【課件】5-3 車聯(lián)網(wǎng)隱私保護認知

車聯(lián)網(wǎng)技術(shù)與應(yīng)用能力模塊五車聯(lián)網(wǎng)安全與隱私保護任務(wù)三車聯(lián)網(wǎng)隱私保護認知導(dǎo)入

車聯(lián)網(wǎng)在帶給人們帶來便利的同時，也伴生了許多問題。隱私問題就是車聯(lián)網(wǎng)應(yīng)用中的一個必須關(guān)注問題。這是由于車輛與人們的敏感信息密切相關(guān)，特別是交通安全類應(yīng)用需要車輛不斷廣播其位置、速度等信息，這使得人們的身份、位置和行蹤等敏感信息面臨嚴重的威脅，車聯(lián)網(wǎng)無線通信的本質(zhì)使數(shù)據(jù)極易被監(jiān)測、改變和偽造等。這些特征增強了不法分子收集和挖掘乘客隱私信息的能力。新授Newteaching1目錄一、車聯(lián)網(wǎng)隱私問題分析二、車聯(lián)網(wǎng)隱私保護目標(biāo)三、車聯(lián)網(wǎng)隱私保護技術(shù)一、車聯(lián)網(wǎng)隱私問題分析

車聯(lián)網(wǎng)的個人身份隱私是一種傳統(tǒng)的敏感隱私問題，是指駕駛?cè)说膫€人身份信息、車牌號等隱私數(shù)據(jù)。車聯(lián)網(wǎng)中的個人身份隱私涉及駕乘人員的敏感信息，在大數(shù)據(jù)環(huán)境下，攻擊者獲取與車輛駕乘人員的相關(guān)數(shù)據(jù)的渠道更多，挖掘數(shù)據(jù)關(guān)聯(lián)性的能力更強，這些數(shù)據(jù)泄露的可能性就越大，如果這些數(shù)據(jù)一旦泄露可能影響到相關(guān)人員的生命財產(chǎn)安全。（一）身份隱私在車聯(lián)網(wǎng)應(yīng)用中，身份隱私更易遭受攻擊，由于安全消息通常都沒有加密，并且包含了車輛速度、方向、位置等信息，有時甚至還包含ID（或偽ID）信息，當(dāng)攻擊者擁有這些信息后可以實施更有效的攻擊。車輛之間、車輛與RSU之間傳遞的安全消息關(guān)系到人們的生命財產(chǎn)安全，必須保證其完整性、真實性，以及來源可信，因此需要認證消息及消息來源。如果車輛的ID信息泄露，攻擊者根據(jù)該ID發(fā)送的安全消息中的車輛位置信息，可以簡單地推斷出車輛的移動軌跡；同樣。如果車輛的移動軌跡泄露，攻擊者將軌跡與安全消息中位置相匹配，就可以很容易得知車輛ID或偽ID序列。一、車聯(lián)網(wǎng)隱私問題分析（一）身份隱私身份隱私在娛樂和Internet接入應(yīng)用中更為突出，在娛樂和Internet接入應(yīng)用中，用戶經(jīng)常使用郵箱地址、微博賬號、付費銀行卡等敏感標(biāo)識信息，這些標(biāo)識信息可以唯一關(guān)聯(lián)到用戶，從而損害用戶的身份隱私。身份隱私與位置隱私具有強關(guān)聯(lián)性在娛樂和Internet接入的應(yīng)用一、車聯(lián)網(wǎng)隱私問題分析

車聯(lián)網(wǎng)位置隱私是當(dāng)前產(chǎn)業(yè)界亟待解決的問題。車聯(lián)網(wǎng)保護用戶隱私模型如圖，產(chǎn)業(yè)界普遍認為強勁的消費者數(shù)據(jù)隱私保護和汽車安全對于維持客戶的信任至關(guān)重要。（二）位置隱私位置隱私是一種特殊的個人隱私，是指不愿意被外部知曉的直接與位置相關(guān)的個人敏感信息（如當(dāng)前位置、歷史行蹤等），以及由位置數(shù)據(jù)挖掘推理出的其他個人敏感信息（如興趣愛好、健康狀況、宗教信仰等）。一、車聯(lián)網(wǎng)隱私問題分析由于車輛是人行動的載體、車與人具有密切的關(guān)聯(lián)性，這使得人們從車輛位置數(shù)據(jù)獲益的同時，面臨嚴重的個人位置隱私泄露威脅，甚至危及個人生命財產(chǎn)安全。車聯(lián)網(wǎng)中的位置隱私安全具有以下特征：（二）位置隱私位置隱私與安全應(yīng)用的有效性之間存在矛盾；安全應(yīng)用需要了解實時的交通狀況。如當(dāng)前的速度、方向、位置等信息，以便根據(jù)這些信息做出準(zhǔn)確無誤的判斷；而位置隱私則希望盡可能隱藏車輛的當(dāng)前或過去的位置信息，以保證用戶的利益不受損害。安全消息時空關(guān)聯(lián)性損害位置隱私。安全消息包含車輛的速度、方向、位置等信息。通常300ms發(fā)送一次，如果車輛以約20m/s速度行駛，安全消息中的位置變化約為6m，因此連續(xù)安全消息之間具有很強的時空關(guān)聯(lián)性，多個安全消息關(guān)聯(lián)在一起，就可以還原出車輛行駛的軌跡。上傳數(shù)據(jù)隱私主要是指對車輛向管理中心上傳當(dāng)前的路況信息等必要交通狀況信息進行隱私保護。一、車聯(lián)網(wǎng)隱私問題分析（三）數(shù)據(jù)隱私一方面。車輛上傳的數(shù)據(jù)不希望其他車輛和RSU知道，但RSU要能夠?qū)ο⑦M行源認證、完整性校驗和新鮮性校驗，從而保證上傳數(shù)據(jù)的實時性和可靠性的要求。另一方面，其他車輛在必要時能夠輔助驗證消息的正確性，以防止惡意車輛發(fā)送虛假消息影響數(shù)據(jù)的整體質(zhì)量。二、車聯(lián)網(wǎng)隱私保護目標(biāo)在設(shè)計車聯(lián)網(wǎng)隱私保護機制時通常要考慮如下需求:1.匿名性2.條件性

設(shè)計的隱私保護機制應(yīng)該防止未授權(quán)方知道發(fā)送者的真實身份和其他私人信息。另一方面，可信機構(gòu)（如警察）有權(quán)在發(fā)生刑事訴訟時揭露車輛的身份。因此，有條件的隱私保護在車聯(lián)網(wǎng)中是必不可少的。

消息的發(fā)送者在一組發(fā)送者之間應(yīng)該是是匿名的。為了保護發(fā)送者的隱私，車聯(lián)網(wǎng)隱私保護系統(tǒng)需保證發(fā)送者/駕駛?cè)说哪涿?，即理論上不?yīng)該有將消息內(nèi)容關(guān)聯(lián)到發(fā)送消息者的可能性，但這在界定責(zé)任與匿名的問題方面產(chǎn)生了沖突。因此，需要提供有條件的匿名性以實現(xiàn)可追溯性。二、車聯(lián)網(wǎng)隱私保護目標(biāo)在設(shè)計車聯(lián)網(wǎng)隱私保護機制時通常要考慮如下需求:4.低泄露性

用戶應(yīng)在通信期間泄露最少量的信息。在交流期間泄露的用戶數(shù)據(jù)應(yīng)該是最小的，簡而言之就是沒有除工作所需之外的其他任何信息。此外，收集到的信息應(yīng)根據(jù)相應(yīng)的具體要求進行調(diào)整。3.機密性隱私保護系統(tǒng)應(yīng)防止將消息內(nèi)容泄露給未經(jīng)授權(quán)的實體，以維護用戶的隱私。發(fā)送者與某個消息之間的不相關(guān)性可能會被稱為匿名，即使這可能會打破發(fā)送者的匿名性。其中不相關(guān)性是指攻擊者無法充分區(qū)分車聯(lián)網(wǎng)中使用的興趣項目IOI是否相關(guān)。5.可分發(fā)性

一項重要的隱私需求是將身份解析的過程分布到各個機構(gòu)當(dāng)中，這些機構(gòu)需要合作才能將證書鏈接到特定實體。這對保持條件匿名同時仍保留用戶隱私至關(guān)重要。二、車聯(lián)網(wǎng)隱私保護目標(biāo)在設(shè)計車聯(lián)網(wǎng)隱私保護機制時通常要考慮如下需求:6.轉(zhuǎn)發(fā)保密性7.可拓展性在為傳統(tǒng)移動自組織網(wǎng)絡(luò)設(shè)計安全協(xié)議時可能不會考慮這一點，因為其用戶數(shù)量并不大，因此未考慮可擴展性不會導(dǎo)致重要的攻擊。但是，在車聯(lián)網(wǎng)中，可擴展性是一個非常重要的因素。即使在高密度區(qū)域，也應(yīng)該能有車輛及時驗證進入的消息。否則，如果安全方案在高密度區(qū)域無效，一些消息將會在驗證之前被丟失。此外，不可擴展的方案容易受到拒絕服務(wù)（DoS）攻擊。解析用戶的身份或證書不應(yīng)泄露任何可能把將來消息關(guān)聯(lián)到該用戶的信息。二、車聯(lián)網(wǎng)隱私保護目標(biāo)8.存儲需求加密身份驗證技術(shù)已被廣泛用來保護VCS，實現(xiàn)隱私保護。用于滿足隱私屬性的通常有兩種技術(shù)，即假名和群簽名。在假名認證中，車輛存儲大量公鑰/私鑰對及其相應(yīng)的證書，需要改變假名才能使對手難以跟蹤車輛。因此，匿名密鑰的大小應(yīng)盡可能保持最小，以便最小化車輛所需的存儲空間。而在群簽名方案中。需要預(yù)先存儲大量證書。但是，群簽名面臨的問題是簽名的數(shù)據(jù)非常大。9.可用性某些應(yīng)用程序?qū)νㄐ啪W(wǎng)絡(luò)有著高度的依賴，如對時間敏感的緊急服務(wù)。例如。在緊急情況下不能即時接收已發(fā)送消息將會使應(yīng)用程序無效。二、車聯(lián)網(wǎng)隱私保護目標(biāo)在設(shè)計車聯(lián)網(wǎng)隱私保護機制時通常要考慮如下需求:10.實用性11.穩(wěn)定性系統(tǒng)穩(wěn)定性意味著通信信道是安全的并且是滿足隱私保護要求的，比如說即使存在惡意或故障節(jié)點，也具有真實性和完整性。一些車聯(lián)網(wǎng)應(yīng)用程序需要通過RSU或相鄰車輛頻繁地向車輛廣播來更新或獲取實時信息，比如說與安全相關(guān)的應(yīng)用。三、車聯(lián)網(wǎng)隱私保護技術(shù)

車聯(lián)網(wǎng)隱私問題從2005年起開始被關(guān)注、瑞士洛桑聯(lián)邦理工學(xué)院Hubaox、加拿大滑鐵盧大學(xué)Sherman等一批國內(nèi)外學(xué)者在車聯(lián)網(wǎng)隱私保護領(lǐng)域開展了相關(guān)的研究工作。并取得大量的研究成果。從車聯(lián)網(wǎng)隱私保護的技術(shù)角度，已有研究成果可分為身份隱私保護。位置隱私保護、數(shù)據(jù)隱私保護等，而安全應(yīng)用對數(shù)據(jù)隱私?jīng)]有嚴格的要求。下面從身份隱私保護和位置隱私保護這兩個方面對車聯(lián)網(wǎng)的隱私保護問題進行闡述和分析。匿名認證是車聯(lián)網(wǎng)實現(xiàn)用戶身份隱私保護的基本機制，防止攻擊者通過消息關(guān)聯(lián)到發(fā)送者的真實身份。然而車聯(lián)網(wǎng)中的置名并非完全匿名，而是有條件的匿名。在交通事故發(fā)生時，引發(fā)現(xiàn)場的車場須承擔(dān)相應(yīng)的責(zé)任；完全匿名將導(dǎo)致法律責(zé)任難以追究而有條件的匿名使權(quán)威機構(gòu)能夠從現(xiàn)場消息恢復(fù)車輛或駕駛?cè)说恼鎸嵣矸荨Ｈ?、車?lián)網(wǎng)隱私保護技術(shù)（一）車聯(lián)網(wǎng)身份隱私保護技術(shù)當(dāng)前，相關(guān)研究提出基于群簽名的概名認證和基于假名的匿名認證，兩者均可兼顧信息安全與身份隱私保護需求。常見的身份隱私保護方法：匿名證書假名群簽名這類方法主要是將車輛駕乘人員的身份信息匿名化或者隱蔽化，通過斷開車輛身份和位置的關(guān)聯(lián)性以實現(xiàn)車輛位置隱私保護目的。2005年Raya等人首次提出基于匿名證書的安全協(xié)議HAB，匿名證書方案的基本思想：當(dāng)車輛進行通信時，隨機從置名證書列表中選取一個可用證書對信息簽名。通過不斷的證書更替使攻擊者無法獲知兩條消息是否是同一個用戶發(fā)出。三、車聯(lián)網(wǎng)隱私保護技術(shù)（一）車聯(lián)網(wǎng)身份隱私保護技術(shù)

假名方案的基本思想：使用一個不包含用戶能被識別信息的標(biāo)識替代真實的身份，從而使接收者或攻擊者無法推斷用戶的真實身份。車輛節(jié)點的假名集與其真實身份之間以及同個集合內(nèi)的多個假名之間具備不可關(guān)聯(lián)性，車輛在通信過程中可以切換假名來確保隱私信息的安全性，從而攻擊者無法通過收集來自同一假名節(jié)點的消息來推斷節(jié)點行蹤和真實身份。1.匿名證書2.假名基于群簽名的匿名認證是基于密碼學(xué)中一種面向群組的數(shù)字簽名方式。群簽名方案的基本思想：相同速度和相同方向行駛的車輛的先形成一個群體，群體中的任一成員可以代表整個群體進行匿名簽名，接收者可通過簽名驗證消息合法性，但無法得知消息是由群組的哪個成員發(fā)出。另外，每個群組有一個管理員，它能夠揭露簽名者的真實身份。也負責(zé)取消惡意成員身份的合法性。該方案既實現(xiàn)了匿名認證，又可實現(xiàn)對特定車輛的跟蹤。通過將車輛組合成組，車輛可以減少其V21傳輸，這增強了車輛的匿名性。三、車聯(lián)網(wǎng)隱私保護技術(shù)（一）車聯(lián)網(wǎng)身份隱私保護技術(shù)3.群簽名三、車聯(lián)網(wǎng)隱私保護技術(shù)（二）車聯(lián)網(wǎng)位置隱私保護技術(shù)位置隱私是一種特殊的個人隱私，它不僅蘊含著豐富的個人、位置等顯性信息，而且還可以通過推理計算位置軌跡的隱性信息（家庭住址、個人生活習(xí)慣、工作單位地址、健康狀況等），挖掘設(shè)備對象的行為模式和行為習(xí)慣，導(dǎo)致設(shè)備對象的隱私泄露。因此，隱私保護不僅要保證位置本身的敏感信息不泄露，又要防止攻擊者通過一系列的位置隱私推導(dǎo)出其他的個人信息。位置隱私保護技術(shù)位置信息泛化技術(shù)位置信息模糊技術(shù)位置信息掩蓋法位置信息加密法1.泛化法

泛化法是將位置信息泛化為相應(yīng)的匿名區(qū)域，使得攻擊者無法準(zhǔn)確地獲取真實位置。以達到位置隱私保護的目的，主要包括：位置k-匿名技術(shù)、軌跡k-匿名技術(shù)、假位置/假軌跡技術(shù)等。三、車聯(lián)網(wǎng)隱私保護技術(shù)匿名集中式體系結(jié)構(gòu)（二）車聯(lián)網(wǎng)位置隱私保護技術(shù)1.泛化法

泛化法是將位置信息泛化為相應(yīng)的匿名區(qū)域，使得攻擊者無法準(zhǔn)確地獲取真實位置。以達到位置隱私保護的目的，主要包括：位置k-匿名技術(shù)、軌跡k-匿名技術(shù)、假位置/假軌跡技術(shù)等。三、車聯(lián)網(wǎng)隱私保護技術(shù)（二）車聯(lián)網(wǎng)位置隱私保護技術(shù)匿名分布式體系結(jié)構(gòu)三、車聯(lián)網(wǎng)隱私保護技術(shù)（二）車聯(lián)網(wǎng)位置隱私保護技術(shù)假位置技術(shù)就是向服務(wù)器同時發(fā)送真實位置和多個假位置的集合，降低攻擊者獲得用戶的真實位置的風(fēng)險，其優(yōu)點是用戶自己可以生成假位置而不需要任何其他可信第三方組件。1.泛化法

泛化法主要包括：位置k-匿名技術(shù)、軌跡k-匿名技術(shù)、假位置/假軌跡技術(shù)等。2.模糊法模糊法主要是通過降低位置精度來提高隱私程度。常見的技術(shù)是時空模糊方法、空間坐標(biāo)轉(zhuǎn)換方法和基于語義模糊的方法。三、車聯(lián)網(wǎng)隱私保護技術(shù)（二）車聯(lián)網(wǎng)位置隱私保護技術(shù)Ardagna等人提出用圓形區(qū)域代替用戶真實位置的模糊法方法，利用3種模糊方法（放大、縮小和平移）中的一種或兩種組合生成一個滿足用戶隱私度量的圓形區(qū)域。通常利用位置區(qū)域的面積（如最小半徑）作為隱私度量，且不適用匿名手段。大多數(shù)模糊法技術(shù)不需要額外的信息輔助能夠在用戶終端直接實現(xiàn)。即相對于某種定位技術(shù)最高精確度的損失，它可同時度量精確性和隱私保護水平，通常情況下，位置隱私保護機制產(chǎn)生的精確度損失越大，相關(guān)性就越低，同時隱私保護水平就越高。用戶可以通過相關(guān)性準(zhǔn)確描述其隱私保護需求。該方案引出相關(guān)性的概念掩蓋法是指用戶通過不對外發(fā)布，或者有選擇地發(fā)布位置或者軌跡信息以達到保護隱私的目的。常見的方法有混合區(qū)Mixzones法和抑制法等。三、車聯(lián)網(wǎng)隱私保護技術(shù)基于加密法的位置隱私保護技術(shù)，在確保服務(wù)可用性的情況下不會泄露任何用戶的位置信息，實現(xiàn)了更嚴格的隱私保護，可以劃分為基于隱私信息檢索（PIR）的技術(shù)和基于空間轉(zhuǎn)換的技術(shù)兩種類型。（二）車聯(lián)網(wǎng)位置隱私保護技術(shù)3.掩