馮霞，劉亞偉

?

基于聯(lián)合熵隱私保護(hù)的自適應(yīng)動(dòng)態(tài)Mix-zone方案

馮霞1,2，劉亞偉3

（1. 江蘇大學(xué)汽車(chē)與交通工程學(xué)院，江蘇 鎮(zhèn)江 212013；2. 江蘇省工業(yè)網(wǎng)絡(luò)安全技術(shù)重點(diǎn)實(shí)驗(yàn)室，江蘇 鎮(zhèn)江 212013；3. 安徽大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，安徽 合肥 230601）

針對(duì)車(chē)聯(lián)網(wǎng)中Mix-zone方案靈活性低以及隱私保護(hù)程度對(duì)用戶(hù)缺乏透明度的問(wèn)題，提出一種交通自適應(yīng)的動(dòng)態(tài)Mix-zone創(chuàng)建方法，可以根據(jù)道路交通狀況為車(chē)輛動(dòng)態(tài)創(chuàng)建Mix-zone，隨時(shí)隨地為車(chē)輛創(chuàng)建Mix-zone進(jìn)行假名更換，建立基于身份和位置的隱私保護(hù)；提出對(duì)Mix-zone進(jìn)行隱私分級(jí)的聯(lián)合熵度量模型，可通過(guò)歸一化的定量計(jì)算結(jié)果度量Mix-zone達(dá)到當(dāng)前區(qū)域車(chē)輛隱私需求的程度。使用深圳市某區(qū)的出租車(chē)輛的軌跡數(shù)據(jù)驗(yàn)證了聯(lián)合熵隱私度量模型及基于該模型的Mix-zone創(chuàng)建方案，實(shí)驗(yàn)結(jié)果表明，該聯(lián)合熵模型能刻畫(huà)交通場(chǎng)景中參數(shù)與隱私保護(hù)程度的正比關(guān)系，在聯(lián)合熵所表示的無(wú)序性指標(biāo)上，所提Mix-zone創(chuàng)建方案相較其他方案，具有更好的隱私保護(hù)效果。

車(chē)聯(lián)網(wǎng)；Mix-zone；聯(lián)合熵；隱私保護(hù)

1 引言

車(chē)聯(lián)網(wǎng)（Internet of vehicle）融合現(xiàn)代通信與網(wǎng)絡(luò)技術(shù)，通過(guò)人、車(chē)、路、云平臺(tái)實(shí)時(shí)關(guān)聯(lián)與感知，實(shí)現(xiàn)智能交通系統(tǒng)。比較典型的有基于位置的服務(wù)（LBS, location-based service）、駕駛輔助和事故警告等。在車(chē)聯(lián)網(wǎng)中，車(chē)輛周期性地廣播交通車(chē)輛的當(dāng)前位置、車(chē)輛速度、車(chē)流情況等相關(guān)信息給其周?chē)乃熊?chē)輛，惡意車(chē)輛可以通過(guò)關(guān)聯(lián)消息與發(fā)送者，獲取車(chē)輛駕駛者的隱私信息，這對(duì)車(chē)輛用戶(hù)的隱私造成潛在的威脅[1~4]，極大阻礙了車(chē)聯(lián)網(wǎng)的推廣應(yīng)用。

針對(duì)車(chē)聯(lián)網(wǎng)中的用戶(hù)隱私保護(hù)技術(shù)，主要有群簽名、Mix-zone（淆亂區(qū)域）這2類(lèi)實(shí)施方案，這些方案的本質(zhì)是利用密碼學(xué)或映射關(guān)系來(lái)淆亂車(chē)輛真實(shí)ID、位置以及用戶(hù)名之間的關(guān)聯(lián)。簽名方案依靠公鑰加密技術(shù)實(shí)現(xiàn)了身份認(rèn)證和軌跡隱私保護(hù)統(tǒng)一，但基于密碼學(xué)匿名認(rèn)證技術(shù)挑戰(zhàn)了車(chē)輛網(wǎng)絡(luò)認(rèn)證的物理瓶頸，即路側(cè)單元（RSU, road side unit）作為車(chē)聯(lián)網(wǎng)服務(wù)的接入點(diǎn)計(jì)算和通信能力有限。文獻(xiàn)[5]設(shè)計(jì)了一種批量認(rèn)證的密鑰管理機(jī)制，將認(rèn)證效率提高到250次/秒，文獻(xiàn)[6]更是采用代理認(rèn)證的新模式將RSU簽發(fā)認(rèn)證證書(shū)的速度提高到6 200次/秒，但是頻繁地認(rèn)證和用戶(hù)的隱私保護(hù)需求依然在挑戰(zhàn)RSU物理能力的瓶頸。Beresford[7]在2004年提出淆亂區(qū)域（Mix-zone）的概念，Buttyan等[8]首次將Mix-zone方法用于車(chē)聯(lián)網(wǎng)，其通過(guò)建立特定淆亂區(qū)域的方法實(shí)現(xiàn)了隱私保護(hù)。Ying等[9]允許車(chē)輛根據(jù)需求提出假名更換需求，系統(tǒng)通過(guò)創(chuàng)建Mix-zone完成該請(qǐng)求。隨后，淆亂區(qū)域成為車(chē)輛隱私保護(hù)的熱門(mén)技術(shù)，其構(gòu)建的方式也涌現(xiàn)出諸如基于特殊位置[10]、安靜時(shí)段[11]、加密空間[12,13]和基于通信代理[13]等幾種典型方式。這些方案都重點(diǎn)關(guān)注隱私保護(hù)的效果，不同程度地忽略了Mix-zone的創(chuàng)建效率的考慮，在Mix-zone的創(chuàng)建效率和隱私保護(hù)效果的矛盾選擇中缺乏突破性的方法。

本文提出一種自適應(yīng)的動(dòng)態(tài)Mix-zone創(chuàng)建方法，以基于聯(lián)合熵的安全隱私模型對(duì)Mix-zone進(jìn)行隱私度量，而車(chē)輛可以根據(jù)道路交通狀況判斷Mix-zone的保護(hù)等級(jí)，進(jìn)而決定是否進(jìn)行動(dòng)態(tài)的Mix-zone，通過(guò)對(duì)Mix-zone分級(jí)和用戶(hù)需求的個(gè)性化差異，實(shí)現(xiàn)了創(chuàng)建效率和隱私需求的矛盾統(tǒng)一。

2 相關(guān)工作

車(chē)聯(lián)網(wǎng)中，隱私保護(hù)需求主要體現(xiàn)在通信過(guò)程中，需要隱藏通信雙方的身份、位置、信息內(nèi)容等來(lái)淆亂車(chē)輛身份和位置關(guān)聯(lián)關(guān)系。常用的技術(shù)有基于簽名的方案和基于Mix-zone的假名方案，前者用密碼學(xué)的簽名方式淆亂用戶(hù)的真實(shí)ID，從身份匿名來(lái)保護(hù)隱私；后者通過(guò)淆亂車(chē)輛與標(biāo)記的對(duì)應(yīng)關(guān)系，來(lái)實(shí)現(xiàn)隱私保護(hù)。假名方案的效率主要來(lái)自簽名認(rèn)證的模式和算法，屬于純密碼學(xué)的內(nèi)容。本文主要考慮在Mix-zone方案中折中創(chuàng)建效率與隱私保護(hù)效果。當(dāng)前主要的Mix-zone方案包括以下6類(lèi)。

1) 基于特殊位置的Mix-zone，即在事先指定的某個(gè)特殊地理區(qū)域內(nèi)更新假名，以達(dá)到車(chē)輛混淆和隱藏目的。Lu等[10]提出在車(chē)輛聚集地區(qū)，如交通信號(hào)等處、大型停車(chē)場(chǎng)等社交點(diǎn)建立Mix-zone，同時(shí)用博弈論完成證明。但是，因?yàn)橹荒茉诠潭ǖ攸c(diǎn)更換假名，Mix-zone的創(chuàng)建不夠靈活，為了滿(mǎn)足假名更換需求，甚至有些車(chē)輛通過(guò)更改行駛路徑達(dá)到更改假名的目的。Mix-zone的匿名要求也是固定位置的Mix-zone的一個(gè)挑戰(zhàn)。

2) 基于靜默時(shí)段的Mix-zone，即車(chē)輛自己隨機(jī)選擇一段時(shí)間不發(fā)送分組（即靜默），靜默之后再更新假名。Buttyan等[11]提出了在車(chē)輛低速行駛時(shí)設(shè)置靜默時(shí)段的SLOW方案。在方案中，SLOW設(shè)置靜默時(shí)段的位置是紅綠燈處。該方案中車(chē)輛更換其假名后將進(jìn)入靜默周期，一些對(duì)時(shí)間敏感的服務(wù)有可能無(wú)法執(zhí)行。

3) 加密Mix-zone，是指通過(guò)加密區(qū)域的方式來(lái)保證更換假名的不可關(guān)聯(lián)性。Dahl等[12]則在十字路口構(gòu)造加密網(wǎng)絡(luò)模型。但方案沒(méi)有考慮到道路網(wǎng)絡(luò)對(duì)Mix-zone創(chuàng)建的影響，假設(shè)某Mix-zone被道路網(wǎng)絡(luò)分割成相互獨(dú)立的部分，則小型Mix-zone將無(wú)法達(dá)到-匿名所需安全要求。Guo等[13]提出通過(guò)在選定的路口構(gòu)建加密Mix-zone，并由RSU負(fù)責(zé)向進(jìn)入該區(qū)域的車(chē)輛分發(fā)會(huì)話(huà)密鑰。

4) Mix-zone通信代理，是指用代理方式來(lái)實(shí)現(xiàn)在Mix-zone內(nèi)的通信。Scheuer等[14]針對(duì)城市交叉口及高速分叉路口，通過(guò)代理來(lái)實(shí)現(xiàn)在Mix-zone內(nèi)更換假名，從而降低了車(chē)輛和RSU的開(kāi)銷(xiāo)，以代理的絕對(duì)可信假設(shè)提升了隱私保護(hù)的水平。

5) MobiMix方案[15,16]，在考慮Mix-zone基礎(chǔ)理論的同時(shí)，將地理信息、用戶(hù)的密度和行為統(tǒng)計(jì)數(shù)據(jù)、空間和時(shí)間的運(yùn)動(dòng)模式都加入了Mix-zone模型，提高了攻擊檢測(cè)能力。

6) 混合方案，該類(lèi)方案綜合了Mix-zone的假名方案和群簽名環(huán)簽名方案的優(yōu)勢(shì)以克服其不足，獲得更優(yōu)的綜合性能。文獻(xiàn)[17]方案中允許車(chē)輛根據(jù)需要提出假名更換需求，從而要求系統(tǒng)為其創(chuàng)建Mix-zone。Emara[18]提出的混合方案，綜合應(yīng)用了3種方式，使用假名、Mix-zone和數(shù)字簽名的思想。通過(guò)組建車(chē)輛的群導(dǎo)航提供車(chē)輛匿名機(jī)制，隨機(jī)安靜時(shí)段提高了位置隱私，簽名密鑰管理實(shí)現(xiàn)安全與隱私的平衡，極大減少車(chē)輛被位置跟蹤的可能性。

本文的基礎(chǔ)方案是在Mix-zone存續(xù)期間引入群簽名機(jī)制，保證該階段的通信隱私安全，以避免被攻擊者通過(guò)收集、分析等手段進(jìn)行身份的關(guān)聯(lián)。然而本文的主要貢獻(xiàn)是提出基于聯(lián)合熵的Mix-zone隱私度量模型，通過(guò)對(duì)交通場(chǎng)景的分析，提前評(píng)估該地區(qū)建立Mix-zone的隱私保護(hù)效果，為系統(tǒng)構(gòu)建最優(yōu)Mix-zone最大限度保護(hù)車(chē)輛隱私提供判斷依據(jù)。

3 網(wǎng)絡(luò)結(jié)構(gòu)與形式化描述

本文采用文獻(xiàn)[19]給出的基于位置服務(wù)的系統(tǒng)模型，并在此基礎(chǔ)上，給出基于無(wú)向帶權(quán)圖的形式定義，為后續(xù)對(duì)Mix-zone進(jìn)行基于聯(lián)合熵的隱私度量提供基礎(chǔ)。

3.1 車(chē)聯(lián)網(wǎng)體系結(jié)構(gòu)

車(chē)聯(lián)網(wǎng)主要包括4個(gè)部分：可信機(jī)構(gòu)（TA, trusted authority）、基于位置服務(wù)（LBS, location based service）、RSU以及裝配有車(chē)載單元（OBU, on board unit）的車(chē)輛（用V來(lái)表示）。如圖1所示，各部分基本功能如下。

1) 可信機(jī)構(gòu)（TA）

服務(wù)器TA是絕對(duì)安全的信任實(shí)體，負(fù)責(zé)生成系統(tǒng)全局的安全參數(shù)、為各參與方頒發(fā)公私鑰以及車(chē)輛的認(rèn)證參數(shù)，TA存儲(chǔ)著所有經(jīng)過(guò)認(rèn)證的車(chē)輛用戶(hù)的身份信息，經(jīng)過(guò)TA授權(quán)后，可以調(diào)查車(chē)輛的既往位置信息等，因此，在本文方法中需要協(xié)助車(chē)輛構(gòu)建動(dòng)態(tài)Mix-zone，它提供認(rèn)證、簽名和集中式的管理服務(wù)。

2) 路側(cè)單元（RSU）

3) 車(chē)輛（V）

4) 基于位置服務(wù)（LBS）

LBS是車(chē)聯(lián)網(wǎng)中的位置應(yīng)用服務(wù)器，車(chē)輛將位置服務(wù)請(qǐng)求發(fā)送給LBS，服務(wù)器對(duì)車(chē)輛的請(qǐng)求內(nèi)容分析處理過(guò)后，把位置服務(wù)數(shù)據(jù)通過(guò)RSU反饋給車(chē)輛。

圖1 車(chē)聯(lián)網(wǎng)結(jié)構(gòu)

3.2 無(wú)向帶權(quán)圖模型

交通場(chǎng)景的某一個(gè)區(qū)域，若準(zhǔn)備設(shè)置成Mix-zone，為了表述清晰，可以描述成以RSU為頂點(diǎn)的無(wú)向帶權(quán)連通圖，具體定義如下。

(4)

在車(chē)聯(lián)網(wǎng)交通環(huán)境里，本文用定義1所給出的點(diǎn)權(quán)表示該RSU通信范圍內(nèi)車(chē)輛的數(shù)目，用邊權(quán)表示該道路上所能正常通行的最多車(chē)輛數(shù)目，即在行車(chē)經(jīng)驗(yàn)上一個(gè)理論的最大值。參考文獻(xiàn)[20]對(duì)城市車(chē)輛移動(dòng)軌跡的統(tǒng)計(jì)和分析結(jié)論，車(chē)輛達(dá)到道路的狀況遵循泊松概率分布過(guò)程，則邊權(quán)就是該泊松分布的頂點(diǎn)值。顯然，交通無(wú)向帶權(quán)圖具有性質(zhì)1的特點(diǎn)。

3.3 Mix-zone的形式化描述

Mix-zone是一個(gè)典型的交通區(qū)域，符合定義1所述的形式化記錄。然而，Mix-zone作為淆亂車(chē)輛身份的功能區(qū)，主要體現(xiàn)在交叉口，因?yàn)樵诘缆飞希?chē)輛在時(shí)序上的規(guī)律性很容易被跟蹤。因此，Mix-zone的隱私保護(hù)能力主要由3個(gè)值確定，分別是該區(qū)域所能容納的最大平均交通流、每個(gè)頂點(diǎn)停留的瞬時(shí)車(chē)輛數(shù)目以及車(chē)輛在該區(qū)域各頂點(diǎn)的平均停留時(shí)間。

攻擊者根據(jù)車(chē)輛舊的假名（駛進(jìn)Mix-zone之前）映射到新的假名（駛出Mix-zone之后），如果時(shí)刻是完全無(wú)依據(jù)猜測(cè)，則每輛車(chē)被猜中的概率為。假設(shè)攻擊者獲得了某些或?qū)蝈e(cuò)的信息，對(duì)某車(chē)輛舊假名對(duì)應(yīng)駛出Mix-zone車(chē)輛進(jìn)行有區(qū)別的概率賦值，將該假名對(duì)應(yīng)到車(chē)輛的概率為，則有

3.4 Mix-zone的隱私特征與車(chē)輛隱私期望

而該時(shí)刻Mix-zone滿(mǎn)足用戶(hù)需求的判斷式為

表1 主要參數(shù)

4 基于聯(lián)合熵的Mix-zone隱私模型

這樣，整個(gè)Mix-zone系統(tǒng)的聯(lián)合熵定義為

整個(gè)Mix-zone系統(tǒng)的隱私保護(hù)等級(jí)為

Mix-zone隱私保護(hù)等級(jí)保護(hù)評(píng)價(jià)系統(tǒng)的目的是使用戶(hù)根據(jù)交通場(chǎng)景，選擇新創(chuàng)建的Mix-zone的時(shí)機(jī)，使隱私保護(hù)等級(jí)與標(biāo)準(zhǔn)定義之間的加權(quán)廣義距離之和最小，即

因此，求最優(yōu)Mix-zone是一個(gè)雙目標(biāo)優(yōu)化問(wèn)題，為解決此問(wèn)題，構(gòu)造雙目標(biāo)函數(shù)，最終獲得本文的熵極大化隱私保護(hù)模型。

5 自適應(yīng)動(dòng)態(tài)Mix-zone創(chuàng)建方案

本節(jié)首先描述了基礎(chǔ)的Mix-zone創(chuàng)建算法，該算法可獲得Mix-zone度量的初始輸入值。然而，為了獲得最優(yōu)的Mix-zone性能，需要?jiǎng)?chuàng)建方法支持Mix-zone持續(xù)期間，車(chē)輛節(jié)點(diǎn)之間使用群簽名認(rèn)證進(jìn)行適度通信，而不影響假名更新的隱私保護(hù)性能；然后，在基礎(chǔ)算法中嵌入群簽名協(xié)議，可以支持車(chē)輛自適應(yīng)動(dòng)態(tài)創(chuàng)建Mix-zone的選擇。

5.1 基礎(chǔ)方案概述

算法1 動(dòng)態(tài)Mix-zone創(chuàng)建

輸出 Mix-zone

6) 計(jì)算車(chē)輛的假名使用時(shí)間

7) 結(jié)束

14) 結(jié)束

15) 結(jié)束

算法1滿(mǎn)足了動(dòng)態(tài)創(chuàng)建Mix-zone的要求，但其不能保證生成的Mix-zone最大化車(chē)輛的隱私保護(hù)機(jī)制。5.2節(jié)將根據(jù)基礎(chǔ)方案提出新型的基于聯(lián)合熵的隱私度量方法，并根據(jù)該度量方法實(shí)現(xiàn)最優(yōu)動(dòng)態(tài)Mix-zone的創(chuàng)建。

5.2 基于聯(lián)合熵的動(dòng)態(tài)Mix-zone創(chuàng)建方案

為了最大化Mix-zone的聯(lián)合熵，即創(chuàng)建最優(yōu)Mix-zone。本文根據(jù)當(dāng)前道路中交通狀況進(jìn)行Mix-zone創(chuàng)建的同時(shí)，必須實(shí)時(shí)計(jì)算出其聯(lián)合熵，動(dòng)態(tài)選擇最優(yōu)Mix-zone。基于聯(lián)合熵隱私保護(hù)的Mix-zone方案主要由3個(gè)階段組成：車(chē)輛證書(shū)初始化、選擇最優(yōu)Mix-zone和基于群簽名的Mix-zone期間的通信。

圖3 車(chē)輛證書(shū)初始化

算法2 基于聯(lián)合熵的動(dòng)態(tài)自適應(yīng)Mix-zone 創(chuàng)建

輸出 Mix-zone

② 深度優(yōu)先搜索

⑨ 結(jié)束

?結(jié)束

? 通過(guò)式(25)計(jì)算；

? 選擇聯(lián)合熵最大的Mix-zone；

?結(jié)束

6 性能分析

本文使用深圳市出租車(chē)[23]GPS軌跡數(shù)據(jù)集評(píng)估動(dòng)態(tài)Mix-zone的方案性能。本文獲取的數(shù)據(jù)集一天大約有80萬(wàn)條出租車(chē)GPS數(shù)據(jù)，每輛出租車(chē)的GPS數(shù)據(jù)最小上傳時(shí)間間隔為15 s。由于深圳市并未部署車(chē)聯(lián)網(wǎng)，在實(shí)驗(yàn)中假設(shè)RSU在道路網(wǎng)絡(luò)中是全覆蓋的，且交叉路口均設(shè)有RSU。本文算法使用Python 3.5實(shí)現(xiàn)，仿真計(jì)算機(jī)硬件配置為Intel i5的CPU和8 GB的內(nèi)存。

圖4 Mix-zone交通流對(duì)隱私保護(hù)效果的影響

圖5展示了Mix-zone存續(xù)期間每個(gè)頂點(diǎn)停留的瞬時(shí)車(chē)輛數(shù)目和所提供隱私保護(hù)性能的關(guān)系。同樣考慮7:00~9:00的高交通流量和20:00~22:00的低交通流量這2種極端情形，選取不同Mix-zone，分析每個(gè)頂點(diǎn)停留的瞬時(shí)車(chē)輛數(shù)目對(duì)滿(mǎn)足隱私保護(hù)要求的車(chē)輛比例的影響。數(shù)據(jù)表明，瞬時(shí)車(chē)輛數(shù)目越多，車(chē)輛存續(xù)時(shí)間越長(zhǎng)，隱私效果越好，這說(shuō)明本模型描述與真實(shí)情況相符。

圖5 Mix-zone權(quán)值與隱私保護(hù)的關(guān)系

圖6選取了在固定區(qū)域，持續(xù)時(shí)間僅為7:00~22:00時(shí)，本文方案與文獻(xiàn)[5]方案、文獻(xiàn)[9]方案等所建立Mix-zone的熵值的對(duì)比分析，給出了Mix-zone區(qū)域不同交叉路口停留的瞬時(shí)車(chē)輛數(shù)目、Mix-zone存續(xù)時(shí)間與聯(lián)合熵值之間的關(guān)系。需要說(shuō)明的是，由于本文實(shí)驗(yàn)數(shù)據(jù)來(lái)自真實(shí)數(shù)據(jù)，因而“容納的最大平均交通流”在地圖中是固定的，并作為比較因素之一。由于聯(lián)合熵用來(lái)刻畫(huà)Mix-zone區(qū)域中的車(chē)輛無(wú)關(guān)聯(lián)程度：聯(lián)合熵越大，該區(qū)域車(chē)輛的身份信息的模糊程度就越高。因此，當(dāng)該車(chē)輛離開(kāi)Mix-zone時(shí)，攻擊者成功關(guān)聯(lián)車(chē)輛新舊假名的概率就越低，從而達(dá)到對(duì)車(chē)輛隱私信息保護(hù)的目的。本文系統(tǒng)根據(jù)車(chē)輛位置及其所處路段的實(shí)時(shí)交通狀況創(chuàng)建Mix-zone，同時(shí)計(jì)算聯(lián)合熵用以預(yù)測(cè)最佳Mix-zone，圖6的顯示結(jié)果證明了這一點(diǎn)，這說(shuō)明本文方法體現(xiàn)了理論模型需要追求的效果，且所建立的Mix-zone在聯(lián)合熵值所體現(xiàn)的隱私保護(hù)效果上優(yōu)于其他方法。

圖6 不同方案中Mix-zone車(chē)輛總數(shù)、存續(xù)時(shí)間與聯(lián)合熵之間的關(guān)系

7 結(jié)束語(yǔ)

本文提出了基于聯(lián)合熵的自適應(yīng)動(dòng)態(tài)Mix-zone創(chuàng)建方案來(lái)保護(hù)車(chē)輛用戶(hù)的隱私，旨在解決動(dòng)態(tài)創(chuàng)建的Mix-zone中隱私保護(hù)效果及用戶(hù)需求之間的匹配問(wèn)題，首先，提出基于聯(lián)合熵的自適應(yīng)度量方法用于定量評(píng)估Mix-zone的隱私等級(jí)，在動(dòng)態(tài)創(chuàng)建過(guò)程中選擇聯(lián)合熵值最優(yōu)的Mix-zone創(chuàng)建方法。以深圳市出租車(chē)GPS軌跡數(shù)據(jù)和道路交通圖為基礎(chǔ)數(shù)據(jù)來(lái)仿真評(píng)估所提出方案的性能，結(jié)果表明，該評(píng)估模型反映了交通因素對(duì)隱私效果的實(shí)際影響，且所提方法和同類(lèi)方法相比，在該模型下具有更優(yōu)的隱私保護(hù)效果。

[1] LIU X, ZHAO H, PAN M, et al. Traffic-aware multiple mix zone placement for protecting location privacy[C]//IEEE INFOCOM. 2012: 972-980.

[2] ZHANG L, WU Q, QIN B, et al. Practical secure and privacy-preserving scheme for value-added applications in VANETs[J]. Computer Communications, 2015, 71:50-60.

[3] 劉怡良, 石亞麗, 馮蒿, 等. 車(chē)聯(lián)網(wǎng)中基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方案[J]. 通信學(xué)報(bào), 2014,72(35):233-239.

LIU Y L, SHI Y L,FENG G. Intrusion detection scheme based on neural network in vehicle network[J]. Journal of Communications, 2014, 72(35): 233-239.

[4] FERRAG M, MAGLARAS L, AHMIM A. Privacy-preserving schemes for Ad Hoc social networks: a survey[J]. IEEE Transaction on Communications Surveys & Tutorials, 2017, 19(4):3015-3045.

[5] LU R, LIN X, LUAN T H, et al. Pseudonym changing at social spots: an effective strategy for location privacy in VANETs[J]. IEEE Transactions on Vehicular Technology, 2012, 61(1):86-96.

[6] LIU Y, WANG L, CHEN H H. Message authentication using proxy vehicles in vehicular ad hoc networks[J]. IEEE Transactions on Vehicular Technology, 2015, 64(8):3697-3710.

[7] BERESFORD A R, STAJANO F. Mix zones: user privacy in location-aware services[C]//IEEE Conference on Pervasive Computing and Communications Workshops. 2004: 127-132.

[8] BUTTYAN L, HOLCZER T, VAJDA I. On the effectiveness of changing pseudonyms to provide location privacy in VANETs[C]// European Conference on Security and Privacy in Ad-Hoc and Sensor Networks. 2007:129-141.

[9] YING B, MAKRAKIS D. Pseudonym changes scheme based on candidate-location-list in vehicular networks[C]//IEEE International Conference on Communications. 2015:7292-7297.

[10] LU R, LIN X, LUAN T H, et al. Pseudonym changing at social spots: an effective strategy for location privacy in VANETs[J]. IEEE Transactions on Vehicular Technology, 2012, 61(1):86-96.

[11] BUTTYAN L, HOLCZER T, WEIMERSKIRCH A, et al. SLOW: a practical pseudonym changing scheme for location privacy in VANETs[C]// IEEE Vehicular Networking Conference. 2010:1-8.

[12] DAHL M, DELAUNE S, STEEL G. Formal analysis of privacy for vehicular mix-zones[C]//European Symposium on Research in Computer Security Computer Security(ESORICS2010). 2010: 55-70.

[13] GUO N, MA L, GAO T. Independent mix zone for location privacy in vehicular networks[J]. IEEE Access, doi: 10.1109/ACCESS.2018. 2800907.

[14] SCHEUER F, FUCHS K P, FEDERRATH H. A safety-preserving mix zone for VANETs[C]//International Conference on Trust, Privacy and Security. 2011:37-48.

[15] PALANISAMY B, LIU L. Attack-resilient mix-zones over road networks: architecture and algorithms[J]. IEEE Transactions on Mobile Computing, 2014, 14(3):495-508.

[16] PALANISAMY B, LIU L. MobiMix: protecting location privacy with mix-zones over road networks[C]//International Conference on Data Engineering. 2011: 494-505.

[17] SAMPIGETHAYA K, LI M Y, HUANG L P, et al. Amoeba: robust location privacy scheme for VANET[J]. IEEE Journal on Selected Areas in Communications, 2007, 25(8): 1569-1589.

[18] EMARA K. Safety-aware location privacy in VANET: evaluation and comparison[J]. IEEE Transactions on Vehicular Technology, 2017, 66(12): 10718-10731.

[19] ZENG S, CHEN Y, TAN S, et al. Concurrently deniable ring authentication and its application to LBS in VANETs[J]. Peer-to-Peer Networking and Applications, 2016, 10(4):1-13.

[20] HOSMA M. A study of the source traffic generator using poisson distribution for ABR service[J]. Modelling and Simulation in Engineering. 2012 (1):1-6.

[21] JAYNES E T. Information theory and statistical mechanics[J]. Physical Review,1957,106(4):620-630.

[22] DAN B, BOYEN X, SHACHAM H. Short group signatures[J]. Advances in Cryptology-CRYPTO, 2004, 22(6):41-55.

[23] 劉亞偉. VANETs中安全認(rèn)證與隱私保護(hù)的研究[D]. 合肥: 安徽大學(xué), 2017.

LIU Y W. Research on security authentication and privacy preservation in VANETs[D]. Hefei: Anhui University,2017.

Dynamic Mix-zone scheme with joint-entropybased metric for privacy-perserving in IoV

FENG Xia1,2,LIUYawei3

1. School of Automotive and Traffic Engineering, University of Jiangsu, Zhenjiang 212013,China 2. Jiangsu Key Laboratory of Security Technology for Industrial Cyberspace, Zhenjiang 212013, China 3. School of Computer Science and Technology, University of Anhui, Hefei 230601, China

Aiming at the weak flexibility and lack of users’ transparency existing in the current Mix-zone schemes for Internet of vehicle (IoV), a dynamic was proposed for Mix-zone construction with traffic adaption, which could construct a Mix-zone for the vehicles dynamically according to the traffic conditions for changing pseudonym at anytime and anywhere. This kind of Mix-zone could achieve privacy-preserving based on the identity and location. In addition, a novel traffic-adaptive metric was presented for classifying the privacy leveled in Mix-zone, which applied the normalization quantitation to measure the degree of Mix-zone’s privacy demanding by the current region. It was verified that the joint entropy-based privacy measuring model and the Mix-zone construction scheme by utilizing the trajectory data of taxis in certain district in Shenzhen city. The experimental shows that the proposed combination entropy-based model could depict the proportional relationship between the traffic scene parameters and the privacy-preserving degrees. The scheme is better in performance over the related methods, and strikes a good balance between location privacy and service usability.

Internet of vehicle, Mix-zone, joint-entropy, privacy-preserving

TP391

A

10.11959/j.issn.1000-436x.2018038

2017-09-30；

2018-01-20

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.U1736216, No.61472001, No.61702233）；江蘇省重點(diǎn)研發(fā)計(jì)劃基金資助項(xiàng)目（No.BE2015136）

The National Natural Science Foundation of China (No.U1736216, No.61472001, No.61702233), The Key Research and Development Plan Project of Jiangsu Province (No.BE2015136)

馮霞（1983-），女，江蘇鎮(zhèn)江人，博士，江蘇大學(xué)講師，主要研究方向?yàn)檐?chē)聯(lián)網(wǎng)安全。

劉亞偉（1994-），男，安徽阜陽(yáng)人，安徽大學(xué)碩士生，主要研究方向?yàn)檐?chē)聯(lián)網(wǎng)安全、云計(jì)算等。