張建明，趙玉娟，江浩斌，賈雪丹，王良民,

(1. 江蘇大學 計算機科學與通信工程學院，江蘇 鎮(zhèn)江 212013；2. 江蘇大學 汽車工程研究院，江蘇 鎮(zhèn)江 212013)

1 引言

車輛自組網(wǎng)(VANET, vehicle ad hoc network)是一類在交通領(lǐng)域有廣泛應(yīng)用的移動自組織網(wǎng)絡(luò)，它支持動態(tài)、隨機、多跳拓撲結(jié)構(gòu)。車輛自組網(wǎng)通信范圍內(nèi)的車輛可以自組織地連接成一個移動的網(wǎng)絡(luò)，相互交換各自的車速、位置等信息和車載傳感器感知的數(shù)據(jù)，可使駕駛者在超視距范圍內(nèi)獲得實時的路況信息和其他車輛的行車信息，從而解決道路交通安全問題，提高行車服務(wù)質(zhì)量。

典型的車輛自組網(wǎng)由3部分構(gòu)成：車輛子網(wǎng)、網(wǎng)絡(luò)運營商和服務(wù)基礎(chǔ)設(shè)施部分。其中，車輛子網(wǎng)是由車載通信單元(OBU, on-board unit)連接而成的自組織網(wǎng)絡(luò)；網(wǎng)絡(luò)運營商是已有的基于 Internet的有線無線網(wǎng)絡(luò)設(shè)施；服務(wù)基礎(chǔ)設(shè)施包含認證中心(TA, trusted authority)、服務(wù)供應(yīng)者(SP, service pro-vider)和路邊單元(RSU, road-side unit)。為此車輛自組網(wǎng)的通信也分為2個部分：車與車(V2V, vehicle to vehicle)通信和車與基礎(chǔ)設(shè)施(V2I, vehicle to infrastructure)通信，如圖1所示。

圖1 典型的車輛自組網(wǎng)結(jié)構(gòu)

車輛網(wǎng)絡(luò)所接受的是一種位置服務(wù)(LBS, location-based service)，LBS提供的服務(wù)與用戶提出請求的位置有關(guān)[1]。例如，V2V中，車輛要實時廣播自己的位置、速度信息給周邊車輛，以防止相互碰撞；V2I中，車輛基于位置來向RSU請求服務(wù)，服務(wù)提供者則基于位置信息，通過路邊單元給車輛提供各類增值服務(wù)。顯然，使用LBS容易造成位置隱私的泄漏[2]。就 VANET的應(yīng)用與網(wǎng)絡(luò)結(jié)構(gòu)來說，至少有3類位置隱私泄露方式[3]：路邊單元或位置服務(wù)器中用戶信息的泄密的直接方式；通過觀察被攻擊者行為獲取位置信息觀察方式；通過與車輛位置的通信連接來確定用戶位置追溯方式。

然而，VANET中車輛信息、駕乘人員及位置信息往往捆綁在一起的，駕乘人員在享受基于位置服務(wù)的過程中，有強烈的隱私保護需求——不愿意泄露自己的身份、現(xiàn)在或?qū)淼奈恢玫戎匾畔?。多?shù)駕乘者是無法接受在服務(wù)的同時遭受個人隱私泄露。為此，要推廣和應(yīng)用 VANET以及基于VANET的位置服務(wù)，必須解決好車輛使用者的位置隱私保護問題。

本文主要綜述了國內(nèi)外近幾年來針對車輛自組網(wǎng)的位置隱私保護方法及相關(guān)技術(shù)的研究，在介紹各類方法基本思想的基礎(chǔ)上，對其主要特點進行了歸納總結(jié)，并指出了還需要重點解決的問題。本文的組織結(jié)構(gòu)如下：首先，簡單介紹車輛自組網(wǎng)的組成和特點以及網(wǎng)絡(luò)中的隱私保護內(nèi)容；接下來，對現(xiàn)有的隱私保護技術(shù)進行總結(jié)比較，分析各方案的基本思想、適用環(huán)境及優(yōu)缺點；繼而對各種隱私度量方案進行分析；最后，總結(jié)全文并提出車輛自組網(wǎng)中關(guān)于隱私保護的進一步研究內(nèi)容。

2 車輛自組網(wǎng)的隱私保護內(nèi)容

當前，有關(guān)車輛自組網(wǎng)隱私保護技術(shù)的研究，多數(shù)和安全研究相關(guān)，而實際上，隱私和安全是相關(guān)而并不相同的2個概念。安全是指網(wǎng)絡(luò)不受外界威脅和攻擊，文獻[4]認為VANET內(nèi)的位置安全主要有 3個要素：保密性(confidentiality)、完整性(integrity)和可用性(availability)，而文獻[5]擴充了這個范圍，指出VANET內(nèi)的安全需求主要包括：身份驗證(Authentication)、保密性(confidentiality)、隱私(privacy)和付費(billing)。這個廣義的安全范圍，不僅指出受威脅的目標不單指車輛，也可以是SP(服務(wù)提供者)；還包含了隱私，隱私是不愿意被別人知曉的信息。

車輛自組網(wǎng)內(nèi)的隱私通常包含身份隱私、服務(wù)隱私和車輛位置隱私3個方面。身份隱私，即網(wǎng)絡(luò)內(nèi)車輛及車輛用戶的真實身份，包括駕駛證號、姓名、身份證及賬戶號等關(guān)鍵信息，需要車輛頻繁變換身份標識，防止攻擊者關(guān)聯(lián)前后的標識，又稱為句法隱私。服務(wù)隱私即某車輛在享受一個LBS的過程中達到的身份、服務(wù)信息和位置隱私。服務(wù)信息隱私包括內(nèi)容隱私、前向隱私和后向隱私3個部分：內(nèi)容隱私，即車輛在要求服務(wù)時的服務(wù)內(nèi)容，如艾滋病醫(yī)院、假發(fā)維護等；前向隱私是指某輛車在得到一個LBS的認證授權(quán)前，不能從RSU或別的車輛那兒獲取由此LBS發(fā)布的任何服務(wù)內(nèi)容；后向隱私，即某車輛在離開一個LBS后，不再具有繼續(xù)享受該服務(wù)未來內(nèi)容的權(quán)利。身份隱私和服務(wù)隱私均可通過現(xiàn)有的隱私保護技術(shù)移植得到實現(xiàn)。

位置隱私是車輛自組網(wǎng)隱私保護中的關(guān)鍵難點，一方面，位置服務(wù)中所有的服務(wù)都是基于位置信息提供的，在某輛車進入某位置前或離開后，就不能獲得服務(wù)的內(nèi)容；另一方面，位置信息本身是用戶隱私的重要部分，不能泄露。位置隱私不僅需要保護車輛的物理方位和路徑軌跡不泄露，還需要防止攻擊者利用中心消息中的位置、速度等信息重構(gòu)車輛的軌跡，有時候也稱為語義隱私。位置隱私可能以“通過通信連接重建用戶位置信息”的方式泄露，所以位置隱私保護也應(yīng)包含通信隱私。通信隱私是指通信過程中通信雙方的身份和位置信息以及通信內(nèi)容不被泄漏或各自的身份與位置不被關(guān)聯(lián)。通信隱私包括V2V通信隱私和V2I通信隱私2類。

3 位置隱私保護技術(shù)

目前，國內(nèi)外針對車輛自組網(wǎng)隱私保護技術(shù)的研究很多，提出了一些實用性的隱私保護技術(shù)，其本質(zhì)都是隱藏車輛的真實身份和通信中使用的身份之間的一一映射關(guān)系，以實現(xiàn)車輛匿名、隱藏車輛或者車輛身份模糊等。最常見的方式是在指定區(qū)間讓車輛更換假名的 mix-zone假名方案和將單個車輛看成一個群體中一員的群(環(huán))簽名方案，這些隱私保護技術(shù)都結(jié)合了密碼學方法。

3.1 基于mix-zone的假名方案

基于mix-zone的假名方案的基本思想是：為車輛配備大量不揭示其真實身份的假名(pseudonyms)，每個假名僅使用一段時間后進行更換，而更換假名的操作是在特定的地理區(qū)域(mix-zone)內(nèi)進行的。假名(pseudonyms)是隨時間(或速度)而改變的短暫身份標識。使用假名可以保護車輛的真實身份，但是如果長時間使用同一假名相當于未使用，故需要定期更換假名。假名方案[6]為防止連續(xù)跟蹤，讓車輛配有無關(guān)聯(lián)的多個假名，通過某種機制階段性地更換，達到隱私保護的目的。Capkun[7]給出了一個基于時間的假名定義，如式(1)所示。

其中， Pv1是車輛 v1在 t時刻產(chǎn)生的假名，HMAC(hash mutual authentication code)是一個密鑰散列函數(shù)， I Dv1表示車輛v1的真實身份， KV-11表示車輛v1的私鑰。不同于文獻[7]中假名更新以時間為度量，文獻[8]提出了以車輛速度決定假名更新的頻率，從而避免了高速長距離假名不變帶來的跨 RSU的位置隱私泄露。假名更換常和路徑混淆[9]、隨機加密[10]以達到更佳的效果，其中路徑混淆是指假名在具有相似路徑的節(jié)點間變換；隨機加密結(jié)合了加密消息和加密階段隨機的思想。

Mix-zone的概念首先由Beresford[11]在2003年提出，是指假名變換的地理區(qū)域。Beresford[11]使用文獻[12]中的通信mix-zone來處理移動節(jié)點的位置問題。Beresford[13]在 2004年給出了基于位置服務(wù)的mix-zone模型架構(gòu)，其考慮對象是行人；隨后文獻[14～16]也基于該模型討論了移動節(jié)點在特定區(qū)域更新假名。其思想類似于混合網(wǎng)絡(luò)中的混淆節(jié)點，通過變換消息的編碼和順序，達到難以關(guān)聯(lián)消息發(fā)送者與接收者的目的[6,17]。在車輛自組網(wǎng)中，mix-zone的選取與設(shè)計與混淆效果密切相關(guān)，目前常見的方式有基于特殊位置、基于安靜時段、基于加密空間和基于通信代理等4種典型方式。

3.1.1 基于特殊位置的mix-zone

基于特殊位置的 mix-zone是指事先指定某個地理區(qū)域，在該區(qū)域更換假名，以達到車輛混淆和隱藏的目的。Buttyán等[18]2007年首次將mix-zone方法用于車載網(wǎng)絡(luò)，其mix-zone模型如圖2所示，其中，A、B、C為車輛入口，D、E、F為車輛出口，車輛在mix-zone中更換假名，選擇不同路徑離開，從而起到混淆的作用。

圖2 公路網(wǎng)中形成的mix-zone

文獻[18]將道路網(wǎng)絡(luò)模型分為攻擊者可觀察和不可觀察區(qū)域，在不可觀察區(qū)域用mix-zone建模，車輛在穿越該區(qū)域時停止發(fā)送一些消息來更新假名、混淆身份。為擴展實際地理情形對mix-zone選取的限制，文獻[19]構(gòu)造了直線路面的 mix-zone。如圖3所示，車輛A和B在進入mix-zone前后的消息標識發(fā)生變化，加大了跟蹤的難度。但這種方法在車載網(wǎng)絡(luò)密度較小的情況下，因為攻擊可以通過信號跟蹤，隱私保護效果并不明顯。

圖3 在直線路面上構(gòu)造mix-zone

文獻[20]提出在有許多車輛聚集的交通紅燈處、大型商場的免費停車場等社交點(social spot)建立mix-zone的思想。Lu等[21]將文獻[20]設(shè)計的匿名分析方法提煉為 PCS(pseudonym changing at social spot)策略，并用博弈論證明了它在實際中的可行性。

利用基于特殊位置的mix-zone方案，在某些特定的地理位置更換假名確實起到了一定的隱私保護作用。然而，總體來說，這種基于特殊地形、地點的mix-zone方法，很容易被基于地形的其他監(jiān)控技術(shù)所攻擊，從而失去其隱私保護的目的。

3.1.2 基于安靜時段的mix-zone

鑒于基于特殊位置方案的地理局限性，許多研究者采用基于安靜時段的mix-zone方案?；诎察o時段的 mix-zone是采用分布式思想的動態(tài)mix-zone，車輛自己或彼此之間形成一個安靜時段，然后更換假名，從而實現(xiàn)在不需要特定交通基礎(chǔ)設(shè)施的幫助下完成假名的更換過程。SLOW[22](silence at low speed)可在不與其他車輛和第三方設(shè)施的合作下創(chuàng)建自己的mix-zone。其基本思想是：在車輛速度不下降到速度閾值(比如30km/h)以下時，不給中心發(fā)送消息，車輛在這樣的一個安靜時間段內(nèi)更換假名。

然而，安靜時段的選取是困難的。SLOW[22]認為低速情況下碰撞事故少，即使發(fā)生也不會很嚴重，所以安靜時段設(shè)置在低速時；文獻[22]認為最理想的地方是城市交通信號燈處，車輛必須減速的地區(qū)、車道選擇較多，事實上這結(jié)合了基于特殊位置mix-zone中地形和社交點的優(yōu)點。此后，文獻[23]提出假名在指定的時間段內(nèi)進行假名更新；文獻[24～26]指出由參與者決定何時停止所有通信更換假名，其中文獻[24]則需要一個輔助節(jié)點之間協(xié)調(diào)它們的安靜時段的中心機構(gòu)；文獻[25]充分利用群的概念，區(qū)內(nèi)車輛通信實行匿名控制及擁有一個隨機的安靜時段，可減小單個目標車輛的位置跟蹤；文獻[26]中的節(jié)點獨立決定是否在已形成的mix-zone中變換假名，但是基于博弈論(game theory)結(jié)果表明，自我的動態(tài)行為降低了節(jié)點間成功協(xié)調(diào)的機會。

總體說來，在車輛多的社交點完成假名更新是有一定危險系數(shù)的，而且車輛間關(guān)于安靜時段的協(xié)調(diào)以及假名更換成功的概率都是需要重點考慮的問題；更為重要的是，結(jié)合使用基于位置假名更換的方式，擁有了其優(yōu)點，也無法躲避其易于跟蹤的缺點。

3.1.3 加密mix-zone

基于特殊位置和安靜時段的研究方案一般采取在mix-zone停止所有通信的方式，然而這在不同程度上造成了VANET安全性能損失。加密mix-zone方法是對某個地理區(qū)域加密，保證區(qū)域內(nèi)的通信安全進行，而車輛在形成一個匿名群體通過mix-zone并更換假名后，攻擊者將難以辨認出哪輛是他所要跟蹤的。

文獻[27,28]均采用了加密 mix-zone中消息的方法代替停止所有通信。Freudiger等[27]提出CMIX(cryptographic mix-zone)協(xié)議，創(chuàng)建一個對稱密鑰k，作為mix-zone的空間密鑰。k由RSU分配給進入 mix-zone混合區(qū)域的合法車輛，mix-zone內(nèi)通信的信息都必須經(jīng)過 k的加密。CMIX為加強效果，文中聯(lián)合多個加密 mix-zone形成mix network(車輛混合網(wǎng)絡(luò))。其創(chuàng)建對稱密鑰的過程如下：

Dahl等[28]在十字路口構(gòu)造加密網(wǎng)絡(luò)模型，如圖4所示，采用CMIX協(xié)議[27]為車輛進入mix-zone分配密鑰，并形式化分析了加密 mix-zone的隱私模型。在分析實驗結(jié)果的基礎(chǔ)上，對CMIX協(xié)議進行了改進，即在 RSU的公鑰下加密請求和回復(fù)的消息。重建實驗場景后，大多數(shù)理想模型中的隱私在CMIX模型中也能達到。

圖4 加密mix-zone十字路口模型

總體來說，加密mix-zone提高了消息隱私性與車輛不可跟蹤性，但是同樣，車輛假名更換成功仍需要足夠的車輛數(shù)目；同時，加密也意味著更大的通信開銷與延遲。

3.1.4 mix-zone通信代理

（3）對接接頭剛性拘束焊接裂紋試驗 試驗標準：試驗按照《對接接頭剛性拘束焊接裂紋試驗方法》（GB/T 13817—1992）進行。

為減少車輛身份及發(fā)送消息的泄漏，有學者提出在 mix-zone內(nèi)的通信采用第三方代理方式。Sampigethaya等[29]在隨機安靜時段[23]的基礎(chǔ)上，讓車輛形成群體，每個群中的領(lǐng)導(dǎo)者代表群內(nèi)所有成員利益，匿名與RSU通信，使每輛車獲得LBS的應(yīng)用。以群體隱藏了個體，達到匿名與隱私保護的效果。

ProMixZone方案[30]是針對城市交叉口及高速分叉路口的更換假名并保證消息傳送的有效方案。該方案中的車輛允許通過一個可信代理發(fā)送消息，每輛車在進入 PMZ(mix-zone with communication via proxy)前，會收到來自包含路邊代理的公鑰廣播消息。車輛在需要發(fā)送消息時，先用自身私鑰產(chǎn)生簽名，然后用代理的公鑰對簽名后的消息進行加密，再發(fā)送給代理；代理匯總掌握 PMZ內(nèi)所有車輛的消息，在移除相應(yīng)消息中的證書與簽名后，代理用自己的私鑰對消息進行簽名，并用接收消息車輛的公鑰加密后發(fā)送給對應(yīng)車輛。

然而，代理方式雖然保證了消息的匿名傳送，但由于它的任務(wù)繁重，也成為了整個過程的瓶頸。對于 mix-zone的研究，還有學者[31]考慮了多個mix-zone在城市中的優(yōu)化部署問題，并用有向圖形式化了一個城市mix-zone分布。

3.2 基于簽名的方案

數(shù)字簽名依靠公鑰加密技術(shù)保證了消息的完整性、發(fā)送者身份驗證以及防止抵賴，從而提供了一個辨別消息合法性的方法。在基于簽名的車輛位置隱私保護方法中，主要是基于群簽名和環(huán)簽名的方案，利用一個群體混淆群體內(nèi)個體之間的區(qū)分，從而實現(xiàn)車輛匿名性的目的。

3.2.1 基于群簽名的位置隱私方案

群簽名方案的基本思想是，車輛先形成一個群體，群體中的任意一個成員可以以匿名的方式代表整個群體對消息進行簽名。與其他數(shù)字簽名一樣，群簽名可以是公開驗證的，而且可以只用單個群公鑰來驗證；不同的是，群簽名保護簽名者的匿名性，只有群管理者才可以跟蹤簽名者。為此，該方案可以用于車輛網(wǎng)絡(luò)，一方面，實現(xiàn)匿名認證；另一方面，實現(xiàn)可信中心對特定車輛的跟蹤。

最早的群簽名方法由Chaum和Heyst[32]提出，隨后 Boneh和 Shacham提出了短群簽名方案[33]和VLR(verifier-local revocation)機制。但是VLR機制中簽名撤消的消息只發(fā)送給簽名認證者，而不發(fā)給簽名者，導(dǎo)致已撤消的成員在撤消狀態(tài)下仍然可以使用之前的群簽名保持匿名性，使得該方案存在后向關(guān)聯(lián)性。Nakanishi和 Funabiki[34]提出了改進的VLR群簽名方案(記為NF05)，消除后向關(guān)聯(lián)特性。而文獻[35]提出了一個改進的 NF05群簽名方案并應(yīng)用于車輛網(wǎng)絡(luò)，獲得一個擁有更短簽名長度和更少計算開銷的身份認證方案。改進 NF05[35]中有 2種身份認證機制，需要服務(wù)的 OBU發(fā)送簽名給RSU，RSU查找群公鑰和撤消列表，核實簽名合法后允許 OBU下載服務(wù)。隨后，動態(tài)的隱私保護的密鑰管理方案 DIKE[36]被提出，它是一個源于有效群簽名的隱私保護身份驗證機制，可避免用戶可能對同一個 LBS雙重登記而導(dǎo)致的攻擊(如 Sybil攻擊)，在達到用戶的隱私保護的同時，還能防止車輛用戶的雙重登記。

GSB[37]綜合采用群簽名技術(shù)和身份簽名技術(shù)，使得OBU不需要存儲大量的匿名密鑰，易于更新；而且可信中心可以有效地跟蹤目標OBU。然而，其OBU能夠處理的密鑰撤消列表比較短，在面對大規(guī)模的密鑰撤消及緊迫的安全消息匿名認證時，該方案面對繁重的核實過程將不大可行。針對此問題，Lu等[38]提出有效的條件隱私安全保護(ECPP[38]，efficient conditional privacy preservation)協(xié)議，該協(xié)議基于HAB(huge anonymous keys based)和GSB協(xié)議，在滿足可信中心一定程度跟蹤的同時，有效地處理不斷增長的撤消列表。ECPP協(xié)議只保持所需匿名密鑰的極小存儲，同時在安全消息的快速認證上增加了容量和有效的條件隱私跟蹤機制。此后，SPRING[39](social-based privacy-preserving packet forwarding)協(xié)議研究車輛延遲容忍網(wǎng)絡(luò)中分組轉(zhuǎn)發(fā)應(yīng)用時接收者的位置隱私，它首次提出統(tǒng)計各交通叉路口RSU的密度；利用RSU的認證，達到分組的可信轉(zhuǎn)發(fā)；并采用ECPP協(xié)議[38]的思想，使得可信中心可在一定程度上實現(xiàn)對OBU的跟蹤。

3.2.2 基于環(huán)簽名的位置隱私方案

由于車輛的移動性，VANET的網(wǎng)絡(luò)拓撲結(jié)構(gòu)是動態(tài)變化的。環(huán)簽名方案可以滿足由網(wǎng)絡(luò)拓撲結(jié)構(gòu)動態(tài)變化帶來的通信要求。因為無需互相同意和消息交互，環(huán)成員可以快速變化，而且，小的環(huán)仍然可以確保簽名者的匿名性。

3.3 混合方案

以上各種基于 mix-zone的假名方案和群簽名環(huán)簽名方案各有其優(yōu)勢和不足，一個研究思路是結(jié)合不同方案，利用其優(yōu)點相互彌補不足之處，獲得具有更有效果的混合方案。混合方案由于綜合使用了多種方法，在綜合性能上具有更優(yōu)的效果。

Spring[42]方案結(jié)合了假名和群身份思想，網(wǎng)絡(luò)中的每輛車的假名均配有一組群的公鑰和私鑰，車輛用私鑰簽名消息，用假名進行通信。文獻[27,28,30]中，將假名方案中結(jié)合了數(shù)字簽名思想。AMOEBA[25]是最有代表性的混合方案，采用了 3種方式來實現(xiàn)假名、群概念、數(shù)字簽名的思想，如利用組建車輛的群導(dǎo)航提供匿名，隨機安靜時段提高目標車輛在導(dǎo)航中位置隱私，簽名密鑰管理實現(xiàn)安全與隱私的權(quán)衡，達到了減緩某輛車的位置跟蹤的理想效果。

3.4 隱私保護方案比較

本文在介紹以上各類隱私保護方案的同時，對其各自的特點進行了分析。總體說來，各方案均有自身的優(yōu)點，也存在一定的不足。本節(jié)的主要內(nèi)容是在隱私保護內(nèi)容、針對的攻擊類型以及隱私保護性能3個主要方面，對以上典型方法進行綜合比較。一般情況下，衡量隱私保護性能時主要使用4個要素：匿名性、無關(guān)聯(lián)性、不可跟蹤性和頑健性。其中，匿名性是指改變或隱藏車輛的身份，不用真實身份進行車輛自組網(wǎng)絡(luò)內(nèi)的通信；關(guān)聯(lián)性是車輛的前后身份標識、前后位置以及身份標識與位置的關(guān)聯(lián)，隱私保護需要剔除這種關(guān)聯(lián)，實現(xiàn)上述參數(shù)的無關(guān)聯(lián)；不可跟蹤性指攻擊者不可以利用多種方式達到跟蹤車輛的目的，這些方式包含觀察和關(guān)聯(lián)前后位置、收集離散方位點等進行預(yù)測；而頑健性是指車載網(wǎng)絡(luò)能夠抵抗攻擊者的強度。在此，只給出各方案的隱私保護性能的結(jié)果，具體的度量方法將在下一節(jié)作具體陳述分析。表1給出了比較結(jié)果。

表1 位置隱私保護方法的比較

4 隱私保護水平的度量方法

表1中在描述隱私保護技術(shù)水平時使用的4個要素是目前度量隱私保護水平的主要指標，相關(guān)工作都圍繞著這4個指標來討論隱私保護技術(shù)的隱私保護能力。但是不同的度量方法在對各個指標的關(guān)注上是有所差異的，度量方法大致可以分為基于匿名集合度量、基于熵關(guān)聯(lián)性度量、基于分布概率度量和頑健性形式化證明4類。

4.1 基于區(qū)域匿名集的度量

匿名集合的概念早在1988年就已被學者提出。一般指在某個攻擊者控制的區(qū)域范圍內(nèi)，同步變換匿名證書的所有 OBU集合。某區(qū)域的匿名集合越大，表明隱私程度越高。以文獻[29]為例，某個目標的匿名集 SA表示讓攻擊者難以分辯出目標身份的假名集合，|SA|表示集合大小，v(Ar)表示目標車輛所在范圍A內(nèi)車輛總數(shù)目，則v(Ar)滿足空間泊松分布，即滿足式(2)。所以，一個目標匿名集合的期望大小可以表示為式(3)。

在評估過程中，也有一些度量方法設(shè)定假名更換頻率，計算匿名集合的平均大小，但其假設(shè)條件及計算過程復(fù)雜，目前較少文獻采用。

4.2 基于熵的關(guān)聯(lián)性度量

文獻[18]提出了觀察 mix-zone出口事件的方法用式(4)來度量位置隱私，式中，qsj表示車輛由口 s進入mix-zone口j離開的條件概率，fsj(t)表示車輛在時間t內(nèi)由s到j(luò)穿越mix-zone的概率，pjt表示車輛在時間t內(nèi)由入口s進入、出口j離開mix-zone的概率。同一時刻車輛對不同出口的概率與均勻分布的吻合度，表明了隱私保護水平的高低。

文獻[27]假設(shè)mix-zone內(nèi)有N輛車，類似均勻分布。車輛在時間t內(nèi)由入口s進入、出口j離開mix-zone記為事件l，與事件l相關(guān)聯(lián)的位置隱私是該事件概率 pjt的熵，由式(5)表示。這個熵值依賴于2個因素：mix-zone內(nèi)的車輛數(shù)N和事件l的概率分布與均勻分布的相似程度，并且隨著這2個因素的增大而增大。事件概率 pjt遵循式(4)，其中，qsj和fsj(t)的概率分布依賴于攻擊模型。

將式(5)中mix-zone內(nèi)的車輛數(shù)目N廣義表示成匿名集合中車輛的數(shù)目|SA|，用式(6)[42]來表示這個熵值。其中，Pi表示車輛i被選擇跟蹤的概率，并且如果H(p)=0，則表示被跟蹤的車輛不屬于任何的匿名集合，該車輛容易被追蹤。H(p)值越大，則表明車輛的位置隱私保護水平越高。式(6)中熵值的高低從數(shù)量的角度表明了隱私保護水平的高低。

4.3 基于分布概率的數(shù)學理論分析

基于匿名分析，采用統(tǒng)計學方法，理論推導(dǎo)某區(qū)域的匿名程度。某個時間段內(nèi)車輛匿名集合的大小表明了隱私程度，集合越大，隱私保護程度越高。文獻[20,21]假設(shè)在時間段Ts內(nèi)，車輛到達某個small social spot是一個泊松分布，車輛到達的時間間隔滿足期望值為 1/λ的指數(shù)分布，在交通燈(small social spot)處的分析模型如式(7)～式(9)。Pr表示在時間段Ts內(nèi)到達路口的車輛隨機分布X的概率；E表示車輛分布X的數(shù)目；Sanony(匿名集合大小)等于Sa(路口的停車數(shù))。

匿名集合分析是基于假設(shè)所有的車輛都會在social spot處更換假名，顯然，匿名集合越大，匿名保護水平就越高。

4.4 隱私保護頑健性的形式化證明

形式化證明首先需要定義網(wǎng)絡(luò)模型，然后利用協(xié)議分析工具(例如 ProVerif)或者推理證明來判斷隱私實現(xiàn)程度。建立模型之后，通常需要分析隱私成立的條件并且進行形式化描述。文獻[28]建立了mix-zone模型，并且在該模型下提出了隱私的形式化定義。Mix-zone模型如圖4所示，由5個位置構(gòu)成：entryL、entryR、proximity、exitL和 exitR。以單個mix-zone內(nèi)的2輛車V1、V2為例，V1、V2分別由entryL和entryR進入穿過mix-zone，那可能存在2種情況：V1由exitL出，V2由exitR出；V1由exitR出，V2由exitL出。如果攻擊者無法區(qū)分這 2種情況，即式(10)成立，那么隱私性就得到了保證。針對理想模型與以 CMIX協(xié)議[27]為基礎(chǔ)的 CMIX模型，若形式化分析的結(jié)果滿足式(10)中的等價關(guān)系，則在模型中的情境下實現(xiàn)了隱私要求。

表2 主要隱私保護水平的度量方法比較

式(10)中的 V(entry,exit)表示車輛從 entry運動到exit的過程。這個等價式表示圖4中的2輛車由不同的出口離開mix-zone時，在攻擊者看來是無異的、等價的。

對隱私保護水平的度量方法總結(jié)如表2所示。

5 結(jié)束語

目前，車輛自組網(wǎng)已成為無線通信服務(wù)市場一個重要領(lǐng)域，基于位置服務(wù)作為車輛網(wǎng)絡(luò)的特色支撐技術(shù)，隱私保護是其不可回避的關(guān)鍵問題。目前，國內(nèi)已經(jīng)開展了對泛在網(wǎng)絡(luò)隱私保護技術(shù)的研究[43]，但是關(guān)于車輛網(wǎng)絡(luò)位置服務(wù)方面，主要是提高如下載速度等服務(wù)質(zhì)量[44]方面，尚未涉及隱私保護技術(shù)及其評估方法。為推進此方面的研究，本文介紹了車載自組網(wǎng)位置服務(wù)的基本內(nèi)容；分析了主要的隱私保護技術(shù)；比較了常用的隱私度量方法?？偟膩碚f，車載網(wǎng)內(nèi)的位置隱私已受到廣泛的關(guān)注，研究逐步活躍，但尚有不少問題仍有爭議，概括起來，如下幾個方面的問題還需要進一步細致而深入的研究。

首先，現(xiàn)有的VANET的位置隱私保護過程大多建立在比較理想化或局限的車載環(huán)境中，如假設(shè)車流量達到一定量，場景僅限在城市交叉口、交通燈下等。雖然理想環(huán)境規(guī)范了模型的建立及簡化了問題的處理，但需要進一步將實際中車輛高速移動、道路場景多樣(如高速公路、車輛稀少處)、網(wǎng)絡(luò)拓撲變化快等車載網(wǎng)絡(luò)的特點深入考慮。

其次，假名方法使用很廣泛，研究主要集中在管理、更新地點及更新策略上，而某個假名的壽命，或是說假名更新的頻率對隱私的影響之間的關(guān)聯(lián)度，缺乏深入的研究。而且，對失效假名的撤消與回收利用問題，在車輛自組網(wǎng)規(guī)模越來越大，是不可避免需要深入研究的內(nèi)容。

最后，建立一個車輛自組網(wǎng)中位置隱私保護水平評估的通用標準，使隱私需求、隱私保護方法、系統(tǒng)隱私保護水平等都有一個相對統(tǒng)一的規(guī)范，規(guī)范的建立將是車輛自組網(wǎng)隱私研究的新方向。

[1] MOKBEL M F. Privacy in location-based services: start-of-the-art and research directions[A]. Proceedings of 8th International Conference on Mobile Data Management (MDM’07)[C]. Mannheim, Germany, 2007.228.

[2] GEDIK B, LIN L. Protecting location privacy with personalized k-anonymity: architecture and algorithms[J]. IEEE Transactions on Mobile Computing, 2008, 7(1):1-18.

[3] LIU L. From data privacy to location privacy: models and algorithms[A]. Proceedings of the 33rd International Conference on Very Large Data Bases (VLDB’07)[C]. Vienna, Austria, 2007. 1429-1430.

[4] TOOR Y, MUHLETHALER P, LAOUITI A. Vehicle ad hoc networks:applications and related technical issues[J]. IEEE Communication Surveys and Tutorials, 2008, 10(3):74-88.

[5] ZHU H J, LU R X, SHEN X M, et al. Security in service-oriented vehicular networks[J]. IEEE Wireless Communication, 2009, 16(4):16-22.

[6] PAPADIMITRATOS P, BUTTYAN L, HOLCZER T, et al. Secure vehicular communications: design and architecture[J]. IEEE Communications Magazine, 2008, 46(11):100-109.

[7] CAPKUN S, HUBAUX J P, JAKOBSSON M. Secure and Privacy-Preserving Communication in Hybrid Ad Hoc Networks[R].EPEFL-IC Technical Report, 2004.

[8] RAYA M, HUBAUX J P. The security of vehicular ad hoc net-works[A]. Proceedings of the Third ACM Workshop on Security of Ad Hoc and Sensor Networks (SASN)[C]. NY, USA, 2005. 11-21.

[9] HOH B, GRUTESER M, HUI X, et al. Preserving privacy in GPS traces via uncertainty-aware path cloaking[A]. Proceedings of the 14th ACM Conference on Computer and Communications Security(CCS’07)[C]. 2007. 161-171.

[10] WASEF A, SHEN X M. REP: Location privacy for VANET using random encryption periods[J]. ACM Mobile Networks and Applications (MONET), 2010, 15(1): 172-185.

[11] BERESFORD A R, STAJANO F. Location privacy in pervasive computing[J]. IEEE Pervasive Computing, 2003, 2(1): 46-55.

[12] CHAUM D L. Untraceable electronic mail, return addresses and digital pseudonyms[J]. Communications of the ACM, 1981, 24(2):84-90.

[13] BERESFORD A R, STAJANO F. Mix-zone: user privacy in location-aware services[A]. Proceedings of the Second IEEE International Conference on Pervasive Computing and Communications[C]. Florida,US, 2004. 127-131.

[14] GRUTESER M, GRUNWALD D. Enhancing location privacy in wireless LAN through disposable interface identifiers: a quantitative analysis[J]. Mobile Networks and Applications, 2005, 10(3):315-325.

[15] HUANG L P, YAMANE H, MATSUURA K, et al. Towards modeling wireless location privacy[A]. PETS[C]. 2006. 59-77.

[16] FREUDIGER J, SHOKRI R, HUBAUX J P. On the optimal placement of mix zones[A]. PETS[C]. 2009. 216-234.

[17] AIJAZ A, BOCHOW B, DOTZER F, et al. Attacks on inter vehicle communication systems-an analysis[A]. Proceedings of the 3rd International Workshop on Intelligent Transportation (WIT 2006)[C].Hamburg, Germany, 2006. 1-11.

[18] BUTTYAN L, HOLCZER T, VAJDA I. On the effectiveness of changing pseudonyms to provide location privacy in VANET[A]. Proceedings of ESAS’07[C]. 2007. 129-141.

[19] SCHEUER F, POSSE K, FEDERRATH H. Preventing profile generation in vehicular networks[A]. Proceedings of the 2008 IEEE International Conference on Wireless and Mobile Computing, Networking and Communication[C]. Washington, DC, USA, 2008. 520-525.

[20] LU R X, LIN X D, LUAN T H, et al. Anonymity analysis on social spot based pseudonym changing for location privacy in VANET[A].IEEE ICC’11[C]. Kyoto, Japan, 2011. 1-5.

[21] LU R X, LIN X D, LUAN T H, et al. Pseudonym changing at social spots: an effective strategy for location privacy in VANET[J]. IEEE Transaction on Vehicular Technology, 2012, 61(1):86-96.

[22] BUTTYAN L, HOLCZER T, WEIMERSKIRCH A, et al. Slow: a practical pseudonym changing scheme for location privacy in VANETs[A]. IEEE Vehicular Networking Conference (VNC)[C].Tokyo, Japan, 2009. 1-8.

[23] HUANG L P, MATSUURA K, YAMANE H, et al. Enhancing wireless location privacy using silent period[A]. ECNC[C]. 2005. 1187-1192.

[24] LI M Y, SAMPIGETHAYA K, HUANG L P, et al. Swing & swap:user-centric approaches towards maximizing location privacy[A].Proceedings of the 5th ACM Workshop on Privacy in Electronic Society[C]. New York, USA, 2006. 19-28.

[25] SAMPIGETHAYA K, LI M Y, HUANG L P, et al. Amoeba: robust location privacy scheme for VANET[J]. IEEE Journal on Selected Areas in Communications, 2007, 25(8): 1569-1589.

[26] FREUDIGER J, MANSHAEI M H, HUBAUX J P, et al. On non-cooperative location privacy: a game-theoretic analysis[A].CCS’09[C]. NY, USA, 2009.324-337.

[27] FREUDIGER J, RAYA M, FLEGYHZI M, et al. Mix-zone for location privacy in vehicular networks[A]. Proc of ACM Workshop on Wireless Networking for Intelligent Transportation Systems (WiNITS’07)[C]. Vancouver, Canada, 2007.

[28] DAHL M, DELAUNE S, STEEL G. Formal analysis of privacy for vehicular mix-zones[A]. Proceedings of the 15th European Symposium on Research in Computer Security[C]. 2010. 55-70.

[29] SAMPIGETHAYA K, HUANG L P, LI M Y, et al. CARAVAN:providing location privacy for VANET[A]. ESCAR[C]. 2005.

[30] SCHEUER F, FUCHS K P, FEDERRATH H. A safety-preserving mix zone for VANET[A]. Trust, Privacy and Security in Digital Business[C]. Berlin Heidelberg, 2011. 37-48.

[31] SUN Y P, SU X Y, ZHAO B K, et al. Mix-zones deployment for location privacy preservation in vehicle communications[A]. IEEE 10th International Conference on Compute and Information Technology (CIT 2010)[C]. Bradford, England, 2010. 2825-2830.

[32] CHAUM D, HEYST E V. Group signatures[A]. Proceedings of the 10th Annual International Conference on Theory and Application of Cryptographic Techniques[C]. Berlin, Heidelberg, 1991. 257-265.

[33] BONEH D, BOYEN X, SHACHAM H. Short group signatures[A].CRYPTO 2004[C]. Berlin, Heidelberg, 2004. 227-242.

[34] NAKANISHI T, FUNABIKI N. Verifier-local revocation group signature schemes with backward unlinkability from billing maps[A].ASIACRYPT 2005[C]. Chennai, India, 2005. 533-548.

[35] ZHANG J L, MA L ZH, SU W L, et al. Privacy-preserving authentication based on short group signature in vehicular networks[A]. ISDPE 2007[C]. Chengdu, China, 2007. 138-142.

[36] LU R X, LIN X D, LIANG X H, et al. A dynamic privacy-preserving key management scheme for location based services in VANET[J].IEEE Transactions on Intelligent Transportation Systems, 2011,13(1):127-139.

[37] LIN X D, SUN X T, HO P H, et al. GSIS: a secure and privacy-preserving protocol for vehicular communications[J]. IEEE Transactions on Vehicular Technology, 2007, 56(6): 3442-3456.

[38] LU R X, LIN X D, ZHU H J, et al. ECPP: efficient condition privacy preservation protocol for secure vehicular communications[A]. IEEE INFOCOM 2008[C]. Phoenix, AZ, 2008. 1229-1237.

[39] LU R X, LIN X D, SHEN X M. Spring: a social-based privacy-preserving packet forwarding protocol for vehicular delay tolerant networks[A]. INFOCOM 2010[C]. California, USA, 2010. 1-9.

[40] SCHECHTER S, PARNELL T, HARTEMINK A. Anonymous authentication of membership in dynamic groups[A]. Proceedings of the Third International Conference on Financial Data Security and Digital Commerce[C]. 1999. 184-195.

[41] CHAURASIA B K, VERMA S. Conditional privacy through ring signature in vehicular ad-hoc networks[A]. Transactions on Computational Science[C]. Berlin, Heidelberg, 2011. 147-156.

[42] WEI Y C, CHEN Y M, SHAN H L. RSSI-based user centric anonymization for location privacy in vehicular networks[J]. Institute for Computer Sciences, Social-Informatics and Telecommunications Engineering, 2010, 42(2): 39-51.

[43] 李大偉, 楊庚, 蘇弘逸等. 基于身份的泛在通信隱私保護方案[J],通信學報, 2011,32(9):44-50.LI D W, YANG G, SU H Y, et al. Identity based privacy preservation scheme for ubiquitous computing[J]. Journal on Communications,2011, 32(9):44-50.

[44] 劉建航, 孫江明, 畢經(jīng)平等. 基于動態(tài)時槽的車聯(lián)網(wǎng)協(xié)助下載方法研究[J]. 計算機學報, 2011, 34(8):1378-1386.LIU J H, SUN J M, BI J P, et al. VANET cooperative downloading approach study based on dynamic slot[J]. Chinese Journal of Computers, 2011, 34(8):1378-1386.