驾驶大数据化-车联网中的个人隐私问题.docxVIP

智能交通系统 驾驶大数据化-车联网中的个人隐私问题驾驶大数据化-车联网中的个人隐私问题0.前言在2013年洛杉矶车展期间举办的汽车行业和技术领导者权威盛会上，各大汽车厂商展示了他们的网络汽车计划。目前，由能够相互通信的智能汽车组成的车联网正逐渐变为现实。通过短程无线通信技术，智能车辆不仅能够在相互之间进行通信而且还可以同路旁基础设施进行交互，这有助于提高道路交通的安全性，减少交通事故死亡率和提供诸如停车助手、无线燃油支付及信号灯助手等便捷的服务。然而，在车联网中还存在着常常被忽略的问题。车联网系统存储了大量的用户隐私信息，例如用户详细的位置信息。由于车辆的分布相对分散，每辆车必须用无线的方式广播自己的位置信息以同其他的车辆进行通信，因而网络中的每个用户都可以接收到这种位置信息。系统操作人员、其他驾驶员以及网络中的任意用户都可以利用这种位置信息谋取利益、进行监视或者执法。更糟的情况是，由于政府法律法规的限制，这些信息的提供者无法采取隐私保护措施而不得不公开用户的数据。而一旦车联网系统被合法地推行和部署，那么为了保护用户一定的隐私而关闭网络中设备的可能性将变得微乎其微。不过对用户来说，车联网系统却能够提供比隐私更为重要的行驶安全保障。随着车联网技术标准的提出，有效的隐私保护措施却并未被系统地考虑进来，而且在现场试验的时候个人隐私问题经常被忽略。最糟糕的是，之所以这样做是因为忽略隐私可以为“透明驾驶”和监控社会的打造铺垫基础。而最近在欧洲和美国酝酿的标准对车联网中可能涉及的隐私问题和交通监控问题以及解决这些问题的大致研究方向并未做太多的论述。1.车联网中的隐私一项成熟的车联网技术必须首先是安全的，并实行认证、授权和审查制度。那么，这就意味着要采用与隐私保护相冲突的标识符技术。研究者们很早就认识到车联网中的隐私保护问题，在2004年，Jean-Pierre Hubaux和他的同事提出了电子许可板的使用，也就是只有经过法律的许可才能够被解析为驾驶员真实身份信息的匿名标识符。在短程无线通信车联网的众多标准中，欧洲电信标准化协会（ETSI）智能交通系统G5标准和US IEEE WAVE标准是其中两个比较突出的代表，这两项标准同样也注意到隐私保护的基本需要。一般来说，ETSI标准对隐私保护阐述了更多的细节问题。尽管如此，虽然ETSI 102731-v1.1.1提到“任何人的隐私、家庭、居室和通信都不应该被随意侵犯”，但是并未提出详细有效的具体隐私保护措施。为了应对车联网中具体的安全和隐私挑战，IEEE 1609.2-2013和ETSI 102941-v1.1.1都提出了“公钥基础设施变体”的部署，“公钥基础设施变体”是指：车辆上安装一个包含基本身份信息的证书，而这个证书可以从证书权威机构（可能是政府机构）请求一个匿名，而后这个匿名就代表用户的证书，并且该匿名只有被证书权威机构签署后才能生效，每辆车都必须持有证书才能利用无线信道签发消息并且每辆车只接收经过签署生效的匿名发来的消息。然而，即使匿名可以让驾驶员不会被立即识别出真实身份，但只使用匿名并不能解决涉及驾驶员隐私的一个核心威胁—他们会被重新识别，通过接收驾驶员在不同位置上发出的已签署的无线广播，心怀不轨者可以很轻松地追踪发出这些广播的车辆，而且无需额外的知识，这些驾驶员的身份信息就可以被解析出来[2]。因此，目前的研究认为建议让车辆拥有一个匿名池，驾驶员可以在发送每条消息时使用不同的匿名，然而，这会干扰其他车辆的安全请求，因此，匿名的更改必须遵循某种特定的匿名更改准则。然而，IEEE和ETSI标准都没有提供这样的匿名更改准则，不过ETSI 102893v1.1.1提出了“使用不会关联用户真实身份的匿名”并且 ETSI 102940v1.1.1建议要经常更改匿名“以防止匿名和车辆产生简单关联”。隐私保护专门性措施的缺乏一直是一个亟需解决的问题。在现场试验的普遍做法是偶尔性地改变匿名，通过使用不同的匿名签发连续的消息。可是一旦当攻击者发现这种更改（即两则连续的消息使用不同匿名的更改）[3]，这种方法便会无效。可以通过每次匿名更改后的随机静默[4]或者只有当匿名更改可以干扰攻击者时才更改匿名[5] 的措施来应对这种情况，然而，这些方法会干扰交通安全请求，因此这些方法不太可能被实施。除匿名标识外，ITS G5和WAVE还规定定时（1-10HZ）广播未加密的包含标识信息的提示消息。ETSI 302637-20-v1.3.0协同提示信息（CAMs）和美国机动车工程师学会的SAE J2945.1-2.2基本安全信息（BSMs）包含了车辆当前的方向、位置、速度以及加速度等信息，此外，这些告知其他车辆道路风险的信息包含本车所在区域甚至是车辆重标识的许可序列号，“这都将引发涉及隐私的问题”（ETSI 1028