无人驾驶汽车的发展与智慧出行的建设对数据的质量和数量提出了极为严格的需求[1]。一方面,无人驾驶车辆技术规格的成熟离不开大数据的支撑,通过分析隐藏在驾驶大数据背后的用户驾驶习惯可以进一步推动无人驾驶技术的进步。另一方面,高质量的可靠交通数据是促进智慧出行的关键基础,通过实时采集与分析交通出行的大数据来帮助用户分析选择最优的出行路线,从而实时优化出行效率。群智感知作为数据采集的高效手段可以很好地匹配车联网对数据的要求,通过将“群众的智慧”和车辆的移动性充分地结合来对目标区域进行感知并有目的地采集数据,从而为有需要的组织或个人提供精准的数据服务[2]。然而,没有隐私保护的群智感知将使得车辆的移动轨迹完全地暴露在外界中,因此隐私安全问题是制约其广泛应用的关键因素之一[3-5]。
当前群智感知系统的架构主要分为两种,即基于中央式和基于分布式的系统架构[6]。其中基于中央式的方法也称为基于平台式,系统操作主要依赖于中央服务器(平台)的统一部署,使得任务发布、用户匹配、数据提交等系统操作全部由服务器统一管理,用户间的操作需要经过服务器作为交流的中转。尽管基于中央服务器的方式为协同管理和调控带来了便利,但也带来了许多严重的挑战,其中之一便是隐私安全问题。一旦平台遭受攻击,其中存储的数据泄露将引发极大的社会恐慌。2019年中东地区的共享租车平台在遭受攻击后,约1 400万用户的个人信息遭到泄露[7]。随着中本聪于2008年提出基于区块链的比特币方案后[8],以区块链为主的分布式方法逐渐成熟,成为解决不可靠的中央平台问题的有效方法。分布式的网络使用基于点对点的方法,使得网络中不存在一个中央服务器对数据的集中管理和存储。同时用户间的交互过程被明文记录在区块链内且由每一个用户进行本地存储,确保了数据的安全性和不可篡改性。然而,由于明文记录的特性,使得具备强计算能力的外部攻击者依然可以通过某用户所有参与信息及其他用户的参与链分析得出该用户的身份信息。因此基于分布式的方法也并非是完全可靠的。此外,基于分布式网络对系统中恶意行为的管理也带来了难度,当系统中存在恶意信息甚至是犯罪信息的发布时,由于用户的操作是匿名的,对恶意用户的追踪和溯源也带来了难度[9-10]。
除了由系统架构可能会导致的大批量用户隐私安全问题,参与用户在系统操作中也面临着多种安全威胁问题。对于具有数据需求的用户而言,对特定数据的需求也表明了用户对特定服务的需求,例如某用户请求的数据为某品牌的汽车在城市道路中的油耗、驾驶舒适度,则该用户可能是该品牌车辆的潜在消费者,若该信息被汽车销售人员获得时,则可能会对该用户推送大量汽车销售类的消息[11]。此外,对于提供数据的用户,其也遭受着一定程度上的隐私安全问题,原因在于其采集的数据往往是与该用户的个人环境相关的:他在哪儿、从哪儿来、到哪里去、去过哪儿等。若该信息被不法分子获得,用户甚至面临着被追踪的风险。
因此,尽管群智感知可以为无人驾驶的发展提供高效、可靠的数据来源,然而其发展必须将隐私安全问题作为亟待解决的问题。本文以保护车联网中群智感知系统用户的隐私安全问题为着手点,着重讨论当前保护用户隐私的系统架构设计和具体的隐私安全的保护需求。最后,针对以上的讨论,我们提出一种基于条件分布式的保护隐私安全的群智感知系统架构,并对安全威胁的防护进行了有效性分析,为未来系统的设计提供一定的理论依据与指导思路。
1 车联网群智感知系统的架构及设计需求
1.1 车联网群智感知系统模型
群智感知通过将有数据需求的用户与具备提供数据能力的用户建立起数据的供需联系,从而使得数据能够充分地被有需要的用户使用。同时提供数据的用户也可以因此获得一定的奖励。其中具备数据需求的用户需要将其需求以任务的方式进行发布,因此也称为任务发布者或数据请求者(本文以任务发布者称)。参与感知任务的用户根据任务需求在任务截止期限内将感知数据提交给任务发布者,因此该类用户也称为任务执行者或数据提供者(本文以任务执行者称)。
一般而言,任务发布者通常为具备信息/数据需求的普通用户或汽车厂商,其共同点为他们一般都没有充足的能力来自己执行感知任务并获得感知数据。因此,需要选择具备感知能力的用户来执行对应的任务。任务执行者通常为具备感知、通信、计算、存储等基本能力的参与车辆。车载传感器用于有针对性地根据任务需求进行数据采集和存储,或对数据内容进行计算处理从而获得隐藏在感知数据背后的信息。任务执行者需要将感知或处理后的信息在任务截止之前发送给任务发布者,并获得对应的执行任务的奖励。
根据用户间交互的方式不同,群智感知的架构也主要分为中央式和分布式两种方法,其主要区别在于系统中是否存在一个负责统一调控的中央服务器管理用户操作和数据流通。接下来将分别阐述二者的工作机理及其相应的特点。
1.2 基于中央式的车联网群智感知系统架构
图1展示了基于中央式的群智感知系统架构,其中存在一个中央式平台(本文中简称为平台)作为操作与调度中心。首先,平台作为服务提供中心,为任务发布者和任务执行者提供对应的服务,通过提供直观的交互界面,使得参与者间的交互是简便且高效的。同时,平台作为数据调度中心,其中基于数据需求的任务展示、基于规则的参与用户选择等操作都通过中央平台的统一调度、处理与记录。此外,平台也作为监管的中心,恶意操作的追踪与溯源由中央平台负责。
然而,平台也并非完全可信。一方面,平台会为用户诚实地提供各种服务,遵循基本的群智感知规则从而完成基本的平台操作。另一方面,为了增加自身收益,平台也可能会对用户的需求或数据好奇,通过非法采集或备份用户的数据从而实现定向的内容推送等。因此总地来说,平台是诚实而好奇的[12]。
1.3 基于分布式的车联网群智感知系统架构
相比而言,分布式架构下的群智感知系统中并不存在一个具备统一部署的超级节点,所有节点的地位都是平等的。因此分布式系统首要面临的是典型的拜占庭将军问题,即在网络中存在不诚实节点的前提下依然能够保证网络秩序的正常运行。自2008年中本聪发布的区块链说明书[8]后,基于区块链的虚拟货币系统从可能变为分布式系统的典型代表。而以太坊智能合约的提出则是分布式系统的另一巨大飞跃,智能合约使得分布式系统跳脱出虚拟货币范围的限制,区块链+X变成了可能。当前的分布式群智感知系统也主要是基于区块链的,如图2所示。
从系统架构的角度来看,基于区块链的分布式系统主要分为两层:用户层和共识层。其中,用户层主要负责解决参与用户与系统间的各种交互操作,并将用户的需求转化为网络可认证、验证和识别的交互信息。共识层负责对交互信息进行验证并完成共识,从而实现信息的加密传输和记录。该信息首先被转发到共识网络中,由矿工节点处进行验证、打包成区块。经过共识后,该区块将被添加到链中,由此区块链中实现全网的区块信息同步。因而,即使不在同一网络区域/位置的用户也能够实现信息的加密传输。同时由于网络是点对点的,网络中的全节点存储有完整的区块链,因此即使网络中不存在一个统一调配的中心节点,存储在每一个节点内的信息的安全性也依然可以得到保障。因此,除非攻击者掌控全网算力的50%以上,篡改数据被视为是不可能实现的。
然而,分布式的方法带来了数据安全性的同时,也牺牲了一部分操作和管理的灵活性。一方面,矿工节点需要针对用户上传的数据进行大量的验证、打包等操作,同时在大批量的操作下为了实现系统运行的高效性和有序性,用户能够进行的操作则十分受限。在比特币系统中,用户唯一的操作仅有转账,因此矿工进行验证时只需针对转账信息进行验证即可。当区块链系统结合到群智感知系统中时,由于操作的多元性,给系统的设计和矿工的验证带来了一定的复杂度和难度。另一方面,由于系统中不存在中央调控的节点,使得进行恶意操作变得更加简单也更加不受约束。系统中的恶意用户将难以进行追踪和溯源,当系统中存在恶性事件,例如发布的任务信息是犯罪相关的,甚至可能会引发社会信任危机。
1.4 系统架构的设计需求
系统架构的设计需要考虑到系统可实现的功能,同时避免潜在的硬性缺陷。第一,为了保障用户的体验质量,需要有统一的功能展示平台,使得用户可进行可视化操作从而极大地降低用户的操作难度。第二,在面临外部的攻击时,系统依然能够保持健壮性,保障用户可以安全地参与系统工作,而无需担心来自于系统内或系统外的隐私安全攻击或隐私泄露问题。第三,系统需要保证运行的高效性,无论对于任务发布者还是任务执行者,用户的操作需要得到系统及时的反馈。第四,系统需要保证管理的有效性,当系统中出现恶性事件时,系统能够有效地进行阻止、溯源、追踪并惩罚。以上的设计需求,分别从用户、系统、管理方面确保系统能够高效、可靠而安全地运行。
2 车联网群智感知系统的隐私分析与安全需求
2.1 系统中潜在的隐私安全攻击
根据系统的参与方式与运行的内部特性,系统参与中用户将面临着来自于多方面的隐私安全威胁。从系统的角度来看,隐私威胁主要来自于系统内部和外部两个方面。而其中,系统内部的参与实体包括:任务发布者、任务执行者和中央式平台,各实体为了增加自身的收益或出于其他目的则可能窥探其他用户的隐私。而外部的攻击者主要为对网络系统或单节点发起攻击的观察者或黑客。因此,系统及内部的实体将面临着以下安全威胁:
(1)任务发布者面临的隐私安全威胁:任务发布者根据自身的数据需求来发布对应的感知任务,因此任务的内容在一定程度上可以反映发布者的近期需求。一旦信息被其他用户或平台获取时,则用户可能会持续遭受广告骚扰。
(2)任务执行者面临的隐私安全威胁:任务执行者在获得任务的执行权后,将根据任务需求进行数据采集。然而由于采集的数据常常是以人为中心的,并且是与该用户及其社交生活息息相关的,这些数据(例如图像、视频)极有可能会泄露这些用户的个人隐私等,甚至可能导致用户面临被追踪的风险。此外,由于数据的感知任务需要消耗执行者一定的成本,一些投机执行者可能会通过复制并篡改其他执行者的数据,从而非法获得对应的奖励,这将极大地破坏其他任务执行者的参与感与公平感。
(3)网络系统面临的安全威胁:系统可能面临着外部各种网络攻击的风险。首先,对于集中式网络而言,单点失败问题是集中式方法无法避免的问题之一[13]。一旦被攻击,大量的用户隐私信息将面临着被窃取的风险。其次,对于分布式网络而言,则可能面临着分布式拒绝服务攻击,受到攻击的用户将无法正常使用系统的功能,甚至还将面临着经济损失的风险。
2.2 隐私保护的需求
对应以上分析,在进行群智感知系统的设计时,针对于用户的隐私安全,设计者需要考虑以下因素:
(1)身份隐私保护:用户的身份信息不能与参与系统的用户名(昵称)联系在一起,即外部的观察者不能通过观察系统中用户的名称和行为推测出用户的真实身份。
(2)位置隐私保护:由于任务执行者需要到特定的区域执行感知任务,因此用户的位置隐私需要被严格保护。即除了任务执行者和任务发布者外,其它实体不能了解到该任务执行者曾经过该位置。
(3)数据隐私保护:除了任务发布者和任务执行者,系统中及系统外的任何其他实体不能获得感知数据的内容,同时防止数据被篡改或被其他参与者复制。
(4)恶意用户追踪:系统中发布恶意任务信息、或持续提交恶意数据的用户应该能够被追踪并实行相应的惩罚,从而防止系统的公平公正性被破坏。
(5)用户信誉管理:系统中的用户都具有信誉属性,用于记录用户参与系统的态度并鼓励用户更积极地参与到系统中。其中信誉值与用户身份不能具有链接关系,即外部的观察者不能通过信誉积分的变化和用户的参与记录从而建立起身份与用户名间的关系。
3 保护隐私安全的条件分布式车联网群智感知系统架构
3.1 系统架构介绍
中央式架构的群智感知系统时刻面临着单点失败的风险,同时平台的可信度也依然是需要进行考虑的[14]。而分布式系统却面临着不灵活的管理能力,同时区块链与群智感知系统的结合同样会带来系统操作的复杂性的问题。基于以上分析,为了有效地克服完全中央式和完全分布式系统架构的缺陷,本文提出了一种区块链赋能的条件分布式车联网群智感知架构,为未来车联网群智感知的设计和完善提供一种全新的解决思路,架构如图3所示。
系统的参与实体主要分为三类,分别是:信誉管理中心、应用平台和参与用户。其中信誉管理中心一般为国家交通管理部门或具有管理权限的可信企业,且是可信的第三方管理中心,主要负责管理参与用户的信誉以及检测系统中存在的恶意行为并追踪溯源。应用平台一般是企业级别的应用,负责为参与用户提供任务展示和接口的功能。同时应用平台具有充足的计算和存储资源,用以检查并记录系统中交易的进行状态,并负责为参与用户提供可视化的展示界面,从而有效降低用户的操作难度,应用平台只作为展示中心,但并不作为数据的中转和调控中心。基于区块链的分布式系统负责记录和检查用户间交易的合法性与正确性,而系统中信誉管理中心的存在有效地弥补了分布式系统中管理不灵活的问题。
系统主要分为三层,分别为:用户层、共识层和管理层。用户层主要是负责提供与用户交互的接口,在应用角度表现为用户间的安全交互,从而实现用户参与车联网群智感知系统的操作。其次为共识层,主要负责将用户间的交易操作进行合法性和正确性的确认,并实现全网范围内的共识和记录,从而确保用户间的每一次交易都能够有据可依,同时能够确保数据的安全性。系统中存在两种专门设计的智能合约,分别为中转任务合约和特定任务合约。其中中转任务合约作为用户调用的中继,打破了区块链系统中用户明文参与记录下身份与特定操作间的关系,使得用户的操作无法被溯源,基于零知识证明的方式将确保操作的有效性和正确性。特定任务合约则确保了任务发布者与任务执行者间的有效雇佣关系并使得任务能够合理、合规地进行。最后为管理层,管理层的权限仅限制在用户信誉和恶意操作相关的范围。而信誉管理中心也同样不作为数据的流转中心,因此集中式方法的单点失败问题也得到了避免。
3.2 隐私安全保护分析
根据2.1节中讨论的潜在的隐私威胁与2.2节中的隐私安全的保护需求,由此对提出的条件分布式群智感知系统架构进行安全防护分析。
(1)身份隐私保护:我们提出的方案打破了系统参与用户的真实身份与账户地址间的关联关系,当用户参与到系统中时,私钥由参与用户个人安全存储,公钥作为系统参与的账户地址,用户的身份与账户的关联只在可信的信誉管理中心处存储。此外,信誉管理中心在为用户生成用于安全参与系统的证书时,使用双重承诺的方式,这在使得交易在可验证的前提下确保身份的有效性和正确性。最后,使用中转智能合约的方式,使得外部的观察者无法使用区块链的明文记录来追踪用户的系统参与记录。综上所述,除了信誉管理中心外,没有任何实体能够获得用户的真实身份信息、用户公钥地址、用户参与记录间的关系,因此系统可以实现严格的身份隐私保护。
(2)数据隐私保护:条件分布式群智感知系统架构确保除了任务发布者之外的任何参与实体都无法获得任务执行者提交的数据,分析如下:首先,任务执行者在通过区块链网络向任务发布者提交数据前,需要使用任务发布者的加密公钥对数据进行加密,从而确保数据不会被第三方获得。并使用一次性签名公钥对加密后的数据进行签名,确保数据的正确传输并防止被篡改。此外,任务发布者与任务执行者间的交互并非点对点直接通信的,用户的操作都被明文记录在区块链中,作为中继的智能合约的执行是在安全的沙箱环境中执行,因此在中继时数据的安全也可以得到有效保障。最后,参与用户在信誉管理中心注册后获得的证书在确保用户个人数据安全的前提下,可以有效验证数据的正确性。因此,无论从交易内容的角度还是从调用方法的角度来看,系统可以有效保障数据隐私。
(3)位置隐私保护:条件分布式群智感知系统架构可以有效保障用户的位置隐私,对应的分析可以分为以下三个方面。首先,敌手可能通过物理观察的方式建立起用户的账户地址和真实身份间的关系,从而通过检索该地址的参与记录来分析用户的位置隐私。我们所提出的架构可以抵抗这种攻击,由于任务执行者首先通过调用中转智能合约来参与系统,因此只要在共识的某时隙有超过一个用户在调用智能合约,那么敌手则无法从调用记录中辨别出用户的真实身份,因而也无法由此分析用户的出行轨迹。其次,系统可以防止由感知数据泄露引发的位置隐私威胁,因为系统可以保障数据的机密性,因而第三方实体(包括信誉中心)无法获得用户的位置信息。最后,即使敌手成功地建立了用户的身份与账户地址间的关联关系,用户依然可以通过不定期地更新公钥地址来避免该类风险,更换前后,地址的关联关系无法被建立。因此,系统可以有效保障用户的位置隐私。
(4)有效的信誉管理及恶意用户的追踪:由于系统架构是基于条件分布式的,系统中所有参与用户的操作主要是基于区块链的点对点网络,因此在即使面临外部的网络攻击时,分布式网络也可以表现出极强的鲁棒性。同时为了防止滥用匿名导致的恶性情况的发生,网络中信誉管理中心的存在可以有效地弥补分布式网络管理灵活性不强的缺陷。而信誉管理中心只负责检查用户的信誉状态,而不具备查看和干扰正常用户的系统参与功能。此外,条件分布式的群智感知系统可以通过信誉更新算法从而提供有效的信誉管理,高效帮助任务发布者精准地识别可靠用户从而获得高质量的数据,同时帮助可靠的任务执行者以更具优势的方式获得执行任务的权利。因此,条件分布式的群智感知系统可以提供有效的信誉管理以及实现对恶意用户的追踪。
综上所述,通过采用基于区块链和信誉管理中心相结合的方式,分布式与集中式的特点得到了有效的融合补充,使得基于车联网群智感知的数据采集变得更加高效、可靠和安全。
4 结束语
车联网群智感知系统是解决未来无人驾驶发展中对高质量、大数量的数据需求问题的有效方法,然而却面临着严峻的隐私和安全问题。本文从架构和安全两方面分析了当前群智感知系统的发展态势,以及制约其发展所面临的关键问题,并提出了一种区块链赋能的条件分布式的系统架构,并分析了发展的特点及优势,可为群智感知系统的后续发展和完善、部署和运行提供一种全新的思路。