【课件】5-3 车联网隐私保护认知

车联网技术与应用能力模块五车联网安全与隐私保护任务三车联网隐私保护认知导入

车联网在带给人们带来便利的同时，也伴生了许多问题。隐私问题就是车联网应用中的一个必须关注问题。这是由于车辆与人们的敏感信息密切相关，特别是交通安全类应用需要车辆不断广播其位置、速度等信息，这使得人们的身份、位置和行踪等敏感信息面临严重的威胁，车联网无线通信的本质使数据极易被监测、改变和伪造等。这些特征增强了不法分子收集和挖掘乘客隐私信息的能力。新授Newteaching1目录一、车联网隐私问题分析二、车联网隐私保护目标三、车联网隐私保护技术一、车联网隐私问题分析

车联网的个人身份隐私是一种传统的敏感隐私问题，是指驾驶人的个人身份信息、车牌号等隐私数据。车联网中的个人身份隐私涉及驾乘人员的敏感信息，在大数据环境下，攻击者获取与车辆驾乘人员的相关数据的渠道更多，挖掘数据关联性的能力更强，这些数据泄露的可能性就越大，如果这些数据一旦泄露可能影响到相关人员的生命财产安全。（一）身份隐私在车联网应用中，身份隐私更易遭受攻击，由于安全消息通常都没有加密，并且包含了车辆速度、方向、位置等信息，有时甚至还包含ID（或伪ID）信息，当攻击者拥有这些信息后可以实施更有效的攻击。车辆之间、车辆与RSU之间传递的安全消息关系到人们的生命财产安全，必须保证其完整性、真实性，以及来源可信，因此需要认证消息及消息来源。如果车辆的ID信息泄露，攻击者根据该ID发送的安全消息中的车辆位置信息，可以简单地推断出车辆的移动轨迹；同样。如果车辆的移动轨迹泄露，攻击者将轨迹与安全消息中位置相匹配，就可以很容易得知车辆ID或伪ID序列。一、车联网隐私问题分析（一）身份隐私身份隐私在娱乐和Internet接入应用中更为突出，在娱乐和Internet接入应用中，用户经常使用邮箱地址、微博账号、付费银行卡等敏感标识信息，这些标识信息可以唯一关联到用户，从而损害用户的身份隐私。身份隐私与位置隐私具有强关联性在娱乐和Internet接入的应用一、车联网隐私问题分析

车联网位置隐私是当前产业界亟待解决的问题。车联网保护用户隐私模型如图，产业界普遍认为强劲的消费者数据隐私保护和汽车安全对于维持客户的信任至关重要。（二）位置隐私位置隐私是一种特殊的个人隐私，是指不愿意被外部知晓的直接与位置相关的个人敏感信息（如当前位置、历史行踪等），以及由位置数据挖掘推理出的其他个人敏感信息（如兴趣爱好、健康状况、宗教信仰等）。一、车联网隐私问题分析由于车辆是人行动的载体、车与人具有密切的关联性，这使得人们从车辆位置数据获益的同时，面临严重的个人位置隐私泄露威胁，甚至危及个人生命财产安全。车联网中的位置隐私安全具有以下特征：（二）位置隐私位置隐私与安全应用的有效性之间存在矛盾；安全应用需要了解实时的交通状况。如当前的速度、方向、位置等信息，以便根据这些信息做出准确无误的判断；而位置隐私则希望尽可能隐藏车辆的当前或过去的位置信息，以保证用户的利益不受损害。安全消息时空关联性损害位置隐私。安全消息包含车辆的速度、方向、位置等信息。通常300ms发送一次，如果车辆以约20m/s速度行驶，安全消息中的位置变化约为6m，因此连续安全消息之间具有很强的时空关联性，多个安全消息关联在一起，就可以还原出车辆行驶的轨迹。上传数据隐私主要是指对车辆向管理中心上传当前的路况信息等必要交通状况信息进行隐私保护。一、车联网隐私问题分析（三）数据隐私一方面。车辆上传的数据不希望其他车辆和RSU知道，但RSU要能够对消息进行源认证、完整性校验和新鲜性校验，从而保证上传数据的实时性和可靠性的要求。另一方面，其他车辆在必要时能够辅助验证消息的正确性，以防止恶意车辆发送虚假消息影响数据的整体质量。二、车联网隐私保护目标在设计车联网隐私保护机制时通常要考虑如下需求:1.匿名性2.条件性

设计的隐私保护机制应该防止未授权方知道发送者的真实身份和其他私人信息。另一方面，可信机构（如警察）有权在发生刑事诉讼时揭露车辆的身份。因此，有条件的隐私保护在车联网中是必不可少的。

消息的发送者在一组发送者之间应该是是匿名的。为了保护发送者的隐私，车联网隐私保护系统需保证发送者/驾驶人的匿名性，即理论上不应该有将消息内容关联到发送消息者的可能性，但这在界定责任与匿名的问题方面产生了冲突。因此，需要提供有条件的匿名性以实现可追溯性。二、车联网隐私保护目标在设计车联网隐私保护机制时通常要考虑如下需求:4.低泄露性

用户应在通信期间泄露最少量的信息。在交流期间泄露的用户数据应该是最小的，简而言之就是没有除工作所需之外的其他任何信息。此外，收集到的信息应根据相应的具体要求进行调整。3.机密性隐私保护系统应防止将消息内容泄露给未经授权的实体，以维护用户的隐私。发送者与某个消息之间的不相关性可能会被称为匿名，即使这可能会打破发送者的匿名性。其中不相关性是指攻击者无法充分区分车联网中使用的兴趣项目IOI是否相关。5.可分发性

一项重要的隐私需求是将身份解析的过程分布到各个机构当中，这些机构需要合作才能将证书链接到特定实体。这对保持条件匿名同时仍保留用户隐私至关重要。二、车联网隐私保护目标在设计车联网隐私保护机制时通常要考虑如下需求:6.转发保密性7.可拓展性在为传统移动自组织网络设计安全协议时可能不会考虑这一点，因为其用户数量并不大，因此未考虑可扩展性不会导致重要的攻击。但是，在车联网中，可扩展性是一个非常重要的因素。即使在高密度区域，也应该能有车辆及时验证进入的消息。否则，如果安全方案在高密度区域无效，一些消息将会在验证之前被丢失。此外，不可扩展的方案容易受到拒绝服务（DoS）攻击。解析用户的身份或证书不应泄露任何可能把将来消息关联到该用户的信息。二、车联网隐私保护目标8.存储需求加密身份验证技术已被广泛用来保护VCS，实现隐私保护。用于满足隐私属性的通常有两种技术，即假名和群签名。在假名认证中，车辆存储大量公钥/私钥对及其相应的证书，需要改变假名才能使对手难以跟踪车辆。因此，匿名密钥的大小应尽可能保持最小，以便最小化车辆所需的存储空间。而在群签名方案中。需要预先存储大量证书。但是，群签名面临的问题是签名的数据非常大。9.可用性某些应用程序对通信网络有着高度的依赖，如对时间敏感的紧急服务。例如。在紧急情况下不能即时接收已发送消息将会使应用程序无效。二、车联网隐私保护目标在设计车联网隐私保护机制时通常要考虑如下需求:10.实用性11.稳定性系统稳定性意味着通信信道是安全的并且是满足隐私保护要求的，比如说即使存在恶意或故障节点，也具有真实性和完整性。一些车联网应用程序需要通过RSU或相邻车辆频繁地向车辆广播来更新或获取实时信息，比如说与安全相关的应用。三、车联网隐私保护技术

车联网隐私问题从2005年起开始被关注、瑞士洛桑联邦理工学院Hubaox、加拿大滑铁卢大学Sherman等一批国内外学者在车联网隐私保护领域开展了相关的研究工作。并取得大量的研究成果。从车联网隐私保护的技术角度，已有研究成果可分为身份隐私保护。位置隐私保护、数据隐私保护等，而安全应用对数据隐私没有严格的要求。下面从身份隐私保护和位置隐私保护这两个方面对车联网的隐私保护问题进行阐述和分析。匿名认证是车联网实现用户身份隐私保护的基本机制，防止攻击者通过消息关联到发送者的真实身份。然而车联网中的置名并非完全匿名，而是有条件的匿名。在交通事故发生时，引发现场的车场须承担相应的责任；完全匿名将导致法律责任难以追究而有条件的匿名使权威机构能够从现场消息恢复车辆或驾驶人的真实身份。三、车联网隐私保护技术（一）车联网身份隐私保护技术当前，相关研究提出基于群签名的概名认证和基于假名的匿名认证，两者均可兼顾信息安全与身份隐私保护需求。常见的身份隐私保护方法：匿名证书假名群签名这类方法主要是将车辆驾乘人员的身份信息匿名化或者隐蔽化，通过断开车辆身份和位置的关联性以实现车辆位置隐私保护目的。2005年Raya等人首次提出基于匿名证书的安全协议HAB，匿名证书方案的基本思想：当车辆进行通信时，随机从置名证书列表中选取一个可用证书对信息签名。通过不断的证书更替使攻击者无法获知两条消息是否是同一个用户发出。三、车联网隐私保护技术（一）车联网身份隐私保护技术

假名方案的基本思想：使用一个不包含用户能被识别信息的标识替代真实的身份，从而使接收者或攻击者无法推断用户的真实身份。车辆节点的假名集与其真实身份之间以及同个集合内的多个假名之间具备不可关联性，车辆在通信过程中可以切换假名来确保隐私信息的安全性，从而攻击者无法通过收集来自同一假名节点的消息来推断节点行踪和真实身份。1.匿名证书2.假名基于群签名的匿名认证是基于密码学中一种面向群组的数字签名方式。群签名方案的基本思想：相同速度和相同方向行驶的车辆的先形成一个群体，群体中的任一成员可以代表整个群体进行匿名签名，接收者可通过签名验证消息合法性，但无法得知消息是由群组的哪个成员发出。另外，每个群组有一个管理员，它能够揭露签名者的真实身份。也负责取消恶意成员身份的合法性。该方案既实现了匿名认证，又可实现对特定车辆的跟踪。通过将车辆组合成组，车辆可以减少其V21传输，这增强了车辆的匿名性。三、车联网隐私保护技术（一）车联网身份隐私保护技术3.群签名三、车联网隐私保护技术（二）车联网位置隐私保护技术位置隐私是一种特殊的个人隐私，它不仅蕴含着丰富的个人、位置等显性信息，而且还可以通过推理计算位置轨迹的隐性信息（家庭住址、个人生活习惯、工作单位地址、健康状况等），挖掘设备对象的行为模式和行为习惯，导致设备对象的隐私泄露。因此，隐私保护不仅要保证位置本身的敏感信息不泄露，又要防止攻击者通过一系列的位置隐私推导出其他的个人信息。位置隐私保护技术位置信息泛化技术位置信息模糊技术位置信息掩盖法位置信息加密法1.泛化法

泛化法是将位置信息泛化为相应的匿名区域，使得攻击者无法准确地获取真实位置。以达到位置隐私保护的目的，主要包括：位置k-匿名技术、轨迹k-匿名技术、假位置/假轨迹技术等。三、车联网隐私保护技术匿名集中式体系结构（二）车联网位置隐私保护技术1.泛化法

泛化法是将位置信息泛化为相应的匿名区域，使得攻击者无法准确地获取真实位置。以达到位置隐私保护的目的，主要包括：位置k-匿名技术、轨迹k-匿名技术、假位置/假轨迹技术等。三、车联网隐私保护技术（二）车联网位置隐私保护技术匿名分布式体系结构三、车联网隐私保护技术（二）车联网位置隐私保护技术假位置技术就是向服务器同时发送真实位置和多个假位置的集合，降低攻击者获得用户的真实位置的风险，其优点是用户自己可以生成假位置而不需要任何其他可信第三方组件。1.泛化法

泛化法主要包括：位置k-匿名技术、轨迹k-匿名技术、假位置/假轨迹技术等。2.模糊法模糊法主要是通过降低位置精度来提高隐私程度。常见的技术是时空模糊方法、空间坐标转换方法和基于语义模糊的方法。三、车联网隐私保护技术（二）车联网位置隐私保护技术Ardagna等人提出用圆形区域代替用户真实位置的模糊法方法，利用3种模糊方法（放大、缩小和平移）中的一种或两种组合生成一个满足用户隐私度量的圆形区域。通常利用位置区域的面积（如最小半径）作为隐私度量，且不适用匿名手段。大多数模糊法技术不需要额外的信息辅助能够在用户终端直接实现。即相对于某种定位技术最高精确度的损失，它可同时度量精确性和隐私保护水平，通常情况下，位置隐私保护机制产生的精确度损失越大，相关性就越低，同时隐私保护水平就越高。用户可以通过相关性准确描述其隐私保护需求。该方案引出相关性的概念掩盖法是指用户通过不对外发布，或者有选择地发布位置或者轨迹信息以达到保护隐私的目的。常见的方法有混合区Mixzones法和抑制法等。三、车联网隐私保护技术基于加密法的位置隐私保护技术，在确保服务可用性的情况下不会泄露任何用户的位置信息，实现了更严格的隐私保护，可以划分为基于隐私信息检索（PIR）的技术和基于空间转换的技术两种类型。（二）车联网位置隐私保护技术3.掩