何業(yè)鋒 劉閃閃 劉妍 權(quán)家輝 田哲銘 楊夢(mèng)玫 李智

摘 要：在車載通信系統(tǒng)中，車輛的位置信息泄露會(huì)危及駕駛員的隱私安全，而基于混合區(qū)中，車輛的假名更新是實(shí)現(xiàn)位置隱私保護(hù)的一種有效方法。然而，現(xiàn)有的一些混合區(qū)方案忽略了車輛密度變化對(duì)位置隱私保護(hù)效果的影響。針對(duì)此問題，提出了一種支持虛擬車輛輔助假名更新的混合區(qū)位置隱私保護(hù)方案。該方案旨在根據(jù)周圍合作車輛的密度不同來動(dòng)態(tài)調(diào)整生成所需的虛擬車輛，并廣播它們的蹤跡，使攻擊者無法區(qū)分虛擬車輛和真實(shí)車輛，從而實(shí)現(xiàn)車輛的位置隱私保護(hù)。仿真實(shí)驗(yàn)結(jié)果表明，該方案通過引入虛擬車輛信息，使攻擊者無法區(qū)分虛擬車輛和真實(shí)車輛，有效降低了車輛真實(shí)位置或軌跡泄露的可能性，同時(shí)提高了交通密度較低情況下的位置隱私保護(hù)效果。

關(guān)鍵詞：車聯(lián)網(wǎng)；位置隱私保護(hù)；混合區(qū)；假名更新；虛擬位置

中圖分類號(hào)：TN915；TP309?? 文獻(xiàn)標(biāo)志碼：A?? 文章編號(hào)：1001-3695（2024）01-043-0272-05

doi：10.19734/j.issn.1001-3695.2023.04.0201

Mix zone location privacy protection scheme supporting virtual vehicle assisted pseudonym changes

Abstract：In the vehicle communication system，location information leakage of vehicles can endanger the privacy and security of drivers，and pseudonym changes based on vehicles in the mixed zones are an effective way to achieve location privacy protection.However，some existing mixed zone schemes ignore the impact of vehicle density changes on location privacy protection.To solve this problem，this paper proposed a mix zone location privacy protection scheme that supported virtual vehicle-assisted pseudonym changes.The scheme aimed to dynamically adjust the generation of required virtual vehicles according to the density of surrounding cooperative vehicles and broadcast their tracks，so that attackers couldnt distinguish between virtual vehicles and real vehicles，thereby achieving location privacy protection of vehicles.The simulation results show that the scheme introduces virtual vehicle information to make it impossible for attackers to distinguish between virtual vehicles and real vehicles，effectively reducing the possibility of leakage of the real location or trajectory of vehicles，and enhancing the location privacy protection effect under low traffic density.

Key words：vehicular Ad hoc network；location privacy protection；mix zone；pseudonym change；virtual location

0 引言

近年來，由于道路上的車輛呈指數(shù)增長(zhǎng)，交通安全已經(jīng)成為人們關(guān)注的一個(gè)重要問題。道路事故的頻繁發(fā)生，奪去了許多人的生命。智能交通系統(tǒng)（intelligent transportation systems，ITS）作為解決上述問題的一種有效技術(shù)，可以為道路使用者提供安全應(yīng)用［1］。而車載自組織網(wǎng)絡(luò)（vehicular Ad hoc network，VANET）是無線通信技術(shù)（如IEEE 802.11p、藍(lán)牙）和定位技術(shù)（如全球定位系統(tǒng)）發(fā)展的產(chǎn)物，是實(shí)現(xiàn)ITS的關(guān)鍵組成部分。在VANET中，車輛通過合作感知消息（cooperative awareness message，CAM）來感知周圍環(huán)境。為了共享關(guān)鍵的駕駛信息，VANET建立了兩種通信方式，即車輛對(duì)車輛（vehicle to vehicle，V2V）和車輛對(duì)基礎(chǔ)設(shè)施（vehicle to infrastructure，V2I）的通信［2］。在V2V通信中，車輛通過與附近車輛通信來交換信息；在V2I通信中，車輛直接與路側(cè)單元（roadside unit，RSU）通信。

在實(shí)際通信中，每輛車需要定期廣播一些基本安全消息（basic security messages，BSM）（通常每100 ms左右廣播一條消息），消息中一般含車輛ID、時(shí)間、位置和速度等信息。雖然這些安全消息有助于預(yù)防和防止事故的發(fā)生，但它們也可能被攻擊者用于未經(jīng)授權(quán)的車輛跟蹤。通過使用符合IEEE 802.11的外部無線網(wǎng)絡(luò)，攻擊者可以竊聽所有廣播消息，并確定車輛（或用戶）在一段時(shí)間內(nèi)訪問的位置信息。這些位置歷史信息（或目標(biāo)車輛的移動(dòng)軌跡）與車輛用戶感興趣的地點(diǎn)相關(guān)聯(lián)，因此，這些信息可以用來監(jiān)視車主的活動(dòng)，甚至它們還可能被用于犯罪行為，如綁架或汽車盜竊。因此，保護(hù)車輛的位置信息或運(yùn)行軌跡尤其重要。

在VANET中，利用混合區(qū)方案來保護(hù)車輛的位置隱私一直是人們研究的熱點(diǎn)，其中混合區(qū)包括靜態(tài)混合區(qū)［3～5］ 和動(dòng)態(tài)混合區(qū)［6～11］ 。在基于動(dòng)態(tài)混合區(qū)的策略中，車輛在行駛過程中不斷檢測(cè)周圍環(huán)境，并與鄰居協(xié)調(diào)，同時(shí)更換假名。Buttyn等人［12］提出在VANET中緩慢地保持位置隱私，該方案無須通過車輛之間的同步來進(jìn)行假名更改。其關(guān)鍵思想是，當(dāng)車速低于給定閾值（如30 km/h）時(shí)，車輛應(yīng)進(jìn)入靜默期（不應(yīng)發(fā)送信標(biāo)或警告消息），并在每個(gè)靜默期內(nèi)更換假名。該方案保證了靜默周期和同步假名在時(shí)間和空間上的變化。Song等人［13］提出了一種基于車輛密度的DLP方案，其基本思想是當(dāng)目標(biāo)車輛的通信范圍內(nèi)至少存在k-1（k≥1）輛車時(shí)，目標(biāo)車輛及其鄰居可以更新其假名，但更新假名的位置隱私保護(hù)水平取決于道路交通狀況。2021年Zhang等人［14］提出了一種閃爍的基于上下文的混合策略，該策略將進(jìn)入混合區(qū)內(nèi)遇到的新車輛添加到流程中，以增加匿名集的大小，可提供比傳統(tǒng)的動(dòng)態(tài)混合區(qū)策略更高的隱私級(jí)別，但其忽略了在車輛密度較低的情況下，因很難遇到實(shí)際車輛而無法增加匿名集大小的問題。隨后，Kalaiarasy等人［15］提出一種激勵(lì)合作的混合區(qū)隱私保護(hù)策略，然而在交通密度較低的情況下，該方案對(duì)目標(biāo)車輛的隱私保護(hù)效果相對(duì)較弱。

對(duì)于靜態(tài)混合區(qū)設(shè)計(jì)，Lu等人［16］把社會(huì)公共區(qū)域作為更新假名的混合區(qū)，如停車場(chǎng)和十字路口，但大量的車輛在此區(qū)域同時(shí)更新假名會(huì)提高其匿名性。Boualouache等人［17，18］引入了車輛位置隱私區(qū)（vehicular location privacy zone，VLPZ）更新假名，它可以通過某些路邊基礎(chǔ)設(shè)施來實(shí)現(xiàn)，如路邊加油站、收費(fèi)站等。車輛聚集在該區(qū)域時(shí)停播信標(biāo)、更新假名，然后選擇一條隨機(jī)的車道駛出該區(qū)域。但在現(xiàn)實(shí)中，僅僅為了改變假名而在道路沿線建造許多VLPZ是不可能的。Boualouache等人［19］選擇紅色交通燈前面的區(qū)域作為靜音混合區(qū)，車輛可以通過RSU替換其假名或與鄰居交換假名。Ravi等人［20］提出了一個(gè)k-匿名的混合區(qū)模型，該模型考慮了每個(gè)移動(dòng)用戶在混合區(qū)的停留時(shí)間，在一定程度上提高了位置隱私的安全性。Li等人［21］考慮到行車安全問題，將混合區(qū)定義在紅綠燈前車輛非常緩慢甚至停車的地方。根據(jù)紅綠燈周期內(nèi)預(yù)測(cè)的實(shí)時(shí)交通流量動(dòng)態(tài)配置混合區(qū)長(zhǎng)度，但是，在低交通流量情況下，區(qū)域范圍沒有明確說明，不能完全保證軌跡隱私保護(hù)的效果。

本文旨在提高低密度區(qū)域車輛的隱私保護(hù)水平，同時(shí)平衡車輛在行駛過程中不同車輛密度對(duì)隱私保護(hù)效果的影響。為此，本文提出了一種支持虛擬車輛輔助假名更新的混合區(qū)位置隱私保護(hù)方案。該方案在廣播信標(biāo)時(shí)即告知協(xié)作者所需匿名集k的大小，并且在合作者搜索結(jié)束后，根據(jù)協(xié)作者的數(shù)量和匿名集大小k來判斷是直接進(jìn)行假名更新，還是通過產(chǎn)生虛擬位置來滿足低密度區(qū)車輛用戶所需的隱私保護(hù)效果后再進(jìn)行假名更新。即該方案利用匿名集大小和協(xié)作者數(shù)量進(jìn)行比較和判斷，從而平衡了車輛在行駛過程中不同時(shí)間點(diǎn)因車輛密度不同對(duì)隱私保護(hù)效果的影響。仿真實(shí)驗(yàn)結(jié)果表明，本文方案不僅增強(qiáng)了混合區(qū)的匿名性，而且使攻擊者對(duì)目標(biāo)車輛的追蹤變得模糊，同時(shí)解決了在低交通流量情況下的隱私泄露問題，從而更好地實(shí)現(xiàn)了對(duì)真實(shí)車輛的位置隱私保護(hù)。

1 系統(tǒng)模型與問題描述

1.1 系統(tǒng)模型

車輛網(wǎng)絡(luò)模型由三個(gè)實(shí)體組成，如圖1所描述的證書頒發(fā)機(jī)構(gòu)（certificate authorities，CA）、RSU和車載單元（on board unit，OBU）。

1）CA 一組證書頒發(fā)機(jī)構(gòu)，構(gòu)成車輛公鑰基礎(chǔ)設(shè)施（vehicular public-key infrastructure，VPKI），為合法車輛提供證書。本文假設(shè)一個(gè)VPKI具有長(zhǎng)期CA（long term CA，LTCA）和假名CA（pseudonym CA，PCA）［22，23］。LTCA向注冊(cè)車輛提供長(zhǎng)期證書（long term certificate，LTC），用于授權(quán)從PCA獲得假名［22］。

2）RSU RSU為路側(cè)單元，它可以通過無線信道傳輸消息。從CA獲得授權(quán)后，RSU能為OBU生成一組與其假名等效的虛擬假名。最先進(jìn)的VPKI部署可以及時(shí)地提供假名［23］。

3）OBU OBU是安裝在車輛上的車載單元，車輛可以通過它與其他車輛或基礎(chǔ)設(shè)施通信。假設(shè)所有OBU和RSU都擁有一個(gè)硬件安全模塊（hardware security module，HSM），存儲(chǔ)在HSM中的私鑰無法提取，對(duì)于OBU來說，一次只能激活一個(gè)假名。

車輛用戶使用OBU中存儲(chǔ)的私鑰對(duì)消息進(jìn)行簽名，在檢測(cè)到故障行為的情況下，已通過認(rèn)證的OBU可由決議機(jī)構(gòu)（resolution authority，RA）追蹤其長(zhǎng)期身份［22］。針對(duì)行為不端的OBU，RA通過將它添加到撤銷列表［24］中來取消其參與系統(tǒng)的權(quán)利。除非撤銷，否則OBU和RSU被認(rèn)為是受信任的。

在系統(tǒng)初始化階段，當(dāng)車輛需要進(jìn)入網(wǎng)絡(luò)時(shí)，它先向CA注冊(cè)，CA為其生成一組公鑰/私鑰對(duì){pubki，prvki}Mk=1預(yù)加載到車輛的OBU中，用來實(shí)現(xiàn)加/解密和簽名等功能。

1.2 問題描述

車輛在道路上行駛需要廣播安全信息，外部攻擊者可能會(huì)沿道路放置無線網(wǎng)絡(luò)接收器竊聽車輛通信，如監(jiān)聽車輛的物理地址或假名，通過分析能夠跟蹤和識(shí)別車輛，從而獲取車輛的隱私信息。

當(dāng)?shù)缆飞闲旭偟能囕v中僅有一輛改變假名時(shí)，攻擊者可以很容易地鏈接車輛的新舊假名，以此獲取車輛的運(yùn)行軌跡等敏感信息。針對(duì)這種類型的攻擊，可以使用一些同步車輛同時(shí)更新假名來實(shí)現(xiàn)保護(hù)。然而，根據(jù)周圍車輛密度情況，在k-匿名混合區(qū)內(nèi)進(jìn)行假名更新來保護(hù)車輛位置隱私時(shí)，車輛合作假名更新會(huì)出現(xiàn)以下問題。首先，當(dāng)車輛行駛在低密度區(qū)域時(shí)，周圍車輛較少，無法達(dá)到k-匿名的效果，因此更新假名前，需要確保車輛在低密度區(qū)域仍然能夠?qū)崿F(xiàn)k-匿名的效果；其次，在不同時(shí)刻，因車輛密度不同，會(huì)對(duì)隱私保護(hù)效果產(chǎn)生不平衡影響。這些因素促使本文提出了一種結(jié)合虛擬位置的混合區(qū)位置隱私保護(hù)策略，旨在解決上述問題，使用戶能夠在不同時(shí)間和交通狀況下都能夠保護(hù)其位置隱私。

2 方案設(shè)計(jì)

針對(duì)低密度區(qū)合作車輛較少，造成攻擊者易關(guān)聯(lián)車輛新舊假名而引起位置泄露的問題，提出了對(duì)交通密度變化有彈性的隱私保護(hù)方案。通過在混合區(qū)內(nèi)廣播虛假信標(biāo)消息，引入冗余的假名和位置信息來混淆和隱藏目標(biāo)車輛的假名和位置信息，阻止攻擊者鏈接目標(biāo)車輛的新舊假名。

本文方案使用目標(biāo)車輛附近的RSU來創(chuàng)建混合區(qū)，以實(shí)現(xiàn)車輛的假名更新。RSU負(fù)責(zé)建立和維護(hù)對(duì)稱密鑰、生成虛假信標(biāo)消息并確保虛假消息不干擾車輛間的正常信息交互。為了保證正常信息交互，RSU需為車輛提供識(shí)別虛擬信息的功能。因此，它會(huì)保留一個(gè)CF［25］，并分發(fā)給OBU。該數(shù)據(jù)包括虛擬信息指紋，用于標(biāo)記混合區(qū)內(nèi)的虛擬消息。對(duì)于每個(gè)混合區(qū)，RSU管理虛擬車輛的產(chǎn)生和鄰近車輛的密鑰分配。

本文方案的基本思想是在目標(biāo)車輛通信范圍內(nèi)先找出協(xié)作車輛，即真實(shí)節(jié)點(diǎn)，并生成至少k-n個(gè)虛擬節(jié)點(diǎn)，將真實(shí)節(jié)點(diǎn)和虛擬節(jié)點(diǎn)相結(jié)合，實(shí)現(xiàn)混合區(qū)內(nèi)k-匿名的效果。為了防止女巫攻擊和重播攻擊，生成的虛擬節(jié)點(diǎn)僅在混合區(qū)的預(yù)定義范圍MIX內(nèi)有效。圖2給出了算法的運(yùn)行示例，其中每個(gè)實(shí)心點(diǎn)表示真實(shí)節(jié)點(diǎn)，虛心點(diǎn)表示生成的虛擬節(jié)點(diǎn)。在圖2中，目標(biāo)車輛L0將協(xié)作者搜索請(qǐng)求廣播到通信范圍內(nèi)的其他車輛，合作進(jìn)程在t1時(shí)刻結(jié)束。在圖3中，通過虛擬位置技術(shù)生成一部分虛擬節(jié)點(diǎn)，并為其分配相應(yīng)的假名。假名分配結(jié)束后，RSU將匿名位置集（包含真實(shí)節(jié)點(diǎn)和虛擬節(jié)點(diǎn)的位置及其假名）發(fā)送給目標(biāo)車輛和所有協(xié)作者，并在t2時(shí)刻開始廣播這些消息。然后，在圖4中，在t2時(shí)刻的混合區(qū)MIX內(nèi)真實(shí)/虛擬節(jié)點(diǎn)同時(shí)進(jìn)行假名更新。其過程包括混合區(qū)協(xié)作者搜索、混合區(qū)虛擬節(jié)點(diǎn)搜索和混合區(qū)觸發(fā)三個(gè)階段。

2.1 混合區(qū)協(xié)作者搜索階段

此階段由車輛完成，利用頻繁交換的信標(biāo)消息中未使用的比特作為方案的一個(gè)定制比特位RTC（ready to change）。這個(gè)位用于是否想要更新假名的標(biāo)志，并判斷車輛是否愿意進(jìn)行同步假名更新。當(dāng)車輛想要更新假名時(shí)，即假名的最小穩(wěn)定壽命即將到期，它將信標(biāo)中更新假名的標(biāo)志設(shè)置為1并廣播此信標(biāo)，同時(shí)在RSU通信范圍內(nèi)廣播假名更新的協(xié)作請(qǐng)求。該請(qǐng)求包括中心posi和半徑ri的混合區(qū)域MIX、響應(yīng)過期時(shí)間t1、混合區(qū)啟動(dòng)時(shí)間t2以及請(qǐng)求的協(xié)作者數(shù)量k，即

算法1 混合區(qū)協(xié)作者搜索算法

輸入：協(xié)作請(qǐng)求Req。

輸出：協(xié)作者數(shù)量n。

a）車輛的假名即將過期，將信標(biāo)消息Beason中的RTC設(shè)置為1；

b）廣播信標(biāo)消息Beason；廣播請(qǐng)求Req；/*通信范圍內(nèi)假名更新協(xié)作請(qǐng)求的消息被命名為Req*/

c）車輛N接收到的消息中RTC為1，則協(xié)作者的數(shù)量n=n+1；

d）反復(fù)執(zhí)行步驟c），直到到達(dá)響應(yīng)過期時(shí)間t1為止。

2.2 混合區(qū)虛擬節(jié)點(diǎn)搜索階段

完成協(xié)作者的搜索后，對(duì)比協(xié)作者的數(shù)量和需要的匿名條件k的大小。如果n≥k，目標(biāo)車輛和協(xié)作車輛共同創(chuàng)建一個(gè)獨(dú)立的k-匿名混合區(qū)直接進(jìn)行假名更新；否則，需要RSU利用虛擬位置技術(shù)生成部分虛擬節(jié)點(diǎn)（步驟c））來幫助其生成匿名混合區(qū)。這些虛擬節(jié)點(diǎn)相對(duì)于posi的位置符合均勻分布，其中posi是虛擬圓中心坐標(biāo)，即混合區(qū)的中心坐標(biāo)，生成的虛擬節(jié)點(diǎn)全部包含在混合區(qū)的范圍內(nèi)。將生成的m個(gè)虛擬節(jié)點(diǎn)作為候選位置集CLS（candidate location set）：

CLS={L1，L2，L3，…，Lm}（1）

RSU從位置集CLS中篩選出k-n個(gè)虛擬節(jié)點(diǎn)，并為其分配假名，從而構(gòu)成虛擬匿名集VAS（virtual anonymous set）：

VAS={（L1，psd1），（L2，psd2），（L3，psd3），…，

（Lk-n，psdk-n）|k-n≤m}（2）

然后，RSU將k-n個(gè)虛擬節(jié)點(diǎn)和n個(gè)真實(shí)節(jié)點(diǎn)組成車輛節(jié)點(diǎn)匿名集NAS（node anonymous set）：

NAS={（L1，psd1）（L2，psd2），…，

（Lk-n，psdk-n），…，

（Lk，psdk）}（3）

最壞的情況是只有一個(gè)真實(shí)節(jié)點(diǎn)，此時(shí)方案也可以建立一個(gè)匿名混合區(qū)。

對(duì)于每個(gè)真實(shí)節(jié)點(diǎn)對(duì)應(yīng)的車輛，RSU分別使用它們的公鑰加密匿名集，并將加密后的匿名集發(fā)送給對(duì)應(yīng)車輛，加密的匿名集表示為

算法2 混合區(qū)虛擬節(jié)點(diǎn)搜索算法

輸入：協(xié)作者的數(shù)量n，旋轉(zhuǎn)角度θ，初始化候選位置集CLS，初始化空數(shù)組NAS。

輸出：車輛節(jié)點(diǎn)匿名集NAS。

a）在該區(qū)域內(nèi)混合區(qū)滿足k-匿名的要求，即n≥k時(shí)，直接進(jìn)入混合區(qū)觸發(fā)階段，執(zhí)行算法3的步驟c）；

b）若合作車輛不滿足匿名要求，即n＜k時(shí)，以RSU的位置坐標(biāo)posi作為虛擬圓的中心位置點(diǎn)，選擇角度θ，隨機(jī)選擇一個(gè)協(xié)作者的位置作為旋轉(zhuǎn)起始位置；

c）依次判斷該角度上是否有真實(shí)節(jié)點(diǎn)存在，若存在則跳過此角度；若不存在，則在該角度上生成一個(gè)虛擬節(jié)點(diǎn)并加入CLS中；/*初始時(shí)刻角度θ為0，每次判斷結(jié)束后角度增加2π/k*/

d）重復(fù)步驟c），直到角度θ等于2π為止；

e）在CLS中挑選出k-n個(gè)虛擬節(jié)點(diǎn)，為其分配假名，構(gòu)成VAS；

f）將虛擬節(jié)點(diǎn)和真實(shí)節(jié)點(diǎn)組成k-匿名位置集NAS，將NAS加密并發(fā)送給參與者，位置分配結(jié)束。

2.3 混合區(qū)觸發(fā)階段

計(jì)時(shí)器用于觸發(fā)混合區(qū)內(nèi)的所有協(xié)作車輛同時(shí)更新假名。當(dāng)時(shí)間到達(dá)t2時(shí)，每個(gè)參與節(jié)點(diǎn)開始以隨機(jī)順序廣播其收到的匿名位置集NAS。從攻擊者的角度來看，這k個(gè)標(biāo)識(shí)符是無法區(qū)分的。因此，每個(gè)節(jié)點(diǎn)的新假名被其他k個(gè)真實(shí)或虛擬節(jié)點(diǎn)的假名隱藏了?；旌蠀^(qū)中的所有協(xié)作車輛在此時(shí)同時(shí)更新假名，并在成功更新假名后將其標(biāo)志位RTC設(shè)置為0，這意味著該車輛成功更新了假名。

算法3 混合區(qū)觸發(fā)算法

輸入：匿名集。

a）協(xié)作者接收到NAS，且時(shí)間到達(dá)t2；

b）每個(gè)協(xié)作者在混合區(qū)內(nèi)按隨機(jī)順序廣播NAS；

c）所有車輛在此時(shí)進(jìn)行假名變更，直到檢測(cè)到車輛的RTC為0，該車輛假名變更結(jié)束；

d）退出混合區(qū)后利用新假名廣播消息。

2.4 正確性分析

在通信過程中，RSU能夠?qū)?shù)據(jù)進(jìn)行加密處理，以確保通信內(nèi)容的機(jī)密性和安全性。同時(shí)，RSU具備較高的計(jì)算和存儲(chǔ)能力，可以對(duì)數(shù)據(jù)進(jìn)行處理和轉(zhuǎn)發(fā)，以滿足車輛和服務(wù)提供商之間的通信需求。通過使用加密技術(shù)，可以有效地防止未授權(quán)的第三方對(duì)通信過程中的數(shù)據(jù)進(jìn)行竊聽和入侵。

在生成虛擬節(jié)點(diǎn)時(shí)，考慮到對(duì)道路交通安全的影響，會(huì)對(duì)這些節(jié)點(diǎn)進(jìn)行標(biāo)記以區(qū)別于真實(shí)節(jié)點(diǎn)。參與合作的車輛會(huì)了解生成的虛擬節(jié)點(diǎn)集，并且只有在混合區(qū)內(nèi)的部分虛擬節(jié)點(diǎn)才會(huì)有效。這種設(shè)計(jì)可以確保合作車輛對(duì)虛擬節(jié)點(diǎn)的掌握，并限制虛擬節(jié)點(diǎn)的使用范圍，從而更好地保護(hù)車輛的位置隱私和道路交通安全。

綜上所述，通過利用RSU的計(jì)算和存儲(chǔ)能力，并采用加密通信方式，可以在用戶與RSU之間以及RSU與服務(wù)提供商之間建立安全的通信環(huán)境。同時(shí)，在生成虛擬節(jié)點(diǎn)時(shí)，考慮到道路交通安全的因素，使用標(biāo)記來區(qū)分虛擬節(jié)點(diǎn)，并確保其僅在混合區(qū)內(nèi)有效。這些措施旨在提升系統(tǒng)的安全性和隱私保護(hù)水平，以滿足實(shí)際需求。

3 仿真實(shí)驗(yàn)和性能分析

通過交通仿真實(shí)驗(yàn)，分別研究了不同車輛密度下該方案的隱私保護(hù)效果，并將本文方案與已有研究工作進(jìn)行了比較。

3.1 仿真實(shí)驗(yàn)

使用SUMO交通模擬器和LUST數(shù)據(jù)集［26］，對(duì)盧森堡城市的車輛軌跡進(jìn)行了模擬仿真。在模擬實(shí)驗(yàn)中，車輛速度是周期性變化的且其取值在10～20 m/s。根據(jù)不同的交通密度，將交通場(chǎng)景分為中心城區(qū)（高密度區(qū)）、住宅區(qū)（中密度區(qū)）、郊區(qū)（低密度區(qū)）三種類型。

圖5給出了在不同車輛密度場(chǎng)景下的某個(gè)十字路口獲得的匿名集熵，熵值越大，位置隱私保護(hù)效果越好。從圖5中可以看出，本文方案的位置隱私保護(hù)效果隨交通擁擠度和車輛密度的變化而變化。當(dāng)在中心城區(qū)和住宅區(qū)時(shí)，匿名規(guī)模隨著時(shí)間的增加而迅速增長(zhǎng)，匿名集的熵也隨時(shí)間的增加而迅速增長(zhǎng)。當(dāng)車輛行駛在郊區(qū)時(shí)，由于虛擬車輛的加入，本文方案依舊能夠保持匿名集熵隨著時(shí)間的增加而增長(zhǎng)。圖6顯示了攻擊者成功跟蹤車輛的概率。 攻擊者成功跟蹤的概率是指在一個(gè)混合區(qū)內(nèi)成功跟蹤的車輛數(shù)與車輛總數(shù)的比值。隨著熵的增加，攻擊者正確跟蹤車輛的概率會(huì)降低。

虛擬車輛的數(shù)量隨實(shí)際車輛數(shù)的變化而變化。已知參與合作的實(shí)際車輛數(shù)和所需匿名集大小，可以計(jì)算出所需虛擬車輛的數(shù)量。直觀地說，虛擬車輛的數(shù)量與交通密度成反比。圖7是對(duì)三種場(chǎng)景進(jìn)行的全天模擬。如預(yù)期的那樣，隨著高峰時(shí)段（7：30、13：00、18：30左右）真實(shí)車輛密度的增加，只需要較少的虛擬車輛就可達(dá)到相同的隱私保護(hù)效果。

3.2 性能比較

通過對(duì)三個(gè)方案在三種不同場(chǎng)景下的全天模擬，得到了如圖8所示的結(jié)果。從圖8中可以看出，隱私暴露程度與真實(shí)車輛密度呈負(fù)相關(guān)。尤其從高峰時(shí)間7：30、13：00和18：30左右可以明顯看到，隨著車輛密度的增加，隱私暴露值逐漸降低。但由于午夜至凌晨5點(diǎn)的交通密度非常低，這段時(shí)間對(duì)車輛的隱私保護(hù)最少，且中心城區(qū)和住宅區(qū)之間的區(qū)域差異也會(huì)導(dǎo)致隱私暴露程度的差異。三個(gè)方案都是利用周圍的車輛作為匿名混合區(qū)內(nèi)的節(jié)點(diǎn)，通過在混合區(qū)內(nèi)進(jìn)行假名更新來實(shí)現(xiàn)對(duì)目標(biāo)車輛的位置進(jìn)行隱私保護(hù)。在中心城區(qū)和住宅區(qū)，本文方案與文獻(xiàn)［13，14］有著相近的隱私保護(hù)效果，但在郊區(qū)，本文方案在利用周圍車輛進(jìn)行合作假名更新的同時(shí)引入虛擬位置，解決了低密度區(qū)域因車輛密度不足而導(dǎo)致的隱私保護(hù)效果下降的問題。因此，本文方案在隱私保護(hù)上表現(xiàn)更好。此外，本文方案根據(jù)協(xié)作者的數(shù)量和匿名集大小k來判斷需要生成多少虛擬位置，從而提供更具彈性的隱私保護(hù)效果，以適應(yīng)不同時(shí)間段車輛數(shù)量的波動(dòng)。換言之，本文方案能夠?qū)υ诓煌芏认碌能囕v提供相同的隱私保護(hù)效果，均衡車輛行駛在道路上因密度不同導(dǎo)致的隱私保護(hù)效果不穩(wěn)定的問題，為車聯(lián)網(wǎng)系統(tǒng)提供更強(qiáng)大的安全保障，讓車主更加放心地享受智能出行服務(wù)。

通過與文獻(xiàn)［13，14］進(jìn)行比較發(fā)現(xiàn)，本文方案在許多方面具有明顯的優(yōu)勢(shì)，如表1所示。文獻(xiàn)［13］根據(jù)周圍車輛密度進(jìn)行假名更新，但沒有考慮到周圍車輛是否愿意合作。在車輛密集區(qū)，假名更新較容易實(shí)現(xiàn)，因?yàn)橛性S多車輛存在，然而，在自私節(jié)點(diǎn)不愿意合作的情況下，位置隱私保護(hù)無法實(shí)現(xiàn)。尤其是在低密度區(qū)，為了滿足匿名條件，需要增加等待時(shí)間；而且所需的等待時(shí)長(zhǎng)是不確定的，最壞的情況是在假名到期時(shí)仍然無法滿足匿名條件，導(dǎo)致位置隱私的泄露。文獻(xiàn)［14］考慮了周圍車輛是否愿意合作，確保了節(jié)點(diǎn)在混合區(qū)內(nèi)的參與，并在進(jìn)入靜默期內(nèi)要將遇到的新鄰居加入到混合區(qū)內(nèi)來增加對(duì)位置隱私的保護(hù)，這一動(dòng)作增加了混合區(qū)內(nèi)的等待時(shí)長(zhǎng)，因此假名更新所需時(shí)間較長(zhǎng)。

本文方案保證節(jié)點(diǎn)在混合區(qū)內(nèi)參與的基礎(chǔ)上，當(dāng)混合區(qū)參與節(jié)點(diǎn)數(shù)量不足時(shí)，引入部分虛擬節(jié)點(diǎn)來保證所需的隱私保護(hù)效果。在高密度區(qū)，由于車輛密集分布，在搜索到足夠數(shù)量的協(xié)作者后，可以直接進(jìn)行假名更新。這一過程只需要搜索協(xié)作者，無須其他操作，因此在這種情況下，假名更新所需的時(shí)間很短。在中密度區(qū)，可能只需要生成少量虛擬節(jié)點(diǎn)即可滿足匿名要求。然而，在低密度區(qū)由于道路上車輛較少，很難達(dá)到k-匿名的要求，所以需要在有協(xié)作者的基礎(chǔ)上生成一部分虛擬節(jié)點(diǎn)，以混淆攻擊者的監(jiān)聽。在這種情況下，假名更新所需的時(shí)間會(huì)增加，由于將生成虛擬節(jié)點(diǎn)的任務(wù)交給計(jì)算能力強(qiáng)大的RSU，所以本文方案在低密度區(qū)的時(shí)間開銷仍然相對(duì)較低。

綜上所述，通過比較不同方案的指標(biāo)發(fā)現(xiàn)，本文方案具有明顯的優(yōu)勢(shì)。文獻(xiàn)［13］在低密度區(qū)可能導(dǎo)致假名更新失敗，而文獻(xiàn)［14］在低密度區(qū)需要增加搜索時(shí)間。相比之下，本文方案在各種區(qū)域都能夠保證節(jié)點(diǎn)在混合區(qū)內(nèi)的參與，并在高密度區(qū)和中密度區(qū)的假名更新時(shí)間上具有優(yōu)勢(shì)；且在低密度區(qū)，通過引入虛擬位置來提高隱私保護(hù)效果，并將虛擬位置生成任務(wù)交給計(jì)算能力強(qiáng)大的RSU，從而減少了時(shí)間開銷。

4 結(jié)束語(yǔ)

本文基于k-匿名的基本思想，提出了一種支持虛擬車輛輔助假名更新的混合區(qū)位置隱私保護(hù)方案。該方案通過在低密度區(qū)引入虛擬位置來構(gòu)建k-匿名混合區(qū)，以此混淆和隱藏目標(biāo)車輛的假名和位置信息，從而提高了目標(biāo)車輛在低密度區(qū)的位置隱私保護(hù)效果。通過對(duì)該方案進(jìn)行流量仿真實(shí)驗(yàn)，從多個(gè)隱私度量的角度對(duì)其性能進(jìn)行了分析，并與已有的文獻(xiàn)［13，14］進(jìn)行了性能比較。結(jié)果顯示，本文方案在位置隱私保護(hù)方面更具有彈性，在高密度區(qū)和低密度區(qū)都能實(shí)現(xiàn)較好的隱私保護(hù)效果。然而，由于本文方案目前未考慮周圍車輛的攻擊對(duì)隱私保護(hù)效果的影響，接下來將研究如何改進(jìn)此方案以抵御這類攻擊，同時(shí)平衡位置服務(wù)和位置隱私保護(hù)之間的需求。

參考文獻(xiàn)：

［1］

Sheikh M S，Liang J.A comprehensive survey on VANET security services in traffic management system［J］.Wireless Communications and Mobile Computing，2019，2019：2423915.

［2］Dey K C，Rayamajhi A，Chowdhury M，et al.Vehicle-to-vehicle（V2V） and vehicle-to-infrastructure（V2I） communication in a heterogeneous wireless network-performance evaluation［J］.Transportation Research Part C：Emerging Technologies，2016，68：168-184.

［3］Memon I，Memon H，Arain Q A.Pseudonym changing strategy with mix zones based authentication protocol for location privacy in road networks［J］.Wireless Personal Communications，2021，116（4）：3309-3329.

［4］Kalaiarasy C，Sreenath N，Amuthan A.An effective variant ring signature based pseudonym changing mechanism for privacy preservation in mixed zones of vehicular networks［J］.Journal of Ambient Intelligence and Humanized Computing，2020，11（4）：1669-1681.

［5］侯慧瑩，廉歡歡，趙運(yùn)磊.面向自動(dòng)駕駛的高效可追蹤的車聯(lián)網(wǎng)匿名通信方案［J］.計(jì)算機(jī)研究與發(fā)展，2022，59（4）：894-906.（Hou Huiying，Lian Huanhuan，Zhao Yunlei.An efficient and trace-able anonymous VANET communication scheme for autonomous driving［J］.Journal of Computer Research and Development，2022，59（4）：894-906.）

［6］Saini I，Saad S，Jaekel A.A comprehensive pseudonym changing scheme for improving location privacy in vehicular networks［J］.Internet of Things，2022，19：100559.

［7］Ye Xin，Zhou Jin，Li Yuedi，et al.A location privacy protection scheme for convoy driving in autonomous driving era［J］.Peer-to-Peer Networking and Applications，2021，14（3）：1388-1400.

［8］Yamazaki R，Yoshida M，Shigeno H.A dynamic mix-zone scheme considering communication delay for location privacy in vehicular networks［C］//Proc of IEEE International Conference on Pervasive Computing and Communications Workshops and other Affiliated Events.Piscataway，NJ：IEEE Press，2021：245-250.

［9］Babaghayou M，Chaib N，Lagraa N，et al.A safety-aware location privacy preserving IoV scheme with road congestion-estimation in mobile edge computing［J］.Sensors，2023，23（1）：531.

［10］張海波，蘭凱，陳舟，等.車聯(lián)網(wǎng)中基于環(huán)的匿名高效批量認(rèn)證與組密鑰協(xié)商協(xié)議［J］.通信學(xué)報(bào)，2023，44（6）：103-116.（Zhang Haibo，Lan Kai，Chen Zhou，et al.Ring-based efficient batch authentication and group key agreement protocol with anonymity in Internet of Vehicles［J］.Journal on Communications，2023，44（6）：103-116.）

［11］楊少杰，鄭琨，張輝，等.基于博弈論與區(qū)塊鏈融合的k-匿名位置隱私保護(hù)方案［J］.計(jì)算機(jī)應(yīng)用研究，2021，38（5）：1320-1326.（Yang Shaojie，Zhang Kun，Zhang Hui，et al.k-anonymous location privacy protection scheme based on game theory and blockchain fusion［J］.Application Research of Computers，2021，38（5）：1320-1326.）

［12］Buttyán L，Holczer T，Weimerskirch A，et al.SLOW：a practical pseudonym changing scheme for location privacy in VANETs［C］//Proc of IEEE Vehicular Networking Conference.New York：ACM Press，2009：1-8.

［13］Song J H，Wong V W S，Leung V C M.Wireless location privacy protection in vehicular Ad hoc networks［J］.Mobile Networks and Applications，2010，15（1）：160-171.

［14］Zhang Zhixiang，F(xiàn)eng Tianyi，Sikdar B，et al.A flickering context-based mix strategy for privacy protection in VANETs［C］//Proc of IEEE International Conference on Communications.Piscataway，NJ：IEEE Press，2021：1-6.

［15］Kalaiarasy C，Sreenath N.An incentive-based co-operation motivating pseudonym changing strategy for privacy preservation in mixed zones in vehicular networks［J］.Journal of King Saud University-Computer and Information Sciences，2022，34（1）：1510-1520.

［16］Lu Rongxing，Lin Xiaodong，Luan T H，et al.Pseudonym changing at social spots：an effective strategy for location privacy in VANETs［J］.IEEE Trans on Vehicular Technology，2012，61（1）：86-96.

［17］Boualouache A，Senouci S M，Moussaoui S.VLPZ：the vehicular location privacy zone［J］.Procedia Computer Science，2016，83：369-376.

［18］Boualouache A，Senouci S M，Moussaoui S.Towards an efficient pseudonym management and changing scheme for vehicular Ad hoc networks［C］//Proc of IEEE Global Communications Conference.Pisca-taway，NJ：IEEE Press，2016：1-7.

［19］Boualouache A，Moussaoui S.Urban pseudonym changing strategy for location privacy in VANETs［J］.International Journal of Ad hoc and Ubiquitous Computing，2017，24（1/2）：49-64.

［20］Ravi N，Krishna C M，Koren I.Enhancing vehicular anonymity in its：a new scheme for mix zones and their placement［J］.IEEE Trans on Vehicular Technology，2019，68（11）：10372-10381.

［21］Li Youhuizi，Yin Yuyu，Chen Xu，et al.A secure dynamic mix zone pseudonym changing scheme based on traffic context prediction［J］.IEEE Trans on Intelligent Transportation Systems，2022，23（7）：9492-9505.

［22］Khodaei M，Jin H，Papadimitratos P.SECMACE：scalable and robust identity and credential management infrastructure in vehicular communication systems［J］.IEEE Trans on Intelligent Transportation Systems，2018，19（5）：1430-1444.

［23］Noroozi H，Khodaei M，Papadimitratos P.VPKIaaS：a highly-available and dynamically-scalable vehicular public-key infrastructure［C］//Proc of the 11th ACM Conference on Security & Privacy in Wireless and Mobile Networks.New York：ACM Press，2018：302-304.

［24］Khodaei M，Papadimitratos P.Efficient，scalable，and resilient vehicle-centric certificate revocation list distribution in VANETs［C］//Proc of the 11th ACM Conference on Security & Privacy in Wireless and Mobile Networks.New York：ACM Press，2018：172-183.

［25］Fan B，Andersen D G，Kaminsky M，et al.Cuckoo filter：practically better than bloom［C］//Proc of the 10th ACM International on Conference on emerging Networking Experiments and Technologies.New York：ACM Press，2014：75-88.

［26］Codeca L，F(xiàn)rank R，Engel T.Luxembourg sumo traffic（LuST） scenario：24 hours of mobility for vehicular networking research［C］//Proc of IEEE Vehicular Networking Conference.Piscataway，NJ：IEEE Press，2015：1-8.