基于車輛協作的混淆路徑軌跡隱私保護機制

趙子文，葉阿勇，金俊林，孟玲玉

基于車輛協作的混淆路徑軌跡隱私保護機制

趙子文，葉阿勇，金俊林，孟玲玉

（福建師范大學數學與信息學院，福建 福州 350007）

在車聯網中，車輛通過和第三方共享位置信息獲得基于位置的服務，這可能會導致車輛軌跡隱私泄露。針對該問題，提出基于車輛協作的混淆路徑軌跡保護機制。首先，車輛軌跡熵達到自定義的軌跡保護閾值后，減少車輛混淆，解決了路徑混淆開銷大的問題。然后，設計路徑混淆算法來增加車輛在路口路徑混淆的機會，提高了車輛軌跡保護程度。最后，仿真實驗從軌跡熵和軌跡跟蹤成功率驗證了該方法的有效性和高效性。

車聯網；軌跡保護；混淆路徑；軌跡熵；基于位置的服務

1 引言

隨著移動互聯網的迅速發展，車聯網已經成為汽車產業的必然趨勢。它是由行駛中的車輛建立的分布式、自組織的通信網絡。通過在車輛裝置車載通信單元并在道路周圍布設路邊基礎設施，使車輛之間以及車輛和路邊基礎設施可以安全快捷交換信息，車聯網作為未來智能交通系統的重要組成部分，旨在達到改善車主駕駛體驗，提高交通效率的目的。例如，當乘客處在出租車司機服務區域內時，出租車司機可以被提醒，或車輛在駕駛的過程中，使用電子地圖，規劃行駛路線，獲得良好的駕駛體驗。

雖然車聯網為行駛的車輛有效改善了道路安全和提高了駕駛者的駕乘環境，但同時也帶來了諸多問題隱患，如軌跡隱私、位置服務提供商（LBSP，location-based service provider）或可訪問用戶軌跡數據的第三方組織通過車輛連續不斷的位置更新，可以跟蹤某個車輛的行駛軌跡，分析車輛駕駛者的駕駛習慣，如常去的地方、工作地點、家庭住址等，進而揭示出用戶的身份信息，給用戶的隱私帶來極大的危害。

針對上述車聯網軌跡隱私泄露問題，學術界涌現了大量的解決方案，大致可以劃分為3類：基于混合區的軌跡隱私保護方法、基于噪聲數據的軌跡隱私保護方法和基于路徑混淆的軌跡隱私保護方法。其中，基于路徑混淆的軌跡隱私保護方法的基本思想為：通過地理位置鄰近的車輛合作生成若干個虛假查詢點，以至車輛軌跡出現交叉來混淆車輛在不同時間段的匿名軌跡之間的關聯性，使攻擊者無法分辨出車輛的完整軌跡，從而實現軌跡隱私保護，其具有簡單易用，計算開銷小，靈活，高效的優點。到目前為止，最典型的車輛混淆路徑軌跡隱私保護方法是Lim[1]提出的相互混淆路徑（MOP，mutually obfuscating paths）。如圖1所示，車輛A、B在0時刻到達路口時，如果車輛A計算出車輛B的虛假軌跡和車輛A的真實軌跡在0+時刻相交，車輛A給車輛B發送一條請求路徑混淆消息，車輛B收到請求消息時，驗證車輛B的真實軌跡和車輛A的虛假軌跡能否在0+時刻相交，如果可以，則車輛B向車輛A發送確認信息。

圖1 相互混淆路徑MOP

此后，車輛A、B在請求基于位置的服務時各自向LBSP一次建立兩個TCP連接，分別發送包含自身車輛真實位置、配對車輛虛假位置的兩個查詢。當自身車輛真實軌跡和配對車輛虛假軌跡重合時，目標車輛只發送包含自身位置的查詢，但此方案存在以下2個缺點。

1) 在每個路口一部車輛只能與周邊另外一部車輛相互混淆產生一條虛假軌跡，浪費了多部車輛相互協作制造多條虛假軌跡的機會，而且車輛的行駛路徑具有社會屬性，即80%車輛會經過20%的路口，造成此方案不適用于車輛稀疏的農村地區。

2) 車輛需要在每個路口執行相互混淆路徑，增加了車輛執行相互混淆路徑的計算、存儲、通信等開銷，忽視了系統開銷和隱私保護平衡問題。

為了解決上述方案缺點，本文提出了一種基于車輛協作的混淆路徑軌跡隱私保護機制，本文的主要貢獻如下。

1) 定義了用于量化車輛軌跡隱私保護度的軌跡熵，車輛軌跡熵達到自定義軌跡隱私保護閾值后，減少車輛混淆，解決了車輛路徑混淆系統開銷和隱私保護的平衡問題。

2) 提出了車輛協作的路徑混淆軌跡保護算法，增加了車輛在路口路徑混淆機會，提高了車輛軌跡隱私保護度，使本方案在不同車輛密度道路環境具有高效的軌跡隱私保護效果。

2 相關工作

2.1 基于混合區的軌跡隱私保護方法

基于混合區的軌跡隱私保護方法基本思想是用戶通過交換使用多個無映射關系的假名代替真實身份請求LBS，將軌跡進行垂直分割，割裂不同時間間隔軌跡關聯關系，從而達到保護位置隱私的目的。

Beresford[2]首次提出了Mix-zone概念并將Mix-zone方案應用于位置隱私保護，其基本思想是將地圖劃分為應用區域、混淆區域，當用戶處于應用區域時可正常使用LBS，但是當用戶處于混淆區域時，用戶應停止使用LBS，并和區域內成員交換假名，當用戶離開混合區域時，用戶開始使用新的假名請求LBS。Freudiger[3]為了解決攻擊者對混合區域進行監聽的問題，提出了適用于車輛自組織網絡的mix-zone方案，該方案結合了mix-network的思想，提出了加密混合區（CMIX，cryptographic mix-zones）方案。針對mix-zone方法容易遭受時間推理攻擊和轉移概率推理攻擊的問題，Palanisamyb[4]和Palanisamy[5]提出了MobiMix利用多邊形及其組合構造混合區域，提高移動用戶軌跡保護程度。攻擊者可以憑借大數據環境下的輔助信息輕松地推測出一個mix-zone新假名和舊假名的對應關系，因此一個mix-zone并不能為基于位置服務的用戶提供充分的軌跡隱私保護。只有在現實環境中同時構建合適數量的mix-zone才能高效保護LBS用戶軌跡。又因在mix-zone中用戶必須停止使用基于位置的服務，為保證用戶的服務質量將限制部署的mix-zone數量。針對這一矛盾問題，Freudiger[6]提出了一種基于組合優化多混合區部署方法。LIU[7]考慮了路網和車流量限制，提出了一種基于整數規劃多混合區部署方法，力圖在部署有限個混合區的前提下，盡可能地提高LBS用戶的軌跡保護程度。

2.2 基于噪聲數據的軌跡隱私保護方法

基于噪聲數據的軌跡隱私保護方法[8-9]的思想是將LBS用戶的真實位置發送LBSP同時，按照合理的策略生成若干個包含虛假位置的偽查詢，并發送給LBSP作為LBS用戶真實查詢的“掩護”，使攻擊者無法區分出LBS用戶的真實位置。文獻[10-12]針對連續查詢中的偽查詢添加機制進行了探索。Kido[10]根據上一時刻LBS用戶位置，按隨機速度和方向生成位置點，并作為虛假位置進行發布，但這種方案生成的虛假位置往往與真實的移動特征不符合，并且這些虛假位置本身可能是現實環境上不可達的位置點。針對這一問題，Suzuki[11]在生成虛假位置時考慮了速度、路網等限制條件。Kato[12]認為LBS用戶不會一直連續移動，所以Kato在生成噪聲位置時會讓LBS用戶根據周圍環境隨機地產生若干個停頓點來防止攻擊者辨別出噪聲位置點。然而在現實世界中，LBS用戶移動容易遇到各種突然事件，如何處理這些突然事件，以生成更“真實”的噪聲軌跡數據仍是一個巨大的挑戰。

2.3 基于路徑混淆的軌跡隱私保護方法

基于路徑混淆的軌跡保護的基本思想是車輛在發送LBS請求前通過與物理位置鄰近車輛協作，使在真實查詢中上添加若干個虛假查詢讓用戶行駛路徑出現交叉，割裂不同時間段路徑的映射關系，從而使攻擊者無法分辨出目標車輛的完成軌跡。

Cui[13]提出一種基于虛擬位置和路徑混淆的車輛位置隱私保護方案，其方案是車輛在發送LBS請求時通過監聽周邊車輛的信標信息來挑選符合要求的鄰近車輛作為車輛的“掩護”，被掩護車輛收到掩護車輛的位置信標消息后，保持消息中除被掩護車輛位置外的其他內容相同，向LBSP分別發送包含掩護車輛位置和被掩護車輛位置的兩個不同請求，當LBSP回復請求后，被掩護車輛根據自己的真實位置丟棄對應掩護車輛的響應消息，從而得到屬于基于自己位置的響應消息。但此方案并不能為LBS用戶提供有效的軌跡隱私保障。例如，在一個只有兩部車輛A、B的路口，兩部車輛呈十字形行駛，一部車輛A在這個路口由于某種原因未選擇周邊的車輛作為影子而直接直行，另一部車輛B選擇車輛A作為影子來制造假查詢，兩部車輛一直連續地查詢基于位置的服務，然而攻擊者輕而易舉地識別車輛B生成的無效虛假軌跡。

Lim[1]設計了一種有效的分布式車輛相互混淆方案，在方案中車輛依靠自身強大的計算和存儲能力在路口選擇速度相近的合作車輛，在使用基于位置的服務時，通過同時發送真實車輛真實位置查詢和合作車輛虛假位置查詢使軌跡相互混淆。此方案具有兼顧服務質量與用戶隱私的優點，但仍存在沒有充分利用路口多部車輛相互混淆的機會，且存在計算、存儲、通信等開銷過大的問題。

3 預備知識

3.1 基本概念

軌跡熵是排除虛假軌跡所需要知識的度量，表示LBSP或可訪問用戶軌跡數據的第三方組織對車輛真實軌跡的不確定程度；也用于量化車輛軌跡隱私保護度，車輛的軌跡熵越高，攻擊者推斷出其真實軌跡的概率越低，車輛的隱私保護性越好。

假設隨機變量表示一部車輛在路口真實軌跡、虛假軌跡情況，隨機變量元素個數依賴于路口路段的數量，隨機變量對應的概率分布為

其中，在不考慮每條路段擁擠狀況是否相同、車輛到達目的地最短路徑等復雜情況下，服從均勻分布車輛在一個路口的軌跡熵E可以表示為

車輛經過個路口在個路口執行路徑混淆，車輛真實軌跡和虛假軌跡數目總數最少為

車輛總軌跡熵E表示為

3.2 威脅模型

本文假設LBS服務器是半可信的，即LBS服務器會嚴格按照協議提供用戶所需要的服務，但LBS服務器可能通過關聯分析的方式將用戶的匿名軌跡與車輛關聯起來，進而挖掘用戶軌跡中蘊含的隱私信息。文中的攻擊限定為LBSP或其他可訪問用戶軌跡數據的第三方組織。LBSP為用戶提供服務后可得到這些用戶的匿名軌跡信息C(1)=(<1,1>,…,<l,t>)，其中（l,t）是序列C(1)中的一個元素，表示用戶1在時刻t處于位置l。如圖2所示，用戶1和用戶2在使用Google地圖導航時，LBSP可得到用戶1和用戶2兩個用戶的匿名軌跡。

從用戶1軌跡中LBSP或者其他可訪問用戶軌跡數據的第三方可以推斷出車主本人或家屬可能患有腫瘤，從用戶2軌跡中可以推測出用戶2可能信仰基督教。因此，基于位置的服務在給人們帶來巨大便利的同時，也泄露了用戶的位置信息、個性習慣、健康狀況、政治傾向、社會地位等敏感信息，給用戶構成巨大的威脅。

圖2 軌跡隱私推測

4 多路徑混淆的車輛軌跡隱私保護

4.1 系統架構

本文提出的基于車輛協作的分布式軌跡保護機制，其系統架構如圖3所示，主要由車載單元（OBUS，on-board units）、路邊單元（RSU，road side unit）、互聯網服務提供商（ISP，Internet service provider）、基于位置服務提供商（LBSP，location-based services provider）4部分組成。其各個組成部分的功能職責如下。

圖3 車輛自組織網絡架構

1) 車載單元

車載單元是裝載在移動車輛中處理單元，包括無線通信和數據分析等模塊。車載單元是車輛中最基礎的組成部分，可以將車載單元看作無線通信系統中的移動終端。通過車載單元，車輛可以實時獲取周邊環境信息并且與周邊車輛進行通信。

2) 路邊單元

在車聯網中，路邊單元是部署在路邊的基礎設施，車聯網除了能實現短距離通信外，還可以通過路邊單元連接移動網絡獲得更加豐富的增值服務。

3) 互聯網服務提供商

車輛通過移動電信網絡訪問LBS，移動電信網絡通過NAT技術為車輛提供了匿名保障，保護了車輛的身份隱私。

4) 基于位置服務提供商

LBSP能提供各種類型基于位置的信息服務。例如，電子地圖服務提供商可為用戶提供實時交通導航，還可為用戶提供實時路況信息，并規劃最優線路。

車聯網中移動通信分為車-車（V2V，vehicle to vehicle）和車與路邊基礎設施（V2I，vehicle to infrastructure）兩個部分。在車?車通信中，車輛通過周期廣播包括速度、位置、方向、加速度等信標信息給鄰近車輛，從而為車輛協作提供了保障。在車?路邊基礎設施通信中，車輛根據自己的位置向鄰近的RSU請求服務，RSU起到一個中轉站的作用，將消息轉發給服務提供商。

4.2 總體方案

針對集中式單點瓶頸、可擴展性差的問題，本文在不改變LBS服務提供商已有的服務模式基礎上，利用車輛自身的計算能力和存儲能力，提出基于車輛協作的軌跡隱私保護機制。其基本思想是用于量化目標車輛軌跡隱私保護度的軌跡熵E未達到車輛自定義的隱私保護閾值時，目標車輛在路口根據周圍車輛行駛情況建立混淆查詢組，預測并廣播自身在時間將到達的位置（X,Y），鄰近車輛通過專用短程通信技術監聽目標車輛的信標信息，在時間內能到達（X,Y）的鄰近車輛申請加入混淆查詢組，目標車輛按照在滿足車輛軌跡隱私需求基礎上，盡可能降低車輛通信和計算代價的原則生成若干個虛假查詢，以至車輛軌跡出現交叉點來混淆車輛在不同時間段的匿名軌跡之間的關聯性，使攻擊者無法分辨出車輛的完整軌跡，實現軌跡隱私保護。

4.3 多路徑混淆生成算法

本節將詳細描述基于車輛協作的混淆路徑軌跡隱私保護機制。如圖4所示，假設有、、、4部車輛在0時刻到達路口，4部車輛各自執行混淆路徑軌跡隱私保護機制。以車輛為代表具體說明。車輛在路口如果其軌跡熵小于個性化隱私需求，即E<，車輛則建立混淆查詢組，在建立之前，車輛計算出滿足式(5)的混淆組成員數量，若車輛軌跡熵E遠小于個性化軌跡保護閾值，車輛根據周圍車輛行駛情況，按照在這個路口軌跡熵最大的原則來確定混淆組成員數量。

圖4 車輛協作多路徑混淆

之后，車輛在路口建立一個=3的混淆組，并廣播建立組的四元組消息=(,,S,)。其中表示組號，表示車輛速度，U表示加速度，表示時間。

臨近車輛、、根據式(6)計算其速度是否與車輛的速度匹配。

其中，V表示申請加入組的車輛速度，表示建立組的車輛速度。是預先限定的速度變化量。如果臨近車輛速度與車輛匹配、方向與車輛不同，周圍車輛向車輛發送申請加入消息=(,,,,S)，表示組號，表示車輛標識符，表示車輛目前所在的位置，表示車輛的速度，S表示車輛的加速度。

車輛收到周圍車輛、、發送的消息后，按照最早申請原則選擇3輛汽車作為組成員，并按照式(7)分別計算出車輛、、的虛假軌跡與車輛真實軌跡的相交時間段(min,T)。

其中，(,)表示組成員現在所在位置，(,)表示車輛在時間段后將到達的位置，(,)(,)表示組成員目前所在位置到(,)之間距離。()V表示組成員的速度。

車輛計算出車輛、車輛和車輛軌跡相交時間段的交集(min)，即

車輛在(min,)內計算出距離車輛、和距離之和最小的點，即

其中，(X,Y)表示車輛在(min,)內任意可能到達的位置點，(,)(X,Y)表示車輛目前所在位置(,)到(X,Y)位置點之間的距離。(OP,OP)表示車輛、、的虛假軌跡與車輛真實行駛軌跡相交一點時距離之和最短的位置點，OP表示車輛、、從目前所在位置(,)到最優位置點(OP,OP)的距離。

位置點(OP,OP)作為車輛、、虛假軌跡與車輛真實軌跡最優相交位置點。當車輛、、、以速度VVVV行駛OP時間段后同時到達(OP,OP)。

車輛在為組內成員生成混淆查詢點關鍵在于相鄰兩次虛假查詢點之間的距離比例等于V:V:V:V。更進一步地說，假設在1時刻車輛在(1,1)位置發布查詢請求，在0時刻發布查詢時，車輛位于(00)，車輛在為車輛A生成假查詢點，應按照式(15)算出車輛在1時刻假查詢點位置(1,1)，構造混淆軌跡，車輛為組內的其他成員生成假查詢點，構造混淆軌跡的方法如同為車輛構造虛假軌跡。

綜上所述，本文在算法1中給出了具體的多路徑混淆算法偽代碼，對應的詳細算法流程如圖5所示。

算法1 多路徑混淆生成算法

輸入軌跡隱私保護閾值

輸出 假查詢位置序列array

1) 計算車輛的軌跡熵E

2) if (E≥)

3) return(“車輛自身真實查詢點”)

4) else{

5) 根據式(5)計算混淆組成員數量

6) 組領導車輛創建混淆組并廣播組消息

7) 周圍車輛申請加入混淆組

8) 組領導車輛計算組成員虛假軌跡和組領導車輛真實軌跡相交時間段(min,)

9) 組領導車輛根據(min,)計算出組成員虛假軌跡與組領導車輛真實軌跡的相交的最近位置點(OP,OP)

10) 組領導車輛計算出從目前位置到(OP,OP)這段路程中組成員的速度比

11) 組領導車輛將根據速度比計算出假查詢點位置()并存儲(,)到array。

12) 返回array

13) }

圖5 算法流程

4.4 安全性分析

圖6 軌跡安全分析

在生成虛假軌跡的過程中，車輛通過速度計算選擇速度相近的組加入，從而可以防止攻擊者通過速度推斷出車輛的真實軌跡。另外，一個組的虛假軌跡中查詢點個數相同，查詢頻率相同，并且虛假軌跡相交于一點，使攻擊者無法區分組的創建者，從而無法識別車輛的真實軌跡。

因此，本文基于假軌跡的軌跡保護機制是一種高效的軌跡隱私保護方案。

5 實驗及仿真

5.1 基本設置

為了驗證本方案的有效性和高效性，本文通過交通仿真工具sumo與網絡仿真工具NS-3聯合實施實驗仿真。使用交通仿真工具sumo在山東省濟南市以北緯36°40′東經117°為中心生成6 km× 6 km道路拓撲結構圖，分別收集了車輛數目=30、=60、=120和=240在6 km×6 km道路拓撲結構圖上行駛10 min的車輛運動軌跡文件。在網絡仿真NS-3節點中部署了基于位置服務的車載應用程序和車輛通信協議，并設置車輛每隔0.3 s發送更新位置請求，節點將按照交通仿真工具sumo生成的軌跡進行移動來完成實驗仿真。實驗環境為lenovo m415，i5處理器，8 GB內存，操作系統為fedora 12。

實驗涉及的參數設置如下。1)為車輛自定義軌跡隱私保護閾值與軌跡熵值息息相關，設置為（3 bit，8.5 bit）范圍內隨機值。2)為車輛選擇時速度差量系數，默認0.2。

5.2 實驗結果

本節比較了所提方案和Lim提出的MOP方案在車輛數目=30、=60、=120和=240時車輛行駛10 min軌跡熵的整體分布情況，如圖7所示，從圖中可以清晰地觀察到本文方案車輛軌跡熵明顯分布在MOP方案的軌跡熵的上部。這表明了本方案在車輛稀疏的農村、鄉鎮地區達到的軌跡隱私保護程度大致相當，但在車輛稠密的城市地區本方案的執行效果顯著優于MOP方案。

圖7 軌跡熵整體分布

在圖8中給出了本文方案在不同車輛密度的情況下車輛10 min內的軌跡熵變化，同時也在圖9中給出了MOP方案車輛在10 min內的軌跡熵隨時間的變化情況作為參考。從圖中可以看到，車輛密度=30時，本文方案的軌跡熵和MOP方案的軌跡熵大致相同，這是由于分布在6 km×6 km區域內的車輛大多數的情況下是兩部車輛同時到達路口，只有少數情況下會有超過3部車輛同時出現在交叉口。然而，車輛密度=60時，本文的軌跡熵值在10 min達到5 bit，由軌跡熵的定義可知，軌跡熵為bit代表車輛從起點行駛到目前所在位置的過程中至少生成了2?+1條虛假軌跡。更加具體地說，攻擊者跟蹤軌跡熵值為5 bit汽車的行駛軌跡時至少需要猜測32條軌跡，這比MOP方案相同車輛密度下多了16條虛假軌跡，這充分說明了本文方案比MOP方案在保護車輛軌跡隱私做得更好。從圖中可以觀察到車輛密度為=120和240的情況下更加證實這一點，在車輛密度=120和=240時，軌跡熵分別在10 min達到6.9 bit、7.23 bit比MOP方案相同車密度下多1.9 bit、1.78 bit。另外，在4 min之前本文方案軌跡熵的增長速率快，這表明本方案能夠在很短的時間內達到良好的軌跡隱私保護效果，由于本文方案考慮了部分車輛軌跡熵達到了自己的軌跡隱私保護程度，在短時間內停止執行生成假軌跡，在4 min之后增長速率減緩一些，這既可以節省車輛的計算、電量等資源，又可以保證車輛的軌跡熵值滿足個性化的需要。

圖8 OPVC方案軌跡熵變化

圖10和圖11從軌跡跟蹤成功率的角度分別給出了本文方案和MOP方案在不同車輛密度下的車輛軌跡隱私保護效果。從圖中可以觀察到兩種方案在1 min內的軌跡跟蹤成功率大致相同，這是由于車輛在6 km×6 km區域內的起點分散，在1 min內多部車輛相遇可行性很小，這也對應著現實世界車輛起始位置分散情景。

由于本文方案在未達到車輛個性化軌跡隱私保護程度時，盡可能在路口多生成不同方向的虛假軌跡，而MOP方案在每個路口只生成一條虛假軌跡，故而在1 min到4 min本方案軌跡跟蹤率比MOP方案軌跡跟蹤率下降迅速，這正好對應車輛在1 min到4 min軌跡熵的變化趨勢。從圖10車輛密度在（60，240）區間的軌跡跟蹤率曲線不難看出，本文方案在5 min軌跡跟蹤率下降到0.1，比MOP方案早1 min，這充分說明了本文方案具有高效率。同時，在10 min即使車密度=30，軌跡跟蹤率下降到了0.087 7，這進一步表明本文方案在車輛軌跡隱私保護方面具有良好的效果。

圖10 OPVC方案軌跡成功跟蹤率

圖11 MOP方案軌跡跟蹤成功率

最后，對本文方案和現存在的比較流行的軌跡隱私保護方案做對比分析，比較結果如表1所示。

表1 各方案對比

在基于混合區域的方案中，一般選擇車輛比較密集的路口，這樣會造成缺乏靈活性，同時在混合區中不能實時更新位置，造成了盲區。在基于靜默時間的軌跡隱私保護方案中，由于在持續的一段時間進行假名交換，不能進行實時位置更新，這也造成了盲區。基于混合組的軌跡隱私保護是一種比較先進的假名交換和組簽名的相結合的軌跡隱私保護方法，但算法復雜，方案的執行效率低。綜合以上對比分析，本文提出的方案相比現存在的大多數軌跡隱私保護方案而言，具有良好的軌跡隱私保護效果，位置精確，滿足個性化軌跡保護需求，無盲區的優勢。

6 結束語

車聯網作為物聯網在交通系統的智能系統，在緩解交通擁擠和提高駕駛體驗方面有著巨大的貢獻，但安全隱私問題是車聯網系統迫切需要解決的問題，如果不能實現安全隱私保護，車聯網是無法被廣泛普及的。本文針對車輛通過和第三方共享位置信息以獲得基于位置的服務時面臨軌跡泄露的問題，針對該問題，本文從兩個角度展開研究，首先研究如何利用車輛的存儲能力和計算能力，在不依賴于第三方設備的提前下，保護車輛的軌跡隱私；其次由于車輛的計算能力和存儲能力仍然相對有限，本文將研究兼顧系統開銷與用戶隱私的平衡；最后提出一種用戶軌跡度量方法，定量計算車輛的軌跡隱私保護程度。仿真對比實驗分析表明了本文方案的有效性和高效性。

[1] LIM J, YU H, KIM K, et al. Preserving location privacy of connected vehicles with highly accurate location updates[J]. IEEE Communications Letters, 2017, 21(3):540-543.

[2] BERESFORD A, STAJANO F. Location privacy in pervasive computing[J]. IEEE Pervasive Computing, 2003, 2(1):46-55.

[3] FREUDIGER J, RAYA M, FELEGYHAZI M, et al. Mix-zones for location privacy in vehicular networks[C]// Win-ITS 07.2007.

[4] PALANISAMYB, LIU L. MobiMix: protecting location privacy with mix-zones over road networks[C]// IEEE 27th International Conference on Data Engineering(ICDE 2011).2011: 494-505.

[5] PALANISAMY B, LIU L. Attack-resilient mix-zones over road networks: architecture and algorithms[J]. IEEE Transactions on Mobile Computing, 2015,14(3):495-508.

[6] FREUDIGER J, SHOKRI R, HUBAUX J P. On the optimal placement of mix zones[C]// The 9th International Symposium on Privacy Enhancing Technologies. Spring Berlin Heidelberg,2009.

[7] LIU X, ZHAO H, PAN M, et al. Traffic-aware multiple mix zone placement for protecting location privacy[J]. Proceedings of the IEEE Infocom, 2012, 131(5):972-980.

[8] NIU B, LI Q, ZHU X, et al. Achieving-anonymity in privacy-aware location-based services[C]// IEEE Infocom. 2014: 754-762.

[9] NIU B, LI Q, ZHU X, et al. Enhancing privacy through caching in location-based services[C]// IEEE Conference on Computer Communications. 2015:1017-1025.

[10] KIDO H, YANAGISAWA Y, SATOH T. Protection of location privacy using dummies for location-based services[C]// International Conference on Data Engineering. Tokyo: IEEE Computer Society, 2005:1248.

[11] SUZUKI A, IWATA M, ARASE Y, et al. A user location anonymization method for location based services in a real environment[C]//Sigspatial International Conference on Advances in Geographic Information Systems. 2010:398-401.

[12] KATO R, IWATA M, HARA T, et al. A dummy-based anonymization 32method based on user trajectory with pauses[C]// International Conference on Advances in Geographic Information Systems. 2012:249-258.

[13] CUI J, WEN J, HAN S, et al. Efficient privacy-preserving scheme for real-time location data in vehicular ad-hoc network[J]. IEEE Internet of Things Journal, 2018, 5(10): 3491-3498.

Trajectory privacy protection mechanism of obfuscating paths based on vehicles cooperation

ZHAO Ziwen, YE Ayong, JIN Junlin, MENG Lingyu

College of Mathematics and Informatics, Fujian Normal University, Fuzhou 350007, China

Vehicles sent location information to third parties to obtain location-based services in the Internet of vehicles, which may lead to vehicle trajectory privacy leakage. To address the privacy problem, trajectory privacy protection mechanism of obfuscating paths based on vehicles cooperation was proposed. Firstly, after the vehicle trajectory entropy reaches the custom trajectory protection threshold, the overhead of paths confusion saves by reducing the number of vehicle paths confusion. Then, paths confusion algorithm was designed to increase chances of vehicle paths confusion at intersections, which can improve the degree of vehicle trajectory protection. Finally, the simulation experiment verified the validity and efficiency of the method from the trajectory entropy and trajectory tracking success rate.

Internet of vehicles, trajectory protection, obfuscating paths, trajectory entropy, location-based service

s:The National Natural Science Foundation of China (No.61771140, No.6187208, No.61872090), The Natural Science Foundation of Fujian Province (No.2018J01780)

TP393

A

10.11959/j.issn.2096?109x.2019038

趙子文（1992? ）男，山東棗莊人，福建師范大學碩士生，主要研究方向為車聯網數據安全與隱私保護。

葉阿勇（1977? ），男，福建漳州人，博士，福建師范大學教授，主要研究方向為信息隱私與安全。

金俊林（1994? ）男，江蘇鹽城人，福建師范大學碩士生，主要研究方向為手機端數據隱私保護。

孟玲玉（1994? ），女，黑龍江安達人，福建師范大學碩士生，主要研究方向為位置隱私保護。

2019?01?03；

2019?03?18

葉阿勇，yay@fjnu.edu.cn

國家自然科學基金資助項目（No.61771140, No.6187208, No.61872090）；福建省自然科學基金資助項目（No.2018J01780）

趙子文, 葉阿勇, 金俊林, 等. 基于車輛協作的混淆路徑軌跡隱私保護機制[J]. 網絡與信息安全學報, 2019, 5(4): 52-62.

ZHAO Z L, YE A Y, JIN J L, et al. Trajectory privacy protection mechanism of obfuscating paths based on vehicles cooperation[J]. Chinese Journal of Network and Information Security, 2019, 5(4): 52-62.