车载自组织网络中基于差分隐私的位置隐私保护方法

摘要

本发明公开了一种车载自组织网络中基于差分隐私的位置隐私保护方法，包括位置服务器、路边单元RSU、以及多个车辆，该方法包括以下步骤：车辆进入RSU覆盖范围后初始化自己的位置信息并将自己的ID和位置坐标信息发送给RSU；RSU为服务请求车辆选取一个替身车辆，并且将替身车辆的ID和服务请求车辆的ID在数据库中做一个映射；RSU对替身车辆的位置信息添加噪声进行位置混淆，获得加噪后的位置；以及RSU根据加噪后的替身位置来请求位置服务器获取服务，请求成功后将结果返给服务请求车辆。本发明所提出的基于差分隐私技术的替身方法实现了请求者的位置不可追踪性，位置加噪混淆方法使得替身的位置隐私不被泄露出去。

说明书

技术领域

本发明涉及网络与信息安全技术领域，具体涉及车载自组织网路中位置隐私保护方法。

背景技术

车载自组织网络(VANET，vehice ad hoc network)是一种在交通领域有着广泛应用的移动自组织网络，它支持动态、随机、多跳拓扑机构。车辆自组织网络通信范围内的车辆可以自组织地连接成一个移动的网络，相互交换各自的车速、位置等信息来获取路况信息和其他车辆的行车信息，还可以通过路边单元(RSU，Road-Side Unit)向服务器提高一些请求来获取一些增值服务，从而解决交通安全和交通便利的问题，提高行车服务质量。

因此车辆自组织网络的通信分为2个部分：车与车(V2V，Vehicle to Vehicle)通信和车与基础设施(V2I，vehicle to infrastructure)通信。

然而在车辆自组织网络中，车辆的信息、驾驶人员的信息是捆绑在一起的，驾驶人员在享受基于位置的服务的过程中，有着强烈的隐私保护需求---不想把自己的身份隐私以及在线或者将来的位置给泄露出去。并且，很多的驾驶人员是不能接收在服务的同时遭受到个人隐私的泄漏。因此，在推广车载自组织网络应用服务时必须解决好车辆使用者的位置隐私保护位置。

近几年来，车载自组织网络中位置隐私保护出现了很多模型，这些模型中应用最多的为K-匿名保护模型。然而该模型不仅会导致数据库存储压力增大而且会在车辆稀疏路段无法确保车辆的位置隐私安全，对于背景知识攻击的防御性也很低。

K-匿名保护模型需要至少存在K-1条与需要保护的位置相似的额外位置，即确保攻击者在获取目标位置的概率不会高于隐私保护需求的阈值。但是如果发布的K个位置相似度过高，同样会存在位置隐私泄露的风险。

并且敌手还可以通过预先知道的背景知识与所泄露的位置隐私相结合，便可以获取驾驶人员的身份信息以及即将要去的位置等重要信息，这对于隐私保护要求比较高的用户来说有很大的威胁。

发明内容

本发明的目的在于提供一种车载自组织网路中基于差分隐私的位置隐私保护方法，以基于差分隐私技术来保护位置服务请求者当前位置以及后续运动轨迹。

为此，本发明提供了一种车载自组织网中车辆位置隐私保护方法，包括三个参与对象，即位置服务器、路边单元RSU、以及位于RSU信号覆盖范围内的多个车辆，所述车辆位置隐私保护方法包括以下步骤：初始化阶段：车辆进入RSU覆盖范围后初始化自己的位置信息并将自己的ID和位置坐标信息发送给RSU；替身选取阶段：RSU为服务请求车辆选取一个替身车辆，并且将替身车辆的ID和服务请求车辆的ID在数据库中做一个映射；位置扰动阶段：RSU对替身车辆的位置信息添加噪声进行位置混淆，获得加噪后的位置；以及服务请求阶段：RSU根据加噪后的替身位置来请求位置服务器获取服务，请求成功后位置服务器将结果返给RSU，RSU根据之前存储的ID映射将结果发送给服务请求车辆。

相对于现有技术中的方案，本发明具有以下优点：

(1)现有车载自组织网络隐私问题研究中，大多数研究者关注点都是身份隐私的保护而忽略了位置隐私的保护，往往位置隐私和身份隐私就捆绑在一起，与背景知识相结合，位置隐私泄漏会导致身份隐私跟着被攻破。本发明在设计过程中，提出了一个新颖的设计技巧。使用指数机制来选取替身车辆位置作为位置服务请求参数的方法，对于本次请求来说，除请求车辆外的每辆车都可以作为替身车辆输出。但是，因为指数机制满足差分隐私性，在差分隐私的前提下使用指数机制可以使离请求车辆的位置点最近的车辆位置点以最大可能性的当作替身输出，这比随机选取一个车辆当作替身的总体效用要高，并且使得替身选取不可以被推断出来，这在现有的位置隐私保护的研究文献中还未曾见过。

(2)本发明中不仅考虑到请求车辆的位置隐私，首次充分考虑到也作为用户车辆的替身车辆的位置隐私，在选出替身之后，对替身位置再加满足拉普拉斯分布的噪声，使其隐匿在该RSU区域内，敌手不能知道它的具体位置，这使得车载自组织网络中的位置隐私安全性达到一个更高的水平。

除了上面所描述的目的、特征和优点之外，本发明还有其它的目的、特征和优点。下面将参照图，对本发明作进一步详细的说明。

附图说明

构成本申请的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为根据本发明的位置隐私保护方法的具体场景模拟示意图；以及

图2为根据本发明的位置隐私保护方法的几个主要实施步骤的流程图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。

如图1所示，本发明车载自组织网络中基于差分隐私的位置隐私保护方法的一实例中，构建的网络环境主要包含三层，顶层为服务器层，来处理一些服务请求。中间层RSU作为一个中转站，进行数据转发以及位置隐私处理。底层车辆根据自载的定位软件系统定位车辆位置并将其和ID发送给RSU。在本发明中，假定RSU是一直在线，可信且永不妥协的，相对于车载段原来说有着更高的计算能力。

如图2所示，本发明的车载自组织网络中基于差分隐私的位置隐私保护方法主要分为初始化阶段、替身选取阶段、噪声扰动阶段、以及服务请求阶段这四个过程。

S101初始化阶段。车辆进入RSU覆盖范围内，将向权威机构注册的ID发给RSU。RSU中保存了覆盖区域与路径的的两个交点位置。

具体地，T时刻，车辆在进入RSU无线网覆盖的区域时，便向RSU发送一个由权威机构发布的能唯一识别车辆的ID，RSU将车辆ID保存在一个数据库表中，也将覆盖区域与路径的的两个交点位置即RSU区域路段边缘位置始终保存在RSU数据库中。

S103替身选取阶段。当一辆车在RSU覆盖范围内需要请求位置服务器的服务，则将其定义为服务请求车辆，此时RSU向区域内所有车辆请求车辆位置信息，车辆根据车载定位系统获取当前位置信息，并将车辆的位置坐标s_i发送给RSU。服务请求车辆首先选取附近一个车辆作为替身，RSU将替身的ID和服务请求者的ID在数据库中做一个映射。

具体地，包括以下过程：

(2.1)位置集构造。若车辆i在t时刻发出位置服务请求，RSU向区域内所有车辆请求车辆位置信息，车辆根据车载定位系统获取当前位置信息，并将车辆的位置坐标s_i发送给RSU，RSU分别将区域内除i外的车辆位置以及RSU的位置纳入初始位置集set，再将包括请求车辆i位置在内的所有车辆位置点以及RSU位置点纳入新位置集set’。

(2.2)效用目标位置点选取。效用目标位置点是用来计算效用的点，用线段中心点计算公式计算set集合的中心位置σ作为原效用目标点位置σ₁，将位置服务请求车辆s_i的位置作为效用目标点位置σ₂。差分隐私的安全性定义是一条数据加入数据库前后>

(2.3)选取替身。

将两个位置集中车辆的位置点s_i(不包括发出请求的车辆的位置)到目标点位置σ₁的距离D_i(s_i,σ₁)和到服务请求车辆σ₂的距离D_i′(s_i,σ₂)分别计算出，使用差分隐私指数机制的随机算法M来随机选取替身，其中，位置集中的任意一个位置点被算法M选出作为替身的概率与成正比，其中，指数机制的效用函数u用位置点到目标位置点的距离的相反数来表示，指数机制的敏感度Δu为Max(|D_i-D_i′|)，ε为隐私预算。

其中，指数机制是指：设随机算法M输入为数据集D，输出为一实体对象r∈Range(查询函数的输出域Range)，q(D,r)为可用性函数(用来评估输出值r的优劣程度)，Δq为函数q(D,r)的敏感度(一个查询函数在一对邻近数据集上的查询结果的最大差值)，若随机算法M以正比如的概率从Range中选择并输出r，那么随机算法M提供ε-差分隐私保护，ε为隐私预算，用来控制算法M在两个邻近数据集上获得相同输出的概率ε通常取很小的值，例如0.01，0.1，或者ln2，ln3等.ε越小，表示隐私保护水平越高，当趋近于0的时候，保护水平达到最高，此时对于任意的邻近数据集，算法都将输出两个概率分布完全相同的结果，这些结果也不能反映任何关于数据集的有用信息。因此ε的取值需要结合具体需求来达到。

我们使用差分隐私指数机制作为替身选取机制，随机算法M即用来随机选取替身，将两个位置集中车辆的位置点s_i到目标点位置σ₁的距离D_i(s_i,σ₁)和到服务请求车辆σ₂的距离D_i′(s_i,σ₂)分别计算出，指数机制的效用函数u用位置点到目标位置点的距离的相反数来表示，也就是说距离的相反数越大替身效果越好，这样指数机制的敏感度Δu为Max(|D_i-D_i′|)，位置集中的任意一个位置点被算法M选出作为替身的概率与>

服务请求车辆在跨RSU位置服务请求时，如果请求车辆一直以自己的ID和位置向服务器请求位置服务，虽然我们可以将它的位置泛化到一个隐匿区域，但是这些区域 之间的位置在地图上可能是以一条路径被显示出来，若该条路径上有敏感位置(如寺庙，医院，学校等)会导致请求者的身份被泄露出去，使用替身后，因为同一车辆连续两个请求间的相关性不被敌手检测到，即敌手在观察一辆车现在的位置不能推断出它之前所造的区域。并且只有每个RSU知道在它的范围内请求服务的车辆的请求情况以及与替身的映射情况，而RSU是可信的，因此可以很好地将它的轨迹隐藏起来。

S105位置扰动阶段。替身车辆也作为一个用户车辆，为保护其隐私性对替身车辆的位置信息加适当的噪声进行位置混淆。

具体地，替身车辆i也可能是一个隐私要求比较高的用户车辆，虽然可以利用替身方法将真实请求车辆的轨迹给保护起来，但是为了保护替身车辆的准确位置不被发布出去，我们还可以将替身车辆的位置节点的坐标加上适当的随机噪声再发布出去，如：s_i′＝s_i+r_i，r_i为满足某种分布的随机数。这里我们采取满足差分隐私的拉普拉斯机制来添加符合拉普拉斯分布的噪声r_i。RSU可以根据加噪后的位置判定是否超出了RSU的覆盖范围，也就是加噪后的位置是否超过了R₁或者R₂，若是，则看R₁和R₂谁离这个加噪后的位置点最近，用最近的点作为替身车辆加噪声后的位置，即s_i＝(|s_i-R₂|＞|s_i-R₁|？R₁:R₂)。

S107服务请求阶段。RSU根据加噪后的替身位置来请求位置服务器获取一些增值服务，请求成功后服务器将结果通过RSU返回给请求车辆。

具体地，经RSU将加噪后的替身位置s_i作为请求参数发布出去，提交给服务器端处理，处理完成后，将结果通过RSU返回给服务请求者，RSU根据之前存储的ID映射将请求发送给正在的请求者。

实施例一

如图1所示，假设存在某一路段有一个路边单元RSU，与远程服务器有线连接，RSU无线覆盖路段上有4辆车，假设权威机构(TA)颁发给他们的身份ID分别为1,2,3,4。车辆进入RSU无线覆盖区域之后将它们的ID通过无线连接发送给RSU。并假设RSU覆盖范围与路径两端的交点R₁＝0，R₂＝12。

当进入RSU区域内的某辆车需要请求位置服务器的服务，并将自己的位置信息s₃给RSU，假设s₃在一维坐标上的值为6，且RSU向区域内其他所有车辆请求车辆位置信息，车辆根据车载定位系统获取当前位置信息s₁,s₂,s₄，假设s₁＝1,s₂＝4,s₄＝10，并将这些车辆的位置坐标发送给RSU。RSU将这些位置信息与ID对应存储起来，再使用指数机制来选择替身。

RSU在获取到车辆ID和位置信息后，若车辆i在t时刻发出位置服务请求，RSU向区域内所有车辆请求车辆位置信息，车辆根据车载定位系统获取当前位置信息，并将车辆的位置坐标s_i发送给RSU，RSU分别将区域内除i外的车辆位置纳入初始位置集set＝{s₁,s₂,s₄}，再将包括请求车辆s₃位置在内的所有车辆位置点纳入新位置集set’＝{s₁,s₂,s₃,s₄}。

效用目标位置点是用来计算效用距离的点，先根据set中的s₁,s₂,s₄这些位置计算出中心点位置σ，σ＝s₁+s₂+s₄/3＝5，再将σ作为原效用目标位置点σ₁，即σ₁＝5。再从位置集合set’选取服务请求车辆位置s₃作为效用目标位置点σ₂，即σ₂＝5。

使用差分隐私指数机制作为替身选取机制，将两个位置集中车辆的位置点s_i(不包括发出请求的车辆的位置)到原效用目标点位置σ₁的距离D_i(s_i,σ₁)和到效用目标点位置的距离D'_i(s_i,σ₂)分别计算出，有D₁＝4,D₂＝1,D₄＝5以及D'₁＝5,D'₂＝2,D'₄＝4，指数机制的效用函数u用位置点到目标位置点的距离的相反数来表示，这样指数机制的敏感度Δu为Max(|D_i‐D'_i|),在我们这个实力中Δu＝1。位置集中的一个位置点被选出作为替身的概率与εu/(2Δu)成正比，这里车辆2被选出作为替身的概率最大。经证明指数机制是满足ε‐差分隐私的，所以替身选取方案满足ε-差分隐私。选出替身之后将替身车辆的ID和请求车辆ID关联起来，现在假设替身选取阶段选出的替身是车辆2，可以将形如(3，2)的关联存到RSU中，服务请求结束后再将其删除。

替身车辆2也可能是一个隐私要求比较高的用户车辆，虽然可以利用替身方法将真实请求车辆的轨迹给保护起来，但是为了保护替身车辆的准确位置不被发布出去，我们还可以将替身车辆的位置节点的坐标加上适当的随机噪声再发布出去，如：为满足拉普拉斯分布的随机噪声，噪声尺度为ε作为安全参数是可以变化的ε越大安全性越高，ε越小加噪后的位置的效用越高。ε这里定为0.1。所以加噪后的替身位置由4变成了4.1，RSU可以根据加噪后的位置判定是否超出了RSU的覆盖范围，也就是加噪后的位置是否超过了R₁或者R₂，若是，则看R₁和R₂谁离这个加噪后的位置点最近，用最近的点作为替身车辆加噪声后的位置。可见在这个实施例中s'₂没有超出RSU。

经RSU将加噪后的替身问题s'₂作为请求参数发布出去，提交给服务器端处理，处理完成后，将结果通过RSU返回给服务请求者，RSU根据之前存储的ID映射将请求发送给真正的请求者。

在上述实施例中，该方法运用了差分隐私技术中的指数机制和拉普拉斯机制，实现了车辆在进行位置服务请求时请求车辆的位置隐私的保密性，通过可信的路边单元(RSU)进行位置信息的存储，传输以及加噪的整个过程。在这个过程中服务请求车辆只需要将自己的位置身份信息发送给可信的路边单元，路边单元不将其真实数据作为请求参数发布出去而是使用一种替身的方法，将替身车辆的位置代替请求车辆的位 置。为了保证替身车辆的位置隐私我们还对替身车辆的位置进行加噪，使其隐匿在路边单元的无线覆盖区域，敌手不能通过请求参数以及请求结果来得出请求车辆以及替身车辆的位置隐私。现有的大部分匿名机制是在跨路边单元多次请求时，没考虑到位置相关性，只在不同路边单元区域内进行隐匿，但是敌手可以不用知道请求者真实位置只观察隐匿区域的前后相关性就可以知道它的路径，如图1所示。替身方法可以完美的切断每次请求之间的关联性，不知道真实的请求者是谁，保护了请求者的位置隐私的同时保护了它的轨迹隐私。

本发明在车载自组织网络现有的设备上基于软件实现，不依赖于任何特殊的额外硬件设备；在请求位置服务阶段用到了一种替身以及给定位装置加噪声的方案，这种方案不仅可以保护请求者的位置不被发布出去，还可以解决连续请求的位置相关性问题来保护轨迹隐私以及保护替身车辆的位置隐私，并尽可能保证发送出去作为请求参数的位置的可用性。

安全性分析：本发明所提出的基于差分隐私技术的替身方法实现了请求者的位置不可追踪性，位置加噪混淆方法使得替身的位置隐私不被泄露出去，以上两种方法使得服务请求者的位置信息始终在请求车辆和可信RSU之间的范围内传输，没有被泄露出去，即在服务请求的过程中敌手不能根据服务请求的参数获取服务请求者的位置隐私和轨迹隐私。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。