何業(yè)鋒 劉閃閃 劉妍 權(quán)家輝 田哲銘 楊夢(mèng)玫 李智

摘 要：在車(chē)載通信系統(tǒng)中，車(chē)輛的位置信息泄露會(huì)危及駕駛員的隱私安全，而基于混合區(qū)中，車(chē)輛的假名更新是實(shí)現(xiàn)位置隱私保護(hù)的一種有效方法。然而，現(xiàn)有的一些混合區(qū)方案忽略了車(chē)輛密度變化對(duì)位置隱私保護(hù)效果的影響。針對(duì)此問(wèn)題，提出了一種支持虛擬車(chē)輛輔助假名更新的混合區(qū)位置隱私保護(hù)方案。該方案旨在根據(jù)周?chē)献鬈?chē)輛的密度不同來(lái)動(dòng)態(tài)調(diào)整生成所需的虛擬車(chē)輛，并廣播它們的蹤跡，使攻擊者無(wú)法區(qū)分虛擬車(chē)輛和真實(shí)車(chē)輛，從而實(shí)現(xiàn)車(chē)輛的位置隱私保護(hù)。仿真實(shí)驗(yàn)結(jié)果表明，該方案通過(guò)引入虛擬車(chē)輛信息，使攻擊者無(wú)法區(qū)分虛擬車(chē)輛和真實(shí)車(chē)輛，有效降低了車(chē)輛真實(shí)位置或軌跡泄露的可能性，同時(shí)提高了交通密度較低情況下的位置隱私保護(hù)效果。

關(guān)鍵詞：車(chē)聯(lián)網(wǎng)；位置隱私保護(hù)；混合區(qū)；假名更新；虛擬位置

中圖分類(lèi)號(hào)：TN915；TP309?? 文獻(xiàn)標(biāo)志碼：A?? 文章編號(hào)：1001-3695（2024）01-043-0272-05

doi：10.19734/j.issn.1001-3695.2023.04.0201

Mix zone location privacy protection scheme supporting virtual vehicle assisted pseudonym changes

Abstract：In the vehicle communication system，location information leakage of vehicles can endanger the privacy and security of drivers，and pseudonym changes based on vehicles in the mixed zones are an effective way to achieve location privacy protection.However，some existing mixed zone schemes ignore the impact of vehicle density changes on location privacy protection.To solve this problem，this paper proposed a mix zone location privacy protection scheme that supported virtual vehicle-assisted pseudonym changes.The scheme aimed to dynamically adjust the generation of required virtual vehicles according to the density of surrounding cooperative vehicles and broadcast their tracks，so that attackers couldnt distinguish between virtual vehicles and real vehicles，thereby achieving location privacy protection of vehicles.The simulation results show that the scheme introduces virtual vehicle information to make it impossible for attackers to distinguish between virtual vehicles and real vehicles，effectively reducing the possibility of leakage of the real location or trajectory of vehicles，and enhancing the location privacy protection effect under low traffic density.

Key words：vehicular Ad hoc network；location privacy protection；mix zone；pseudonym change；virtual location

0 引言

近年來(lái)，由于道路上的車(chē)輛呈指數(shù)增長(zhǎng)，交通安全已經(jīng)成為人們關(guān)注的一個(gè)重要問(wèn)題。道路事故的頻繁發(fā)生，奪去了許多人的生命。智能交通系統(tǒng)（intelligent transportation systems，ITS）作為解決上述問(wèn)題的一種有效技術(shù)，可以為道路使用者提供安全應(yīng)用［1］。而車(chē)載自組織網(wǎng)絡(luò)（vehicular Ad hoc network，VANET）是無(wú)線(xiàn)通信技術(shù)（如IEEE 802.11p、藍(lán)牙）和定位技術(shù)（如全球定位系統(tǒng)）發(fā)展的產(chǎn)物，是實(shí)現(xiàn)ITS的關(guān)鍵組成部分。在VANET中，車(chē)輛通過(guò)合作感知消息（cooperative awareness message，CAM）來(lái)感知周?chē)h(huán)境。為了共享關(guān)鍵的駕駛信息，VANET建立了兩種通信方式，即車(chē)輛對(duì)車(chē)輛（vehicle to vehicle，V2V）和車(chē)輛對(duì)基礎(chǔ)設(shè)施（vehicle to infrastructure，V2I）的通信［2］。在V2V通信中，車(chē)輛通過(guò)與附近車(chē)輛通信來(lái)交換信息；在V2I通信中，車(chē)輛直接與路側(cè)單元（roadside unit，RSU）通信。

在實(shí)際通信中，每輛車(chē)需要定期廣播一些基本安全消息（basic security messages，BSM）（通常每100 ms左右廣播一條消息），消息中一般含車(chē)輛ID、時(shí)間、位置和速度等信息。雖然這些安全消息有助于預(yù)防和防止事故的發(fā)生，但它們也可能被攻擊者用于未經(jīng)授權(quán)的車(chē)輛跟蹤。通過(guò)使用符合IEEE 802.11的外部無(wú)線(xiàn)網(wǎng)絡(luò)，攻擊者可以竊聽(tīng)所有廣播消息，并確定車(chē)輛（或用戶(hù)）在一段時(shí)間內(nèi)訪問(wèn)的位置信息。這些位置歷史信息（或目標(biāo)車(chē)輛的移動(dòng)軌跡）與車(chē)輛用戶(hù)感興趣的地點(diǎn)相關(guān)聯(lián)，因此，這些信息可以用來(lái)監(jiān)視車(chē)主的活動(dòng)，甚至它們還可能被用于犯罪行為，如綁架或汽車(chē)盜竊。因此，保護(hù)車(chē)輛的位置信息或運(yùn)行軌跡尤其重要。

在VANET中，利用混合區(qū)方案來(lái)保護(hù)車(chē)輛的位置隱私一直是人們研究的熱點(diǎn)，其中混合區(qū)包括靜態(tài)混合區(qū)［3～5］ 和動(dòng)態(tài)混合區(qū)［6～11］ 。在基于動(dòng)態(tài)混合區(qū)的策略中，車(chē)輛在行駛過(guò)程中不斷檢測(cè)周?chē)h(huán)境，并與鄰居協(xié)調(diào)，同時(shí)更換假名。Buttyn等人［12］提出在VANET中緩慢地保持位置隱私，該方案無(wú)須通過(guò)車(chē)輛之間的同步來(lái)進(jìn)行假名更改。其關(guān)鍵思想是，當(dāng)車(chē)速低于給定閾值（如30 km/h）時(shí)，車(chē)輛應(yīng)進(jìn)入靜默期（不應(yīng)發(fā)送信標(biāo)或警告消息），并在每個(gè)靜默期內(nèi)更換假名。該方案保證了靜默周期和同步假名在時(shí)間和空間上的變化。Song等人［13］提出了一種基于車(chē)輛密度的DLP方案，其基本思想是當(dāng)目標(biāo)車(chē)輛的通信范圍內(nèi)至少存在k-1（k≥1）輛車(chē)時(shí)，目標(biāo)車(chē)輛及其鄰居可以更新其假名，但更新假名的位置隱私保護(hù)水平取決于道路交通狀況。2021年Zhang等人［14］提出了一種閃爍的基于上下文的混合策略，該策略將進(jìn)入混合區(qū)內(nèi)遇到的新車(chē)輛添加到流程中，以增加匿名集的大小，可提供比傳統(tǒng)的動(dòng)態(tài)混合區(qū)策略更高的隱私級(jí)別，但其忽略了在車(chē)輛密度較低的情況下，因很難遇到實(shí)際車(chē)輛而無(wú)法增加匿名集大小的問(wèn)題。隨后，Kalaiarasy等人［15］提出一種激勵(lì)合作的混合區(qū)隱私保護(hù)策略，然而在交通密度較低的情況下，該方案對(duì)目標(biāo)車(chē)輛的隱私保護(hù)效果相對(duì)較弱。

對(duì)于靜態(tài)混合區(qū)設(shè)計(jì)，Lu等人［16］把社會(huì)公共區(qū)域作為更新假名的混合區(qū)，如停車(chē)場(chǎng)和十字路口，但大量的車(chē)輛在此區(qū)域同時(shí)更新假名會(huì)提高其匿名性。Boualouache等人［17，18］引入了車(chē)輛位置隱私區(qū)（vehicular location privacy zone，VLPZ）更新假名，它可以通過(guò)某些路邊基礎(chǔ)設(shè)施來(lái)實(shí)現(xiàn)，如路邊加油站、收費(fèi)站等。車(chē)輛聚集在該區(qū)域時(shí)停播信標(biāo)、更新假名，然后選擇一條隨機(jī)的車(chē)道駛出該區(qū)域。但在現(xiàn)實(shí)中，僅僅為了改變假名而在道路沿線(xiàn)建造許多VLPZ是不可能的。Boualouache等人［19］選擇紅色交通燈前面的區(qū)域作為靜音混合區(qū)，車(chē)輛可以通過(guò)RSU替換其假名或與鄰居交換假名。Ravi等人［20］提出了一個(gè)k-匿名的混合區(qū)模型，該模型考慮了每個(gè)移動(dòng)用戶(hù)在混合區(qū)的停留時(shí)間，在一定程度上提高了位置隱私的安全性。Li等人［21］考慮到行車(chē)安全問(wèn)題，將混合區(qū)定義在紅綠燈前車(chē)輛非常緩慢甚至停車(chē)的地方。根據(jù)紅綠燈周期內(nèi)預(yù)測(cè)的實(shí)時(shí)交通流量動(dòng)態(tài)配置混合區(qū)長(zhǎng)度，但是，在低交通流量情況下，區(qū)域范圍沒(méi)有明確說(shuō)明，不能完全保證軌跡隱私保護(hù)的效果。

本文旨在提高低密度區(qū)域車(chē)輛的隱私保護(hù)水平，同時(shí)平衡車(chē)輛在行駛過(guò)程中不同車(chē)輛密度對(duì)隱私保護(hù)效果的影響。為此，本文提出了一種支持虛擬車(chē)輛輔助假名更新的混合區(qū)位置隱私保護(hù)方案。該方案在廣播信標(biāo)時(shí)即告知協(xié)作者所需匿名集k的大小，并且在合作者搜索結(jié)束后，根據(jù)協(xié)作者的數(shù)量和匿名集大小k來(lái)判斷是直接進(jìn)行假名更新，還是通過(guò)產(chǎn)生虛擬位置來(lái)滿(mǎn)足低密度區(qū)車(chē)輛用戶(hù)所需的隱私保護(hù)效果后再進(jìn)行假名更新。即該方案利用匿名集大小和協(xié)作者數(shù)量進(jìn)行比較和判斷，從而平衡了車(chē)輛在行駛過(guò)程中不同時(shí)間點(diǎn)因車(chē)輛密度不同對(duì)隱私保護(hù)效果的影響。仿真實(shí)驗(yàn)結(jié)果表明，本文方案不僅增強(qiáng)了混合區(qū)的匿名性，而且使攻擊者對(duì)目標(biāo)車(chē)輛的追蹤變得模糊，同時(shí)解決了在低交通流量情況下的隱私泄露問(wèn)題，從而更好地實(shí)現(xiàn)了對(duì)真實(shí)車(chē)輛的位置隱私保護(hù)。

1 系統(tǒng)模型與問(wèn)題描述

1.1 系統(tǒng)模型

車(chē)輛網(wǎng)絡(luò)模型由三個(gè)實(shí)體組成，如圖1所描述的證書(shū)頒發(fā)機(jī)構(gòu)（certificate authorities，CA）、RSU和車(chē)載單元（on board unit，OBU）。

1）CA 一組證書(shū)頒發(fā)機(jī)構(gòu)，構(gòu)成車(chē)輛公鑰基礎(chǔ)設(shè)施（vehicular public-key infrastructure，VPKI），為合法車(chē)輛提供證書(shū)。本文假設(shè)一個(gè)VPKI具有長(zhǎng)期CA（long term CA，LTCA）和假名CA（pseudonym CA，PCA）［22，23］。LTCA向注冊(cè)車(chē)輛提供長(zhǎng)期證書(shū)（long term certificate，LTC），用于授權(quán)從PCA獲得假名［22］。

2）RSU RSU為路側(cè)單元，它可以通過(guò)無(wú)線(xiàn)信道傳輸消息。從CA獲得授權(quán)后，RSU能為OBU生成一組與其假名等效的虛擬假名。最先進(jìn)的VPKI部署可以及時(shí)地提供假名［23］。

3）OBU OBU是安裝在車(chē)輛上的車(chē)載單元，車(chē)輛可以通過(guò)它與其他車(chē)輛或基礎(chǔ)設(shè)施通信。假設(shè)所有OBU和RSU都擁有一個(gè)硬件安全模塊（hardware security module，HSM），存儲(chǔ)在HSM中的私鑰無(wú)法提取，對(duì)于OBU來(lái)說(shuō)，一次只能激活一個(gè)假名。

車(chē)輛用戶(hù)使用OBU中存儲(chǔ)的私鑰對(duì)消息進(jìn)行簽名，在檢測(cè)到故障行為的情況下，已通過(guò)認(rèn)證的OBU可由決議機(jī)構(gòu)（resolution authority，RA）追蹤其長(zhǎng)期身份［22］。針對(duì)行為不端的OBU，RA通過(guò)將它添加到撤銷(xiāo)列表［24］中來(lái)取消其參與系統(tǒng)的權(quán)利。除非撤銷(xiāo)，否則OBU和RSU被認(rèn)為是受信任的。

在系統(tǒng)初始化階段，當(dāng)車(chē)輛需要進(jìn)入網(wǎng)絡(luò)時(shí)，它先向CA注冊(cè)，CA為其生成一組公鑰/私鑰對(duì){pubki，prvki}Mk=1預(yù)加載到車(chē)輛的OBU中，用來(lái)實(shí)現(xiàn)加/解密和簽名等功能。

1.2 問(wèn)題描述

車(chē)輛在道路上行駛需要廣播安全信息，外部攻擊者可能會(huì)沿道路放置無(wú)線(xiàn)網(wǎng)絡(luò)接收器竊聽(tīng)車(chē)輛通信，如監(jiān)聽(tīng)車(chē)輛的物理地址或假名，通過(guò)分析能夠跟蹤和識(shí)別車(chē)輛，從而獲取車(chē)輛的隱私信息。

當(dāng)?shù)缆飞闲旭偟能?chē)輛中僅有一輛改變假名時(shí)，攻擊者可以很容易地鏈接車(chē)輛的新舊假名，以此獲取車(chē)輛的運(yùn)行軌跡等敏感信息。針對(duì)這種類(lèi)型的攻擊，可以使用一些同步車(chē)輛同時(shí)更新假名來(lái)實(shí)現(xiàn)保護(hù)。然而，根據(jù)周?chē)?chē)輛密度情況，在k-匿名混合區(qū)內(nèi)進(jìn)行假名更新來(lái)保護(hù)車(chē)輛位置隱私時(shí)，車(chē)輛合作假名更新會(huì)出現(xiàn)以下問(wèn)題。首先，當(dāng)車(chē)輛行駛在低密度區(qū)域時(shí)，周?chē)?chē)輛較少，無(wú)法達(dá)到k-匿名的效果，因此更新假名前，需要確保車(chē)輛在低密度區(qū)域仍然能夠?qū)崿F(xiàn)k-匿名的效果；其次，在不同時(shí)刻，因車(chē)輛密度不同，會(huì)對(duì)隱私保護(hù)效果產(chǎn)生不平衡影響。這些因素促使本文提出了一種結(jié)合虛擬位置的混合區(qū)位置隱私保護(hù)策略，旨在解決上述問(wèn)題，使用戶(hù)能夠在不同時(shí)間和交通狀況下都能夠保護(hù)其位置隱私。

2 方案設(shè)計(jì)

針對(duì)低密度區(qū)合作車(chē)輛較少，造成攻擊者易關(guān)聯(lián)車(chē)輛新舊假名而引起位置泄露的問(wèn)題，提出了對(duì)交通密度變化有彈性的隱私保護(hù)方案。通過(guò)在混合區(qū)內(nèi)廣播虛假信標(biāo)消息，引入冗余的假名和位置信息來(lái)混淆和隱藏目標(biāo)車(chē)輛的假名和位置信息，阻止攻擊者鏈接目標(biāo)車(chē)輛的新舊假名。

本文方案使用目標(biāo)車(chē)輛附近的RSU來(lái)創(chuàng)建混合區(qū)，以實(shí)現(xiàn)車(chē)輛的假名更新。RSU負(fù)責(zé)建立和維護(hù)對(duì)稱(chēng)密鑰、生成虛假信標(biāo)消息并確保虛假消息不干擾車(chē)輛間的正常信息交互。為了保證正常信息交互，RSU需為車(chē)輛提供識(shí)別虛擬信息的功能。因此，它會(huì)保留一個(gè)CF［25］，并分發(fā)給OBU。該數(shù)據(jù)包括虛擬信息指紋，用于標(biāo)記混合區(qū)內(nèi)的虛擬消息。對(duì)于每個(gè)混合區(qū)，RSU管理虛擬車(chē)輛的產(chǎn)生和鄰近車(chē)輛的密鑰分配。

本文方案的基本思想是在目標(biāo)車(chē)輛通信范圍內(nèi)先找出協(xié)作車(chē)輛，即真實(shí)節(jié)點(diǎn)，并生成至少k-n個(gè)虛擬節(jié)點(diǎn)，將真實(shí)節(jié)點(diǎn)和虛擬節(jié)點(diǎn)相結(jié)合，實(shí)現(xiàn)混合區(qū)內(nèi)k-匿名的效果。為了防止女巫攻擊和重播攻擊，生成的虛擬節(jié)點(diǎn)僅在混合區(qū)的預(yù)定義范圍MIX內(nèi)有效。圖2給出了算法的運(yùn)行示例，其中每個(gè)實(shí)心點(diǎn)表示真實(shí)節(jié)點(diǎn)，虛心點(diǎn)表示生成的虛擬節(jié)點(diǎn)。在圖2中，目標(biāo)車(chē)輛L0將協(xié)作者搜索請(qǐng)求廣播到通信范圍內(nèi)的其他車(chē)輛，合作進(jìn)程在t1時(shí)刻結(jié)束。在圖3中，通過(guò)虛擬位置技術(shù)生成一部分虛擬節(jié)點(diǎn)，并為其分配相應(yīng)的假名。假名分配結(jié)束后，RSU將匿名位置集（包含真實(shí)節(jié)點(diǎn)和虛擬節(jié)點(diǎn)的位置及其假名）發(fā)送給目標(biāo)車(chē)輛和所有協(xié)作者，并在t2時(shí)刻開(kāi)始廣播這些消息。然后，在圖4中，在t2時(shí)刻的混合區(qū)MIX內(nèi)真實(shí)/虛擬節(jié)點(diǎn)同時(shí)進(jìn)行假名更新。其過(guò)程包括混合區(qū)協(xié)作者搜索、混合區(qū)虛擬節(jié)點(diǎn)搜索和混合區(qū)觸發(fā)三個(gè)階段。

2.1 混合區(qū)協(xié)作者搜索階段

此階段由車(chē)輛完成，利用頻繁交換的信標(biāo)消息中未使用的比特作為方案的一個(gè)定制比特位RTC（ready to change）。這個(gè)位用于是否想要更新假名的標(biāo)志，并判斷車(chē)輛是否愿意進(jìn)行同步假名更新。當(dāng)車(chē)輛想要更新假名時(shí)，即假名的最小穩(wěn)定壽命即將到期，它將信標(biāo)中更新假名的標(biāo)志設(shè)置為1并廣播此信標(biāo)，同時(shí)在RSU通信范圍內(nèi)廣播假名更新的協(xié)作請(qǐng)求。該請(qǐng)求包括中心posi和半徑ri的混合區(qū)域MIX、響應(yīng)過(guò)期時(shí)間t1、混合區(qū)啟動(dòng)時(shí)間t2以及請(qǐng)求的協(xié)作者數(shù)量k，即

算法1 混合區(qū)協(xié)作者搜索算法

輸入：協(xié)作請(qǐng)求Req。

輸出：協(xié)作者數(shù)量n。

a）車(chē)輛的假名即將過(guò)期，將信標(biāo)消息Beason中的RTC設(shè)置為1；

b）廣播信標(biāo)消息Beason；廣播請(qǐng)求Req；/*通信范圍內(nèi)假名更新協(xié)作請(qǐng)求的消息被命名為Req*/

c）車(chē)輛N接收到的消息中RTC為1，則協(xié)作者的數(shù)量n=n+1；

d）反復(fù)執(zhí)行步驟c），直到到達(dá)響應(yīng)過(guò)期時(shí)間t1為止。

2.2 混合區(qū)虛擬節(jié)點(diǎn)搜索階段

完成協(xié)作者的搜索后，對(duì)比協(xié)作者的數(shù)量和需要的匿名條件k的大小。如果n≥k，目標(biāo)車(chē)輛和協(xié)作車(chē)輛共同創(chuàng)建一個(gè)獨(dú)立的k-匿名混合區(qū)直接進(jìn)行假名更新；否則，需要RSU利用虛擬位置技術(shù)生成部分虛擬節(jié)點(diǎn)（步驟c））來(lái)幫助其生成匿名混合區(qū)。這些虛擬節(jié)點(diǎn)相對(duì)于posi的位置符合均勻分布，其中posi是虛擬圓中心坐標(biāo)，即混合區(qū)的中心坐標(biāo)，生成的虛擬節(jié)點(diǎn)全部包含在混合區(qū)的范圍內(nèi)。將生成的m個(gè)虛擬節(jié)點(diǎn)作為候選位置集CLS（candidate location set）：

CLS={L1，L2，L3，…，Lm}（1）

RSU從位置集CLS中篩選出k-n個(gè)虛擬節(jié)點(diǎn)，并為其分配假名，從而構(gòu)成虛擬匿名集VAS（virtual anonymous set）：

VAS={（L1，psd1），（L2，psd2），（L3，psd3），…，

（Lk-n，psdk-n）|k-n≤m}（2）

然后，RSU將k-n個(gè)虛擬節(jié)點(diǎn)和n個(gè)真實(shí)節(jié)點(diǎn)組成車(chē)輛節(jié)點(diǎn)匿名集NAS（node anonymous set）：

NAS={（L1，psd1）（L2，psd2），…，

（Lk-n，psdk-n），…，

（Lk，psdk）}（3）

最壞的情況是只有一個(gè)真實(shí)節(jié)點(diǎn)，此時(shí)方案也可以建立一個(gè)匿名混合區(qū)。

對(duì)于每個(gè)真實(shí)節(jié)點(diǎn)對(duì)應(yīng)的車(chē)輛，RSU分別使用它們的公鑰加密匿名集，并將加密后的匿名集發(fā)送給對(duì)應(yīng)車(chē)輛，加密的匿名集表示為

算法2 混合區(qū)虛擬節(jié)點(diǎn)搜索算法

輸入：協(xié)作者的數(shù)量n，旋轉(zhuǎn)角度θ，初始化候選位置集CLS，初始化空數(shù)組NAS。

輸出：車(chē)輛節(jié)點(diǎn)匿名集NAS。

a）在該區(qū)域內(nèi)混合區(qū)滿(mǎn)足k-匿名的要求，即n≥k時(shí)，直接進(jìn)入混合區(qū)觸發(fā)階段，執(zhí)行算法3的步驟c）；

b）若合作車(chē)輛不滿(mǎn)足匿名要求，即n＜k時(shí)，以RSU的位置坐標(biāo)posi作為虛擬圓的中心位置點(diǎn)，選擇角度θ，隨機(jī)選擇一個(gè)協(xié)作者的位置作為旋轉(zhuǎn)起始位置；

c）依次判斷該角度上是否有真實(shí)節(jié)點(diǎn)存在，若存在則跳過(guò)此角度；若不存在，則在該角度上生成一個(gè)虛擬節(jié)點(diǎn)并加入CLS中；/*初始時(shí)刻角度θ為0，每次判斷結(jié)束后角度增加2π/k*/

d）重復(fù)步驟c），直到角度θ等于2π為止；

e）在CLS中挑選出k-n個(gè)虛擬節(jié)點(diǎn)，為其分配假名，構(gòu)成VAS；

f）將虛擬節(jié)點(diǎn)和真實(shí)節(jié)點(diǎn)組成k-匿名位置集NAS，將NAS加密并發(fā)送給參與者，位置分配結(jié)束。

2.3 混合區(qū)觸發(fā)階段

計(jì)時(shí)器用于觸發(fā)混合區(qū)內(nèi)的所有協(xié)作車(chē)輛同時(shí)更新假名。當(dāng)時(shí)間到達(dá)t2時(shí)，每個(gè)參與節(jié)點(diǎn)開(kāi)始以隨機(jī)順序廣播其收到的匿名位置集NAS。從攻擊者的角度來(lái)看，這k個(gè)標(biāo)識(shí)符是無(wú)法區(qū)分的。因此，每個(gè)節(jié)點(diǎn)的新假名被其他k個(gè)真實(shí)或虛擬節(jié)點(diǎn)的假名隱藏了?；旌蠀^(qū)中的所有協(xié)作車(chē)輛在此時(shí)同時(shí)更新假名，并在成功更新假名后將其標(biāo)志位RTC設(shè)置為0，這意味著該車(chē)輛成功更新了假名。

算法3 混合區(qū)觸發(fā)算法

輸入：匿名集。

a）協(xié)作者接收到NAS，且時(shí)間到達(dá)t2；

b）每個(gè)協(xié)作者在混合區(qū)內(nèi)按隨機(jī)順序廣播NAS；

c）所有車(chē)輛在此時(shí)進(jìn)行假名變更，直到檢測(cè)到車(chē)輛的RTC為0，該車(chē)輛假名變更結(jié)束；

d）退出混合區(qū)后利用新假名廣播消息。

2.4 正確性分析

在通信過(guò)程中，RSU能夠?qū)?shù)據(jù)進(jìn)行加密處理，以確保通信內(nèi)容的機(jī)密性和安全性。同時(shí)，RSU具備較高的計(jì)算和存儲(chǔ)能力，可以對(duì)數(shù)據(jù)進(jìn)行處理和轉(zhuǎn)發(fā)，以滿(mǎn)足車(chē)輛和服務(wù)提供商之間的通信需求。通過(guò)使用加密技術(shù)，可以有效地防止未授權(quán)的第三方對(duì)通信過(guò)程中的數(shù)據(jù)進(jìn)行竊聽(tīng)和入侵。

在生成虛擬節(jié)點(diǎn)時(shí)，考慮到對(duì)道路交通安全的影響，會(huì)對(duì)這些節(jié)點(diǎn)進(jìn)行標(biāo)記以區(qū)別于真實(shí)節(jié)點(diǎn)。參與合作的車(chē)輛會(huì)了解生成的虛擬節(jié)點(diǎn)集，并且只有在混合區(qū)內(nèi)的部分虛擬節(jié)點(diǎn)才會(huì)有效。這種設(shè)計(jì)可以確保合作車(chē)輛對(duì)虛擬節(jié)點(diǎn)的掌握，并限制虛擬節(jié)點(diǎn)的使用范圍，從而更好地保護(hù)車(chē)輛的位置隱私和道路交通安全。

綜上所述，通過(guò)利用RSU的計(jì)算和存儲(chǔ)能力，并采用加密通信方式，可以在用戶(hù)與RSU之間以及RSU與服務(wù)提供商之間建立安全的通信環(huán)境。同時(shí)，在生成虛擬節(jié)點(diǎn)時(shí)，考慮到道路交通安全的因素，使用標(biāo)記來(lái)區(qū)分虛擬節(jié)點(diǎn)，并確保其僅在混合區(qū)內(nèi)有效。這些措施旨在提升系統(tǒng)的安全性和隱私保護(hù)水平，以滿(mǎn)足實(shí)際需求。

3 仿真實(shí)驗(yàn)和性能分析

通過(guò)交通仿真實(shí)驗(yàn)，分別研究了不同車(chē)輛密度下該方案的隱私保護(hù)效果，并將本文方案與已有研究工作進(jìn)行了比較。

3.1 仿真實(shí)驗(yàn)

使用SUMO交通模擬器和LUST數(shù)據(jù)集［26］，對(duì)盧森堡城市的車(chē)輛軌跡進(jìn)行了模擬仿真。在模擬實(shí)驗(yàn)中，車(chē)輛速度是周期性變化的且其取值在10～20 m/s。根據(jù)不同的交通密度，將交通場(chǎng)景分為中心城區(qū)（高密度區(qū)）、住宅區(qū)（中密度區(qū)）、郊區(qū)（低密度區(qū)）三種類(lèi)型。

圖5給出了在不同車(chē)輛密度場(chǎng)景下的某個(gè)十字路口獲得的匿名集熵，熵值越大，位置隱私保護(hù)效果越好。從圖5中可以看出，本文方案的位置隱私保護(hù)效果隨交通擁擠度和車(chē)輛密度的變化而變化。當(dāng)在中心城區(qū)和住宅區(qū)時(shí)，匿名規(guī)模隨著時(shí)間的增加而迅速增長(zhǎng)，匿名集的熵也隨時(shí)間的增加而迅速增長(zhǎng)。當(dāng)車(chē)輛行駛在郊區(qū)時(shí)，由于虛擬車(chē)輛的加入，本文方案依舊能夠保持匿名集熵隨著時(shí)間的增加而增長(zhǎng)。圖6顯示了攻擊者成功跟蹤車(chē)輛的概率。 攻擊者成功跟蹤的概率是指在一個(gè)混合區(qū)內(nèi)成功跟蹤的車(chē)輛數(shù)與車(chē)輛總數(shù)的比值。隨著熵的增加，攻擊者正確跟蹤車(chē)輛的概率會(huì)降低。

虛擬車(chē)輛的數(shù)量隨實(shí)際車(chē)輛數(shù)的變化而變化。已知參與合作的實(shí)際車(chē)輛數(shù)和所需匿名集大小，可以計(jì)算出所需虛擬車(chē)輛的數(shù)量。直觀地說(shuō)，虛擬車(chē)輛的數(shù)量與交通密度成反比。圖7是對(duì)三種場(chǎng)景進(jìn)行的全天模擬。如預(yù)期的那樣，隨著高峰時(shí)段（7：30、13：00、18：30左右）真實(shí)車(chē)輛密度的增加，只需要較少的虛擬車(chē)輛就可達(dá)到相同的隱私保護(hù)效果。

3.2 性能比較

通過(guò)對(duì)三個(gè)方案在三種不同場(chǎng)景下的全天模擬，得到了如圖8所示的結(jié)果。從圖8中可以看出，隱私暴露程度與真實(shí)車(chē)輛密度呈負(fù)相關(guān)。尤其從高峰時(shí)間7：30、13：00和18：30左右可以明顯看到，隨著車(chē)輛密度的增加，隱私暴露值逐漸降低。但由于午夜至凌晨5點(diǎn)的交通密度非常低，這段時(shí)間對(duì)車(chē)輛的隱私保護(hù)最少，且中心城區(qū)和住宅區(qū)之間的區(qū)域差異也會(huì)導(dǎo)致隱私暴露程度的差異。三個(gè)方案都是利用周?chē)能?chē)輛作為匿名混合區(qū)內(nèi)的節(jié)點(diǎn)，通過(guò)在混合區(qū)內(nèi)進(jìn)行假名更新來(lái)實(shí)現(xiàn)對(duì)目標(biāo)車(chē)輛的位置進(jìn)行隱私保護(hù)。在中心城區(qū)和住宅區(qū)，本文方案與文獻(xiàn)［13，14］有著相近的隱私保護(hù)效果，但在郊區(qū)，本文方案在利用周?chē)?chē)輛進(jìn)行合作假名更新的同時(shí)引入虛擬位置，解決了低密度區(qū)域因車(chē)輛密度不足而導(dǎo)致的隱私保護(hù)效果下降的問(wèn)題。因此，本文方案在隱私保護(hù)上表現(xiàn)更好。此外，本文方案根據(jù)協(xié)作者的數(shù)量和匿名集大小k來(lái)判斷需要生成多少虛擬位置，從而提供更具彈性的隱私保護(hù)效果，以適應(yīng)不同時(shí)間段車(chē)輛數(shù)量的波動(dòng)。換言之，本文方案能夠?qū)υ诓煌芏认碌能?chē)輛提供相同的隱私保護(hù)效果，均衡車(chē)輛行駛在道路上因密度不同導(dǎo)致的隱私保護(hù)效果不穩(wěn)定的問(wèn)題，為車(chē)聯(lián)網(wǎng)系統(tǒng)提供更強(qiáng)大的安全保障，讓車(chē)主更加放心地享受智能出行服務(wù)。

通過(guò)與文獻(xiàn)［13，14］進(jìn)行比較發(fā)現(xiàn)，本文方案在許多方面具有明顯的優(yōu)勢(shì)，如表1所示。文獻(xiàn)［13］根據(jù)周?chē)?chē)輛密度進(jìn)行假名更新，但沒(méi)有考慮到周?chē)?chē)輛是否愿意合作。在車(chē)輛密集區(qū)，假名更新較容易實(shí)現(xiàn)，因?yàn)橛性S多車(chē)輛存在，然而，在自私節(jié)點(diǎn)不愿意合作的情況下，位置隱私保護(hù)無(wú)法實(shí)現(xiàn)。尤其是在低密度區(qū)，為了滿(mǎn)足匿名條件，需要增加等待時(shí)間；而且所需的等待時(shí)長(zhǎng)是不確定的，最壞的情況是在假名到期時(shí)仍然無(wú)法滿(mǎn)足匿名條件，導(dǎo)致位置隱私的泄露。文獻(xiàn)［14］考慮了周?chē)?chē)輛是否愿意合作，確保了節(jié)點(diǎn)在混合區(qū)內(nèi)的參與，并在進(jìn)入靜默期內(nèi)要將遇到的新鄰居加入到混合區(qū)內(nèi)來(lái)增加對(duì)位置隱私的保護(hù)，這一動(dòng)作增加了混合區(qū)內(nèi)的等待時(shí)長(zhǎng)，因此假名更新所需時(shí)間較長(zhǎng)。

本文方案保證節(jié)點(diǎn)在混合區(qū)內(nèi)參與的基礎(chǔ)上，當(dāng)混合區(qū)參與節(jié)點(diǎn)數(shù)量不足時(shí)，引入部分虛擬節(jié)點(diǎn)來(lái)保證所需的隱私保護(hù)效果。在高密度區(qū)，由于車(chē)輛密集分布，在搜索到足夠數(shù)量的協(xié)作者后，可以直接進(jìn)行假名更新。這一過(guò)程只需要搜索協(xié)作者，無(wú)須其他操作，因此在這種情況下，假名更新所需的時(shí)間很短。在中密度區(qū)，可能只需要生成少量虛擬節(jié)點(diǎn)即可滿(mǎn)足匿名要求。然而，在低密度區(qū)由于道路上車(chē)輛較少，很難達(dá)到k-匿名的要求，所以需要在有協(xié)作者的基礎(chǔ)上生成一部分虛擬節(jié)點(diǎn)，以混淆攻擊者的監(jiān)聽(tīng)。在這種情況下，假名更新所需的時(shí)間會(huì)增加，由于將生成虛擬節(jié)點(diǎn)的任務(wù)交給計(jì)算能力強(qiáng)大的RSU，所以本文方案在低密度區(qū)的時(shí)間開(kāi)銷(xiāo)仍然相對(duì)較低。

綜上所述，通過(guò)比較不同方案的指標(biāo)發(fā)現(xiàn)，本文方案具有明顯的優(yōu)勢(shì)。文獻(xiàn)［13］在低密度區(qū)可能導(dǎo)致假名更新失敗，而文獻(xiàn)［14］在低密度區(qū)需要增加搜索時(shí)間。相比之下，本文方案在各種區(qū)域都能夠保證節(jié)點(diǎn)在混合區(qū)內(nèi)的參與，并在高密度區(qū)和中密度區(qū)的假名更新時(shí)間上具有優(yōu)勢(shì)；且在低密度區(qū)，通過(guò)引入虛擬位置來(lái)提高隱私保護(hù)效果，并將虛擬位置生成任務(wù)交給計(jì)算能力強(qiáng)大的RSU，從而減少了時(shí)間開(kāi)銷(xiāo)。

4 結(jié)束語(yǔ)

本文基于k-匿名的基本思想，提出了一種支持虛擬車(chē)輛輔助假名更新的混合區(qū)位置隱私保護(hù)方案。該方案通過(guò)在低密度區(qū)引入虛擬位置來(lái)構(gòu)建k-匿名混合區(qū)，以此混淆和隱藏目標(biāo)車(chē)輛的假名和位置信息，從而提高了目標(biāo)車(chē)輛在低密度區(qū)的位置隱私保護(hù)效果。通過(guò)對(duì)該方案進(jìn)行流量仿真實(shí)驗(yàn)，從多個(gè)隱私度量的角度對(duì)其性能進(jìn)行了分析，并與已有的文獻(xiàn)［13，14］進(jìn)行了性能比較。結(jié)果顯示，本文方案在位置隱私保護(hù)方面更具有彈性，在高密度區(qū)和低密度區(qū)都能實(shí)現(xiàn)較好的隱私保護(hù)效果。然而，由于本文方案目前未考慮周?chē)?chē)輛的攻擊對(duì)隱私保護(hù)效果的影響，接下來(lái)將研究如何改進(jìn)此方案以抵御這類(lèi)攻擊，同時(shí)平衡位置服務(wù)和位置隱私保護(hù)之間的需求。

參考文獻(xiàn)：

［1］

Sheikh M S，Liang J.A comprehensive survey on VANET security services in traffic management system［J］.Wireless Communications and Mobile Computing，2019，2019：2423915.

［2］Dey K C，Rayamajhi A，Chowdhury M，et al.Vehicle-to-vehicle（V2V） and vehicle-to-infrastructure（V2I） communication in a heterogeneous wireless network-performance evaluation［J］.Transportation Research Part C：Emerging Technologies，2016，68：168-184.

［3］Memon I，Memon H，Arain Q A.Pseudonym changing strategy with mix zones based authentication protocol for location privacy in road networks［J］.Wireless Personal Communications，2021，116（4）：3309-3329.

［4］Kalaiarasy C，Sreenath N，Amuthan A.An effective variant ring signature based pseudonym changing mechanism for privacy preservation in mixed zones of vehicular networks［J］.Journal of Ambient Intelligence and Humanized Computing，2020，11（4）：1669-1681.

［5］侯慧瑩，廉歡歡，趙運(yùn)磊.面向自動(dòng)駕駛的高效可追蹤的車(chē)聯(lián)網(wǎng)匿名通信方案［J］.計(jì)算機(jī)研究與發(fā)展，2022，59（4）：894-906.（Hou Huiying，Lian Huanhuan，Zhao Yunlei.An efficient and trace-able anonymous VANET communication scheme for autonomous driving［J］.Journal of Computer Research and Development，2022，59（4）：894-906.）

［6］Saini I，Saad S，Jaekel A.A comprehensive pseudonym changing scheme for improving location privacy in vehicular networks［J］.Internet of Things，2022，19：100559.

［7］Ye Xin，Zhou Jin，Li Yuedi，et al.A location privacy protection scheme for convoy driving in autonomous driving era［J］.Peer-to-Peer Networking and Applications，2021，14（3）：1388-1400.

［8］Yamazaki R，Yoshida M，Shigeno H.A dynamic mix-zone scheme considering communication delay for location privacy in vehicular networks［C］//Proc of IEEE International Conference on Pervasive Computing and Communications Workshops and other Affiliated Events.Piscataway，NJ：IEEE Press，2021：245-250.

［9］Babaghayou M，Chaib N，Lagraa N，et al.A safety-aware location privacy preserving IoV scheme with road congestion-estimation in mobile edge computing［J］.Sensors，2023，23（1）：531.

［10］張海波，蘭凱，陳舟，等.車(chē)聯(lián)網(wǎng)中基于環(huán)的匿名高效批量認(rèn)證與組密鑰協(xié)商協(xié)議［J］.通信學(xué)報(bào)，2023，44（6）：103-116.（Zhang Haibo，Lan Kai，Chen Zhou，et al.Ring-based efficient batch authentication and group key agreement protocol with anonymity in Internet of Vehicles［J］.Journal on Communications，2023，44（6）：103-116.）

［11］楊少杰，鄭琨，張輝，等.基于博弈論與區(qū)塊鏈融合的k-匿名位置隱私保護(hù)方案［J］.計(jì)算機(jī)應(yīng)用研究，2021，38（5）：1320-1326.（Yang Shaojie，Zhang Kun，Zhang Hui，et al.k-anonymous location privacy protection scheme based on game theory and blockchain fusion［J］.Application Research of Computers，2021，38（5）：1320-1326.）

［12］Buttyán L，Holczer T，Weimerskirch A，et al.SLOW：a practical pseudonym changing scheme for location privacy in VANETs［C］//Proc of IEEE Vehicular Networking Conference.New York：ACM Press，2009：1-8.

［13］Song J H，Wong V W S，Leung V C M.Wireless location privacy protection in vehicular Ad hoc networks［J］.Mobile Networks and Applications，2010，15（1）：160-171.

［14］Zhang Zhixiang，F(xiàn)eng Tianyi，Sikdar B，et al.A flickering context-based mix strategy for privacy protection in VANETs［C］//Proc of IEEE International Conference on Communications.Piscataway，NJ：IEEE Press，2021：1-6.

［15］Kalaiarasy C，Sreenath N.An incentive-based co-operation motivating pseudonym changing strategy for privacy preservation in mixed zones in vehicular networks［J］.Journal of King Saud University-Computer and Information Sciences，2022，34（1）：1510-1520.

［16］Lu Rongxing，Lin Xiaodong，Luan T H，et al.Pseudonym changing at social spots：an effective strategy for location privacy in VANETs［J］.IEEE Trans on Vehicular Technology，2012，61（1）：86-96.

［17］Boualouache A，Senouci S M，Moussaoui S.VLPZ：the vehicular location privacy zone［J］.Procedia Computer Science，2016，83：369-376.

［18］Boualouache A，Senouci S M，Moussaoui S.Towards an efficient pseudonym management and changing scheme for vehicular Ad hoc networks［C］//Proc of IEEE Global Communications Conference.Pisca-taway，NJ：IEEE Press，2016：1-7.

［19］Boualouache A，Moussaoui S.Urban pseudonym changing strategy for location privacy in VANETs［J］.International Journal of Ad hoc and Ubiquitous Computing，2017，24（1/2）：49-64.

［20］Ravi N，Krishna C M，Koren I.Enhancing vehicular anonymity in its：a new scheme for mix zones and their placement［J］.IEEE Trans on Vehicular Technology，2019，68（11）：10372-10381.

［21］Li Youhuizi，Yin Yuyu，Chen Xu，et al.A secure dynamic mix zone pseudonym changing scheme based on traffic context prediction［J］.IEEE Trans on Intelligent Transportation Systems，2022，23（7）：9492-9505.

［22］Khodaei M，Jin H，Papadimitratos P.SECMACE：scalable and robust identity and credential management infrastructure in vehicular communication systems［J］.IEEE Trans on Intelligent Transportation Systems，2018，19（5）：1430-1444.

［23］Noroozi H，Khodaei M，Papadimitratos P.VPKIaaS：a highly-available and dynamically-scalable vehicular public-key infrastructure［C］//Proc of the 11th ACM Conference on Security & Privacy in Wireless and Mobile Networks.New York：ACM Press，2018：302-304.

［24］Khodaei M，Papadimitratos P.Efficient，scalable，and resilient vehicle-centric certificate revocation list distribution in VANETs［C］//Proc of the 11th ACM Conference on Security & Privacy in Wireless and Mobile Networks.New York：ACM Press，2018：172-183.

［25］Fan B，Andersen D G，Kaminsky M，et al.Cuckoo filter：practically better than bloom［C］//Proc of the 10th ACM International on Conference on emerging Networking Experiments and Technologies.New York：ACM Press，2014：75-88.

［26］Codeca L，F(xiàn)rank R，Engel T.Luxembourg sumo traffic（LuST） scenario：24 hours of mobility for vehicular networking research［C］//Proc of IEEE Vehicular Networking Conference.Piscataway，NJ：IEEE Press，2015：1-8.