开放科学（资源服务）标志码（OSID）：

0 概述

物联网（Internet of Things，IoT）的提出推动了全球无线设备使用的快速增长。互联无线设备的迅速发展极大增加了用户对无线频谱的需求，使得频谱资源严重短缺。认知无线电网络（Cognitive Radio Network，CRN）^[1]已成为目前解决该问题的一种有效的技术，其支持动态频谱接入（Dynamic Spectrum Access，DSA），通过允许未经许可的二级用户（SU）利用经许可的一级用户（PU）的未使用频谱带（又名频谱空洞或空白空间）来提高频谱利用效率。

目前，主要采用2种方法识别频谱感知和地理定位频谱数据库的空白区域。在基于频谱感知的方法中，用户单元需要感知用户单元信道，以确定该信道是否有机会使用，而基于频谱数据库的方法放弃了感知要求，使用户能够查询数据库以了解其附近的频谱机会，这种方法由联邦通信委员会（Federal Communications Commission，FCC）推广和采用，作为解决基于频谱感知面临技术障碍时的一种方法，从而提高频谱利用的效率与可用频谱识别的准确性，并降低终端设备的复杂性^[2]。

联邦通信委员会已经指定了9个实体（例如谷歌^[3]、微软^[4]等）作为电视频段设备数据库管理员，要求他们遵守访问空白区协议（Protocol to Access White Space，PAWS）标准^[5]提供的指导方针。PAWS为频谱数据库和查询它的SU设置指导方针和操作要求。其中包括：SU需要具备地理定位能力，可以通过基站向数据库提交其具体位置，以在开始传输前检查信道可用性，数据库必须注册SU并管理其对频谱的访问，数据库必须用其附近可用信道的列表以及适当的传输参数来响应用户单元的查询。

尽管数据库驱动的CRN有其优点，但也带来了严重的安全和隐私威胁。在获得频谱可用性的同时，需要向数据库公开位置信息。当与公开位置信息结合时，很容易暴露关于个人的其他信息，包括他/她的行为、健康状况和个人习惯。例如，对手可以通过观察用户定期去医院来了解关于用户健康状况的一些信息。这些访问的频率和持续时间可以揭示用户疾病的严重性，甚至疾病的类型。当SU是可移动时，情况会变得更严重。根据PAWS的要求，SU需要在它们的位置改变至少100 m时查询数据库。这将使用户在移动时不断共享他们的位置，但可能被恶意服务提供商利用来进行跟踪^[6]。

在动态频谱接入的情况下，用户希望能够及时获得服务，同时保护他们的隐私。然而，由于用户会在使用频谱过程中发生移动以及频谱切换等操作，在动态频谱接入的不同阶段对隐私保护方案有着不同的需求。如在频谱感知阶段，更需要关心如何保护SU提交的位置数据不被泄露；在频谱接入阶段，PU和SU更关心交互信息如何不会导致他们的隐私泄漏。针对上述问题，本文提出一种基于盲签名^[7]的数据库驱动认知无线电网络的位置隐私保护方案。该方案利用盲签名和匿名技术分离用户身份和相关请求信息，以实现对SU的隐私保护，同时，秘密共享技术可保障数据传输的安全性和PU的隐私信息。最后通过缓存减少SU与数据库的交互次数，降低SU的隐私泄漏问题。

1 相关工作

数据库驱动的CRN现有的位置隐私保护技术通常依赖于k-匿名、差分隐私、私有信息检索、安全多方计算和加解密5种主要的隐私保护技术。

在保护SU的位置隐私方面，k-匿名技术虽然能够起到一定的保护作用，但是通常是发送虚假无用的消息，造成消息的冗余，很难在性能和保护的等级上找到好的平衡^[8-9]。基于PIR的方法比基于k-匿名的方法提供了更好的隐私性，但是产生了大量的计算和通信开销。文献[2]提出一种基于PIR的位置信息保存方案，将其坐标隐藏在其他信息中，在接收到盲查询后，数据库将其与频谱可用性信息矩阵相乘，并将结果发送回用户设备。SU是唯一得知致盲因子和用于转换原始查询的转换。因此，只有SU能够从数据库发送的结果中恢复频谱可用性信息。文献[10]提出一种使用布谷鸟过滤器向SU发送数据库的压缩版本的方案。在该方案中，SU仅将其特征而非其位置发送到DB，其使用DB来分配布谷鸟过滤器的内容。在接收到过滤器内容之后，SU构建包括其位置和其他参数的组合的查询，并查询过滤器以检查其是否包含所构建的查询。虽然它为SU提供了最佳的位置隐私，但当数据库很大时会导致相对较大的通信开销。文献[11]提出一种基于PIR的隐私保护协议，该协议依赖于希尔伯特空间填充曲线，是一种将空间从二维映射到一维的连续分形。基于该曲线对数据库进行索引，以解决存储单元的移动性问题，从而允许相邻单元存储在数据库中的连续位置。该方案考虑了移动SU，并利用轨迹信息来减少对数据库的PIR查询次数，以减少开销。然而，它仍然受到基于PIR方法的限制，即高计算开销。文献[12]基于多服务器的PIR，运用信息论和秘密共享的方法实现一种高效性与高容性的隐私保护策略。

在保护PU的位置隐私保护方面，文献[13]侧重于设计数据混淆技术，该方案在PU信息上添加混淆噪声以保护PU位置隐私，对SU的频谱可用性查询产生一定的影响。文献[14]利用操作系统作为混淆的对象，并将它们包含在一个位置隐藏集中，将差异隐私与预期的推断错误相结合，以提高PU的位置隐私。文献[15]提出一种有效的安全多方计算协议，利用Paillier密码系统的部分同态特征来保护PU隐私。上述解决方案是基于非共谋诚实但好奇的对手模型，但当数据库可以与SU勾结时，这些计划没有提供隐私保护。

对于同时对PU和SU的位置隐私保护方面，文献[16]提出一种保护PU和SU双方位置隐私的方法。SU使用二维拉普拉斯分布噪声的源自差异隐私的地理不可区分机制去模糊其位置，以及发送位置与实际位置之间最大距离的隐私级别。基于这些参数，基站决定发射功率和距离基站的半径或距离，为PU和SU提供不同的位置隐私，同时允许它们调整自己的隐私级别以最大化它们的效用。但是这种方法的目的是最大化效用和隐私级别，这两者总是相互冲突的，增加公共部门的隐私级别，通常会导致它们的效用降低。文献[6]添加了秘密共享^[17]技术实现对两者的保护，同时在效率和隐私力度上取得了很好的效果。文献[18-19]运用安全多方计算和同态加密实现了PU和SU的位置隐私保护，但是该方法开销较大，而且需要依赖可信第三方才能完成。文献[20]提出一个新的数字签名认证框架，该框架利用部分同态性质和代理重加密的结合，可以在消除在线可信第三方的同时保护PU和SU的隐私，但是算法的效率不是很理想。因此，本文提出一种基于盲签名和秘密共享的数据库驱动认知无线电网络隐私保护方案。本文方案的主要贡献如下：

1）为保护SU隐私问题且不影响SU的访问效率，研究SU通信过程中的特点，利用盲签名和匿名技术将用户身份和相关请求信息分离。

2）由于在SU获得服务的期间，PU的隐私也会遭到侵犯，因此在遵从原始交互过程的基础上，使用秘密共享技术实现对PU的隐私保护。

3）SU的移动性会带来不同类型的攻击，为减少或者抵御相应的攻击，利用缓存和未来位置的预测，尽量选择相同频段和较大的发射功率^[21]，保护SU在移动过程中受到的隐私泄露问题。

4）分析基于数据库驱动认知无线电网络的位置隐私保护方案的安全强度和隐私保护能力。通过性能分析，证明本文方案比文献[18-20]方案更有效，与文献[6]方案相比，本文方案更加灵活。

2 系统模型与安全要求及设计目标

本节将系统模型、系统设计目标和系统安全需求形式化，提出一种面向不可信环境的体系结构，该结构主要由SU、PU、基站、证书颁发机构和数据库组成。系统模型如图 1所示。

2.1 系统模型

本文系统模型主要包括以下4个部分：

1）SU。可以与基站或PU进行通信，SU通过与基站进行交互完成身份验证，并通过基站和数据库进行交互完成频谱信号的查询、频谱的接入以及切换。SU与PU交换秘密值，可以对数据库返回的消息进行解密，保证数据传输以及PU的隐私。

2）PU。可以与数据库或SU进行通信，PU将自己加密后的空闲的频谱等一系列信息传送给数据库，实现频谱的二次利用。与SU交换秘密值，保证合法的SU可以对数据库返回的消息进行解密，同时保护自己的隐私不受到恶意用户和恶意数据库的侵害。

3）基站。对SU进行身份验证并代替SU与数据库进行交互，保护SU的隐私。

4）数据库。对PU发送的消息进行存储以及对基站的请求信息进行回复，并在PU发生频谱信号返回时实现调节。

2.2 系统安全性要求

安全性对于位置隐私保护的成功至关重要。本文主要考虑以下3种模式对本文系统安全性的影响：

1）认为数据库是不可信的。在PU向数据库插入空白频谱信息时，可能会对相关数据进行分析或者导致PU的隐私受到侵害；SU通过基站访问数据库时，恶意数据库可能会根据用户选择的频谱推测出SU的位置。

2）外部攻击者的恶意攻击。PU与SU进行秘密值共享以及在各个组件进行交互时会受到外部攻击者对消息进行窃取以及篡改，从而造成PU和SU的位置暴露。

3）内部攻击者的恶意攻击。由于网络环境的不安全，攻击者同样可以发起频谱信道的占用，其可以根据数据库的相应回复，对附近的SU发起PU覆盖范围补集攻击以及强制频谱切换攻击^[2]。

为防止上述不安全因素，在位置隐私保护过程中应满足以下安全要求：

1）保密数据。保护个人位置隐私相关信息免受攻击者攻击，即使在通信期间窃听通信，也无法识别消息的内容，这样用户的隐私数据就能满足隐私保护的要求。

2）用户身份和位置的匿名性。即使数据库和恶意用户提供商获得了真实的位置信息和所请求的内容，他们也无法区分它来自哪个用户。

3）认证和数据完整性。对合法合作用户发送的在传输过程中未被篡改的加密信息进行认证，即如果攻击者伪造或修改信息，就应该检测到恶意操作。基站和相应的用户只有在接收正确、可信的消息时才会完成相应的服务。

2.3 设计目标

在上述系统模型和安全需求下，本文的设计目标是提供一种适用性强、安全性和响应性高的基于位置的服务。具体来讲，应该达到以下2个目标：

1）提议的解决方案应适用于移动的环境。由于SU的移动性和频谱信号的复用是基于位置进行的，因此可能会在SU移动过程中遇到禁止过程中不存在的问题。所以，无论用户是否发生大距离的移动，都想保护自己的位置隐私。

2）提议的计划应保证服务的安全性和及时性。希望SU和PU的隐私不被任何非相关人员知道，即使是数据库。在保证安全性的基础上，也希望不影响用户的服务体验。

3 预备知识 3.1 0编码和1编码

令$ s={s}_{n}{s}_{n-1}\cdots {s}_{1}\in {\left\{\mathrm{0, 1}\right\}}^{n} $是某个属性维度值为长度n的二进制字符串^[22]，使得s的0编码定义为$ {S}_{s}^{0} $的集合：

$ {S}_{s}^{0}=\left\{{s}_{n}{s}_{n-1}\cdots {s}_{i+1}|{s}_{i}=\mathrm{0, 1}\le i\le n\right\} $

s的1编码为集合$ {S}_{s}^{1} $：

$ {S}_{s}^{1}=\left\{{s}_{n}{s}_{n-1}\cdots {s}_{i}|{s}_{i}=\mathrm{1, 1}\le i\le n\right\} $

为比较2个长度为n的二进制字符串形式的整数x和y，将x编码为1编码$ {S}_{x}^{1} $，将y编码为0编码$ {S}_{y}^{0} $。判断x > y是否且仅当$ {S}_{x}^{1} $和$ {S}_{y}^{0} $中都有同一个元素，即：

$ x > y\leftrightarrow {S}_{x}^{1}\bigcap {S}_{y}^{0}\ne \mathrm{\varnothing } $

3.2 秘密共享

为实现数据共享，本文使用$ \left(t, n\right) $秘密共享方案^[17]，将秘密分为n个单独的值，并在收集到最小的t个数字值时再次对其进行重构。拉格朗日插值多项式是秘密共享的基本理论，定义如下：

定义1（拉格朗日插值多项式）   拉格朗日插值多项式是经过t个点$ \left({x}_{1}, {y}_{1}\right), \left({x}_{2}, {y}_{2}\right), \cdots , \left({x}_{t}, {y}_{t}\right) $的t-1次的多项式$ f\left(x\right) $：

$ f\left(x\right)=\sum\limits _{\mathcal{l}=1}^{t}{y}_{\mathcal{l}}\times \mathrm{\Delta }{x}_{\mathcal{l}}, S\left(x\right) $

其中：$ \mathrm{\Delta }{x}_{\mathcal{l}}, S\left(x\right)=\prod\limits _{{x}_{m}\in S, m\ne \mathcal{l}}\frac{x-{x}_{m}}{{x}_{\mathcal{l}}-{x}_{m}}\mathrm{。} $

4 位置隐私保护方案

本文通过盲签名^[7]和秘密共享^[17]使得用户身份和消息进行分离，保护PU和SU的位置隐私不被数据库和攻击者获得，同时摆脱了使用可信第三方的瓶颈。介绍数据库的结构，将解决方案分为准备阶段、频谱感知阶段和频谱接入阶段。

4.1 数据库结构

PAWS标准^[5]定义了SU和DB之间的交互以及它们应该交换什么信息。在5G环境下，根据PAWS的要求对相应的步骤进行修改。SU与数据库首先通过基站向数据库发送初始化查询（ID，B），其中，ID是基站的编号，B是位置信息的盲化。然后数据库通过基站向SU返回响应的频谱信息S（包括位置消息B、信道C、最大发射功率P）和行号i。SU利用与PU交互的秘密值解开相应的数据，获得真实频谱数据M。SU调整发射功率P，选择可用的频谱，返回相应的频谱信息S，完成对相应频谱的占用。根据从PAWS和数据库网络接口中得到SU和DB之间的交互，估计DB的结构如表 1所示。其中，B表示盲化后的位置信息，C表示频道号，t_s表示时间戳，P表示最大允许发射功率，R表示其他字段消息。一个位置可能同时包含多个可用频道。

4.2 准备阶段

在准备阶段，PU向数据库插入处理后的可用频谱信息，同时PU与SU进行盲化因子和秘密值共享，为频谱感知阶段和频谱接入阶段的隐私保护做好准备。

1）在输入安全参数$ {1}^{k} $时，建立过程首先确定一个大质数q，$ {Z}_{q} $代表以q为模的整数，以及一个循环群G。此外，选择生成器$ g\in G $。全局参数为$ \left\{q, G, g\right\} $。然后，每个用户使用公钥/私钥对，选择$ s{k}_{i}\in {\mathbb{Z}}_{q} $作为私钥，并计算$ {g}^{s{k}_{i}} $作为公钥，输出公钥/私钥对$ \left(p{k}_{i}, s{k}_{i}\right) $。

2）PU选取2个随机数$ {r}_{1}\mathrm{、}{r}_{2} $，将其附近的位置$ {l}_{i}\left({x}_{i}, {y}_{i}\right) $进行替换生成$ {l}_{i}\mathrm{\text{'}}={r}_{1}\times {x}_{i}+{r}_{2}\times {y}_{i}, $$ \forall i\in \left[\mathrm{1, 2}, \cdots , n\right] $，并根据自身位置和附近位置计算出最大发射功率P_i。

3）PU随机选择$ {a}_{ij}, {b}_{ij}\in {\mathbb{Z}}_{q}^{\mathrm{*}} $，生成4n个拉格朗日基多项式$ {f}_{ij}\left(x\right)={a}_{ij}+b{}_{ij}\times x $，并使得$ {f}_{i1}\left(0\right)={C}_{i}, {f}_{i2}\left(0\right)={t}_{i}, {f}_{i3}\left(0\right)={P}_{i}, {f}_{i4}\left(0\right)={R}_{i} $$ \forall i\in \left[\mathrm{1, 2}, \cdots , n\right], \forall j\in \left[\mathrm{1, 2}, 3，4\right] $。

4）PU选取随机数$ {\alpha }_{i} $和插入数据库的行号i，计算$ {f}_{ij}\left({\alpha }_{i}\right) $和$ {f}_{ij}\left(i\right) $，并将$ {f}_{ij}\left(i\right), $ $ \forall i\in \left[\mathrm{1, 2}, \cdots , n\right], \forall j\in \left[\mathrm{1, 2}, \mathrm{3, 4}\right] $，依次插入数据库第i行的第2列~第5列。

5）PU将随机数$ {r}_{1}\mathrm{、}{r}_{2} $和元组$ \left[{\alpha }_{i}, {f}_{ij}\left({\alpha }_{i}\right)\right] $用自己的私钥$ s{k}_{\mathrm{P}\mathrm{U}} $签名后，用SU的公钥$ p{k}_{\mathrm{S}\mathrm{U}} $加密发送给SU。

6）SU用自己的私钥$ s{k}_{\mathrm{P}\mathrm{U}} $解密后，验证签名后获得盲因子r和元组$ \left[{\alpha }_{i}, {f}_{ij}\left({\alpha }_{i}\right)\right] $。

准备阶段过程如图 2所示。

4.3 频谱感知阶段

在频谱感知阶段使用盲签名技术^[7]使SU和基站之间完成认证，以及使用秘密共享技术在保护SU和U隐私的前提下完成频谱信号的感知，即基站和数据库无法得知用户的位置和身份以及相应的收据，为频谱接入阶段的隐私保护做好准备。

1）SU选取一系列位置信息，这些位置信息包含未来可能的趋势。首先选取随机数$ {r}_{1}\mathrm{、}{r}_{2} $对位置信息进行盲化形成l’，然后选取一个盲因子u，将l’进行盲化形成B，并使用假名ID_A1将盲化的位置信息B形成$ {M}_{1}=\left\{\mathrm{I}{\mathrm{D}}_{A1}, B, t, H\left(B, t\right)\right\} $，通过https协议发送给基站。

2）基站对发来的消息进行哈希验证后进行签名，形成$ {M}_{2}=\left\{\mathrm{I}\mathrm{D}, t, {m}_{1}={E}_{sk}\left(B\right), H\left(t, {m}_{1}\right)\right\} $，通过相同的方式返回给SU。

3）SU收到回复的消息，进行哈希验证后用盲因子$ u $的逆函数$ {u}^{-1} $对消息进行去盲化，形成$ {M}_{3}=\left\{\mathrm{I}{\mathrm{D}}_{A2}, {l}^{\text{'}}, t, {m}_{2}={E}_{sk}\left({l}^{\text{'}}\right), H\left({l}^{\text{'}}, t, {m}_{2}\right)\right\} $发送给基站。

4）基站对发来的消息进行哈希验证后，首先查看自己的缓存中是否有符合相应的数据，如果有则直接返回，如果没有则形成$ M=\left\{\mathrm{I}\mathrm{D}, {l}^{\text{'}}, t, H\left({l}^{\text{'}}, t\right)\right\} $发送给数据库。

5）数据库进行哈希验证后，找到相应的数据Y和行号i，形成$ \left(Y, i, H\left(Y, i\right)\right) $发送给基站，基站对其缓存进行更新并将消息签名后发送给SU。

6）SU对发来的消息进行哈希验证后，根据行号i以及元组$ \left[{\alpha }_{i}, {f}_{ij}\left({\alpha }_{i}\right)\right] $依次解出$ {C}_{i}\mathrm{、}{R}_{i}\mathrm{、}{P}_{i} $和t。

频谱感知阶段过程如图 3所示。

4.4 频谱接入阶段

在该阶段使用基于0、1的编码技术^[22]，在进行频谱接入和接入信息返回的同时保护数据的机密性，使得除SU和PU外，无人得知相关信息。

1）SU根据解密出来的数据，调整自己的发射功率P，使P小于$ {P}_{i} $。令$ {Z}_{i}=P-{P}_{i}, U=0 $，并将$ {Z}_{i} $转化成1编码。

2）SU向基站发送需要上报使用的频道信息，格式为$ \left\{\mathrm{I}{\mathrm{D}}_{A3}, {l}^{\text{'}}, {c}_{i}, t, {S}_{{}_{{Z}_{i}}}^{1}, H\left({l}^{\text{'}}, {c}_{i}, t, {S}_{{}_{{Z}_{i}}}^{1}\right)\right\} $。

3）基站进行哈希验证后向数据库发送需要上报使用的频道信息，格式为$ \left\{\mathrm{I}\mathrm{D}, {l}^{\text{'}}, {c}_{i}, t, {S}_{{}_{{Z}_{i}}}^{1}, H\left({l}^{\text{'}}, {c}_{i}, t, {S}_{{}_{{Z}_{i}}}^{1}\right)\right\} $。

4）当PU发生信道返回时，数据库会通过基站告知SU发生频谱切换或者SU发生移动，当位置不在$ {R}_{i} $范围时，SU会重新选择一个信道，发射功率会尽量和之前的功率相同，重复第1步完成信道的重新接入。

频谱接入阶段过程如图 4所示。

5 安全性分析

本节分析基于数据库驱动认知无线电网络的位置隐私保护方案的安全性，特别是根据上文讨论的安全要求，将侧重于SU、PU的身份保护和位置的匿名性、数据的机密性和完整性以及抵御一些常见的攻击。

5.1 PU、SU的身份保护与位置的匿名性

在基于数据库驱动认知无线电网络的位置隐私保护方案中，当PU向数据库插入数据时，首先将自己的位置进行盲化，除知道盲化因子的SU外，数据库和基站都无法将位置信息进行还原；其次插入数据库的一些重要信息都是通过秘密共享机制进行隐藏。由于插入信息对应的列选取的函数和随机值不同，即使是相同数据也会呈现不同的表现，因此数据库和恶意用户无法对数据进行分析，在不知交换值的情况下也无法破解，所以保证了PU的隐私。

当SU与基站进行交互时，首先通过https协议进行数据请求，所以恶意用户无法直接简单地获取明文。其次SU在与基站的交互过程中使用了不同的身份且完成了基站的身份合法性认证，因此基站无法将原始请求位置数据B与用户身份关联，实现了身份和请求消息的分离。最后SU使基站作为代理者与数据库进行交互，传输信息中的设备标识符是基站的标识符，在频谱接入时，SU上报秘密共享后的原值以及允许发射功率和发射功率之差，并未告知原始的任何数据。所以，对于基站和数据库来讲SU保护了自己的身份和位置信息。

5.2 数据的机密性和完整性

SU在向基站发送请求信息时，位置信息首先被盲化成和数据库可匹配的B_i形式，然后B_i被盲化形成以下格式：

$ \begin{array}{l}{C}_{1}={r}_{1}\times {B}^{a}\\ {C}_{2}={r}_{2}\times {B}^{b}\end{array} $

(1)

在接收到加密的盲消息后，基站首先解密私钥以获得$ {C}_{1} $、$ {C}_{2} $，然后签名可以得到：

$ \begin{array}{l}{C}_{1}^{\mathrm{\text{'}}}={C}_{1}^{d}\;\mathrm{m}\mathrm{o}\mathrm{d}\;n\\ {C}_{2}^{\mathrm{\text{'}}}={C}_{2}^{d}\;\mathrm{m}\mathrm{o}\mathrm{d}\;n\end{array} $

(2)

SU获得签名数据$ {C}_{1}^{\mathrm{\text{'}}} $、$ {C}_{2}^{\mathrm{\text{'}}} $后，将其去盲化，得到：

$ \begin{array}{l}{S}_{1}={C}_{1}^{\mathrm{\text{'}}}\times {r}_{1}^{-1}\;\mathrm{m}\mathrm{o}\mathrm{d}\;n\\ {S}_{2}={C}_{2}^{\mathrm{\text{'}}}\times {r}_{2}^{-1}\;\mathrm{m}\mathrm{o}\mathrm{d}\;n\\ S={S}_{1}^{k}\times {S}_{2}^{l}\;\mathrm{m}\mathrm{o}\mathrm{d}\;n\end{array} $

(3)

根据式（1）~式（3），可以得到：

$ \begin{array}{l}{S}^{e}={\left({S}_{1}^{k}\times {S}_{2}^{l}\right)}^{e}\;\mathrm{m}\mathrm{o}\mathrm{d}\;n=\\ \;\;\;\;\;\;\;\;\; {\left({\left({C}_{1}^{\mathrm{\text{'}}}\times {r}_{1}^{-1}\right)}^{k}\times {\left({C}_{2}^{\mathrm{\text{'}}}\times {r}_{2}^{-1}\right)}^{l}\right)}^{e}\;\mathrm{m}\mathrm{o}\mathrm{d}\;n=\\ \;\;\;\;\;\;\;\;\; {\left({\left({C}_{1}^{d}\times {r}_{1}^{-1}\right)}^{k}\times {\left({C}_{2}^{d}\times {r}_{2}^{-1}\right)}^{l}\right)}^{e}\;\mathrm{m}\mathrm{o}\mathrm{d}\;n=\\ \;\;\;\;\;\;\;\;\; {\left({B}^{d\times \left(ak+bl\right)}\right)}^{e}\;\mathrm{m}\mathrm{o}\mathrm{d}\;=\\ \;\;\;\;\;\;\;\;\; {\left({B}^{d}\right)}^{e}\;\mathrm{m}\mathrm{o}\mathrm{d}\;n=B\;\mathrm{m}\mathrm{o}\mathrm{d}\;n（4）\end{array} $

(4)

SU在不公开请求消息内容的情况下获得基站的签名数据，即使SU发布了签名，基站也不能跟踪签名数据。因为基站保留了一组数据（$ {C}_{1} $，$ {C}_{2} $，$ {C}_{1}^{\mathrm{\text{'}}} $，$ {C}_{2}^{\mathrm{\text{'}}} $），但其无法从S得知（$ {r}_{1} $，$ {r}_{2} $，a，k，b，l），因此，在SU和基站之间实现了数据的机密性。

在每个信息交换过程中对消息进行哈希处理。如果数据变化，很容易就能发现。因此，数据的完整性得到了验证。

5.3 常见攻击

当PU使用信道时，如果此时SU能够使用PU的信道，那么SU肯定在PU信号的覆盖范围之外。对于数据透明的数据库来讲，肯定会根据SU的一系列频道接入事件，通过取交集逐渐缩小对SU的定位区域范围，从而最终通过若干轮迭代计算出SU的精确位置^[19]。但是如果数据库对其中的数据无法得知时，则很难进行此类攻击。本文方案通过对数据的秘密共享隐藏了关键数据，除与之共享秘密值的SU可以解开数据外，其他用户对其中信息一概不知。所以，可以有效地避免PU覆盖范围补集攻击。

在SU发生移动或者PU信道返回要求SU退出从而发生信道切换时，DB可以排除一些SU可能处于的区域。对于这种攻击，以上的保护措施同样可以抵御。由于对自己未来的趋势在第一次请求时就得到了回复，且可以从基站缓存中选择一些可用的频谱信息，因此要求SU在发送频道切换时，SU减少与DB库的交互，且要求下一个信道的选择尽量保持最大发射功率一致，也有助于避免频道切换攻击。

6 性能评估

本节根据相关方的计算成本以及通信成本来评估本文框架的性能。该方案的主要计算操作包括群G和GT中的乘幂运算、乘法运算以及配对运算，此外还包含对称和非对称的加解密代价。性能评估中使用的符号如表 2所示。

6.1 时间复杂度分析

本节进行时间复杂度分析，并将其与文中提到的2种方案进行比较。本文省略了一些固定成本，详见表 3。对于本文方案，PU的成本在于公私钥的加解密，以及对插入数据库相关数据的秘密共享的加密。SU的成本在于公私钥的加解密以及获取频谱可用信息的秘密共享的解密。数据库系统的成本在于对相应的数据进行哈希运算。在文献[19]中，PU需要进行大量的同态加密运算，SU需要进行拉普拉斯模糊计算和AES解密运算。数据库系统成本在于同态的加法及乘法和AES加密运算。在文献[6]中，PU的成本在于对插入数据库相关数据的秘密共享的加密，并把它们插入到多个数据库中。SU的成本在于使用拉格朗日差值构造与各个数据库相乘的向量，以及插入数据库相关数据的秘密共享的解密。数据库系统成本在于对SU发送来的向量与数据矩阵相乘。

6.2 计算开销

根据本文方案的可比较性将方案进行2个阶段的比较。这里使用通用的加密算法，加密公钥和私钥分别采用128 Byte，致盲函数使用的密钥长度是128 Byte。假设每个标识符ID（包括假名）和HMAC字符串都是10 Byte；数据库中替换的位置信息大小为3 Byte，信道号信息大小、时间戳信息大小接入频率大小和可适用半径大小均为1 Byte。

根据密码学的知识，当明文的长度大于密钥长度（字节）-11时，需要在RSA算法加密中实现片段加密。当不需要分段时，密文长度等于密钥长度，否则，密文长度等于密钥长度乘以片数。本文在CPU为i5-9^th、内存大小为16 GB的Windows系统上，使用python语言实现仿真实验过程，使用AES-128方案实现PeDSS方案中许可证的加密过程。对于LP-Goldberg方案，采用最简单的方案，即向量的最小隐私级别t为2，PU的最小隐私级别τ为2，且不存在数据库出错的情况。

6.2.1 频谱感知阶段的计算开销

在频谱感知阶段，需计算各个组件所消耗的时间。从图 5可以看出，随着数据的增加，SU的计算时间都有所增加，但是本文方案在计算方面所消耗的时间花费比LP-Goldberg和PeDSS方案有很小的缩减，这是因为PeDSS是基于同态加密方案，所以原本就有很大的开销，而LP-Goldberg随着获取数据的增加，由于LP-Goldberg是基于多数据库的，因此在进行拉格朗日插值多项式解密时也有着很大的操作量。本文方案是符合实际的，因为在实际情况下SU相比PU和数据库系统，在计算能力方面有着较大的差距，SU花费的时间越少，对用户的体验越好。

从图 6可以看出，PeDSS方案将大部分的开销放到PU上，所以在插入数据方面该方案有着较大的开销。相比于LP-Goldberg方案，本文方案在插入数据较小时效果不太理想，这是因为PU需要将秘密值进行签名后加密发送给SU。但是随着插入数据的增多，由于LP-Goldberg方案是基于多数据库的，PU在计算插值多项式方面需要花费成倍的时间，使得花费的时间大于PU进行签名和RSA加密时间。

从图 7可以看出，本文方案在数据库系统的开销较高，但是相比PU和SU方案，在数据库系统计算时间的差距是可以接受的，从而在整个频谱感知过程中，本文方案有着很大的优势。图 8显示了频谱感知过程每个方案消耗的时间。

6.2.2 频谱接入阶段的计算开销

在频谱接入阶段，本文计算了SU和数据库系统所消耗的时间。从图 9可以看出，随着数据的增加，SU的计算时间都会有所增加，但是数据库系统几乎保持不变。这是因为在频谱接入阶段需要向数据库上报接入频率，随着消息的增多，对于接入频率的编码时间在增加，但是所消耗的时间是在10^-4 s数量级上，所以是可以接受的。

6.3 通信开销

根据5.2节的相应数据，假设SU每次请求的位置信息个数为50个，PU向数据库插入的数据为100个，每个位置对应2条频谱可用消息，比较本文方案、LP-Goldberg方案和PeDSS方案通信开销。

从表 4可以看出，本文方案在PU的通信开销方面远小于LP-Goldberg方案和PeDSS方案。在SU的开销方面，由于涉及盲签名，导致了通信成本高于其他2种方案。在数据库系统开销方面远小于LP-Goldberg方案，是因为LP-Goldberg方案采用的是私有信息检索技术，开销较大。

7 结束语

本文考虑移动用户在基于数据库驱动认知无线电网络的位置隐私问题，提出一种基于盲签名和秘密共享技术的移动位置隐私解决方案。通过对协议的安全性分析以及与现有方案的性能分析和比较，证明该方案在保护SU和PU位置隐私方面具有良好的性能。该方案不依赖可信或半可信的第三方匿名服务器实现用户匿名，通过盲签名技术完成匿名查询，保证服务质量。下一步将对算法进行优化，对频谱接入阶段进行隐私保护，以更有效地解决频谱分配和接入的隐私问题。