CN107017985A - 一种车载自组织网络轨迹隐私保护方法及系统 - Google Patents

Abstract

本发明涉及一种车载自组织网络轨迹隐私保护方法及系统，属于车载隐私保护技术领域。本发明在每个时间段内生成独立随机噪声添加到车载自组织网络中各车辆的数据中，对数据进行加密；在每个时间段内，车载自组织网络中各车辆各自生成随机数，且在每个时间段内，各车辆随机共享一个设定值；各车辆将其加密数据和对应时间段内生成的随机数发送给聚合车辆，聚合车辆对接收到的数据进行聚合，以得到各车辆加密后的聚合结果。本发明保证了聚合车辆除了统计信息外无法获取其他的消息，确保了接收车辆只获取添加噪声后的数据，保证了目标车辆的数据隐私，实现了其余车辆节点不可知而且满足分布式差分隐私。

Description

一种车载自组织网络轨迹隐私保护方法及系统

技术领域

本发明涉及一种车载自组织网络轨迹隐私保护方法及系统，属于车载自组织网络技术领域。

背景技术

当前车载自组织网络(Vehicular Ad-Hoc Networks，简称VANETs)已引起国内外政府、学术界和产业界的广泛关注和深入研究。VANETs是一个由车载节点、路边基站和后端服务中心(器)组成的三层网络架构,包含两种新的通信模式：车-车通信(V2V)和车-路通信(V2I)。VANETs收集的数据可用于交通管理、交通事故预警、辅助安全驾驶、和车载娱乐(Infotainment)等应用。在信息广播和多跳传输过程中，车辆不仅要广播自己收集的信息，而且还必须转发其他车辆的信息，为了降低通信成本、提高通信效率，数据聚合是必需的。

在VANETs中车辆通过传感器获取速度、位置、里程和时间戳。由于VANETs受带宽限制影响，车辆通常将新的观察数据通过适当的加权平均产生新的聚合数据，车辆只发送聚合数据。尽管车辆发送的数据不包含明显的个人数据，但是攻击者能够通过对比新旧两条数据来推断目标车辆的位置速度等信息。而车辆的位置信息可能包含个人的隐私信息，比如健康问题、生活方式、政治活动等。

通过向轨迹数据中添加随机噪声的方式可以实现对车辆隐私信息的保护，如差分隐私。Dwork首次在统计数据库中提出了差分隐私的概念，通过向查询结果添加噪声使查询系统无法直接获取某个元组的信息。差分隐私保护技术被公认为比较严格和强健的保护模型。无论攻击者拥有任何背景知识。即使攻击者已经掌握了除某一条记录之外的所有记录的信息该记录的隐私也无法被披露。然而在VANETs中引入差分隐私存在以下挑战：车辆节点数目巨大、分布区域广泛且不均匀,节点间的网络拓扑变化频繁,缺少集中的数据库，因此传统的差分隐私方法不适用于VANETs。

轨迹隐私保护技术分为假轨迹法、抑制法和泛化法3类。基于假数据的轨迹隐私保护技术是指通过添加假轨迹对原始数据进行干扰,同时又要保证被干扰的轨迹数据的某些统计属性不发生严重失真。文献中提出的方法通过旋转用户的真实轨迹生成假轨迹。基于抑制法的轨迹隐私保护技术是指根据具体情况有条件的发布轨迹数据,限制发布轨迹上某些敏感位置或可能导致敏感信息泄露的轨迹片段以实现隐私保护。基于泛化法的轨迹隐私保护技术是指将轨迹上所有的采样点都泛化为对应的匿名区域，以达到隐私保护的目的。

假轨迹隐私保护方法简单、计算量小，但易造成假数据的存储量大及数据可用性降低等缺点；基于泛化法的轨迹隐私保护技术可以保证数据都是真实的，然而计算开销较大；基于抑制法的轨迹隐私保护技术限制发布某些敏感数据；实现简单，但信息丢失较大。

发明内容

本发明的目的是提供一种车载自组织网络轨迹隐私保护方法及系统，以解决目前车载自组织网络轨迹隐私保护过程中出现的数据存储量大、计算开销大以及信息丢失大的问题。

本发明为解决上述技术问题而提供一种车载自组织网络轨迹隐私保护方法，该保护方法包括以下步骤：

1)在每个时间段内，车载自组织网络中各车辆各自生成随机数，且在每个时间段内，各车辆随机共享一个设定值0，即各车辆的随机数满足下式：

其中r_0,t代表聚合车辆在时间段t产生的随机数，r_1,t到r_n,t分别为车辆1到n在时间段t生成的随机数；

2)将每个时间段内生成独立随机数添加到车载自组织网络中各对应移动车辆的数据中，对数据进行加密，加密后的数据为:

其中为车辆i在时间段t产生的随机数，x_i,t为车辆i在时间段t向聚合车辆发送的数据；

3)各车辆将其加密数据和对应时间段内生成的随机数发送给聚合车辆，聚合车辆对接收到的数据进行聚合，聚合车辆最终的到的结果为

进一步地，每辆车获取随机数其中sk_i为每辆车的密钥，H表示一个哈希映射。

进一步地，各移动车辆生成的随机数r_i满足几何分布其中Δ为各移动车辆的敏感信息，ε＞0，即|x_i-x_j|≤Δ，x_i为车辆i的数据，x_j为车辆j的数据，ε表示隐私保护程度，ε越小隐私保护程度越高。

进一步地，所述的聚合方法为sum:＝Dⁿ→O即其中每辆车拥有相同的随机方法X(x_i,r_i):＝x_i+r_imod p，x_i为车辆i的数据，r_i表示车辆i生成的随机数，p为一个控制数值以确保数据的有效性不至于偏离真实数据。

本发明还提供了一种车载自组织网络轨迹隐私保护系统，该保护系统包括随机数生成模块、随机数添加模块和聚合模块，

所述的随机数生成块用于在每个时间段内，车载自组织网络中各车辆各自生成随机数，且在每个时间段内，各车辆随机共享一个设定值0，即各车辆的随机数满足下式：

其中r_0,t代表聚合车辆在时间段t产生的随机数，r_1,t到r_n,t分别为车辆1到n在时间段t生成的随机数；

所述的随机数添加模块用于将每个时间段内生成独立随机数添加到车载自组织网络中各对应移动车辆的数据中，对数据进行加密，加密后的数据为:

其中为车辆i在时间段t产生的随机数，x_i,t为车辆i在时间段t向聚合车辆发送的数据；

所述的聚合模块用于将聚合车辆接收到的各车辆加密数据和对应时间段内生成的随机数进行聚合，聚合车辆最终的到的结果为

进一步地，每辆车获取随机数其中sk_i为每辆车的密钥，H表示一个哈希映射。

进一步地，各移动车辆生成的随机数r_i满足几何分布其中Δ为各移动车辆的敏感信息，ε＞0，即|x_i-x_j|≤Δ，x_i为车辆i的数据，x_j为车辆j的数据，ε表示隐私保护程度，ε越小隐私保护程度越高。

进一步地，所述聚合模块采用的聚合方法为sum:＝Dⁿ→O即其中每辆车拥有相同的随机方法X(x_i,r_i):＝x_i+r_imod p，x_i为车辆i的数据，r_i表示车辆i生成的随机数，p为一个控制数值以确保数据的有效性不至于偏离真实数据。

本发明的有益效果是:本发明在每个时间段内生成独立随机噪声添加到车载自组织网络中各车辆的数据中，对数据进行加密；在每个时间段内，车载自组织网络中各车辆各自生成随机数，且在每个时间段内，各车辆随机共享一个特定值；各车辆将其加密数据和对应时间段内生成的随机数发送给聚合车辆，聚合车辆对接收到的数据进行聚合，以得到各车辆加密后的聚合结果。本发明保证了聚合车辆除了统计信息外无法获取其他的消息，确保了接收车辆只获取添加噪声后的数据，保证了目标车辆的数据隐私，实现了其余车辆节点不可知而且满足分布式差分隐私。

附图说明

图1是VANETs网络模型结构示意图；

图2-a是实验验证中数据集1对应的隐私对比结果示意图；

图2-b是实验验证中数据集2对应的隐私对比结果示意图。

具体实施方式

下面结合附图对本发明的具体实施方式做进一步的说明。

本发明车载自组织网络轨迹隐私保护方法的实施例

差分隐私最早是用在统计数据库中，它的目标是保护个人数据，同时发布汇总信息。在现有的隐私保护机制中，差分隐私保护技术被公认为比较严格和强健的保护模型，该保护方法可以确保在某一数据集中插入或者删除一条记录的操作不会影响任何计算的输出结果。另外，该保护模型不关心攻击者所具有的背景知识，即使攻击者已经掌握除某条记录之外的所有记录的信息，该记录的隐私也无法被披露。该保护模型的基本思想是对原始数据的转换或者是向统计结果中添加噪音从而达到隐私保护的效果。但是在VANET中，如图1所示，个体的观察数据在车辆和RSU中产生、传输，没有中央数据库，传统的差分隐私并不适于VANET，因此，本发明采用分布式差分隐私，在移动车辆在发布聚合数据前加入适当的噪声，以确保差分隐私。

本发明假设一个全局攻击者，可以窃听所有的车辆，攻击者的先验知识被表示为R＝＜V,A＞，其中V是所有车辆的集合，A是所有聚合信息的集合。攻击者的目标是找出目标车辆的敏感信息即位置和速度，为了实现这一目的，攻击者通过连续的聚合信息的差来获取敏感信息。攻击者获取目标车辆的敏感信息的能力可以由其先验分布Pr[o_i]与后验分布Pr[o_i|R]来衡量。

Pr[o_i|R]-Pr[o_i]＝Pr[o_i|A]-Pr[o_i]

＝Pr[o_i|A_i,A_i-1]-Pr[o_i]

如果Pr[o_i|R]-Pr[o_i]足够小，那么攻击者除了先验知识以外无法获取其他隐私信息，Pr[o_i|A]、Pr[o_i|A_i,A_i-1]表示隐私被披露的风险。

假设一个不可信的车辆节点可以获取任何辅助信息，例如:该车辆可以联合多辆车进行组合攻击，车辆可能会泄露它们的数据和添加的噪声，这些都是辅助信息的一种形式。攻击车辆可以通过其他手段(如互联网，或个人知识了解特定的车辆信息)。本发明的目标是确保目标车辆的数据隐私，实现其余车辆节点不可知而且满足分布式差分隐私。为了实现这一目标，本发明采用了一个类似差分隐私的模型，该模型中车辆之间都是不可信的。该方法的具体实现过程如下。

1.在每个时间段内，车载自组织网络中各移动车辆各自生成随机数，且在每个时间段内，各移动车辆与聚合车辆随机共享数字。

各移动车辆的随机数满足下式：

其中r_0,t代表聚合车辆在时间段t产生的随机数，r_1,t到r_n,t分别为车辆1到n在时间段t生成的随机数。

车辆之间如何在没有相互通信的情况下共享0呢。本发明的机制是以信任建立为基础的，在该阶段每辆车获取属于自己的密钥sk_i，而且用H表示一个哈希方法，映射到一个数组集合。每辆车获取随机值因为sk_i的求和为0，因此本发明机制是建立在以上基础上的，在信任建立阶段后不需要其他的交互。

2.在每个时间段内生成独立随机数添加到车载自组织网络中各移动车辆的数据中，对数据进行加密。

移动车辆在发布聚合数据前加入适当的随机数，以确保差分隐私，车辆和RSU对接收到的数据进行聚合接着通过方法f:O×A对数据添加噪声。每个节点生成独立的随机噪声为r_i∈Ω，并通过随机函数向数据进行添加噪声，X:D×Ω→D产生用于发布的数据其中x_i∈Dⁿ，r∈Dⁿ，表示发布的数据，K表示移动车辆的子集，r_k＝{r_i|i∈K}表示随机噪声，表示K的补集，例如：

本实施例加密后的数据为:

其中r_i,t为车辆i在时间段t生成的独立随机数，x_i,t为车辆i在时间段t向聚合车辆发送的数据。

加密操作保证了聚合车辆除了统计信息外无法获取其他的消息，因为聚合者无法获取单条数据。然而单个数据仍存在泄漏的风险聚合者可以通过连续的聚合数据推断出个人的信息。为了保证差分隐私一个标准的程序是在发布统计数据之前向数据添加一个适当的噪声，在VANETs中车辆之间是不可信的，因此不能简单的把真正的聚合信息发送给接收车辆，必须确保接收车辆只获取添加噪声后的数据，本发明是在数据加密之前向数据添加噪声，确保每辆车的数据满足自身的差分隐私。

令x＝(x₁,…,x_n)∈Dⁿ,r＝(r₁,…,r_n)∈Ωⁿ分别代表车辆要发布的数据和随机数。D＝O＝Z_p其中O代表聚合数据，在此我们定义聚合方法为sum:＝Dⁿ→O即其中每辆车拥有相同的随机方法X(x_i,r_i):＝x_i+r_imodp，x_i为车辆i的数据，r_i表示车辆i生成的随机数，p为一个控制数值以确保数据的有效性不至于偏离真实数据。

假设原始数据来自于集合{0,1,...,Δ}，那么对于任意一个数据的变化对结果的影响至多为Δ，换句话说求和的敏感度为Δ，向发布数据中添加几何分布噪声那么发布数据满足差分隐私要求。对于本实施例而言，各移动车辆添加的噪声r_i满足几何分布其中Δ为各移动车辆的敏感信息，ε＞0，即|x_i-x_j|≤Δ，x_i为车辆i的数据，x_j为车辆j的数据，ε表示隐私保护程度，ε越小隐私保护程度越高。

3.各移动车辆将其加密数据和对应时间段内生成的随机数发送给聚合车辆，聚合车辆对接收到的数据进行聚合，聚合车辆最终的到的结果为

在时间段t∈N内聚合车辆接收到c_1,t,...c_n,t,聚合车辆接收到密文后通过简单的求和计算：

因为所以聚合者最终的到的结果为

本发明车载自组织网络轨迹隐私保护系统的实施例

本实施例中的车载自组织网络轨迹隐私保护系统包括随机噪声生成模块、随机数添加模块和聚合模块，

随机数生成块用于在每个时间段内，车载自组织网络中各车辆各自生成随机数，且在每个时间段内，各车辆随机共享一个设定值0，即

其中r_0,t代表聚合车辆在时间段t产生的随机数，r_1,t到r_n,t分别为车辆1到n在时间段t生成的随机数；

随机数添加模块用于将每个时间段内生成独立随机数添加到车载自组织网络中各对应移动车辆的数据中，对数据进行加密，加密后的数据为:

其中为车辆i在时间段t产生的随机数，x_i,t为车辆i在时间段t向聚合车辆发送的数据；

聚合模块用于将聚合车辆接收到的各车辆加密数据和对应时间段内生成的随机数进行聚合，聚合车辆最终的到的结果为

各模块的具体实现手段已在方法的实施例中进行了详细说明，这里不再赘述。

实验验证

下面采用两个数据集对本发明的可用性进行分析验证。

实验的硬件环境为：Intel(R)Xeon(R)CPU X5450@3.00GHz 3.00GHz,3.00GB内存，操作系统为Microsoft Windows 7，算法均在MatlabR2014a下实现。

数据集1：使用Brinkhoff轨迹生成器生成了1 000条轨迹，共包含德国奥尔登堡市的51906个位置。

数据集2：使用一个收集自北京市的出租车移动轨迹作为本实验的真实数据集，经过过滤操作，得到3473条轨迹信息，其中每条轨迹平均包含64.3个位置。使用该数据集的优势在于它包含更大量的轨迹信息，而且这些轨迹信息都是真实的。

本实验将本发明的隐私保护方法与传统的K-匿名隐私保护机制进行比较，结果如图2-a(数据集1)和图2-b(数据集2)所示。其中X轴是参与者的数量，Y轴显示的是平均和标准偏差的误差(绝对值)。传统的K-匿名隐私保护机制可以保证单个数据的隐私，而不保证聚合数据的隐私安全。本实验通过改变参与车辆的数量，来比较本发明与传统K-匿名隐私保护机制(隐私参数分别为0.1和0.5)的效率。仿真结果表明，本发明的隐私保护方法的误差不随参与车辆数量的变化而变化，独立于车辆的数量，且误差接近于0。

因此，本发明保证了聚合车辆除了统计信息外无法获取其他的消息，确保了接收车辆只获取添加噪声后的数据，保证了目标车辆的数据隐私，即使攻击者拥有任何的背景知识仍能保证每辆车的数据在遭受攻击时保护用户隐私，保证发布的数据满足差分隐私要求。

Claims (8)

1.一种车载自组织网络轨迹隐私保护方法，其特征在于，该保护方法包括以下步骤：

1)在每个时间段内，车载自组织网络中各车辆各自生成随机数，且在每个时间段内，各车辆随机共享一个设定值0，即各车辆的随机数满足下式：

其中r_0,t代表聚合车辆在时间段t产生的随机数，r_1,t到r_n,t分别为车辆1到n在时间段t生成的随机数；

2)将每个时间段内生成独立随机数添加到车载自组织网络中各对应移动车辆的数据中，对数据进行加密，加密后的数据为:

其中为车辆i在时间段t产生的随机数，x_i,t为车辆i在时间段t向聚合车辆发送的数据；

3)各车辆将其加密数据和对应时间段内生成的随机数发送给聚合车辆，聚合车辆对接收到的数据进行聚合，聚合车辆最终的到的结果为

2.根据权利要求1所述的车载自组织网络轨迹隐私保护方法，其特征在于，每辆车获取随机数其中sk_i为每辆车的密钥，H表示一个哈希映射。

3.根据权利要求1或2所述的车载自组织网络轨迹隐私保护方法，其特征在于，各移动车辆生成的随机数r_i满足几何分布其中Δ为各移动车辆的敏感信息，ε＞0，即|x_i-x_j|≤Δ，x_i为车辆i的数据，x_j为车辆j的数据，ε表示隐私保护程度，ε越小隐私保护程度越高。

4.根据权利要求1所述的车载自组织网络轨迹隐私保护方法，其特征在于，所述的聚合方法为sum:＝Dⁿ→O即其中每辆车拥有相同的随机方法X(x_i,r_i):＝x_i+r_imodp，x_i为车辆i的数据，r_i表示车辆i生成的随机数，p为一个控制数值以确保数据的有效性不至于偏离真实数据。

5.一种车载自组织网络轨迹隐私保护系统，其特征在于，该保护系统包括随机数生成模块、随机数添加模块和聚合模块，

所述的随机数生成块用于在每个时间段内，车载自组织网络中各车辆各自生成随机数，且在每个时间段内，各车辆随机共享一个设定值0，即各车辆的随机数满足下式：

其中r_0,t代表聚合车辆在时间段t产生的随机数，r_1,t到r_n,t分别为车辆1到n在时间段t生成的随机数；

所述的随机数添加模块用于将每个时间段内生成独立随机数添加到车载自组织网络中各对应移动车辆的数据中，对数据进行加密，加密后的数据为:

其中为车辆i在时间段t产生的随机数，x_i,t为车辆i在时间段t向聚合车辆发送的数据；

所述的聚合模块用于将聚合车辆接收到的各车辆加密数据和对应时间段内生成的随机数进行聚合，聚合车辆最终的到的结果为

6.根据权利要求5所述的车载自组织网络轨迹隐私保护系统，其特征在于，每辆车获取随机数其中sk_i为每辆车的密钥，H表示一个哈希映射。

7.根据权利要求5或6所述的车载自组织网络轨迹隐私保护系统，其特征在于，各移动车辆生成的随机数r_i满足几何分布其中Δ为各移动车辆的敏感信息，ε＞0，即|x_i-x_j|≤Δ，x_i为车辆i的数据，x_j为车辆j的数据，ε表示隐私保护程度，ε越小隐私保护程度越高。

8.根据权利要求5所述的车载自组织网络轨迹隐私保护系统，其特征在于，所述聚合模块采用的聚合方法为sum:＝Dⁿ→O即其中每辆车拥有相同的随机方法X(x_i,r_i):＝x_i+r_imodp，x_i为车辆i的数据，r_i表示车辆i生成的随机数，p为一个控制数值以确保数据的有效性不至于偏离真实数据。