IEEE论文：车联网中的隐私与信任

本文编译自《车联网中的隐私与信任》（Privacy and Trust in the Internet of Vehicles），原文载于IEEE：Transactions on Intelligent Transportation Systems,作者Efstathios Zavvos, Enrico H. Gerding, Vahid Yazdanpanah, Carsten Maple, Sebastian Stein, M.C. Schraefel.为了阅读的流畅性，本文对正文及脚注部分略有删减。

1. 简介

车联网（Internet of Vehicles, "IoV"）是一个新兴领域，通常被视为物联网（IoT）的延伸。后者是一个将智能设备相互连接起来的全球网络，这些设备具有嵌入式硬件和软件，它们能够感知环境和交换信息，并可能根据这些信息采取行动。当这些设备包括车辆时，就构成了车联网，并在智能交通、自动物流和智慧城市中得到应用。与传统的智能交通系统（ITSs）相比，车联网更加注重实体间的信息交互。在车联网中，通过各种无线通信技术，车辆能够广泛地利用车对车（V2V）、车对路（V2R）、车对人（V2H）、车对基础设施（V2I）和车对传感器（V2S）连接进行通信。除此之外，随着服务的发展，通过车联网的人对人（H2H）的交互作用以及人的组成部分，变得越来越重要。

车联网主要与车辆自组织网络（Vehicular Ad Hoc Networks, "VANETs"）和路由协议有关。简而言之，VANET通过将每一辆参与的车辆变成一个帮助转发消息的路由器来实现点对点（P2P）通信。VANET中的节点是自我组织的，VANET中的节点之间不存在协作，这可能使它难以整合先进的物联网服务所需的许多计算模式。人们为车联网提出了各种架构。最近的研究既考虑了云，也考虑了去中心化的雾/边缘模式（雾计算可以理解为去中心化的云计算）。边缘计算将智能、处理和通信从云推向连接到雾节点的边缘设备。此外，有学者还考虑了车联网中的社会关系（social relationships in the IoV, "SIoV"） 。

有学者将物联网的架构分为感知层、网络层和应用层。但对于车联网而言，有学者认为TCP/IP协议移动性不够。因此，最近的车联网原型（prototype）在TCP/IP网络的基础上增加了几个层。基于以内容为中心的网络（Content-Centric Networking）概念，节点通过兴趣标签而不是IP来表达兴趣和交流数据。与使用TCP/IP协议相比，这样可以提高性能。

网络层建立在感知层之上，容纳了不同的通信模式（V2V、V2I等）。在车辆内部，一个车载单元（On-Board Unit）与车联网中的其他实体进行信息通信，一个应用单元（Application Unit）使用车载单元提供服务并发布命令和信息。在车外，路侧单元（RoadSide Units）沿着道路固定，以保持覆盖和连接所有车辆。

应用层建立在网络层之上，是信息存储/分析和决策的工具和基础设施的集合。利用丰富的感官信息和网络能力，应用层已经为车联网提出了各种针对终端用户的服务。然而，人们普遍认为，车联网的目的是解决主要的社会需求：（1）改善车辆和乘客的安全，以及（2）改善交通的便利性和成本。

本文全面阐述了车联网中终端用户服务层面的隐私问题，可将这些问题分为四类：个人信息隐私、多方隐私、信任和同意。本文的贡献主要有：（1）对车联网服务涉及的隐私敏感信息进行了分类；（2）提出了有关车联网隐私和信任研究的主要挑战并讨论了潜在的解决方案。

2. 对车联网隐私和信任的担忧

车联网应用服务的实现需要各种类型的信息，包括可能的敏感信息。本文主要关注终端用户服务中的隐私问题。

由于车联网规模庞大，且许多服务需要在短时间内运行，车联网中存在着广泛的隐私问题。本文确定了四个主要的隐私问题（见表二）；个人信息隐私、多方隐私、信任和同意。这样的分类有助于正确地讨论车联网中的隐私问题。这些问题如果不加以解决，就会严重损害车联网的信誉。

2.1 车联网的隐私

车联网终端用户服务的供应商需要获得和处理大量的数据。个人信息保护已经日益受到重视同时，并成为数据保护法律的要求。用户可能需要向服务提供商或其他终端用户透露个人信息。车联网服务可能会以更连续的方式收集更精细的数据。系统化、大规模的信息收集可能使利用个人信息变得更加容易和有利可图，攻击者可能会发现车联网对发动针对个人的攻击特别有吸引力。

参与方的数量和多样性使得他们的利益难以协调。更多的安全通常意味着更少的隐私，因此驾驶者可能不愿意为了一些可感知的安全而放弃他们的隐私，同时不得不担心拥有隐私时他们的安全状况。理想情况下，服务应该使用最少的必要信息来有效地执行任务和/或提供服务，即数据保护立法中所述的“必要性”。需要新的方法来实现车联网中以数据为中心的隐私。

车联网中的隐私还有一个普遍存在的问题即多方隐私。多方隐私是指不属于服务请求方的个人的隐私，甚至可能根本不是车联网用户。非用户的个人信息也有可能通过用户和/或服务提供者之间的互动而被透露或推断出来，而这些非用户没有机会对他们信息的提供作出同意。因此，我们将“多方隐私冲突”定义为共享车联网参与者的数据，其中包括与其他用户或非用户有关的信息。

除了隐私和同意之外，多方隐私也渗透到信任中。即使分享个人信息没有直接的影响，但车联网可能监测或访问人们活动的印象会使车联网变得不受欢迎，而这种印象可以通过实际的多方隐私冲突得到加强。我们认识到这是物联网中最严重的隐私问题之一，因为它可能导致终端用户和更广泛的社会认为车联网是不可信任的。

2.2 对车联网的信任

信任是车联网中的一个重要问题。由于车联网的巨大规模和许多服务需要的敏感信息，建立可信赖的车联网系统可能非常复杂。信任是多方面的，可能包括用户之间的信任、用户和服务提供商之间的信任、自动传播信息时网络节点之间的信任以及物联网概念本身的可信度等。

用户可能会避免使用全部的服务，而专注于来自值得信赖的供应商的服务或其他值得信赖的各方使用的服务。此外，如果人们预见到他们的个人信息可能被利用的风险，他们可能完全不信任车联网。这可能会消除用户为车联网的有效运行而提供所需信息的任何动机。同时，由于物联网是去中心化的，评估其可信度非常具有挑战性。因此，（1）尽量减少服务模式的模糊性，（2）使信息使用的意图明确并对供应商具有法律约束力，以及（3）采用基于隐私设计（privacy-by design）概念可以帮助保护用户的隐私，促进在车联网中建立信任。

除了出于特定目的而自愿收集的数据外，车联网中的数据往往可以在不需要的时候被收集，并有可能在未经用户同意的情况下被存储和重新使用。因此，一个重要的相关问题是同意分享信息。数据保护立法对软件运营商和服务提供商规定一个关键的义务是用户同意。然而，车联网中复杂的颗粒度加上服务瞬息万变的特点，使做出知情同意决定的问题变得模糊不清。如今，社交网络和移动应用程序不断完善隐私控制功能。然而，在某些情况下，隐私设置仍然缺乏对权限进行微调的能力。消费者往往缺乏足够的信息来做出对隐私具有敏感性的决定，即使有足够的信息，他们也可能会以长期的隐私来换取短期的利益。用户通过接受不透明和不灵活的隐私政策来同意个人数据共享，而这种同意往往并非真正的同意。

3.  车联网服务中的个人信息

本文确定了车联网服务的七个主要类别：事件驱动的服务（event-driven services）、停车位识别、移动人群感知、社会网络、车辆排队、智能交叉口，以及被提议作为监测应用的服务。由相关文献数据我们可以得知车联网服务中的信息使用概况如下：（1）身份信息大多数情况下需要用户自愿提供或非自愿获得；（2）定位系统信息通常需要用户自愿提供；（3）而路径信息则自愿和非自愿提供比例不相上下；（4）多媒体信息则通常由用户自愿提供等。如表三所示，车联网中的服务通常需要某种形式的独特识别和GPS信息。

3.1 在服务中记录信息

物联网服务中的信息可能包括各种类型。本文将信息分为七类。为了了解哪些地方可能会出现隐私冲突，本文根据常见的用途将信息分组，些类别结合起来可能会对用户造成危险，可在表三中看到。

在相关调查中，对于每项服务，在表三的每个信息类别中记录了两个项目。第一个是用户是否需要自愿提供信息。第二个问题是，信息是否有可能以任何方式被观察、推断或获得，而主体可能没有意识到信息被生产/记录。这种为非自愿信息。而由所调查出版物数据我们可以得出如下结论：身份信息大多数情况下需要用户自愿提供或非自愿获得；定位系统信息通常需要用户自愿提供；而路径信息则自愿和非自愿提供比例不相上下；多媒体信息则通常由用户自愿提供等。这些数据可能涉及车辆驾驶员或乘客，或者甚至可能是不知道车联网的第三方。

3.2 事件驱动的服务

在救护车通过一个十字路口之前，交通灯可以自动切换为红色。其逻辑是，逻辑是救护车可以向其行驶路线附近的雾节点（fog nodes）广播事件信息。然后，像摄像机这样的雾节点接收事件，并可以生成一个额外的事件，代表救护车间隔观察。最后，十字路口附近的摄像头可以通过图像处理识别救护车，事件处理代理可以将灯切换为红色。事件驱动的服务不仅在个人信息的私密性方面，而且在服务的可靠性方面都是有问题的。有学者认识到车辆产生的事件可能是不确定的，这将影响服务质量。反过来，确保一定水平的质量需要大量的信息。

3.3 停车位识别

以实时停车空间监控和引导系统为例，其中用户发送停车请求以及GPS信息。然后，该服务将拍摄停车位的任务分配给附近的车辆。图像被贴上位置标签，该服务分析并存储它们。找到空位后，司机会被引导到空位。有争议的是，存储的图像可能包含关于停放的车辆及其标识的信息，并且可能另外包括关于行人的信息，这可能违反多方隐私和个人信息的隐私。

其他方法试图最小化个人信息的使用。然而，我们注意到这种方法可能会影响停车位识别的质量。例如，通过使用超声波测距仪而不是成像来识别空的停车位。但携带传感器的车辆仍会将位置数据传送给服务器。

3.4 移动人群感知

车联网中的移动性激发了一些涉及某种形式的参与式移动人群感知(MCS)服务会实施激励机制来换取诸如移动ID、速度、位置、方向之类的数据，比如用户可以上传所需目的地，以获取交通信息。通常从中可以推断出交通状况。移动人群感知服务仍然面临用户提供信息的动机不明确这个共同的问题。即使在用户决定要使用这种服务的情况下，系统收集的个人信息的隐私仍是一个重要问题。

3.5 社交网络

基于车联网的社交网络也存在很大的隐私和信任风险。比如，合作车辆路径（cooperative vehicle routing）可以通过驾驶员合作减少个人和总的旅行时间。再如，车辆社交网络客户端应用程序可以根据驾驶员的位置登录沿途所需的群组，例如政治讨论组。此类服务需要多个私人数据才能运行，从而带来各种与隐私相关的风险。

3.6 车辆排队

一个车队由一辆领头车和跟随领头车的其他车辆组成。假设至少领头车辆必须由驾驶员驾驶，而跟随车辆可以自主移动。车辆也可以动态地加入或离开车队。排队有望提高安全性，降低出行成本，增加道路通行能力。为了适应排队，使用计算机视觉来检测车道和车辆的横向位置，并结合雷达和激光雷达进行纵向观察。当仅使用本地传感器时，由于从引导车辆到后面的缓慢信息传播，可能发生纵向振荡（longitudinal oscillations）。为了减弱交通冲击波（traffic shock-waves），来自所有车辆的速度、刹车信号、车队中的位置、障碍物位置以及每辆车的位置信息在车队之间共享是至关重要的。

然而，在隐私方面，这种信息共享存在两个主要问题。其一，信息共享可以被利用。如果有人远程查询其邻居的传感器，一个车队中的任何一辆车都可以被定位。其二，独特地识别车辆的能力是会对用户的隐私产生影响。例如，车队中的车辆可以推断出彼此的起点、目的地和路线，并直观地监控乘客的活动。

3.7 对车联网服务中个人的潜在监控

除了上述服务之外，车联网中还可能存在对个人的潜在监控。例如，自动呼叫家人或朋友的紧急服务可能会侵犯司机和乘客的隐私，这些信息其中包括与车辆所处情况相关的信息，包括乘客数量、方向、位置和紧急情况的原因。再如，如果保险公司提供一种对驾驶行为、持续时间和违反交通规则等信息进行统计分析，以获得个性化的保险报价的车联网服务，将可能会损害保险公司的可信度，并使司机和乘客可能会觉得他们正在被监控。还有人提出，增强的智能可以帮助识别行人目标，分析诸如身高和年龄等信息，以预测目标的危险行为。这些概念虽然提出的初衷是好的，但可能会引发几起多方隐私冲突，也可能会引起种族偏见和歧视等伦理问题。

3.8 智能路口

智能互联通过使用适当的协调技术和算法来管理车流，而不是通过交通灯和信号。预计这将带来更好的空间利用，以及延误和事故最小化。尽管智能交叉口具有预期的优势，但仍存在挑战。智能路口需要严格的信息交流，在某些情况下，还需要用户信息来帮助协商优先级。如果这种数据被存储或利用，则可以推断出所有车辆的路线。目前还不清楚智能交叉口是否以及在何种情况下能够提供显著的好处。因此，关键问题是隐私的交换是否值得。

4. 挑战和未来方向

有趣的是，尽管用户和非用户的隐私以及对车辆网的信任显然很重要，但围绕联网和自动驾驶汽车的消费者调查并没有强调隐私可能受到影响的具体方式。例如，Autodrive和剑桥大学在英国进行的一项研究显示，普通人群对他们是否会使用无人驾驶车辆意见不一。这些结果是在未能向参与者解释所涉及的信息共享的含义或隐私关注概念的情况下获得的。此外，服务的快速性和短暂性使得很难设计出可用的解决方案来保护隐私和增强信任而不损害功能。预计这将成为车联网服务需要克服的一个重大障碍。

为了深入了解车联网中的隐私和信任问题，并讨论未来研究方向的关注领域，这项工作确定了六个主要挑战，总结在表四中。

4.1 用户隐私和隐私设计

用户隐私保护可能会对车联网相关技术的采用以及用户自身的福利产生重大影响。然而，在保护用户隐私的同时，增强智能并不一定意味着车联网中的每个应用程序都必须被过度设计。表五总结了车联网隐私设计的一些启发性工作。

虽然有人建议根据隐私标签划分内容，私有内容只能由车主通过将其标记为受保护来共享，但这种方法的关键弱点是它依赖于接收者尊重隐私标签。区块链指的是跨计算机的分散和分布式数字交易记录，应用于隐私保护和密码学。将区块链集成到车联网系统架构中被发现对保护用户隐私和遵守数据保护法律具有显著的积极影响。隐私设计可进一步应用于每个单独的服务。有学者发现用道路代替用户位置与网格划分模型（grid-partitioning models）相比，用户在线减少了计算复杂性和服务错误。简而言之，这个概念提出，通过在数据中引入一定量的噪声，可以发布关于统计数据库的信息，而不会泄露数据库记录的私有信息。这扩展到了差异化隐私，它从数学上定义了隐私损失，以确定与从数据库中删除个人数据具有类似效果的噪声量。另一个定义明确的概念是群体签名，它允许用户代表一个群体匿名签署消息。

4.2隐私和功能的权衡

在许多情况下，需要在隐私和功能之间作出权衡。这不仅从用户的角度来看很有趣，而且从服务的业务角度来看也很有趣。目前还不清楚用户对某些服务的收益是否超过了隐私方面的牺牲，也没有好的方法和工具来帮助用户做出明智的决定。

因此，本文认为，为了更好地将隐私保护融入到服务中，未来的工作应该侧重于量化隐私损失和服务质量之间的权衡。虽然诸如差异化隐私与效率度量相结合的概念可以帮助衡量隐私与功能之间的权衡，但是这些方法只能应用于利用统计数据库的有限类型的服务。在以更普遍和更有意义的方式量化这种权衡之前，还需要做大量的工作。

4.3 建立信任

车联网中的许多服务涉及大量的参与者，车联网服务可能需要多跳路由、云/雾计算和多个网络通道，这使得在参与者之间建立信任成为一项重大挑战。此外，由于车联网中利益相关方的规模和数量很大，选择谁成为认证机构将是一个挑战，安全密钥生成将非常困难。

除了建立信任的技术挑战，还有重大的方案挑战。解决车辆队列中信任问题的一个显而易见的备选解决方案是使用推荐系统，驾驶员可以搜索“可信度”更高的队列。然而，这反过来又要求用户提供个人资料，这可能会促使用户牺牲一些隐私来提高可信度。因此，用户的更多隐私一方面可以提高对车联网系统的信任，但是另一方面，它可能损害用户和/或服务提供商之间的信任。这些都带来了严重的隐私问题，在许多情况下，可能在信任和隐私之间做出权衡。

4.4 同意协商

信任和同意的问题需要有效的解决方案来管理隐私和支持同意协商。为了解决手动管理复杂的隐私设置和访问个人数据的请求的局限性，有学者建议使用代理来代表用户自主地协商这些设置和请求。在他们的模型中，代理从交互中学习，用户可以进行进一步的手工改进。在现实中，谈判预计会更加复杂，同时包括更多的问题，如谁是接收方，数据将保留多长时间，数据收集的目的，以及涉及的隐私风险。本文强调以下两个挑战：其一，用户需要对代理有足够的信任才有可能放弃控制，但同时获得用户的信任并使自动协商被广泛采用是具有挑战性的。其二，对自动化协商技术的有限访问可能会进一步加剧现有的社会不公正。

4.5 提供信息的激励措施

虽然车联网系统或服务可以从其拥有数据中受益，但这并不一定意味着提供这些信息的个人也将受益。因此，激励问题车联网中的另一个主要挑战，包括提供个人信息的激励和使用自动代理的激励。

使用服务对用户来说确实是实实在在的好处。然而，仍然很难权衡这种收益与为了做出明智的决策而牺牲的信息。为了获得激励，用户必须能够感觉到权衡是有益的。考虑到每个用户可能会进行大量此类提供数据的协商，这是车联网的主要风险。普通用户很难理解共享信息的风险。像脸书这样的服务对用户来说确实是免费的，但用户实际上是服务商出售给第三方的商品，比如广告商。此外，还不清楚如何有效验证激励机制。向使用代理的参与者提供真实的金钱作为激励，用户可能会决定分享无害的数据来赚钱，即使知道数据会被公布。这并不一定意味着他们会在有多个需要协商的问题和更模糊的奖励的现实场景中共享数据。车联网服务更需面临的情况是，当用户不得不共享敏感数据以获得他们想要或需要的特定服务时会发生什么。这对于个人信息协商环境中激励机制的设计、验证和部署构成了重大挑战。

4.6 多方隐私

解决多方隐私冲突是具有挑战性的：存在多方隐私冲突的可能性可能会使人对车联网及其服务产生怀疑，并可能使车联网被认为是不可信的。车联网中的多方隐私在概念上不同于社交媒体中的多方隐私。在社交媒体中，由于用户之间的数据共享可能会发生冲突。与此相比，我们为车联网中的多方隐私冲突提供了更宽松的定义。这是因为车联网中非自愿信息的系统收集以及车联网的大规模也对非用户的隐私构成了重大风险。很可能用户和非用户在很大程度上将不会意识到车联网中的多方隐私冲突，从而只有少量的冲突能够被协商，更不用说解决了。这使得在车联网中设计解决多方隐私冲突的解决方案非常具有挑战性，并且需要全面的研究。

5. 结论

当涉及到停车位识别、排队和智能路口等终端用户服务时，车联网中的隐私是一个研究不足的话题。对于某些车联网服务，共享个人信息可能有所帮助，但可能不是至关重要的。对于其他服务，个人信息确实有所帮助，但对最终用户提供这种信息的动机并不总是解释清楚。对于司机来说，管理隐私并就共享信息做出明智的决定比较困难。上一节的讨论中也已经提出了一些亟待研究的问题，包括隐私设计标准化、建立信任、提供信息的激励、衡量隐私和服务质量、同意协商和解决多方隐私冲突。

对于上述问题，本文总结了以往文献中提出的一些方法，并总结如图1。

图 1. 本文梳理了31篇车联网隐私和信任相关论文，（见表六至八），很大一部分与区块链技术、群体签名、投票理论、节点可信度评估和差异化隐私有关。其中有一些进一步利用博弈论和基于信任机构的服务规则。我们用“其他”表示那些在文献中高度特定或很少使用的方法；包括隐私标签、虚拟旅行线路、数字取证、拍卖和私人信息检索。

总之，由于车联网中大量的个人信息交换以及大量的参与者，忽视隐私问题会导致严重的负面影响。为了减轻这种担忧，并最大限度地减少车联网的信息利用机会，学术界、行业和政策制定者必须共同努力，解决本文讨论的隐私问题和挑战。

声明：本文来自数据信任与治理，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。