車輛自組網的位置隱私保護技術研究

張建明，趙玉娟，江浩斌，賈雪丹，王良民,

(1. 江蘇大學 計算機科學與通信工程學院，江蘇 鎮江 212013；2. 江蘇大學 汽車工程研究院，江蘇 鎮江 212013)

1 引言

車輛自組網(VANET, vehicle ad hoc network)是一類在交通領域有廣泛應用的移動自組織網絡，它支持動態、隨機、多跳拓撲結構。車輛自組網通信范圍內的車輛可以自組織地連接成一個移動的網絡，相互交換各自的車速、位置等信息和車載傳感器感知的數據，可使駕駛者在超視距范圍內獲得實時的路況信息和其他車輛的行車信息，從而解決道路交通安全問題，提高行車服務質量。

典型的車輛自組網由3部分構成：車輛子網、網絡運營商和服務基礎設施部分。其中，車輛子網是由車載通信單元(OBU, on-board unit)連接而成的自組織網絡；網絡運營商是已有的基于 Internet的有線無線網絡設施；服務基礎設施包含認證中心(TA, trusted authority)、服務供應者(SP, service pro-vider)和路邊單元(RSU, road-side unit)。為此車輛自組網的通信也分為2個部分：車與車(V2V, vehicle to vehicle)通信和車與基礎設施(V2I, vehicle to infrastructure)通信，如圖1所示。

圖1 典型的車輛自組網結構

車輛網絡所接受的是一種位置服務(LBS, location-based service)，LBS提供的服務與用戶提出請求的位置有關[1]。例如，V2V中，車輛要實時廣播自己的位置、速度信息給周邊車輛，以防止相互碰撞；V2I中，車輛基于位置來向RSU請求服務，服務提供者則基于位置信息，通過路邊單元給車輛提供各類增值服務。顯然，使用LBS容易造成位置隱私的泄漏[2]。就 VANET的應用與網絡結構來說，至少有3類位置隱私泄露方式[3]：路邊單元或位置服務器中用戶信息的泄密的直接方式；通過觀察被攻擊者行為獲取位置信息觀察方式；通過與車輛位置的通信連接來確定用戶位置追溯方式。

然而，VANET中車輛信息、駕乘人員及位置信息往往捆綁在一起的，駕乘人員在享受基于位置服務的過程中，有強烈的隱私保護需求——不愿意泄露自己的身份、現在或將來的位置等重要信息。多數駕乘者是無法接受在服務的同時遭受個人隱私泄露。為此，要推廣和應用 VANET以及基于VANET的位置服務，必須解決好車輛使用者的位置隱私保護問題。

本文主要綜述了國內外近幾年來針對車輛自組網的位置隱私保護方法及相關技術的研究，在介紹各類方法基本思想的基礎上，對其主要特點進行了歸納總結，并指出了還需要重點解決的問題。本文的組織結構如下：首先，簡單介紹車輛自組網的組成和特點以及網絡中的隱私保護內容；接下來，對現有的隱私保護技術進行總結比較，分析各方案的基本思想、適用環境及優缺點；繼而對各種隱私度量方案進行分析；最后，總結全文并提出車輛自組網中關于隱私保護的進一步研究內容。

2 車輛自組網的隱私保護內容

當前，有關車輛自組網隱私保護技術的研究，多數和安全研究相關，而實際上，隱私和安全是相關而并不相同的2個概念。安全是指網絡不受外界威脅和攻擊，文獻[4]認為VANET內的位置安全主要有 3個要素：保密性(confidentiality)、完整性(integrity)和可用性(availability)，而文獻[5]擴充了這個范圍，指出VANET內的安全需求主要包括：身份驗證(Authentication)、保密性(confidentiality)、隱私(privacy)和付費(billing)。這個廣義的安全范圍，不僅指出受威脅的目標不單指車輛，也可以是SP(服務提供者)；還包含了隱私，隱私是不愿意被別人知曉的信息。

車輛自組網內的隱私通常包含身份隱私、服務隱私和車輛位置隱私3個方面。身份隱私，即網絡內車輛及車輛用戶的真實身份，包括駕駛證號、姓名、身份證及賬戶號等關鍵信息，需要車輛頻繁變換身份標識，防止攻擊者關聯前后的標識，又稱為句法隱私。服務隱私即某車輛在享受一個LBS的過程中達到的身份、服務信息和位置隱私。服務信息隱私包括內容隱私、前向隱私和后向隱私3個部分：內容隱私，即車輛在要求服務時的服務內容，如艾滋病醫院、假發維護等；前向隱私是指某輛車在得到一個LBS的認證授權前，不能從RSU或別的車輛那兒獲取由此LBS發布的任何服務內容；后向隱私，即某車輛在離開一個LBS后，不再具有繼續享受該服務未來內容的權利。身份隱私和服務隱私均可通過現有的隱私保護技術移植得到實現。

位置隱私是車輛自組網隱私保護中的關鍵難點，一方面，位置服務中所有的服務都是基于位置信息提供的，在某輛車進入某位置前或離開后，就不能獲得服務的內容；另一方面，位置信息本身是用戶隱私的重要部分，不能泄露。位置隱私不僅需要保護車輛的物理方位和路徑軌跡不泄露，還需要防止攻擊者利用中心消息中的位置、速度等信息重構車輛的軌跡，有時候也稱為語義隱私。位置隱私可能以“通過通信連接重建用戶位置信息”的方式泄露，所以位置隱私保護也應包含通信隱私。通信隱私是指通信過程中通信雙方的身份和位置信息以及通信內容不被泄漏或各自的身份與位置不被關聯。通信隱私包括V2V通信隱私和V2I通信隱私2類。

3 位置隱私保護技術

目前，國內外針對車輛自組網隱私保護技術的研究很多，提出了一些實用性的隱私保護技術，其本質都是隱藏車輛的真實身份和通信中使用的身份之間的一一映射關系，以實現車輛匿名、隱藏車輛或者車輛身份模糊等。最常見的方式是在指定區間讓車輛更換假名的 mix-zone假名方案和將單個車輛看成一個群體中一員的群(環)簽名方案，這些隱私保護技術都結合了密碼學方法。

3.1 基于mix-zone的假名方案

基于mix-zone的假名方案的基本思想是：為車輛配備大量不揭示其真實身份的假名(pseudonyms)，每個假名僅使用一段時間后進行更換，而更換假名的操作是在特定的地理區域(mix-zone)內進行的。假名(pseudonyms)是隨時間(或速度)而改變的短暫身份標識。使用假名可以保護車輛的真實身份，但是如果長時間使用同一假名相當于未使用，故需要定期更換假名。假名方案[6]為防止連續跟蹤，讓車輛配有無關聯的多個假名，通過某種機制階段性地更換，達到隱私保護的目的。Capkun[7]給出了一個基于時間的假名定義，如式(1)所示。

其中， Pv1是車輛 v1在 t時刻產生的假名，HMAC(hash mutual authentication code)是一個密鑰散列函數， I Dv1表示車輛v1的真實身份， KV-11表示車輛v1的私鑰。不同于文獻[7]中假名更新以時間為度量，文獻[8]提出了以車輛速度決定假名更新的頻率，從而避免了高速長距離假名不變帶來的跨 RSU的位置隱私泄露。假名更換常和路徑混淆[9]、隨機加密[10]以達到更佳的效果，其中路徑混淆是指假名在具有相似路徑的節點間變換；隨機加密結合了加密消息和加密階段隨機的思想。

Mix-zone的概念首先由Beresford[11]在2003年提出，是指假名變換的地理區域。Beresford[11]使用文獻[12]中的通信mix-zone來處理移動節點的位置問題。Beresford[13]在 2004年給出了基于位置服務的mix-zone模型架構，其考慮對象是行人；隨后文獻[14～16]也基于該模型討論了移動節點在特定區域更新假名。其思想類似于混合網絡中的混淆節點，通過變換消息的編碼和順序，達到難以關聯消息發送者與接收者的目的[6,17]。在車輛自組網中，mix-zone的選取與設計與混淆效果密切相關，目前常見的方式有基于特殊位置、基于安靜時段、基于加密空間和基于通信代理等4種典型方式。

3.1.1 基于特殊位置的mix-zone

基于特殊位置的 mix-zone是指事先指定某個地理區域，在該區域更換假名，以達到車輛混淆和隱藏的目的。Buttyán等[18]2007年首次將mix-zone方法用于車載網絡，其mix-zone模型如圖2所示，其中，A、B、C為車輛入口，D、E、F為車輛出口，車輛在mix-zone中更換假名，選擇不同路徑離開，從而起到混淆的作用。

圖2 公路網中形成的mix-zone

文獻[18]將道路網絡模型分為攻擊者可觀察和不可觀察區域，在不可觀察區域用mix-zone建模，車輛在穿越該區域時停止發送一些消息來更新假名、混淆身份。為擴展實際地理情形對mix-zone選取的限制，文獻[19]構造了直線路面的 mix-zone。如圖3所示，車輛A和B在進入mix-zone前后的消息標識發生變化，加大了跟蹤的難度。但這種方法在車載網絡密度較小的情況下，因為攻擊可以通過信號跟蹤，隱私保護效果并不明顯。

圖3 在直線路面上構造mix-zone

文獻[20]提出在有許多車輛聚集的交通紅燈處、大型商場的免費停車場等社交點(social spot)建立mix-zone的思想。Lu等[21]將文獻[20]設計的匿名分析方法提煉為 PCS(pseudonym changing at social spot)策略，并用博弈論證明了它在實際中的可行性。

利用基于特殊位置的mix-zone方案，在某些特定的地理位置更換假名確實起到了一定的隱私保護作用。然而，總體來說，這種基于特殊地形、地點的mix-zone方法，很容易被基于地形的其他監控技術所攻擊，從而失去其隱私保護的目的。

3.1.2 基于安靜時段的mix-zone

鑒于基于特殊位置方案的地理局限性，許多研究者采用基于安靜時段的mix-zone方案。基于安靜時段的 mix-zone是采用分布式思想的動態mix-zone，車輛自己或彼此之間形成一個安靜時段，然后更換假名，從而實現在不需要特定交通基礎設施的幫助下完成假名的更換過程。SLOW[22](silence at low speed)可在不與其他車輛和第三方設施的合作下創建自己的mix-zone。其基本思想是：在車輛速度不下降到速度閾值(比如30km/h)以下時，不給中心發送消息，車輛在這樣的一個安靜時間段內更換假名。

然而，安靜時段的選取是困難的。SLOW[22]認為低速情況下碰撞事故少，即使發生也不會很嚴重，所以安靜時段設置在低速時；文獻[22]認為最理想的地方是城市交通信號燈處，車輛必須減速的地區、車道選擇較多，事實上這結合了基于特殊位置mix-zone中地形和社交點的優點。此后，文獻[23]提出假名在指定的時間段內進行假名更新；文獻[24～26]指出由參與者決定何時停止所有通信更換假名，其中文獻[24]則需要一個輔助節點之間協調它們的安靜時段的中心機構；文獻[25]充分利用群的概念，區內車輛通信實行匿名控制及擁有一個隨機的安靜時段，可減小單個目標車輛的位置跟蹤；文獻[26]中的節點獨立決定是否在已形成的mix-zone中變換假名，但是基于博弈論(game theory)結果表明，自我的動態行為降低了節點間成功協調的機會。

總體說來，在車輛多的社交點完成假名更新是有一定危險系數的，而且車輛間關于安靜時段的協調以及假名更換成功的概率都是需要重點考慮的問題；更為重要的是，結合使用基于位置假名更換的方式，擁有了其優點，也無法躲避其易于跟蹤的缺點。

3.1.3 加密mix-zone

基于特殊位置和安靜時段的研究方案一般采取在mix-zone停止所有通信的方式，然而這在不同程度上造成了VANET安全性能損失。加密mix-zone方法是對某個地理區域加密，保證區域內的通信安全進行，而車輛在形成一個匿名群體通過mix-zone并更換假名后，攻擊者將難以辨認出哪輛是他所要跟蹤的。

文獻[27,28]均采用了加密 mix-zone中消息的方法代替停止所有通信。Freudiger等[27]提出CMIX(cryptographic mix-zone)協議，創建一個對稱密鑰k，作為mix-zone的空間密鑰。k由RSU分配給進入 mix-zone混合區域的合法車輛，mix-zone內通信的信息都必須經過 k的加密。CMIX為加強效果，文中聯合多個加密 mix-zone形成mix network(車輛混合網絡)。其創建對稱密鑰的過程如下：

Dahl等[28]在十字路口構造加密網絡模型，如圖4所示，采用CMIX協議[27]為車輛進入mix-zone分配密鑰，并形式化分析了加密 mix-zone的隱私模型。在分析實驗結果的基礎上，對CMIX協議進行了改進，即在 RSU的公鑰下加密請求和回復的消息。重建實驗場景后，大多數理想模型中的隱私在CMIX模型中也能達到。

圖4 加密mix-zone十字路口模型

總體來說，加密mix-zone提高了消息隱私性與車輛不可跟蹤性，但是同樣，車輛假名更換成功仍需要足夠的車輛數目；同時，加密也意味著更大的通信開銷與延遲。

3.1.4 mix-zone通信代理

（3）對接接頭剛性拘束焊接裂紋試驗 試驗標準：試驗按照《對接接頭剛性拘束焊接裂紋試驗方法》（GB/T 13817—1992）進行。

為減少車輛身份及發送消息的泄漏，有學者提出在 mix-zone內的通信采用第三方代理方式。Sampigethaya等[29]在隨機安靜時段[23]的基礎上，讓車輛形成群體，每個群中的領導者代表群內所有成員利益，匿名與RSU通信，使每輛車獲得LBS的應用。以群體隱藏了個體，達到匿名與隱私保護的效果。

ProMixZone方案[30]是針對城市交叉口及高速分叉路口的更換假名并保證消息傳送的有效方案。該方案中的車輛允許通過一個可信代理發送消息，每輛車在進入 PMZ(mix-zone with communication via proxy)前，會收到來自包含路邊代理的公鑰廣播消息。車輛在需要發送消息時，先用自身私鑰產生簽名，然后用代理的公鑰對簽名后的消息進行加密，再發送給代理；代理匯總掌握 PMZ內所有車輛的消息，在移除相應消息中的證書與簽名后，代理用自己的私鑰對消息進行簽名，并用接收消息車輛的公鑰加密后發送給對應車輛。

然而，代理方式雖然保證了消息的匿名傳送，但由于它的任務繁重，也成為了整個過程的瓶頸。對于 mix-zone的研究，還有學者[31]考慮了多個mix-zone在城市中的優化部署問題，并用有向圖形式化了一個城市mix-zone分布。

3.2 基于簽名的方案

數字簽名依靠公鑰加密技術保證了消息的完整性、發送者身份驗證以及防止抵賴，從而提供了一個辨別消息合法性的方法。在基于簽名的車輛位置隱私保護方法中，主要是基于群簽名和環簽名的方案，利用一個群體混淆群體內個體之間的區分，從而實現車輛匿名性的目的。

3.2.1 基于群簽名的位置隱私方案

群簽名方案的基本思想是，車輛先形成一個群體，群體中的任意一個成員可以以匿名的方式代表整個群體對消息進行簽名。與其他數字簽名一樣，群簽名可以是公開驗證的，而且可以只用單個群公鑰來驗證；不同的是，群簽名保護簽名者的匿名性，只有群管理者才可以跟蹤簽名者。為此，該方案可以用于車輛網絡，一方面，實現匿名認證；另一方面，實現可信中心對特定車輛的跟蹤。

最早的群簽名方法由Chaum和Heyst[32]提出，隨后 Boneh和 Shacham提出了短群簽名方案[33]和VLR(verifier-local revocation)機制。但是VLR機制中簽名撤消的消息只發送給簽名認證者，而不發給簽名者，導致已撤消的成員在撤消狀態下仍然可以使用之前的群簽名保持匿名性，使得該方案存在后向關聯性。Nakanishi和 Funabiki[34]提出了改進的VLR群簽名方案(記為NF05)，消除后向關聯特性。而文獻[35]提出了一個改進的 NF05群簽名方案并應用于車輛網絡，獲得一個擁有更短簽名長度和更少計算開銷的身份認證方案。改進 NF05[35]中有 2種身份認證機制，需要服務的 OBU發送簽名給RSU，RSU查找群公鑰和撤消列表，核實簽名合法后允許 OBU下載服務。隨后，動態的隱私保護的密鑰管理方案 DIKE[36]被提出，它是一個源于有效群簽名的隱私保護身份驗證機制，可避免用戶可能對同一個 LBS雙重登記而導致的攻擊(如 Sybil攻擊)，在達到用戶的隱私保護的同時，還能防止車輛用戶的雙重登記。

GSB[37]綜合采用群簽名技術和身份簽名技術，使得OBU不需要存儲大量的匿名密鑰，易于更新；而且可信中心可以有效地跟蹤目標OBU。然而，其OBU能夠處理的密鑰撤消列表比較短，在面對大規模的密鑰撤消及緊迫的安全消息匿名認證時，該方案面對繁重的核實過程將不大可行。針對此問題，Lu等[38]提出有效的條件隱私安全保護(ECPP[38]，efficient conditional privacy preservation)協議，該協議基于HAB(huge anonymous keys based)和GSB協議，在滿足可信中心一定程度跟蹤的同時，有效地處理不斷增長的撤消列表。ECPP協議只保持所需匿名密鑰的極小存儲，同時在安全消息的快速認證上增加了容量和有效的條件隱私跟蹤機制。此后，SPRING[39](social-based privacy-preserving packet forwarding)協議研究車輛延遲容忍網絡中分組轉發應用時接收者的位置隱私，它首次提出統計各交通叉路口RSU的密度；利用RSU的認證，達到分組的可信轉發；并采用ECPP協議[38]的思想，使得可信中心可在一定程度上實現對OBU的跟蹤。

3.2.2 基于環簽名的位置隱私方案

由于車輛的移動性，VANET的網絡拓撲結構是動態變化的。環簽名方案可以滿足由網絡拓撲結構動態變化帶來的通信要求。因為無需互相同意和消息交互，環成員可以快速變化，而且，小的環仍然可以確保簽名者的匿名性。

3.3 混合方案

以上各種基于 mix-zone的假名方案和群簽名環簽名方案各有其優勢和不足，一個研究思路是結合不同方案，利用其優點相互彌補不足之處，獲得具有更有效果的混合方案。混合方案由于綜合使用了多種方法，在綜合性能上具有更優的效果。

Spring[42]方案結合了假名和群身份思想，網絡中的每輛車的假名均配有一組群的公鑰和私鑰，車輛用私鑰簽名消息，用假名進行通信。文獻[27,28,30]中，將假名方案中結合了數字簽名思想。AMOEBA[25]是最有代表性的混合方案，采用了 3種方式來實現假名、群概念、數字簽名的思想，如利用組建車輛的群導航提供匿名，隨機安靜時段提高目標車輛在導航中位置隱私，簽名密鑰管理實現安全與隱私的權衡，達到了減緩某輛車的位置跟蹤的理想效果。

3.4 隱私保護方案比較

本文在介紹以上各類隱私保護方案的同時，對其各自的特點進行了分析。總體說來，各方案均有自身的優點，也存在一定的不足。本節的主要內容是在隱私保護內容、針對的攻擊類型以及隱私保護性能3個主要方面，對以上典型方法進行綜合比較。一般情況下，衡量隱私保護性能時主要使用4個要素：匿名性、無關聯性、不可跟蹤性和頑健性。其中，匿名性是指改變或隱藏車輛的身份，不用真實身份進行車輛自組網絡內的通信；關聯性是車輛的前后身份標識、前后位置以及身份標識與位置的關聯，隱私保護需要剔除這種關聯，實現上述參數的無關聯；不可跟蹤性指攻擊者不可以利用多種方式達到跟蹤車輛的目的，這些方式包含觀察和關聯前后位置、收集離散方位點等進行預測；而頑健性是指車載網絡能夠抵抗攻擊者的強度。在此，只給出各方案的隱私保護性能的結果，具體的度量方法將在下一節作具體陳述分析。表1給出了比較結果。

表1 位置隱私保護方法的比較

4 隱私保護水平的度量方法

表1中在描述隱私保護技術水平時使用的4個要素是目前度量隱私保護水平的主要指標，相關工作都圍繞著這4個指標來討論隱私保護技術的隱私保護能力。但是不同的度量方法在對各個指標的關注上是有所差異的，度量方法大致可以分為基于匿名集合度量、基于熵關聯性度量、基于分布概率度量和頑健性形式化證明4類。

4.1 基于區域匿名集的度量

匿名集合的概念早在1988年就已被學者提出。一般指在某個攻擊者控制的區域范圍內，同步變換匿名證書的所有 OBU集合。某區域的匿名集合越大，表明隱私程度越高。以文獻[29]為例，某個目標的匿名集 SA表示讓攻擊者難以分辯出目標身份的假名集合，|SA|表示集合大小，v(Ar)表示目標車輛所在范圍A內車輛總數目，則v(Ar)滿足空間泊松分布，即滿足式(2)。所以，一個目標匿名集合的期望大小可以表示為式(3)。

在評估過程中，也有一些度量方法設定假名更換頻率，計算匿名集合的平均大小，但其假設條件及計算過程復雜，目前較少文獻采用。

4.2 基于熵的關聯性度量

文獻[18]提出了觀察 mix-zone出口事件的方法用式(4)來度量位置隱私，式中，qsj表示車輛由口 s進入mix-zone口j離開的條件概率，fsj(t)表示車輛在時間t內由s到j穿越mix-zone的概率，pjt表示車輛在時間t內由入口s進入、出口j離開mix-zone的概率。同一時刻車輛對不同出口的概率與均勻分布的吻合度，表明了隱私保護水平的高低。

文獻[27]假設mix-zone內有N輛車，類似均勻分布。車輛在時間t內由入口s進入、出口j離開mix-zone記為事件l，與事件l相關聯的位置隱私是該事件概率 pjt的熵，由式(5)表示。這個熵值依賴于2個因素：mix-zone內的車輛數N和事件l的概率分布與均勻分布的相似程度，并且隨著這2個因素的增大而增大。事件概率 pjt遵循式(4)，其中，qsj和fsj(t)的概率分布依賴于攻擊模型。

將式(5)中mix-zone內的車輛數目N廣義表示成匿名集合中車輛的數目|SA|，用式(6)[42]來表示這個熵值。其中，Pi表示車輛i被選擇跟蹤的概率，并且如果H(p)=0，則表示被跟蹤的車輛不屬于任何的匿名集合，該車輛容易被追蹤。H(p)值越大，則表明車輛的位置隱私保護水平越高。式(6)中熵值的高低從數量的角度表明了隱私保護水平的高低。

4.3 基于分布概率的數學理論分析

基于匿名分析，采用統計學方法，理論推導某區域的匿名程度。某個時間段內車輛匿名集合的大小表明了隱私程度，集合越大，隱私保護程度越高。文獻[20,21]假設在時間段Ts內，車輛到達某個small social spot是一個泊松分布，車輛到達的時間間隔滿足期望值為 1/λ的指數分布，在交通燈(small social spot)處的分析模型如式(7)～式(9)。Pr表示在時間段Ts內到達路口的車輛隨機分布X的概率；E表示車輛分布X的數目；Sanony(匿名集合大小)等于Sa(路口的停車數)。

匿名集合分析是基于假設所有的車輛都會在social spot處更換假名，顯然，匿名集合越大，匿名保護水平就越高。

4.4 隱私保護頑健性的形式化證明

形式化證明首先需要定義網絡模型，然后利用協議分析工具(例如 ProVerif)或者推理證明來判斷隱私實現程度。建立模型之后，通常需要分析隱私成立的條件并且進行形式化描述。文獻[28]建立了mix-zone模型，并且在該模型下提出了隱私的形式化定義。Mix-zone模型如圖4所示，由5個位置構成：entryL、entryR、proximity、exitL和 exitR。以單個mix-zone內的2輛車V1、V2為例，V1、V2分別由entryL和entryR進入穿過mix-zone，那可能存在2種情況：V1由exitL出，V2由exitR出；V1由exitR出，V2由exitL出。如果攻擊者無法區分這 2種情況，即式(10)成立，那么隱私性就得到了保證。針對理想模型與以 CMIX協議[27]為基礎的 CMIX模型，若形式化分析的結果滿足式(10)中的等價關系，則在模型中的情境下實現了隱私要求。

表2 主要隱私保護水平的度量方法比較

式(10)中的 V(entry,exit)表示車輛從 entry運動到exit的過程。這個等價式表示圖4中的2輛車由不同的出口離開mix-zone時，在攻擊者看來是無異的、等價的。

對隱私保護水平的度量方法總結如表2所示。

5 結束語

目前，車輛自組網已成為無線通信服務市場一個重要領域，基于位置服務作為車輛網絡的特色支撐技術，隱私保護是其不可回避的關鍵問題。目前，國內已經開展了對泛在網絡隱私保護技術的研究[43]，但是關于車輛網絡位置服務方面，主要是提高如下載速度等服務質量[44]方面，尚未涉及隱私保護技術及其評估方法。為推進此方面的研究，本文介紹了車載自組網位置服務的基本內容；分析了主要的隱私保護技術；比較了常用的隱私度量方法。總的來說，車載網內的位置隱私已受到廣泛的關注，研究逐步活躍，但尚有不少問題仍有爭議，概括起來，如下幾個方面的問題還需要進一步細致而深入的研究。

首先，現有的VANET的位置隱私保護過程大多建立在比較理想化或局限的車載環境中，如假設車流量達到一定量，場景僅限在城市交叉口、交通燈下等。雖然理想環境規范了模型的建立及簡化了問題的處理，但需要進一步將實際中車輛高速移動、道路場景多樣(如高速公路、車輛稀少處)、網絡拓撲變化快等車載網絡的特點深入考慮。

其次，假名方法使用很廣泛，研究主要集中在管理、更新地點及更新策略上，而某個假名的壽命，或是說假名更新的頻率對隱私的影響之間的關聯度，缺乏深入的研究。而且，對失效假名的撤消與回收利用問題，在車輛自組網規模越來越大，是不可避免需要深入研究的內容。

最后，建立一個車輛自組網中位置隱私保護水平評估的通用標準，使隱私需求、隱私保護方法、系統隱私保護水平等都有一個相對統一的規范，規范的建立將是車輛自組網隱私研究的新方向。

[1] MOKBEL M F. Privacy in location-based services: start-of-the-art and research directions[A]. Proceedings of 8th International Conference on Mobile Data Management (MDM’07)[C]. Mannheim, Germany, 2007.228.

[2] GEDIK B, LIN L. Protecting location privacy with personalized k-anonymity: architecture and algorithms[J]. IEEE Transactions on Mobile Computing, 2008, 7(1):1-18.

[3] LIU L. From data privacy to location privacy: models and algorithms[A]. Proceedings of the 33rd International Conference on Very Large Data Bases (VLDB’07)[C]. Vienna, Austria, 2007. 1429-1430.

[4] TOOR Y, MUHLETHALER P, LAOUITI A. Vehicle ad hoc networks:applications and related technical issues[J]. IEEE Communication Surveys and Tutorials, 2008, 10(3):74-88.

[5] ZHU H J, LU R X, SHEN X M, et al. Security in service-oriented vehicular networks[J]. IEEE Wireless Communication, 2009, 16(4):16-22.

[6] PAPADIMITRATOS P, BUTTYAN L, HOLCZER T, et al. Secure vehicular communications: design and architecture[J]. IEEE Communications Magazine, 2008, 46(11):100-109.

[7] CAPKUN S, HUBAUX J P, JAKOBSSON M. Secure and Privacy-Preserving Communication in Hybrid Ad Hoc Networks[R].EPEFL-IC Technical Report, 2004.

[8] RAYA M, HUBAUX J P. The security of vehicular ad hoc net-works[A]. Proceedings of the Third ACM Workshop on Security of Ad Hoc and Sensor Networks (SASN)[C]. NY, USA, 2005. 11-21.

[9] HOH B, GRUTESER M, HUI X, et al. Preserving privacy in GPS traces via uncertainty-aware path cloaking[A]. Proceedings of the 14th ACM Conference on Computer and Communications Security(CCS’07)[C]. 2007. 161-171.

[10] WASEF A, SHEN X M. REP: Location privacy for VANET using random encryption periods[J]. ACM Mobile Networks and Applications (MONET), 2010, 15(1): 172-185.

[11] BERESFORD A R, STAJANO F. Location privacy in pervasive computing[J]. IEEE Pervasive Computing, 2003, 2(1): 46-55.

[12] CHAUM D L. Untraceable electronic mail, return addresses and digital pseudonyms[J]. Communications of the ACM, 1981, 24(2):84-90.

[13] BERESFORD A R, STAJANO F. Mix-zone: user privacy in location-aware services[A]. Proceedings of the Second IEEE International Conference on Pervasive Computing and Communications[C]. Florida,US, 2004. 127-131.

[14] GRUTESER M, GRUNWALD D. Enhancing location privacy in wireless LAN through disposable interface identifiers: a quantitative analysis[J]. Mobile Networks and Applications, 2005, 10(3):315-325.

[15] HUANG L P, YAMANE H, MATSUURA K, et al. Towards modeling wireless location privacy[A]. PETS[C]. 2006. 59-77.

[16] FREUDIGER J, SHOKRI R, HUBAUX J P. On the optimal placement of mix zones[A]. PETS[C]. 2009. 216-234.

[17] AIJAZ A, BOCHOW B, DOTZER F, et al. Attacks on inter vehicle communication systems-an analysis[A]. Proceedings of the 3rd International Workshop on Intelligent Transportation (WIT 2006)[C].Hamburg, Germany, 2006. 1-11.

[18] BUTTYAN L, HOLCZER T, VAJDA I. On the effectiveness of changing pseudonyms to provide location privacy in VANET[A]. Proceedings of ESAS’07[C]. 2007. 129-141.

[19] SCHEUER F, POSSE K, FEDERRATH H. Preventing profile generation in vehicular networks[A]. Proceedings of the 2008 IEEE International Conference on Wireless and Mobile Computing, Networking and Communication[C]. Washington, DC, USA, 2008. 520-525.

[20] LU R X, LIN X D, LUAN T H, et al. Anonymity analysis on social spot based pseudonym changing for location privacy in VANET[A].IEEE ICC’11[C]. Kyoto, Japan, 2011. 1-5.

[21] LU R X, LIN X D, LUAN T H, et al. Pseudonym changing at social spots: an effective strategy for location privacy in VANET[J]. IEEE Transaction on Vehicular Technology, 2012, 61(1):86-96.

[22] BUTTYAN L, HOLCZER T, WEIMERSKIRCH A, et al. Slow: a practical pseudonym changing scheme for location privacy in VANETs[A]. IEEE Vehicular Networking Conference (VNC)[C].Tokyo, Japan, 2009. 1-8.

[23] HUANG L P, MATSUURA K, YAMANE H, et al. Enhancing wireless location privacy using silent period[A]. ECNC[C]. 2005. 1187-1192.

[24] LI M Y, SAMPIGETHAYA K, HUANG L P, et al. Swing & swap:user-centric approaches towards maximizing location privacy[A].Proceedings of the 5th ACM Workshop on Privacy in Electronic Society[C]. New York, USA, 2006. 19-28.

[25] SAMPIGETHAYA K, LI M Y, HUANG L P, et al. Amoeba: robust location privacy scheme for VANET[J]. IEEE Journal on Selected Areas in Communications, 2007, 25(8): 1569-1589.

[26] FREUDIGER J, MANSHAEI M H, HUBAUX J P, et al. On non-cooperative location privacy: a game-theoretic analysis[A].CCS’09[C]. NY, USA, 2009.324-337.

[27] FREUDIGER J, RAYA M, FLEGYHZI M, et al. Mix-zone for location privacy in vehicular networks[A]. Proc of ACM Workshop on Wireless Networking for Intelligent Transportation Systems (WiNITS’07)[C]. Vancouver, Canada, 2007.

[28] DAHL M, DELAUNE S, STEEL G. Formal analysis of privacy for vehicular mix-zones[A]. Proceedings of the 15th European Symposium on Research in Computer Security[C]. 2010. 55-70.

[29] SAMPIGETHAYA K, HUANG L P, LI M Y, et al. CARAVAN:providing location privacy for VANET[A]. ESCAR[C]. 2005.

[30] SCHEUER F, FUCHS K P, FEDERRATH H. A safety-preserving mix zone for VANET[A]. Trust, Privacy and Security in Digital Business[C]. Berlin Heidelberg, 2011. 37-48.

[31] SUN Y P, SU X Y, ZHAO B K, et al. Mix-zones deployment for location privacy preservation in vehicle communications[A]. IEEE 10th International Conference on Compute and Information Technology (CIT 2010)[C]. Bradford, England, 2010. 2825-2830.

[32] CHAUM D, HEYST E V. Group signatures[A]. Proceedings of the 10th Annual International Conference on Theory and Application of Cryptographic Techniques[C]. Berlin, Heidelberg, 1991. 257-265.

[33] BONEH D, BOYEN X, SHACHAM H. Short group signatures[A].CRYPTO 2004[C]. Berlin, Heidelberg, 2004. 227-242.

[34] NAKANISHI T, FUNABIKI N. Verifier-local revocation group signature schemes with backward unlinkability from billing maps[A].ASIACRYPT 2005[C]. Chennai, India, 2005. 533-548.

[35] ZHANG J L, MA L ZH, SU W L, et al. Privacy-preserving authentication based on short group signature in vehicular networks[A]. ISDPE 2007[C]. Chengdu, China, 2007. 138-142.

[36] LU R X, LIN X D, LIANG X H, et al. A dynamic privacy-preserving key management scheme for location based services in VANET[J].IEEE Transactions on Intelligent Transportation Systems, 2011,13(1):127-139.

[37] LIN X D, SUN X T, HO P H, et al. GSIS: a secure and privacy-preserving protocol for vehicular communications[J]. IEEE Transactions on Vehicular Technology, 2007, 56(6): 3442-3456.

[38] LU R X, LIN X D, ZHU H J, et al. ECPP: efficient condition privacy preservation protocol for secure vehicular communications[A]. IEEE INFOCOM 2008[C]. Phoenix, AZ, 2008. 1229-1237.

[39] LU R X, LIN X D, SHEN X M. Spring: a social-based privacy-preserving packet forwarding protocol for vehicular delay tolerant networks[A]. INFOCOM 2010[C]. California, USA, 2010. 1-9.

[40] SCHECHTER S, PARNELL T, HARTEMINK A. Anonymous authentication of membership in dynamic groups[A]. Proceedings of the Third International Conference on Financial Data Security and Digital Commerce[C]. 1999. 184-195.

[41] CHAURASIA B K, VERMA S. Conditional privacy through ring signature in vehicular ad-hoc networks[A]. Transactions on Computational Science[C]. Berlin, Heidelberg, 2011. 147-156.

[42] WEI Y C, CHEN Y M, SHAN H L. RSSI-based user centric anonymization for location privacy in vehicular networks[J]. Institute for Computer Sciences, Social-Informatics and Telecommunications Engineering, 2010, 42(2): 39-51.

[43] 李大偉, 楊庚, 蘇弘逸等. 基于身份的泛在通信隱私保護方案[J],通信學報, 2011,32(9):44-50.LI D W, YANG G, SU H Y, et al. Identity based privacy preservation scheme for ubiquitous computing[J]. Journal on Communications,2011, 32(9):44-50.

[44] 劉建航, 孫江明, 畢經平等. 基于動態時槽的車聯網協助下載方法研究[J]. 計算機學報, 2011, 34(8):1378-1386.LIU J H, SUN J M, BI J P, et al. VANET cooperative downloading approach study based on dynamic slot[J]. Chinese Journal of Computers, 2011, 34(8):1378-1386.