钟小宇，李梦涵，李丽红

（1.华北理工大学 理学院，河北 唐山 063210；2.河北省数据科学与应用重点实验室，河北 唐山 063210；3.唐山市工程计算重点实验室，河北 唐山 063210）

0 引 言

随着车联网的快速发展，越来越多的车辆用户连接到了车联网中，车联网为驾驶者带来了极大便利。基于位置的服务（LBS）就是其基本的应用之一，车辆日常行驶中已离不开LBS的支持，例如实时导航和景点推荐等。但因为其开放式的网络特点，易遭受不法分子攻击，近年来黑客入侵车联网的新闻屡见不鲜。当用户使用LBS提供的服务时，车辆终端的定位设备向相应的LBS服务器提交用户此时的地理位置信息，LBS服务器接收查询请求信息并返回结果。但是，在没有相应安全机制来保障位置查询请求安全可靠时，用户位置隐私将被轻易获取，导致敏感信息泄露，严重威胁用户生命财产安全。因此，车联网中用户位置隐私安全得到了国内外学者的广泛关注和研究[1]。

本文首先介绍车联网中的LBS，并引出LBS隐私威胁；然后在此基础上分别综述基于加密、匿名、假位置和差分隐私四个方面的位置隐私保护技术的研究现状；最后指出现有研究不足并提出未来可研究的方向。

1 车联网中基于位置的服务（LBS）

1.1 LBS一般框架

图1表示基于位置服务的一般框架，主要包含三个部分：

图1 基于位置服务的架构

（1）为车联网用户提交位置查询请求提供的定位服务设施，主要包括无线网络基站、定位卫星和WiFi等。

（2）车联网用户发出位置查询请求和接收结果的移动终端设备。终端设备可通过硬件（如定位芯片）和软件技术定位用户所在的确切地理位置，并与LBS服务器建立通信。

（3）LBS服务提供商，如高德地图、百度地图和美团等。

1.2 LBS查询过程

当车联网用户发送位置查询请求时需要实时地将自己的定位信息发送给LBS服务器，以此来获取相应的服务。这些服务大致有实时导航、无人驾驶汽车自动规划路线、APP记步、社交软件用来获取对方距离等。LBS具体查询过程如下：

（1）用户将位置查询请求发送给LBS服务器；

（2）定位系统实时获取用户发出位置查询请求时所在的地理位置；

（3）无线网络建立用户与LBS服务器之间的通信道路，用于传输用户发送的位置查询请求和LBS服务器返回的结果；

（4）LBS服务器实时响应查询请求，并返回结果。

2 LBS隐私威胁

用户在使用LBS请求位置服务时，其位置隐私可能从以下三个方面泄露：首先是车辆移动终端，黑客通过植入木马或病毒，悄无声息地控制目标用户的车辆移动终端，期间所有的隐私信息都将被非法捕获；其次是用户与LBS服务器通信全部依靠无线网络，数据在无线通道传输时易被黑客监听或遭受中间人攻击；最后是LBS服务器，第三方LBS服务器一般是不可信的，其实际拥有者和维护人员可能非法窃取用户隐私信息，或已被黑客攻击操控，在这两种情况下因用户位置隐私信息存储在LBS服务器上，如果信息泄露将造成重大隐私泄露和安全事件发生。

3 车联网用户位置隐私保护技术

车联网用户在使用LBS进行位置查询请求服务时会产生大量的位置隐私信息，如何保障用户位置隐私信息不被泄露是近些年来许多研究者关注的问题。下面针对主要的车联网用户位置隐私保护技术进行介绍。

3.1 基于加密的位置隐私保护

基于加密的位置隐私保护技术是对用户的LBS查询信息进行加密处理，处理后的密文对LBS服务器或者攻击者是不可见的。即使查询请求信息在传输过程中被劫持或者监听，也无法通过加密后的密文获取用户的真实位置信息，进而达到位置隐私保护要求。

很少有位置验证协议能够保护位置验证者的位置隐私，这是因为位置验证者在请求位置服务时试图证明他们在某个位置或区域。因此许多学者提出了安全加密协议。文献[2]提出一种具有位置隐私的安全定位协议，并在此基础上构建了利用位置验证的更高级的加密协议。构造基于位置的密钥交换，如果验证方位于声明的区域，那么验证方与其余验证方共享一个统一的密钥。同态加密算法作为热门的研究方向也被应用于安全协议中。文献[3]提出一套基于同态和圆移动的加密协议（CSEP），CSEP利用同态加密对用户的位置进行加密，而LBS服务器则利用密文计算距离。文献[4]使用基于ElGamal的同态加密协议，客户端使用语义安全的ElGamal加密方案加密客户端所在位置的坐标。文献[5]提出一种基于随机加密周期的位置隐私保护方案。当车辆需要更换证书时，会触发一个随机加密周期，在此期间，所有车辆使用共享密钥对其信息进行加密，以在车辆周围创建一个加密区域。

隐私信息检索（Private Information Retrieval, PIR）被广泛应用于基于加密的位置隐私保护方案。文献[6]针对PIR普遍存在预处理时间长和查询效率低的问题，提出空间加密方法加快k近邻候选集的查询。

3.2 基于匿名的位置隐私保护

基于匿名的位置隐私保护技术主要采用k匿名方法，k匿名是最早应用于基于位置服务的隐私保护的算法之一，即将用户的真实位置和k-1个匿名位置发送给LBS服务器，用于混淆攻击者或不可信服务器，使其不能区分出真实用户实际位置。

随着研究的发展，k匿名方法的缺点被逐渐放大，容易受到连续查询攻击，且安全级别越高，所需的k值也越大，导致LBS服务器的带宽和无意义的负载成本也越高。文献[7]为了解决基于k-ASRs（k-Anonymizing Spatial Regions）通过牺牲服务质量而实现隐私保护的问题，提出一种基于可信链的位置隐私保护k匿名方法。首先根据用户的环境和社会属性确定当前用户的最优k值；其次可信第三方（TTR）根据可信链的属性生成包含k个位置节点的虚拟轨迹；然后基于轨迹进行LBS查询，并通过实例化隐私来评估隐私等级。文献[8]提出一种基于k匿名原则的两层隐私保护模式，同时降低了隐私保护的成本；将用户分组，以最大化隐私级别在每个分组中选择一个代理生成虚拟位置。文献[9]对匿名区域重新进行划分，中央匿名位置最小化了匿名服务器与LBS服务器之间的通信。文献[10]提出基于差分k匿名的位置隐私保护方法。根据人群工作者的位置信息，位置匿名器将从人群工作者接收到的每条消息转换成一条扰动信息，然后安全转发给LBS提供商。文献[11]提出一种基于地理语义的k匿名位置隐私保护方法。在WiFi APS中获取包含真实位置的矩形区域内的位置数据集。采用基于最大最小距离的多中心聚类算法，选择部分位置，它们之间的地理距离是最远的，并生成一个候选假位置集。文献[12]提出一个基于假位置和Stackelberg博弈的k匿名位置隐私保护方案，通过使用Stackelberg博弈的框架来寻找一个最优的虚拟位置集。文献[13]提出一个可信的去摇摆k匿名位置隐私保护方案，引入一种去摆动声誉评价方法（DREM），构建一个可信的隐形区域来保护请求者的位置隐私。

3.3 基于假位置的位置隐私保护

基于假位置的位置隐私保护方法是通过选取与用户真实位置有一定距离的假位置，将其与用户的真实位置一起发送给LBS服务器，LBS服务器不能推测出用户的真实位置信息，从而保护了用户位置隐私。文献[14]为了提高道路限制约束下假位置选择的有效性，采用熵来表示匿名度，引入有效距离来表示位置分布特征；还提出一种假位置选择算法，该算法最大化了用户位置和假位置组成的候选位置集的匿名熵和有效距离，保证了所选假位置的不确定性和分散性。

3.4 基于差分隐私的位置隐私保护

目前，差分隐私技术因其数学上的严格性而受到专家学者的青睐。文献[15]提出一种满足差分隐私的群体感知技术的数据发布机制，能够提供严格的位置保护。划分方法以用户密度为基础，考虑用户分布的不均匀性。文献[16]由于差分隐私的性质会用噪声干扰真实数据，因此确定有效的匿名区域尤其具有挑战性。文献[17]针对现有LBS系统中不能同时保护用户的位置隐私和查询隐私以及不考虑时空相关性和背景知识的问题，提出基于差分隐私的LBS隐私保护算法和用户查询隐私保护算法。用户位置隐私保护算法利用Voronoi图划分地图，基于改进的K-means算法和L-diversity思想选择一个假位置点，利用拉普拉斯机制保护用户位置隐私。

4 结 语

随着车联网的发展，车联网用户位置隐私保护受到研究者的广泛关注。本文对近些年来该领域基于加密、匿名、假位置和差分隐私四个方面的研究成果进行了综述，总结了已有方法和技术。然而，当前车联网采用的位置隐私保护技术在自适应、个性化以及多维协同性等方面仍存在不足，难以满足车辆用户对位置隐私保护的迫切需求。因此现有车联网隐私保护方法有待进一步研究和改进，未来可以开展更进一步的研究，比如车联网用户的隐私保护需求的自适配研究。在车联网环境中，用户在不同的位置所需要的位置隐私保护程度不同，可以结合机器学习算法根据用户不同业务场景给出相应的位置隐私保护需求，进而调整用户位置隐私保护策略，以实现车联网用户位置隐私智能化保护。