驾驶大数据化-车联网中的个人隐私问题

1、智能交通系统驾驶大数据化-车联网中的个人隐私问题驾驶大数据化-车联网中的个人隐私问题0前言在2013年洛杉矶车展期间举办的汽车行业和技术领导者权威盛会上，各大 汽车厂商展示了他们的网络汽车计划。目前，由能够相互通信的智能汽车组成的 车联网正逐渐变为现实。通过短程无线通信技术，智能车辆不仅能够在和互之间 进行通信而且述可以同路旁基础设施进行交互，这有助于提高道路交通的安全性, 减少交通事故死亡率和提供诸如停车助手、无线燃油支付及信号灯助手等便捷的 服务。然而，在车联网中还存在着常常被忽略的问题。车联网系统存储了大量的用 户隐私信息，例如用户详细的位置信息。由于车辆的分布相对分散，每辆车必须 用无

2、线的方式广播自己的位置信息以同其他的车辆进行通信，因而网络中的每个 用户都可以接收到这种位置信息。系统操作人员、其他驾驶员以及网络中的任意 用户都可以利用这种位置信息谋取利益、进行监视或者执法。更糟的情况是，由 于政府法律法规的限制，这些信息的提供者无法采取隐私保护措施而不得不公开 用户的数据。而一旦车联网系统被合法地推行和部署，那么为了保护用户一定的 隐私而关闭网络中设备的可能性将变得微乎其微。不过对用户来说，车联网系统 却能够提供比隐私更为重要的行驶安全保障。随着车联网技术标准的提出，有效的隐私保护措施却并未被系统地考虑进來, 而且在现场试验的时候个人隐私问题经常被忽略。最糟糕的是，z所以

3、这样做是 因为忽略隐私可以为“透明驾驶"和监控社会的打造铺垫基础。而最近在欧洲和美 国酝酿的标准对车联网中可能涉及的隐私问题和交通监控问题以及解决这些问 题的大致研究方向并未做太多的论述。1.车联网中的隐私一项成熟的车联网技术必须首先是安全的，并实行认证、授权和审查制度。 那么，这就意味着要采用与隐私保护相冲突的标识符技术。研究者们很早就认识 到车联网中的隐私保护问题，在2004年，jean-pierre hubaux和他的同事提出了 电子许可板的使用，也就是只有经过法律的许可才能够被解析为驾驶员真实身份 信息的匿名标识符。在短程无线通信车联网的众多标准屮，欧洲电信标准化协会（ets

4、i）智能 交通系统g5标准和us ieee wave标准是其中两个比较突出的代表，这两项标 准同样也注意到隐私保护的基本需要。一般来说，etsi标准对隐私保护阐述了 更多的细节问题。尽管如此，虽然etsi 102731-vl.l.l提到“任何人的隐私、家 庭、居室和通信都不应该被随意侵犯j但是并未提出详细有效的具体隐私保护 措施。为了应对车联网中具体的安全和隐私挑战，ieee 1609.2-2013和etsi 102941-vl.l.l都提出了 “公钥基础设施变体”的部署，“公钥基础设施变体”是 指：车辆上安装一个包含基本身份信息的证书，而这个证书可以从证书权威机构 （可能是政府机构）请求一个

5、匿名，而后这个匿名就代表用户的证书，并且该匿 名只有被证书权威机构签署后才能生效，每辆车都必须持有证书才能利用无线信 道签发消息并口每辆车只接收经过签署生效的匿名发来的消息。然而，即使匿名可以让驾驶员不会被立即识别出真实身份，但只使用匿名并 不能解决涉及驾驶员隐私的一个核心威胁一他们会被重新识别，通过接收驾驶员 在不同位置上发出的已签署的无线广播，心怀不轨者可以很轻松地追踪发出这些 广播的车辆，而且无需额外的知识，这些驾驶员的身份信息就可以被解析岀来2。 因此，目前的研究认为建议让车辆拥有一个匿名池，驾驶员可以在发送每条消息 时使用不同的匿名，然而，这会干扰其他车辆的安全请求，因此，匿名的更改

6、必 须遵循某种特定的匿名更改准则。然而，ieee和etsi标准都没有提供这样的匿 名更改准则，不过etsi 102893vl.l.l提出了“使用不会关联用户真实身份的匿名” 并且etsi 102940vl.l.l建议要经常更改匿名“以防止匿名和车辆产生简单关联”。隐私保护专门性措施的缺乏一直是一个亟需解决的问题。在现场试验的普遍 做法是偶尔性地改变匿名，通过使用不同的匿名签发连续的消息。可是一旦当攻 击者发现这种更改（即两则连续的消息使用不同匿名的更改），这种方法便会 无效。可以通过每次匿名更改后的随机静默或者只有当匿名更改可以干扰攻击 者时才更改匿名的措施来应对这种情况，然而，这些方法会干扰

7、交通安全请 求，因此这些方法不太可能被实施。除匿名标识外，itsg5和wave还规定定时(1-10hz)广播未加密的包含 标识信息的提示消息。etsi 302637-20-v1.3.0协同提示信息(cams)和美国机 动车工程师学会的sae j2945.1-2.2基本安全信息(bsms)包含了车辆当前的方 向、位置、速度以及加速度等信息，此外，这些告知其他车辆道路风险的信息包 含木车所在区域甚至是车辆重标识的许可序列号，“这都将引发涉及隐私的问题" (etsi 102893-v1.1.1)。虽然这些标准都标记了某些信息是自选的,但是车载单 元都会自动选择这些信息，因此，我们需要确定在

8、什么时间发送何种额外的数据 来确认适当的安全请求，同时还不会泄漏车辆的身份特征。etsi 102893-vl.l.l声明驾驶员可以使用匿名或者发送加密信息来避免跟踪, 然而，这样的声明既过于简单化也不安全。首先，这无法确定什么时候匿名的更 改会被跟踪，也无法确定使用简单匿名的行驶何时会揭示家庭或工作单位的地址。 其次，使用加密信息无法从根本上解决被跟踪的问题，而且由于定时提示信息必 须被所有人接收，其发送必然不能经过加密。此外，注销车辆的匿名的需求也很频繁，比如，车辆发送错误信息或者被卖 掉时。公布车辆的众多匿名会追踪到车辆的位置信息，一个可能的解决办法是只 公开一辆车当前或以后的匿名。尽管i

9、eee 1609.2-2013标准承认隐私保护的需求, 但至今未解决这个问题。3.自动监控在its中，匿名的使用是隐私措施的关键，但是即使车辆之间不经过互联， 每个匿名依然会被匿名注册机构解析出使用者的基木身份，因此，彻底的隐私保 护基本不可能。但允许车俩错误信息的识别、被盗车辆的追回和肇事逃逸车辆的 追查将会确保问责制的落实，而且这也会改变交通监管的方式。当行驶中的车辆 加速时，车辆会连续发送自己当前的速度数据。这些信息可以被路侧收发装置或 其他行进中的车辆接收，因而，诸如闯红灯、违规穿行和错打转向灯等交通违法 行为会很容易被侦测到。尽管匿名更换和隐藏签名的方式避免了匿名的解析，这些措施仍然

10、不会被采 恥 因为这些措施不支持“适当情形下的执法请求"(ieee 1609.2-2013),因此， 合法的匿名解析许可便尤为重要。虽然etsi 102940vl.1建议将基本身份信息 从匿名签署屮分离出來，但当一个第三方组织可以随意的访问时，这并不会提供 额外的隐私保护。我们也意识到这样的一个现状似乎确实有点差强人意，然而，最近提出的 its还是允许政府或系统操作者按照他们的意愿来部署。一旦车载单元被大范围 部署或合法化的强制推行，安装车载单元的车辆的数量将会增多，因为这种交通 监管更能引起利益相关者的兴趣。4.结论车联网将会改变以往的交通，并且有助于开发智能交通系统。这项技术的好

11、 处是无可争辩的，同时，这项技术也引起了很多争议。目前提出的etsi its g5和ieee wave都严重侵害了驾驶员的隐私。更糟 的情形是，这些设想的系统会被部署用来建设一个完全的交通监控系统。不过还 好，这些标准目前都还在开发中，因此，对于学术机构和各大企业来说依然有时 间在这些标准部署前来综合考虑隐私保护措施。为实现这样的目标，必须考虑三件事。首先，我们需要完整地理解隐私保护 是如何影响其他诸如安全性和舒适性的请求，以便于我们可以确定定时安全信息 的数量和精确性的界限，为此，我们需要利用已经应用在性能评估上的仿真模拟 方法来测试隐私保护的效益。最后，要说服政策制定者们采纳某些隐私保护措

12、施, 我们需要釆取容易理解且有意义的隐私指标，而不是最近在车联网研究中使用的 那些。现在是重点关注隐私问题的时候了，也是采取技术性措施保护用户位置信息 的时候了。忽略隐私终归是不行的，那么，全世界的现场测试都应该将隐私保护 作为一个系统的部分纳入到标准制定中。参考文献1 j.-p. hubaux, s. capkun, and j. luo, "the security and privacy ofsmart vehicles/9 ieee security & privacy, vol. 2, no. 3, 2004, pp.49-55.2 p. golle and k.

13、partridge, “on the anonymity of home/work location pairs/9 pervasive computing, lncs 5538, springer, 2009, pp. 390-397.3 b. wiedersheim et al., "privacy in inter-vehicular networks: why simple pseudonym change is not enough,，' proc. 7th intt conf. wireless demand network systems and service

14、s, ieee cs, 2010, pp. 176-183.4 l. huang et al., "enhancing wireless location privacy using silent period,proc. ieee wireless communications and networking conf. vol. 2, ieee, 2005, pp. 1187-1192.5 m. gerlach and f. guttler, "privacy in vanets using changing pseudonymsideal and real,' proc. 65th vehicular technology conf. ie