張春花，臧海娟，薛小平，張 芳，陳康強(qiáng)，馮麗娟

(1.同濟(jì)大學(xué) 電子與信息工程學(xué)院，上海 201804； 2.江蘇理工學(xué)院 計(jì)算機(jī)工程學(xué)院，江蘇 常州 213001) (*通信作者電子郵箱zhjuan@qq.com)

車聯(lián)網(wǎng)軌跡隱私保護(hù)研究進(jìn)展

張春花1，臧海娟2*，薛小平1，張 芳1，陳康強(qiáng)1，馮麗娟1

(1.同濟(jì)大學(xué) 電子與信息工程學(xué)院，上海 201804； 2.江蘇理工學(xué)院 計(jì)算機(jī)工程學(xué)院，江蘇 常州 213001) (*通信作者電子郵箱zhjuan@qq.com)

軌跡隱私保護(hù)對(duì)車聯(lián)網(wǎng)(IoV)的發(fā)展至關(guān)重要，歸納和分析現(xiàn)有研究方法有重要意義。車聯(lián)網(wǎng)軌跡隱私保護(hù)思想有軌跡模糊、假名更換和軌跡加密等3類，實(shí)現(xiàn)方法分別有基于用戶真實(shí)軌跡的方法和基于啞元軌跡的方法、基于混合區(qū)域的方法和基于路徑混淆的方法、基于私密信息檢索(PIR)協(xié)議的方法和基于空間轉(zhuǎn)換的方法。首先，介紹和歸納了研究背景和常見攻擊等車聯(lián)網(wǎng)軌跡隱私保護(hù)關(guān)鍵問題；然后，從方法思想、科學(xué)問題、方法演進(jìn)等方面詳細(xì)綜述了現(xiàn)有車聯(lián)網(wǎng)軌跡隱私保護(hù)方法，并闡述了需深入研究的難題；在此基礎(chǔ)上，總結(jié)了代表性方案的隱私保護(hù)度、抗攻擊性、復(fù)雜度等性能指標(biāo)；最后展望了車聯(lián)網(wǎng)軌跡隱私保護(hù)的未來研究方向。

車聯(lián)網(wǎng)；軌跡隱私；隱私保護(hù)

0 引言

車聯(lián)網(wǎng)(Internet of Vehicles, IoV)是由車輛自組織網(wǎng)絡(luò)(Vehicular Ad-Hoc Network，VANET)和移動(dòng)互聯(lián)網(wǎng)組成的開放異構(gòu)網(wǎng)絡(luò)，支持交通安全、交通效率和信息娛樂等服務(wù)[1]。車輛的位置信息是車聯(lián)網(wǎng)正常運(yùn)作的基礎(chǔ)。通常車輛的位置即是車載用戶所在的位置，若不受保護(hù)，則用戶會(huì)受到與時(shí)間和空間相關(guān)的推理攻擊，導(dǎo)致用戶的社會(huì)角色、生活習(xí)慣等敏感隱私信息泄露，甚至威脅用戶的人身和財(cái)產(chǎn)安全。

軌跡是具有時(shí)空關(guān)聯(lián)的位置信息，存在于連續(xù)更新位置的應(yīng)用，如多數(shù)安全應(yīng)用、交通效率應(yīng)用及連續(xù)空間查詢等。軌跡隱私保護(hù)是位置隱私保護(hù)的重要范疇，受到國內(nèi)外學(xué)者的關(guān)注，并已提出了許多有效的方法，包括混合區(qū)域、啞元軌跡、空間轉(zhuǎn)換等。然而，車聯(lián)網(wǎng)的高度移動(dòng)可預(yù)測(cè)性、社會(huì)性、網(wǎng)絡(luò)連通度不確定性、短暫性通信等特性[2]，使軌跡隱私保護(hù)極具挑戰(zhàn)，仍存在亟待突破的研究難題。

1 車聯(lián)網(wǎng)軌跡隱私保護(hù)關(guān)鍵問題

1.1 車聯(lián)網(wǎng)軌跡隱私保護(hù)的難點(diǎn)

車聯(lián)網(wǎng)中，車輛軌跡實(shí)質(zhì)上反映了車輛及駕乘人員的行為，是車輛及駕乘人員隱私的重要內(nèi)容。這種軌跡通常是由車輛連續(xù)地更新位置形成的，如主動(dòng)安全應(yīng)用要求車輛周期性地廣播包含位置、速度等信息的信標(biāo)消息。

軌跡隱私若不受保護(hù)，非法人員通過分析軌跡可獲取駕乘人員的興趣愛好、家庭住址、社會(huì)關(guān)系等隱私信息，則軌跡隱私保護(hù)無論對(duì)車輛或是對(duì)駕乘人員都十分重要。

車聯(lián)網(wǎng)具有高動(dòng)態(tài)性、高度移動(dòng)可預(yù)測(cè)性和社會(huì)性等特性，導(dǎo)致車聯(lián)網(wǎng)軌跡隱私保護(hù)研究非常復(fù)雜。具體地，車輛高速移動(dòng)，網(wǎng)絡(luò)割裂頻繁發(fā)生；車輛的移動(dòng)受限于道路網(wǎng)絡(luò)；交通管理部門為不同類型的車輛劃分車道并規(guī)定不同車道的最高和最低限速；車輛的移動(dòng)速度和方向受鄰居車輛和交通狀況的制約；車輛是由人駕駛的，車輛的移動(dòng)規(guī)律與人的移動(dòng)規(guī)律相符，如基于最短路徑移動(dòng)。

1.2 常見攻擊類型

車聯(lián)網(wǎng)是開放性網(wǎng)絡(luò)，容易遭受各種隱私攻擊，常見攻擊類型有：基于移動(dòng)預(yù)測(cè)(Mobile Forecast， MF)的攻擊、基于查詢關(guān)聯(lián)(Query Association， QA)的攻擊和基于車輛分布概率(Vehicle Distribution Probability， VDP)的攻擊。

基于移動(dòng)預(yù)測(cè)的攻擊是指攻擊者利用路網(wǎng)拓?fù)浣Y(jié)構(gòu)、最大運(yùn)動(dòng)速度、交通狀況、路段轉(zhuǎn)移概率等知識(shí)，預(yù)測(cè)并關(guān)聯(lián)用戶的位置，從而構(gòu)造出車輛的移動(dòng)軌跡。

基于查詢關(guān)聯(lián)的攻擊是指攻擊者利用查詢內(nèi)容間的相關(guān)性，識(shí)別出發(fā)起查詢的用戶，繼而連續(xù)地追蹤用戶。

基于車輛分布概率的攻擊是指攻擊者利用車輛在道路上的分布概率，結(jié)合匿名算法，推斷車輛所在的路段。

車聯(lián)網(wǎng)軌跡隱私保護(hù)研究應(yīng)圍繞常見攻擊展開，否則攻擊者會(huì)通過推理獲得軌跡隱私信息。

2 車聯(lián)網(wǎng)軌跡隱私保護(hù)方法

現(xiàn)有軌跡隱私保護(hù)方法的核心策略有軌跡模糊、假名更換和軌跡加密等3種。根據(jù)實(shí)現(xiàn)策略的途徑/機(jī)制，軌跡隱私保護(hù)方法可分別細(xì)分為：基于真實(shí)用戶軌跡的方法[3-4]和基于啞元軌跡的方法[5-7]；基于混合區(qū)域的方法[8-10]和基于路徑混淆的方法[11-12]；基于私密信息檢索(Private Information Retrieval，PIR)協(xié)議的方法[13-14]和基于空間轉(zhuǎn)換的方法[15-16]。

2.1 基于軌跡模糊的軌跡隱私保護(hù)方法

軌跡模糊模型通過連續(xù)匿名，使攻擊者無法將單一用戶軌跡從某軌跡集合中精確地識(shí)別出來。如何構(gòu)造有效抵抗攻擊的軌跡集合(稱為匿名軌跡集)是此類模型的關(guān)鍵問題，通常利用真實(shí)用戶軌跡或啞元軌跡實(shí)現(xiàn)匿名。集合的基數(shù)稱為匿名度，一般記為k。

2.1.1 基于真實(shí)用戶軌跡的方法

基于真實(shí)用戶軌跡的方法是用戶在請(qǐng)求基于位置的服務(wù)(Location-Based Service， LBS)時(shí)，每次向服務(wù)器提交多個(gè)服務(wù)請(qǐng)求用戶的真實(shí)位置。這些位置所在的空間區(qū)域稱為匿名區(qū)域，通常采用路段集的形式。

軌跡隱私保護(hù)方法的抗攻擊能力與路網(wǎng)拓?fù)浜陀脩舴植紶顩r密切相關(guān)。由于車輛的情境感知能力有限，現(xiàn)有工作普遍采用集中式架構(gòu)[3-4]。

為實(shí)現(xiàn)快速匿名，文獻(xiàn)[3]基于用戶密度、歷史軌跡和路網(wǎng)拓?fù)?，?gòu)建了路網(wǎng)層次結(jié)構(gòu)；軌跡k-匿名要求構(gòu)造的所有匿名區(qū)域至少有k個(gè)相同的用戶[17]，為此通常將移動(dòng)趨勢(shì)、速度差異、目的地信息等因素作為構(gòu)造匿名集的條件[3-4]。

顯然，集中式架構(gòu)存在單點(diǎn)故障和性能瓶頸等安全隱患[18]。如何支持用戶的優(yōu)先查詢請(qǐng)求仍是開放性問題。

2.1.2 基于啞元軌跡的方法

啞元軌跡即虛擬軌跡，此類方法是在用戶每次更新位置時(shí)，產(chǎn)生新的虛擬用戶位置(即啞元位置)，連續(xù)的啞元位置構(gòu)成啞元軌跡。

啞元軌跡的合理性決定方法的有效性[19]。考慮到用戶在固定時(shí)間內(nèi)移動(dòng)的距離是受限的，文獻(xiàn)[5]從當(dāng)前啞元位置的附近區(qū)域選擇下一啞元位置。文獻(xiàn)[6]以集中式的架構(gòu)實(shí)現(xiàn)了文獻(xiàn)[5]提出的算法，通過利用所有用戶的活動(dòng)，優(yōu)化了系統(tǒng)行為和性能。除了可達(dá)性，文獻(xiàn)[7]考慮了道路網(wǎng)絡(luò)限制和用戶運(yùn)動(dòng)模式(如用戶運(yùn)動(dòng)一段時(shí)間后會(huì)停留一段時(shí)間)。

啞元軌跡方法能夠獲得一定的軌跡隱私保護(hù)，但如何產(chǎn)生與真實(shí)軌跡不可區(qū)分的啞元軌跡是一個(gè)復(fù)雜的問題，還需要進(jìn)一步的研究。

2.2 基于假名更換的軌跡隱私保護(hù)方法

假名是隱藏了用戶真實(shí)身份的身份標(biāo)識(shí)，但若用戶長(zhǎng)期使用一個(gè)假名，則將被攻擊者連續(xù)追蹤，泄露軌跡隱私，故需更換假名。實(shí)現(xiàn)假名更換的機(jī)制有混合區(qū)域和路徑混淆。

2.2.1 基于混合區(qū)域的方法

基于混合區(qū)域的方法是協(xié)調(diào)多個(gè)用戶在特定的空間區(qū)域同步更換假名，使攻擊者無法確定新假名和舊假名的映射關(guān)系，以保護(hù)用戶的完整軌跡。圖1是典型的混合區(qū)域模型，用戶{a，b，c}進(jìn)入混合區(qū)域，并停止所有通信，離開混合區(qū)域時(shí)，使用新假名{r，s，t}發(fā)送數(shù)據(jù)包[20]。攻擊者不能確定{a，b，c}和{r，s，t}之間的關(guān)聯(lián)，則用戶的完整軌跡得到了保護(hù)。

圖1 混合區(qū)域模型

直觀上，車輛密度越高，攻擊者越不能確定新假名和舊假名的映射關(guān)系，因而研究者提出在十字路口、大型商場(chǎng)的免費(fèi)停車場(chǎng)等社會(huì)熱點(diǎn)區(qū)域部署混合區(qū)域[8]。

但基于社會(huì)熱點(diǎn)區(qū)域的方案缺乏靈活性，且攻擊者會(huì)針對(duì)某混合區(qū)域采取攻擊手段，因而研究人員提出了動(dòng)態(tài)混合區(qū)域模型[21-22]，由用戶根據(jù)鄰居車輛密度情況，通過協(xié)作構(gòu)造混合區(qū)域。此類方法的有效性依賴于同步更換假名的用戶數(shù)量。在假名機(jī)制中引入信譽(yù)機(jī)制可激勵(lì)用戶參與假名更換[9]，通過同步多個(gè)混合區(qū)域可擺脫對(duì)車輛密度的依賴，增強(qiáng)更換假名的靈活性[10]。

假名更換會(huì)影響安全應(yīng)用的性能，為解決此問題，一方面可選擇車輛并線、變道、低速行駛等作為假名更換的時(shí)機(jī)[23-24]，另一方面可利用加密技術(shù)保持用戶間的通信[8,25]。

在抗攻擊性研究方面，文獻(xiàn)[26]形式化分析了直接將理論的矩形混合區(qū)域應(yīng)用于路網(wǎng)的弱點(diǎn)，主張通過仔細(xì)考慮區(qū)域的幾何學(xué)、用戶的統(tǒng)計(jì)行為、用戶移動(dòng)模式的空間限制、位置暴露的時(shí)間和空間分辨率等多種因素，構(gòu)建有效的混合區(qū)域，并提出了構(gòu)建抗攻擊能力更強(qiáng)的非矩形混合區(qū)域的方法；文獻(xiàn)[27]討論了基于輔助信息的真實(shí)身份揭露和軌跡追蹤攻擊，建議通過使用多個(gè)混合區(qū)域抵抗基于輔助信息的推理攻擊，提出了將部署多個(gè)混合區(qū)域的問題轉(zhuǎn)化為成本約束優(yōu)化問題的數(shù)學(xué)模型，并考慮了交通密度的影響，提出了兩個(gè)啟發(fā)式算法以戰(zhàn)略性地選擇混合區(qū)域位置，從而降低了用戶軌跡的隱私威脅；文獻(xiàn)[28]描述和分析了基于查詢關(guān)聯(lián)的攻擊對(duì)匿名性的影響，提出了延遲容忍的混合區(qū)域框架。

總體來講，設(shè)計(jì)適用于車聯(lián)網(wǎng)的混合區(qū)域需充分考慮靈活性、對(duì)安全應(yīng)用性能的影響和抗攻擊的能力，這是仍具有挑戰(zhàn)性的問題。

2.2.2 基于路徑混淆的方法

基于路徑混淆的方法是在至少有兩個(gè)用戶的物理位置鄰近時(shí)，通過用戶間的交互，在用戶真實(shí)位置上添加噪聲使他們的路徑出現(xiàn)交叉點(diǎn)，并更換假名，以增加攻擊者追蹤用戶的難度[11]。

位置數(shù)據(jù)噪聲必然會(huì)影響服務(wù)質(zhì)量，為此，文獻(xiàn)[11]定義了期望距離誤差和平均位置錯(cuò)誤，分別用于量化攻擊者準(zhǔn)確估計(jì)用戶位置的能力和用戶獲得的服務(wù)質(zhì)量，從而將路徑交叉問題公式化為約束非線性優(yōu)化問題，實(shí)現(xiàn)在滿足給定的服務(wù)質(zhì)量需求時(shí)，最大化位置隱私保護(hù)強(qiáng)度。

文獻(xiàn)[12]提出了集中式的路徑混淆方法，由可信匿名器根據(jù)歷史數(shù)據(jù)預(yù)測(cè)用戶的移動(dòng)，并使每個(gè)新預(yù)測(cè)的路徑與其他用戶的路徑相交。攻擊者只能看到一系列交叉的路徑，很難準(zhǔn)確地追蹤用戶。

以上工作未探討基于用戶移動(dòng)模型和家庭住址信息等知識(shí)的移動(dòng)預(yù)測(cè)攻擊。整體上，路徑混淆機(jī)制的隱私保護(hù)能力不如混合區(qū)域機(jī)制。

2.3 基于軌跡加密的軌跡隱私保護(hù)方法

軌跡加密模型利用密碼學(xué)加密用戶的真實(shí)位置，使其對(duì)服務(wù)器及其他實(shí)體完全不可見，從而保護(hù)軌跡隱私，實(shí)現(xiàn)技術(shù)有PIR協(xié)議[29]和空間轉(zhuǎn)換。

2.3.1 基于PIR協(xié)議的方法

PIR協(xié)議是數(shù)據(jù)庫檢索領(lǐng)域的密碼學(xué)原語，目標(biāo)是實(shí)現(xiàn)數(shù)據(jù)庫服務(wù)器在不知道用戶提交的查詢信息的情況下，仍然能夠完成查詢，因此，若將PIR協(xié)議應(yīng)用于LBS，能夠獲得攻擊者對(duì)用戶的查詢信息一無所知的強(qiáng)隱私保護(hù)。

基于PIR協(xié)議的方法處理LBS查詢服務(wù)的流程是：移動(dòng)客戶端依照PIR協(xié)議加密包含位置數(shù)據(jù)的查詢信息，集成了PIR服務(wù)端的LBS服務(wù)器在不知道用戶的位置數(shù)據(jù)的情況下檢索數(shù)據(jù)庫，并返回查詢結(jié)果。

PIR協(xié)議支持的數(shù)據(jù)訪問模式是從一個(gè)二值數(shù)據(jù)庫上查詢某一個(gè)二進(jìn)制位或塊，通常需要針對(duì)特定的空間查詢方式設(shè)計(jì)LBS服務(wù)器端的數(shù)據(jù)庫和索引結(jié)構(gòu)，并進(jìn)行性能優(yōu)化。

已有的基于PIR協(xié)議的軌跡隱私保護(hù)研究工作主要包括最短路徑計(jì)算[13,30]和最近鄰查詢[14,31-32]。

1)基于PIR協(xié)議的最短路徑計(jì)算。

最短路徑計(jì)算是車聯(lián)網(wǎng)中常用的查詢之一，需要用戶提交始發(fā)地和目的地信息。若這些信息不受保護(hù)，攻擊者很容易推斷出用戶的社會(huì)活動(dòng)等敏感信息。

文獻(xiàn)[13]首次將PIR協(xié)議應(yīng)用于最短路徑計(jì)算，基于提出的具有最低空間代價(jià)和可管理查詢處理代價(jià)等特征的簡(jiǎn)略索引機(jī)制，實(shí)現(xiàn)了性能合理的強(qiáng)隱私保護(hù)，但時(shí)間和空間消耗仍明顯高于不受保護(hù)的查詢處理。

文獻(xiàn)[30]提出了壓縮下一跳路由矩陣的新方法，結(jié)合對(duì)稱PIR協(xié)議，得到了完全隱私的高效城市街道實(shí)時(shí)導(dǎo)航協(xié)議。

2)基于PIR協(xié)議的最近鄰查詢。

文獻(xiàn)[31]最先將PIR協(xié)議的理論工作應(yīng)用于近似最近鄰查詢和精確最近鄰查詢，實(shí)現(xiàn)了抗關(guān)聯(lián)攻擊的可證明的強(qiáng)隱私保證。近似最近鄰查詢方案包含離線階段和響應(yīng)查詢階段。離線階段：LBS服務(wù)器生成所有興趣點(diǎn)(Point Of Interest， POI)的kd(k-dimensional)-樹索引，并將空間劃分成多個(gè)區(qū)域。響應(yīng)查詢階段：LBS服務(wù)器將劃分的區(qū)域發(fā)送給用戶；查詢用戶使用PIR協(xié)議將自己所在的區(qū)域發(fā)送給LBS服務(wù)器；LBS服務(wù)器在不知道查詢用戶所在區(qū)域的情況下，完成查詢處理，將得到的加密查詢結(jié)果返回給查詢用戶；查詢用戶解密LBS服務(wù)器返回的查詢結(jié)果，得到最近鄰POI。通過利用Voronoi圖劃分空間區(qū)域，實(shí)現(xiàn)了精確最近鄰查詢。

AHG(Aggregate Hilbert Grid)[32]是基于安全硬件輔助的PIR協(xié)議的K最近鄰(KNearest Neighbor，KNN)查詢方法。AHG將一個(gè)KNN查詢分解成一系列的數(shù)據(jù)庫塊檢索。每個(gè)數(shù)據(jù)塊檢索由安全硬件PIR執(zhí)行，以防止LBS服務(wù)器識(shí)別出數(shù)據(jù)塊，并且，所有查詢遵循一個(gè)混淆塊訪問模式的通用查詢規(guī)劃，實(shí)現(xiàn)了查詢不可區(qū)分的強(qiáng)隱私保護(hù)。

文獻(xiàn)[14]提出的基于安全硬件輔助的PIR協(xié)議的隱私保護(hù)KNN查詢方法，考慮了道路網(wǎng)絡(luò)因素，通過為任意K設(shè)計(jì)固定的查詢計(jì)劃，以提供強(qiáng)隱私保護(hù)。

在連續(xù)查詢中，用戶需要執(zhí)行多次PIR訪問才能獲得查詢結(jié)果，而不同的位置對(duì)應(yīng)的查詢結(jié)果或PIR訪問次數(shù)存在差異。例如，不同的起點(diǎn)或終點(diǎn)，計(jì)算得到的最短路徑包含的邊數(shù)不同，那么查詢結(jié)果的大小或查詢處理過程中數(shù)據(jù)訪問的次數(shù)就不同，因此，應(yīng)避免攻擊者利用這些信息推斷出用戶的軌跡隱私。

雖然基于PIR協(xié)議的隱私保護(hù)研究成果已取得了合理的檢索時(shí)間，但仍然比不受保護(hù)的磁盤讀取慢很多。另外，基于PIR協(xié)議的隱私保護(hù)方法要求客戶端和LBS服務(wù)器支持PIR協(xié)議，可能產(chǎn)生客戶端和LBS服務(wù)器負(fù)擔(dān)不起的高計(jì)算與通信開銷，并且PIR構(gòu)件具有限制條件，如支持的文件規(guī)模是有限的。

2.3.2 基于空間轉(zhuǎn)換的方法

基于空間轉(zhuǎn)換的方法使用空間填充曲線將2-D的空間數(shù)據(jù)和查詢用戶的位置數(shù)據(jù)轉(zhuǎn)換到1-D空間。LBS服務(wù)器存儲(chǔ)轉(zhuǎn)換的空間數(shù)據(jù)，并根據(jù)轉(zhuǎn)換的查詢用戶的位置數(shù)據(jù)在轉(zhuǎn)換的空間數(shù)據(jù)庫中完成查詢處理。由于轉(zhuǎn)換過程是單向的，LBS服務(wù)器不能根據(jù)1-D的位置數(shù)據(jù)得到2-D的位置數(shù)據(jù)，則軌跡隱私受到了保護(hù)。

空間轉(zhuǎn)換方法在最近鄰查詢的位置隱私保護(hù)中得到應(yīng)用，可行的方法應(yīng)滿足：空間轉(zhuǎn)換函數(shù)具有單向函數(shù)的特性，使空間轉(zhuǎn)換是計(jì)算安全的，以防止轉(zhuǎn)換后的數(shù)據(jù)被不可信實(shí)體惡意使用；保持原始空間數(shù)據(jù)的鄰近性，以保證查詢結(jié)果的準(zhǔn)確性；在轉(zhuǎn)換的空間數(shù)據(jù)庫中執(zhí)行查詢的效率要能滿足用戶的需求。

Hilbert曲線具有很好的距離保持特性和聚類特性，且在計(jì)算上，不知道曲線參數(shù)(包括曲線的起始點(diǎn)、曲線方向、曲線結(jié)束和曲線縮放因子)的實(shí)體不能通過組合參數(shù)發(fā)現(xiàn)正確的曲線，因此，Hilbert曲線是空間轉(zhuǎn)換的有效工具。

通常在2-D空間中鄰近的點(diǎn)在Hilbert曲線上仍然是鄰近的，但由于遺漏邊的性質(zhì)，也會(huì)出現(xiàn)離得遠(yuǎn)的情況；另外，由于Hilbert曲線是對(duì)原始空間的降維，導(dǎo)致用戶在轉(zhuǎn)換空間的最近鄰數(shù)量少于在原始空間的最近鄰數(shù)量。基于雙Hilbert曲線的查詢解析技術(shù)[33]可減少遺漏邊和降維對(duì)查詢精度的影響，但仍不能返回精準(zhǔn)的最近鄰。

基于標(biāo)準(zhǔn)Hilbert曲線的空間轉(zhuǎn)換仍保持了興趣點(diǎn)的分布特征，即相同或相近Hilbert值的數(shù)量與未轉(zhuǎn)換空間中興趣點(diǎn)的密度正相關(guān)，則增加了隱私泄露的風(fēng)險(xiǎn)。

為抵抗基于興趣點(diǎn)分布知識(shí)的攻擊，文獻(xiàn)[15]提出了聯(lián)合加密哈希函數(shù)與雙Hilbert曲線的隱私保護(hù)機(jī)制，實(shí)現(xiàn)了更加嚴(yán)格的隱私保護(hù)；文獻(xiàn)[16]提出了根據(jù)空間區(qū)域內(nèi)興趣點(diǎn)分布密度而自動(dòng)調(diào)整曲線參數(shù)的自適應(yīng)Hilbert曲線(Adaptive Hilbert Curve， AHC)?；贏HC的空間轉(zhuǎn)換方法，也避免了使用標(biāo)準(zhǔn)Hilbert曲線轉(zhuǎn)換空間時(shí)需要多次調(diào)整曲線參數(shù)，且可支持?jǐn)?shù)據(jù)擁有者對(duì)空間區(qū)域的自定義授權(quán)。

但在道路網(wǎng)絡(luò)環(huán)境下，興趣點(diǎn)是沿道路分布的，用戶的行駛狀態(tài)(方向和軌跡)受限于道路網(wǎng)絡(luò)，則利用Hilbert曲線轉(zhuǎn)換興趣點(diǎn)和查詢點(diǎn)對(duì)象的方法很難保持原始道路網(wǎng)空間中對(duì)象之間的鄰近關(guān)系。如圖2所示，查詢用戶u1的Hilbert值為1，興趣點(diǎn)p1和p2的Hilbert值分別為5和12，在轉(zhuǎn)換空間中，u1和p1更近，但實(shí)際上u1和p2更近，因此有待進(jìn)一步研究如何獲取準(zhǔn)確的查詢結(jié)果。

圖2 Hilbert曲線填充路網(wǎng)空間

3 車聯(lián)網(wǎng)軌跡隱私保護(hù)方法總結(jié)

軌跡隱私保護(hù)是車聯(lián)網(wǎng)研究領(lǐng)域的一項(xiàng)重要內(nèi)容，本文綜述了學(xué)者針對(duì)不同的應(yīng)用場(chǎng)景和系統(tǒng)目標(biāo)而提出的基于真實(shí)用戶軌跡的方法、基于啞元軌跡的方法、基于混合區(qū)域的方法、基于路徑混淆的方法、基于PIR協(xié)議的方法和基于空間轉(zhuǎn)換的方法等6類方法。表1總結(jié)了代表性工作在體系結(jié)構(gòu)、隱私保護(hù)度、抗攻擊性、服務(wù)質(zhì)量和復(fù)雜度等方面的特征。

表1 車聯(lián)網(wǎng)軌跡隱私保護(hù)方案比較

由表1可知，整體上，基于加密思想的PIR協(xié)議和空間轉(zhuǎn)換方法的隱私保護(hù)強(qiáng)度高，但復(fù)雜度高，而其他軌跡隱私保護(hù)方法較好地平衡了隱私保護(hù)度、服務(wù)質(zhì)量和復(fù)雜度。在實(shí)際應(yīng)用中，應(yīng)綜合考慮軌跡隱私保護(hù)方法的特性、應(yīng)用場(chǎng)景的特征和用戶的隱私需求，以選擇合適的軌跡隱私保護(hù)方法。

4 研究展望

盡管學(xué)術(shù)界已提出了許多有效的車聯(lián)網(wǎng)軌跡隱私保護(hù)方法，但車聯(lián)網(wǎng)是一個(gè)復(fù)雜的信息網(wǎng)絡(luò)，對(duì)車聯(lián)網(wǎng)的認(rèn)知還在不斷深入，車聯(lián)網(wǎng)軌跡隱私保護(hù)研究仍存在挑戰(zhàn)：

1)基于車輛移動(dòng)的社會(huì)性特征和規(guī)律的軌跡隱私保護(hù)方法研究。

由于車輛是由人控制的，因此車輛的移動(dòng)不是隨機(jī)的，而是與駕駛員/乘客的行車習(xí)慣和社會(huì)關(guān)系等有關(guān)，具有車輛停留、最短路徑駕駛、趨向社會(huì)熱點(diǎn)、場(chǎng)景多樣化等社會(huì)性特性和規(guī)律。而傳統(tǒng)的軌跡隱私保護(hù)方法未充分考慮這些特征，在魯棒性方面存在脆弱性，例如，若攻擊者擁有分辨啞軌跡和用戶真實(shí)軌跡的知識(shí)，則會(huì)削弱方法的隱私保護(hù)能力，因此基于車輛移動(dòng)的社會(huì)性特征和規(guī)律的車聯(lián)網(wǎng)軌跡隱私保護(hù)方法研究極具意義。

2)對(duì)背景知識(shí)不敏感的車聯(lián)網(wǎng)軌跡隱私保護(hù)方法研究。

由于車輛的移動(dòng)具有高度可預(yù)測(cè)性，則攻擊者極可能利用路網(wǎng)拓?fù)鋱D、交通狀況等背景知識(shí)推斷用戶的位置，進(jìn)而持續(xù)追蹤用戶。目前考慮位置推斷攻擊的車聯(lián)網(wǎng)軌跡隱私保護(hù)方法都是基于對(duì)攻擊者擁有的背景知識(shí)的假設(shè)，那么當(dāng)攻擊者擁有新的背景知識(shí)時(shí)，隱私保護(hù)方法可能變得無效，因此需深入探索對(duì)背景知識(shí)不敏感的車聯(lián)網(wǎng)軌跡隱私保護(hù)方法。

3)車聯(lián)網(wǎng)軌跡隱私保護(hù)方法度量機(jī)制研究。

目前，在車聯(lián)網(wǎng)軌跡隱私保護(hù)方法評(píng)估方面缺少系統(tǒng)化的動(dòng)態(tài)度量機(jī)制，一方面盡管研究者提出了一些度量指標(biāo)，但這些指標(biāo)往往是針對(duì)特定的隱私保護(hù)方法、攻擊模型或隱私威脅等，沒有統(tǒng)一的量化標(biāo)準(zhǔn)，另一方面車聯(lián)網(wǎng)上下文環(huán)境(如用戶密度和道路拓?fù)?具有動(dòng)態(tài)性，靜態(tài)的單一度量指標(biāo)不能客觀地刻畫隱私保護(hù)方法的性能。

車聯(lián)網(wǎng)軌跡隱私保護(hù)方法度量機(jī)制對(duì)于車聯(lián)網(wǎng)軌跡隱私保護(hù)方法的發(fā)展有重要作用。依據(jù)度量機(jī)制評(píng)估隱私保護(hù)方法的性能，一方面能夠比較不同隱私保護(hù)方法的性能，為特定的場(chǎng)景和應(yīng)用選擇合適的隱私保護(hù)方法，另一方面能夠?yàn)榉治龊痛_定影響軌跡隱私保護(hù)性能的關(guān)鍵因素提供參考，為隱私保護(hù)方法的改進(jìn)提供指導(dǎo)性建議。

5 結(jié)語

軌跡隱私保護(hù)研究對(duì)于車聯(lián)網(wǎng)的落地至關(guān)重要，但車聯(lián)網(wǎng)的節(jié)點(diǎn)高速移動(dòng)、短暫性通信、節(jié)點(diǎn)移動(dòng)高度可預(yù)測(cè)、社會(huì)性等特性，使得傳統(tǒng)的軌跡隱私保護(hù)方法不適用于車聯(lián)網(wǎng)。為此，本文在介紹車聯(lián)網(wǎng)軌跡隱私保護(hù)的關(guān)鍵問題的基礎(chǔ)上，從方法思想、科學(xué)問題、方法演進(jìn)等方面詳細(xì)分類綜述了現(xiàn)有主要研究成果，并總結(jié)了具有代表性的車聯(lián)網(wǎng)軌跡隱私保護(hù)方案的特點(diǎn)，最后展望了未來的研究方向。

References)

[1] 陳宇峰,向鄭濤,董亞波,等.車聯(lián)網(wǎng)建模和統(tǒng)計(jì)性質(zhì)分析及其路由策略綜述[J].計(jì)算機(jī)應(yīng)用,2015,35(12):3321-3324.(CHEN Y F, XIANG Z T, DONG Y B, et al. Review of modeling, statistical properties analysis and routing strategies optimization in Internet of vehicles [J]. Journal of Computer Applications, 2015, 35(12): 3321-3324.)

[2] LU R. Security and privacy preservation in vehicular social networks [D]. Waterloo: University of Waterloo, 2012: 18-28.

[3] WANG Y, XIA Y, HOU J, et al. A fast privacy-preserving framework for continuous location-based queries in road networks [J]. Journal of Network and Computer Applications, 2015, 53(7): 57-73.

[4] SONG D, PARK K. A privacy-preserving location-based system for continuous spatial queries [J/OL]. Mobile Information Systems, 2016, 2016: 1-9 [2016- 09- 25]. http://dx.doi.org/10.1155/2016/6182769.

[5] KIDO H, YANAGISAWA Y, SATOH T. An anonymous communication technique using dummies for location-based services [C]// Proceeding of the 21st International Conference on Data Engineering Workshops. Piscataway, NJ: IEEE, 2005: 88-97.

[6] TRAN M T, ECHIZEN I, DUONG A D. Binomial-mix-based location anonymizer system with global dummy generation to preserve user location privacy in location-based services [C]// Proceedings of the 2010 International Conference on Availability, Reliability, and Security. Piscataway, NJ: IEEE, 2010: 580-585.

[7] HARA T, SUZUKI A, IWATA M, et al. Dummy-based user location anonymization under real-world constraints [J]. IEEE Access, 2016, 4: 673-687.

[8] LU R, LIN X, LUAN T H, et al. Pseudonym changing at social spots: an effective strategy for location privacy in VANETs [J]. IEEE Transactions on Vehicular Technology, 2012, 61(1): 86-96.

[9] YING B, MAKRAKIS D. Reputation-based pseudonym change for location privacy in vehicular networks [C]// Proceedings of the 2015 IEEE International Conference on Communications. Piscataway, NJ: IEEE, 2015: 7041-7046.

[10] YU R, KANG J, HUANG X, et al. MixGroup: accumulative pseudonym exchanging for location privacy preservation in vehicular social networks [J]. IEEE Transactions on Dependable and Secure Computing, 2016, 13(1): 93-105.

[11] HOH B, GRUTESER M. Protecting location privacy through path confusion [C]// Proceedings of the First International Conference on Security and Privacy for Emerging Areas in Communications Networks. Piscataway, NJ: IEEE, 2005: 194-205.

[12] MEYEROWITZ J, ROY CHOUDHURY R. Hiding stars with fireworks: location privacy through camouflage [C]// Proceedings of the 15th Annual International Conference on Mobile Computing and Networking. New York: ACM, 2009: 345-356.

[13] MOURATIDIS K, YIU M L. Shortest path computation with no information leakage [J]. Proceedings of the VLDB Endowment, 2012, 5(8): 692-703.

[14] WANG L, MA R, MENG X. Evaluatingknearest neighbor query on road networks with no information leakage [C]// WISE 2015: Proceedings of the 16th International Conference on Web Information Systems Engineering. Berlin: Springer, 2015: 508-521.

[15] KHOSHGOZARAN A, SHIRANI-MEHR H, SHAHABI C. Blind evaluation of location based queries using space transformation to preserve location privacy [J]. GeoInformatica, 2013, 17(4): 599-634.

[16] 田豐,桂小林,張學(xué)軍,等.基于興趣點(diǎn)分布的外包空間數(shù)據(jù)隱私保護(hù)方法[J].計(jì)算機(jī)學(xué)報(bào),2014,37(1):123-138.(TIAN F, GUI X L, ZHANG X J, et al. Privacy-preserving approach for outsourced spatial data based on POI distribution [J]. Chinese Journal of Computers, 2014, 37(1): 123-138.)

[17] 周長(zhǎng)利,馬春光,楊松濤.路網(wǎng)環(huán)境下保護(hù)LBS位置隱私的連續(xù)KNN查詢方法[J].計(jì)算機(jī)研究與發(fā)展,2015,52(11):2628-2644.(ZHOU C L, MA C G, YANG S T. Location privacy-preserving method for LBS continuousKNN query in road networks [J]. Journal of Computer Research and Development, 2015, 52(11): 2628-2644.)

[18] PENG T, LIU Q, WANG G. Enhanced location privacy preserving scheme in location-based services [J]. IEEE Systems Journal, 2014, 11(1): 219-230.

[19] KATO R, IWATA M, HARA T, et al. User location anonymization method for wide distribution of dummies [C]// Proceedings of the 2013 International Conference on Database and Expert Systems Applications. Berlin: Springer, 2013: 259-273.

[20] ATAEI M, KRAY C. Ephemerality is the new black: a novel perspective on location data management and location privacy in LBS [M]// Progress in Location-Based Services 2016. Berlin: Springer, 2017: 357-373.

[21] SONG J H, WONG V W S, LEUNG V C M. Wireless location privacy protection in vehicular Ad-Hoc networks [J]. Mobile Networks and Applications, 2010, 15(1): 160-171.

[22] HUANG L, MATSUURA K, YAMANE H, et al. Enhancing wireless location privacy using silent period [C]// Proceedings of the 2005 Wireless Communications and Networking Conference. Piscataway, NJ: IEEE, 2005: 1187-1192.

[23] SAMPIGETHAYA K, LI M, HUANG L, et al. AMOEBA: robust location privacy scheme for VANET [J]. IEEE Journal on Selected Areas in Communications, 2007, 25(8): 1569-1589.

[25] SCHEUER F, FUCHS K P, FEDERRATH H. A safety-preserving mix zone for VANETs [M]// Trust, Privacy and Security in Digital Business. Berlin: Springer, 2011: 37-48.

[26] PALANISAMY B, LIU L. MobiMix: protecting location privacy with mix-zones over road networks [C]// Proceedings of the 2011 International Conference on Data Engineering. Piscataway, NJ: IEEE, 2011: 494-505.

[27] LIU X, ZHAO H, PAN M, et al. Traffic-aware multiple mix zone placement for protecting location privacy [C]// Proceedings of the 31st Annual IEEE International Conference on Computer Communications. Piscataway, NJ: IEEE, 2012: 972-980.

[28] PALANISAMY B, LIU L, LEE K, et al. Anonymizing continuous queries with delay-tolerant mix-zones over road networks [J]. Distributed and Parallel Databases, 2014, 32(1): 91-118.

[29] CHOR B, KUSHILEVITZ E, GOLDREICH O, et al. Private information retrieval [J]. Journal of the ACM, 1998, 45(6): 965-981.

[30] WU D J, ZIMMERMAN J, PLANUL J, et al. Privacy-preserving shortest path computation [EB/OL]. (2016- 01- 10) [2017- 01- 25]. http://arxiv.org/abs/1601.02281.

[31] GHINITA G, KALNIS P, KHOSHGOZARAN A, et al. Private queries in location based services: anonymizers are not necessary [C]// Proceedings of the 2008 ACM SIGMOD International Conference on Management of Data. New York: ACM, 2008: 121-132.

[32] PAPADOPOULOS S, BAKIRAS S, PAPADIAS D. Nearest neighbor search with strong location privacy [J]. Proceedings of the VLDB Endowment, 2010, 3(1/2): 619-629.

[33] KHOSHGOZARAN A, SHAHABI C. Blind evaluation of nearest neighbor queries using space transformation to preserve location privacy [C]// Proceedings of the 2007 International Symposium on Spatial and Temporal Databases. Berlin: Springer, 2007: 239-257.

This work is partially supported by the National Key Technology R&D Program during the Twelfth Five-year Plan Period (2015BAG13B01), the Prospective Joint Research Project of Jiangsu Province (BY2014038- 03).

ZHANGChunhua, born 1989, Ph. D. candidate. Her research interests include information security, privacy protection.

ZANGHaijuan, born in 1965, Ph. D., associate professor. Her research interests include network and information security.

XUEXiaoping, born in 1963, Ph. D., professor. His research interests include trusted computing, information security.

ZHANGFang, born in 1971, Ph. D., lecturer. Her research interests include trusted computing.

CHENKangqiang, born in 1992, M. S. candidate. His research interests include VANET privacy and security.

FENGLijuan, born in 1994, M. S. candidate. Her research interests include VANET security and privacy.

ResearchprogressinInternetofvehiclestrajectoryprivacyprotection

ZHANG Chunhua1, ZANG Haijuan2*, XUE Xiaoping1, ZHANG Fang1, CHEN Kangqiang1, FENG Lijuan1

(1.CollegeofElectronicsandInformationEngineering,TongjiUniversity,Shanghai201804,China;2.CollegeofComputerEngineering,JiangsuUniversityofTechnology,ChangzhouJiangsu213001,China)

Trajectory privacy protection is critical to the development of Internet of Vehicles (IoV), which makes it important to summarize and analyze existing research methods. Existing IoV trajectory privacy protection methods can be divided into three categories: trajectory obfuscation, pseudonym change and trajectory encryption. Trajectory obfuscation can be achieved based on users’ real trajectory or dummy trajectory. Pseudonym change can be achieved based on mix-zone or path confusion. Trajectory encryption can be achieved based on Private Information Retrieval (PIR) protocol or spatial transformation. Firstly, the research background and common attacks were introduced and summarized in this paper. Secondly, existing IoV trajectory privacy protection methods were surveyed from the aspects of methodology, scientific problem and method evolution. The problems need to be further studied also were elaborated. Furthermore, the performances of representative schemes were summarized, such as privacy protection, attack resistance and complexity. Finally, the future research directions of IoV trajectory privacy protection was prospected.

Internet of Vehicles (IoV); trajectory privacy; privacy protection

TP309; TP393.083

:A

2017- 01- 24;

:2017- 03- 23。

“十二五”國家科技支撐計(jì)劃項(xiàng)目(2015BAG13B01)；江蘇省前瞻性聯(lián)合研究項(xiàng)目(BY2014038- 03)。

張春花(1989—)，女，山東莒縣人，博士研究生，主要研究方向：信息安全、隱私保護(hù)； 臧海娟(1965—)，女，江蘇常州人，副教授，博士，主要研究方向：網(wǎng)絡(luò)與信息安全； 薛小平(1963—)，男，上海人，教授，主要研究方向：可信計(jì)算、信息安全； 張芳(1971—)，女，上海人，講師，博士，主要研究方向：可信計(jì)算； 陳康強(qiáng)(1992—)，男，浙江金華人，碩士研究生，主要研究方向：VANET隱私與安全； 馮麗娟(1994—)，女，四川雅安人，碩士研究生，主要研究方向：VANET安全與隱私。

1001- 9081(2017)07- 1921- 05

10.11772/j.issn.1001- 9081.2017.07.1921