冯霞,刘亚伟
基于联合熵隐私保护的自适应动态Mix-zone方案
冯霞1,2,刘亚伟3
(1. 江苏大学汽车与交通工程学院,江苏 镇江 212013;2. 江苏省工业网络安全技术重点实验室,江苏 镇江 212013;3. 安徽大学计算机科学与技术学院,安徽 合肥 230601)
针对车联网中Mix-zone方案灵活性低以及隐私保护程度对用户缺乏透明度的问题,提出一种交通自适应的动态Mix-zone创建方法,可以根据道路交通状况为车辆动态创建Mix-zone,随时随地为车辆创建Mix-zone进行假名更换,建立基于身份和位置的隐私保护;提出对Mix-zone进行隐私分级的联合熵度量模型,可通过归一化的定量计算结果度量Mix-zone达到当前区域车辆隐私需求的程度。使用深圳市某区的出租车辆的轨迹数据验证了联合熵隐私度量模型及基于该模型的Mix-zone创建方案,实验结果表明,该联合熵模型能刻画交通场景中参数与隐私保护程度的正比关系,在联合熵所表示的无序性指标上,所提Mix-zone创建方案相较其他方案,具有更好的隐私保护效果。
车联网;Mix-zone;联合熵;隐私保护
车联网(Internet of vehicle)融合现代通信与网络技术,通过人、车、路、云平台实时关联与感知,实现智能交通系统。比较典型的有基于位置的服务(LBS, location-based service)、驾驶辅助和事故警告等。在车联网中,车辆周期性地广播交通车辆的当前位置、车辆速度、车流情况等相关信息给其周围的所有车辆,恶意车辆可以通过关联消息与发送者,获取车辆驾驶者的隐私信息,这对车辆用户的隐私造成潜在的威胁[1~4],极大阻碍了车联网的推广应用。
针对车联网中的用户隐私保护技术,主要有群签名、Mix-zone(淆乱区域)这2类实施方案,这些方案的本质是利用密码学或映射关系来淆乱车辆真实ID、位置以及用户名之间的关联。签名方案依靠公钥加密技术实现了身份认证和轨迹隐私保护统一,但基于密码学匿名认证技术挑战了车辆网络认证的物理瓶颈,即路侧单元(RSU, road side unit)作为车联网服务的接入点计算和通信能力有限。文献[5]设计了一种批量认证的密钥管理机制,将认证效率提高到250次/秒,文献[6]更是采用代理认证的新模式将RSU签发认证证书的速度提高到6 200次/秒,但是频繁地认证和用户的隐私保护需求依然在挑战RSU物理能力的瓶颈。Beresford[7]在2004年提出淆乱区域(Mix-zone)的概念,Buttyan等[8]首次将Mix-zone方法用于车联网,其通过建立特定淆乱区域的方法实现了隐私保护。Ying等[9]允许车辆根据需求提出假名更换需求,系统通过创建Mix-zone完成该请求。随后,淆乱区域成为车辆隐私保护的热门技术,其构建的方式也涌现出诸如基于特殊位置[10]、安静时段[11]、加密空间[12,13]和基于通信代理[13]等几种典型方式。这些方案都重点关注隐私保护的效果,不同程度地忽略了Mix-zone的创建效率的考虑,在Mix-zone的创建效率和隐私保护效果的矛盾选择中缺乏突破性的方法。
本文提出一种自适应的动态Mix-zone创建方法,以基于联合熵的安全隐私模型对Mix-zone进行隐私度量,而车辆可以根据道路交通状况判断Mix-zone的保护等级,进而决定是否进行动态的Mix-zone,通过对Mix-zone分级和用户需求的个性化差异,实现了创建效率和隐私需求的矛盾统一。
车联网中,隐私保护需求主要体现在通信过程中,需要隐藏通信双方的身份、位置、信息内容等来淆乱车辆身份和位置关联关系。常用的技术有基于签名的方案和基于Mix-zone的假名方案,前者用密码学的签名方式淆乱用户的真实ID,从身份匿名来保护隐私;后者通过淆乱车辆与标记的对应关系,来实现隐私保护。假名方案的效率主要来自签名认证的模式和算法,属于纯密码学的内容。本文主要考虑在Mix-zone方案中折中创建效率与隐私保护效果。当前主要的Mix-zone方案包括以下6类。
1) 基于特殊位置的Mix-zone,即在事先指定的某个特殊地理区域内更新假名,以达到车辆混淆和隐藏目的。Lu等[10]提出在车辆聚集地区,如交通信号等处、大型停车场等社交点建立Mix-zone,同时用博弈论完成证明。但是,因为只能在固定地点更换假名,Mix-zone的创建不够灵活,为了满足假名更换需求,甚至有些车辆通过更改行驶路径达到更改假名的目的。Mix-zone的匿名要求也是固定位置的Mix-zone的一个挑战。
2) 基于静默时段的Mix-zone,即车辆自己随机选择一段时间不发送分组(即静默),静默之后再更新假名。Buttyan等[11]提出了在车辆低速行驶时设置静默时段的SLOW方案。在方案中,SLOW设置静默时段的位置是红绿灯处。该方案中车辆更换其假名后将进入静默周期,一些对时间敏感的服务有可能无法执行。
3) 加密Mix-zone,是指通过加密区域的方式来保证更换假名的不可关联性。Dahl等[12]则在十字路口构造加密网络模型。但方案没有考虑到道路网络对Mix-zone创建的影响,假设某Mix-zone被道路网络分割成相互独立的部分,则小型Mix-zone将无法达到-匿名所需安全要求。Guo等[13]提出通过在选定的路口构建加密Mix-zone,并由RSU负责向进入该区域的车辆分发会话密钥。
4) Mix-zone通信代理,是指用代理方式来实现在Mix-zone内的通信。Scheuer等[14]针对城市交叉口及高速分叉路口,通过代理来实现在Mix-zone内更换假名,从而降低了车辆和RSU的开销,以代理的绝对可信假设提升了隐私保护的水平。
5) MobiMix方案[15,16],在考虑Mix-zone基础理论的同时,将地理信息、用户的密度和行为统计数据、空间和时间的运动模式都加入了Mix-zone模型,提高了攻击检测能力。
6) 混合方案,该类方案综合了Mix-zone的假名方案和群签名环签名方案的优势以克服其不足,获得更优的综合性能。文献[17]方案中允许车辆根据需要提出假名更换需求,从而要求系统为其创建Mix-zone。Emara[18]提出的混合方案,综合应用了3种方式,使用假名、Mix-zone和数字签名的思想。通过组建车辆的群导航提供车辆匿名机制,随机安静时段提高了位置隐私,签名密钥管理实现安全与隐私的平衡,极大减少车辆被位置跟踪的可能性。
本文的基础方案是在Mix-zone存续期间引入群签名机制,保证该阶段的通信隐私安全,以避免被攻击者通过收集、分析等手段进行身份的关联。然而本文的主要贡献是提出基于联合熵的Mix-zone隐私度量模型,通过对交通场景的分析,提前评估该地区建立Mix-zone的隐私保护效果,为系统构建最优Mix-zone最大限度保护车辆隐私提供判断依据。
本文采用文献[19]给出的基于位置服务的系统模型,并在此基础上,给出基于无向带权图的形式定义,为后续对Mix-zone进行基于联合熵的隐私度量提供基础。
车联网主要包括4个部分:可信机构(TA, trusted authority)、基于位置服务(LBS, location based service)、RSU以及装配有车载单元(OBU, on board unit)的车辆(用V来表示)。如图1所示,各部分基本功能如下。
1) 可信机构(TA)
服务器TA是绝对安全的信任实体,负责生成系统全局的安全参数、为各参与方颁发公私钥以及车辆的认证参数,TA存储着所有经过认证的车辆用户的身份信息,经过TA授权后,可以调查车辆的既往位置信息等,因此,在本文方法中需要协助车辆构建动态Mix-zone,它提供认证、签名和集中式的管理服务。
2) 路侧单元(RSU)
3) 车辆(V)
4) 基于位置服务(LBS)
LBS是车联网中的位置应用服务器,车辆将位置服务请求发送给LBS,服务器对车辆的请求内容分析处理过后,把位置服务数据通过RSU反馈给车辆。
图1 车联网结构
交通场景的某一个区域,若准备设置成Mix-zone,为了表述清晰,可以描述成以RSU为顶点的无向带权连通图,具体定义如下。
(4)
在车联网交通环境里,本文用定义1所给出的点权表示该RSU通信范围内车辆的数目,用边权表示该道路上所能正常通行的最多车辆数目,即在行车经验上一个理论的最大值。参考文献[20]对城市车辆移动轨迹的统计和分析结论,车辆达到道路的状况遵循泊松概率分布过程,则边权就是该泊松分布的顶点值。显然,交通无向带权图具有性质1的特点。
Mix-zone是一个典型的交通区域,符合定义1所述的形式化记录。然而,Mix-zone作为淆乱车辆身份的功能区,主要体现在交叉口,因为在道路上,车辆在时序上的规律性很容易被跟踪。因此,Mix-zone的隐私保护能力主要由3个值确定,分别是该区域所能容纳的最大平均交通流、每个顶点停留的瞬时车辆数目以及车辆在该区域各顶点的平均停留时间。
攻击者根据车辆旧的假名(驶进Mix-zone之前)映射到新的假名(驶出Mix-zone之后),如果时刻是完全无依据猜测,则每辆车被猜中的概率为。假设攻击者获得了某些或对或错的信息,对某车辆旧假名对应驶出Mix-zone车辆进行有区别的概率赋值,将该假名对应到车辆的概率为,则有
而该时刻Mix-zone满足用户需求的判断式为
表1 主要参数
这样,整个Mix-zone系统的联合熵定义为
整个Mix-zone系统的隐私保护等级为
Mix-zone隐私保护等级保护评价系统的目的是使用户根据交通场景,选择新创建的Mix-zone的时机,使隐私保护等级与标准定义之间的加权广义距离之和最小,即
因此,求最优Mix-zone是一个双目标优化问题,为解决此问题,构造双目标函数,最终获得本文的熵极大化隐私保护模型。
本节首先描述了基础的Mix-zone创建算法,该算法可获得Mix-zone度量的初始输入值。然而,为了获得最优的Mix-zone性能,需要创建方法支持Mix-zone持续期间,车辆节点之间使用群签名认证进行适度通信,而不影响假名更新的隐私保护性能;然后,在基础算法中嵌入群签名协议,可以支持车辆自适应动态创建Mix-zone的选择。
算法1 动态Mix-zone创建
输出 Mix-zone
6) 计算车辆的假名使用时间
7) 结束
14) 结束
15) 结束
算法1满足了动态创建Mix-zone的要求,但其不能保证生成的Mix-zone最大化车辆的隐私保护机制。5.2节将根据基础方案提出新型的基于联合熵的隐私度量方法,并根据该度量方法实现最优动态Mix-zone的创建。
为了最大化Mix-zone的联合熵,即创建最优Mix-zone。本文根据当前道路中交通状况进行Mix-zone创建的同时,必须实时计算出其联合熵,动态选择最优Mix-zone。基于联合熵隐私保护的Mix-zone方案主要由3个阶段组成:车辆证书初始化、选择最优Mix-zone和基于群签名的Mix-zone期间的通信。
图3 车辆证书初始化
算法2 基于联合熵的动态自适应Mix-zone 创建
输出 Mix-zone
② 深度优先搜索
⑨ 结束
⑪结束
⑬ 通过式(25)计算;
⑭ 选择联合熵最大的Mix-zone;
⑮结束
本文使用深圳市出租车[23]GPS轨迹数据集评估动态Mix-zone的方案性能。本文获取的数据集一天大约有80万条出租车GPS数据,每辆出租车的GPS数据最小上传时间间隔为15 s。由于深圳市并未部署车联网,在实验中假设RSU在道路网络中是全覆盖的,且交叉路口均设有RSU。本文算法使用Python 3.5实现,仿真计算机硬件配置为Intel i5的CPU和8 GB的内存。
图4 Mix-zone交通流对隐私保护效果的影响
图5展示了Mix-zone存续期间每个顶点停留的瞬时车辆数目和所提供隐私保护性能的关系。同样考虑7:00~9:00的高交通流量和20:00~22:00的低交通流量这2种极端情形,选取不同Mix-zone,分析每个顶点停留的瞬时车辆数目对满足隐私保护要求的车辆比例的影响。数据表明,瞬时车辆数目越多,车辆存续时间越长,隐私效果越好,这说明本模型描述与真实情况相符。
图5 Mix-zone权值与隐私保护的关系
图6选取了在固定区域,持续时间仅为7:00~22:00时,本文方案与文献[5]方案、文献[9]方案等所建立Mix-zone的熵值的对比分析,给出了Mix-zone区域不同交叉路口停留的瞬时车辆数目、Mix-zone存续时间与联合熵值之间的关系。需要说明的是,由于本文实验数据来自真实数据,因而“容纳的最大平均交通流”在地图中是固定的,并作为比较因素之一。由于联合熵用来刻画Mix-zone区域中的车辆无关联程度:联合熵越大,该区域车辆的身份信息的模糊程度就越高。因此,当该车辆离开Mix-zone时,攻击者成功关联车辆新旧假名的概率就越低,从而达到对车辆隐私信息保护的目的。本文系统根据车辆位置及其所处路段的实时交通状况创建Mix-zone,同时计算联合熵用以预测最佳Mix-zone,图6的显示结果证明了这一点,这说明本文方法体现了理论模型需要追求的效果,且所建立的Mix-zone在联合熵值所体现的隐私保护效果上优于其他方法。
图6 不同方案中Mix-zone车辆总数、存续时间与联合熵之间的关系
本文提出了基于联合熵的自适应动态Mix-zone创建方案来保护车辆用户的隐私,旨在解决动态创建的Mix-zone中隐私保护效果及用户需求之间的匹配问题,首先,提出基于联合熵的自适应度量方法用于定量评估Mix-zone的隐私等级,在动态创建过程中选择联合熵值最优的Mix-zone创建方法。以深圳市出租车GPS轨迹数据和道路交通图为基础数据来仿真评估所提出方案的性能,结果表明,该评估模型反映了交通因素对隐私效果的实际影响,且所提方法和同类方法相比,在该模型下具有更优的隐私保护效果。
[1] LIU X, ZHAO H, PAN M, et al. Traffic-aware multiple mix zone placement for protecting location privacy[C]//IEEE INFOCOM. 2012: 972-980.
[2] ZHANG L, WU Q, QIN B, et al. Practical secure and privacy-preserving scheme for value-added applications in VANETs[J]. Computer Communications, 2015, 71:50-60.
[3] 刘怡良, 石亚丽, 冯蒿, 等. 车联网中基于神经网络的入侵检测方案[J]. 通信学报, 2014,72(35):233-239.
LIU Y L, SHI Y L,FENG G. Intrusion detection scheme based on neural network in vehicle network[J]. Journal of Communications, 2014, 72(35): 233-239.
[4] FERRAG M, MAGLARAS L, AHMIM A. Privacy-preserving schemes for Ad Hoc social networks: a survey[J]. IEEE Transaction on Communications Surveys & Tutorials, 2017, 19(4):3015-3045.
[5] LU R, LIN X, LUAN T H, et al. Pseudonym changing at social spots: an effective strategy for location privacy in VANETs[J]. IEEE Transactions on Vehicular Technology, 2012, 61(1):86-96.
[6] LIU Y, WANG L, CHEN H H. Message authentication using proxy vehicles in vehicular ad hoc networks[J]. IEEE Transactions on Vehicular Technology, 2015, 64(8):3697-3710.
[7] BERESFORD A R, STAJANO F. Mix zones: user privacy in location-aware services[C]//IEEE Conference on Pervasive Computing and Communications Workshops. 2004: 127-132.
[8] BUTTYAN L, HOLCZER T, VAJDA I. On the effectiveness of changing pseudonyms to provide location privacy in VANETs[C]// European Conference on Security and Privacy in Ad-Hoc and Sensor Networks. 2007:129-141.
[9] YING B, MAKRAKIS D. Pseudonym changes scheme based on candidate-location-list in vehicular networks[C]//IEEE International Conference on Communications. 2015:7292-7297.
[10] LU R, LIN X, LUAN T H, et al. Pseudonym changing at social spots: an effective strategy for location privacy in VANETs[J]. IEEE Transactions on Vehicular Technology, 2012, 61(1):86-96.
[11] BUTTYAN L, HOLCZER T, WEIMERSKIRCH A, et al. SLOW: a practical pseudonym changing scheme for location privacy in VANETs[C]// IEEE Vehicular Networking Conference. 2010:1-8.
[12] DAHL M, DELAUNE S, STEEL G. Formal analysis of privacy for vehicular mix-zones[C]//European Symposium on Research in Computer Security Computer Security(ESORICS2010). 2010: 55-70.
[13] GUO N, MA L, GAO T. Independent mix zone for location privacy in vehicular networks[J]. IEEE Access, doi: 10.1109/ACCESS.2018. 2800907.
[14] SCHEUER F, FUCHS K P, FEDERRATH H. A safety-preserving mix zone for VANETs[C]//International Conference on Trust, Privacy and Security. 2011:37-48.
[15] PALANISAMY B, LIU L. Attack-resilient mix-zones over road networks: architecture and algorithms[J]. IEEE Transactions on Mobile Computing, 2014, 14(3):495-508.
[16] PALANISAMY B, LIU L. MobiMix: protecting location privacy with mix-zones over road networks[C]//International Conference on Data Engineering. 2011: 494-505.
[17] SAMPIGETHAYA K, LI M Y, HUANG L P, et al. Amoeba: robust location privacy scheme for VANET[J]. IEEE Journal on Selected Areas in Communications, 2007, 25(8): 1569-1589.
[18] EMARA K. Safety-aware location privacy in VANET: evaluation and comparison[J]. IEEE Transactions on Vehicular Technology, 2017, 66(12): 10718-10731.
[19] ZENG S, CHEN Y, TAN S, et al. Concurrently deniable ring authentication and its application to LBS in VANETs[J]. Peer-to-Peer Networking and Applications, 2016, 10(4):1-13.
[20] HOSMA M. A study of the source traffic generator using poisson distribution for ABR service[J]. Modelling and Simulation in Engineering. 2012 (1):1-6.
[21] JAYNES E T. Information theory and statistical mechanics[J]. Physical Review,1957,106(4):620-630.
[22] DAN B, BOYEN X, SHACHAM H. Short group signatures[J]. Advances in Cryptology-CRYPTO, 2004, 22(6):41-55.
[23] 刘亚伟. VANETs中安全认证与隐私保护的研究[D]. 合肥: 安徽大学, 2017.
LIU Y W. Research on security authentication and privacy preservation in VANETs[D]. Hefei: Anhui University,2017.
Dynamic Mix-zone scheme with joint-entropybased metric for privacy-perserving in IoV
FENG Xia1,2,LIUYawei3
1. School of Automotive and Traffic Engineering, University of Jiangsu, Zhenjiang 212013,China 2. Jiangsu Key Laboratory of Security Technology for Industrial Cyberspace, Zhenjiang 212013, China 3. School of Computer Science and Technology, University of Anhui, Hefei 230601, China
Aiming at the weak flexibility and lack of users’ transparency existing in the current Mix-zone schemes for Internet of vehicle (IoV), a dynamic was proposed for Mix-zone construction with traffic adaption, which could construct a Mix-zone for the vehicles dynamically according to the traffic conditions for changing pseudonym at anytime and anywhere. This kind of Mix-zone could achieve privacy-preserving based on the identity and location. In addition, a novel traffic-adaptive metric was presented for classifying the privacy leveled in Mix-zone, which applied the normalization quantitation to measure the degree of Mix-zone’s privacy demanding by the current region. It was verified that the joint entropy-based privacy measuring model and the Mix-zone construction scheme by utilizing the trajectory data of taxis in certain district in Shenzhen city. The experimental shows that the proposed combination entropy-based model could depict the proportional relationship between the traffic scene parameters and the privacy-preserving degrees. The scheme is better in performance over the related methods, and strikes a good balance between location privacy and service usability.
Internet of vehicle, Mix-zone, joint-entropy, privacy-preserving
TP391
A
10.11959/j.issn.1000-436x.2018038
2017-09-30;
2018-01-20
国家自然科学基金资助项目(No.U1736216, No.61472001, No.61702233);江苏省重点研发计划基金资助项目(No.BE2015136)
The National Natural Science Foundation of China (No.U1736216, No.61472001, No.61702233), The Key Research and Development Plan Project of Jiangsu Province (No.BE2015136)
冯霞(1983-),女,江苏镇江人,博士,江苏大学讲师,主要研究方向为车联网安全。
刘亚伟(1994-),男,安徽阜阳人,安徽大学硕士生,主要研究方向为车联网安全、云计算等。