)外針對(duì)車輛自組網(wǎng)隱私保護(hù)技術(shù)的研究很多，提出了一些實(shí)用性的隱私保護(hù)技術(shù)，其本質(zhì)都是隱藏車輛的真實(shí)身份和通信中使用的身份之間的一一映射關(guān)系，以實(shí)現(xiàn)車輛匿名、隱藏車輛或者車輛身份模糊等。最常見(jiàn)的方式是在指定區(qū)間讓車輛更換假名的 mix-zone假名方案和將單個(gè)車輛看成一個(gè)群體中一員的群(環(huán))簽名方案，這些隱私保護(hù)技術(shù)都結(jié)合了密碼學(xué)方法。

3.1 基于mix-zone的假名方案

基于mix-zone的假名方案的基本思想是：為車輛配備大量不揭示其真實(shí)身份的假名(pseudonyms)，每個(gè)假名僅使用一段時(shí)間后進(jìn)行更換，而更換假名的操作是在特定的地理區(qū)域(mix-zone)內(nèi)進(jìn)行的。假名(pseudonyms)是隨時(shí)間(或速度)而改變的短暫身份標(biāo)識(shí)。使用假名可以保護(hù)車輛的真實(shí)身份，但是如果長(zhǎng)時(shí)間使用同一假名相當(dāng)于未使用，故需要定期更換假名。假名方案[6]為防止連續(xù)跟蹤，讓車輛配有無(wú)關(guān)聯(lián)的多個(gè)假名，通過(guò)某種機(jī)制階段性地更換，達(dá)到隱私保護(hù)的目的。Capkun[7]給出了一個(gè)基于時(shí)間的假名定義，如式(1)所示。

其中， Pv1是車輛 v1在 t時(shí)刻產(chǎn)生的假名，HMAC(hash mutual authentication code)是一個(gè)密鑰散列函數(shù)， I Dv1表示車輛v1的真實(shí)身份， KV-11表示車輛v1的私鑰。不同于文獻(xiàn)[7]中假名更新以時(shí)間為度量，文獻(xiàn)[8]提出了以車輛速度決定假名更新的頻率，從而避免了高速長(zhǎng)距離假名不變帶來(lái)的跨 RSU的位置隱私泄露。假名更換常和路徑混淆[9]、隨機(jī)加密[10]以達(dá)到更佳的效果，其中路徑混淆是指假名在具有相似路徑的節(jié)點(diǎn)間變換；隨機(jī)加密結(jié)合了加密消息和加密階段隨機(jī)的思想。

Mix-zone的概念首先由Beresford[11]在2003年提出，是指假名變換的地理區(qū)域。Beresford[11]使用文獻(xiàn)[12]中的通信mix-zone來(lái)處理移動(dòng)節(jié)點(diǎn)的位置問(wèn)題。Beresford[13]在 2004年給出了基于位置服務(wù)的mix-zone模型架構(gòu)，其考慮對(duì)象是行人；隨后文獻(xiàn)[14～16]也基于該模型討論了移動(dòng)節(jié)點(diǎn)在特定區(qū)域更新假名。其思想類似于混合網(wǎng)絡(luò)中的混淆節(jié)點(diǎn)，通過(guò)變換消息的編碼和順序，達(dá)到難以關(guān)聯(lián)消息發(fā)送者與接收者的目的[6,17]。在車輛自組網(wǎng)中，mix-zone的選取與設(shè)計(jì)與混淆效果密切相關(guān)，目前常見(jiàn)的方式有基于特殊位置、基于安靜時(shí)段、基于加密空間和基于通信代理等4種典型方式。

3.1.1 基于特殊位置的mix-zone

基于特殊位置的 mix-zone是指事先指定某個(gè)地理區(qū)域，在該區(qū)域更換假名，以達(dá)到車輛混淆和隱藏的目的。Buttyán等[18]2007年首次將mix-zone方法用于車載網(wǎng)絡(luò)，其mix-zone模型如圖2所示，其中，A、B、C為車輛入口，D、E、F為車輛出口，車輛在mix-zone中更換假名，選擇不同路徑離開(kāi)，從而起到混淆的作用。

圖2 公路網(wǎng)中形成的mix-zone

文獻(xiàn)[18]將道路網(wǎng)絡(luò)模型分為攻擊者可觀察和不可觀察區(qū)域，在不可觀察區(qū)域用mix-zone建模，車輛在穿越該區(qū)域時(shí)停止發(fā)送一些消息來(lái)更新假名、混淆身份。為擴(kuò)展實(shí)際地理情形對(duì)mix-zone選取的限制，文獻(xiàn)[19]構(gòu)造了直線路面的 mix-zone。如圖3所示，車輛A和B在進(jìn)入mix-zone前后的消息標(biāo)識(shí)發(fā)生變化，加大了跟蹤的難度。但這種方法在車載網(wǎng)絡(luò)密度較小的情況下，因?yàn)楣艨梢酝ㄟ^(guò)信號(hào)跟蹤，隱私保護(hù)效果并不明顯。

圖3 在直線路面上構(gòu)造mix-zone

文獻(xiàn)[20]提出在有許多車輛聚集的交通紅燈處、大型商場(chǎng)的免費(fèi)停車場(chǎng)等社交點(diǎn)(social spot)建立mix-zone的思想。Lu等[21]將文獻(xiàn)[20]設(shè)計(jì)的匿名分析方法提煉為 PCS(pseudonym changing at social spot)策略，并用博弈論證明了它在實(shí)際中的可行性。

利用基于特殊位置的mix-zone方案，在某些特定的地理位置更換假名確實(shí)起到了一定的隱私保護(hù)作用。然而，總體來(lái)說(shuō)，這種基于特殊地形、地點(diǎn)的mix-zone方法，很容易被基于地形的其他監(jiān)控技術(shù)所攻擊，從而失去其隱私保護(hù)的目的。

3.1.2 基于安靜時(shí)段的mix-zone

鑒于基于特殊位置方案的地理局限性，許多研究者采用基于安靜時(shí)段的mix-zone方案?；诎察o時(shí)段的 mix-zone是采用分布式思想的動(dòng)態(tài)mix-zone，車輛自己或彼此之間形成一個(gè)安靜時(shí)段，然后更換假名，從而實(shí)現(xiàn)在不需要特定交通基礎(chǔ)設(shè)施的幫助下完成假名的更換過(guò)程。SLOW[22](silence at low speed)可在不與其他車輛和第三方設(shè)施的合作下創(chuàng)建自己的mix-zone。其基本思想是：在車輛速度不下降到速度閾值(比如30km/h)以下時(shí)，不給中心發(fā)送消息，車輛在這樣的一個(gè)安靜時(shí)間段內(nèi)更換假名。

然而，安靜時(shí)段的選取是困難的。SLOW[22]認(rèn)為低速情況下碰撞事故少，即使發(fā)生也不會(huì)很嚴(yán)重，所以安靜時(shí)段設(shè)置在低速時(shí)；文獻(xiàn)[22]認(rèn)為最理想的地方是城市交通信號(hào)燈處，車輛必須減速的地區(qū)、車道選擇較多，事實(shí)上這結(jié)合了基于特殊位置mix-zone中地形和社交點(diǎn)的優(yōu)點(diǎn)。此后，文獻(xiàn)[23]提出假名在指定的時(shí)間段內(nèi)進(jìn)行假名更新；文獻(xiàn)[24～26]指出由參與者決定何時(shí)停止所有通信更換假名，其中文獻(xiàn)[24]則需要一個(gè)輔助節(jié)點(diǎn)之間協(xié)調(diào)它們的安靜時(shí)段的中心機(jī)構(gòu)；文獻(xiàn)[25]充分利用群的概念，區(qū)內(nèi)車輛通信實(shí)行匿名控制及擁有一個(gè)隨機(jī)的安靜時(shí)段，可減小單個(gè)目標(biāo)車輛的位置跟蹤；文獻(xiàn)[26]中的節(jié)點(diǎn)獨(dú)立決定是否在已形成的mix-zone中變換假名，但是基于博弈論(game theory)結(jié)果表明，自我的動(dòng)態(tài)行為降低了節(jié)點(diǎn)間成功協(xié)調(diào)的機(jī)會(huì)。

總體說(shuō)來(lái)，在車輛多的社交點(diǎn)完成假名更新是有一定危險(xiǎn)系數(shù)的，而且車輛間關(guān)于安靜時(shí)段的協(xié)調(diào)以及假名更換成功的概率都是需要重點(diǎn)考慮的問(wèn)題；更為重要的是，結(jié)合使用基于位置假名更換的方式，擁有了其優(yōu)點(diǎn)，也無(wú)法躲避其易于跟蹤的缺點(diǎn)。

3.1.3 加密mix-zone

基于特殊位置和安靜時(shí)段的研究方案一般采取在mix-zone停止所有通信的方式，然而這在不同程度上造成了VANET安全性能損失。加密mix-zone方法是對(duì)某個(gè)地理區(qū)域加密，保證區(qū)域內(nèi)的通信安全進(jìn)行，而車輛在形成一個(gè)匿名群體通過(guò)mix-zone并更換假名后，攻擊者將難以辨認(rèn)出哪輛是他所要跟蹤的。

文獻(xiàn)[27,28]均采用了加密 mix-zone中消息的方法代替停止所有通信。Freudiger等[27]提出CMIX(cryptographic mix-zone)協(xié)議，創(chuàng)建一個(gè)對(duì)稱密鑰k，作為mix-zone的空間密鑰。k由RSU分配給進(jìn)入 mix-zone混合區(qū)域的合法車輛，mix-zone內(nèi)通信的信息都必須經(jīng)過(guò) k的加密。CMIX為加強(qiáng)效果，文中聯(lián)合多個(gè)加密 mix-zone形成mix network(車輛混合網(wǎng)絡(luò))。其創(chuàng)建對(duì)稱密鑰的過(guò)程如下：

Dahl等[28]在十字路口構(gòu)造加密網(wǎng)絡(luò)模型，如圖4所示，采用CMIX協(xié)議[27]為車輛進(jìn)入mix-zone分配密鑰，并形式化分析了加密 mix-zone的隱私模型。在分析實(shí)驗(yàn)結(jié)果的基礎(chǔ)上，對(duì)CMIX協(xié)議進(jìn)行了改進(jìn)，即在 RSU的公鑰下加密請(qǐng)求和回復(fù)的消息。重建實(shí)驗(yàn)場(chǎng)景后，大多數(shù)理想模型中的隱私在CMIX模型中也能達(dá)到。

圖4 加密mix-zone十字路口模型

總體來(lái)說(shuō)，加密mix-zone提高了消息隱私性與車輛不可跟蹤性，但是同樣，車輛假名更換成功仍需要足夠的車輛數(shù)目；同時(shí)，加密也意味著更大的通信開(kāi)銷與延遲。

3.1.4 mix-zone通信代理

（3）對(duì)接接頭剛性拘束焊接裂紋試驗(yàn) 試驗(yàn)標(biāo)準(zhǔn)：試驗(yàn)按照《對(duì)接接頭剛性拘束焊接裂紋試驗(yàn)方法》（GB/T 13817—1992）進(jìn)行。

為減少車輛身份及發(fā)送消息的泄漏，有學(xué)者提出在 mix-zone內(nèi)的通信采用第三方代理方式。Sampigethaya等[29]在隨機(jī)安靜時(shí)段[23]的基礎(chǔ)上，讓車輛形成群體，每個(gè)群中的領(lǐng)導(dǎo)者代表群內(nèi)所有成員利益，匿名與RSU通信，使每輛車獲得LBS的應(yīng)用。以群體隱藏了個(gè)體，達(dá)到匿名與隱私保護(hù)的效果。

ProMixZone方案[30]是針對(duì)城市交叉口及高速分叉路口的更換假名并保證消息傳送的有效方案。該方案中的車輛允許通過(guò)一個(gè)可信代理發(fā)送消息，每輛車在進(jìn)入 PMZ(mix-zone with communication via proxy)前，會(huì)收到來(lái)自包含路邊代理的公鑰廣播消息。車輛在需要發(fā)送消息時(shí)，先用自身私鑰產(chǎn)生簽名，然后用代理的公鑰對(duì)簽名后的消息進(jìn)行加密，再發(fā)送給代理；代理匯總掌握 PMZ內(nèi)所有車輛的消息，在移除相應(yīng)消息中的證書(shū)與簽名后，代理用自己的私鑰對(duì)消息進(jìn)行簽名，并用接收消息車輛的公鑰加密后發(fā)送給對(duì)應(yīng)車輛。

然而，代理方式雖然保證了消息的匿名傳送，但由于它的任務(wù)繁重，也成為了整個(gè)過(guò)程的瓶頸。對(duì)于 mix-zone的研究，還有學(xué)者[31]考慮了多個(gè)mix-zone在城市中的優(yōu)化部署問(wèn)題，并用有向圖形式化了一個(gè)城市mix-zone分布。

3.2 基于簽名的方案

數(shù)字簽名依靠公鑰加密技術(shù)保證了消息的完整性、發(fā)送者身份驗(yàn)證以及防止抵賴，從而提供了一個(gè)辨別消息合法性的方法。在基于簽名的車輛位置隱私保護(hù)方法中，主要是基于群簽名和環(huán)簽名的方案，利用一個(gè)群體混淆群體內(nèi)個(gè)體之間的區(qū)分，從而實(shí)現(xiàn)車輛匿名性的目的。

3.2.1 基于群簽名的位置隱私方案

群簽名方案的基本思想是，車輛先形成一個(gè)群體，群體中的任意一個(gè)成員可以以匿名的方式代表整個(gè)群體對(duì)消息進(jìn)行簽名。與其他數(shù)字簽名一樣，群簽名可以是公開(kāi)驗(yàn)證的，而且可以只用單個(gè)群公鑰來(lái)驗(yàn)證；不同的是，群簽名保護(hù)簽名者的匿名性，只有群管理者才可以跟蹤簽名者。為此，該方案可以用于車輛網(wǎng)絡(luò)，一方面，實(shí)現(xiàn)匿名認(rèn)證；另一方面，實(shí)現(xiàn)可信中心對(duì)特定車輛的跟蹤。

最早的群簽名方法由Chaum和Heyst[32]提出，隨后 Boneh和 Shacham提出了短群簽名方案[33]和VLR(verifier-local revocation)機(jī)制。但是VLR機(jī)制中簽名撤消的消息只發(fā)送給簽名認(rèn)證者，而不發(fā)給簽名者，導(dǎo)致已撤消的成員在撤消狀態(tài)下仍然可以使用之前的群簽名保持匿名性，使得該方案存在后向關(guān)聯(lián)性。Nakanishi和 Funabiki[34]提出了改進(jìn)的VLR群簽名方案(記為NF05)，消除后向關(guān)聯(lián)特性。而文獻(xiàn)[35]提出了一個(gè)改進(jìn)的 NF05群簽名方案并應(yīng)用于車輛網(wǎng)絡(luò)，獲得一個(gè)擁有更短簽名長(zhǎng)度和更少計(jì)算開(kāi)銷的身份認(rèn)證方案。改進(jìn) NF05[35]中有 2種身份認(rèn)證機(jī)制，需要服務(wù)的 OBU發(fā)送簽名給RSU，RSU查找群公鑰和撤消列表，核實(shí)簽名合法后允許 OBU下載服務(wù)。隨后，動(dòng)態(tài)的隱私保護(hù)的密鑰管理方案 DIKE[36]被提出，它是一個(gè)源于有效群簽名的隱私保護(hù)身份驗(yàn)證機(jī)制，可避免用戶可能對(duì)同一個(gè) LBS雙重登記而導(dǎo)致的攻擊(如 Sybil攻擊)，在達(dá)到用戶的隱私保護(hù)的同時(shí)，還能防止車輛用戶的雙重登記。

GSB[37]綜合采用群簽名技術(shù)和身份簽名技術(shù)，使得OBU不需要存儲(chǔ)大量的匿名密鑰，易于更新；而且可信中心可以有效地跟蹤目標(biāo)OBU。然而，其OBU能夠處理的密鑰撤消列表比較短，在面對(duì)大規(guī)模的密鑰撤消及緊迫的安全消息匿名認(rèn)證時(shí)，該方案面對(duì)繁重的核實(shí)過(guò)程將不大可行。針對(duì)此問(wèn)題，Lu等[38]提出有效的條件隱私安全保護(hù)(ECPP[38]，efficient conditional privacy preservation)協(xié)議，該協(xié)議基于HAB(huge anonymous keys based)和GSB協(xié)議，在滿足可信中心一定程度跟蹤的同時(shí)，有效地處理不斷增長(zhǎng)的撤消列表。ECPP協(xié)議只保持所需匿名密鑰的極小存儲(chǔ)，同時(shí)在安全消息的快速認(rèn)證上增加了容量和有效的條件隱私跟蹤機(jī)制。此后，SPRING[39](social-based privacy-preserving packet forwarding)協(xié)議研究車輛延遲容忍網(wǎng)絡(luò)中分組轉(zhuǎn)發(fā)應(yīng)用時(shí)接收者的位置隱私，它首次提出統(tǒng)計(jì)各交通叉路口RSU的密度；利用RSU的認(rèn)證，達(dá)到分組的可信轉(zhuǎn)發(fā)；并采用ECPP協(xié)議[38]的思想，使得可信中心可在一定程度上實(shí)現(xiàn)對(duì)OBU的跟蹤。

3.2.2 基于環(huán)簽名的位置隱私方案

由于車輛的移動(dòng)性，VANET的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是動(dòng)態(tài)變化的。環(huán)簽名方案可以滿足由網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)動(dòng)態(tài)變化帶來(lái)的通信要求。因?yàn)闊o(wú)需互相同意和消息交互，環(huán)成員可以快速變化，而且，小的環(huán)仍然可以確保簽名者的匿名性。

3.3 混合方案

以上各種基于 mix-zone的假名方案和群簽名環(huán)簽名方案各有其優(yōu)勢(shì)和不足，一個(gè)研究思路是結(jié)合不同方案，利用其優(yōu)點(diǎn)相互彌補(bǔ)不足之處，獲得具有更有效果的混合方案。混合方案由于綜合使用了多種方法，在綜合性能上具有更優(yōu)的效果。

Spring[42]方案結(jié)合了假名和群身份思想，網(wǎng)絡(luò)中的每輛車的假名均配有一組群的公鑰和私鑰，車輛用私鑰簽名消息，用假名進(jìn)行通信。文獻(xiàn)[27,28,30]中，將假名方案中結(jié)合了數(shù)字簽名思想。AMOEBA[25]是最有代表性的混合方案，采用了 3種方式來(lái)實(shí)現(xiàn)假名、群概念、數(shù)字簽名的思想，如利用組建車輛的群導(dǎo)航提供匿名，隨機(jī)安靜時(shí)段提高目標(biāo)車輛在導(dǎo)航中位置隱私，簽名密鑰管理實(shí)現(xiàn)安全與隱私的權(quán)衡，達(dá)到了減緩某輛車的位置跟蹤的理想效果。

3.4 隱私保護(hù)方案比較

本文在介紹以上各類隱私保護(hù)方案的同時(shí)，對(duì)其各自的特點(diǎn)進(jìn)行了分析?？傮w說(shuō)來(lái)，各方案均有自身的優(yōu)點(diǎn)，也存在一定的不足。本節(jié)的主要內(nèi)容是在隱私保護(hù)內(nèi)容、針對(duì)的攻擊類型以及隱私保護(hù)性能3個(gè)主要方面，對(duì)以上典型方法進(jìn)行綜合比較。一般情況下，衡量隱私保護(hù)性能時(shí)主要使用4個(gè)要素：匿名性、無(wú)關(guān)聯(lián)性、不可跟蹤性和頑健性。其中，匿名性是指改變或隱藏車輛的身份，不用真實(shí)身份進(jìn)行車輛自組網(wǎng)絡(luò)內(nèi)的通信；關(guān)聯(lián)性是車輛的前后身份標(biāo)識(shí)、前后位置以及身份標(biāo)識(shí)與位置的關(guān)聯(lián)，隱私保護(hù)需要剔除這種關(guān)聯(lián)，實(shí)現(xiàn)上述參數(shù)的無(wú)關(guān)聯(lián)；不可跟蹤性指攻擊者不可以利用多種方式達(dá)到跟蹤車輛的目的，這些方式包含觀察和關(guān)聯(lián)前后位置、收集離散方位點(diǎn)等進(jìn)行預(yù)測(cè)；而頑健性是指車載網(wǎng)絡(luò)能夠抵抗攻擊者的強(qiáng)度。在此，只給出各方案的隱私保護(hù)性能的結(jié)果，具體的度量方法將在下一節(jié)作具體陳述分析。表1給出了比較結(jié)果。

表1 位置隱私保護(hù)方法的比較

4 隱私保護(hù)水平的度量方法

表1中在描述隱私保護(hù)技術(shù)水平時(shí)使用的4個(gè)要素是目前度量隱私保護(hù)水平的主要指標(biāo)，相關(guān)工作都圍繞著這4個(gè)指標(biāo)來(lái)討論隱私保護(hù)技術(shù)的隱私保護(hù)能力。但是不同的度量方法在對(duì)各個(gè)指標(biāo)的關(guān)注上是有所差異的，度量方法大致可以分為基于匿名集合度量、基于熵關(guān)聯(lián)性度量、基于分布概率度量和頑健性形式化證明4類。

4.1 基于區(qū)域匿名集的度量

匿名集合的概念早在1988年就已被學(xué)者提出。一般指在某個(gè)攻擊者控制的區(qū)域范圍內(nèi)，同步變換匿名證書(shū)的所有 OBU集合。某區(qū)域的匿名集合越大，表明隱私程度越高。以文獻(xiàn)[29]為例，某個(gè)目標(biāo)的匿名集 SA表示讓攻擊者難以分辯出目標(biāo)身份的假名集合，|SA|表示集合大小，v(Ar)表示目標(biāo)車輛所在范圍A內(nèi)車輛總數(shù)目，則v(Ar)滿足空間泊松分布，即滿足式(2)。所以，一個(gè)目標(biāo)匿名集合的期望大小可以表示為式(3)。

在評(píng)估過(guò)程中，也有一些度量方法設(shè)定假名更換頻率，計(jì)算匿名集合的平均大小，但其假設(shè)條件及計(jì)算過(guò)程復(fù)雜，目前較少文獻(xiàn)采用。

4.2 基于熵的關(guān)聯(lián)性度量

文獻(xiàn)[18]提出了觀察 mix-zone出口事件的方法用式(4)來(lái)度量位置隱私，式中，qsj表示車輛由口 s進(jìn)入mix-zone口j離開(kāi)的條件概率，fsj(t)表示車輛在時(shí)間t內(nèi)由s到j(luò)穿越mix-zone的概率，pjt表示車輛在時(shí)間t內(nèi)由入口s進(jìn)入、出口j離開(kāi)mix-zone的概率。同一時(shí)刻車輛對(duì)不同出口的概率與均勻分布的吻合度，表明了隱私保護(hù)水平的高低。

文獻(xiàn)[27]假設(shè)mix-zone內(nèi)有N輛車，類似均勻分布。車輛在時(shí)間t內(nèi)由入口s進(jìn)入、出口j離開(kāi)mix-zone記為事件l，與事件l相關(guān)聯(lián)的位置隱私是該事件概率 pjt的熵，由式(5)表示。這個(gè)熵值依賴于2個(gè)因素：mix-zone內(nèi)的車輛數(shù)N和事件l的概率分布與均勻分布的相似程度，并且隨著這2個(gè)因素的增大而增大。事件概率 pjt遵循式(4)，其中，qsj和fsj(t)的概率分布依賴于攻擊模型。

將式(5)中mix-zone內(nèi)的車輛數(shù)目N廣義表示成匿名集合中車輛的數(shù)目|SA|，用式(6)[42]來(lái)表示這個(gè)熵值。其中，Pi表示車輛i被選擇跟蹤的概率，并且如果H(p)=0，則表示被跟蹤的車輛不屬于任何的匿名集合，該車輛容易被追蹤。H(p)值越大，則表明車輛的位置隱私保護(hù)水平越高。式(6)中熵值的高低從數(shù)量的角度表明了隱私保護(hù)水平的高低。

4.3 基于分布概率的數(shù)學(xué)理論分析

基于匿名分析，采用統(tǒng)計(jì)學(xué)方法，理論推導(dǎo)某區(qū)域的匿名程度。某個(gè)時(shí)間段內(nèi)車輛匿名集合的大小表明了隱私程度，集合越大，隱私保護(hù)程度越高。文獻(xiàn)[20,21]假設(shè)在時(shí)間段Ts內(nèi)，車輛到達(dá)某個(gè)small social spot是一個(gè)泊松分布，車輛到達(dá)的時(shí)間間隔滿足期望值為 1/λ的指數(shù)分布，在交通燈(small social spot)處的分析模型如式(7)～式(9)。Pr表示在時(shí)間段Ts內(nèi)到達(dá)路口的車輛隨機(jī)分布X的概率；E表示車輛分布X的數(shù)目；Sanony(匿名集合大小)等于Sa(路口的停車數(shù))。

匿名集合分析是基于假設(shè)所有的車輛都會(huì)在social spot處更換假名，顯然，匿名集合越大，匿名保護(hù)水平就越高。

4.4 隱私保護(hù)頑健性的形式化證明

形式化證明首先需要定義網(wǎng)絡(luò)模型，然后利用協(xié)議分析工具(例如 ProVerif)或者推理證明來(lái)判斷隱私實(shí)現(xiàn)程度。建立模型之后，通常需要分析隱私成立的條件并且進(jìn)行形式化描述。文獻(xiàn)[28]建立了mix-zone模型，并且在該模型下提出了隱私的形式化定義。Mix-zone模型如圖4所示，由5個(gè)位置構(gòu)成：entryL、entryR、proximity、exitL和 exitR。以單個(gè)mix-zone內(nèi)的2輛車V1、V2為例，V1、V2分別由entryL和entryR進(jìn)入穿過(guò)mix-zone，那可能存在2種情況：V1由exitL出，V2由exitR出；V1由exitR出，V2由exitL出。如果攻擊者無(wú)法區(qū)分這 2種情況，即式(10)成立，那么隱私性就得到了保證。針對(duì)理想模型與以 CMIX協(xié)議[27]為基礎(chǔ)的 CMIX模型，若形式化分析的結(jié)果滿足式(10)中的等價(jià)關(guān)系，則在模型中的情境下實(shí)現(xiàn)了隱私要求。

表2 主要隱私保護(hù)水平的度量方法比較

式(10)中的 V(entry,exit)表示車輛從 entry運(yùn)動(dòng)到exit的過(guò)程。這個(gè)等價(jià)式表示圖4中的2輛車由不同的出口離開(kāi)mix-zone時(shí)，在攻擊者看來(lái)是無(wú)異的、等價(jià)的。

對(duì)隱私保護(hù)水平的度量方法總結(jié)如表2所示。

5 結(jié)束語(yǔ)

目前，車輛自組網(wǎng)已成為無(wú)線通信服務(wù)市場(chǎng)一個(gè)重要領(lǐng)域，基于位置服務(wù)作為車輛網(wǎng)絡(luò)的特色支撐技術(shù)，隱私保護(hù)是其不可回避的關(guān)鍵問(wèn)題。目前，國(guó)內(nèi)已經(jīng)開(kāi)展了對(duì)泛在網(wǎng)絡(luò)隱私保護(hù)技術(shù)的研究[43]，但是關(guān)于車輛網(wǎng)絡(luò)位置服務(wù)方面，主要是提高如下載速度等服務(wù)質(zhì)量[44]方面，尚未涉及隱私保護(hù)技術(shù)及其評(píng)估方法。為推進(jìn)此方面的研究，本文介紹了車載自組網(wǎng)位置服務(wù)的基本內(nèi)容；分析了主要的隱私保護(hù)技術(shù)；比較了常用的隱私度量方法?？偟膩?lái)說(shuō)，車載網(wǎng)內(nèi)的位置隱私已受到廣泛的關(guān)注，研究逐步活躍，但尚有不少問(wèn)題仍有爭(zhēng)議，概括起來(lái)，如下幾個(gè)方面的問(wèn)題還需要進(jìn)一步細(xì)致而深入的研究。

首先，現(xiàn)有的VANET的位置隱私保護(hù)過(guò)程大多建立在比較理想化或局限的車載環(huán)境中，如假設(shè)車流量達(dá)到一定量，場(chǎng)景僅限在城市交叉口、交通燈下等。雖然理想環(huán)境規(guī)范了模型的建立及簡(jiǎn)化了問(wèn)題的處理，但需要進(jìn)一步將實(shí)際中車輛高速移動(dòng)、道路場(chǎng)景多樣(如高速公路、車輛稀少處)、網(wǎng)絡(luò)拓?fù)渥兓斓溶囕d網(wǎng)絡(luò)的特點(diǎn)深入考慮。

其次，假名方法使用很廣泛，研究主要集中在管理、更新地點(diǎn)及更新策略上，而某個(gè)假名的壽命，或是說(shuō)假名更新的頻率對(duì)隱私的影響之間的關(guān)聯(lián)度，缺乏深入的研究。而且，對(duì)失效假名的撤消與回收利用問(wèn)題，在車輛自組網(wǎng)規(guī)模越來(lái)越大，是不可避免需要深入研究的內(nèi)容。

最后，建立一個(gè)車輛自組網(wǎng)中位置隱私保護(hù)水平評(píng)估的通用標(biāo)準(zhǔn)，使隱私需求、隱私保護(hù)方法、系統(tǒng)隱私保護(hù)水平等都有一個(gè)相對(duì)統(tǒng)一的規(guī)范，規(guī)范的建立將是車輛自組網(wǎng)隱私研究的新方向。

[1] MOKBEL M F. Privacy in location-based services: start-of-the-art and research directions[A]. Proceedings of 8th International Conference on Mobile Data Management (MDM’07)[C]. Mannheim, Germany, 2007.228.

[2] GEDIK B, LIN L. Protecting location privacy with personalized k-anonymity: architecture and algorithms[J]. IEEE Transactions on Mobile Computing, 2008, 7(1):1-18.

[3] LIU L. From data privacy to location privacy: models and algorithms[A]. Proceedings of the 33rd International Conference on Very Large Data Bases (VLDB’07)[C]. Vienna, Austria, 2007. 1429-1430.

[4] TOOR Y, MUHLETHALER P, LAOUITI A. Vehicle ad hoc networks:applications and related technical issues[J]. IEEE Communication Surveys and Tutorials, 2008, 10(3):74-88.

[5] ZHU H J, LU R X, SHEN X M, et al. Security in service-oriented vehicular networks[J]. IEEE Wireless Communication, 2009, 16(4):16-22.

[6] PAPADIMITRATOS P, BUTTYAN L, HOLCZER T, et al. Secure vehicular communications: design and architecture[J]. IEEE Communications Magazine, 2008, 46(11):100-109.

[7] CAPKUN S, HUBAUX J P, JAKOBSSON M. Secure and Privacy-Preserving Communication in Hybrid Ad Hoc Networks[R].EPEFL-IC Technical Report, 2004.

[8] RAYA M, HUBAUX J P. The security of vehicular ad hoc net-works[A]. Proceedings of the Third ACM Workshop on Security of Ad Hoc and Sensor Networks (SASN)[C]. NY, USA, 2005. 11-21.

[9] HOH B, GRUTESER M, HUI X, et al. Preserving privacy in GPS traces via uncertainty-aware path cloaking[A]. Proceedings of the 14th ACM Conference on Computer and Communications Security(CCS’07)[C]. 2007. 161-171.

[10] WASEF A, SHEN X M. REP: Location privacy for VANET using random encryption periods[J]. ACM Mobile Networks and Applications (MONET), 2010, 15(1): 172-185.

[11] BERESFORD A R, STAJANO F. Location privacy in pervasive computing[J]. IEEE Pervasive Computing, 2003, 2(1): 46-55.

[12] CHAUM D L. Untraceable electronic mail, return addresses and digital pseudonyms[J]. Communications of the ACM, 1981, 24(2):84-90.

[13] BERESFORD A R, STAJANO F. Mix-zone: user privacy in location-aware services[A]. Proceedings of the Second IEEE International Conference on Pervasive Computing and Communications[C]. Florida,US, 2004. 127-131.

[14] GRUTESER M, GRUNWALD D. Enhancing location privacy in wireless LAN through disposable interface identifiers: a quantitative analysis[J]. Mobile Networks and Applications, 2005, 10(3):315-325.

[15] HUANG L P, YAMANE H, MATSUURA K, et al. Towards modeling wireless location privacy[A]. PETS[C]. 2006. 59-77.

[16] FREUDIGER J, SHOKRI R, HUBAUX J P. On the optimal placement of mix zones[A]. PETS[C]. 2009. 216-234.

[17] AIJAZ A, BOCHOW B, DOTZER F, et al. Attacks on inter vehicle communication systems-an analysis[A]. Proceedings of the 3rd International Workshop on Intelligent Transportation (WIT 2006)[C].Hamburg, Germany, 2006. 1-11.

[18] BUTTYAN L, HOLCZER T, VAJDA I. On the effectiveness of changing pseudonyms to provide location privacy in VANET[A]. Proceedings of ESAS’07[C]. 2007. 129-141.

[19] SCHEUER F, POSSE K, FEDERRATH H. Preventing profile generation in vehicular networks[A]. Proceedings of the 2008 IEEE International Conference on Wireless and Mobile Computing, Networking and Communication[C]. Washington, DC, USA, 2008. 520-525.

[20] LU R X, LIN X D, LUAN T H, et al. Anonymity analysis on social spot based pseudonym changing for location privacy in VANET[A].IEEE ICC’11[C]. Kyoto, Japan, 2011. 1-5.

[21] LU R X, LIN X D, LUAN T H, et al. Pseudonym changing at social spots: an effective strategy for location privacy in VANET[J]. IEEE Transaction on Vehicular Technology, 2012, 61(1):86-96.

[22] BUTTYAN L, HOLCZER T, WEIMERSKIRCH A, et al. Slow: a practical pseudonym changing scheme for location privacy in VANETs[A]. IEEE Vehicular Networking Conference (VNC)[C].Tokyo, Japan, 2009. 1-8.

[23] HUANG L P, MATSUURA K, YAMANE H, et al. Enhancing wireless location privacy using silent period[A]. ECNC[C]. 2005. 1187-1192.

[24] LI M Y, SAMPIGETHAYA K, HUANG L P, et al. Swing & swap:user-centric approaches towards maximizing location privacy[A].Proceedings of the 5th ACM Workshop on Privacy in Electronic Society[C]. New York, USA, 2006. 19-28.

[25] SAMPIGETHAYA K, LI M Y, HUANG L P, et al. Amoeba: robust location privacy scheme for VANET[J]. IEEE Journal on Selected Areas in Communications, 2007, 25(8): 1569-1589.

[26] FREUDIGER J, MANSHAEI M H, HUBAUX J P, et al. On non-cooperative location privacy: a game-theoretic analysis[A].CCS’09[C]. NY, USA, 2009.324-337.

[27] FREUDIGER J, RAYA M, FLEGYHZI M, et al. Mix-zone for location privacy in vehicular networks[A]. Proc of ACM Workshop on Wireless Networking for Intelligent Transportation Systems (WiNITS’07)[C]. Vancouver, Canada, 2007.

[28] DAHL M, DELAUNE S, STEEL G. Formal analysis of privacy for vehicular mix-zones[A]. Proceedings of the 15th European Symposium on Research in Computer Security[C]. 2010. 55-70.

[29] SAMPIGETHAYA K, HUANG L P, LI M Y, et al. CARAVAN:providing location privacy for VANET[A]. ESCAR[C]. 2005.

[30] SCHEUER F, FUCHS K P, FEDERRATH H. A safety-preserving mix zone for VANET[A]. Trust, Privacy and Security in Digital Business[C]. Berlin Heidelberg, 2011. 37-48.

[31] SUN Y P, SU X Y, ZHAO B K, et al. Mix-zones deployment for location privacy preservation in vehicle communications[A]. IEEE 10th International Conference on Compute and Information Technology (CIT 2010)[C]. Bradford, England, 2010. 2825-2830.

[32] CHAUM D, HEYST E V. Group signatures[A]. Proceedings of the 10th Annual International Conference on Theory and Application of Cryptographic Techniques[C]. Berlin, Heidelberg, 1991. 257-265.

[33] BONEH D, BOYEN X, SHACHAM H. Short group signatures[A].CRYPTO 2004[C]. Berlin, Heidelberg, 2004. 227-242.

[34] NAKANISHI T, FUNABIKI N. Verifier-local revocation group signature schemes with backward unlinkability from billing maps[A].ASIACRYPT 2005[C]. Chennai, India, 2005. 533-548.

[35] ZHANG J L, MA L ZH, SU W L, et al. Privacy-preserving authentication based on short group signature in vehicular networks[A]. ISDPE 2007[C]. Chengdu, China, 2007. 138-142.

[36] LU R X, LIN X D, LIANG X H, et al. A dynamic privacy-preserving key management scheme for location based services in VANET[J].IEEE Transactions on Intelligent Transportation Systems, 2011,13(1):127-139.

[37] LIN X D, SUN X T, HO P H, et al. GSIS: a secure and privacy-preserving protocol for vehicular communications[J]. IEEE Transactions on Vehicular Technology, 2007, 56(6): 3442-3456.

[38] LU R X, LIN X D, ZHU H J, et al. ECPP: efficient condition privacy preservation protocol for secure vehicular communications[A]. IEEE INFOCOM 2008[C]. Phoenix, AZ, 2008. 1229-1237.

[39] LU R X, LIN X D, SHEN X M. Spring: a social-based privacy-preserving packet forwarding protocol for vehicular delay tolerant networks[A]. INFOCOM 2010[C]. California, USA, 2010. 1-9.

[40] SCHECHTER S, PARNELL T, HARTEMINK A. Anonymous authentication of membership in dynamic groups[A]. Proceedings of the Third International Conference on Financial Data Security and Digital Commerce[C]. 1999. 184-195.

[41] CHAURASIA B K, VERMA S. Conditional privacy through ring signature in vehicular ad-hoc networks[A]. Transactions on Computational Science[C]. Berlin, Heidelberg, 2011. 147-156.

[42] WEI Y C, CHEN Y M, SHAN H L. RSSI-based user centric anonymization for location privacy in vehicular networks[J]. Institute for Computer Sciences, Social-Informatics and Telecommunications Engineering, 2010, 42(2): 39-51.

[43] 李大偉, 楊庚, 蘇弘逸等. 基于身份的泛在通信隱私保護(hù)方案[J],通信學(xué)報(bào), 2011,32(9):44-50.LI D W, YANG G, SU H Y, et al. Identity based privacy preservation scheme for ubiquitous computing[J]. Journal on Communications,2011, 32(9):44-50.

[44] 劉建航, 孫江明, 畢經(jīng)平等. 基于動(dòng)態(tài)時(shí)槽的車聯(lián)網(wǎng)協(xié)助下載方法研究[J]. 計(jì)算機(jī)學(xué)報(bào), 2011, 34(8):1378-1386.LIU J H, SUN J M, BI J P, et al. VANET cooperative downloading approach study based on dynamic slot[J]. Chinese Journal of Computers, 2011, 34(8):1378-1386.