施炎峰 王心瑩 朱相如 李瓊

摘要：隨著云計算、物聯(lián)網(wǎng)的快速發(fā)展，智能交通系統(tǒng)（ITS）日益成熟。ITS在大大促進交通便利的同時，也給用戶的隱私安全帶來了潛在的威脅，導(dǎo)致其敏感數(shù)據(jù)更容易受到攻擊。因此，該文針對智能交通系統(tǒng)，分析當前各種主流ITS隱私保護方案的優(yōu)缺點，為ITS各種場景選擇合適的隱私保護技術(shù)提供參考，并提出未來需要進一步研究的問題，以更好地保障智能交通系統(tǒng)中的數(shù)據(jù)隱私。

關(guān)鍵詞：智能交通系統(tǒng);隱私保護;數(shù)據(jù)安全

中圖分類號：TP311? ? ?文獻標識碼：A

文章編號：1009-3044（2022）04-0041-03

智能交通系統(tǒng)（ITS）作為一種大范圍、全方位覆蓋的運輸和管理系統(tǒng)[1]，依托于近年來物聯(lián)網(wǎng)的迅猛發(fā)展，將先進的控制、傳感、通訊、信息技術(shù)與計算機技術(shù)高效結(jié)合，綜合應(yīng)用于整個交通管理體系。由于其極大地緩解了交通擁堵，有效減少了交通事故的發(fā)生，提高了交通系統(tǒng)的安全性，減少了環(huán)境污染，因此成為物聯(lián)網(wǎng)領(lǐng)域中最具代表性的應(yīng)用。ITS囊括眾多分支系統(tǒng)，主要包括出行者信息系統(tǒng)、交通管理系統(tǒng)、公共運輸系統(tǒng)、車輛控制和安全系統(tǒng)、不停車收費系統(tǒng)、應(yīng)急管理系統(tǒng)，以及商用車輛運營系統(tǒng)等。各系統(tǒng)之間各司其職、相輔相成，有效改善交通狀況。

ITS起源于20世紀60年代，其概念在1990年首次被美國智能交通學(xué)會提出。我國的ITS則起步于20世紀80年代末的公路收費系統(tǒng)，并且于90年代末成立交通智能運輸系統(tǒng)工程研究中心。之后的二十多年至今，得益于物聯(lián)網(wǎng)、云計算、人工智能等技術(shù)的衍生，ITS發(fā)展愈加迅猛。

為了更好地實現(xiàn)智能交通系統(tǒng)組件之間的互聯(lián)，一些無線通信技術(shù)，如藍牙、Wi-Fi、衛(wèi)星通信系統(tǒng)和毫米波等被廣泛應(yīng)用。這些無線通信技術(shù)在帶來便利的同時，也引入了威脅系統(tǒng)安全的漏洞。此外，ITS組件較為松散，這也為攻擊者提供了機會。智能交通系統(tǒng)主要由車載嵌入式軟件控制，攻擊者一旦成功侵入系統(tǒng)，就能盜取大量敏感信息，甚至控制車輛，嚴重威脅用戶安全。因此，在ITS迅速發(fā)展的同時，如何保障ITS中的隱私信息是智能交通系統(tǒng)能夠順利安全運行的關(guān)鍵問題。

本文針對當前智能交通系統(tǒng)中的個人隱私、車輛隱私和位置隱私等，分析當前智能交通系統(tǒng)中隱私保護技術(shù)的優(yōu)缺點，以指明未來的研究方向。

1 常用隱私保護技術(shù)簡介

（1）假名化技術(shù)

假名化的概念在RDPR、CCPA中被定義為用新的標識符來代替真實身份的一種技術(shù)。當攻擊者無法獲得密鑰或假名映射原始標識的表單時，則難以破解真實身份。常用的假名化技術(shù)有哈希函數(shù)、帶密鑰加密、帶密鑰的哈希函數(shù)以及令牌化等，相較于直接使用真實身份信息，假名化降低了隱私泄露風(fēng)險。然而假名化是可以恢復(fù)身份信息的，處理過后的信息仍適用于個人信息保護的法律法規(guī)。

（2）匿名化技術(shù)

匿名化要求去標識化，真實數(shù)據(jù)在匿名化后無法再連接到特定的個人。因此，匿名化后的數(shù)據(jù)不再屬于個人信息。相較于假名化，匿名化保密性更高，不過數(shù)據(jù)效用性更低。常見的有k-匿名，l-多樣性等。

（3）差分隱私

差分隱私是用來防范差分攻擊的。差分隱私算法在查詢結(jié)果中添加的隨機化噪聲，使得攻擊者無法通過匿名數(shù)據(jù)集還原數(shù)據(jù)。該技術(shù)具有高度保密性，受到了廣泛的關(guān)注。

（4）區(qū)塊鏈技術(shù)

相較于其他技術(shù)，區(qū)塊鏈技術(shù)具有去中心化、公開透明、不可篡改等特性。它起源于化名為“中本聰（Satoshi Nakamoto）”的學(xué)者在 2008 年發(fā)表的奠基性論文《比特幣：一種點對點電子現(xiàn)金系統(tǒng)》，也正是該技術(shù)催生出了比特幣。現(xiàn)如今的區(qū)塊鏈技術(shù)正由數(shù)字貨幣領(lǐng)域慢慢向其他領(lǐng)域滲透。

2 智能交通系統(tǒng)隱私保護方案研究現(xiàn)狀

（1）假名化實現(xiàn)ITS隱私保護

假名化保證第三方訪問者在沒有額外信息的條件下無法識別用戶身份信息，用于識別身份的額外信息必須與假名化后的個人信息分開存儲以保證隱私。這種假名化方案因其效率高，在ITS隱私保護中擁有良好的應(yīng)用前景，但仍然存在著重構(gòu)敏感信息攻擊、計算量高、存儲量大等問題。

當然，最直接的問題還屬當前傳統(tǒng)基于假名化的系統(tǒng)需要車輛與受信中介一直保持聯(lián)系。因此，Victor 等人于2016年提出了新的方案[2]，使得車輛假名可以實現(xiàn)自動更新。在該方案中，車輛只需與受信中介聯(lián)系一次，此后不需聯(lián)系也能更新假名，但是該方案的計算復(fù)雜度較高。2020年，Qi等人設(shè)計了一種高效率且能夠安全撤銷用戶假名的方案，該方案中還引入了布隆過濾器來縮小證書吊銷列表 CRL 的規(guī)模以降低管理成本，但是該方案嚴重依賴于可信任的第三方機構(gòu)[3]。這兩種方案的性質(zhì)對比如表1所示。

從上表可知，當前的假名化方案仍然無法很好地平衡假名更新效率以及對第三方機構(gòu)依賴度，因此如何解決該問題是未來亟須解決的問題之一。

（2）匿名化技術(shù)實現(xiàn)ITS隱私保護

匿名化技術(shù)具有數(shù)據(jù)可用性和無法重識別兩個特點。該技術(shù)在保證數(shù)據(jù)不會被重新還原的情況下，盡可能少地模糊數(shù)據(jù)，以保證數(shù)據(jù)能夠進行必要的分析。k-匿名化是相對常見的匿名化手段，在智能交通系中匿名化也被認為是重要的隱私保護手段。在保護位置、用戶和服務(wù)器的隱私中都可以發(fā)揮重要作用。

2017年，Sui等人提出重點保護個人位置軌跡隱私的方案，通過評估個人與位置間的相關(guān)性，達到了避免過度保護的目的。不過該方案主要針對移動偏好攻擊，對其他攻擊的抵抗能力有限[4]。為了有效地阻止攻擊者通過軌跡推斷出用戶的敏感數(shù)據(jù)，Liu等人于2020年提出了一種新的匿名化方案IEVS[5]，該方案可以提供較高的隱私級別和數(shù)據(jù)效用性，不過計算開銷較大。兩種典型的匿名化方案性質(zhì)對比如表2所示。

然而，在基于匿名化的隱私保護方案中，中間機構(gòu)往往掌握了大量的用戶敏感信息，如何對第三方機構(gòu)是實現(xiàn)敏感信息的保密對當前匿名化技術(shù)來說仍然是一個開放性問題。

（3）基于區(qū)塊鏈的ITS隱私保護

區(qū)塊鏈是一種公共的分布式賬本。這種技術(shù)將一個個數(shù)據(jù)區(qū)塊像鏈條一樣連接在一起，這種鏈狀數(shù)據(jù)結(jié)構(gòu)包含兩種哈希指針，使得數(shù)據(jù)難以修改，并且由于所有數(shù)據(jù)都是公開透明的，因此也不需要中介。區(qū)塊鏈被認為是數(shù)字現(xiàn)金系統(tǒng)的重要發(fā)明。事實上，區(qū)塊鏈的應(yīng)用可以更為廣泛。它的“不可偽造”“全程留痕”“可以追溯”“公開透明”“集體維護”等特征，決定了區(qū)塊鏈具有更加廣泛的應(yīng)用前景，特別是可以用來更好地解決智能交通系統(tǒng)中的隱私與安全的問題。

2018年，Hirtan等人使用區(qū)塊鏈技術(shù)設(shè)計了一個汽車導(dǎo)航系統(tǒng)的架構(gòu)[6]，該系統(tǒng)通過受信任的第三方機構(gòu)來集中管理區(qū)塊鏈，降低了開銷和計算量，缺點是該方案不具有向后兼容性。2019年，Bao等人提出了基于區(qū)塊鏈的假名管理方案[7]。由于現(xiàn)在流行的假名化方案存在一些問題，比如成本會隨著假名數(shù)量的增加而增加，這大大降低了在經(jīng)濟上的可行性。Bao等人提出的基于區(qū)塊鏈方案提供了一種從分布和再利用兩個方面有效地實現(xiàn)人口年齡假名的方法，以及一種物理混合區(qū)與虛擬混合區(qū)相結(jié)合的假名變更方案。且通過攻擊分析和性能評估證實了該方案的確可以以更低的成本實現(xiàn)更好的匿名性。但是該方案雖然提高了成本效益，但是仍然存在內(nèi)存需求過大的問題。因此，2020年，Li等人在現(xiàn)有的 ITS 體系結(jié)構(gòu)上引入了一個區(qū)塊鏈覆蓋層來處理安全和隱私保護，這種機制將區(qū)塊鏈技術(shù)整合到ITS中，并且同時保證了隱私保護和向后兼容性。在之前基于區(qū)塊鏈的ITS隱私保護方案中，區(qū)塊鏈節(jié)點的高計算量和不高的延展性一直沒有被考慮。所以該方案提出的區(qū)塊鏈協(xié)助智能交通系統(tǒng)（ba-ITS）中，提出了分層區(qū)塊鏈，以保證ba-ITS良好的可延展性和降低對區(qū)塊鏈節(jié)點的要求。同時，該方案還實現(xiàn)了基于以太網(wǎng)的 Ba-ITS原型系統(tǒng)，并在ns3中實現(xiàn)了兩個實例服務(wù)和仿真，對其進行評價，該方案的安全性和兼容性都相對較好，具體性質(zhì)對比如表3所示。

隨著區(qū)塊鏈技術(shù)的發(fā)展，基于區(qū)塊鏈的ITS隱私保護技術(shù)已經(jīng)成為新的熱點。但是當前基于區(qū)塊鏈的方案效率仍然不能令人完全滿意，如何進一步提高效率是未來需要解決的關(guān)鍵問題之一。

（4）基于機器學(xué)習(xí)的ITS隱私保護

機器學(xué)習(xí)在許多領(lǐng)域發(fā)揮了重要作用。在智能交通系統(tǒng)中，機器學(xué)習(xí)模型可以充分分析車輛產(chǎn)生的數(shù)據(jù)，使得交通網(wǎng)絡(luò)更加安全穩(wěn)定，弊端是分享與本地模型相關(guān)的信息可能導(dǎo)致與車輛用戶相關(guān)的敏感數(shù)據(jù)模式的泄露。

2020年，Agrawal等人探討了協(xié)同機器學(xué)習(xí)在隱私保護方面所特有的一些問題[9]。他們認為群簽名方案能夠很好地解決該問題，并且在文章中提出群簽名方案并評估了該方案解決CML場景中特有隱私問題的可行性。

此外，ITS端到端通訊存在數(shù)據(jù)冗余和隱私問題。Muhammad Usman等人提出了一個基于多級邊緣計算架構(gòu)和機器學(xué)習(xí)算法的框架，命名為 SPEED[10]。該框架可以保證LTEDs與LTEDs 間傳輸時的隱私安全。

（5）基于差分隱私的ITS隱私保護

差分隱私可以實現(xiàn)在保護隱私數(shù)據(jù)的同時仍然允許在交通分析或道路收費等專用應(yīng)用程序中合理使用這些隱私數(shù)據(jù)。

2013年，Kargl等人提出一種集成差分隱私和額外安全機制的框架[11]。他們還研究了如何在應(yīng)用程序精度要求范圍內(nèi)校準隱私參數(shù)，同時考慮最終用戶的長期隱私效果。然而，ITS的一些應(yīng)用程序要求精確的數(shù)據(jù)，不能夠引入噪音，這成為差分隱私在ITS應(yīng)用中的一大挑戰(zhàn)。

（6）ITS中的隱私數(shù)據(jù)分析技術(shù)

在之前提到的匿名化方案中，機構(gòu)掌握過多的敏感信息。為此，2016年，Zhu等人在同態(tài) Paillier 密碼體制的基礎(chǔ)上構(gòu)造了一個改進的多維聚集方案[12]，特點是用戶隱私無需解密，因此可以保證機構(gòu)無法掌握用戶隱私，不過該方案依賴于數(shù)據(jù)聚合器的可信度。因此，2017年，Gosman等人提出了一種保護時間序列數(shù)據(jù)隱私的聚合方案[13]，該方案在不可信聚合器存在的情況下依然可以保護隱私，代價是用戶無法獲得細粒度信息。

（7）其他ITS隱私保護技術(shù)

對于當前利用無線接入技術(shù)頻繁收集數(shù)據(jù)中易引入針對數(shù)據(jù)安全和隱私攻擊的問題，2018年，Mahmood等人提出了更為安全的收集大數(shù)據(jù)的基本系統(tǒng)模型[14]。

對于車輛、基礎(chǔ)設(shè)施之間相互認證的問題，Ometov等人在2019年提出一種對車輛和路邊單位間安全通信協(xié)議的改進方案 [15]，該方案通過車輛和基礎(chǔ)設(shè)施之間的相互認證來改善定位數(shù)據(jù)的隱私。

對于感官數(shù)據(jù)的隱私，2019年，Jolfaei等人提出了一種輕量級排列方案用以保護感官數(shù)據(jù)的機密性[16]。

3 總結(jié)

隨著智能交通系統(tǒng)在國內(nèi)的迅猛發(fā)展，隱私保護的問題也亟待解決。本文主要探討了目前ITS隱私保護的幾種方案?；诩倜姆桨赋杀据^高，基于匿名化的方案和基于機器學(xué)習(xí)的方案中間機構(gòu)掌握大量敏感信息，基于區(qū)塊鏈的方案計算量大，基于差分隱私的方案無法支持要求高精度數(shù)據(jù)的應(yīng)用程序。因此，針對當前各種ITS隱私保護方案仍然存在的問題，在未來的研究中，我們需要針對不同場景和不同技術(shù)，設(shè)計更為優(yōu)化的方案，以更好地保護智能交通系統(tǒng)中的隱私信息。

參考文獻：

[1] 趙娜，袁家斌，徐晗.智能交通系統(tǒng)綜述[J].計算機科學(xué)，2014，41（11）：7-11，45.

[2] Sucasas V，Mantas G，Saghezchi F B，et al.An autonomous privacy-preserving authentication scheme for intelligent transportation systems[J].Computers & Security，2016，60：193-205.

[3] Qi J Y，Gao T H.A privacy-preserving authentication and pseudonym revocation scheme for VANETs[J].IEEE Access，2020，8：177693-177707.

[4] Sui P P，Li X X，Bai Y.A study of enhancing privacy for intelligent transportation systems：$k$-correlation privacy model against moving preference attacks for location trajectory data[J].IEEE Access，2017，5：24555-24567.

[5] Liu X W，Zhu Y Q.Privacy and utility preserving trajectory data publishing for intelligent transportation systems[J].IEEE Access，2020，8：176454-176466.

[6] H?rtan L A，Dobre C.Blockchain privacy-preservation in intelligent transportation systems[C]//2018 IEEE International Conference on Computational Science and Engineering.October 29-31，2018，Bucharest，Romania.IEEE，2018：177-184.

[7] Bao S H，Cao Y，Lei A，et al.Pseudonym management through blockchain：cost-efficient privacy preservation on intelligent transportation systems[J].IEEE Access，2019，7：80390-80403.

[8] Li Y H，Ouyang K，Li N X，et al.A blockchain-assisted intelligent transportation system promoting data services with privacy protection[J].Sensors （Basel，Switzerland），2020，20（9）：2483.

[9] Agrawal V，Ansari A，D H S.A secure and privacy-preserving collaborative machine learning system for intelligent transportation system[C]//SAE Technical Paper Series.400 Commonwealth Drive，Warrendale，PA，United States：SAE International，2020.

[10] Usman M，Jan M A，Jolfaei A.SPEED：a deep learning assisted privacy-preserved framework for intelligent transportation systems[J].IEEE Transactions on Intelligent Transportation Systems，2021，22（7）：4376-4384.

[11] Kargl F，F(xiàn)riedman A，Boreli R.Differential privacy in intelligent transportation systems[C]//WiSec '13：Proceedings of the sixth ACM conference on Security and privacy in wireless and mobile networks.2013：107-112.

[12] Zhu H，He X Y，Liu X M，et al.PTFA：a secure and privacy-preserving traffic flow analysis scheme for intelligent transportation system[J].International Journal of Embedded Systems，2016，8（1）：78.

[13] Gosman C，Dobre C，Pop F.Privacy-preserving data aggregation in intelligent transportation systems[C]//2017 IFIP/IEEE Symposium on Integrated Network and Service Management.May 8-12，2017，Lisbon，Portugal.IEEE，2017：1059-1064.

[14] Mahmood A， Zen H， Hilles S. Big Data and privacy issues for connected vehicles in intelligent transportation systems[J]. arXiv preprint arXiv：1806.02944，2018.

[15] Ometov A，Bezzateev S，Davydov V，et al.Positioning information privacy in intelligent transportation systems：an overview and future perspective[J].Sensors （Basel，Switzerland），2019，19（7）：1603.

[16] Jolfaei A，Kant K.Privacy and security of connected vehicles in intelligent transportation system[C]//2019 49th Annual IEEE/IFIP International Conference on Dependable Systems and Networks – Supplemental Volume （DSN-S）.June 24-27，2019，Portland，OR，USA.IEEE，2019：9-10.

收稿日期：2021-09-28

基金項目：江蘇高校哲學(xué)社會科學(xué)研究項目“基于區(qū)塊鏈智能征信系統(tǒng)及其隱私保護機制研究”（No. 2021SJA0448）;江蘇省自然科學(xué)基金資助項目（No. BK20210928）;江蘇省大學(xué)生實踐創(chuàng)新訓(xùn)練計劃（No. 202111276011Z）;南京工程學(xué)院高等教育研究立項課題資助（No.2021ZC13）;智能交通數(shù)據(jù)安全與隱私保護技術(shù)北京市重點實驗室研究課題資助

作者簡介：施炎峰（1986—），男，江蘇人，講師，博士，主要從事大數(shù)據(jù)安全、區(qū)塊鏈技術(shù)以及隱私保護技術(shù)研究;王心瑩（2001—），女，江蘇人，本科生，網(wǎng)絡(luò)專業(yè);通信作者：朱相如（2001—），男，江蘇人，本科生，軟件工程專業(yè);李瓊（1988—），女，河南人，實驗師，碩士，信號與信息處理專業(yè)。