基于聯合熵隱私保護的自適應動態Mix-zone方案

馮霞，劉亞偉

?

基于聯合熵隱私保護的自適應動態Mix-zone方案

馮霞1,2，劉亞偉3

（1. 江蘇大學汽車與交通工程學院，江蘇 鎮江 212013；2. 江蘇省工業網絡安全技術重點實驗室，江蘇 鎮江 212013；3. 安徽大學計算機科學與技術學院，安徽 合肥 230601）

針對車聯網中Mix-zone方案靈活性低以及隱私保護程度對用戶缺乏透明度的問題，提出一種交通自適應的動態Mix-zone創建方法，可以根據道路交通狀況為車輛動態創建Mix-zone，隨時隨地為車輛創建Mix-zone進行假名更換，建立基于身份和位置的隱私保護；提出對Mix-zone進行隱私分級的聯合熵度量模型，可通過歸一化的定量計算結果度量Mix-zone達到當前區域車輛隱私需求的程度。使用深圳市某區的出租車輛的軌跡數據驗證了聯合熵隱私度量模型及基于該模型的Mix-zone創建方案，實驗結果表明，該聯合熵模型能刻畫交通場景中參數與隱私保護程度的正比關系，在聯合熵所表示的無序性指標上，所提Mix-zone創建方案相較其他方案，具有更好的隱私保護效果。

車聯網；Mix-zone；聯合熵；隱私保護

1 引言

車聯網（Internet of vehicle）融合現代通信與網絡技術，通過人、車、路、云平臺實時關聯與感知，實現智能交通系統。比較典型的有基于位置的服務（LBS, location-based service）、駕駛輔助和事故警告等。在車聯網中，車輛周期性地廣播交通車輛的當前位置、車輛速度、車流情況等相關信息給其周圍的所有車輛，惡意車輛可以通過關聯消息與發送者，獲取車輛駕駛者的隱私信息，這對車輛用戶的隱私造成潛在的威脅[1~4]，極大阻礙了車聯網的推廣應用。

針對車聯網中的用戶隱私保護技術，主要有群簽名、Mix-zone（淆亂區域）這2類實施方案，這些方案的本質是利用密碼學或映射關系來淆亂車輛真實ID、位置以及用戶名之間的關聯。簽名方案依靠公鑰加密技術實現了身份認證和軌跡隱私保護統一，但基于密碼學匿名認證技術挑戰了車輛網絡認證的物理瓶頸，即路側單元（RSU, road side unit）作為車聯網服務的接入點計算和通信能力有限。文獻[5]設計了一種批量認證的密鑰管理機制，將認證效率提高到250次/秒，文獻[6]更是采用代理認證的新模式將RSU簽發認證證書的速度提高到6 200次/秒，但是頻繁地認證和用戶的隱私保護需求依然在挑戰RSU物理能力的瓶頸。Beresford[7]在2004年提出淆亂區域（Mix-zone）的概念，Buttyan等[8]首次將Mix-zone方法用于車聯網，其通過建立特定淆亂區域的方法實現了隱私保護。Ying等[9]允許車輛根據需求提出假名更換需求，系統通過創建Mix-zone完成該請求。隨后，淆亂區域成為車輛隱私保護的熱門技術，其構建的方式也涌現出諸如基于特殊位置[10]、安靜時段[11]、加密空間[12,13]和基于通信代理[13]等幾種典型方式。這些方案都重點關注隱私保護的效果，不同程度地忽略了Mix-zone的創建效率的考慮，在Mix-zone的創建效率和隱私保護效果的矛盾選擇中缺乏突破性的方法。

本文提出一種自適應的動態Mix-zone創建方法，以基于聯合熵的安全隱私模型對Mix-zone進行隱私度量，而車輛可以根據道路交通狀況判斷Mix-zone的保護等級，進而決定是否進行動態的Mix-zone，通過對Mix-zone分級和用戶需求的個性化差異，實現了創建效率和隱私需求的矛盾統一。

2 相關工作

車聯網中，隱私保護需求主要體現在通信過程中，需要隱藏通信雙方的身份、位置、信息內容等來淆亂車輛身份和位置關聯關系。常用的技術有基于簽名的方案和基于Mix-zone的假名方案，前者用密碼學的簽名方式淆亂用戶的真實ID，從身份匿名來保護隱私；后者通過淆亂車輛與標記的對應關系，來實現隱私保護。假名方案的效率主要來自簽名認證的模式和算法，屬于純密碼學的內容。本文主要考慮在Mix-zone方案中折中創建效率與隱私保護效果。當前主要的Mix-zone方案包括以下6類。

1) 基于特殊位置的Mix-zone，即在事先指定的某個特殊地理區域內更新假名，以達到車輛混淆和隱藏目的。Lu等[10]提出在車輛聚集地區，如交通信號等處、大型停車場等社交點建立Mix-zone，同時用博弈論完成證明。但是，因為只能在固定地點更換假名，Mix-zone的創建不夠靈活，為了滿足假名更換需求，甚至有些車輛通過更改行駛路徑達到更改假名的目的。Mix-zone的匿名要求也是固定位置的Mix-zone的一個挑戰。

2) 基于靜默時段的Mix-zone，即車輛自己隨機選擇一段時間不發送分組（即靜默），靜默之后再更新假名。Buttyan等[11]提出了在車輛低速行駛時設置靜默時段的SLOW方案。在方案中，SLOW設置靜默時段的位置是紅綠燈處。該方案中車輛更換其假名后將進入靜默周期，一些對時間敏感的服務有可能無法執行。

3) 加密Mix-zone，是指通過加密區域的方式來保證更換假名的不可關聯性。Dahl等[12]則在十字路口構造加密網絡模型。但方案沒有考慮到道路網絡對Mix-zone創建的影響，假設某Mix-zone被道路網絡分割成相互獨立的部分，則小型Mix-zone將無法達到-匿名所需安全要求。Guo等[13]提出通過在選定的路口構建加密Mix-zone，并由RSU負責向進入該區域的車輛分發會話密鑰。

4) Mix-zone通信代理，是指用代理方式來實現在Mix-zone內的通信。Scheuer等[14]針對城市交叉口及高速分叉路口，通過代理來實現在Mix-zone內更換假名，從而降低了車輛和RSU的開銷，以代理的絕對可信假設提升了隱私保護的水平。

5) MobiMix方案[15,16]，在考慮Mix-zone基礎理論的同時，將地理信息、用戶的密度和行為統計數據、空間和時間的運動模式都加入了Mix-zone模型，提高了攻擊檢測能力。

6) 混合方案，該類方案綜合了Mix-zone的假名方案和群簽名環簽名方案的優勢以克服其不足，獲得更優的綜合性能。文獻[17]方案中允許車輛根據需要提出假名更換需求，從而要求系統為其創建Mix-zone。Emara[18]提出的混合方案，綜合應用了3種方式，使用假名、Mix-zone和數字簽名的思想。通過組建車輛的群導航提供車輛匿名機制，隨機安靜時段提高了位置隱私，簽名密鑰管理實現安全與隱私的平衡，極大減少車輛被位置跟蹤的可能性。

本文的基礎方案是在Mix-zone存續期間引入群簽名機制，保證該階段的通信隱私安全，以避免被攻擊者通過收集、分析等手段進行身份的關聯。然而本文的主要貢獻是提出基于聯合熵的Mix-zone隱私度量模型，通過對交通場景的分析，提前評估該地區建立Mix-zone的隱私保護效果，為系統構建最優Mix-zone最大限度保護車輛隱私提供判斷依據。

3 網絡結構與形式化描述

本文采用文獻[19]給出的基于位置服務的系統模型，并在此基礎上，給出基于無向帶權圖的形式定義，為后續對Mix-zone進行基于聯合熵的隱私度量提供基礎。

3.1 車聯網體系結構

車聯網主要包括4個部分：可信機構（TA, trusted authority）、基于位置服務（LBS, location based service）、RSU以及裝配有車載單元（OBU, on board unit）的車輛（用V來表示）。如圖1所示，各部分基本功能如下。

1) 可信機構（TA）

服務器TA是絕對安全的信任實體，負責生成系統全局的安全參數、為各參與方頒發公私鑰以及車輛的認證參數，TA存儲著所有經過認證的車輛用戶的身份信息，經過TA授權后，可以調查車輛的既往位置信息等，因此，在本文方法中需要協助車輛構建動態Mix-zone，它提供認證、簽名和集中式的管理服務。

2) 路側單元（RSU）

3) 車輛（V）

4) 基于位置服務（LBS）

LBS是車聯網中的位置應用服務器，車輛將位置服務請求發送給LBS，服務器對車輛的請求內容分析處理過后，把位置服務數據通過RSU反饋給車輛。

圖1 車聯網結構

3.2 無向帶權圖模型

交通場景的某一個區域，若準備設置成Mix-zone，為了表述清晰，可以描述成以RSU為頂點的無向帶權連通圖，具體定義如下。

(4)

在車聯網交通環境里，本文用定義1所給出的點權表示該RSU通信范圍內車輛的數目，用邊權表示該道路上所能正常通行的最多車輛數目，即在行車經驗上一個理論的最大值。參考文獻[20]對城市車輛移動軌跡的統計和分析結論，車輛達到道路的狀況遵循泊松概率分布過程，則邊權就是該泊松分布的頂點值。顯然，交通無向帶權圖具有性質1的特點。

3.3 Mix-zone的形式化描述

Mix-zone是一個典型的交通區域，符合定義1所述的形式化記錄。然而，Mix-zone作為淆亂車輛身份的功能區，主要體現在交叉口，因為在道路上，車輛在時序上的規律性很容易被跟蹤。因此，Mix-zone的隱私保護能力主要由3個值確定，分別是該區域所能容納的最大平均交通流、每個頂點停留的瞬時車輛數目以及車輛在該區域各頂點的平均停留時間。

攻擊者根據車輛舊的假名（駛進Mix-zone之前）映射到新的假名（駛出Mix-zone之后），如果時刻是完全無依據猜測，則每輛車被猜中的概率為。假設攻擊者獲得了某些或對或錯的信息，對某車輛舊假名對應駛出Mix-zone車輛進行有區別的概率賦值，將該假名對應到車輛的概率為，則有

3.4 Mix-zone的隱私特征與車輛隱私期望

而該時刻Mix-zone滿足用戶需求的判斷式為

表1 主要參數

4 基于聯合熵的Mix-zone隱私模型

這樣，整個Mix-zone系統的聯合熵定義為

整個Mix-zone系統的隱私保護等級為

Mix-zone隱私保護等級保護評價系統的目的是使用戶根據交通場景，選擇新創建的Mix-zone的時機，使隱私保護等級與標準定義之間的加權廣義距離之和最小，即

因此，求最優Mix-zone是一個雙目標優化問題，為解決此問題，構造雙目標函數，最終獲得本文的熵極大化隱私保護模型。

5 自適應動態Mix-zone創建方案

本節首先描述了基礎的Mix-zone創建算法，該算法可獲得Mix-zone度量的初始輸入值。然而，為了獲得最優的Mix-zone性能，需要創建方法支持Mix-zone持續期間，車輛節點之間使用群簽名認證進行適度通信，而不影響假名更新的隱私保護性能；然后，在基礎算法中嵌入群簽名協議，可以支持車輛自適應動態創建Mix-zone的選擇。

5.1 基礎方案概述

算法1 動態Mix-zone創建

輸出 Mix-zone

6) 計算車輛的假名使用時間

7) 結束

14) 結束

15) 結束

算法1滿足了動態創建Mix-zone的要求，但其不能保證生成的Mix-zone最大化車輛的隱私保護機制。5.2節將根據基礎方案提出新型的基于聯合熵的隱私度量方法，并根據該度量方法實現最優動態Mix-zone的創建。

5.2 基于聯合熵的動態Mix-zone創建方案

為了最大化Mix-zone的聯合熵，即創建最優Mix-zone。本文根據當前道路中交通狀況進行Mix-zone創建的同時，必須實時計算出其聯合熵，動態選擇最優Mix-zone。基于聯合熵隱私保護的Mix-zone方案主要由3個階段組成：車輛證書初始化、選擇最優Mix-zone和基于群簽名的Mix-zone期間的通信。

圖3 車輛證書初始化

算法2 基于聯合熵的動態自適應Mix-zone 創建

輸出 Mix-zone

② 深度優先搜索

⑨ 結束

?結束

? 通過式(25)計算；

? 選擇聯合熵最大的Mix-zone；

?結束

6 性能分析

本文使用深圳市出租車[23]GPS軌跡數據集評估動態Mix-zone的方案性能。本文獲取的數據集一天大約有80萬條出租車GPS數據，每輛出租車的GPS數據最小上傳時間間隔為15 s。由于深圳市并未部署車聯網，在實驗中假設RSU在道路網絡中是全覆蓋的，且交叉路口均設有RSU。本文算法使用Python 3.5實現，仿真計算機硬件配置為Intel i5的CPU和8 GB的內存。

圖4 Mix-zone交通流對隱私保護效果的影響

圖5展示了Mix-zone存續期間每個頂點停留的瞬時車輛數目和所提供隱私保護性能的關系。同樣考慮7:00~9:00的高交通流量和20:00~22:00的低交通流量這2種極端情形，選取不同Mix-zone，分析每個頂點停留的瞬時車輛數目對滿足隱私保護要求的車輛比例的影響。數據表明，瞬時車輛數目越多，車輛存續時間越長，隱私效果越好，這說明本模型描述與真實情況相符。

圖5 Mix-zone權值與隱私保護的關系

圖6選取了在固定區域，持續時間僅為7:00~22:00時，本文方案與文獻[5]方案、文獻[9]方案等所建立Mix-zone的熵值的對比分析，給出了Mix-zone區域不同交叉路口停留的瞬時車輛數目、Mix-zone存續時間與聯合熵值之間的關系。需要說明的是，由于本文實驗數據來自真實數據，因而“容納的最大平均交通流”在地圖中是固定的，并作為比較因素之一。由于聯合熵用來刻畫Mix-zone區域中的車輛無關聯程度：聯合熵越大，該區域車輛的身份信息的模糊程度就越高。因此，當該車輛離開Mix-zone時，攻擊者成功關聯車輛新舊假名的概率就越低，從而達到對車輛隱私信息保護的目的。本文系統根據車輛位置及其所處路段的實時交通狀況創建Mix-zone，同時計算聯合熵用以預測最佳Mix-zone，圖6的顯示結果證明了這一點，這說明本文方法體現了理論模型需要追求的效果，且所建立的Mix-zone在聯合熵值所體現的隱私保護效果上優于其他方法。

圖6 不同方案中Mix-zone車輛總數、存續時間與聯合熵之間的關系

7 結束語

本文提出了基于聯合熵的自適應動態Mix-zone創建方案來保護車輛用戶的隱私，旨在解決動態創建的Mix-zone中隱私保護效果及用戶需求之間的匹配問題，首先，提出基于聯合熵的自適應度量方法用于定量評估Mix-zone的隱私等級，在動態創建過程中選擇聯合熵值最優的Mix-zone創建方法。以深圳市出租車GPS軌跡數據和道路交通圖為基礎數據來仿真評估所提出方案的性能，結果表明，該評估模型反映了交通因素對隱私效果的實際影響，且所提方法和同類方法相比，在該模型下具有更優的隱私保護效果。

[1] LIU X, ZHAO H, PAN M, et al. Traffic-aware multiple mix zone placement for protecting location privacy[C]//IEEE INFOCOM. 2012: 972-980.

[2] ZHANG L, WU Q, QIN B, et al. Practical secure and privacy-preserving scheme for value-added applications in VANETs[J]. Computer Communications, 2015, 71:50-60.

[3] 劉怡良, 石亞麗, 馮蒿, 等. 車聯網中基于神經網絡的入侵檢測方案[J]. 通信學報, 2014,72(35):233-239.

LIU Y L, SHI Y L,FENG G. Intrusion detection scheme based on neural network in vehicle network[J]. Journal of Communications, 2014, 72(35): 233-239.

[4] FERRAG M, MAGLARAS L, AHMIM A. Privacy-preserving schemes for Ad Hoc social networks: a survey[J]. IEEE Transaction on Communications Surveys & Tutorials, 2017, 19(4):3015-3045.

[5] LU R, LIN X, LUAN T H, et al. Pseudonym changing at social spots: an effective strategy for location privacy in VANETs[J]. IEEE Transactions on Vehicular Technology, 2012, 61(1):86-96.

[6] LIU Y, WANG L, CHEN H H. Message authentication using proxy vehicles in vehicular ad hoc networks[J]. IEEE Transactions on Vehicular Technology, 2015, 64(8):3697-3710.

[7] BERESFORD A R, STAJANO F. Mix zones: user privacy in location-aware services[C]//IEEE Conference on Pervasive Computing and Communications Workshops. 2004: 127-132.

[8] BUTTYAN L, HOLCZER T, VAJDA I. On the effectiveness of changing pseudonyms to provide location privacy in VANETs[C]// European Conference on Security and Privacy in Ad-Hoc and Sensor Networks. 2007:129-141.

[9] YING B, MAKRAKIS D. Pseudonym changes scheme based on candidate-location-list in vehicular networks[C]//IEEE International Conference on Communications. 2015:7292-7297.

[10] LU R, LIN X, LUAN T H, et al. Pseudonym changing at social spots: an effective strategy for location privacy in VANETs[J]. IEEE Transactions on Vehicular Technology, 2012, 61(1):86-96.

[11] BUTTYAN L, HOLCZER T, WEIMERSKIRCH A, et al. SLOW: a practical pseudonym changing scheme for location privacy in VANETs[C]// IEEE Vehicular Networking Conference. 2010:1-8.

[12] DAHL M, DELAUNE S, STEEL G. Formal analysis of privacy for vehicular mix-zones[C]//European Symposium on Research in Computer Security Computer Security(ESORICS2010). 2010: 55-70.

[13] GUO N, MA L, GAO T. Independent mix zone for location privacy in vehicular networks[J]. IEEE Access, doi: 10.1109/ACCESS.2018. 2800907.

[14] SCHEUER F, FUCHS K P, FEDERRATH H. A safety-preserving mix zone for VANETs[C]//International Conference on Trust, Privacy and Security. 2011:37-48.

[15] PALANISAMY B, LIU L. Attack-resilient mix-zones over road networks: architecture and algorithms[J]. IEEE Transactions on Mobile Computing, 2014, 14(3):495-508.

[16] PALANISAMY B, LIU L. MobiMix: protecting location privacy with mix-zones over road networks[C]//International Conference on Data Engineering. 2011: 494-505.

[17] SAMPIGETHAYA K, LI M Y, HUANG L P, et al. Amoeba: robust location privacy scheme for VANET[J]. IEEE Journal on Selected Areas in Communications, 2007, 25(8): 1569-1589.

[18] EMARA K. Safety-aware location privacy in VANET: evaluation and comparison[J]. IEEE Transactions on Vehicular Technology, 2017, 66(12): 10718-10731.

[19] ZENG S, CHEN Y, TAN S, et al. Concurrently deniable ring authentication and its application to LBS in VANETs[J]. Peer-to-Peer Networking and Applications, 2016, 10(4):1-13.

[20] HOSMA M. A study of the source traffic generator using poisson distribution for ABR service[J]. Modelling and Simulation in Engineering. 2012 (1):1-6.

[21] JAYNES E T. Information theory and statistical mechanics[J]. Physical Review,1957,106(4):620-630.

[22] DAN B, BOYEN X, SHACHAM H. Short group signatures[J]. Advances in Cryptology-CRYPTO, 2004, 22(6):41-55.

[23] 劉亞偉. VANETs中安全認證與隱私保護的研究[D]. 合肥: 安徽大學, 2017.

LIU Y W. Research on security authentication and privacy preservation in VANETs[D]. Hefei: Anhui University,2017.

Dynamic Mix-zone scheme with joint-entropybased metric for privacy-perserving in IoV

FENG Xia1,2,LIUYawei3

1. School of Automotive and Traffic Engineering, University of Jiangsu, Zhenjiang 212013,China 2. Jiangsu Key Laboratory of Security Technology for Industrial Cyberspace, Zhenjiang 212013, China 3. School of Computer Science and Technology, University of Anhui, Hefei 230601, China

Aiming at the weak flexibility and lack of users’ transparency existing in the current Mix-zone schemes for Internet of vehicle (IoV), a dynamic was proposed for Mix-zone construction with traffic adaption, which could construct a Mix-zone for the vehicles dynamically according to the traffic conditions for changing pseudonym at anytime and anywhere. This kind of Mix-zone could achieve privacy-preserving based on the identity and location. In addition, a novel traffic-adaptive metric was presented for classifying the privacy leveled in Mix-zone, which applied the normalization quantitation to measure the degree of Mix-zone’s privacy demanding by the current region. It was verified that the joint entropy-based privacy measuring model and the Mix-zone construction scheme by utilizing the trajectory data of taxis in certain district in Shenzhen city. The experimental shows that the proposed combination entropy-based model could depict the proportional relationship between the traffic scene parameters and the privacy-preserving degrees. The scheme is better in performance over the related methods, and strikes a good balance between location privacy and service usability.

Internet of vehicle, Mix-zone, joint-entropy, privacy-preserving

TP391

A

10.11959/j.issn.1000-436x.2018038

2017-09-30；

2018-01-20

國家自然科學基金資助項目（No.U1736216, No.61472001, No.61702233）；江蘇省重點研發計劃基金資助項目（No.BE2015136）

The National Natural Science Foundation of China (No.U1736216, No.61472001, No.61702233), The Key Research and Development Plan Project of Jiangsu Province (No.BE2015136)

馮霞（1983-），女，江蘇鎮江人，博士，江蘇大學講師，主要研究方向為車聯網安全。

劉亞偉（1994-），男，安徽阜陽人，安徽大學碩士生，主要研究方向為車聯網安全、云計算等。