面向隱私安全的車聯網群智感知系統架構*

趙品燦，付宇釧，李長樂

（1.西安電子科技大學綜合業務網理論及關鍵技術國家重點實驗室，陜西 西安 710071；2.西安電子科技大學智慧交通研究院，陜西 西安 710071）

0 引言

無人駕駛汽車的發展與智慧出行的建設對數據的質量和數量提出了極為嚴格的需求[1]。一方面，無人駕駛車輛技術規格的成熟離不開大數據的支撐，通過分析隱藏在駕駛大數據背后的用戶駕駛習慣可以進一步推動無人駕駛技術的進步。另一方面，高質量的可靠交通數據是促進智慧出行的關鍵基礎，通過實時采集與分析交通出行的大數據來幫助用戶分析選擇最優的出行路線，從而實時優化出行效率。群智感知作為數據采集的高效手段可以很好地匹配車聯網對數據的要求，通過將“群眾的智慧”和車輛的移動性充分地結合來對目標區域進行感知并有目的地采集數據，從而為有需要的組織或個人提供精準的數據服務[2]。然而，沒有隱私保護的群智感知將使得車輛的移動軌跡完全地暴露在外界中，因此隱私安全問題是制約其廣泛應用的關鍵因素之一[3-5]。

當前群智感知系統的架構主要分為兩種，即基于中央式和基于分布式的系統架構[6]。其中基于中央式的方法也稱為基于平臺式，系統操作主要依賴于中央服務器（平臺）的統一部署，使得任務發布、用戶匹配、數據提交等系統操作全部由服務器統一管理，用戶間的操作需要經過服務器作為交流的中轉。盡管基于中央服務器的方式為協同管理和調控帶來了便利，但也帶來了許多嚴重的挑戰，其中之一便是隱私安全問題。一旦平臺遭受攻擊，其中存儲的數據泄露將引發極大的社會恐慌。2019年中東地區的共享租車平臺在遭受攻擊后，約1 400 萬用戶的個人信息遭到泄露[7]。隨著中本聰于2008 年提出基于區塊鏈的比特幣方案后[8]，以區塊鏈為主的分布式方法逐漸成熟，成為解決不可靠的中央平臺問題的有效方法。分布式的網絡使用基于點對點的方法，使得網絡中不存在一個中央服務器對數據的集中管理和存儲。同時用戶間的交互過程被明文記錄在區塊鏈內且由每一個用戶進行本地存儲，確保了數據的安全性和不可篡改性。然而，由于明文記錄的特性，使得具備強計算能力的外部攻擊者依然可以通過某用戶所有參與信息及其他用戶的參與鏈分析得出該用戶的身份信息。因此基于分布式的方法也并非是完全可靠的。此外，基于分布式網絡對系統中惡意行為的管理也帶來了難度，當系統中存在惡意信息甚至是犯罪信息的發布時，由于用戶的操作是匿名的，對惡意用戶的追蹤和溯源也帶來了難度[9-10]。

除了由系統架構可能會導致的大批量用戶隱私安全問題，參與用戶在系統操作中也面臨著多種安全威脅問題。對于具有數據需求的用戶而言，對特定數據的需求也表明了用戶對特定服務的需求，例如某用戶請求的數據為某品牌的汽車在城市道路中的油耗、駕駛舒適度，則該用戶可能是該品牌車輛的潛在消費者，若該信息被汽車銷售人員獲得時，則可能會對該用戶推送大量汽車銷售類的消息[11]。此外，對于提供數據的用戶，其也遭受著一定程度上的隱私安全問題，原因在于其采集的數據往往是與該用戶的個人環境相關的：他在哪兒、從哪兒來、到哪里去、去過哪兒等。若該信息被不法分子獲得，用戶甚至面臨著被追蹤的風險。

因此，盡管群智感知可以為無人駕駛的發展提供高效、可靠的數據來源，然而其發展必須將隱私安全問題作為亟待解決的問題。本文以保護車聯網中群智感知系統用戶的隱私安全問題為著手點，著重討論當前保護用戶隱私的系統架構設計和具體的隱私安全的保護需求。最后，針對以上的討論，我們提出一種基于條件分布式的保護隱私安全的群智感知系統架構，并對安全威脅的防護進行了有效性分析，為未來系統的設計提供一定的理論依據與指導思路。

1 車聯網群智感知系統的架構及設計需求

1.1 車聯網群智感知系統模型

群智感知通過將有數據需求的用戶與具備提供數據能力的用戶建立起數據的供需聯系，從而使得數據能夠充分地被有需要的用戶使用。同時提供數據的用戶也可以因此獲得一定的獎勵。其中具備數據需求的用戶需要將其需求以任務的方式進行發布，因此也稱為任務發布者或數據請求者（本文以任務發布者稱）。參與感知任務的用戶根據任務需求在任務截止期限內將感知數據提交給任務發布者，因此該類用戶也稱為任務執行者或數據提供者（本文以任務執行者稱）。

一般而言，任務發布者通常為具備信息/ 數據需求的普通用戶或汽車廠商，其共同點為他們一般都沒有充足的能力來自己執行感知任務并獲得感知數據。因此，需要選擇具備感知能力的用戶來執行對應的任務。任務執行者通常為具備感知、通信、計算、存儲等基本能力的參與車輛。車載傳感器用于有針對性地根據任務需求進行數據采集和存儲，或對數據內容進行計算處理從而獲得隱藏在感知數據背后的信息。任務執行者需要將感知或處理后的信息在任務截止之前發送給任務發布者，并獲得對應的執行任務的獎勵。

根據用戶間交互的方式不同，群智感知的架構也主要分為中央式和分布式兩種方法，其主要區別在于系統中是否存在一個負責統一調控的中央服務器管理用戶操作和數據流通。接下來將分別闡述二者的工作機理及其相應的特點。

1.2 基于中央式的車聯網群智感知系統架構

圖1 展示了基于中央式的群智感知系統架構，其中存在一個中央式平臺（本文中簡稱為平臺）作為操作與調度中心。首先，平臺作為服務提供中心，為任務發布者和任務執行者提供對應的服務，通過提供直觀的交互界面，使得參與者間的交互是簡便且高效的。同時，平臺作為數據調度中心，其中基于數據需求的任務展示、基于規則的參與用戶選擇等操作都通過中央平臺的統一調度、處理與記錄。此外，平臺也作為監管的中心，惡意操作的追蹤與溯源由中央平臺負責。

圖1 基于中央式的車聯網群智感知架構圖

然而，平臺也并非完全可信。一方面，平臺會為用戶誠實地提供各種服務，遵循基本的群智感知規則從而完成基本的平臺操作。另一方面，為了增加自身收益，平臺也可能會對用戶的需求或數據好奇，通過非法采集或備份用戶的數據從而實現定向的內容推送等。因此總地來說，平臺是誠實而好奇的[12]。

1.3 基于分布式的車聯網群智感知系統架構

相比而言，分布式架構下的群智感知系統中并不存在一個具備統一部署的超級節點，所有節點的地位都是平等的。因此分布式系統首要面臨的是典型的拜占庭將軍問題，即在網絡中存在不誠實節點的前提下依然能夠保證網絡秩序的正常運行。自2008 年中本聰發布的區塊鏈說明書[8]后，基于區塊鏈的虛擬貨幣系統從可能變為分布式系統的典型代表。而以太坊智能合約的提出則是分布式系統的另一巨大飛躍，智能合約使得分布式系統跳脫出虛擬貨幣范圍的限制，區塊鏈+X 變成了可能。當前的分布式群智感知系統也主要是基于區塊鏈的，如圖2 所示。

圖2 基于分布式的兩層車聯網群智感知架構圖

從系統架構的角度來看，基于區塊鏈的分布式系統主要分為兩層：用戶層和共識層。其中，用戶層主要負責解決參與用戶與系統間的各種交互操作，并將用戶的需求轉化為網絡可認證、驗證和識別的交互信息。共識層負責對交互信息進行驗證并完成共識，從而實現信息的加密傳輸和記錄。該信息首先被轉發到共識網絡中，由礦工節點處進行驗證、打包成區塊。經過共識后，該區塊將被添加到鏈中，由此區塊鏈中實現全網的區塊信息同步。因而，即使不在同一網絡區域/位置的用戶也能夠實現信息的加密傳輸。同時由于網絡是點對點的，網絡中的全節點存儲有完整的區塊鏈，因此即使網絡中不存在一個統一調配的中心節點，存儲在每一個節點內的信息的安全性也依然可以得到保障。因此，除非攻擊者掌控全網算力的50%以上，篡改數據被視為是不可能實現的。

然而，分布式的方法帶來了數據安全性的同時，也犧牲了一部分操作和管理的靈活性。一方面，礦工節點需要針對用戶上傳的數據進行大量的驗證、打包等操作，同時在大批量的操作下為了實現系統運行的高效性和有序性，用戶能夠進行的操作則十分受限。在比特幣系統中，用戶唯一的操作僅有轉賬，因此礦工進行驗證時只需針對轉賬信息進行驗證即可。當區塊鏈系統結合到群智感知系統中時，由于操作的多元性，給系統的設計和礦工的驗證帶來了一定的復雜度和難度。另一方面，由于系統中不存在中央調控的節點，使得進行惡意操作變得更加簡單也更加不受約束。系統中的惡意用戶將難以進行追蹤和溯源，當系統中存在惡性事件，例如發布的任務信息是犯罪相關的，甚至可能會引發社會信任危機。

1.4 系統架構的設計需求

系統架構的設計需要考慮到系統可實現的功能，同時避免潛在的硬性缺陷。第一，為了保障用戶的體驗質量，需要有統一的功能展示平臺，使得用戶可進行可視化操作從而極大地降低用戶的操作難度。第二，在面臨外部的攻擊時，系統依然能夠保持健壯性，保障用戶可以安全地參與系統工作，而無需擔心來自于系統內或系統外的隱私安全攻擊或隱私泄露問題。第三，系統需要保證運行的高效性，無論對于任務發布者還是任務執行者，用戶的操作需要得到系統及時的反饋。第四，系統需要保證管理的有效性，當系統中出現惡性事件時，系統能夠有效地進行阻止、溯源、追蹤并懲罰。以上的設計需求，分別從用戶、系統、管理方面確保系統能夠高效、可靠而安全地運行。

2 車聯網群智感知系統的隱私分析與安全需求

2.1 系統中潛在的隱私安全攻擊

根據系統的參與方式與運行的內部特性，系統參與中用戶將面臨著來自于多方面的隱私安全威脅。從系統的角度來看，隱私威脅主要來自于系統內部和外部兩個方面。而其中，系統內部的參與實體包括：任務發布者、任務執行者和中央式平臺，各實體為了增加自身的收益或出于其他目的則可能窺探其他用戶的隱私。而外部的攻擊者主要為對網絡系統或單節點發起攻擊的觀察者或黑客。因此，系統及內部的實體將面臨著以下安全威脅：

（1）任務發布者面臨的隱私安全威脅：任務發布者根據自身的數據需求來發布對應的感知任務，因此任務的內容在一定程度上可以反映發布者的近期需求。一旦信息被其他用戶或平臺獲取時，則用戶可能會持續遭受廣告騷擾。

（2）任務執行者面臨的隱私安全威脅：任務執行者在獲得任務的執行權后，將根據任務需求進行數據采集。然而由于采集的數據常常是以人為中心的，并且是與該用戶及其社交生活息息相關的，這些數據（例如圖像、視頻）極有可能會泄露這些用戶的個人隱私等，甚至可能導致用戶面臨被追蹤的風險。此外，由于數據的感知任務需要消耗執行者一定的成本，一些投機執行者可能會通過復制并篡改其他執行者的數據，從而非法獲得對應的獎勵，這將極大地破壞其他任務執行者的參與感與公平感。

（3）網絡系統面臨的安全威脅：系統可能面臨著外部各種網絡攻擊的風險。首先，對于集中式網絡而言，單點失敗問題是集中式方法無法避免的問題之一[13]。一旦被攻擊，大量的用戶隱私信息將面臨著被竊取的風險。其次，對于分布式網絡而言，則可能面臨著分布式拒絕服務攻擊，受到攻擊的用戶將無法正常使用系統的功能，甚至還將面臨著經濟損失的風險。

2.2 隱私保護的需求

對應以上分析，在進行群智感知系統的設計時，針對于用戶的隱私安全，設計者需要考慮以下因素：

（1）身份隱私保護：用戶的身份信息不能與參與系統的用戶名（昵稱）聯系在一起，即外部的觀察者不能通過觀察系統中用戶的名稱和行為推測出用戶的真實身份。

（2）位置隱私保護：由于任務執行者需要到特定的區域執行感知任務，因此用戶的位置隱私需要被嚴格保護。即除了任務執行者和任務發布者外，其它實體不能了解到該任務執行者曾經過該位置。

（3）數據隱私保護：除了任務發布者和任務執行者，系統中及系統外的任何其他實體不能獲得感知數據的內容，同時防止數據被篡改或被其他參與者復制。

（4）惡意用戶追蹤：系統中發布惡意任務信息、或持續提交惡意數據的用戶應該能夠被追蹤并實行相應的懲罰，從而防止系統的公平公正性被破壞。

（5）用戶信譽管理：系統中的用戶都具有信譽屬性，用于記錄用戶參與系統的態度并鼓勵用戶更積極地參與到系統中。其中信譽值與用戶身份不能具有鏈接關系，即外部的觀察者不能通過信譽積分的變化和用戶的參與記錄從而建立起身份與用戶名間的關系。

3 保護隱私安全的條件分布式車聯網群智感知系統架構

3.1 系統架構介紹

中央式架構的群智感知系統時刻面臨著單點失敗的風險，同時平臺的可信度也依然是需要進行考慮的[14]。而分布式系統卻面臨著不靈活的管理能力，同時區塊鏈與群智感知系統的結合同樣會帶來系統操作的復雜性的問題。基于以上分析，為了有效地克服完全中央式和完全分布式系統架構的缺陷，本文提出了一種區塊鏈賦能的條件分布式車聯網群智感知架構，為未來車聯網群智感知的設計和完善提供一種全新的解決思路，架構如圖3 所示。

圖3 區塊鏈賦能的條件分布式車聯網群智感知架構圖

系統的參與實體主要分為三類，分別是：信譽管理中心、應用平臺和參與用戶。其中信譽管理中心一般為國家交通管理部門或具有管理權限的可信企業，且是可信的第三方管理中心，主要負責管理參與用戶的信譽以及檢測系統中存在的惡意行為并追蹤溯源。應用平臺一般是企業級別的應用，負責為參與用戶提供任務展示和接口的功能。同時應用平臺具有充足的計算和存儲資源，用以檢查并記錄系統中交易的進行狀態，并負責為參與用戶提供可視化的展示界面，從而有效降低用戶的操作難度，應用平臺只作為展示中心，但并不作為數據的中轉和調控中心。基于區塊鏈的分布式系統負責記錄和檢查用戶間交易的合法性與正確性，而系統中信譽管理中心的存在有效地彌補了分布式系統中管理不靈活的問題。

系統主要分為三層，分別為：用戶層、共識層和管理層。用戶層主要是負責提供與用戶交互的接口，在應用角度表現為用戶間的安全交互，從而實現用戶參與車聯網群智感知系統的操作。其次為共識層，主要負責將用戶間的交易操作進行合法性和正確性的確認，并實現全網范圍內的共識和記錄，從而確保用戶間的每一次交易都能夠有據可依，同時能夠確保數據的安全性。系統中存在兩種專門設計的智能合約，分別為中轉任務合約和特定任務合約。其中中轉任務合約作為用戶調用的中繼，打破了區塊鏈系統中用戶明文參與記錄下身份與特定操作間的關系，使得用戶的操作無法被溯源，基于零知識證明的方式將確保操作的有效性和正確性。特定任務合約則確保了任務發布者與任務執行者間的有效雇傭關系并使得任務能夠合理、合規地進行。最后為管理層，管理層的權限僅限制在用戶信譽和惡意操作相關的范圍。而信譽管理中心也同樣不作為數據的流轉中心，因此集中式方法的單點失敗問題也得到了避免。

3.2 隱私安全保護分析

根據2.1 節中討論的潛在的隱私威脅與2.2 節中的隱私安全的保護需求，由此對提出的條件分布式群智感知系統架構進行安全防護分析。

（1）身份隱私保護：我們提出的方案打破了系統參與用戶的真實身份與賬戶地址間的關聯關系，當用戶參與到系統中時，私鑰由參與用戶個人安全存儲，公鑰作為系統參與的賬戶地址，用戶的身份與賬戶的關聯只在可信的信譽管理中心處存儲。此外，信譽管理中心在為用戶生成用于安全參與系統的證書時，使用雙重承諾的方式，這在使得交易在可驗證的前提下確保身份的有效性和正確性。最后，使用中轉智能合約的方式，使得外部的觀察者無法使用區塊鏈的明文記錄來追蹤用戶的系統參與記錄。綜上所述，除了信譽管理中心外，沒有任何實體能夠獲得用戶的真實身份信息、用戶公鑰地址、用戶參與記錄間的關系，因此系統可以實現嚴格的身份隱私保護。

（2）數據隱私保護：條件分布式群智感知系統架構確保除了任務發布者之外的任何參與實體都無法獲得任務執行者提交的數據，分析如下：首先，任務執行者在通過區塊鏈網絡向任務發布者提交數據前，需要使用任務發布者的加密公鑰對數據進行加密，從而確保數據不會被第三方獲得。并使用一次性簽名公鑰對加密后的數據進行簽名，確保數據的正確傳輸并防止被篡改。此外，任務發布者與任務執行者間的交互并非點對點直接通信的，用戶的操作都被明文記錄在區塊鏈中，作為中繼的智能合約的執行是在安全的沙箱環境中執行，因此在中繼時數據的安全也可以得到有效保障。最后，參與用戶在信譽管理中心注冊后獲得的證書在確保用戶個人數據安全的前提下，可以有效驗證數據的正確性。因此，無論從交易內容的角度還是從調用方法的角度來看，系統可以有效保障數據隱私。

（3）位置隱私保護：條件分布式群智感知系統架構可以有效保障用戶的位置隱私，對應的分析可以分為以下三個方面。首先，敵手可能通過物理觀察的方式建立起用戶的賬戶地址和真實身份間的關系，從而通過檢索該地址的參與記錄來分析用戶的位置隱私。我們所提出的架構可以抵抗這種攻擊，由于任務執行者首先通過調用中轉智能合約來參與系統，因此只要在共識的某時隙有超過一個用戶在調用智能合約，那么敵手則無法從調用記錄中辨別出用戶的真實身份，因而也無法由此分析用戶的出行軌跡。其次，系統可以防止由感知數據泄露引發的位置隱私威脅，因為系統可以保障數據的機密性，因而第三方實體（包括信譽中心）無法獲得用戶的位置信息。最后，即使敵手成功地建立了用戶的身份與賬戶地址間的關聯關系，用戶依然可以通過不定期地更新公鑰地址來避免該類風險，更換前后，地址的關聯關系無法被建立。因此，系統可以有效保障用戶的位置隱私。

（4）有效的信譽管理及惡意用戶的追蹤：由于系統架構是基于條件分布式的，系統中所有參與用戶的操作主要是基于區塊鏈的點對點網絡，因此在即使面臨外部的網絡攻擊時，分布式網絡也可以表現出極強的魯棒性。同時為了防止濫用匿名導致的惡性情況的發生，網絡中信譽管理中心的存在可以有效地彌補分布式網絡管理靈活性不強的缺陷。而信譽管理中心只負責檢查用戶的信譽狀態，而不具備查看和干擾正常用戶的系統參與功能。此外，條件分布式的群智感知系統可以通過信譽更新算法從而提供有效的信譽管理，高效幫助任務發布者精準地識別可靠用戶從而獲得高質量的數據，同時幫助可靠的任務執行者以更具優勢的方式獲得執行任務的權利。因此，條件分布式的群智感知系統可以提供有效的信譽管理以及實現對惡意用戶的追蹤。

綜上所述，通過采用基于區塊鏈和信譽管理中心相結合的方式，分布式與集中式的特點得到了有效的融合補充，使得基于車聯網群智感知的數據采集變得更加高效、可靠和安全。

4 結束語

車聯網群智感知系統是解決未來無人駕駛發展中對高質量、大數量的數據需求問題的有效方法，然而卻面臨著嚴峻的隱私和安全問題。本文從架構和安全兩方面分析了當前群智感知系統的發展態勢，以及制約其發展所面臨的關鍵問題，并提出了一種區塊鏈賦能的條件分布式的系統架構，并分析了發展的特點及優勢，可為群智感知系統的后續發展和完善、部署和運行提供一種全新的思路。