車聯網軌跡隱私保護研究進展

張春花，臧海娟，薛小平，張 芳，陳康強，馮麗娟

(1.同濟大學 電子與信息工程學院，上海 201804； 2.江蘇理工學院 計算機工程學院，江蘇 常州 213001) (*通信作者電子郵箱zhjuan@qq.com)

車聯網軌跡隱私保護研究進展

張春花1，臧海娟2*，薛小平1，張 芳1，陳康強1，馮麗娟1

(1.同濟大學 電子與信息工程學院，上海 201804； 2.江蘇理工學院 計算機工程學院，江蘇 常州 213001) (*通信作者電子郵箱zhjuan@qq.com)

軌跡隱私保護對車聯網(IoV)的發展至關重要，歸納和分析現有研究方法有重要意義。車聯網軌跡隱私保護思想有軌跡模糊、假名更換和軌跡加密等3類，實現方法分別有基于用戶真實軌跡的方法和基于啞元軌跡的方法、基于混合區域的方法和基于路徑混淆的方法、基于私密信息檢索(PIR)協議的方法和基于空間轉換的方法。首先，介紹和歸納了研究背景和常見攻擊等車聯網軌跡隱私保護關鍵問題；然后，從方法思想、科學問題、方法演進等方面詳細綜述了現有車聯網軌跡隱私保護方法，并闡述了需深入研究的難題；在此基礎上，總結了代表性方案的隱私保護度、抗攻擊性、復雜度等性能指標；最后展望了車聯網軌跡隱私保護的未來研究方向。

車聯網；軌跡隱私；隱私保護

0 引言

車聯網(Internet of Vehicles, IoV)是由車輛自組織網絡(Vehicular Ad-Hoc Network，VANET)和移動互聯網組成的開放異構網絡，支持交通安全、交通效率和信息娛樂等服務[1]。車輛的位置信息是車聯網正常運作的基礎。通常車輛的位置即是車載用戶所在的位置，若不受保護，則用戶會受到與時間和空間相關的推理攻擊，導致用戶的社會角色、生活習慣等敏感隱私信息泄露，甚至威脅用戶的人身和財產安全。

軌跡是具有時空關聯的位置信息，存在于連續更新位置的應用，如多數安全應用、交通效率應用及連續空間查詢等。軌跡隱私保護是位置隱私保護的重要范疇，受到國內外學者的關注，并已提出了許多有效的方法，包括混合區域、啞元軌跡、空間轉換等。然而，車聯網的高度移動可預測性、社會性、網絡連通度不確定性、短暫性通信等特性[2]，使軌跡隱私保護極具挑戰，仍存在亟待突破的研究難題。

1 車聯網軌跡隱私保護關鍵問題

1.1 車聯網軌跡隱私保護的難點

車聯網中，車輛軌跡實質上反映了車輛及駕乘人員的行為，是車輛及駕乘人員隱私的重要內容。這種軌跡通常是由車輛連續地更新位置形成的，如主動安全應用要求車輛周期性地廣播包含位置、速度等信息的信標消息。

軌跡隱私若不受保護，非法人員通過分析軌跡可獲取駕乘人員的興趣愛好、家庭住址、社會關系等隱私信息，則軌跡隱私保護無論對車輛或是對駕乘人員都十分重要。

車聯網具有高動態性、高度移動可預測性和社會性等特性，導致車聯網軌跡隱私保護研究非常復雜。具體地，車輛高速移動，網絡割裂頻繁發生；車輛的移動受限于道路網絡；交通管理部門為不同類型的車輛劃分車道并規定不同車道的最高和最低限速；車輛的移動速度和方向受鄰居車輛和交通狀況的制約；車輛是由人駕駛的，車輛的移動規律與人的移動規律相符，如基于最短路徑移動。

1.2 常見攻擊類型

車聯網是開放性網絡，容易遭受各種隱私攻擊，常見攻擊類型有：基于移動預測(Mobile Forecast， MF)的攻擊、基于查詢關聯(Query Association， QA)的攻擊和基于車輛分布概率(Vehicle Distribution Probability， VDP)的攻擊。

基于移動預測的攻擊是指攻擊者利用路網拓撲結構、最大運動速度、交通狀況、路段轉移概率等知識，預測并關聯用戶的位置，從而構造出車輛的移動軌跡。

基于查詢關聯的攻擊是指攻擊者利用查詢內容間的相關性，識別出發起查詢的用戶，繼而連續地追蹤用戶。

基于車輛分布概率的攻擊是指攻擊者利用車輛在道路上的分布概率，結合匿名算法，推斷車輛所在的路段。

車聯網軌跡隱私保護研究應圍繞常見攻擊展開，否則攻擊者會通過推理獲得軌跡隱私信息。

2 車聯網軌跡隱私保護方法

現有軌跡隱私保護方法的核心策略有軌跡模糊、假名更換和軌跡加密等3種。根據實現策略的途徑/機制，軌跡隱私保護方法可分別細分為：基于真實用戶軌跡的方法[3-4]和基于啞元軌跡的方法[5-7]；基于混合區域的方法[8-10]和基于路徑混淆的方法[11-12]；基于私密信息檢索(Private Information Retrieval，PIR)協議的方法[13-14]和基于空間轉換的方法[15-16]。

2.1 基于軌跡模糊的軌跡隱私保護方法

軌跡模糊模型通過連續匿名，使攻擊者無法將單一用戶軌跡從某軌跡集合中精確地識別出來。如何構造有效抵抗攻擊的軌跡集合(稱為匿名軌跡集)是此類模型的關鍵問題，通常利用真實用戶軌跡或啞元軌跡實現匿名。集合的基數稱為匿名度，一般記為k。

2.1.1 基于真實用戶軌跡的方法

基于真實用戶軌跡的方法是用戶在請求基于位置的服務(Location-Based Service， LBS)時，每次向服務器提交多個服務請求用戶的真實位置。這些位置所在的空間區域稱為匿名區域，通常采用路段集的形式。

軌跡隱私保護方法的抗攻擊能力與路網拓撲和用戶分布狀況密切相關。由于車輛的情境感知能力有限，現有工作普遍采用集中式架構[3-4]。

為實現快速匿名，文獻[3]基于用戶密度、歷史軌跡和路網拓撲，構建了路網層次結構；軌跡k-匿名要求構造的所有匿名區域至少有k個相同的用戶[17]，為此通常將移動趨勢、速度差異、目的地信息等因素作為構造匿名集的條件[3-4]。

顯然，集中式架構存在單點故障和性能瓶頸等安全隱患[18]。如何支持用戶的優先查詢請求仍是開放性問題。

2.1.2 基于啞元軌跡的方法

啞元軌跡即虛擬軌跡，此類方法是在用戶每次更新位置時，產生新的虛擬用戶位置(即啞元位置)，連續的啞元位置構成啞元軌跡。

啞元軌跡的合理性決定方法的有效性[19]。考慮到用戶在固定時間內移動的距離是受限的，文獻[5]從當前啞元位置的附近區域選擇下一啞元位置。文獻[6]以集中式的架構實現了文獻[5]提出的算法，通過利用所有用戶的活動，優化了系統行為和性能。除了可達性，文獻[7]考慮了道路網絡限制和用戶運動模式(如用戶運動一段時間后會停留一段時間)。

啞元軌跡方法能夠獲得一定的軌跡隱私保護，但如何產生與真實軌跡不可區分的啞元軌跡是一個復雜的問題，還需要進一步的研究。

2.2 基于假名更換的軌跡隱私保護方法

假名是隱藏了用戶真實身份的身份標識，但若用戶長期使用一個假名，則將被攻擊者連續追蹤，泄露軌跡隱私，故需更換假名。實現假名更換的機制有混合區域和路徑混淆。

2.2.1 基于混合區域的方法

基于混合區域的方法是協調多個用戶在特定的空間區域同步更換假名，使攻擊者無法確定新假名和舊假名的映射關系，以保護用戶的完整軌跡。圖1是典型的混合區域模型，用戶{a，b，c}進入混合區域，并停止所有通信，離開混合區域時，使用新假名{r，s，t}發送數據包[20]。攻擊者不能確定{a，b，c}和{r，s，t}之間的關聯，則用戶的完整軌跡得到了保護。

圖1 混合區域模型

直觀上，車輛密度越高，攻擊者越不能確定新假名和舊假名的映射關系，因而研究者提出在十字路口、大型商場的免費停車場等社會熱點區域部署混合區域[8]。

但基于社會熱點區域的方案缺乏靈活性，且攻擊者會針對某混合區域采取攻擊手段，因而研究人員提出了動態混合區域模型[21-22]，由用戶根據鄰居車輛密度情況，通過協作構造混合區域。此類方法的有效性依賴于同步更換假名的用戶數量。在假名機制中引入信譽機制可激勵用戶參與假名更換[9]，通過同步多個混合區域可擺脫對車輛密度的依賴，增強更換假名的靈活性[10]。

假名更換會影響安全應用的性能，為解決此問題，一方面可選擇車輛并線、變道、低速行駛等作為假名更換的時機[23-24]，另一方面可利用加密技術保持用戶間的通信[8,25]。

在抗攻擊性研究方面，文獻[26]形式化分析了直接將理論的矩形混合區域應用于路網的弱點，主張通過仔細考慮區域的幾何學、用戶的統計行為、用戶移動模式的空間限制、位置暴露的時間和空間分辨率等多種因素，構建有效的混合區域，并提出了構建抗攻擊能力更強的非矩形混合區域的方法；文獻[27]討論了基于輔助信息的真實身份揭露和軌跡追蹤攻擊，建議通過使用多個混合區域抵抗基于輔助信息的推理攻擊，提出了將部署多個混合區域的問題轉化為成本約束優化問題的數學模型，并考慮了交通密度的影響，提出了兩個啟發式算法以戰略性地選擇混合區域位置，從而降低了用戶軌跡的隱私威脅；文獻[28]描述和分析了基于查詢關聯的攻擊對匿名性的影響，提出了延遲容忍的混合區域框架。

總體來講，設計適用于車聯網的混合區域需充分考慮靈活性、對安全應用性能的影響和抗攻擊的能力，這是仍具有挑戰性的問題。

2.2.2 基于路徑混淆的方法

基于路徑混淆的方法是在至少有兩個用戶的物理位置鄰近時，通過用戶間的交互，在用戶真實位置上添加噪聲使他們的路徑出現交叉點，并更換假名，以增加攻擊者追蹤用戶的難度[11]。

位置數據噪聲必然會影響服務質量，為此，文獻[11]定義了期望距離誤差和平均位置錯誤，分別用于量化攻擊者準確估計用戶位置的能力和用戶獲得的服務質量，從而將路徑交叉問題公式化為約束非線性優化問題，實現在滿足給定的服務質量需求時，最大化位置隱私保護強度。

文獻[12]提出了集中式的路徑混淆方法，由可信匿名器根據歷史數據預測用戶的移動，并使每個新預測的路徑與其他用戶的路徑相交。攻擊者只能看到一系列交叉的路徑，很難準確地追蹤用戶。

以上工作未探討基于用戶移動模型和家庭住址信息等知識的移動預測攻擊。整體上，路徑混淆機制的隱私保護能力不如混合區域機制。

2.3 基于軌跡加密的軌跡隱私保護方法

軌跡加密模型利用密碼學加密用戶的真實位置，使其對服務器及其他實體完全不可見，從而保護軌跡隱私，實現技術有PIR協議[29]和空間轉換。

2.3.1 基于PIR協議的方法

PIR協議是數據庫檢索領域的密碼學原語，目標是實現數據庫服務器在不知道用戶提交的查詢信息的情況下，仍然能夠完成查詢，因此，若將PIR協議應用于LBS，能夠獲得攻擊者對用戶的查詢信息一無所知的強隱私保護。

基于PIR協議的方法處理LBS查詢服務的流程是：移動客戶端依照PIR協議加密包含位置數據的查詢信息，集成了PIR服務端的LBS服務器在不知道用戶的位置數據的情況下檢索數據庫，并返回查詢結果。

PIR協議支持的數據訪問模式是從一個二值數據庫上查詢某一個二進制位或塊，通常需要針對特定的空間查詢方式設計LBS服務器端的數據庫和索引結構，并進行性能優化。

已有的基于PIR協議的軌跡隱私保護研究工作主要包括最短路徑計算[13,30]和最近鄰查詢[14,31-32]。

1)基于PIR協議的最短路徑計算。

最短路徑計算是車聯網中常用的查詢之一，需要用戶提交始發地和目的地信息。若這些信息不受保護，攻擊者很容易推斷出用戶的社會活動等敏感信息。

文獻[13]首次將PIR協議應用于最短路徑計算，基于提出的具有最低空間代價和可管理查詢處理代價等特征的簡略索引機制，實現了性能合理的強隱私保護，但時間和空間消耗仍明顯高于不受保護的查詢處理。

文獻[30]提出了壓縮下一跳路由矩陣的新方法，結合對稱PIR協議，得到了完全隱私的高效城市街道實時導航協議。

2)基于PIR協議的最近鄰查詢。

文獻[31]最先將PIR協議的理論工作應用于近似最近鄰查詢和精確最近鄰查詢，實現了抗關聯攻擊的可證明的強隱私保證。近似最近鄰查詢方案包含離線階段和響應查詢階段。離線階段：LBS服務器生成所有興趣點(Point Of Interest， POI)的kd(k-dimensional)-樹索引，并將空間劃分成多個區域。響應查詢階段：LBS服務器將劃分的區域發送給用戶；查詢用戶使用PIR協議將自己所在的區域發送給LBS服務器；LBS服務器在不知道查詢用戶所在區域的情況下，完成查詢處理，將得到的加密查詢結果返回給查詢用戶；查詢用戶解密LBS服務器返回的查詢結果，得到最近鄰POI。通過利用Voronoi圖劃分空間區域，實現了精確最近鄰查詢。

AHG(Aggregate Hilbert Grid)[32]是基于安全硬件輔助的PIR協議的K最近鄰(KNearest Neighbor，KNN)查詢方法。AHG將一個KNN查詢分解成一系列的數據庫塊檢索。每個數據塊檢索由安全硬件PIR執行，以防止LBS服務器識別出數據塊，并且，所有查詢遵循一個混淆塊訪問模式的通用查詢規劃，實現了查詢不可區分的強隱私保護。

文獻[14]提出的基于安全硬件輔助的PIR協議的隱私保護KNN查詢方法，考慮了道路網絡因素，通過為任意K設計固定的查詢計劃，以提供強隱私保護。

在連續查詢中，用戶需要執行多次PIR訪問才能獲得查詢結果，而不同的位置對應的查詢結果或PIR訪問次數存在差異。例如，不同的起點或終點，計算得到的最短路徑包含的邊數不同，那么查詢結果的大小或查詢處理過程中數據訪問的次數就不同，因此，應避免攻擊者利用這些信息推斷出用戶的軌跡隱私。

雖然基于PIR協議的隱私保護研究成果已取得了合理的檢索時間，但仍然比不受保護的磁盤讀取慢很多。另外，基于PIR協議的隱私保護方法要求客戶端和LBS服務器支持PIR協議，可能產生客戶端和LBS服務器負擔不起的高計算與通信開銷，并且PIR構件具有限制條件，如支持的文件規模是有限的。

2.3.2 基于空間轉換的方法

基于空間轉換的方法使用空間填充曲線將2-D的空間數據和查詢用戶的位置數據轉換到1-D空間。LBS服務器存儲轉換的空間數據，并根據轉換的查詢用戶的位置數據在轉換的空間數據庫中完成查詢處理。由于轉換過程是單向的，LBS服務器不能根據1-D的位置數據得到2-D的位置數據，則軌跡隱私受到了保護。

空間轉換方法在最近鄰查詢的位置隱私保護中得到應用，可行的方法應滿足：空間轉換函數具有單向函數的特性，使空間轉換是計算安全的，以防止轉換后的數據被不可信實體惡意使用；保持原始空間數據的鄰近性，以保證查詢結果的準確性；在轉換的空間數據庫中執行查詢的效率要能滿足用戶的需求。

Hilbert曲線具有很好的距離保持特性和聚類特性，且在計算上，不知道曲線參數(包括曲線的起始點、曲線方向、曲線結束和曲線縮放因子)的實體不能通過組合參數發現正確的曲線，因此，Hilbert曲線是空間轉換的有效工具。

通常在2-D空間中鄰近的點在Hilbert曲線上仍然是鄰近的，但由于遺漏邊的性質，也會出現離得遠的情況；另外，由于Hilbert曲線是對原始空間的降維，導致用戶在轉換空間的最近鄰數量少于在原始空間的最近鄰數量。基于雙Hilbert曲線的查詢解析技術[33]可減少遺漏邊和降維對查詢精度的影響，但仍不能返回精準的最近鄰。

基于標準Hilbert曲線的空間轉換仍保持了興趣點的分布特征，即相同或相近Hilbert值的數量與未轉換空間中興趣點的密度正相關，則增加了隱私泄露的風險。

為抵抗基于興趣點分布知識的攻擊，文獻[15]提出了聯合加密哈希函數與雙Hilbert曲線的隱私保護機制，實現了更加嚴格的隱私保護；文獻[16]提出了根據空間區域內興趣點分布密度而自動調整曲線參數的自適應Hilbert曲線(Adaptive Hilbert Curve， AHC)。基于AHC的空間轉換方法，也避免了使用標準Hilbert曲線轉換空間時需要多次調整曲線參數，且可支持數據擁有者對空間區域的自定義授權。

但在道路網絡環境下，興趣點是沿道路分布的，用戶的行駛狀態(方向和軌跡)受限于道路網絡，則利用Hilbert曲線轉換興趣點和查詢點對象的方法很難保持原始道路網空間中對象之間的鄰近關系。如圖2所示，查詢用戶u1的Hilbert值為1，興趣點p1和p2的Hilbert值分別為5和12，在轉換空間中，u1和p1更近，但實際上u1和p2更近，因此有待進一步研究如何獲取準確的查詢結果。

圖2 Hilbert曲線填充路網空間

3 車聯網軌跡隱私保護方法總結

軌跡隱私保護是車聯網研究領域的一項重要內容，本文綜述了學者針對不同的應用場景和系統目標而提出的基于真實用戶軌跡的方法、基于啞元軌跡的方法、基于混合區域的方法、基于路徑混淆的方法、基于PIR協議的方法和基于空間轉換的方法等6類方法。表1總結了代表性工作在體系結構、隱私保護度、抗攻擊性、服務質量和復雜度等方面的特征。

表1 車聯網軌跡隱私保護方案比較

由表1可知，整體上，基于加密思想的PIR協議和空間轉換方法的隱私保護強度高，但復雜度高，而其他軌跡隱私保護方法較好地平衡了隱私保護度、服務質量和復雜度。在實際應用中，應綜合考慮軌跡隱私保護方法的特性、應用場景的特征和用戶的隱私需求，以選擇合適的軌跡隱私保護方法。

4 研究展望

盡管學術界已提出了許多有效的車聯網軌跡隱私保護方法，但車聯網是一個復雜的信息網絡，對車聯網的認知還在不斷深入，車聯網軌跡隱私保護研究仍存在挑戰：

1)基于車輛移動的社會性特征和規律的軌跡隱私保護方法研究。

由于車輛是由人控制的，因此車輛的移動不是隨機的，而是與駕駛員/乘客的行車習慣和社會關系等有關，具有車輛停留、最短路徑駕駛、趨向社會熱點、場景多樣化等社會性特性和規律。而傳統的軌跡隱私保護方法未充分考慮這些特征，在魯棒性方面存在脆弱性，例如，若攻擊者擁有分辨啞軌跡和用戶真實軌跡的知識，則會削弱方法的隱私保護能力，因此基于車輛移動的社會性特征和規律的車聯網軌跡隱私保護方法研究極具意義。

2)對背景知識不敏感的車聯網軌跡隱私保護方法研究。

由于車輛的移動具有高度可預測性，則攻擊者極可能利用路網拓撲圖、交通狀況等背景知識推斷用戶的位置，進而持續追蹤用戶。目前考慮位置推斷攻擊的車聯網軌跡隱私保護方法都是基于對攻擊者擁有的背景知識的假設，那么當攻擊者擁有新的背景知識時，隱私保護方法可能變得無效，因此需深入探索對背景知識不敏感的車聯網軌跡隱私保護方法。

3)車聯網軌跡隱私保護方法度量機制研究。

目前，在車聯網軌跡隱私保護方法評估方面缺少系統化的動態度量機制，一方面盡管研究者提出了一些度量指標，但這些指標往往是針對特定的隱私保護方法、攻擊模型或隱私威脅等，沒有統一的量化標準，另一方面車聯網上下文環境(如用戶密度和道路拓撲)具有動態性，靜態的單一度量指標不能客觀地刻畫隱私保護方法的性能。

車聯網軌跡隱私保護方法度量機制對于車聯網軌跡隱私保護方法的發展有重要作用。依據度量機制評估隱私保護方法的性能，一方面能夠比較不同隱私保護方法的性能，為特定的場景和應用選擇合適的隱私保護方法，另一方面能夠為分析和確定影響軌跡隱私保護性能的關鍵因素提供參考，為隱私保護方法的改進提供指導性建議。

5 結語

軌跡隱私保護研究對于車聯網的落地至關重要，但車聯網的節點高速移動、短暫性通信、節點移動高度可預測、社會性等特性，使得傳統的軌跡隱私保護方法不適用于車聯網。為此，本文在介紹車聯網軌跡隱私保護的關鍵問題的基礎上，從方法思想、科學問題、方法演進等方面詳細分類綜述了現有主要研究成果，并總結了具有代表性的車聯網軌跡隱私保護方案的特點，最后展望了未來的研究方向。

References)

[1] 陳宇峰,向鄭濤,董亞波,等.車聯網建模和統計性質分析及其路由策略綜述[J].計算機應用,2015,35(12):3321-3324.(CHEN Y F, XIANG Z T, DONG Y B, et al. Review of modeling, statistical properties analysis and routing strategies optimization in Internet of vehicles [J]. Journal of Computer Applications, 2015, 35(12): 3321-3324.)

[2] LU R. Security and privacy preservation in vehicular social networks [D]. Waterloo: University of Waterloo, 2012: 18-28.

[3] WANG Y, XIA Y, HOU J, et al. A fast privacy-preserving framework for continuous location-based queries in road networks [J]. Journal of Network and Computer Applications, 2015, 53(7): 57-73.

[4] SONG D, PARK K. A privacy-preserving location-based system for continuous spatial queries [J/OL]. Mobile Information Systems, 2016, 2016: 1-9 [2016- 09- 25]. http://dx.doi.org/10.1155/2016/6182769.

[5] KIDO H, YANAGISAWA Y, SATOH T. An anonymous communication technique using dummies for location-based services [C]// Proceeding of the 21st International Conference on Data Engineering Workshops. Piscataway, NJ: IEEE, 2005: 88-97.

[6] TRAN M T, ECHIZEN I, DUONG A D. Binomial-mix-based location anonymizer system with global dummy generation to preserve user location privacy in location-based services [C]// Proceedings of the 2010 International Conference on Availability, Reliability, and Security. Piscataway, NJ: IEEE, 2010: 580-585.

[7] HARA T, SUZUKI A, IWATA M, et al. Dummy-based user location anonymization under real-world constraints [J]. IEEE Access, 2016, 4: 673-687.

[8] LU R, LIN X, LUAN T H, et al. Pseudonym changing at social spots: an effective strategy for location privacy in VANETs [J]. IEEE Transactions on Vehicular Technology, 2012, 61(1): 86-96.

[9] YING B, MAKRAKIS D. Reputation-based pseudonym change for location privacy in vehicular networks [C]// Proceedings of the 2015 IEEE International Conference on Communications. Piscataway, NJ: IEEE, 2015: 7041-7046.

[10] YU R, KANG J, HUANG X, et al. MixGroup: accumulative pseudonym exchanging for location privacy preservation in vehicular social networks [J]. IEEE Transactions on Dependable and Secure Computing, 2016, 13(1): 93-105.

[11] HOH B, GRUTESER M. Protecting location privacy through path confusion [C]// Proceedings of the First International Conference on Security and Privacy for Emerging Areas in Communications Networks. Piscataway, NJ: IEEE, 2005: 194-205.

[12] MEYEROWITZ J, ROY CHOUDHURY R. Hiding stars with fireworks: location privacy through camouflage [C]// Proceedings of the 15th Annual International Conference on Mobile Computing and Networking. New York: ACM, 2009: 345-356.

[13] MOURATIDIS K, YIU M L. Shortest path computation with no information leakage [J]. Proceedings of the VLDB Endowment, 2012, 5(8): 692-703.

[14] WANG L, MA R, MENG X. Evaluatingknearest neighbor query on road networks with no information leakage [C]// WISE 2015: Proceedings of the 16th International Conference on Web Information Systems Engineering. Berlin: Springer, 2015: 508-521.

[15] KHOSHGOZARAN A, SHIRANI-MEHR H, SHAHABI C. Blind evaluation of location based queries using space transformation to preserve location privacy [J]. GeoInformatica, 2013, 17(4): 599-634.

[16] 田豐,桂小林,張學軍,等.基于興趣點分布的外包空間數據隱私保護方法[J].計算機學報,2014,37(1):123-138.(TIAN F, GUI X L, ZHANG X J, et al. Privacy-preserving approach for outsourced spatial data based on POI distribution [J]. Chinese Journal of Computers, 2014, 37(1): 123-138.)

[17] 周長利,馬春光,楊松濤.路網環境下保護LBS位置隱私的連續KNN查詢方法[J].計算機研究與發展,2015,52(11):2628-2644.(ZHOU C L, MA C G, YANG S T. Location privacy-preserving method for LBS continuousKNN query in road networks [J]. Journal of Computer Research and Development, 2015, 52(11): 2628-2644.)

[18] PENG T, LIU Q, WANG G. Enhanced location privacy preserving scheme in location-based services [J]. IEEE Systems Journal, 2014, 11(1): 219-230.

[19] KATO R, IWATA M, HARA T, et al. User location anonymization method for wide distribution of dummies [C]// Proceedings of the 2013 International Conference on Database and Expert Systems Applications. Berlin: Springer, 2013: 259-273.

[20] ATAEI M, KRAY C. Ephemerality is the new black: a novel perspective on location data management and location privacy in LBS [M]// Progress in Location-Based Services 2016. Berlin: Springer, 2017: 357-373.

[21] SONG J H, WONG V W S, LEUNG V C M. Wireless location privacy protection in vehicular Ad-Hoc networks [J]. Mobile Networks and Applications, 2010, 15(1): 160-171.

[22] HUANG L, MATSUURA K, YAMANE H, et al. Enhancing wireless location privacy using silent period [C]// Proceedings of the 2005 Wireless Communications and Networking Conference. Piscataway, NJ: IEEE, 2005: 1187-1192.

[23] SAMPIGETHAYA K, LI M, HUANG L, et al. AMOEBA: robust location privacy scheme for VANET [J]. IEEE Journal on Selected Areas in Communications, 2007, 25(8): 1569-1589.

[25] SCHEUER F, FUCHS K P, FEDERRATH H. A safety-preserving mix zone for VANETs [M]// Trust, Privacy and Security in Digital Business. Berlin: Springer, 2011: 37-48.

[26] PALANISAMY B, LIU L. MobiMix: protecting location privacy with mix-zones over road networks [C]// Proceedings of the 2011 International Conference on Data Engineering. Piscataway, NJ: IEEE, 2011: 494-505.

[27] LIU X, ZHAO H, PAN M, et al. Traffic-aware multiple mix zone placement for protecting location privacy [C]// Proceedings of the 31st Annual IEEE International Conference on Computer Communications. Piscataway, NJ: IEEE, 2012: 972-980.

[28] PALANISAMY B, LIU L, LEE K, et al. Anonymizing continuous queries with delay-tolerant mix-zones over road networks [J]. Distributed and Parallel Databases, 2014, 32(1): 91-118.

[29] CHOR B, KUSHILEVITZ E, GOLDREICH O, et al. Private information retrieval [J]. Journal of the ACM, 1998, 45(6): 965-981.

[30] WU D J, ZIMMERMAN J, PLANUL J, et al. Privacy-preserving shortest path computation [EB/OL]. (2016- 01- 10) [2017- 01- 25]. http://arxiv.org/abs/1601.02281.

[31] GHINITA G, KALNIS P, KHOSHGOZARAN A, et al. Private queries in location based services: anonymizers are not necessary [C]// Proceedings of the 2008 ACM SIGMOD International Conference on Management of Data. New York: ACM, 2008: 121-132.

[32] PAPADOPOULOS S, BAKIRAS S, PAPADIAS D. Nearest neighbor search with strong location privacy [J]. Proceedings of the VLDB Endowment, 2010, 3(1/2): 619-629.

[33] KHOSHGOZARAN A, SHAHABI C. Blind evaluation of nearest neighbor queries using space transformation to preserve location privacy [C]// Proceedings of the 2007 International Symposium on Spatial and Temporal Databases. Berlin: Springer, 2007: 239-257.

This work is partially supported by the National Key Technology R&D Program during the Twelfth Five-year Plan Period (2015BAG13B01), the Prospective Joint Research Project of Jiangsu Province (BY2014038- 03).

ZHANGChunhua, born 1989, Ph. D. candidate. Her research interests include information security, privacy protection.

ZANGHaijuan, born in 1965, Ph. D., associate professor. Her research interests include network and information security.

XUEXiaoping, born in 1963, Ph. D., professor. His research interests include trusted computing, information security.

ZHANGFang, born in 1971, Ph. D., lecturer. Her research interests include trusted computing.

CHENKangqiang, born in 1992, M. S. candidate. His research interests include VANET privacy and security.

FENGLijuan, born in 1994, M. S. candidate. Her research interests include VANET security and privacy.

ResearchprogressinInternetofvehiclestrajectoryprivacyprotection

ZHANG Chunhua1, ZANG Haijuan2*, XUE Xiaoping1, ZHANG Fang1, CHEN Kangqiang1, FENG Lijuan1

(1.CollegeofElectronicsandInformationEngineering,TongjiUniversity,Shanghai201804,China;2.CollegeofComputerEngineering,JiangsuUniversityofTechnology,ChangzhouJiangsu213001,China)

Trajectory privacy protection is critical to the development of Internet of Vehicles (IoV), which makes it important to summarize and analyze existing research methods. Existing IoV trajectory privacy protection methods can be divided into three categories: trajectory obfuscation, pseudonym change and trajectory encryption. Trajectory obfuscation can be achieved based on users’ real trajectory or dummy trajectory. Pseudonym change can be achieved based on mix-zone or path confusion. Trajectory encryption can be achieved based on Private Information Retrieval (PIR) protocol or spatial transformation. Firstly, the research background and common attacks were introduced and summarized in this paper. Secondly, existing IoV trajectory privacy protection methods were surveyed from the aspects of methodology, scientific problem and method evolution. The problems need to be further studied also were elaborated. Furthermore, the performances of representative schemes were summarized, such as privacy protection, attack resistance and complexity. Finally, the future research directions of IoV trajectory privacy protection was prospected.

Internet of Vehicles (IoV); trajectory privacy; privacy protection

TP309; TP393.083

:A

2017- 01- 24;

:2017- 03- 23。

“十二五”國家科技支撐計劃項目(2015BAG13B01)；江蘇省前瞻性聯合研究項目(BY2014038- 03)。

張春花(1989—)，女，山東莒縣人，博士研究生，主要研究方向：信息安全、隱私保護； 臧海娟(1965—)，女，江蘇常州人，副教授，博士，主要研究方向：網絡與信息安全； 薛小平(1963—)，男，上海人，教授，主要研究方向：可信計算、信息安全； 張芳(1971—)，女，上海人，講師，博士，主要研究方向：可信計算； 陳康強(1992—)，男，浙江金華人，碩士研究生，主要研究方向：VANET隱私與安全； 馮麗娟(1994—)，女，四川雅安人，碩士研究生，主要研究方向：VANET安全與隱私。

1001- 9081(2017)07- 1921- 05

10.11772/j.issn.1001- 9081.2017.07.1921