馮景瑜 楊錦雯 張瑞通 張文波

(西安郵電大學網(wǎng)絡空間安全學院 西安 710121) (無線網(wǎng)絡安全技術國家工程實驗室(西安郵電大學) 西安 710121)

5G時代的來臨，促使物聯(lián)網(wǎng)設備滲透到各行各業(yè)，與工業(yè)設備設施、醫(yī)療儀器、交通工具、智慧城市、智能家居等領域進行深度融合，實現(xiàn)“萬物互聯(lián)”.在2020年，全球物聯(lián)網(wǎng)連接設備數(shù)量將達到385億，這一趨勢或許會進一步延續(xù)到2030年，將有萬億臺設備接入網(wǎng)絡[1].隨著物聯(lián)網(wǎng)中業(yè)務需求的日趨多樣化，有限的頻譜資源必將難以滿足日益增長的物聯(lián)網(wǎng)設備的需求[2].據(jù)產(chǎn)業(yè)界預測，到2020年移動通信頻率需求總量為1 390～1 960 MHz，我國預測結果為1 490～1 810 MHz，頻率缺口達到1 GHz[3].

與此同時，大部分已分配的頻譜未被充分利用，美國聯(lián)邦通信委員會調(diào)查發(fā)現(xiàn)，某些授權用戶(licensed user, LU)的頻譜利用率低于6%[4].工信部無線電管理局[5]認為：通過精細化管理，實現(xiàn)中、高頻段的頻譜共享，從而提高頻譜利用率，是緩解頻譜供需矛盾的一劑良方.因此，為滿足海量物聯(lián)網(wǎng)設備接入造成的頻譜資源日益緊缺情況，通過頻譜共享來提高有限頻譜資源的利用率和接入效率顯得尤為重要.

激勵機制對于頻譜共享具有重要作用.只有網(wǎng)絡中的用戶都積極參與，頻譜共享在物聯(lián)網(wǎng)中才能有效實施.然而，當前國內(nèi)外對于頻譜共享激勵機制的研究，主要從非授權用戶的角度，激勵其以相互協(xié)作的方式感知授權用戶的空閑頻譜.文獻[6]提出基于反向拍賣的貨幣激勵機制來激勵非授權用戶參與感知;文獻[7]采用基于期望效用最大化的定價機制激勵用戶參與感知;文獻[8]分別利用基于進化博弈與斯坦克伯格博弈模型的協(xié)作頻譜感知方案來提高檢測性能;文獻[9]提出基于遺傳算法的分布式聯(lián)盟博弈，網(wǎng)絡中的未授權用戶形成最優(yōu)聯(lián)盟并于其他未授權用戶協(xié)作，從而顯著提高其他認知用戶的感知性能.

從授權用戶角度研究的頻譜共享激勵機制相對較少，而且偏向于資源和貨幣交換的方法.在資源交換方法中，非授權用戶以協(xié)作中繼或友好干擾的方式幫助授權用戶安全的通信，作為回報，授權用戶為其提供一定的許可頻譜訪問時間[10].但資源交換方法在授權用戶沒有數(shù)據(jù)需要中繼時，非授權用戶就無法獲得頻譜訪問的機會，提高頻譜利用率的目標是失敗的.在貨幣交換方法中，拍賣是最典型的形式.文獻[11]提出了一種具有時變估價信息的拍賣機制，以盡量增加拍賣收入來鼓勵授權用戶加入市場.文獻[12]提出在動態(tài)二級市場中增加拍賣收益來提高頻譜利用率.但拍賣的效率較低，且可能需要多次迭代才能達到穩(wěn)定方案；其實，資源和貨幣交換機制只能在短期無記憶系統(tǒng)中使用，對于長期系統(tǒng)而言，以信譽交換為基礎的注重長期行為的激勵機制更為合適[13].

特別地，一些授權用戶出于顧慮位置隱私泄露，會比較猶豫共享其空閑頻譜[14].位置隱私的泄露將給授權用戶帶來很大的風險.攻擊者可以根據(jù)日常行為的位置軌跡，分析出特定用戶的敏感信息，如生活習慣、工作地點以及社會關系等[15].但是，對于抗位置隱私泄露的激勵機制，目前的國內(nèi)外研究仍偏向于保護未授權用戶的位置隱私，激勵其相互協(xié)作去感知授權用戶的空閑頻譜.在防止位置隱私泄露方面，k匿名方法具有不依賴復雜的密碼技術、可有效地降低用戶的計算開銷、查詢結果準確等優(yōu)點[16].k匿名方法的主要思想是將請求位置保護的用戶與至少k-1個用戶混合在一起，形成至少包含k個用戶的匿名區(qū)域，將匿名區(qū)域代替請求用戶的真實位置.文獻[6]在激勵未授權用戶的同時，提出基于社交網(wǎng)絡的位置k-匿名分組算法，防止幫助者的隱私受到惡意請求者或移動用戶的攻擊.文獻[17]提出基于密碼機制的隱私保護協(xié)議實現(xiàn)對未授權用戶的隱私保護，以支持未授權用戶參與感知任務的激勵機制.對于支撐授權用戶位置隱私保護的激勵機制，尚未得到有效關注和研究.事實上，授權用戶的位置隱私要是得不到保護，將進一步加劇授權用戶的自私性，甚至會嚴重制約頻譜共享在物聯(lián)網(wǎng)中的有效實施.因此，如何防止授權用戶的位置隱私泄露，在此基礎上激勵授權用戶積極參與頻譜共享，已成為當前迫切需要解決的問題.

本文提出了一種抗位置隱私泄露的物聯(lián)網(wǎng)頻譜共享激勵機制.本文的主要創(chuàng)新之處有3個方面：

1) 采用Geohash編碼前綴和二進制編碼后綴相結合的k匿名區(qū)域位置編碼方式，設計編碼優(yōu)化的Casper模型(GB-Casper).將Amin和k值作為隱私保護需求，增強授權用戶的位置隱私安全性.位置匿名服務器(location anonymous server, LAS)通過Amin控制Geohash編碼長度，使用二進制編碼對區(qū)域進行細粒度劃分，然后根據(jù)Geohash編碼快速查詢該區(qū)域是否包含k-1個用戶，以此減少二進制編碼的編碼位數(shù)逐步擴大區(qū)域面積，得到滿足Amin和k的匿名區(qū)域，并將匿名區(qū)域的位置編碼發(fā)送給融合中心(fusion center, FC).

2) 根據(jù)信譽交換的激勵機制，引入了頻譜貢獻度，刻畫授權用戶的頻譜共享行為.注意到一個授權用戶只能擁有一個許可頻段，但在海量物聯(lián)網(wǎng)設備接入的環(huán)境中，可能擁有多個附屬設備.由于頻譜資源的緊缺，并不是每個附屬設備都能獲取許可頻段.如果某個授權用戶積極貢獻空閑的頻譜資源，頻譜貢獻度就會越高，該授權用戶的附屬設備獲得其余空閑頻譜的優(yōu)先權就越大.

3) 量化頻譜共享度和位置隱私保護水平到博弈模型中.通過分析期望效用函數(shù)，在GB-Casper模型使得授權用戶位置被猜中概率極低的條件下，位置隱私保護水平將始終在高峰值，共享概率就直接取決于頻譜貢獻度的高低，此時授權用戶只有積極參與頻譜共享才能達到最優(yōu)策略.

1 系統(tǒng)模型

物聯(lián)網(wǎng)中的頻譜共享方案，可采用云+邊緣計算架構[18]實現(xiàn).如圖1所示，該架構包含云層、邊緣層和用戶層.

Fig. 1 Cloud+edge architecture for spectrum sharing圖1 頻譜共享的云+邊緣計算架構

1) 云層.FC使用相關數(shù)據(jù)融合算法，合并來自所有邊緣層的感知數(shù)據(jù)，得出關于授權用戶可用頻譜的最終感知決策.FC也將頻譜共享活動中產(chǎn)生的各種數(shù)據(jù)存儲于云中.

2) 邊緣層.頻譜共享在物聯(lián)網(wǎng)中的關鍵環(huán)節(jié)是未授權用戶(以下稱為認知用戶)通過認知無線電技術具有頻譜感知功能，可以自動感知周圍授權用戶的頻譜使用情況，在不干擾授權用戶的前提下接入其空閑頻譜資源[19].在實際環(huán)境中，由于陰影效應和多徑衰落等因素的存在，單用戶的頻譜感知結果往往不準確，多用戶的協(xié)作頻譜感知能達到更好的感知性能[20].于是，多個用戶充當邊緣服務器(edge serve, ES)的角色，分別感知授權用戶的頻譜使用情況，發(fā)送給FC.

Fig. 2 Overall system framework 圖2 系統(tǒng)整體框架

3) 用戶層.主要由授權用戶和認知用戶構成.在不同的物聯(lián)網(wǎng)業(yè)務需求和應用環(huán)境下，授權用戶貢獻空閑的頻譜資源，認知用戶期待獲得頻譜共享的機會.

圖2描述了抗位置隱私泄露的物聯(lián)網(wǎng)頻譜共享激勵機制整體框架.授權用戶愿意共享空閑頻譜時，會觸發(fā)GB-Casper模型保護其位置隱私，在此條件下引入頻譜貢獻度激勵授權用戶，使得物聯(lián)網(wǎng)頻譜共享成為一個互惠互助的生態(tài)系統(tǒng).

2 位置隱私的抗泄露實現(xiàn)

在頻譜共享中，授權用戶需要提交一定范圍的位置信息，以便對其空閑頻譜進行充分利用.授權用戶的精確位置可用二維經(jīng)緯坐標Loc=(Lat，Lng)表示.當FC不誠實或被惡意用戶攻破時，若不對Loc進行保護，會導致授權用戶的位置隱私泄露.本文提出編碼優(yōu)化的GB-Casper模型，將授權用戶的精確位置信息模糊泛化到匿名空間區(qū)域.

2.1 GB-Casper模型設計

Geohash是一種地理編碼方法，主要思想是將地球看成一個二維矩形平面，利用類二分法遞歸劃分經(jīng)緯度范圍，用一維的編碼字符串表示地球上的每一個坐標[21].Geohash編碼對應的精度如表1[22]所示:

Table 1 The Precision of Geohash Encoding表1 Geohash編碼精度

授權用戶可以通過網(wǎng)絡定位技術來獲取自己的二維經(jīng)緯坐標Loc，然后對Loc進行Geohash編碼.

LAS負責根據(jù)授權用戶發(fā)送的位置編碼、隱私保護需求Amin和k值，構造匿名區(qū)域代替用戶的位置.FC負責接收授權用戶的共享許可信息S[i]和認知用戶的請求信息Q[j]，為認知用戶分配附近的空閑頻譜.

GB-Casper的實現(xiàn)包括3個階段：授權用戶計算位置編碼、LAS構建匿名區(qū)域、隱私感知查詢處理.

2.1.1 授權用戶計算位置編碼

使用二分法逼近準確的經(jīng)緯度時，不能進行無窮的計算.由表1得到當Geohash編碼長度為9時，精度在2 m左右，足夠代表授權用戶的真實位置，因此每個授權用戶統(tǒng)一選擇9位Geohash編碼作為位置信息，發(fā)送給LAS.

2.1.2 LAS構建匿名區(qū)域

LAS建立Hash表(Hash table, HT)存放授權用戶的信息，如表2所示，格式為(ID,GH,privacy).其中，ID表示授權用戶的身份信息，GH表示授權用戶的9位Geohash編碼，privacy表示授權用戶的位置隱私保護需求，包括k和Amin兩個參數(shù).

Table 2 LU’s Hash Table表2 授權用戶Hash表

以第i個授權用戶(LUi)為例，假設LAS需要構建滿足區(qū)域面積AR≥2 500m2、用戶數(shù)量N≥6的矩形匿名區(qū)域.通過減少GH的位數(shù)可以擴展矩形匿名區(qū)域的面積，但Geohash采用Base32編碼，編碼長度相差1 b，匿名區(qū)域面積相差32倍，區(qū)域增長過快，會導致隱私保護強度和服務質(zhì)量之間的矛盾更加嚴重.二進制編碼可以實現(xiàn)對匿名區(qū)域細粒度的劃分，編碼位數(shù)卻太多，占用的內(nèi)存太大.為此，本文將Geohash與二進制編碼相結合，保證細粒度劃分的同時，占用較小的內(nèi)存.

使用該混合編碼方法構建匿名區(qū)域，分為兩步：

1) LAS根據(jù)LUi的GH和Amin，得到區(qū)域面積大于且最接近Amin的編碼長度i和區(qū)域面積小于且最接近Amin的編碼長度j.比如，i=7的Geohash編碼對應的區(qū)域面積AR≈23 301.96 m2，大于且最接近Amin=2 500 m2；j=8的Geohash編碼對應的區(qū)域面積AR≈725.8 m2，小于且最接近Amin=2 500 m2.

2) LAS對編碼長度i對應的匿名區(qū)域進行二進制編碼.

根據(jù)Geohash編碼的特性，若j為偶數(shù)位，i對應的匿名區(qū)域按照“緯，經(jīng)，緯，經(jīng)，緯”的順序劃分來得到如圖3所示的第j位編碼字符；若j為奇數(shù)位，則按照“經(jīng)，緯，經(jīng)，緯，經(jīng)”的順序劃分得到如圖4所示的第j位編碼字符.

Fig. 3 Base32 encoding process and character table for the even bit character of Geohash圖3 Geohash偶數(shù)位字符Base32編碼過程及字符表

Fig. 4 Base32 encoding process and character table for the odd bit character of Geohash圖4 Geohash奇數(shù)位字符Base32編碼過程及字符表

從圖3可以看出，i=7對應的匿名區(qū)域按照“緯，經(jīng)，緯，經(jīng)，緯”的順序劃分，區(qū)域面積依次縮小12.縮小到18得到的AR≈2 912.7m2，滿足AR≥Amin，故用7位Geohash編碼結合二進制后綴000作為區(qū)域編碼，記為yzhsd8k_000.

判斷該區(qū)域的用戶數(shù)是否滿足N≥k.LAS擁有授權用戶的9位Geohash編碼，從圖3可以看出二進制后綴000代替了Base32編碼1,3,0,2，根據(jù)Geohash同層相鄰位置的編碼前綴相同的特性，前7位字符與LUi相同，第8位字符為1,3,0,2的用戶為LUi匿名區(qū)域所包含的用戶.利用Geohash編碼快速查詢的優(yōu)越性，判斷是否滿足N≥6，若滿足則將yzhsd8k_000作為LUi的匿名區(qū)域發(fā)送給FC；若不滿足，將匿名區(qū)域縮小到14，即為yzhsd8k_00，判斷該匿名區(qū)域是否滿足N≥6，以此類推.若減少到y(tǒng)zhsd8k時仍未滿足N≥6，則根據(jù)圖4得到最后一位字符k的劃分順序，依次判斷匿名區(qū)yzhsd8_1001,yzhsd8_100,yzhsd8_10和yzhsd8_1是否滿足k值，若仍不滿足，則遞歸計算到滿足為止.

基于Geohash和二進制相結合的混合編碼方法，構建可信匿名區(qū)域的過程可由算法1實現(xiàn).

算法1.可信匿名區(qū)域構建方法.

輸入：GH，k，Amin，HT;

輸出：匿名區(qū)域編碼CAC.

① 初始化CAC=?;

②GHi,GHi+1←Ai

③ ifAi2≥Amin且Ai4

④A=Ai2;

⑤ 二進制編碼←GHi+1;*根據(jù)GHi+1得到二進制編碼*

⑥ elifAi4≥Amin且Ai8

⑦A=Ai4;

⑧ 二進制編碼←GHi+1;

⑨ elifAi8≥Amin且Ai16

⑩A=Ai8;

2.1.3 隱私感知查詢處理

將隱私感知查詢處理器嵌入到FC中的主要目標是為認知用戶提供高效、準確和匿名的基于位置的頻譜共享服務.

隱私感知查詢處理的實現(xiàn)包括2個階段：

1) FC查詢

以第j個認知用戶(CUj)為例，F(xiàn)C接收到LAS轉(zhuǎn)發(fā)的CUj請求信息Q[j]，需要為CUj查詢附近是否存在授權用戶，并啟用邊緣層的協(xié)作頻譜感知檢查空閑頻譜.根據(jù)Geohash編碼的遞歸性，即下級單元網(wǎng)格由上級單元劃分得到，同層相鄰位置的Geohash編碼前綴相同，通過比較Geohash編碼前綴即可查詢附近授權用戶.但是，Geohash采用空間Z階曲線，存在突變?nèi)秉c：有些用戶相距很遠，編碼卻相近；有些用戶編碼不相近，距離卻很近.這會使查詢結果存在遺漏或偏差，可同時搜索該用戶所在區(qū)域的其他8個相鄰區(qū)域來解決.

假設CUj的位置編碼為kvbnc4zxm，LAS為CUj構建的匿名區(qū)域編碼為kvbnc4z_1010，F(xiàn)C為CUj查詢附近空閑頻譜的過程為：

① 判斷匿名區(qū)域的前綴中最后一位字符位數(shù)的奇偶性，即可得到二進制后綴的劃分順序，通過圖3和圖4中Geohash奇數(shù)位和偶數(shù)位Base32編碼過程和字符表確定后綴周圍8個網(wǎng)格的字符；

② 若后綴位于邊界，列出最后一個前綴字符周圍同方向的相鄰字符.若該字符也位于邊界，列出倒數(shù)第2個前綴字符周圍同方向的相鄰字符，以此類推.

CUj的前綴kvbnc4z的最后一位字符z為奇數(shù)位，則后綴1010對應的編碼過程如圖3所示.由于1010處在邊界，需要列出最后一位前綴字符z及其周圍同方向字符；而z也處于邊界，需要列出倒數(shù)第2個前綴字符4及其周圍同方向的相鄰字符，如圖5所示.最終得到與kvbnc4z_1010相鄰的8個區(qū)域為kvbnc5n_0101，kvbnc5p_0000，kvbnc5p_0001，kvbnc4y_1111，kvbnc4y_1101，kvbnc4z_1011，kvbnc4z_1000，kvbnc4z_1001.FC將這9個區(qū)域中感知到的空閑頻譜列表發(fā)送給LAS，并向授權用戶發(fā)出頻譜共享請求.

2) LAS篩選

LAS擁有用戶的9位Geohash編碼，收到FC發(fā)送的空閑頻譜列表后，可以得到授權用戶在網(wǎng)格中的空間分布.根據(jù)多區(qū)域鄰居距離方法[22]快速計算出列表中的授權用戶與CUj之間的距離，篩選出距離CUj最近的授權用戶，獲得CUj的共享許可信息S[i]后，LAS轉(zhuǎn)發(fā)S[i]給FC備案，分配可用的空閑頻譜給CUj.在這一過程中，LAS既保障了授權用戶的位置隱私保護，又保證了對認知用戶的服務質(zhì)量.

Fig. 5 Queries for eight contiguous regions圖5 8個相鄰區(qū)域的查詢

2.2 安全性分析

在位置隱私保護研究中，攻擊模型可以分為強攻擊者攻擊模型和弱攻擊者攻擊模型[23].考慮將FC視為強攻擊者，竊聽者為弱攻擊者.位置匿名服務器LAS通常都是假設可信的.

挑戰(zhàn)1.FC可以通過授權用戶的頻譜狀態(tài)和共享許可信息推斷出其個人敏感信息，是一個強攻擊者.如果FC可以成功地猜測出共享許可信息對應的指定用戶和確切位置，那么FC將贏得這個游戲.

定理1.GB-Casper可以抵抗FC的推斷攻擊.

證明. 在GB-Casper模型中，LU經(jīng)過LAS轉(zhuǎn)發(fā)給FC的共享許可信息為S[i]，其中位置信息經(jīng)過LAS的匿名處理，是一個滿足AR≥Amin，N≥k的匿名區(qū)域.通過這個信息，F(xiàn)C不能獲得授權用戶的信息和準確位置.即使FC知曉了授權用戶的準確位置，但該區(qū)域包含了N個用戶，所以授權用戶被猜中的概率為1N.

此外，在LAS構造的滿足AR≥Amin的匿名區(qū)域中，用戶在匿名區(qū)域中每一點的概率相等，因此可以抵抗區(qū)域中心和區(qū)域邊界攻擊，即使FC從N個用戶中猜測出了特定用戶，繼續(xù)猜中授權用戶位置的概率為1(N×AR).

證畢.

挑戰(zhàn)2.竊聽者擁有很少的授權用戶個人信息，主要通過竊聽授權用戶的通信信道，獲得敏感信息，屬于弱攻擊者.如果竊聽者成功獲得授權用戶的個人信息和精確位置，那么竊聽者將贏得游戲.

定理2.GB-Casper方案可以抵制竊聽者攻擊.

證明. 授權用戶向LAS發(fā)送的信息，即使被竊聽者得到，由于授權用戶的位置信息是9位的Geohash編碼，竊聽者在不知道具體編碼機制的情況下，很難推斷出對應的授權用戶位置.在LAS轉(zhuǎn)發(fā)信息給FC的過程中，弱攻擊者只能得到匿名區(qū)域，無法判斷出授權用戶的真實身份和準確位置.

證畢.

3 激勵機制設計

引入頻譜貢獻度，設計針對物聯(lián)網(wǎng)頻譜共享的激勵機制，量化頻譜共享度和位置隱私保護水平到博弈模型中，尋找授權用戶參與頻譜共享的最優(yōu)策略.

3.1 頻譜貢獻度計算

從社會學的角度來看，付出總會有回報.當某個授權用戶積極貢獻空閑的頻譜資源時，在其需要幫助時，就會得到優(yōu)先響應.本文根據(jù)授權用戶參與頻譜共享的情況，引入了頻譜貢獻度的概念.

注意到一個授權用戶只能擁有一個許可頻段，但在海量物聯(lián)網(wǎng)設備接入的環(huán)境中，可能擁有多個附屬設備.由于頻譜資源的緊缺，并不是每個附屬設備都能獲取許可頻段.如果某個授權用戶積極貢獻空閑的頻譜資源，頻譜貢獻度就會越高，該授權用戶的附屬設備獲得其余空閑頻譜的優(yōu)先權就越大.

每個授權用戶都有一個初始貢獻度C0，保證每個用戶的附屬設備在初試時刻都有機會獲得空閑頻譜.之后，授權用戶的頻譜貢獻度會隨著其頻譜共享行為而不斷更新.

頻譜貢獻度的計算取決于2個參數(shù)：活動因子Ai和獎罰因子RPi，如圖6所示.LUi的頻譜貢獻度計算函數(shù)可以定義為

Ci=f(Ai,RPi).

(1)

Fig. 6 Contribution degree evaluation圖6 貢獻度評估

活動因子Ai用來評估LUi是否積極參與頻譜共享.LUi參與頻譜共享的次數(shù)越多，得到的Ai的值越高.獎罰因子RPi表示LUi的可靠程度.LUi誠實參與頻譜共享的次數(shù)越多，得到的RPi值越高.

3.1.1 活動因子Ai計算

LUi的活動因子Ai可計算為

(2)

其中，qi表示LUi收到的頻譜共享請求次數(shù).(ri，pi)分別表示拒絕和參與頻譜共享的次數(shù)，且qi=ri+pi.

3.1.2 獎罰因子RPi計算

即使LUi同意共享其空閑頻譜，但pi并不總是可靠的.LUi發(fā)出共享許可信息S[i]后可能會后悔，拒絕任何認知用戶接入其空閑頻譜，S[i]從而成為虛假的共享許可信息.LUi也可能直接發(fā)出虛假的共享許可信息，擾亂物聯(lián)網(wǎng)中頻譜共享的有效實施.

設參數(shù)(fi,hi)分別表示LUi提供虛假和真實的共享許可信息次數(shù).如果LUi提供的共享許可信息被舉報為虛假，fi將增加1；如果誠實，hi將增加1.顯然，pi=hi+fi.

LUi的獎罰因子計算為

(3)

3.1.3 綜合指標

綜合獎罰因子RPi和活動因子Ai的加權，計算LUi的頻譜貢獻度為

(4)

類似地，可以計算網(wǎng)絡中每個授權用戶的頻譜貢獻度.對于網(wǎng)絡中的n個授權用戶，頻譜貢獻度集合可以表示為

C={C1,C2,…,Ci,Ci+1,…,Cn}.

為了方便比較貢獻度大小，避免一些授權用戶的貢獻度大于1，而另一些授權用戶的貢獻度小于1，使用離差標準化方法[24]對頻譜貢獻度進行歸一化處理，具體過程如算法2所示.

算法2.頻譜貢獻度歸一化算法.

輸入：C;

輸出：Ci′.

① 初始化Cmax=0,Cmin=1;

② for eachCido

③ ifCi>Cmaxthen

④Cmax=Ci;

⑤ end if

⑥ ifCi

⑦Cmin=Ci;

⑧ end if

⑨ end for

⑩ for eachCido

最后，為了更好地激勵授權用戶積極參與頻譜共享，可以采取3種指標策略：

1) 當Ci′≥C0時，LUi的附屬設備有著相對于普通認知用戶的空閑頻譜分配優(yōu)先權.

2) 當Ai

3) 當RPi

3.2 博弈模型

網(wǎng)絡中所有授權用戶都是博弈參與人，策略集有{共享，共享}、{共享，不共享}和{不共享，不共享}.設α表示頻譜共享收益，c表示貢獻度收益，β表示頻譜共享的成本，且β?α.LUi與LUj為任意一組博弈參與人，其效用矩陣如圖7所示:

Fig. 7 Utility matrix圖7 效用矩陣

根據(jù)效用矩陣得到LUi的期望效用函數(shù)為

ui(p,q)=pq(α+c-β)+p(1-q)(c-β)+
(1-p)qα=p(c-β)+qα,

(5)

LUj的期望效用函數(shù)為

uj(p,q)=pq(α+c-β)+p(1-q)α+
(1-p)q(c-β)=q(c-β)+pα,

(6)

其中，α，c和β都是定值，此時max_ui(p,q)和max_uj(p,q)取決于共享概率p和q.共享概率則依賴于授權用戶的頻譜貢獻度和位置隱私保護水平，計算方法為

p=θ×Ci,

(7)

q=θ×Cj,

(8)

θ表示GB-Casper模型的位置隱私保護水平，可由授權用戶位置被猜中的概率得出：

θ=1-1(N×AR).

(9)

GB-Casper模型使得授權用戶位置被猜中的概率極低，位置隱私保護水平將始終在高峰值，因而共享概率就直接取決于頻譜貢獻度的高低.授權用戶只有積極參與頻譜共享，提高頻譜貢獻度，得到的期望效用函數(shù)收益才會越大.

從上面的博弈模型得到結論：{共享，共享}為最優(yōu)策略.只要在保護位置隱私的條件下，授權用戶積極參與頻譜共享才能達到最優(yōu)策略.

4 仿真實驗與分析

4.1 仿真環(huán)境

本文使用Python3.6搭建實驗平臺，對所提方案進行仿真分析，驗證在位置隱私保護和頻譜共享激勵方面的效果.仿真環(huán)境參數(shù)設置如表3所示:

Table 3 Simulation Parameter Table表3 仿真參數(shù)表

4.2 位置隱私保護仿真分析與結果

首先分析位置隱私保護模型GB-Casper的有效性，將網(wǎng)絡中攻擊者的占比作為隱私泄露率[25].如圖8所示，隨著循環(huán)次數(shù)的增加，本文方案采用GB-Casper后，隱私泄露率逐漸由0.2逐漸降低至0，而沒有保護方案的隱私泄露率一直保持在0.2.可以看出GB-Casper模型能有效抑制隱私泄露，保護用戶的位置隱私.

分析GB-Casper模型的匿名處理時間.將最小匿名度k作為橫坐標，觀察匿名處理時間隨k值和用戶數(shù)量N值的變化情況.如圖9所示，匿名處理時間隨著N值的增大而減小，這是因為用戶密度小，LAS需要遞歸查詢k-1個近鄰，花費的時間就越多；用戶密度越大，LAS越容易查詢到k-1個近鄰，花費的時間就越少.

Fig. 9 Anonymous processing time for different k and N values圖9 不同k和N值的匿名處理時間

當然，在N值固定的情況下，匿名處理時間會隨著k值的增大而增加，此時需要遞歸查詢的次數(shù)越多，花費的時間就越多.

總體來看，GB-Casper模型在構建匿名區(qū)域時，通過比較Geohash編碼字符串的相似性，可以快速查詢k-1個近鄰，匿名處理時間短，隱私保護安全性強.雖然Geohash編碼與二進制編碼相結合劃分匿名區(qū)域仍然存在冗余，但在隱私感知查詢處理階段，LAS根據(jù)用戶的9位Geohash編碼對查詢結果進行篩選，得到相對精確的結果，不會影響服務質(zhì)量.相反，匿名區(qū)域冗余可以更好地保護授權用戶的位置隱私.

4.3 頻譜共享激勵仿真結果與分析

劃分授權用戶為2種類型：良好型和自私型.良好型授權用戶的行為模式是始終積極并誠實地共享其空閑頻譜.自私型授權用戶的行為模式包含2種情況：積極共享和消極共享.在積極共享下，自私型授權用戶采納激勵措施來共享其空閑頻譜.在消極共享下，自私型授權用戶可能通過共享保持一段時間的良好行為，然后在頻譜貢獻度大于C0后，拒絕參與頻譜共享.

設置初始自私型授權用戶的比例s=50%.如圖10所示，在沒有激勵機制的情況下，自私型授權用戶的比例一直沒有發(fā)生變化.有了激勵機制后，一些授權用戶為了其附屬設備獲得優(yōu)先權，就會積極參與頻譜共享，提高自身的頻譜貢獻度，逐漸改變自私的行為.

Fig. 10 Changes in the percentage of selfish LUs圖10 自私型授權用戶的比例變化

定義網(wǎng)絡中授權用戶的響應總數(shù)與認知用戶的頻譜請求總數(shù)在一個時間窗口Ts內(nèi)的比值為響應率.如圖11所示，在C0取不同值時，本文設計的激勵機制均能提高響應率.特別地，C0值越大，響應率就會越好.C0=0.8時，響應率最優(yōu).這是因為C0值越大，成為良好型授權用戶的門檻就越高，自私型授權用戶需要做出更多的努力來提高頻譜貢獻度.如果C0值較低，自私型授權用戶就會很容易到達期待的頻譜貢獻度，而后消極對待.

Fig. 11 Response ratio with different C0 values圖11 不同C0值的響應率

最后，觀察不同C0值下的頻譜貢獻度變化情況.如圖12(a)所示，在積極共享模式下，自私型授權用戶在頻譜貢獻度被抑制后，就會改過自新，積極參與頻譜共享，頻譜貢獻度會逐漸增加，直至趨近于1.如圖12(b)所示，在消極共享模式下，自私型授權用戶在頻譜貢獻度大于C0后，拒絕參與頻譜共享，就會造成頻譜貢獻度再次下滑.因此，本文提出的方案能成功跟蹤頻譜貢獻度隨著自私型授權用戶的頻譜貢獻行為而匹配變化.

Fig. 12 Variation of contribution degree at a selfish LU圖12 自私型授權用戶的頻譜貢獻度變化跟蹤

5 總 結

針對授權用戶因顧慮位置隱私泄露而不愿參與頻譜共享的問題，本文設計編碼優(yōu)化的GB-Casper方案，采用Geohash前綴和二進制后綴相結合的混合編碼方法，快速構建滿足授權用戶個性化隱私保護需求的k匿名區(qū)域，保護授權用戶的位置隱私.在此基礎上，提出了基于頻譜貢獻度的激勵機制.通過建立博弈模型的量化分析，授權用戶在抗位置隱私抗泄露的條件下參與頻譜共享，可達到最優(yōu)策略.仿真結果表明，本文提出的方案可以快速構建k匿名區(qū)域，抑制位置隱私泄露，而頻譜貢獻度的引入可以有效激勵自私型授權用戶積極參與頻譜共享.