車聯網位置隱私保護研究綜述

鐘小宇，李夢涵，李麗紅

（1.華北理工大學 理學院，河北 唐山 063210；2.河北省數據科學與應用重點實驗室，河北 唐山 063210；3.唐山市工程計算重點實驗室，河北 唐山 063210）

0 引 言

隨著車聯網的快速發展，越來越多的車輛用戶連接到了車聯網中，車聯網為駕駛者帶來了極大便利。基于位置的服務（LBS）就是其基本的應用之一，車輛日常行駛中已離不開LBS的支持，例如實時導航和景點推薦等。但因為其開放式的網絡特點，易遭受不法分子攻擊，近年來黑客入侵車聯網的新聞屢見不鮮。當用戶使用LBS提供的服務時，車輛終端的定位設備向相應的LBS服務器提交用戶此時的地理位置信息，LBS服務器接收查詢請求信息并返回結果。但是，在沒有相應安全機制來保障位置查詢請求安全可靠時，用戶位置隱私將被輕易獲取，導致敏感信息泄露，嚴重威脅用戶生命財產安全。因此，車聯網中用戶位置隱私安全得到了國內外學者的廣泛關注和研究[1]。

本文首先介紹車聯網中的LBS，并引出LBS隱私威脅；然后在此基礎上分別綜述基于加密、匿名、假位置和差分隱私四個方面的位置隱私保護技術的研究現狀；最后指出現有研究不足并提出未來可研究的方向。

1 車聯網中基于位置的服務（LBS）

1.1 LBS一般框架

圖1表示基于位置服務的一般框架，主要包含三個部分：

圖1 基于位置服務的架構

（1）為車聯網用戶提交位置查詢請求提供的定位服務設施，主要包括無線網絡基站、定位衛星和WiFi等。

（2）車聯網用戶發出位置查詢請求和接收結果的移動終端設備。終端設備可通過硬件（如定位芯片）和軟件技術定位用戶所在的確切地理位置，并與LBS服務器建立通信。

（3）LBS服務提供商，如高德地圖、百度地圖和美團等。

1.2 LBS查詢過程

當車聯網用戶發送位置查詢請求時需要實時地將自己的定位信息發送給LBS服務器，以此來獲取相應的服務。這些服務大致有實時導航、無人駕駛汽車自動規劃路線、APP記步、社交軟件用來獲取對方距離等。LBS具體查詢過程如下：

（1）用戶將位置查詢請求發送給LBS服務器；

（2）定位系統實時獲取用戶發出位置查詢請求時所在的地理位置；

（3）無線網絡建立用戶與LBS服務器之間的通信道路，用于傳輸用戶發送的位置查詢請求和LBS服務器返回的結果；

（4）LBS服務器實時響應查詢請求，并返回結果。

2 LBS隱私威脅

用戶在使用LBS請求位置服務時，其位置隱私可能從以下三個方面泄露：首先是車輛移動終端，黑客通過植入木馬或病毒，悄無聲息地控制目標用戶的車輛移動終端，期間所有的隱私信息都將被非法捕獲；其次是用戶與LBS服務器通信全部依靠無線網絡，數據在無線通道傳輸時易被黑客監聽或遭受中間人攻擊；最后是LBS服務器，第三方LBS服務器一般是不可信的，其實際擁有者和維護人員可能非法竊取用戶隱私信息，或已被黑客攻擊操控，在這兩種情況下因用戶位置隱私信息存儲在LBS服務器上，如果信息泄露將造成重大隱私泄露和安全事件發生。

3 車聯網用戶位置隱私保護技術

車聯網用戶在使用LBS進行位置查詢請求服務時會產生大量的位置隱私信息，如何保障用戶位置隱私信息不被泄露是近些年來許多研究者關注的問題。下面針對主要的車聯網用戶位置隱私保護技術進行介紹。

3.1 基于加密的位置隱私保護

基于加密的位置隱私保護技術是對用戶的LBS查詢信息進行加密處理，處理后的密文對LBS服務器或者攻擊者是不可見的。即使查詢請求信息在傳輸過程中被劫持或者監聽，也無法通過加密后的密文獲取用戶的真實位置信息，進而達到位置隱私保護要求。

很少有位置驗證協議能夠保護位置驗證者的位置隱私，這是因為位置驗證者在請求位置服務時試圖證明他們在某個位置或區域。因此許多學者提出了安全加密協議。文獻[2]提出一種具有位置隱私的安全定位協議，并在此基礎上構建了利用位置驗證的更高級的加密協議。構造基于位置的密鑰交換，如果驗證方位于聲明的區域，那么驗證方與其余驗證方共享一個統一的密鑰。同態加密算法作為熱門的研究方向也被應用于安全協議中。文獻[3]提出一套基于同態和圓移動的加密協議（CSEP），CSEP利用同態加密對用戶的位置進行加密，而LBS服務器則利用密文計算距離。文獻[4]使用基于ElGamal的同態加密協議，客戶端使用語義安全的ElGamal加密方案加密客戶端所在位置的坐標。文獻[5]提出一種基于隨機加密周期的位置隱私保護方案。當車輛需要更換證書時，會觸發一個隨機加密周期，在此期間，所有車輛使用共享密鑰對其信息進行加密，以在車輛周圍創建一個加密區域。

隱私信息檢索（Private Information Retrieval, PIR）被廣泛應用于基于加密的位置隱私保護方案。文獻[6]針對PIR普遍存在預處理時間長和查詢效率低的問題，提出空間加密方法加快k近鄰候選集的查詢。

3.2 基于匿名的位置隱私保護

基于匿名的位置隱私保護技術主要采用k匿名方法，k匿名是最早應用于基于位置服務的隱私保護的算法之一，即將用戶的真實位置和k-1個匿名位置發送給LBS服務器，用于混淆攻擊者或不可信服務器，使其不能區分出真實用戶實際位置。

隨著研究的發展，k匿名方法的缺點被逐漸放大，容易受到連續查詢攻擊，且安全級別越高，所需的k值也越大，導致LBS服務器的帶寬和無意義的負載成本也越高。文獻[7]為了解決基于k-ASRs（k-Anonymizing Spatial Regions）通過犧牲服務質量而實現隱私保護的問題，提出一種基于可信鏈的位置隱私保護k匿名方法。首先根據用戶的環境和社會屬性確定當前用戶的最優k值；其次可信第三方（TTR）根據可信鏈的屬性生成包含k個位置節點的虛擬軌跡；然后基于軌跡進行LBS查詢，并通過實例化隱私來評估隱私等級。文獻[8]提出一種基于k匿名原則的兩層隱私保護模式，同時降低了隱私保護的成本；將用戶分組，以最大化隱私級別在每個分組中選擇一個代理生成虛擬位置。文獻[9]對匿名區域重新進行劃分，中央匿名位置最小化了匿名服務器與LBS服務器之間的通信。文獻[10]提出基于差分k匿名的位置隱私保護方法。根據人群工作者的位置信息，位置匿名器將從人群工作者接收到的每條消息轉換成一條擾動信息，然后安全轉發給LBS提供商。文獻[11]提出一種基于地理語義的k匿名位置隱私保護方法。在WiFi APS中獲取包含真實位置的矩形區域內的位置數據集。采用基于最大最小距離的多中心聚類算法，選擇部分位置，它們之間的地理距離是最遠的，并生成一個候選假位置集。文獻[12]提出一個基于假位置和Stackelberg博弈的k匿名位置隱私保護方案，通過使用Stackelberg博弈的框架來尋找一個最優的虛擬位置集。文獻[13]提出一個可信的去搖擺k匿名位置隱私保護方案，引入一種去擺動聲譽評價方法（DREM），構建一個可信的隱形區域來保護請求者的位置隱私。

3.3 基于假位置的位置隱私保護

基于假位置的位置隱私保護方法是通過選取與用戶真實位置有一定距離的假位置，將其與用戶的真實位置一起發送給LBS服務器，LBS服務器不能推測出用戶的真實位置信息，從而保護了用戶位置隱私。文獻[14]為了提高道路限制約束下假位置選擇的有效性，采用熵來表示匿名度，引入有效距離來表示位置分布特征；還提出一種假位置選擇算法，該算法最大化了用戶位置和假位置組成的候選位置集的匿名熵和有效距離，保證了所選假位置的不確定性和分散性。

3.4 基于差分隱私的位置隱私保護

目前，差分隱私技術因其數學上的嚴格性而受到專家學者的青睞。文獻[15]提出一種滿足差分隱私的群體感知技術的數據發布機制，能夠提供嚴格的位置保護。劃分方法以用戶密度為基礎，考慮用戶分布的不均勻性。文獻[16]由于差分隱私的性質會用噪聲干擾真實數據，因此確定有效的匿名區域尤其具有挑戰性。文獻[17]針對現有LBS系統中不能同時保護用戶的位置隱私和查詢隱私以及不考慮時空相關性和背景知識的問題，提出基于差分隱私的LBS隱私保護算法和用戶查詢隱私保護算法。用戶位置隱私保護算法利用Voronoi圖劃分地圖，基于改進的K-means算法和L-diversity思想選擇一個假位置點，利用拉普拉斯機制保護用戶位置隱私。

4 結 語

隨著車聯網的發展，車聯網用戶位置隱私保護受到研究者的廣泛關注。本文對近些年來該領域基于加密、匿名、假位置和差分隱私四個方面的研究成果進行了綜述，總結了已有方法和技術。然而，當前車聯網采用的位置隱私保護技術在自適應、個性化以及多維協同性等方面仍存在不足，難以滿足車輛用戶對位置隱私保護的迫切需求。因此現有車聯網隱私保護方法有待進一步研究和改進，未來可以開展更進一步的研究，比如車聯網用戶的隱私保護需求的自適配研究。在車聯網環境中，用戶在不同的位置所需要的位置隱私保護程度不同，可以結合機器學習算法根據用戶不同業務場景給出相應的位置隱私保護需求，進而調整用戶位置隱私保護策略，以實現車聯網用戶位置隱私智能化保護。