随着无线通信技术、传感技术、定位技术以及汽车工业的快速发展,车载移动自组织网络(Vehicular Ad-hoc Networks,VANETs)成为了近年来的研究热点。VANETs中包含了两种类型的应用,一种是基于安全的应用,如碰撞警告,紧急报告等。这类应用依赖车辆定期广播包含了车辆身份信息和行驶状态信息的信标消息来实现,利用这些消息,车辆能够检测到可能对自己造成严重损害的碰撞事故,并及时做出决定以避免危险情况的发生。另一种则是以基于位置的服务(Location-based Service,LBS)为代表的增值服务应用。由于车辆在行驶过程中,往往需要导航服务或查询附近的加油站、服务区等,因此,LBS也成为VANETs中不可或缺的一部分。这两类应用在为车辆行驶带来更高安全性和便利性的同时,其存在的位置隐私泄露问题也日益突出。在VANETs基于安全的应用中,车辆定期广播的信标消息增强了道路安全性。然而,攻击者也可以通过窃听这些信标消息,对其中包含的车辆身份信息进行链接,实现对车辆轨迹的追踪。因此,现有研究都主张利用假名来取代信标消息中车辆的真实身份信息,且需要不断变换假名,否则攻击者仍然可以通过链接车辆唯一的假名对其轨迹进行追踪。现阶段,假名变换已经成为保护VANETs基于安全的应用的主流位置隐私保护方法。在VANETs的LBS应用中,考虑到车辆在发起LBS请求时,需要提交自己的位置信息给位置服务提供商(Location Service Provider,LSP)以获得相应的服务,而LSP可能搜集并滥用这些信息。因此,LBS在为车辆提供便捷的同时,也带来了位置隐私泄露的隐患。为此,研究者针对LBS应用提出了多种位置隐私保护方法。其中,基于差分隐私的方法由于具有不需要考虑攻击者的背景知识、能够为用户提供可证明的隐私安全、可以量化分析隐私泄露的风险等优点,受到了研究者的广泛关注。通过对以上两类应用的位置隐私保护现状进行调研和分析,本文发现现有工作仍然存在不足之处,并针对性地分别提出了两种基于差分隐私的位置隐私保护方案。本文的主要研究工作包括:(1)发现两类应用的位置隐私保护研究存在以下不足:1)对于VANETs基于安全的应用,现有的假名变换方法存在三个问题。第一,均需要对攻击者的先验知识和推断能力做出假设,一旦所做假设与攻击者实际所掌握的先验知识和推断能力不符,就无法保证方案的有效性。第二,均无法实现一种理想的隐私保护效果,即在攻击者已知系统所采用的假名变换策略的情况下,对于行驶状态越相似的车辆,攻击者越难以区分二者假名变换的结果。第三,均无法从理论上严格证明方案的隐私保护效果。2)对于VANETs中的LBS应用,现有基于差分隐私的研究大多数仅关注用户发起单次LBS请求的场景。由于差分隐私具有序列组合性,在使用差分隐私时,隐私预算的消耗会随着查询的数量线性增加。因此,当车辆用户发起连续LBS查询时,隐私预算会被快速消耗完,导致请求用户的位置隐私发生泄露。(2)针对VANETs中基于安全的应用,本文首先基于差分隐私定义了假名不可区分性的概念,使得无论攻击者拥有何种先验知识,都无法进一步推断出车辆假名变换的结果。据我们所知,我们首次将差分隐私应用于假名变换中。然后,本文提出了一种满足假名不可区分性的假名互换方案,基于车辆的行驶状态定义了相似性效用函数,利用差分隐私指数机制建立候选假名集与选择概率间的映射关系,以生成候选假名集上的概率分布,并根据概率分布进行概率采样,为参与假名变换的车辆确定新的假名。最后通过理论分析说明方案的安全性、有效性和收敛性,并通过实验分析说明本方案较其他方案成功抵抗假名链接攻击的概率更高,满足假名变换条件的概率更高,匿名集更大,所需假名更少,同时计算时延有限。(3)针对VANETs中的LBS应用,为了解决在连续LBS场景下使用差分隐私时存在的隐私预算消耗过快的问题,本文提出了一种基于协作和缓存的满足地理不可区分性的位置扰动机制。通过让请求车辆协作构造群组,并从中选择群组代理来基于差分隐私生成扰动位置并代理整个群组向LSP提交请求的方式,实现仅需消耗一个成员的隐私预算即可完成所有成员的查询需求。此过程中,群组成员需利用环签名技术向群组代理发送自己的查询内容,使得群组代理无法推断请求内容与请求者之间的映射关系。同时,本文还设计了一种历史扰动位置缓存机制以进一步减少群组代理隐私预算的消耗。最后,通过理论分析说明了方案的安全性、效用及时间复杂度,并通过实验仿真表明,无论车辆用户以较高频率或较低频率发起连续LBS请求,本文方案较其他方案均可支持更多次的查询请求,同时扰动距离误差更小,且具有较小的存储开销和计算时延。