車聯(lián)網(wǎng)位置隱私保護(hù)研究綜述

鐘小宇，李夢(mèng)涵，李麗紅

（1.華北理工大學(xué) 理學(xué)院，河北 唐山 063210；2.河北省數(shù)據(jù)科學(xué)與應(yīng)用重點(diǎn)實(shí)驗(yàn)室，河北 唐山 063210；3.唐山市工程計(jì)算重點(diǎn)實(shí)驗(yàn)室，河北 唐山 063210）

0 引 言

隨著車聯(lián)網(wǎng)的快速發(fā)展，越來越多的車輛用戶連接到了車聯(lián)網(wǎng)中，車聯(lián)網(wǎng)為駕駛者帶來了極大便利?；谖恢玫姆?wù)（LBS）就是其基本的應(yīng)用之一，車輛日常行駛中已離不開LBS的支持，例如實(shí)時(shí)導(dǎo)航和景點(diǎn)推薦等。但因?yàn)槠溟_放式的網(wǎng)絡(luò)特點(diǎn)，易遭受不法分子攻擊，近年來黑客入侵車聯(lián)網(wǎng)的新聞屢見不鮮。當(dāng)用戶使用LBS提供的服務(wù)時(shí)，車輛終端的定位設(shè)備向相應(yīng)的LBS服務(wù)器提交用戶此時(shí)的地理位置信息，LBS服務(wù)器接收查詢請(qǐng)求信息并返回結(jié)果。但是，在沒有相應(yīng)安全機(jī)制來保障位置查詢請(qǐng)求安全可靠時(shí)，用戶位置隱私將被輕易獲取，導(dǎo)致敏感信息泄露，嚴(yán)重威脅用戶生命財(cái)產(chǎn)安全。因此，車聯(lián)網(wǎng)中用戶位置隱私安全得到了國內(nèi)外學(xué)者的廣泛關(guān)注和研究[1]。

本文首先介紹車聯(lián)網(wǎng)中的LBS，并引出LBS隱私威脅；然后在此基礎(chǔ)上分別綜述基于加密、匿名、假位置和差分隱私四個(gè)方面的位置隱私保護(hù)技術(shù)的研究現(xiàn)狀；最后指出現(xiàn)有研究不足并提出未來可研究的方向。

1 車聯(lián)網(wǎng)中基于位置的服務(wù)（LBS）

1.1 LBS一般框架

圖1表示基于位置服務(wù)的一般框架，主要包含三個(gè)部分：

圖1 基于位置服務(wù)的架構(gòu)

（1）為車聯(lián)網(wǎng)用戶提交位置查詢請(qǐng)求提供的定位服務(wù)設(shè)施，主要包括無線網(wǎng)絡(luò)基站、定位衛(wèi)星和WiFi等。

（2）車聯(lián)網(wǎng)用戶發(fā)出位置查詢請(qǐng)求和接收結(jié)果的移動(dòng)終端設(shè)備。終端設(shè)備可通過硬件（如定位芯片）和軟件技術(shù)定位用戶所在的確切地理位置，并與LBS服務(wù)器建立通信。

（3）LBS服務(wù)提供商，如高德地圖、百度地圖和美團(tuán)等。

1.2 LBS查詢過程

當(dāng)車聯(lián)網(wǎng)用戶發(fā)送位置查詢請(qǐng)求時(shí)需要實(shí)時(shí)地將自己的定位信息發(fā)送給LBS服務(wù)器，以此來獲取相應(yīng)的服務(wù)。這些服務(wù)大致有實(shí)時(shí)導(dǎo)航、無人駕駛汽車自動(dòng)規(guī)劃路線、APP記步、社交軟件用來獲取對(duì)方距離等。LBS具體查詢過程如下：

（1）用戶將位置查詢請(qǐng)求發(fā)送給LBS服務(wù)器；

（2）定位系統(tǒng)實(shí)時(shí)獲取用戶發(fā)出位置查詢請(qǐng)求時(shí)所在的地理位置；

（3）無線網(wǎng)絡(luò)建立用戶與LBS服務(wù)器之間的通信道路，用于傳輸用戶發(fā)送的位置查詢請(qǐng)求和LBS服務(wù)器返回的結(jié)果；

（4）LBS服務(wù)器實(shí)時(shí)響應(yīng)查詢請(qǐng)求，并返回結(jié)果。

2 LBS隱私威脅

用戶在使用LBS請(qǐng)求位置服務(wù)時(shí)，其位置隱私可能從以下三個(gè)方面泄露：首先是車輛移動(dòng)終端，黑客通過植入木馬或病毒，悄無聲息地控制目標(biāo)用戶的車輛移動(dòng)終端，期間所有的隱私信息都將被非法捕獲；其次是用戶與LBS服務(wù)器通信全部依靠無線網(wǎng)絡(luò)，數(shù)據(jù)在無線通道傳輸時(shí)易被黑客監(jiān)聽或遭受中間人攻擊；最后是LBS服務(wù)器，第三方LBS服務(wù)器一般是不可信的，其實(shí)際擁有者和維護(hù)人員可能非法竊取用戶隱私信息，或已被黑客攻擊操控，在這兩種情況下因用戶位置隱私信息存儲(chǔ)在LBS服務(wù)器上，如果信息泄露將造成重大隱私泄露和安全事件發(fā)生。

3 車聯(lián)網(wǎng)用戶位置隱私保護(hù)技術(shù)

車聯(lián)網(wǎng)用戶在使用LBS進(jìn)行位置查詢請(qǐng)求服務(wù)時(shí)會(huì)產(chǎn)生大量的位置隱私信息，如何保障用戶位置隱私信息不被泄露是近些年來許多研究者關(guān)注的問題。下面針對(duì)主要的車聯(lián)網(wǎng)用戶位置隱私保護(hù)技術(shù)進(jìn)行介紹。

3.1 基于加密的位置隱私保護(hù)

基于加密的位置隱私保護(hù)技術(shù)是對(duì)用戶的LBS查詢信息進(jìn)行加密處理，處理后的密文對(duì)LBS服務(wù)器或者攻擊者是不可見的。即使查詢請(qǐng)求信息在傳輸過程中被劫持或者監(jiān)聽，也無法通過加密后的密文獲取用戶的真實(shí)位置信息，進(jìn)而達(dá)到位置隱私保護(hù)要求。

很少有位置驗(yàn)證協(xié)議能夠保護(hù)位置驗(yàn)證者的位置隱私，這是因?yàn)槲恢抿?yàn)證者在請(qǐng)求位置服務(wù)時(shí)試圖證明他們?cè)谀硞€(gè)位置或區(qū)域。因此許多學(xué)者提出了安全加密協(xié)議。文獻(xiàn)[2]提出一種具有位置隱私的安全定位協(xié)議，并在此基礎(chǔ)上構(gòu)建了利用位置驗(yàn)證的更高級(jí)的加密協(xié)議。構(gòu)造基于位置的密鑰交換，如果驗(yàn)證方位于聲明的區(qū)域，那么驗(yàn)證方與其余驗(yàn)證方共享一個(gè)統(tǒng)一的密鑰。同態(tài)加密算法作為熱門的研究方向也被應(yīng)用于安全協(xié)議中。文獻(xiàn)[3]提出一套基于同態(tài)和圓移動(dòng)的加密協(xié)議（CSEP），CSEP利用同態(tài)加密對(duì)用戶的位置進(jìn)行加密，而LBS服務(wù)器則利用密文計(jì)算距離。文獻(xiàn)[4]使用基于ElGamal的同態(tài)加密協(xié)議，客戶端使用語義安全的ElGamal加密方案加密客戶端所在位置的坐標(biāo)。文獻(xiàn)[5]提出一種基于隨機(jī)加密周期的位置隱私保護(hù)方案。當(dāng)車輛需要更換證書時(shí)，會(huì)觸發(fā)一個(gè)隨機(jī)加密周期，在此期間，所有車輛使用共享密鑰對(duì)其信息進(jìn)行加密，以在車輛周圍創(chuàng)建一個(gè)加密區(qū)域。

隱私信息檢索（Private Information Retrieval, PIR）被廣泛應(yīng)用于基于加密的位置隱私保護(hù)方案。文獻(xiàn)[6]針對(duì)PIR普遍存在預(yù)處理時(shí)間長(zhǎng)和查詢效率低的問題，提出空間加密方法加快k近鄰候選集的查詢。

3.2 基于匿名的位置隱私保護(hù)

基于匿名的位置隱私保護(hù)技術(shù)主要采用k匿名方法，k匿名是最早應(yīng)用于基于位置服務(wù)的隱私保護(hù)的算法之一，即將用戶的真實(shí)位置和k-1個(gè)匿名位置發(fā)送給LBS服務(wù)器，用于混淆攻擊者或不可信服務(wù)器，使其不能區(qū)分出真實(shí)用戶實(shí)際位置。

隨著研究的發(fā)展，k匿名方法的缺點(diǎn)被逐漸放大，容易受到連續(xù)查詢攻擊，且安全級(jí)別越高，所需的k值也越大，導(dǎo)致LBS服務(wù)器的帶寬和無意義的負(fù)載成本也越高。文獻(xiàn)[7]為了解決基于k-ASRs（k-Anonymizing Spatial Regions）通過犧牲服務(wù)質(zhì)量而實(shí)現(xiàn)隱私保護(hù)的問題，提出一種基于可信鏈的位置隱私保護(hù)k匿名方法。首先根據(jù)用戶的環(huán)境和社會(huì)屬性確定當(dāng)前用戶的最優(yōu)k值；其次可信第三方（TTR）根據(jù)可信鏈的屬性生成包含k個(gè)位置節(jié)點(diǎn)的虛擬軌跡；然后基于軌跡進(jìn)行LBS查詢，并通過實(shí)例化隱私來評(píng)估隱私等級(jí)。文獻(xiàn)[8]提出一種基于k匿名原則的兩層隱私保護(hù)模式，同時(shí)降低了隱私保護(hù)的成本；將用戶分組，以最大化隱私級(jí)別在每個(gè)分組中選擇一個(gè)代理生成虛擬位置。文獻(xiàn)[9]對(duì)匿名區(qū)域重新進(jìn)行劃分，中央匿名位置最小化了匿名服務(wù)器與LBS服務(wù)器之間的通信。文獻(xiàn)[10]提出基于差分k匿名的位置隱私保護(hù)方法。根據(jù)人群工作者的位置信息，位置匿名器將從人群工作者接收到的每條消息轉(zhuǎn)換成一條擾動(dòng)信息，然后安全轉(zhuǎn)發(fā)給LBS提供商。文獻(xiàn)[11]提出一種基于地理語義的k匿名位置隱私保護(hù)方法。在WiFi APS中獲取包含真實(shí)位置的矩形區(qū)域內(nèi)的位置數(shù)據(jù)集。采用基于最大最小距離的多中心聚類算法，選擇部分位置，它們之間的地理距離是最遠(yuǎn)的，并生成一個(gè)候選假位置集。文獻(xiàn)[12]提出一個(gè)基于假位置和Stackelberg博弈的k匿名位置隱私保護(hù)方案，通過使用Stackelberg博弈的框架來尋找一個(gè)最優(yōu)的虛擬位置集。文獻(xiàn)[13]提出一個(gè)可信的去搖擺k匿名位置隱私保護(hù)方案，引入一種去擺動(dòng)聲譽(yù)評(píng)價(jià)方法（DREM），構(gòu)建一個(gè)可信的隱形區(qū)域來保護(hù)請(qǐng)求者的位置隱私。

3.3 基于假位置的位置隱私保護(hù)

基于假位置的位置隱私保護(hù)方法是通過選取與用戶真實(shí)位置有一定距離的假位置，將其與用戶的真實(shí)位置一起發(fā)送給LBS服務(wù)器，LBS服務(wù)器不能推測(cè)出用戶的真實(shí)位置信息，從而保護(hù)了用戶位置隱私。文獻(xiàn)[14]為了提高道路限制約束下假位置選擇的有效性，采用熵來表示匿名度，引入有效距離來表示位置分布特征；還提出一種假位置選擇算法，該算法最大化了用戶位置和假位置組成的候選位置集的匿名熵和有效距離，保證了所選假位置的不確定性和分散性。

3.4 基于差分隱私的位置隱私保護(hù)

目前，差分隱私技術(shù)因其數(shù)學(xué)上的嚴(yán)格性而受到專家學(xué)者的青睞。文獻(xiàn)[15]提出一種滿足差分隱私的群體感知技術(shù)的數(shù)據(jù)發(fā)布機(jī)制，能夠提供嚴(yán)格的位置保護(hù)。劃分方法以用戶密度為基礎(chǔ)，考慮用戶分布的不均勻性。文獻(xiàn)[16]由于差分隱私的性質(zhì)會(huì)用噪聲干擾真實(shí)數(shù)據(jù)，因此確定有效的匿名區(qū)域尤其具有挑戰(zhàn)性。文獻(xiàn)[17]針對(duì)現(xiàn)有LBS系統(tǒng)中不能同時(shí)保護(hù)用戶的位置隱私和查詢隱私以及不考慮時(shí)空相關(guān)性和背景知識(shí)的問題，提出基于差分隱私的LBS隱私保護(hù)算法和用戶查詢隱私保護(hù)算法。用戶位置隱私保護(hù)算法利用Voronoi圖劃分地圖，基于改進(jìn)的K-means算法和L-diversity思想選擇一個(gè)假位置點(diǎn)，利用拉普拉斯機(jī)制保護(hù)用戶位置隱私。

4 結(jié) 語

隨著車聯(lián)網(wǎng)的發(fā)展，車聯(lián)網(wǎng)用戶位置隱私保護(hù)受到研究者的廣泛關(guān)注。本文對(duì)近些年來該領(lǐng)域基于加密、匿名、假位置和差分隱私四個(gè)方面的研究成果進(jìn)行了綜述，總結(jié)了已有方法和技術(shù)。然而，當(dāng)前車聯(lián)網(wǎng)采用的位置隱私保護(hù)技術(shù)在自適應(yīng)、個(gè)性化以及多維協(xié)同性等方面仍存在不足，難以滿足車輛用戶對(duì)位置隱私保護(hù)的迫切需求。因此現(xiàn)有車聯(lián)網(wǎng)隱私保護(hù)方法有待進(jìn)一步研究和改進(jìn)，未來可以開展更進(jìn)一步的研究，比如車聯(lián)網(wǎng)用戶的隱私保護(hù)需求的自適配研究。在車聯(lián)網(wǎng)環(huán)境中，用戶在不同的位置所需要的位置隱私保護(hù)程度不同，可以結(jié)合機(jī)器學(xué)習(xí)算法根據(jù)用戶不同業(yè)務(wù)場(chǎng)景給出相應(yīng)的位置隱私保護(hù)需求，進(jìn)而調(diào)整用戶位置隱私保護(hù)策略，以實(shí)現(xiàn)車聯(lián)網(wǎng)用戶位置隱私智能化保護(hù)。