[发明专利]海量物联网设备接入环境中的授权频谱共享系统及其方法

权利要求书

1.海量物联网设备接入环境中的快速授权频谱共享系统，其特征在于，包括授权频谱管理层、授权频谱分配协议层和用户行为安全层；

所述的授权频谱管理层包括授权用户行为数据库、次用户行为数据库；授权频谱管理是快速授权频谱共享方案的核心，在集中式环境中，授权频谱管理者来自融合中心；在分布式环境中，使用分布式选举方法从多个用户产生LSM；

为确保频谱的有序共享，授权用户和次用户都遵守LSM所管理的共享约束规则；

所述的授权频谱分配协议层，用于执行授权频谱分配协议；

所述的用户行为安全层，包括授权用户行为安全模块和次用户行为安全模块，用于支撑LSA协议，约束授权用户行为和次用户行为。

2.根据权利要求1所述的海量物联网设备接入环境中的快速授权频谱共享系统，其特征在于，所述的共享约束规则如下：

规则1：当LSM接收到授权用户声称他们的频谱是空闲的消息时，LSM可以将空闲的授权频谱分配给次用户；

规则2：如果授权用户想要收回它们的频段时，应该提前向LSM发送消息，声称他们将使用授权频段；然后，LSM将转发此消息，告诉次用户必须立即退出空闲的授权频谱，授权用户可以在次用户退出后继续使用该频段，显然FLSS方案保证了授权用户优先使用授权频段的权利；当授权用户发送收回频谱的消息时，可以自动设置一个很小的等待时间，如果次用户在等待时间之后没有退出正在使用的授权频段，授权用户有权收回它们的频谱；

规则3：次用户收到LSM转发的收回消息时，必须立即退出空闲的授权频段；

规则4：只有收到LSM的许可消息时，次用户才能使用空闲的授权频段；

规则5：每次只能将一个空闲的授权频段分配给一个次用户，如果次用户完成通信退出此频段时，LSM将这个空闲的授权段分配给另一个次用户；

规则6：即使空闲的授权频谱在次用户使用后没有被回收，该次用户也必须将其归还给LSM。

3.根据权利要求1所述的海量物联网设备接入环境中的快速授权频谱共享系统，其特征在于，所述的授权用户行为数据库由m个授权用户数据表组成，其中m是网络中授权用户的数量；次用户行为数据库由n个次用户数据表组成，其中n是网络中次用户的数量。

4.利用海量物联网设备接入环境中的快速授权频谱共享系统的方法，其特征在于，包括以下步骤：

步骤一，授权频谱管理

授权频谱管理是FLSS方案的核心，在集中式环境中，LSM可以来自融合中心；在分布式环境中，可以使用分布式选举方法从多个用户产生LSM；为确保频谱的有序共享，授权用户和次用户都遵守LSM所管理的共享约束规则，共享约束规则如下：

规则1：当LSM接收到授权用户声称他们的频谱是空闲的消息时，LSM可以将空闲的授权频谱分配给次用户；

规则2：如果授权用户想要收回它们的频段时，应该提前向LSM发送消息，声称他们将使用授权频段；然后，LSM将转发此消息，告诉次用户必须立即退出空闲的授权频谱，授权用户可以在次用户退出后继续使用该频段，显然FLSS方案保证了授权用户优先使用授权频段的权利；当授权用户发送收回频谱的消息时，可以自动设置一个很小的等待时间，如果次用户在等待时间之后没有退出正在使用的授权频段，授权用户有权收回它们的频谱；

规则3：次用户收到LSM转发的收回消息时，必须立即退出空闲的授权频段；

规则4：只有收到LSM的许可消息时，次用户才能使用空闲的授权频段；

规则5：每次只能将一个空闲的授权频段分配给一个次用户，如果SU完成通信退出此频段时，LSM将这个空闲的授权段分配给另一个次用户；

规则6：即使空闲的授权频谱在次用户使用后没有被回收，该次用户也必须将其归还给LSM；

步骤二，执行LSA协议，本步骤又包括以下步骤：

第一，一个授权用户发送共享信息S[i]＝(LU_i,k,ss_i^k＝0,lst_i^k,ds_i^k)，其中k表示S[i]的序列号，ds_i^k表示LU_i的数字签名信息，LSM根据S[i]更新LU的行为数据库，在FLSS方案中，授权用户行为安全模块用于支持授权用户的安全性能；

第二，一个SU发送访问信息Q[j]＝(SU_j,l,us_j^k＝1,sst_j^k)向LSM申请授权频谱，其中l表示Q[j]的序列号，ds_i^k表示LU_i的数字签名信息，LSM根据S[i]更新授权用户的行为数据库，在FLSS方案中，授权用户行为安全模块用于支持授权用户的安全性能，在FLSS方案中，次用户行为安全模块用于支持授权用户的安全性能；

第三，LSM向SU_j响应QueryHit消息QH[j]＝(SU_j,l,us_j^k＝1,per_ij^k＝0,τ)，LSM检查LU行为数据库，发现其中一个授权用户，例如LU_i的频谱是空闲的，因此，per_ij^k＝0表示SU_j可以获得使用LU_i空闲频谱的许可权，τ表示许可截止时刻，用于避免一些次用户对授权频谱的长期占用；

第四，LSM等待LU_i是否发送Recall消息R[i]＝(LU_i,k+r,ss_i^k＝1,let_i^r,ds_i^k+r)，r是一个随机整数；如果发送，将执行以下三个步骤：①LSM将R[i]转发给SU_j，②SU_j尽可能快地向LSM反馈关于LU_i的频谱状态，③LSM将一条RecallHit信息RH[i]＝(SU_j,k+r,us_j^k＝0,per_ij^k＝1)回复给LU_i，同时，LSM给予SU_j其他空闲频谱的许可权，如果没有发送，则LSM继续向SU_j授予权限，并转到第五步；

第五，LSM一直持续到终止时刻τ，如果达到终止时刻，LSM将撤销对SU_j的许可权，如果未达到，则转到第六步，并且将LU_i的空闲频谱使用许可权给予另一个次用户，直到LU_i发送Recall信息，此外，LSM可以在到达τ时刻之前给予SU_j多个机会以便申请新的许可权；

第六，LSM再次等待来自LU_i的Recall消息，如果收到消息，则转到第四步，如果收到消息，转到，如果未收到，LSM继续向SU_j授予权限；为了避免在传输过程中被劫持和篡改，应将LSA协议中的消息流设置为只读数据，包括Sharing消息，Query消息，QueryHit消息，Recall消息，RecallHit消息；

步骤三，用户行为安全，约束授权用户行为和次用户行为，具体如下：

(一)授权用户行为的安全性通过授权用户签名验证和信任管理来抑制

1)签名验证

为了检测恶意用户是否冒充为诚实的授权用户，应将数字签名信息添加到Sharing消息中，再以LU_i为例，将数字签名ds_i^k添加到S[i]中，ds_i^k可以计算为：

为了避免签名重复攻击的风险，将k添加到ds_i^k的计算中，h(·)是不可逆的哈希函数，其中恶意用户无法通过使用已知的因变量来推断自变量，sk_i为LU_i的私钥；

一旦LSM从LU_i接收到S[i]，LSM就可以用验证S[i]接收到的(ds_i^k,ss_i^k,k)数据中ds_i^k＝h(ss_i^k+k+sk_i)签名和自身持有的sk_i是否一致；如果不一致，则表示一个恶意用户可能冒充为LU_i，为了保持授权用户行为数据的可靠性，这些虚假的S[i]将被丢弃，特别地，恶意用户不能伪造ds_i^k的原因是a)sk_i只能被LSM和LU_i持有；b)由于不可逆的哈希函数，恶意用户无法推断出sk_i；

对于Recall消息R[i]，其签名应计算为ds_i^k+r＝h(ss_i^k+k+r+sk_i)，为了避免使用ds_i^k伪造R[i]，将随整数添加至k；

2)授权用户信任管理

为了分析授权用户的共享行为，可以使用信任管理来评估授权用户的信任度；如果恶意用户总是使用其自身的授权用户标识直接发送虚假的共享消息，那么获得比诚实授权用户更低的信任值；

在授权用户行为数据库中，LSM同时记录次用户使用授权频谱后的反馈信息，以LU_i为例，如果LU_i发送真实的共享信息，LU_i可以获得空闲的授权频谱并提交反馈信息SU_j(sf_i)＝0，其表示正常；如果SU_j将受到干扰，因此提交反馈信息SU_j(sf_i)＝1，其表示异常；

以LU_i而言，LSM可以统计正常反馈的次用户数目，直到第k个序列号，表示为nf^k_i，以及异常反馈的次用户的数目，直到第k个序列号，由af^k_i表示，LU_i在第k个序列号上的信任值可以计算为：

其中η是指数衰减因子，其与授权用户的数量(m)成正比，且与次用户的数量成反比，因此，η可以计算为：

假设θ是授权用户信任值的阈值，当lt_i^k≧θ时，LSM将接受LU_i的Sharing消息，否则，当lt_i^k<θ时，LSM将拒绝LU_i的Sharing消息；

为了抑制来自某些授权用户的虚假Sharing消息的影响，采取惩罚性措施，当lt_i^k<θ时，LU_i的附属次用户也不能获得来自其他授权用户的空闲频谱的使用许可权；

(二)次用户行为安全，通过恶意行为的防御措施和次用户信任管理来抑制1)防御措施

为了干扰频谱共享，具有次用户身份的恶意用户将违反包括共享约束规则3，规则4，规则6下的共享行为，从而导致三种类型的恶意行为，这三种类型的恶意行为及其防御措施的描述如下：

违反规则3-拒绝反馈恶意行为

描述：一些次用户收到Recall消息时拒绝立即返回空闲授权频谱；

防御措施：LSM使这些次用户离线一段时间并告诉授权用户让其收回次用户的频谱；与此同时，LSM记录与规则3相关的负面共享评级；

违反规则4-私自访问的恶意行为

描述：一些次用户在未经LSM许可的情况下私自访问授权的授权用户频谱；

防御措施：如果授权用户发现其自身的授权频谱被某些次用户占用但并未向LSM发送任何Sharing消息，可以向LSM发送投诉消息，然后，LSM将审查这些SU并使其断开接入一段时间，与此同时，LSM记录与规则4相关的负面共享评级；

违反规则6-占用空闲的恶意行为

描述：当一些次用户在使用授权频谱后仍未收到Recall消息时，会私自占有该空闲授权频谱；

防御措施：LSM应该不定期地检测获得许可的次用户信号，以检查其是否使用了授权频谱，如果没有，LSM会使其断开空闲频谱接入一段时间，与此同时，LSM记录与规则6相关的负面共享评级；

2)次用户信任管理

次用户的信任值对于LSM来说也是非常重要的，LSM可以将用作惩罚具有次用户标识的恶意用户的凭据，因此，还应采用信任管理通过分析次用户的共享行为来评估其信任度，如果恶意用户总是通过违反共享约束规则来干扰频谱共享，那么其将获得比诚实次用户更低的信任值；

从抑制恶意行为的角度，可以评估每个次用户的个体信任系数，截止目前，主要注意到三种恶意行为，包括拒绝反馈，私自访问和占用空闲；

为确保对各个信任系数评估的可扩展性，对于多种恶意行为可以采用二元性共享评级，让B＝{mb₁,…,mb_h,…,mb_g}表示恶意行为的集合，其中mb_h表示第h个恶意行为且g表示恶意行为的数量，对于SU_j，LSM可以统计与第h个恶意行为相关的积极共享评级的数量，一直统计到第l个恶意行为，表示为以及与第h个恶意行为相关的消极共享评级的数量，一直统计到第l个恶意行为，表示为对应于第l个序号的mb_h的SU_j的第h个信任系数被评估为：

信任系数可以通过负面和积极共享评级数量来计算，为了加大因负面共享评级数量增值对于信任系数的衰减，使用SU_j在所有中的非零最小值作为积极共享评级数量的计算因子，以此，刺激次用户对于共享约束规则的遵守；

最后，将与各种恶意行为相关的所有个体信任系数合并为次用户信任值，SU_j在第l个恶意行为中的信任值可以被评估为：

其中w_h是第h个体信任值系数的权重且λ是个体信任系数的基本权重，

w_h与λ之间的关系是w_h＝u_h*λ和其中u_h是由LSM给出的第h个体信任值的关键性倍数，是对的惩罚，其意味着危害最大的恶意行为将导致次用户信任值的降低，δ是次用户信任值的阈值，当时，LSM将不会向SU_j授予频谱共享许可。