基于雾的车辆群智感知中的安全性、隐私性和公平性

众包地图、数据聚合、机器学习

title：Security, Privacy, and Fairness inFog-Based Vehicular Crowdsensing（FVCS）

基于雾的车辆群智感知中的安全性、隐私性和公平性

source：IEEE Communications Magazine • June 2017

摘要：

雾节点的引入是为了满足车载自组织网络中特定位置应用和位置感知数据管理的需求。在本文中，我们将研究基于雾的车辆群智感知的架构、应用，尤其是其安全性、隐私性和公平性。

首先定义了 FVCS 的基础架构并讨论了一些应用如停车导航、路面检测和交通碰撞重建； 然后描述该方案的安全性、隐私性和公平性； 之后描述了分别解决安全、隐私和公平挑战的解决方案； 最后提出了一些有前景的未来研究方向。

现状

云或雾的服务提供商都不是完全可信的，车辆不太可能与陌生人分享收集的数据，如果没有受信任的中介，隐私很容易被侵犯车辆在将数据传到到雾节点时可能不会合作。

基于雾的车辆群智感知的架构

VANET: vehicular ad hoc network 车辆自组织网络 作用：促进车辆间通信、车辆到路边的通信及通过边路单元RSU中继的互联网访问。

车辆雾是升级的RSU，具有计算能力和存储空间，可为车辆提供一定的计算和存储服务。

FGVS是一个虚拟的环境，由云、车辆雾、车辆、客户组成。

云： 存储和计算，为客户提供车辆群智感知服务。与客户沟通发布感知任务，并且从车辆雾中收集感知报告并未车辆分配收益。

车辆雾：车辆雾节点配备了增强的存储空间、计算和通信设备，放置在边缘设备的边路或关键点。他们使用短程通信设备与覆盖区域内的驾驶车辆进行通信，收集感知报告。

车辆：每辆车上都安装OBU，可与附近的车辆或车辆雾进行通信，从传感设备收集数据并将数据上传到附件雾节点。

客户：客户可以是车辆、个人或组织，他们没有足够的能力独自执行车辆感知任务，因此他们将任务众包到云中，并给予利益奖励给为任务做贡献的车辆。

基于雾的车辆群智感知（FVCS）架构：

车辆层：车辆在道路上行驶，利用车载传感设备定期收集交通和道路信息，并上传到雾节点。

服务层&雾层：

1. 客户将任务外包给云，给做出贡献的车辆给予好处奖励。
2. 云端发布任务给感知区域内的车辆雾节点。
3. 根据任务，雾节点如果手头有需要的数据，雾节点找到对应的感知报告并返回给云端。否则，雾节点需要将任务分配给感知区域内的移动车辆以获取必要的数据。
4. 云从雾节点接收群智感知报告，并为客户生成结果。
5. 最后，云根据客户评价分配利益，奖励提交有价值数据的车辆

应用

1. 实时停车导航信息： 车载摄像头记录行驶场景 → 移动车辆将行使视频或照片上传到雾节点 → 寻求停车位的车辆向云发出停车查询（查询 内容：目的地、到达时间、预期价格） → 云从覆盖目的地的雾节点检索分析视频和照片，为其查找空置停车位
2. 路面监测：车辆上的传感设备（例如GPS，加速度计和摄像头）提供了获取有关道路特征的实时信息的可能性。车辆可以将路况上传到雾节点。交通机构或市政当局可以向云端查询其管辖区域内的路面异常，云可以自动识别道路问题，根据位于该区域的雾节点中的数据，对道路进行优先修复。
3. 交通碰撞重建：在FVCS中，车辆将传感数据上传到附近的雾节点，包括视频和照片。警察可以在云端查询事故证据，云端搜索雾节点上的证据。通过这种方式，警方能够获得关键证据来重建事故并确定有关各方的责任。

安全、隐私和公平挑战

一旦数据上传到雾节点，车辆就会失去对收集的数据的控制。雾和云服务提供商都不是完全受信任的，他们容易受到损害。因此，如何在不牺牲车辆安全性和隐私性的情况下，提供可持续和公平的激励措施，鼓励车辆参与车辆众探服务，在FVCS中也至关重要。

1、安全性：

危害节点：

1. 车载传感器从周围环境中收集数据，这些数据可能包含大量敏感信息。攻击者会从众包报告中提取各类个人信息；攻击者可以从多个众包报告的交叉点推断出秘密信息；
2. 身份验证是另一个关键方面，如果这些报告是由不受信任的或恶意的车辆提供的，则客户可能会感到困惑并做出错误的决策。因此，确保众包报告的来源完全可信并诚实行事是值得的。
3. 对众包感知报告的攻击可以分为模仿攻击和女巫攻击[10]。在模拟攻击中，恶意攻击者可能会假装诚实地报告数据，这样他们就可以获得奖励，并插入伪造的报告来误导客户；在女巫攻击中，恶意攻击者可以伪造各种身份，分别提供不同或相同的报告，以获得更多奖励或成功进行报告统计选择过程。

攻击者可以恶意将无效任务众包到云端，获得诚实客户发布的众包结果，享受免费的众信服务。

目前优化的方案：

使用关键字搜索[9]进行代理重新加密有望允许云搜索雾节点上请求的报告，并代表代理将匹配的数据共享给客户。但是，在上传众信报告后，车辆保持离线状态，表明很难找到车辆在需要时生成代理重新加密密钥。

优化点：

为了抵御模拟攻击和女巫攻击，应该建立基于黑名单的身份验证，并且需要对女巫攻击者进行有效的云检测方法。此外，客户缺乏认证也给任务发布带来了麻烦。

必须保证只有诚实的客户和车辆才能参加车辆众筹活动。

2、隐私

由于雾节点是位置感知的，因此根据车辆进行网络连接的访问雾节点，很容易定位车辆，泄露车辆的隐私。

目前优化的方案：

1. 使用匿名网络在报告数据时使用车辆的位置。缺点：匿名网络(例如 Tor、I2P)不足以实现基于雾的车辆人群感测，因为包括车辆和雾节点在内的所有中间节点都是好奇的。如果报告可以在接收 fog 节点之前在匿名网络的节点之间来回传递，则在基于fog 的网络中不能实现位置感知的特性。
2. 采用匿名技术（如：假名、群签名和 k-匿名)。

缺点：

通过这些匿名方法，好奇的实体无法根据众包报告来区分车辆。但是，一旦众包报告匿名保存，没有人能够识别报告的贡献者，因此云很难根据他们对任务的不同贡献将利益分配给相应的车辆。

匿名技术可用于隐藏客户身份并同时实现身份验证。然而，每个任务都需要更新假名，这给客户和云的假名管理带来了沉重的负担，并且组签名通常对客户来说计算效率低下。

3、公平性

公平是对平衡的挑战，它包括两个方面：客户的公平和司机的公平。就客户的公平性而言，客户所获得的众感结果应该是值得付出的代价的。参与的车辆可能是贪婪的利益和懒惰的感知。一方面，司机尽最大努力提供更好的人群感知报告以赚取收益。另一方面，司机有作弊的动机，以获得比他们应得的更多的奖励。车辆可能会变相使用多个身份来报告虚假交通信息，以获得更好的收益。车辆的不当行为可能会给客户带来不公平，因为他们获得的数据结果与他们为不可信的人群感应支付的成本不匹配。

目前解决方法：

一种可能的解决方案是聘请受信任的第三方来验证车辆的公平性。然而，这导致了一个非常强烈的假设，即有一个监管机构来规范客户和云的运营。因此，有必要为车辆设计可验证的奖励分配机制，以确保其公平性。

解决

首先，一旦任务受到保护，云就无法在不知道有关任务的任何详细信息的情况下检索众信报告并返回结果。其次，由于客户应具有结果的解密能力，因此检索到的众信报告应在客户的公钥下进行加密。然而，车辆在报告时并不知道客户。此外，众包报告可以共享由不同客户发布的多个任务。第三，当车辆生成报告时，很难确定提交报告时众包报告的所有者，应使用谁的公钥来加密报告。

方法：

代理再加密[11]有望实现众信报告的保密共享，并且可搜索加密可用于为客户过滤众感报告。此外，应涉及受信任的权威机构（TA）以实现客户和车辆的密钥管理。具体而言，车辆使用TA的公钥加密其众包报告，并将其提交给当地的雾节点。客户使用可搜索的加密和 TA 的公钥，以防止他们的任务暴露给云。云使用任务的密文在空间上位于传感区域的雾节点上进行搜索，以检索匹配的报告。在将结果返回给客户之前，云端向TA请求代理重加密密钥，将TA公钥下的报告密文转换为对应客户可解密的密文。最后，云生成结果并将结果返回给客户。如图，提出的机制可以牢固地解决FVCS中数据收集和任务执行的困境。

安全任务和报告模型图：

在[12]中，Ni等人提出了一种保护隐私的实时导航系统，通过利用车辆众听来实现驾驶员的交通感知导航。在图4的系统模型中，每辆车在TA上注册以获得匿名凭证，这是TA生成的签名[13]。 车辆向附近的车辆雾发送导航查询，以及从其匿名凭据中随机分配的组签名。同时，道路上的车辆参加了众包任务将实时交通信息提交给雾节点，而无需通过匿名凭据生成的随机签名披露其身份。覆盖查询车辆位置及其目的地的雾节点协同查找并将目的地的正确路径返回给查询车辆。最后，这辆车沿着推荐的路径到达目的地。此外，电讯局长可追踪行为不端的车辆的身份，以上载伪造的交通资料。

3）在车辆众听中，车辆收集交通和道路信息，用于实时导航和路面监控。从同一位置感知到的数据不可避免地包含一些重复项，这可能会为雾节点消耗大量的通信带宽和存储资源。提高容量的一个直接方法是丢弃中间体上的冗余副本;但是，它披露了详细的众包报告。数据加密提供了一种防止隐私泄露的复杂方法，同时也给中间体识别重复报表带来了巨大障碍。

如何平衡隐私泄露和重复数据删除之间的矛盾，是实现众信报告高效传输和存储的主要挑战。 然而，一旦众包报告被重复数据删除，云就无法识别参与车辆的贡献。虽然重复的数据并不能提高众包结果的完整性，但这些冗余可以提高结果的可信度，因此报告重复数据的车辆的贡献不容忽视。综上所述，在不暴露报告内容的情况下，在众信报告中实现重复数据删除，公平记录车辆的贡献具有重要意义。

Ni等人[14]设计了一个基于雾的安全和重复数据删除众听框架。在图5的这个框架中，涉及雾节点来临时存储众信报告，并实现高效、安全的重复数据删除和贡献聚合。 具体而言，车辆使用新颖的加密基元消息锁加密[15]来加密其众包报告，其中执行加密和解密的密钥来自消息，并上传到附近的雾节点，以及报告的密钥同态签名，其中不同车辆在同一消息上生成的签名可以聚合为一个签名。 雾节点收到车辆的众化报告后，可以在不知道报告详细内容的情况下，检查两个众化报告是否被重做。如果是，它将保留重复报表的一个副本，并聚合这些报表的签名。这样，雾节点只需要存储一个重复数据的副本，但可以识别和奖励所有提交冗余报告的车辆的贡献。

重复数据删除众听模型

结论和未来工作

对于我们未来的研究，我们计划开发一套安全机制，不仅可以实现隐私保护和激励公平的数据收集，还可以通过最小化数据存储和加密开销实现可验证的奖励声明。

参考文献

[9] Z. Chen et al., “A Limited Proxy Re-Encryption with Keyword Search for Data Access Control in Cloud Computing,” Proc. NSS, 2014, pp. 82–95.

[12] J. Ni et al., “Privacy-Preserving Real-Time Navigation System Using Vehicular Crowdsourcing,” Proc. VTC-Fall, 2016, pp. 1–5.

[14] J. Ni, X. Lin, K. Zhang, and Y. Yu, “Secure and Deduplicated Spatial Crowdsourcing: A Fog-Based Approach,” Proc. IEEE GLOBECOM, 2016, pp. 1–6.

[15] M. Bellare， S. Keelveedhi， and T. Ristenpart， “Message-Lock Encryption and Secure Deduduction”， Proc. EUROCRYPT， 2013， pp. 296–312.