王進，張永慧，顧翔

南通大學計算機科學與技術學院，江蘇南通226019

車載自組網中信任感知的隱私保護策略

王進，張永慧，顧翔

南通大學計算機科學與技術學院，江蘇南通226019

CNKI網絡出版：2017-03-22,http://kns.cnki.net/kcms/detail/11.2127.TP.20170322.1923.024.html

1 引言

道路交通事故被稱為世界“頭號殺手”，是全世界關注的公共安全問題。車載自組網（Vehicular Ad-hoc Network，VANET）是當前智能交通的研究熱點。車載自組網是專門為車輛間通信而設計的自組織網絡，每輛車配置了無線通信設備和傳感設備，使得車與車、車與路邊基礎設施能夠進行通信[1]。信任管理和隱私保護是車載自組網中兩個重要問題，受到廣泛關注。

一方面，車載自組網是一種開放網絡，具有無中心和高度移動性等特點，使得傳統(tǒng)的硬安全機制不再適用，車載自組網中的惡意車輛可能傳播虛假消息，造成交通安全隱患。傳統(tǒng)的硬安全機制雖然能鑒別車輛的身份是否合法，但是具有合法身份的成員仍然可能存在欺詐、自私、低質量服務等惡意行為。為解決該問題，現有開放網絡（例如對等網絡[2]、自組網[3]和無線傳感網[4]等）的研究人員提出了信任管理系統(tǒng)。為了解決車載自組網中的這個問題，在其他開放網絡中廣泛采用的信任管理系統(tǒng)被引入車載自組網中[5-7]，并被廣泛研究。信任管理系統(tǒng)通過建立信任模型，輔助用戶識別誠實可信的服務提供者，為用戶交互提供決策保障。同時，也激勵用戶提供誠信的服務。信任管理系統(tǒng)的應用，將在很大程度上增強了車載自組網的安全性。然而，這些從對等網絡中直接移植過來的信任管理系統(tǒng)并不是很適用于車載自組網。現有車載自組網信任管理系統(tǒng)大多存在兩個缺點：（1）這些信任管理系統(tǒng)沒有考慮用戶隱私。將聲譽直接暴露在消息中容易引起聲譽連接攻擊，用戶位置隱私極易受到威脅。（2）這些信任管理系統(tǒng)沒有考慮用戶的個性化隱私保護需求。

另一方面，由于車與司機及乘客密切關聯，因此車的位置隱私保護非常重要。保護位置隱私就是要保護實體當前或過去的通信位置不被通信場景外的實體獲知。位置隱私保護問題一直是車載自組網中長期的熱點研究問題。為了實現位置隱私的保護，現有方法是在車載自組網車輛廣播消息時使用假名（pseudonym）代替真實ID，并通過一定的策略定期改變它們的假名。如果在不恰當的時間或地點變換假名，仍然可能導致惡意節(jié)點通過前后假名之間的聯系連接出車輛行駛軌跡，侵犯用戶的位置隱私。車輛在行駛的過程中會使用不同的假名，為了保證假名的不可連接性，Lu等[1]提出了一種在社會熱點進行假名更換的方法。但是現有方法假設消息只包括假名、速度、加速度等信息，沒有考慮聲譽。

由上可知，信任和隱私是車載自組網中的兩個重要問題，然而，現有車載自組網信任管理系統(tǒng)大多沒有考慮用戶隱私。究其原因，是因為將信任和隱私統(tǒng)一在一個框架內并不是一件容易的事情，信任和隱私二者存在沖突。從信任管理的需求看，每個成員必須具有惟一的ID，以便累積其歷史表現，計算其聲譽；并且要求將聲譽暴露給其他成員，供其挑選優(yōu)質服務。從隱私保護的角度看，消息中不應該具有包含標識符（例如ID）或準標識符（例如聲譽值），以防位置隱私泄露；用戶假名必須同步更換；用戶隱私保護要求有個性化差異等。

本文將假名引入信任管理系統(tǒng)中，并且提出相應的“假名-聲譽值”協同變換策略，用來解決車載自組網信任管理系統(tǒng)中的用戶隱私保護問題。主要貢獻如下：（1）提出在社會熱點進行“假名-聲譽值”協同變換策略，克服了現有策略單一變換假名的缺點，實現了假名和聲譽值和同步變換。實驗表明，該策略可以有效克服聲譽連接攻擊，大幅降低聲譽被連接的概率，較好地保護了用戶隱私。（2）提出基于用戶中心策略的隱私保護算法，解決用戶的個性化隱私保護需求，提高了用戶滿意度。

2 相關工作

車載自組網在智能交通中將會大幅提升駕乘體驗，提高道路交通的安全與高效，具有廣闊的應用前景?，F有研究提出大量基于車載自組網的應用，包括：安全預警、輔助駕駛、交通信息發(fā)布、乘客娛樂等。隨著研究的深入，研究者發(fā)現信任管理系統(tǒng)對于提高車載自組網可用性的重要作用。如果沒有較好的信任管理機制，虛假消息和低質服務將充斥車載自組網，上述應用的可用性將受到嚴重挑戰(zhàn)?，F有研究主要集中在車載自組網中如何通過各種證據評估信任關系。

Chen等[8]提出了基于信任的消息聚合與評估的框架，在車載自組網中，節(jié)點傳遞道路交通消息，接收者對消息給出意見。節(jié)點通過和周圍節(jié)點的協同，分布式地完成對消息的評估。Chen等[9-10]提出了基于信標（beacon）的信任管理系統(tǒng)，系統(tǒng)通過信標消息的傳遞，建立信任關系。在融合直接經驗和間接經驗的基礎上，通過計算節(jié)點間物理屬性的相似性，如：位置、速度和方向等，過濾惡意節(jié)點。上述信任機制雖然能很好適應于參與式感知模型，但沒有考慮用戶隱私問題。在車載自組網環(huán)境下，已有的隱私保護研究工作集中在兩大部分：身份匿名和位置（軌跡）隱私保護。針對身份匿名常見的方法是使用假名機制[11-12]，在混合區(qū)域（mix-zone）統(tǒng)一更換假名。

Huang等[13]為了防止用戶隱私被連接，引進了聲譽代理服務器并假設它是可信的，負責假名之間的聲譽傳遞。提出了聲譽匿名機制來消除用戶聲譽的獨特性。借助k匿名算法，使得在每個時間片內一組用戶共用一個聲譽值，達到聲譽抖動的目的。但如何保證聲譽代理服務器的安全，又是一個需要考慮的問題。Lu等[1]為了保護位置隱私被連接，針對社會熱點提出了PCS策略（Pseudonym Change Strategy）。社會熱點場景的特點是短時間聚集大量車輛，例如，紅燈亮起時的十字路口或停車場。所有車輛在離開前同時更換假名，可以保證假名不被連接，從而保護用戶的隱私信息。但該方法沒有考慮到聲譽連接攻擊[14]。Michalas等[15]提出了一種聲譽匿名化方案，防止由于聲譽之間的內在關系而暴露的隱私。但沒有解決聲譽和隱私的平衡問題。

綜上所述，車載自組網信任管理系統(tǒng)的前期研究工作主要集中在如何在車載自組網中建立信任，缺少對用戶隱私保護的深層考慮，例如：如何在車輛動態(tài)移動中場景中保護隱私，如何滿足用戶的個性化隱私保護要求，如何平衡信任和隱私的沖突等。

3 問題描述

3.1 系統(tǒng)模型

在車載自組網模型中，車被看作是網絡節(jié)點，每輛車都配有OBU（On-Board Unit），能夠實現車與車之間的無線通信。車載自組網中的通信包括車與車通信、車與路邊基礎設施通信。這些無線通信方式將車、RSU連接起來，并接入互聯網，使得車能夠訪問云端的各種應用服務器。

車輛在道路上自由行駛，使得車載自組網的拓撲結構具有很大的動態(tài)性。然而，在一些社會熱點，例如停車場和信號燈路口，車輛會有短暫的停留。此時，它們的速度、加速度、位置等信息相差不大，消息不易被惡意節(jié)點識別，因此這些社會熱點常被用作混合區(qū)域，通過一定的協議，實現假名的變換。本文將社會熱點作為混合區(qū)域，車輛在社會熱點執(zhí)行“假名-聲譽值”變換策略，能夠彼此掩護，更好地保護隱私。

假名和聲譽服務器部署在云端。其中，假名服務器負責車載自組網車輛的假名發(fā)布、驗證、撤銷等功能。聲譽服務器負責車載自組網車輛的聲譽管理，包括聲譽初始化、更新、查詢、證書發(fā)布與撤銷等功能。本文假設假名和聲譽服務器都是可信的。本文關注的是信任可用性和隱私保護的平衡，不對具體的信任模型深入研究?，F有信任模型可以方便地應用到本文提出的框架中來。本文假設車載自組網中每個合法的車輛都有一個聲譽值R，且R∈[0,10]。

3.2 隱私危害模型

假設假名和聲譽服務器已經具有防火墻等傳統(tǒng)安全措施，能夠防止外部攻擊。假設車載自組網內部成員車輛不能偽造簽名和假名證書。本文主要考慮的是車載自組網內部的惡意成員對信任管理系統(tǒng)的聲譽連接攻擊以及對用戶隱私造成的侵害，這些內部惡意成員具有車載自組網的通信協議，能夠監(jiān)聽其他成員發(fā)出的信息。

在傳統(tǒng)的車載自組網隱私保護研究中，消息一般包含假名、時間、位置、速度、地點等等要素。但是，當信任管理系統(tǒng)引入到車載自組網中之后，聲譽或者信任值就成為消息中不可缺少一個要素。本文用向量F=（假名，聲譽，時間，位置，速度，…）代表信息的各個要素。在混合區(qū)域中，所有車位置相近且速度、加速度保持一致（一般為0），可以使攻擊者無法區(qū)分位置、速度等因素。但是，攻擊者可以通過觀察消息子集（假名，聲譽）發(fā)動聲譽連接攻擊。例如，一組車輛VA、VB、VC同時更換假名。VA的假名A更換為新假名A1。如果攻擊者監(jiān)聽消息，獲得變換前后的（假名，聲譽）數據，觀察到(A,8.5)和(A1,8.5)，攻擊者很容易根據聲譽值R=8.5而連接到假名A=A1，進而能夠推算出該用戶的軌跡，侵害用戶隱私。因此，在車載自組網引入信任管理系統(tǒng)后，傳統(tǒng)的假名變換策略存在聲譽連接攻擊的安全隱患。

3.3 隱私保護分析

3.3.1 身份隱私保護

身份隱私是實現位置隱私的先決條件，如果車輛廣播不加處理的安全消息，信任中心可能會泄露車輛的真實身份。本文假設已經部署假名服務器，能夠對車載自組網內部的合法車輛分發(fā)假名證書。每個車輛都使用假名廣播消息以隱藏用戶的真實身份。成功隱藏真實身份，即實現身份隱私保護。具體的假名方案已經有很多成熟的方案，不在本文討論范圍。

3.3.2 位置隱私保護

即使使用了假名，如果攻擊者能夠監(jiān)聽到某車的大量消息，仍然能夠推算出該車行駛的軌跡以及位置，這就會侵犯用戶的位置隱私。因此，傳統(tǒng)方案中，每輛車定期改變假名以減少前后時間段的關聯，這樣攻擊者就無法連接出車輛的軌跡。但是，在信任管理系統(tǒng)中，只更換假名雖然切斷用戶前后時刻的聯系，但攻擊者依然可以通過聲譽值連接消息，推算用戶的行駛軌跡。因此，本文提出同時更換假名和聲譽的策略，防止攻擊者通過聲譽連接到用戶。

3.3.3 個性化隱私保護

車載自組網中的每個車輛都對應到真實的駕乘人員，這些用戶對隱私保護有個性化的需求。這一點與傳統(tǒng)的數據發(fā)布領域的隱私保護問題不同。例如，某些車裝有廣告、娛樂、社交的應用，它們可能更傾向于向其他成員表明自己的誠實或者服務高質量，因此更樂意宣傳自己，而對隱私保護的要求不高。而另外一些成員，主觀上可能更保守，從而會有更高的隱私保護要求。這就是個性化隱私保護問題。本文采用用戶中心策略保護個性化的隱私。用戶對隱私保護水平提出要求，RSU或者簇頭根據用戶的具體需求，執(zhí)行隱私保護算法，最大化地滿足用戶的個性化需求。

4 隱私保護方法

4.1 “假名-聲譽值”協同變換策略

在傳統(tǒng)的車載自組網中，攻擊者可以通過連接消息中的標識符（例如車輛ID）或者準標識符信息跟蹤目標車輛。在車載自組網的聲譽管理系統(tǒng)中，為了輔助用戶識別高質量的服務，提供服務的用戶的聲譽值必須是可觀測的。攻擊者作為內部成員，能夠接收并觀測其他用戶的聲譽值，從而利用聲譽值跟蹤目標車輛。然而，傳統(tǒng)的混合區(qū)域技術無法解決聲譽連接攻擊的問題。本文假設大型社會熱點（例如停車場）是變換策略實施的地點，提出一種“假名-聲譽值”變換策略。停車場中停泊了大量的車輛，這些車輛所處的地點、速度、加速度都一致，當它們同步變換假名和聲譽后，就能夠很大程度上降低消息被監(jiān)聽者識別的概率。

在社會熱點，由RSU或者簇頭協助，大量車輛同步更換假名和聲譽。以車輛Vi為例，其主要過程如下：

（1）系統(tǒng)初始化。類似于文獻[16]所述，定義G1,G2,GT是三個q階循環(huán)隊列，假設G1,G2,GT是成對存在，并且具備性質e:G1×G2→GT，即所有和g1∈G1,g2∈G2（g1,g2分別為G1,G2的固定發(fā)生器）。服務器先選擇兩個隨機數作為萬能鑰匙，并計算（U、V為公鑰）。此外服務器選擇一個公開的抵制沖突的哈希函數：最后服務器發(fā)布系統(tǒng)參數params=

（2）密鑰產生。用戶Vi加入系統(tǒng)，服務器首先選擇一個隨機數計算此用戶的公鑰Ai，把授權的匿名密鑰ASKi返回給用戶。

（3）個人委任假名的生成。Vi在接收到ASKi后將其存儲在一個安全的地方，當外出使用時，會產生短期密鑰供用戶使用。其過程大致如下：

Vi先選擇l個隨機數作為短期私鑰，并計算公玥Yi=gxj,j=1,2,…,l。

對每個短期公鑰，用戶Vi計算匿名個人委任證書Certj。

所有的匿名個人委任證書Certj產生后，植入到OBU設備上。

（4）聲譽初始化。車輛Vi攜帶假名向聲譽服務器發(fā)送請求信息，聲譽服務器先驗證假名證書，然后把最新的聲譽值返回給Vi。

（5）假名和聲譽協同變換請求。車輛Vi停放在停車場里。停車場內的大量車輛向RSU或者簇頭發(fā)送個性化隱私保護請求。

（6）周期性的，RSU或者簇頭執(zhí)行個性化隱私保護算法（例如PK-PCS算法），規(guī)定變換時間和變換內容，并將結果廣播至停車場內的車輛。

（7）當變換時間到來，車輛同時變換假名和聲譽值。

以上過程中，車輛與RSU（或者簇頭）之間的通信經過了加密和認證，保證了通信安全。另外，與Lu等[1]提出的單純的假名變換策略PCS（Pseudonym Change Strategy）相比，本文的“假名-聲譽值”協同變換策略借助簇內其他車輛，同時變換了假名與聲譽值，可以有效地對付聲譽連接攻擊，這將在5.1節(jié)進行實驗驗證。

“假名-聲譽值”協同變換策略的核心組成部分是個性化隱私保護算法（PK-PCS算法），4.2節(jié)將詳細介紹。

4.2 個性化隱私保護算法

4.2.1 個性化隱私表示

經典的匿名算法核心是k匿名策略，場景是醫(yī)學數據庫的發(fā)布，防止泄露病人的健康隱私數據。但這種方法并不適用于車載自組網的場景。傳統(tǒng)的隱私保護算法是以發(fā)布者為中心，即根據發(fā)布中心的需求制訂隱私保護策略。而車載自組網需要以用戶為中心，即根據每個用戶的個性化需求制訂隱私保護策略。在車載自組網中，車輛的角色可以是一個服務提供者或是一個服務使用者。從服務提供者的角度來說，服務提供者可能更喜歡公布自己精確的聲譽值來獲得其他車輛的信任；而其他一些用戶可能更傾向于保護隱私，盡可能隱匿自己的信息。因此用戶具有不同的隱私保護和信任管理的要求。

本文提出一個以用戶為中心的隱私保護策略，更側重于滿足用戶的個性化需求，所謂的個性化主要體現在用戶對隱私保護水平提出的要求。執(zhí)行隱私保護算法之后，要求發(fā)布的數據中存在一定數量（至少是k）的在準標識符上不可區(qū)分的記錄，使攻擊者不能識別出隱私信息所屬的具體個體。使用k值作為車載自組網車輛的個性化隱私表示。例如，某車提出要求k=2，則表示該車希望實施隱私保護算法后，至少有1輛車與它在準標識符上不可區(qū)分。類似的，如果某車對其隱私保護不作要求，則用k=1表示。

4.2.2 PK-PCS算法

本文提出了一種用戶中心策略（User-centric Strategy），并設計了一個個性化隱私保護算法，稱為PK-PCS（Personalized K-anonymity Pseudonym Change Strategy）。

在車載自組網中，傳統(tǒng)的隱私保護問題是由一個數據中心處理數據，然后發(fā)布結果。沒有用戶提出個性化需求，發(fā)布中心也完全沒有考慮用戶的個性化要求。針對車載自組網中的個性化隱私保護問題，本文的PKPCS算法以用戶為中心，充分滿足用戶的個性化需求。該算法的主要思想是首先對用戶的個性化隱私需求進行分類，分類使用經典的聚類算法；然后，考慮每一類中車輛的準標識符（聲譽值），對其進行泛化，使其滿足個性化的k匿名要求。

本文例子中，用戶個性化需求有兩類，一類是k=1，即不要求隱私保護；另一類是k＞1，即要求隱私保護。RSU收到用戶的請求消息，數據集為A，消息包括用戶的假名、聲譽、隱私保護要求等要素。

PK-PCS算法介紹如下：

算法1PK-PCS

輸入：消息集M1

輸出：消息集M2

S1：遍歷消息集M1，將k=1的消息放入集合array_k[1]，將k=2的消息放入集合array_k[2]，…，將k=k0的消息放入集合array_k[k0]。

S2：for（i=2；i＜k0；i++）//從k=2開始聚類

S21：C=Cluster（array_k[i]，i）；//使用本文算法2按k=i進行聚類

S22：遍歷C，對C中的每個類g找到其聲譽最小值min（g），用該最小值對該類中的聲譽值進行向下泛化Floor（min（g））；

S3：將C加入消息集M2；

S4：end for

S5：D=array_k[2]至array_k[k0]未被聚類的消息；

S6：遍歷D

S61：對于消息msg（i），其聲譽為Ri，隱私保護需求為ki，若array_k[1]中存在n條消息聲譽為R且與Ri接近，并使得n+1≥ki，則將該n條消息與msg（i）聚為一類g；

S62：以R為基準，對該類g中的聲譽值進行向下泛化Floor（min（g））；

S63：將g移入消息集M2；

S7：將array_k[1]至array_k[k0]剩余的消息加入消息集M2。

PK-PCS算法先對用戶隱私保護需求進行分類。然后，對k≥2的用戶進行聚類，并對類中的所有用戶進行聲譽泛化，使聲譽這個準標識符達到k匿名標準，從而起到隱私保護的效果。最后再對剩余用戶進行處理，讓k=1的用戶盡量輔助其達到k匿名。

本文的聚類算法是基于經典的V-MADV（Variablesize Maximum Distance to Average Vector）算法[17]設計的。V-MADV算法克服MADV（Maximum Distance to Average Vector）需要預先確定參數的缺陷，能在不增加計算開銷的情況下，更加靈活調整組的大小。本文在得到聚類集合之后，找出各集合中的最小聲譽值，用最小聲譽值代替該集合中的全部聲譽，即對聲譽值進行向下泛化。具體的聚類算法介紹如下：

算法2聚類算法Cluster

輸入：數據集D1，K

輸出：微聚類集D2

S1：計算距離矩陣Matrix（D1）；

S2：C=計算數據集D1的中心點；

S3：while（數據集D1超過[K-1]條記錄未分配）

S31：e=選擇中心距離最遠的點；

S32：gi=BuildGroupFromRecord（e，D1，K）；//以最遠的點e開始聚類；

S33：gi=ExtendTheGroup（gi，D1，K）；//對余下的點，調整進入聚類；

S34：gi加入到D2中；

S4：end while

S5：將D1中未被聚類的記錄加入到D2中。

5 仿真實驗

實驗主要包括兩部分：（1）為了驗證PK-PCS算法對用戶位置隱私保護的能力。設計實驗，攻擊者實施聲譽連接攻擊，比較現有PCS算法和本文PK-PCS算法的抗攻擊能力。（2）PK-PCS算法對聲譽進行了泛化，損失了部分數據有用性。設計實驗，驗證PK-PCS算法對用戶滿意度的提升和對數據損失度的增加程度。

5.1 聲譽連接攻擊

本實驗實現了聲譽連接攻擊模型，測試本文提出的PK-PCS算法對聲譽連接攻擊的抵御能力，并且與現有的PCS（Pseudonym Change Strategy）[1]和K-PCS（K-anonymity Pseudonym Change Strategy）[18]方法進行對比。假設在社會熱點的車輛總數為M=50輛。假設需要隱私保護的用戶提出k=2的要求，不需要隱私保護的用戶提出k=1的要求。

攻擊者通過監(jiān)測到的消息對用戶進行聲譽連接攻擊。假設在某一時刻t，用戶A的聲譽值為RA，同一區(qū)域聲譽值為RA的用戶有k個，定義用戶A被識別的概率為1/k。若一個區(qū)域內有n輛車，定義一個區(qū)域內的用戶被攻擊概率為：

P越小則表明用戶受到聲譽連接攻擊的概率越小，隱私保護程度越好。

將本文提出的PK-PCS方法與PCS、K-PCS方法作對比。其中，PCS只定期變換假名，對聲譽不作處理；K-PCS在采用PCS的基礎上，對聲譽進行向下泛化策略，對聲譽做匿名處理。本文提出的PK-PCS采用先對用戶隱私需求分類后向下泛化的策略。

實驗結果如圖1所示，PCS的被攻擊概率最高，抵御聲譽連接攻擊的能力最差。PK-PCS算法抵御聲譽連接攻擊的能力與K-PCS接近。并且在社會熱點的車輛數目較多時，本文PK-PCS的抗攻擊能力略強。因此，與PCS和K-PCS相比，本文PK-PCS保護隱私的能力更強。

圖1 被攻擊概率

5.2 滿意度

本實驗主要評測使用PK-PCS算法用戶滿意度的情況，并與已有研究工作K-PCS和PCS進行對比。對PKPCS算法的評估，主要討論的是該算法的用戶滿意度、數據損失度。實驗假設所有用戶中有50%的用戶提出需要隱私保護(k＞1)，剩下50%用戶提出不需要隱私保護(k=1)的要求。

在本文中，用戶的滿意度是衡量用戶的個性化隱私保護需求是否滿足的重要指標。在本次實驗中，k表示用戶提出的k匿名要求，k′表示經過聲譽泛化后達到的k匿名水平。如果k′-k≥0，則認為用戶滿意。假設某一區(qū)域有n輛車，經過隱私保護后，滿意的車輛有a輛，

那么本文的滿意度定義為：

為了更好地觀察實驗現象，本文考慮在k值取不同值時用戶的滿意度。如圖2所示隨著k值的增大用戶的滿意度都有所下降，表明若是用戶提出的隱私保護要求越高，則越不容易被滿足。另外，從整體上看，PK-PCS方法的用戶滿意度明顯高于其他兩種方法，說明本文方法更能滿足用戶的個性化隱私保護需求。這是因為PK-PCS對隱私保護需求進行了分類處理。

圖2 滿意度

5.3 數據精度

PK-PCS算法了采用聲譽泛化的方法，在聲譽向下泛化時會損失一定的數據精度，本實驗評測聲譽泛化時數據精度損失問題，并與PCS和K-PCS對比。定義數據損失度為：

其中，n表示區(qū)域內車輛個數，Ri表示用戶i的聲譽值，Ri'表示聲譽泛化后的值。由定義可知，若聲譽泛化后的差異越大，則數據損失度越大。

實驗結果如圖3所示，PCS方法沒有數據損失，因為它沒有對數據進行泛化。本文方法PK-PCS的數據損失度明顯要小于K-PCS的數據損失度，而且隨著車輛數量的增多，數據損失度會逐漸降低，而K-PCS的數據損失度則仍然比較大。所以，本文方法PK-PCS的數據損失度介于PCS和K-PCS之間。即經過PK-PCS處理后，用戶聲譽仍然保持了有用性，可以用于信任管理。

圖3 數據損失度

6 結束語

在車載自組網中，信任管理系統(tǒng)是激勵內部成員提供高質量服務的一種關鍵技術。與其他網絡不同，車載自組網信任管理系統(tǒng)要使用假名機制以及假名變換策略保護用戶的位置隱私。本文提出假名和聲譽值協同變換的策略，該新策略以k匿名隱私保護理論和用戶中心策略為基礎，并且著重考慮了車載自組網用戶個性化隱私保護需求。本文提出的PK-PCS算法既滿足了用戶個性化隱私保護的要求，也考慮了全體用戶的隱私保護水平。實驗證明，本文提出的新策略在略微增加數據損失度的情況下，較大地提高了用戶滿意度，并且能夠很好地抵御聲譽連接攻擊。綜合來講，本文提出“假名-聲譽值”協同變換策略以及PK-PCS算法，現有假名機制和信任機制可以方便地應用進來，一方面保持了聲譽的可用性，另一方面又較好地保護了用戶的個性化隱私。

[1] Lu R，Li X，Luan T H，et al.Pseudonym changing at social spots：An effective strategy for location privacy in VANETs[J].IEEE Transactions on Vehicular Technology，2012，61（1）：86-96.

[2] Kamvar S D，Schlosser M T，Garcia-Molina H.The eigentrust algorithm for reputation management in P2P networks[C]//International Conference on World Wide Web，2003：640-651.

[3] Cho J H，Swami A，Chen I R.Modeling and analysis of trust management with trust chain optimization in mobile ad hoc networks[J].Journal of Network&Computer Applications，2012，35（3）：1001-1012.

[4] Fang W，Zhang C，Shi Z，et al.BTRES：Beta-based trust and reputation evaluation system for wireless sensor networks[J].Journal of Network&Computer Applications，2015，59.

[5] Chen Y M，Wei Y C.A beacon-based trust management system for enhancing user centric location privacy in VANETs[J].Journal of Communications&Networks，2013，15（2）：153-163.

[6] Mármol F G，Pérez G M.TRIP，a trust and reputation infrastructure-based proposal for vehicular ad hoc networks[J].Journal of Network&Computer Applications，2012，35（3）：934-941.

[7] Zhang J，Chen C，Cohen R.Trust modeling for message relay control and local action decision making in VANETs[J].Security&Communication Networks，2013，6（1）：1-14.

[8] Chen C，Zhang J，Cohen R，et al.A trust-based message propagation and evaluation framework in VANETs[C]//International Conference on Information Technology Convergence&Service，2010.

[9] Chen Y M，Wei Y C.A beacon-based trust management system for enhancing user centric location privacy in VANETs[J].Journal of Communications&Networks，2013，15（2）：153-163.

[10] Wei Y C，Chen Y M，Shan H L.Beacon-based trust management for location privacy enhancement VANETs[C]//NetworkOperationsandManagementSymposium，2011：1-8.

[11] Buttyán L，Holczer T，Vajda I.On the effectiveness of changing pseudonyms to provide location privacy in VANETs[C]//European Conference on Security and Privacy in Ad-Hoc and Sensor Networks.[S.l.]：Springer-Verlag，2007：2325-2342.

[12] Gerlach M，Guttler F.Privacy in VANETs using changing pseudonyms-Ideal and real[C]//IEEE 65th Vehicular Technology Conference，2007：2521-2525.

[13] Huang K L，Kanhere S S，Hu W.A privacy-preserving reputation system for participatory sensing[C]//Proceedings of the 2012 IEEE 37th Conference on Local Computer Networks，2012：10-18.

[14] Wang J，Zhang Y，Wang Y，et al.RPRep：A robust and privacy-preserving reputation management scheme for pseudonym-enabled VANETs[J].International Journal of Distributed Sensor Networks，2016，2016（3/4）：1-15.

[15] Michalas A，Komninos N.The lord of the sense：A privacypreservingreputationsystemforparticipatory sensing applications[C]//IEEE Symposium on Computers and Communication，2014：1-6.

[16] Dan B，Lynn B，Shacham H.Short signatures from the weil pairing[J].Journal of Chemical Physics，2010，118（24）：11079-11091.

[17] Solanas A，Martínez-Ballesté A，Domingo-Ferrer J.V-MDAV：A multivariate microaggregation with variable group size[C]//Seventh Compstat Symposium of the IASC，2006.

[18] Sweeney L.Achieving K-anonymity privacy protection using generalization，and suppression[J].International Journal of Uncertainty，Fuzziness and Knowledge-Based Systems，2012，10（5）：571-588.

WANG Jin,ZHANG Yonghui,GU Xiang.Trust-aware privacy-preserving scheme for VANET.Computer Engineering andApplications,2018,54（6）：62-67.

WANG Jin,ZHANG Yonghui,GU Xiang

School of Computer Science and Technology,Nantong University,Nantong,Jiangsu 226019,China

The trust management systems in Vehicular Ad-hoc Networks（VANETs）require users to disclose their reputation-related information,which will bring dangers to user privacy.To deal with the collusion between trust and privacy,a novel“pseudonym-reputation”collaborative change scheme is presented in this paper.This scheme is based on the k-anonymity theory and user-centric strategy.The personalized privacy protection is considered and a PK-PCS strategy is presented.Experiments show that the PK-PCS strategy is better than the traditional Pseudonym Change Strategy（PCS）strategy and K-anonymity Pseudonym Change Strategy（K-PCS）strategy in privacy preservation,satisfaction and data loss.The PK-PCS not only maintains the usefulness of trust,but also protects the privacy of users.

VehicularAd-hoc Network（VANET）;trust management;reputation;privacy preservation;pseudonym

車載自組網中的信任管理系統(tǒng)要求用戶的聲譽相關信息充分公開，這會給用戶隱私帶來隱患。為解決信任與隱私的沖突問題，提出“假名-聲譽值”協同變換策略。新策略以k匿名隱私保護理論和用戶中心策略為基礎，同時考慮了用戶個性化隱私保護需求，提出了PK-PCS策略。仿真實驗表明PK-PCS策略在車輛隱私保護、滿意度、數據損失方面整體優(yōu)于現有PCS策略和K-PCS策略。PK-PCS既保持了信任的有用性，又同時保護了用戶隱私。

車載自組網；信任管理；聲譽；隱私保護；假名

2016-10-31

2017-01-04

1002-8331（2018）06-0062-06

A

TP393

10.3778/j.issn.1002-8331.1610-0378

國家自然科學基金青年基金（No.61402244）。

王進（1981—），男，博士，副教授，碩士生導師，中國計算機學會高級會員，研究方向為信息安全，E-mail：wj@ntu.edu.cn；張永慧（1990—），女，碩士研究生，研究方向為信息安全；顧翔（1973—），男，博士，教授，研究方向為計算機網絡、無線傳感器網絡。