论文笔记—PRIVANET:An Efficient Pseudonym Changing and Management Framework for Vehicular Ad-Hoc Networks

PRIVANET: An Efficient Pseudonym Changing and Management Framework for Vehicular Ad-Hoc Networks

文献翻译

PRIVANET：车载Ad-Hoc网络的有效假名更改和管理框架

注：部分公式的推导可以移步原文进行查看，笔记中只给出了结果

一、摘要

二、介绍

• 在VANET中，车辆需要通过发送安全消息进行通信。敌人会利用这些消息进行攻击，这威胁了用户的位置隐私安全
• 更改假名是解决此问题的常用方法
• 较高的假名更改频率是提供良好程度的隐私保护的重要参数。但是，频率值应合理以避免影响通信性能
• 为避免假名容易链接，所有通信标识符（例如MAC和IP地址）应同时使用假名更改
• 假名更改策略有许多挑战：不够有效，隐私水平受到影响，成本高

本文的主要贡献可以归纳如下：

• 我们为VANET提出了一个完整而有效的假名更改和管理框架。 它具有分层结构，以促进系统的控制和管理。 我们框架工作的基石解决了假名更改方法的关键问题。
• 我们提出了一个随机模型来估计给定单元所需的VLPZ数量随时间的变化。 该模型主要基于交通密度和车辆进入VLPZ的需求。
• 我们在数学上对在宽泛的RI上优化VLPZ的位置进行建模，以减少车辆在时间上的运输成本。 然后，我们定义一个目标函数，以选择最佳的- RI来承载VLPZ，并提出一个简单的解决方案来解决此问题。
• 我们通过使用真实地图和实际交通流动性测量进行的广泛模拟研究，评估和验证所提议的框架。 仿真是基于由Veins [19]，OMNet ++和SUMO [20]组成的可靠的车载网络仿真框架执行的。

三、相关工作

道路安全

• 两种攻击
  • 如果在行驶的车辆组中只有一个车辆更改其假名，则可以执行语法链接
  • 尽管 所有车辆都同时更改其假名，其中对手使用高级跟踪算法来根据其当前位置预测车辆的未来位置，从而链接其假名
• 三类保护机制
  • 基于同步机制的策略
  • 基于加密的策略
  • 基于无线电沉默的策略
    • 最有效的，因为它们可以再次保护两种假名链接攻击
    • 但是，无线电静默可能会对道路安全产生负面影响

提出了VLPZ模型和基于VLPZ的假名更改策略。该策略可在防止假名链接攻击的同时保护道路安全

车辆合作

• 车辆之间的合作对于确保成功的假名更改很重要
• MPSVLP的新颖解决方案
  • 依靠基于加密的策略是该解决方案的主要缺点，因为它不再提供任何保护假名的语义链接

假名管理

• 提出了HPDM一种混合方法来分配假名集
  • 此方法同时使用RSU和运输工具来分发假名集
  • 目的是减少为执行此操作而产生的部署成本。

与其他方案比较

本文的主要目标是提出一个完整的框架，以有效地考虑假名更改方法（PCA）的关键问题
比较突出显示了每种解决方案都可以解决PCA的哪些关键问题

与最新的解决方案相比，PRIVANET解决了所有关键问题

四、车载自组织网络的一种有效的假名变更和管理框架

全局视图

• 分层结构
• 基于逻辑区域，这些逻辑区域称为“车辆位置隐私区域”（VLPZ），部署在车辆地理区域的网格单元上
• 该框架由不同的构建块组成
  • （i）基于VLPZ的假名更改策略，用于有效地更改假名
  • （ii）用于分发假名集和CRL的安全混合机制
  • （iii）从假名生成P和MAC地址的机制
  • （iv）适应性强的以用户为中心的隐私模型
  • （v）基于信誉的机制，以鼓励自私的车辆进入VLPZ
  • （vi）VLPZ在给定单元的RI上的最佳部署是时间的函数

A.系统和对手模型

系统

• 车辆地理区域被划分为网格
  • 网格的单元具有相同的预定义大小
  • 每个单元可以包括一个小镇的整个市区或几个城市街区
• VANET系统由车辆和RSU组成
  • 每辆车都有一个OBU设备，该设备配备了基于IEEE 802.11p / WAVE标准的无线技术。 OBU不仅允许车辆与其他车辆通信，还可以与RSU通信
  • 每辆车还配有地图和GPS接收器，可以获取位置和当前时间
  • 每辆车每 t 毫秒定期广播一次安全消息，其中每条消息都包含有关车辆的信息，例如其位置和速度
• 我们还假定存在一个中央信任的授权机构（TA），该中心为车辆和RSU提供公共和私有密钥
  • 在加入VANET之前，每辆车都要向TA注册带有其车辆标识符的车辆，该标识符由ID_v表示
  • 在登记期间，每个车辆V_i配备有公共和私人钥匙以及假名集。 每个集合包含n个假名K_i，j，其中j∈1，…，n
  • 对于车辆V_i的每个假名K_i，j，TA提供证书Cert_i，j（K_i，j）
  • 车辆V_i使用对应于假名Ki，j的私钥K^-1 _i，j对消息进行数字签名。 假名附加到每个消息上，以使其他车辆和RSU能够验证发件人的真实性
  • 每辆车每δ分钟更改其假名
• 每个单元都包含一个区域可信授权机构（TAR）和一个或多个车辆隐私区（VLPZ）
  • TAR充当TA和VLPZ之间的中介
  • 他们旨在管理假名集和CRL分布，并控制提供单元内VLPZ的位置隐私保护级别
  • 所有TAR都连接到TA，并且每个TAR通过安全通信链路与其单元中的VLPZ接触

对手模型

• 对手是被动的，即。 它只能窃听通讯
• 由外部全局对手和很少的内部本地攻击者组成
• 对手通过窃听感兴趣区域内任何车辆的所有通信来跟踪目标车辆。 对手非常了解系统模型和建议的框架设计。 但是，它无法控制VLPZ
• 基于摄像机的全局窃听已超出了本文的范围

B.VLPZ模型

• 将车辆位置隐私区（VLPZ）定义为由受信任的地区当局（例如市政当局）或直接由国家交通部门管理的逻辑区
• 网格的每个单元可以包含一个或多个VLPZ
• VLPZ的目的
  • 提供有效的假名更改来提高单元格内车辆的位置隐私保护级别
  • 还向他们分配假名集和CRL
• 如图2所示，基本的VLPZ由一个称为路由器的入口点，一个称为聚合器的出口点和有限数量的通道l（其中l> 1）组成
  
• 每个VLPZ都配备有一个由RSU_vz表示的RSU，用于：
  • （i）定期宣布存在VLPZ
  • （ii）刺激经过VLPZ的车辆进入
  • （iii）向TAR请求假名集，并根据其要求将其分配给VLPZ内部的车辆
  • （iv）请求 从TAR获取CRL，并将其分发给VPLZ内部的车辆
  • （v）从车辆中获取信息，这有助于VLPZ做出某些决定
• VLPZ可以轻松地在加油站和收费站等RI上部署
  • 不排除VLPZ可以作为一个独立的路边基础设施在未来的VANET部署。
  • 理想情况下，VLPZ安装在双向街道的两个方向，它们的位置显示在地图上。

C.基于VLPZ的假名更改策略

RSU_vz定期广播通知，以通知车辆VLPZ的存在。 如果车辆要访问VLPZ，它将向RSU_vz发送请求

如图2所示，步骤为

1. 车辆在一条车道上一个接一个地到达VLPZ。 他们不断广播安全消息，直到进入VLPZ
2. 当车辆到达路由器时，它将停止广播安全消息，并驶向指定的VLPZ车道。 所分配的通道由路由器随机地和私有地选择
3. 车辆可以在VLPZ内部停留随机的一段时间。 该时间段主要取决于服务时间。 例如，如果我们假设在加油站中部署了VLPZ，则服务时间就是驾驶员加满其车辆油箱所花费的时间
4. 车辆在退出VLPZ之前必须更改其假名，并且所有车辆都通过聚合器退出VLPZ。 但是，退出顺序与进入顺序不同，因为车辆的停留时间是随机的。 我们还假设聚合器可以随机和私有方式选择某个顺序

该策略不仅提供针对假名的语法和语义链接的保护，而且还针对FIFO攻击提供保护。 此外，与依赖无线电静默技术的策略不同，该策略保留了道路安全性。

D.假名集和撤销列表分发

• 现有的最新解决方案完全依赖可用的RSU来分发假名集和假名撤销列表（CRL）[24]，这可能会产生高昂的部署成本
• 在我们的框架中，我们建议这些操作既可以在使用RSU_vz的VLPZ内部执行，也可以由车辆通过V2V通信执行
• 我们的解决方案允许快速且广泛地分配假名集和CRL，同时保持较低的部署成本
  • 车辆可以交换[28]中描述的小CRL更新，并涉及使用[25]中提出的方法来分配假名集

[24] H. Artail and N. Abbani, “A pseudonym management system to achieve anonymity in vehicular ad hoc networks,” IEEE Trans. Dependable Secure Comput., vol. 13, no. 1, pp. 106–119, Jan. 2016.
[25] A. Boualouache, S.-M. Senouci, and S. Moussaoui, “HPDM: A hybrid pseudonym distribution method for vehicular ad-hoc networks,” Procedia Comput. Sci., vol. 83, pp. 377–384, Jan. 2016.
[28] P. P. Papadimitratos, G. Mezzour, and J.-P. Hubaux, “Certificate revocation list distribution in vehicular communication systems,” in Proc. 5th ACM Int. Workshop Veh. Inter-NETworking, Sep. 2008, pp. 86–87.

E.隐私级别演变

• 车辆的位置隐私级别会随时间变化
  • 假名链接攻击会减少隐私级别
  • 每次车辆访问VLPZ时都会增加隐私级别
• 为了捕捉随着时间的推移车辆位置隐私级别发生的演变，使用以用户为中心的位置隐私模型
  • 使用位置隐私损失函数β_i（t，T^vz _i）：（R ⁺，R ⁺）→R ⁺对车辆i的位置隐私级别进行建模
    • t是当前时间
    • T ^vz _i≤t 是车辆i在VLPZ内的最后一次假名变化的时间
    • 每次i更改其VLPZ内部的假名并根据灵敏度参数0 <λ_i<1随时间增加，直到达到最大值A_i（T ^vz _i）（即位置）时，隐私损失都设置为0，这是在VLPZ内车辆I的最后一次假名变化时实现的位置隐私保护级别
    • 隐私损失函数定义如下：
      
      函数到达最大隐私损失的时间
      
• 车辆i的位置隐私级别在t时间是：

F. 生成通信层标识符

• 需要使用假名更改所有通信标识符，以避免轻易链接假名[8]
• 在我们的框架中，加密生成的地址（CGA）协议[29]用于根据假名建立IP地址
  • CGA使用一个随机的128位数字和假名（公共密钥）来创建接口标识符，该标识符之后再与一个子网前缀连接以构建IPv6地址
  • CGA的概念也可用于构建MAC地址[24]
  • 通过计算一组连接值的哈希值来生成MAC
• 我们在框架中建议的值是：一个随机的128位数字，一个接口标识符，冲突计数，一个假名和扩展字段
  • 冲突计数和扩展字段在[30]中进行了描述

[8] P. Papadimitratos, L. Buttyan, J.-P. Hubaux, F. Kargl, A. Kung, and M. Raya, “Architecture for secure and private vehicular communications,” in Proc. 7th Int. Conf. ITS Telecommun., Jun. 2007, pp. 1–6.
[24] H. Artail and N. Abbani, “A pseudonym management system to achieve anonymity in vehicular ad hoc networks,” IEEE Trans. Dependable Secure Comput., vol. 13, no. 1, pp. 106–119, Jan. 2016.
[29] T. Aura, Cryptographically Generated Addresses (CGA), Internet Requests for Comments, document RFC 3972, Mar. 2005. [Online]. Available: https://tools.ietf.org/html/rfc3972
[30] S. Qadir and M. U. Siddiqi, “Cryptographically generated addresses (CGAs): A survey and an analysis of performance for use in mobile environment,” IJCSNS Int. J. Comput. Sci. Netw. Secur., vol. 11, no. 2, pp. 24–31, Feb. 2011.

五、鼓励车辆进入VLPZs

在VLPZ中，有两个重要的参数会影响位置隐私级别

• （i）它的容量（K）：即VLPZ可以容纳的最大车辆数量。
  • 此参数是静态的，可以由系统设计人员设置
• （ii）它的占用率（| AS | _t），它表示同时访问VLPZ的车辆数，即在给定的时间VLPZ内部的车辆数
  • 一个动态参数，主要取决于道路交通密度和请求使用VLPZ的车辆数量
  • 如果车辆合理，则可大大减少占用率

这些车辆总是倾向于以最小的可能成本保护其位置隐私
在我们的框架中，成本表示为车辆行驶到VLPZ所花费的时间，并通过这段时间的假名的损失来量化
如果这些车辆达到了所需的隐私级别（A_d），则可以期望它们不合作（只有当他们的位置隐私级别位于A_d之下时，他们才请求访问VLPZ）

• 为VLPZ提出了一种基于信誉的机制，以增加其占用率
  • 通过RSU_vzs广播访问车辆的邀请
  • 根据车辆对收到的邀请的响应来计算其信誉值
  • 如果VLPZ收到车辆的正面回应，车辆的声誉价值将得到提高
  • 如果车辆拒绝邀请，其声誉值将降低
  • 信誉值是根据VLPZ在t_j的占用率来计算的
    • t_j表示车辆从VLPZ接受第j个邀请时退出VLPZ的时间，否则，t_j是拒绝邀请的时间
    • R^j-1_i是车辆i的旧声誉值
    • 以下公式给出了第j个邀请后给定车辆i的声誉值（R^j_i）。
      
    • i的信誉值随着合作而增加。 因此，每当车辆i需要访问VLPZ时，就会使用信誉的累积值

六、VLPZ的最佳部署

• VLPZ的设计类似于加油站等广泛的RI
• 需要在现有RI上优化VLPZ的位置，以使VLPZ仅在需要时才在给定RI上激活
• 在本节中，将VLPZ最佳部署在给定单元上存在的RI上，作为时间的函数
  • 提出一种模型，以根据交通密度和车辆进入VLPZ的需求来估算给定单元格所需的VLPZ
  • 定义一个目标函数，以选择最佳的路边基础设施来托管VLPZ，以减少车辆在时间上的运输成本

A. 作为时间函数所需的VLPZ

模型

• 提供了一个随机模型，以估计在给定单元格内要进入VLPZ的车辆数量与时间的关系
  • 目的是能够预测给定单元所需的VLPZ的最佳数量随时间的变化
• 假设给定的单元格包含单个VLPZ。 我们定义了如图3所示的随机模型，如下所示。
  
  说明
• 车辆到达V_A遵循泊松过程Y，并且V_A的到达时间t_A具有平均数为λ的指数分布
• 在其驻留在单元格中期间，如果车辆的位置隐私保护级别低于要求的级别，则车辆可以进入VLPZ，或者响应VLPZ的邀请
• 定义了另一个随机过程M，与到达随机过程Y无关
  • 当车辆进入单元格时，M用正概率ρ（t）标记其中一些
    • ρ（t）模拟了车辆在其驻留期间在单元格中进入VLPZ的意愿
    • ρ（t）是随时间变化的概率，因为它取决于时间上单元格中的业务量密度
      • 交通密度越高，进入VLPZ的车辆越多
  • 未标记为M的车辆在其驻留在单元格中期间不会进入VLPZ
• 还假设一个随机过程R，它指定了单元内每辆车将花费的时间
  • 可以使用具有分布函数F_G的随机变量（G）对驻留时间进行建模
  • 车辆的停留时间与到达过程Y和标记过程M无关

函数

• 在t = 0时，我们假设VLPZ内部没有车辆
• 令{X（t）| t≥0}是一个计数过程，该过程对打算在单元格中驻留期间进入VLPZ的车辆数量进行计数，作为时间t的函数
• E [X（t）]在时间t驻留在单元中的标记车辆的预期数量
• 根据总概率定律，我们有：
  
  γ（t）是给定的到达车辆以M标识为正概率并且在时间t处仍停留在单元格中的概率。 假设有n≥0辆车到达[0，t]，它们的到达时间均匀地分布在[0，t]中，则
  
  u是[0，t]上的统一随机变量
  
  {X（t）| t≥0}是泊松过程
  
  期望E [X（t）]
  (6)
  在估算了要在其驻留期间进入VLPZ的车辆的数量之后，我们可以按时间预测单元中所需的VLPZ的数量，该数量由N_vlpz（t）表示，并由以下公式给出：
  (7)
  其中K_opt是VLPZ的最佳容量，由系统设计人员确定。 我们将N_max表示给定单元中所需VLPZ的最大数量。

[26] G. Yan, S. Olariu, J. Wang, and S. Arif, “Towards providing scalable and robust privacy in vehicular networks,” IEEE Trans. Parallel Distrib. Syst., vol. 25, no. 7, pp. 1896–1906, Jul. 2014.

B.VLPZ的最佳放置

问题：在给定单元格中m个RI且m> = N_max的情况下，以降低车辆运输成本为目标函数的VLPZ最好的RI是什么？

将问题表述如下

• 令i = {1，…，n}在时间t在给定单元格的现有车辆集合
• 令j = {1，…，m}为承载VLPZ的RI候选集
• 令c_ij车辆i转移到RI_j所花费的运输成本
• 令y_j为二进制决策变量，它指示在时间t选择了基础架构来托管VLPZ
• x_ij一个二进制变量，指示将车辆i分配给RI_j

为了选择最佳的RI来承载所需的VLPZ，我们应该最小化以下目标函数F，该目标函数F旨在最小化车辆迁移到VLPZ的运输成本

运输成本c_ij可以表示为车辆i到达候选RI_j所花费的时间，并通过这段时间的假名损失来量化，可以使用以下公式计算：

• d_ij：车辆i与候选路边基础设施j之间的距离
• v：车辆的平均速度（米/秒）
• η：假名的变化频率（pseudo / s）
  我们假设v和η是固定值。 因此，可以将目标函数F重写为d_ij的函数，如下所示：
  
  该解决方案的可行性取决于不同的约束条件，这些约束条件由以下等式表示：
  （11）确保将每辆i仅分配给一个RI
  （12）确保选择的RI数量等于在时间t所需的VLPZ数量（Nvlpz（t））
  （13）确保分配给每个RI的车辆数量不超过RI的容量（Kopt）数量
  （14）和（15）是完整性约束
  

七、性能评估

A.隐私保护

• 实现了一组仿真来评估所提出的框架提供的隐私保护程度
  • 静脉是用于执行这些模拟的模拟框架
    • 静脉的主要基础是OMNet ++和SUMO
      • 这些模拟工具是双向耦合的，并在模拟运行时通过TCP套接字进行通信
    • 静脉的强烈特征是它是完全基于802.11p和IEEE1609.4DSRC/WAVE网络层的
  • 我们的模拟中考虑的参数总结在表二中
    
    模拟详情
• 模拟了美国纽约市曼哈顿的交通
• 2km x 2km大小的感兴趣区域（ROI）
• 车辆是使用SUMO生产的，需要在城市上空行驶1小时
• 在地图的随机位置上安装了一组VLPZ（从3到5）
• 根据正态分布N（μ，σ）初始化车辆的隐私级别值和声誉值，均值等于μ= 1.5
• 假定所有车辆的要求水平及其灵敏度参数均相等
• 用不同的随机种子进行了多次模拟，计算了95%置信区间的平均值

---

• 图4说明了该框架的两个变体之间在车辆隐私保护级别随时间变化方面的比较
  1. 不使用基于信誉的机制来激励车辆进入VLPZ的基准版本
  2. 完整版本
• 从图中可以看出，使用完整版本获得的隐私保护级别的平均值超过了使用基线获得的隐私保护级别的平均值。
  -由于激励机制，即使它们达到了与其他车辆合作所需的水平，车辆会进入VLPZ，这使得每当隐私级别A_d降低时，它都会将平均隐私级别重置为A_d
  

---

• 图5中，我们研究了已部署的VLPZ数量对车辆随时间推移获得的平均位置隐私保护级别的影响

  • 平均隐私级别随部署的VLPZ数量的增加而增加。
  • 在部署了大量VLPZ的情况下，车辆有更多机会进入VLPZ。
    

• 如图6所示，我们还研究了交通密度对车辆随时间推移获得的平均隐私保护级别的影响

  • 考虑了两个交通密度值50 veh / km2和75 veh / km^2
  • 平均隐私级别随流量密度增加
  • 可以解释为，由于道路上存在车辆，车辆更有可能通过VLPZ
    

• 图7总体上显示了VLPZ的占用率随流量密度的增加而增加
  

---

• 图8中，研究了随着时间的推移，对手的力量对车辆所获得的平均位置隐私保护级别的影响
  • 平均隐私级别随对手能力的提高而降低
    

B. 所需VLPZ的预期数量

• 计算给定单元所需的VLPZ数量的实用性

  • 分析了公式（6）中给出的积分，并使用公式（7）计算所需的VLPZ

• 假设

  • 车辆以1000 veh / h的恒定速率到达该单元
  • 单元格内车辆的驻留时间以分布函数F_G = 1-e^-μt呈指数分布，平均1 /λ等于1小时
  • M是随时间变化的随机过程，它根据单元格中的流量密度标记车辆
    • 为了建立模型M，我们使用了最近发布的卢森堡市24小时交通流量的真实测量结果[31]
  • 在高峰时段只有10％的车辆打算进入VLPZ，而VLPZ的最佳容量（K_opt）等于10

• 图9展示了所需的VLPZ的预期数量（N_vlpz（t））24天小时的函数

  • N_vlpz（t）从大约凌晨5点开始逐渐增加，直到在上午8点达到最大值（N_max = 10）VLPZs
  • N_vlpz（t）减小直到大约11点
  • 在12 pm和3 pm之间，N_vlpz（t）会稍微增加和减少
  • 下午4点开始，N_vlpz（t）重新开始逐渐增加，逐渐接近最大值，直到晚上7点左右达到最大值
  • 从晚上8点开始，N_vlpz（t）逐渐减小，直到一天结束

C.RI的选择

选择最佳的RI来承载VLPZ是Np-hard问题

NP是指非确定性多项式（non-deterministic polynomial，缩写NP）。所谓的非确定性是指，可用一定数量的运算去解决多项式时间内可解决的问题。指所有NP问题都能在多项式时间复杂度内归约到的问题。—— 百度百科

• 提出一种简单的算法，以选择最佳的路边基础设施来托管VLPZ
  • 首先建议使用k-均值聚类算法的变体将车辆分组为具有相同大小K_opt的N_vlpz（t）聚类
    • 可以使用ELKI Framework在[32]中提出的算法
  • 然后，我们创建一个列表，其中包含一个群集的每个质心与每个候选路边基础设施j之间的距
    • 此列表按从最小到最大的距离排序
  • 之后，开始选择N_vlpz（t）路边基础设施（Ψ）列表
    • 在每一轮中
      • （i）选择列表的第一个元素
      • （ii）将路边基础设施j纳入Ψ
      • （iii）通过删除从质心到其他路边基础设施的距离以及从j到其他质心的距离来更新列表
  • 该算法一直运行到完成N_vlpz（t）路边基础设施的选择为止

一个示例

• 如图10a所示，
  • 假设一个单元包含10个RI候选对象和70辆车
  • 使用Matlab随机生成车辆和RI的位置，每个RI的容量（K_opt）等于10
  • 应选择的RI数量等于7
• 图10b说明了已创建的7个群集 使用ELKI Framework提出的k-means修改版本及其质心-
• 图10c示出了运行选择算法之后的所选择的RI
  

八、讨论与结论

讨论

优点

• PRIVANET主要带来了当前安全标准（IEEE 1609.2 [5]和ETSI 102941-v1.1.1 [6]）中尚未实现的新解决方案
  • 提出了一种有效的假名更改策略，并从假名中提出了一种新的IP / MAC生成机制
  • 建议对安全标准中已经提出的解决方案进行改进
  • 例：一种假名集分发方法，该方法比安全标准提出的开销低
  • 层次结构使管理变得容易，其模块化和可扩展性使其非常适合VANET的未来部署

局限性

• 主动的对手模型
  • 这种类型的对手会使建议的隐私保护方法无效
    • 例：一个主动对手如果控制RSU_VLPZ，则可以知道所有分布式假名集。 结果，即使车辆更改了假名，对手仍会跟踪车辆
    • 如果一个主动的对手控制了所有的 VLPZ，由于对手可以轻松地在进入VLPZ的车辆与退出VLPZ的车辆之间进行匹配，因此更改假名将变得无效
• PRIVANET中主动对手的影响取决于其覆盖范围
  • 对所有VLPZ的控制比对一两个VLPZ的控制更为严格
  • 为了克服这个问题，PRIVANET应该建立在强大的安全体系结构上，该体系结构可以检测主动的攻击者并从系统中将其撤消

结论

• 提出了PRIVANET，这是一个易于在现实世界中轻松部署并被ITS社区采用的完整框架
  • 分层结构，主要基于称为车辆位置隐私区域（Vehicular Location Privacy Zones）的逻辑区域（ VLPZ）
    • 它认为车辆地理区域被划分为网格，其中每个单元包含一个或多个VLPZ
    • 这些区域可以轻松部署在广泛的路边基础设施（RI）上，例如加油站和电动汽车充电站
  • 拟议的框架包括不同的构建块，以解决假名更改方法的关键问题
    • 有效的假名更改和管理
    • 克服车辆自私行为的机制
• 提出了在RI上VLPZ的最佳部署
  • 通过广泛的仿真对框架进行了评估和验证，获得的结果是有希望的
  • 显示了所提议框架为VANET用户提供有效和安全的隐私保护的能力