CN110636511B - 海量物联网设备接入环境中的授权频谱共享系统及其方法 - Google Patents

Abstract

海量物联网设备接入环境中的快速授权频谱共享系统，包括授权频谱管理层、授权频谱分配协议层和用户行为安全层；所述的授权频谱管理层包括授权用户行为数据库、次用户行为数据库；授权频谱管理是FLSS方案的核心；授权用户和次用户都遵守LSM所管理的共享约束规则；所述的授权频谱分配协议层执行LSA协议；所述的用户行为安全层用于支撑LSA协议，约束授权用户行为和次用户行为；其方法包括以下步骤：步骤一，授权频谱管理；步骤二，执行LSA协议；步骤三，约束授权用户行为和次用户行为；可有效地提高频谱共享的效率，可被用来验证大量移动设备的用户身份，可扩展性已经被用来评估个体信任系数。

Description

海量物联网设备接入环境中的授权频谱共享系统及其方法

技术领域

本发明属于物联网设备接入环境下频谱共享技术领域，具体涉及海量物联网设备接入环境中的授权频谱共享系统及其方法。

背景技术

随着移动终端数量的大量增加，5G技术将在2020年左右投入使用。未来5G通信网络连接的移动终端总数将达到1000亿。预计到2020年，全球移动终端数量将超过100亿。全球物联网设备连接数也将快速增长，2020年将接近全球人口规模达到70亿。到2030年，全球物联网设备连接数将接近1000亿，其中，中国超过200亿。随着海量物联网设备数量的增加，频谱资源短缺问题愈加严重。与此同时，大部分已分配的频谱未被有效利用。目前，授权频谱共享被认为是缓解海量物联网设备接入环境下频谱短缺问题的关键方法之一。在频谱共享中，没有分配固定频段的次用户(次用户)可以在特定的时间内有效地使用授权用户(授权用户)的空闲频谱，但是不能对授权用户的通信造成干扰，当授权用户返回频段通信时，次用户应立即退出此频段。

在海量物联网设备接入环境下进行频谱共享时，遇到了如下技术问题:

随着移动设备的大量增加，在物联网频谱共享中如何快速分配空闲的授权频谱资源越来越重要。

如何回收已分配的授权频段的空闲资源，避免部分次用户长期占用授权频谱资源。

如何管理空闲的授权频谱资源，并及时分配给次用户？

有必要建立频谱共享规则，确保次用户能够有序地利用空闲的授权频谱资源。

大量拥有授权频谱的移动设备将成为授权用户。与电视塔不同的是这些新的授权用户不一定都是诚实的。

目前，为了缓解频谱资源短缺现状与频谱利用率低的问题，认知无线电网络被提出，它主要通过动态频谱共享技术提高了频谱资源的利用率。在认知无线电网络中，次用户首先利用感知信道对感兴趣频段上是否存在授权用户信号进行判断，然后将本地检测后的信息通过报告信道发送给数据融合中心，按照一定的融合算法汇总所有数据后得出最终的判决结果。频谱感知是认知无线电网络得以实现的首要环节，根据参与频谱感知的用户数可分为单用户感知和协作感知两类。由于阴影效应和多径衰落等因素的存在，单个次用户得出的频谱感知结果往往不可靠，并可能导致所谓的“终端隐藏问题”。于是，一些研究者提出了协作频谱感知技术，通过多个认知用户协作，借助于多用户分集增益，可达到提高检测性能的效果。协作频谱感知利用多个认知用户感知数据的融合来消除单个用户的不确定性，其检测结果更加准确。

然而，认知无线电网络可能不适合应用于物联网频谱共享。原因如下:

单用户频谱感知需要一定的时间才能确定授权频段的实际状态。在协作频谱感知中需要对所有认知用户的感知数据进行收集，融合中心才能做出授权频段是否空闲的判决，因此协作频谱感知的时间更久。一般都通过协作频谱感知技术来寻找空闲频谱，随着次用户个数的增加，协作频谱感知花费的时间成本太大，因此不适合于海量物联网设备接入环境中。

在认知无线电网络中，电视塔是唯一的授权用户。实际上，手机也可以作为授权用户使用。在海量物联网设备接入环境下，对频谱的大量需求使得具有授权频段的移动终端也成为授权用户。电视塔可被视为诚实的授权用户，然而并非所有的移动终端都是诚实的。因此在协作频谱感知中，若存在某些授权用户是恶意的，检测结果将不可靠。

当海量物联网设备接入环境中出现大量次用户时需要一种能够快速获得空闲授权频谱的方案。

发明内容

为克服上述现有技术的不足，本发明的目的是提供海量物联网设备接入环境中的授权频谱共享系统及其方法，具有可有效地提高频谱共享的效率，可被用来验证大量移动设备的用户身份，可扩展性已经被用来评估个体信任系数的特点。

为实现上述目的，本发明采用的技术方案是：海量物联网设备接入环境中的快速授权频谱共享系统，包括授权频谱管理层、授权频谱分配协议层和用户行为安全层；

所述的授权频谱管理层包括授权用户行为数据库、次用户行为数据库；授权频谱管理是FLSS方案的核心，在集中式环境中，LSM来自融合中心；在分布式环境中，使用分布式选举方法从多个用户产生LSM；

为确保频谱的有序共享，授权用户和次用户都遵守LSM所管理的共享约束规则；

所述的授权频谱分配协议层，用于执行LSA协议；

所述的用户行为安全层，包括授权用户行为安全模块和次用户行为安全模块，用于支撑LSA协议，约束授权用户行为和次用户行为；

所述的共享约束规则如下：

规则1：当LSM接收到授权用户声称他们的频谱是空闲的消息时，LSM可以将空闲的授权频谱分配给次用户；

规则2：如果授权用户想要收回它们的频段时，应该提前向LSM发送消息，声称他们将使用授权频段；然后，LSM将转发此消息，告诉次用户必须立即退出空闲的授权频谱。授权用户可以在次用户退出后继续使用该频段，显然FLSS方案保证了授权用户优先使用授权频段的权利；当授权用户发送收回频谱的消息时，可以自动设置一个很小的等待时间，如果次用户在等待时间之后没有退出正在使用的授权频段，授权用户有权收回它们的频谱；

规则3：次用户收到LSM转发的收回消息时，必须立即退出空闲的授权频段；

规则4：只有收到LSM的许可消息时，次用户才能使用空闲的授权频段；

规则5：每次只能将一个空闲的授权频段分配给一个次用户，如果次用户完成通信退出此频段时，LSM将这个空闲的授权段分配给另一个次用户；

规则6：即使空闲的授权频谱在次用户使用后没有被回收，该次用户也必须将其归还给LSM；

所述的授权用户行为数据库由m个授权用户数据表组成，其中m是网络中授权用户的数量；次用户行为数据库由n个次用户数据表组成，其中n是网络中次用户的数量。

利用海量物联网设备接入环境中的快速授权频谱共享系统的方法，包括以下步骤：

步骤一，授权频谱管理

授权频谱管理是FLSS方案的核心，在集中式环境中，LSM可以来自融合中心；在分布式环境中，可以使用分布式选举方法从多个用户产生LSM；为确保频谱的有序共享，授权用户和次用户都遵守LSM所管理的共享约束规则，共享约束规则如下：

规则1：当LSM接收到授权用户声称他们的频谱是空闲的消息时，LSM可以将空闲的授权频谱分配给次用户；

规则2：如果授权用户想要收回它们的频段时，应该提前向LSM发送消息，声称他们将使用授权频段；然后，LSM将转发此消息，告诉次用户必须立即退出空闲的授权频谱。授权用户可以在次用户退出后继续使用该频段，显然FLSS方案保证了授权用户优先使用授权频段的权利；当授权用户发送收回频谱的消息时，可以自动设置一个很小的等待时间，如果次用户在等待时间之后没有退出正在使用的授权频段，授权用户有权收回它们的频谱；

规则3：次用户收到LSM转发的收回消息时，必须立即退出空闲的授权频段；

规则4：只有收到LSM的许可消息时，次用户才能使用空闲的授权频段；

规则5：每次只能将一个空闲的授权频段分配给一个次用户，如果SU完成通信退出此频段时，LSM将这个空闲的授权段分配给另一个次用户；

规则6：即使空闲的授权频谱在次用户使用后没有被回收，该次用户也必须将其归还给LSM；

步骤二，执行LSA协议，本步骤又包括以下步骤：

第一，一个授权用户(例如LU_i)发送共享信息S[i]＝(LU_i,k,ss_i ^k＝0,lst_i ^k,ds_i ^k)，其中k表示S[i]的序列号，ds_i ^k表示LU_i的数字签名信息，LSM根据S[i]更新LU的行为数据库，在FLSS方案中，授权用户行为安全模块用于支持授权用户的安全性能；

第二，一个SU发送访问信息Q[j]＝(SU_j,l,us_j ^k＝1,sst_j ^k)向LSM申请授权频谱，其中l表示Q[j]的序列号，ds_i ^k表示LU_i的数字签名信息，LSM根据S[i]更新LU的行为数据库，在FLSS方案中，授权用户行为安全模块用于支持LU的安全性能，在FLSS方案中，SU行为安全模块用于支持授权用户的安全性能；

第三，LSM向SU_j响应QueryHit消息QH[j]＝(SU_j,l,us_j ^k＝1,per_ij ^k＝0,τ)，LSM检查LU行为数据库，发现其中一个授权用户，例如LU_i的频谱是空闲的，因此，per_ij ^k＝0表示SU_j可以获得使用LU_i空闲频谱的许可权，τ表示许可截止时刻，用于避免一些次用户对授权频谱的长期占用；

第四，LSM等待LU_i是否发送Recall消息R[i]＝(LU_i,k+r,ss_i ^k＝1,let_i ^r,ds_i ^k+r)，r是一个随机整数；如果发送，将执行以下三个步骤：①LSM将R[i]转发给SU_j，②SU_j尽可能快地向LSM反馈关于LU_i的频谱状态，③LSM将一条RecallHit信息RH[i]＝(SU_j,k+r,us_j ^k＝0,per_ij ^k＝1)回复给LU_i，同时，LSM给予SU_j其他空闲频谱的许可权，如果没有发送，则LSM继续向SU_j授予权限，并转到第五步；

第五，LSM一直持续到终止时刻τ，如果达到终止时刻，LSM将撤销对SU_j的许可权，如果未达到，则转到第六步，并且将LU_i的空闲频谱使用许可权给予另一个次用户，直到LU_i发送Recall信息，此外，LSM可以在到达τ时刻之前给予SU_j多个机会以便申请新的许可权；

第六，LSM再次等待来自LU_i的Recall消息，如果收到消息，则转到第四步，如果收到消息，转到，如果未收到，LSM继续向SU_j授予权限；为了避免在传输过程中被劫持和篡改，应将LSA协议中的消息流设置为只读数据，包括Sharing消息，Query消息，QueryHit消息，Recall消息，RecallHit消息；

步骤三，用户行为安全，约束授权用户行为和次用户行为，具体如下：

步骤三，用户行为安全，约束授权用户行为和次用户行为，具体如下：

(一)授权用户行为的安全性通过授权用户签名验证和信任管理来抑制

1)签名验证

为了检测恶意用户是否冒充为诚实的授权用户，应将数字签名信息添加到Sharing消息中，再以LU_i为例，将ds_i ^k添加到S[i]中，ds_i ^k可以计算为：

为了避免签名重复攻击的风险，将k添加到ds_i ^k的计算中，h(·)是不可逆的哈希函数，其中恶意用户无法通过使用已知的因变量来推断自变量，sk_i为LU_i的私钥；

一旦LSM从LU_i接收到S[i]，LSM就可以用验证S[i]接收到的(ds_i ^k,ss_i ^k,k)数据中ds_i ^k＝h(ss_i ^k+k+sk_i)签名和自身持有的sk_i是否一致；如果不一致，则表示一个恶意用户可能冒充为LU_i，为了保持LU行为数据的可靠性，这些虚假的S[i]将被丢弃，特别地，恶意用户不能伪造ds_i ^k的原因是a)sk_i只能被LSM和LU_i持有；b)由于不可逆的哈希函数，恶意用户无法推断出sk_i；

对于Recall消息R[i]，其签名应计算为ds_i ^k+r＝h(ss_i ^k+k+r+sk_i)，为了避免使用ds_i ^k伪造R[i]，将随整数添加至k；

2)授权用户信任管理

为了分析授权用户的共享行为，可以使用信任管理来评估授权用户的信任度；如果恶意用户总是使用其自身的授权用户标识直接发送虚假的共享消息，那么获得比诚实授权用户更低的信任值；

在授权用户行为数据库中，LSM同时记录次用户使用授权频谱后的反馈信息，以LU_i为例，如果LU_i发送真实的共享信息，LU_i可以获得空闲的授权频谱并提交反馈信息SU_j(sf_i)＝0，其表示正常；如果SU_j将受到干扰，因此提交反馈信息SU_j(sf_i)＝1，其表示异常；

以LU_i而言，LSM可以统计正常反馈的次用户数目，直到第k个序列号，表示为nf^k _i，以及异常反馈的次用户的数目，直到第k个序列号，由af^k _i表示，LU_i在第k个序列号上的信任值可以计算为：

其中η是指数衰减因子，其与授权用户的数量(m)成正比，且与次用户的数量成反比，因此，η可以计算为：

假设θ是授权用户信任值的阈值，当lt_i ^k≧θ时，LSM将接受LU_i的Sharing消息，否则，当lt_i ^k<θ时，LSM将拒绝LU_i的Sharing消息；

为了抑制来自某些授权用户的虚假Sharing消息的影响，采取惩罚性措施，当lt_i ^k<θ时，隶属于LU_i的次用户不能获得来自其他授权用户的空闲频谱的使用许可权；

(二)次用户行为安全，通过恶意行为的防御措施和次用户信任管理来抑制

1)防御措施

为了干扰频谱共享，具有次用户标识的恶意用户将违反包括共享约束规则3，规则4，规则6下的共享行为，从而导致三种类型的恶意行为，这三种类型的恶意行为及其防御措施的描述如下：

违反规则3-拒绝反馈恶意行为

描述：一些次用户收到Recall消息时拒绝立即返回空闲授权频谱；

防御措施：LSM使这些次用户离线一段时间并告诉授权用户让其收回次用户的频谱；与此同时，LSM记录与规则3相关的负面共享评级；

违反规则4-私自访问的恶意行为

描述：一些次用户在未经LSM许可的情况下私自访问授权的授权用户频谱；

防御措施：如果授权用户发现其自身的授权频谱被某些次用户占用但并未向LSM发送任何Sharing消息，可以向LSM发送投诉消息，然后，LSM将审查这些次用户并使其断开接入一段时间，与此同时，LSM记录与规则4相关的负面共享评级；

违反规则6-占用空闲的恶意行为

描述：当一些次用户在使用授权频谱后仍未收到Recall消息时，会私自占有该空闲授权频谱；

防御措施：LSM应该不定期地检测获得许可的次用户信号，以检查其是否使用了授权频谱，如果没有，LSM会使其断开空闲频谱接入一段时间，与此同时，LSM记录与规则6相关的负面共享评级；

2)次用户信任管理

次用户的信任值对于LSM来说也是非常重要的，LSM可以将用作惩罚具有次用户标识的恶意用户的凭据，因此，还应采用信任管理通过分析次用户的共享行为来评估其信任度，如果恶意用户总是通过违反共享约束规则来干扰频谱共享，那么其将获得比诚实次用户更低的信任值；

从抑制恶意行为的角度，可以评估每个次用户的个体信任系数，截止目前，主要注意到三种恶意行为，包括拒绝反馈，私自访问和占用空闲；

为了确保对各个信任系数评估的可扩展性，对于多种恶意行为可以采用二元性共享评级，让Β＝{mb₁,…,mb_h,…,mb_g}表示恶意行为的集合，其中mb_h表示第h个恶意行为且g表示恶意行为的数量，对于SU_j，LSM可以统计与第h个恶意行为相关的积极共享评级的数量，一直到第l个恶意行为，表示为pr^l _jh；以及与第h个恶意行为相关的消极共享评级的数量，一直到第l个恶意行为，表示为nr^l _jh，对应于第l个序号的mb_h的SU_j的第h个信任系数被评估为：

信任系数可以通过负面和积极共享评级数量来计算。为了加大因负面共享评级数量增值对于信任系数的衰减，使用SU_j在所有pr^l _jh中的非零最小值作为积极共享评级数量的计算因子，以此，刺激次用户对于共享约束规则的遵守；

最后，将与各种恶意行为相关的所有个体信任系数合并为次用户信任值，SU_j在第l个恶意行为中的信任值可以被评估为：

其中w_h是第h个体信任值系数的权重且λ是个体信任系数的基本权重，

w_h与λ之间的关系是w_h＝u_h*λ和其中u_h是由LSM给出的第h个体信任值的关键性倍数，/>是对st^l _j的惩罚，其意味着危害最大的恶意行为将导致次用户信任值的降低，

δ是次用户信任值的阈值，当st^l _j<δ时，LSM将不会向SU_j授予频谱共享许可。

与现有技术相比，本发明的有益效果是：

本申请与现有技术在以下方面有所不同：

本申请的快速的授权频谱共享方法，以满足海量物联网设备接入环境下巨大增长的移动终端数量对于频谱资源的共享需求。LSA协议是FLSS方案分配空闲授权频段的核心，基于授权用户、LSM以及次用户之间的消息传递，FLSS方案可提高空闲频谱的共享效率。在现有技术中，使用单用户频谱感知可能需要一定的时间去感知授权用户的频谱状态，尤其是协作频谱感知需要花费更多的时间去收集来自不同次用户的感知信息，来确定是否存在空闲频谱。

为了保证LSA协议的可靠性，本发明提出了一些安全措施来提前预防和抑制授权用户和次用户在频谱共享过程中可能存在的恶意行为。

本发明可以提供快一个快速授权频谱共享方案以满足海量物联网设备接入环境中增加的大量移动设备。在本发明中采用的共享约束规则以确保有序频谱共享。在LSA协议中，基于消息流的空闲授权频谱的分配可以有效地提高频谱共享的效率。考虑到物联网频谱共享中可能出现的恶意行为，并从用户行为安全层中的授权用户和次用户提出了一些安全措施。使用数字签名ds_i ^k＝h(ss_i ^k+k+sk_i)，实现了轻量级的授权用户身份验证，避免了使用一些复杂的数字签名算法。因此，这种方法可以用来高效率地验证大量移动设备的用户身份。个体信任系数的评估具有很好的可扩展性，可以将发现的某个次用户的新恶意行为，通过等式(4)及时融入进其个体信任系数的评估。

附图说明

图1为本发明的共享系统架构原理示意图。

图2为本发明LSA协议的信息流流程图。

具体实施方式

下面结合附图和实施例对本发明作进一步详细说明。

本发明中使用的海量物联网设备接入环境下管理空闲授权频谱共享的FLSS方案主要分为三层：授权频谱管理(LSM)层、授权频谱分配(LSA)协议层和用户行为安全层。FLSS方案的结构图如图1所示。

海量物联网设备接入环境中的快速授权频谱共享系统，包括授权频谱管理层、授权频谱分配协议层和用户行为安全层；

所述的授权频谱管理层包括授权用户行为数据库、次用户行为数据库；授权频谱管理是FLSS方案的核心，在集中式环境中，LSM可以来自融合中心；在分布式环境中，可以使用分布式选举方法从多个用户产生LSM；

为确保频谱的有序共享，授权用户和次用户都遵守LSM所管理的共享约束规则；

所述的共享约束规则如下：

规则1：当LSM接收到授权用户声称他们的频谱是空闲的消息时，LSM可以将空闲的授权频谱分配给次用户；

规则2：如果授权用户想要收回它们的频段时，应该提前向LSM发送消息，声称他们将使用授权频段；然后，LSM将转发此消息，告诉次用户必须立即退出空闲的授权频谱。授权用户可以在次用户退出后继续使用该频段，显然FLSS方案保证了授权用户优先使用授权频段的权利；当授权用户发送收回频谱的消息时，可以自动设置一个很小的等待时间，如果次用户在等待时间之后没有退出正在使用的授权频段，授权用户有权收回它们的频谱；

规则3：次用户收到LSM转发的收回消息时，必须立即退出空闲的授权频段；

规则4：只有收到LSM的许可消息时，次用户才能使用空闲的授权频段；

规则5：每次只能将一个空闲的授权频段分配给一个次用户，如果次用户完成通信退出此频段时，LSM将这个空闲的授权段分配给另一个次用户；

规则6：即使空闲的授权频谱在次用户使用后没有被回收，该次用户也必须将其归还给LSM；

在授权频谱管理层中，LSM还维护了两种类型的数据库，所述的授权用户行为数据库由m个授权用户数据表组成，其中m是网络中授权用户的数量；次用户行为数据库由n个次用户数据表组成，其中n是网络中次用户的数量。第i个授权用户的数据表结构如下所示：

表1第i个授权用户数据表字段格式

第i个LU数据表字段格式的说明如下：

SN：序列号。

ID_LU：授权用户的ID号，其中第i个授权用户用LU_i表示。

ID_affiliated次用户：一个授权用户可以拥有多个移动终端，但只能拥有一个授权频段。以LU_i.为例，持有授权频段的移动终端被编号为LU_i。其它移动终端被编号为ID_affiliated次用户，如LU_i_SU₉。当授权频段被LU_i使用时，附属次用户可以向LSM申请其它授权频段。当LU_i的授权频段空闲时，LU_i可以通过LSM与次用户共享它的授权频段。

Spectrum status：当ss_i ^k＝0时，表明授权频段处于空闲状态，反之亦然。

Secret key：LU_i的公钥，可用来验证LU_i的状态。

Start time：LU_i向LSM发送消息表明它的频谱空闲时的时刻。对于下一个开始时间，LSM将添加下一行来存储相关数据。

End time：LU_i向LSM发送消息表明它需要使用授权频段通信时的时刻。

Time interval：结束时刻与开始时刻之间的差值。

ID_次用户：使用LU_i的授权频段的认知用户的ID。例如，SU₆从lst_i ^k到let_i ^k时间段使用LU_i的空闲授权频段，表中ID_次用户列的第k行数据为SU₆。

SU feedback：次用户对相应LU_i的反馈数据。例如：LU_i在第k次违反了规则2，则SU₆(sf_i)的数据用“1”表示，否则用“0”表示。

LU trust value：次用户的反馈数据可以用来评价授权用户的信任值，表明LU_i的可信程度。

同理，次用户行为数据库由n个次用户数据表组成，其中n是网络中次用户的数量。第j个次用户的数据表结构如下所示：

表2第j个次用户数据表字段格式

第j个SU数据表字段格式的说明如下:

SN：序列号。

ID_SU：次用户的ID号，其中第j个次用户用SU_j表示。

Request status：当us_j ^l＝1，表明SU_j发出使用授权频段被的请求，反之亦然。

Start time:SU_j向LSM发送消息表明要使用空闲授权频段的时刻。对于下一个开始时间，LSM将添加下一行来存储相关数据。

End time：SU_j向LSM发送消息表明它要退出空闲授权频段的时刻。

Time interval：结束时刻与开始时刻之间的差值。

ID_授权用户：将空闲授权频段与认知用户进行分享的主用户ID。例如，LU₅从sst_j ^l到set_j ^l时间段将它的空闲授权频段分享给SU_j使用，表中ID_授权用户列的第l行数据为SU₆。

Sharing ratings：共享等级可以看作是一个可扩展的二进制向量，包含多个与SU_j的共享行为相对应的等级。例如，SU_j在第l次违反了规则3、4、6，SR_j ^l将被记录为(1，1，1)。同时SR_j ^l是可扩展的，如果发现新的恶意行为，SR_j ^l的数据为(1，1，1，1)。

SU trust value：共享等级可以衡量次用户的信任值，即次用户的可信程度。

通过LU行为数据库和次用户行为数据库，LSM可以管理LSA协议的执行。

LSA协议层

所述的授权频谱分配协议层，用于执行LSA协议。在该层中，LSA协议被执行，其执行过程如图2所示；

第一，一个授权用户(例如LU_i)发送共享信息S[i]＝(LU_i,k,ss_i ^k＝0,lst_i ^k,ds_i ^k)，其中k表示S[i]的序列号，ds_i ^k表示LU_i的数字签名信息，LSM根据S[i]更新LU的行为数据库，在FLSS方案中，授权用户行为安全模块用于支持授权用户的安全性能；

第二，一个SU发送访问信息Q[j]＝(SU_j,l,us_j ^k＝1,sst_j ^k)向LSM申请授权频谱，其中l表示Q[j]的序列号，ds_i ^k表示LU_i的数字签名信息，LSM根据S[i]更新LU的行为数据库，在FLSS方案中，授权用户行为安全模块用于支持LU的安全性能，在FLSS方案中，SU行为安全模块用于支持授权用户的安全性能；

第三，LSM向SU_j响应QueryHit消息QH[j]＝(SU_j,l,us_j ^k＝1,per_ij ^k＝0,τ)，LSM检查LU行为数据库，发现其中一个授权用户，例如LU_i的频谱是空闲的，因此，per_ij ^k＝0表示SU_j可以获得使用LU_i空闲频谱的许可权，τ表示许可截止时刻，用于避免一些次用户对授权频谱的长期占用；

第四，LSM等待LU_i是否发送Recall消息R[i]＝(LU_i,k+r,ss_i ^k＝1,let_i ^r,ds_i ^k+r)，r是一个随机整数；如果发送，将执行以下三个步骤：①LSM将R[i]转发给SU_j，②SU_j尽可能快地向LSM反馈关于LU_i的频谱状态，③LSM将一条RecallHit信息RH[i]＝(SU_j,k+r,us_j ^k＝0,per_ij ^k＝1)回复给LU_i，同时，LSM给予SU_j其他空闲频谱的许可权，如果没有发送，则LSM继续向SU_j授予权限，并转到第五步；

第五，LSM一直持续到终止时刻τ，如果达到终止时刻，LSM将撤销对SU_j的许可权，如果未达到，则转到第六步，并且将LU_i的空闲频谱使用许可权给予另一个次用户，直到LU_i发送Recall信息，此外，LSM可以在到达τ时刻之前给予SU_j多个机会以便申请新的许可权；

第六，LSM再次等待来自LU_i的Recall消息，如果收到消息，则转到第四步，如果收到消息，转到，如果未收到，LSM继续向SU_j授予权限；为了避免在传输过程中被劫持和篡改，应将LSA协议中的消息流设置为只读数据，包括Sharing消息，Query消息，QueryHit消息，Recall消息，RecallHit消息。

为了避免在传输过程中被劫持和篡改，应将LSA协议中消息流设置为只读数据，包括Sharing消息，Query消息，QueryHit消息，Recall消息，RecallHit消息。

用户行为安全层

所述的用户行为安全层，包括授权用户行为安全模块和次用户行为安全模块，用于支撑LSA协议，约束授权用户行为和次用户行为。本发明提出了一些安全措施来避免对LSA协议的威胁，同样，为了更好的执行LSA协议，还应该提出一些安全措施来约束授权用户和次用户的行为，因为恶意用户可能潜伏在其中，在用户行为安全层中，采用授权用户行为安全模块和次用户行为安全模块以支撑LSA协议。

(1)授权用户行为安全

在海量物联网设备接入环境中，对频谱的庞大需求可以使具有授权频谱的移动设备表示为授权用户，不像信号发射塔扮演的授权用户角色属性，这些新的授权用户可能并非都是诚实的。一些恶意用户可能扮演授权用户的角色，从而伪造授权频谱消息以干扰频谱共享。这些恶意用户发送虚假的Sharing消息使得ss_i ^k＝0，然而授权频谱的状态并非是空闲的；

通常，恶意用户通过以下两种威胁伪造授权频谱消息：第一种是恶意用户使用自身的授权用户标识直接发送虚假的Sharing消息；另一种是恶意用户通过冒充诚实的授权用户发送虚假的Sharing消息，为了确保授权用户行为的安全性，FLSS方案可以从授权用户签名验证和信任管理的角度来抑制着两种威胁。

●签名验证

为了检测恶意用户是否冒充为诚实的授权用户，应将数字签名信息添加到Sharing消息中。再以LU_i为例，将ds_i ^k添加到S[i]中。ds_i ^k可以计算为：

为了避免签名重复攻击的风险，将k添加到ds_i ^k的计算中。h(·)是不可逆的哈希函数，其中恶意用户无法通过使用已知的因变量来推断自变量。

一旦LSM从LU_i接收到S[i]，LSM就可以用验证S[i]接收到的(ds_i ^k,ss_i ^k,k)数据中ds_i ^k＝h(ss_i ^k+k+sk_i)签名和自身持有的sk_i是否一致。如果不一致，则表示一个恶意用户可能冒充为LU_i。为了保持授权用户行为数据的可靠性，这些虚假的S[i]将被丢弃。特别地，恶意用户不能伪造ds_i ^k的原因是1)sk_i只能被LSM和LU_i持有；2)由于不可逆的哈希函数，恶意用户无法推断出sk_i。

对于Recall消息R[i]，其签名应计算为ds_i ^k+r＝h(ss_i ^k+k+r+sk_i)。为了避免使用ds_i ^k伪造R[i]，将随整数添加至k。

●授权用户信任管理

为了分析授权用户的共享行为，可以使用信任管理来评估授权用户的信任度；如果恶意用户总是使用其自身的授权用户标识直接发送虚假的共享消息，那么，获得比诚实授权用户更低的信任值；

在授权用户行为数据库中，LSM同时记录次用户使用授权频谱后的反馈信息。以LU_i为例，如果LU_i发送真实的共享信息，LU_i可以获得空闲的授权频谱并提交反馈信息SU_j(sf_i)＝0，其表示正常；如果SU_j将受到干扰，因此提交反馈信息SU_j(sf_i)＝1，其表示异常；

以LU_i而言，LSM可以统计正常反馈的SU数目，直到第k个序列号，表示为nf^k _i，以及异常反馈的SU的数目，直到第k个序列号，由af^k _i表示，LU_i在第k个序列号上的信任值可以计算为：

其中η是指数衰减因子，其与授权用户的数量(m)成正比，且与次用户的数量成反比。因此，η可以计算为：

假设θ是LU信任值的阈值，当lt_i ^k≧θ时，LSM将接受LU_i的Sharing消息。否则，当lt_i ^k<θ时，LSM将拒绝LU_i的Sharing消息。

为了抑制来自某些授权用户的虚假Sharing消息的影响，采取惩罚性措施，当lt_i ^k<θ时，隶属于LU_i的次用户不能获得来自其他授权用户的空闲频谱的使用许可权。

(2)次用户行为安全

在认知无线电网络中，如果协作频谱感知假设所有次用户都是诚实的，其将为恶意次用户提供伪造频谱感知数据的机会，导致融合中心对来自协作频谱感知的授权频谱的状态做出错误的判定。与协作频谱感知过程类似的是，如果所有的SU假定位诚实的，那么在FLSS中可能会出现一些威胁。

为了支撑LSA协议的可靠性，可以从恶意行为的防御措施和SU信任管理的角度来限制次用户的行为。

●防御措施

为了干扰频谱共享，具有次用户标识的恶意用户将违反包括3，4，6共享约束规则下的共享行为，从而导致三种类型的恶意行为。这些恶意行为及其防御措施的描述如下。

违反规则3-拒绝反馈恶意行为

描述：一些次用户收到Recall消息时拒绝立即返回空闲授权频谱。

防御措施：LSM使这些次用户离线一段时间并告诉授权用户让其收回次用户的频谱。与此同时，LSM记录与规则3相关的负面共享评级。

违反规则4-私自访问的恶意行为

描述：一些次用户在未经LSM许可的情况下私自访问授权的授权用户频谱。

防御措施：如果授权用户发现其自身的授权频谱被某些次用户占用但并未向LSM发送任何Sharing消息，可以向LSM发送投诉消息。然后，LSM将审查这些次用户并使其断开接入一段时间。与此同时，LSM记录与规则4相关的负面共享评级。

违反规则6-占用空闲的恶意行为

描述：当一些次用户在使用授权频谱后仍未收到Recall消息时，会私自占有该空闲授权频谱。

防御措施：LSM应该不定期地检测获得许可的次用户信号，以检查其是否使用了授权频谱。如果没有，LSM会使其断开空闲频谱接入一段时间。与此同时，LSM记录与规则6相关的负面共享评级。

●次用户信任管理

次用户的信任值对于LSM来说也是非常重要的，LSM可以将用作惩罚具有次用户标识的恶意用户的凭据。因此，还应采用信任管理通过分析次用户的共享行为来评估其信任度。如果恶意用户总是通过违反共享约束规则来干扰频谱共享，那么其将获得比诚实次用户更低的信任值。

从抑制恶意行为的角度，可以评估每个次用户的个体信任系数。截止目前，主要注意到三种恶意行为，包括拒绝反馈，私自访问和占用空闲。也许，将来会出现其他恶意行为。因此，应考虑可扩展性来评估与多种恶意行为相关的个体信任系数。

为了确保对各个信任系数评估的可扩展性，对于多种恶意行为可以采用二元性共享评级。让Β＝{mb₁,…,mb_h,…,mb_g}表示恶意行为的集合。其中mb_h表示第h个恶意行为且g表示恶意行为的数量。对于SU_j，LSM可以统计与第h个恶意行为相关的积极共享评级的数量，一直到第l个恶意行为，表示为pr^l _jh；以及与第h个恶意行为相关的消极共享评级的数量，一直到第l个恶意行为，表示为nr^l _jh，对应于第l个序号的mb_h的SU_j的第h个信任系数被评估为：

信任系数可以通过负面和积极共享评级数量来计算。为了加大因负面共享评级数量增值对于信任系数的衰减，使用SU_j在所有pr^l _jh中的非零最小值作为积极共享评级数量的计算因子，以此，刺激次用户对于共享约束规则的遵守；

最后，将与各种恶意行为相关的所有个体信任系数合并为次用户信任值。SU_j在第l个恶意行为中的信任值可以被评估为：

其中w_h是第h个体信任值系数的权重且λ是个体信任系数的基本权重，

w_h与λ之间的关系是w_h＝u_h*λ和其中u_h是由LSM给出的第h个体信任值的关键性倍数。/>是对st^l _j的惩罚，其意味着危害最大的恶意行为将导致次用户信任值的降低。

此外，δ是次用户信任值的阈值。当st^l _j<δ时，LSM将不会向SU_j授予频谱共享许可。

利用海量物联网设备接入环境中的快速授权频谱共享系统的方法，包括以下步骤：

步骤一，授权频谱管理

授权频谱管理是FLSS方案的核心，在集中式环境中，LSM可以来自融合中心；在分布式环境中，可以使用分布式选举方法从多个用户产生LSM；为确保频谱的有序共享，授权用户和次用户都遵守LSM所管理的共享约束规则，共享约束规则如下：

规则1：当LSM接收到授权用户声称他们的频谱是空闲的消息时，LSM可以将空闲的授权频谱分配给次用户；

规则2：如果授权用户想要收回它们的频段时，应该提前向LSM发送消息，声称他们将使用授权频段；然后，LSM将转发此消息，告诉次用户必须立即退出空闲的授权频谱。授权用户可以在次用户退出后继续使用该频段，显然FLSS方案保证了授权用户优先使用授权频段的权利；当授权用户发送收回频谱的消息时，可以自动设置一个很小的等待时间，如果次用户在等待时间之后没有退出正在使用的授权频段，授权用户有权收回它们的频谱；

规则3：次用户收到LSM转发的收回消息时，必须立即退出空闲的授权频段；

规则4：只有收到LSM的许可消息时，次用户才能使用空闲的授权频段；

规则5：每次只能将一个空闲的授权频段分配给一个次用户，如果次用户完成通信退出此频段时，LSM将这个空闲的授权段分配给另一个次用户；

规则6：即使空闲的授权频谱在SU使用后没有被回收，该次用户也必须将其归还给LSM；

步骤二，执行LSA协议，本步骤又包括以下步骤：

第一，一个授权用户(例如LU_i)发送共享信息S[i]＝(LU_i,k,ss_i ^k＝0,lst_i ^k,ds_i ^k)，其中k表示S[i]的序列号，ds_i ^k表示LU_i的数字签名信息，LSM根据S[i]更新授权用户的行为数据库，在FLSS方案中，授权用户行为安全模块用于支持授权用户的安全性能；

第二，一个SU发送访问信息Q[j]＝(SU_j,l,us_j ^k＝1,sst_j ^k)向LSM申请授权频谱，其中l表示Q[j]的序列号，ds_i ^k表示LU_i的数字签名信息，LSM根据S[i]更新授权用户的行为数据库，在FLSS方案中，授权用户行为安全模块用于支持LU的安全性能，在FLSS方案中，次用户行为安全模块用于支持授权用户的安全性能；

第三，LSM向SU_j响应QueryHit消息QH[j]＝(SU_j,l,us_j ^k＝1,per_ij ^k＝0,τ)，LSM检查LU行为数据库，发现其中一个授权用户，例如LU_i的频谱是空闲的，因此，per_ij ^k＝0表示SU_j可以获得使用LU_i空闲频谱的许可权，τ表示许可截止时刻，用于避免一些次用户对授权频谱的长期占用；

第四，LSM等待LU_i是否发送Recall消息R[i]＝(LU_i,k+r,ss_i ^k＝1,let_i ^r,ds_i ^k+r)，r是一个随机整数；如果发送，将执行以下三个步骤：①LSM将R[i]转发给SU_j，②SU_j尽可能快地向LSM反馈关于LU_i的频谱状态，③LSM将一条RecallHit信息RH[i]＝(SU_j,k+r,us_j ^k＝0,per_ij ^k＝1)回复给LU_i，同时，LSM给予SU_j其他空闲频谱的许可权，如果没有发送，则LSM继续向SU_j授予权限，并转到第五步；

第五，LSM一直持续到终止时刻τ，如果达到终止时刻，LSM将撤销对SU_j的许可权，如果未达到，则转到第六步，并且将LU_i的空闲频谱使用许可权给予另一个次用户，直到LU_i发送Recall信息，此外，LSM可以在到达τ时刻之前给予SU_j多个机会以便申请新的许可权；

第六，LSM再次等待来自LU_i的Recall消息，如果收到消息，则转到第四步，如果收到消息，转到，如果未收到，LSM继续向SU_j授予权限；为了避免在传输过程中被劫持和篡改，应将LSA协议中的消息流设置为只读数据，包括Sharing消息，Query消息，QueryHit消息，Recall消息，RecallHit消息。

步骤三，用户行为安全，约束授权用户行为和次用户行为，具体如下：

(一)授权用户行为的安全性通过授权用户签名验证和信任管理来抑制

1)签名验证

为了检测恶意用户是否冒充为诚实的授权用户，应将数字签名信息添加到Sharing消息中，再以LU_i为例，将ds_i ^k添加到S[i]中，ds_i ^k可以计算为：

为了避免签名重复攻击的风险，将k添加到ds_i ^k的计算中，h(·)是不可逆的哈希函数，其中恶意用户无法通过使用已知的因变量来推断自变量；

一旦LSM从LU_i接收到S[i]，LSM就可以用验证S[i]接收到的(ds_i ^k,ss_i ^k,k)数据中ds_i ^k＝h(ss_i ^k+k+sk_i)签名和自身持有的sk_i是否一致；如果不一致，则表示一个恶意用户可能冒充为LU_i，为了保持授权用户行为数据的可靠性，这些虚假的S[i]将被丢弃，特别地，恶意用户不能伪造ds_i ^k的原因是a)sk_i只能被LSM和LU_i持有；b)由于不可逆的哈希函数，恶意用户无法推断出sk_i；

对于Recall消息R[i]，其签名应计算为ds_i ^k+r＝h(ss_i ^k+k+r+sk_i)，为了避免使用ds_i ^k伪造R[i]，将随整数添加至k；

2)授权用户信任管理

为了分析授权用户的共享行为，可以使用信任管理来评估授权用户的信任度；如果恶意用户总是使用其自身的授权用户标识直接发送虚假的共享消息，那么获得比诚实授权用户更低的信任值；

在授权用户行为数据库中，LSM同时记录次用户使用授权频谱后的反馈信息，以LU_i为例，如果LU_i发送真实的共享信息，LU_i可以获得空闲的授权频谱并提交反馈信息SU_j(sf_i)＝0，其表示正常；如果SU_j将受到干扰，因此提交反馈信息SU_j(sf_i)＝1，其表示异常；

以LU_i而言，LSM可以统计正常反馈的SU数目，直到第k个序列号，表示为nf^k _i，以及异常反馈的次用户的数目，直到第k个序列号，由af^k _i表示，LU_i在第k个序列号上的信任值可以计算为：

其中η是指数衰减因子，其与授权用户的数量(m)成正比，且与次用户的数量成反比，因此，η可以计算为：

假设θ是授权用户信任值的阈值，当lt_i ^k≧θ时，LSM将接受LU_i的Sharing消息，否则，当lt_i ^k<θ时，LSM将拒绝LU_i的Sharing消息；

为了抑制来自某些授权用户的虚假Sharing消息的影响，采取惩罚性措施，当lt_i ^k<θ时，隶属于LU_i的次用户不能获得来自其他授权用户的空闲频谱的使用许可权；

(二)次用户行为安全，通过恶意行为的防御措施和次用户信任管理来抑制

1)防御措施

为了干扰频谱共享，具有次用户标识的恶意用户将违反包括共享约束规则3，规则4，规则6下的共享行为，从而导致三种类型的恶意行为，这三种类型的恶意行为及其防御措施的描述如下：

违反规则3-拒绝反馈恶意行为

描述：一些次用户收到Recall消息时拒绝立即返回空闲授权频谱；

防御措施：LSM使这些次用户离线一段时间并告诉授权用户让其收回次用户的频谱；与此同时，LSM记录与规则3相关的负面共享评级；

违反规则4-私自访问的恶意行为

描述：一些次用户在未经LSM许可的情况下私自访问授权的授权用户频谱；

防御措施：如果授权用户发现其自身的授权频谱被某些次用户占用但并未向LSM发送任何Sharing消息，可以向LSM发送投诉消息，然后，LSM将审查这些次用户并使其断开接入一段时间，与此同时，LSM记录与规则4相关的负面共享评级；

违反规则6-占用空闲的恶意行为

描述：当一些次用户在使用授权频谱后仍未收到Recall消息时，会私自占有该空闲授权频谱；

防御措施：LSM应该不定期地检测获得许可的次用户信号，以检查其是否使用了授权频谱，如果没有，LSM会使其断开空闲频谱接入一段时间，与此同时，LSM记录与规则6相关的负面共享评级；

2)次用户信任管理

次用户的信任值对于LSM来说也是非常重要的，LSM可以将用作惩罚具有次用户标识的恶意用户的凭据，因此，还应采用信任管理通过分析次用户的共享行为来评估其信任度，如果恶意用户总是通过违反共享约束规则来干扰频谱共享，那么其将获得比诚实次用户更低的信任值；

从抑制恶意行为的角度，可以评估每个SU的个体信任系数，截止目前，主要注意到三种恶意行为，包括拒绝反馈，私自访问和占用空闲，也许，将来会出现其他恶意行为，因此，应考虑可扩展性来评估与多种恶意行为相关的个体信任系数；

为了确保对各个信任系数评估的可扩展性，对于多种恶意行为可以采用二元性共享评级，让Β＝{mb₁,…,mb_h,…,mb_g}表示恶意行为的集合，其中mb_h表示第h个恶意行为且g表示恶意行为的数量，对于SU_j，LSM可以统计与第h个恶意行为相关的积极共享评级的数量，一直到第l个恶意行为，表示为pr^l _jh；以及与第h个恶意行为相关的消极共享评级的数量，一直到第l个恶意行为，表示为nr^l _jh，对应于第l个序号的mb_h的SU_j的第h个信任系数被评估为：

信任系数可以通过负面和积极共享评级数量来计算。为了加大因负面共享评级数量增值对于信任系数的衰减，使用SU_j在所有pr^l _jh中的非零最小值作为积极共享评级数量的计算因子，以此，刺激次用户对于共享约束规则的遵守；

最后，将与各种恶意行为相关的所有个体信任系数合并为次用户信任值，SU_j在第l个恶意行为中的信任值可以被评估为：

其中w_h是第h个体信任值系数的权重且λ是个体信任系数的基本权重，

w_h与λ之间的关系是w_h＝u_h*λ和其中u_h是由LSM给出的第h个体信任值的关键性倍数，/>是对st^l _j的惩罚，其意味着危害最大的恶意行为将导致SU信任值的降低，

δ是次用户信任值的阈值，当st^l _j<δ时，LSM将不会向SU_j授予频谱共享许可。

缩略词和定义列表：

LU:授权用户；SU:次用户；FLSS:快速授权频谱共享；LSM:授权频谱管理者；LSA:授权频谱分配。

Claims (4)

1.海量物联网设备接入环境中的快速授权频谱共享系统，其特征在于，包括授权频谱管理层、授权频谱分配协议层和用户行为安全层；

所述的授权频谱管理层包括授权用户行为数据库、次用户行为数据库；授权频谱管理是快速授权频谱共享方案的核心，在集中式环境中，授权频谱管理者来自融合中心；在分布式环境中，使用分布式选举方法从多个用户产生LSM；

为确保频谱的有序共享，授权用户和次用户都遵守LSM所管理的共享约束规则；

所述的授权频谱分配协议层，用于执行授权频谱分配协议；

所述的用户行为安全层，包括授权用户行为安全模块和次用户行为安全模块，用于支撑LSA协议，约束授权用户行为和次用户行为；

利用所述快速授权频谱共享系统的方法的步骤为：

步骤一，授权频谱管理

授权频谱管理是FLSS方案的核心，在集中式环境中，LSM可以来自融合中心；在分布式环境中，可以使用分布式选举方法从多个用户产生LSM；为确保频谱的有序共享，授权用户和次用户都遵守LSM所管理的共享约束规则，共享约束规则如下：

规则1：当LSM接收到授权用户声称他们的频谱是空闲的消息时，LSM可以将空闲的授权频谱分配给次用户；

规则2：如果授权用户想要收回它们的频段时，应该提前向LSM发送消息，声称他们将使用授权频段；然后，LSM将转发此消息，告诉次用户必须立即退出空闲的授权频谱，授权用户可以在次用户退出后继续使用该频段，显然FLSS方案保证了授权用户优先使用授权频段的权利；当授权用户发送收回频谱的消息时，可以自动设置一个很小的等待时间，如果次用户在等待时间之后没有退出正在使用的授权频段，授权用户有权收回它们的频谱；

规则3：次用户收到LSM转发的收回消息时，必须立即退出空闲的授权频段；

规则4：只有收到LSM的许可消息时，次用户才能使用空闲的授权频段；

规则5：每次只能将一个空闲的授权频段分配给一个次用户，如果SU完成通信退出此频段时，LSM将这个空闲的授权段分配给另一个次用户；

规则6：即使空闲的授权频谱在次用户使用后没有被回收，该次用户也必须将其归还给LSM；

步骤二，执行LSA协议，本步骤又包括以下步骤：

第一，一个授权用户发送共享信息其中k表示S[i]的序列号，/>表示LU_i的数字签名信息，LSM根据S[i]更新LU的行为数据库，在FLSS方案中，授权用户行为安全模块用于支持授权用户的安全性能；

第二，一个SU发送访问信息向LSM申请授权频谱，其中l表示Q[j]的序列号，/>表示LU_i的数字签名信息，LSM根据S[i]更新授权用户的行为数据库，在FLSS方案中，授权用户行为安全模块用于支持授权用户的安全性能，在FLSS方案中，次用户行为安全模块用于支持授权用户的安全性能；

第三，LSM向SU_j响应QueryHit消息LSM检查LU行为数据库，发现其中一个授权用户，例如LU_i的频谱是空闲的，因此，/>表示SU_j可以获得使用LU_i空闲频谱的许可权，τ表示许可截止时刻，用于避免一些次用户对授权频谱的长期占用；

第四，LSM等待LU_i是否发送Recall消息r是一个随机整数；如果发送，将执行以下三个步骤：①LSM将R[i]转发给SU_j，②SU_j尽可能快地向LSM反馈关于LU_i的频谱状态，③LSM将一条RecallHit信息/>回复给LU_i，同时，LSM给予SU_j其他空闲频谱的许可权，如果没有发送，则LSM继续向SU_j授予权限，并转到第五步；

第五，LSM一直持续到终止时刻τ，如果达到终止时刻，LSM将撤销对SU_j的许可权，如果未达到，则转到第六步，并且将LU_i的空闲频谱使用许可权给予另一个次用户，直到LU_i发送Recall信息，此外，LSM可以在到达τ时刻之前给予SU_j多个机会以便申请新的许可权；

第六，LSM再次等待来自LU_i的Recall消息，如果收到消息，则转到第四步，如果收到消息，转到，如果未收到，LSM继续向SU_j授予权限；为了避免在传输过程中被劫持和篡改，应将LSA协议中的消息流设置为只读数据，包括Sharing消息，Query消息，QueryHit消息，Recall消息，RecallHit消息；

步骤三，用户行为安全，约束授权用户行为和次用户行为，具体如下：

(一)授权用户行为的安全性通过授权用户签名验证和信任管理来抑制

1)签名验证

为了检测恶意用户是否冒充为诚实的授权用户，应将数字签名信息添加到Sharing消息中，再以LU_i为例，将数字签名添加到S[i]中，/>可以计算为：

为了避免签名重复攻击的风险，将k添加到的计算中，h(·)是不可逆的哈希函数，其中恶意用户无法通过使用已知的因变量来推断自变量，sk_i为LU_i的私钥；

一旦LSM从LU_i接收到S[i]，LSM就可以用验证S[i]接收到的数据中签名和自身持有的sk_i是否一致；如果不一致，则表示一个恶意用户可能冒充为LU_i，为了保持授权用户行为数据的可靠性，这些虚假的S[i]将被丢弃，特别地，恶意用户不能伪造/>的原因是a)sk_i只能被LSM和LU_i持有；b)由于不可逆的哈希函数，恶意用户无法推断出sk_i；

对于Recall消息R[i]，其签名应计算为为了避免使用/>伪造R[i]，将随整数添加至k；

2)授权用户信任管理

为了分析授权用户的共享行为，可以使用信任管理来评估授权用户的信任度；如果恶意用户总是使用其自身的授权用户标识直接发送虚假的共享消息，那么获得比诚实授权用户更低的信任值；

在授权用户行为数据库中，LSM同时记录次用户使用授权频谱后的反馈信息，以LU_i为例，如果LU_i发送真实的共享信息，LU_i可以获得空闲的授权频谱并提交反馈信息SU_j(sf_i)＝0，其表示正常；如果SU_j将受到干扰，因此提交反馈信息SU_j(sf_i)＝1，其表示异常；

以LU_i而言，LSM可以统计正常反馈的次用户数目，直到第k个序列号，表示为以及异常反馈的次用户的数目，直到第k个序列号，由/>表示，LU_i在第k个序列号上的信任值可以计算为：

其中η是指数衰减因子，其与授权用户的数量(m)成正比，且与次用户的数量成反比，因此，η可以计算为：

假设θ是授权用户信任值的阈值，当时，LSM将接受LU_i的Sharing消息，否则，当时，LSM将拒绝LU_i的Sharing消息；

为了抑制来自某些授权用户的虚假Sharing消息的影响，采取惩罚性措施，当时，LU_i的附属次用户也不能获得来自其他授权用户的空闲频谱的使用许可权；

(二)次用户行为安全，通过恶意行为的防御措施和次用户信任管理来抑制

1)防御措施

为了干扰频谱共享，具有次用户身份的恶意用户将违反包括共享约束规则3，规则4，规则6下的共享行为，从而导致三种类型的恶意行为，这三种类型的恶意行为及其防御措施的描述如下：

违反规则3-拒绝反馈恶意行为

描述：一些次用户收到Recall消息时拒绝立即返回空闲授权频谱；

防御措施：LSM使这些次用户离线一段时间并告诉授权用户让其收回次用户的频谱；与此同时，LSM记录与规则3相关的负面共享评级；

违反规则4-私自访问的恶意行为

描述：一些次用户在未经LSM许可的情况下私自访问授权的授权用户频谱；

防御措施：如果授权用户发现其自身的授权频谱被某些次用户占用但并未向LSM发送任何Sharing消息，可以向LSM发送投诉消息，然后，LSM将审查这些SU并使其断开接入一段时间，与此同时，LSM记录与规则4相关的负面共享评级；

违反规则6-占用空闲的恶意行为

描述：当一些次用户在使用授权频谱后仍未收到Recall消息时，会私自占有该空闲授权频谱；

防御措施：LSM应该不定期地检测获得许可的次用户信号，以检查其是否使用了授权频谱，如果没有，LSM会使其断开空闲频谱接入一段时间，与此同时，LSM记录与规则6相关的负面共享评级；

2)次用户信任管理

次用户的信任值对于LSM来说也是非常重要的，LSM可以将用作惩罚具有次用户标识的恶意用户的凭据，因此，还应采用信任管理通过分析次用户的共享行为来评估其信任度，如果恶意用户总是通过违反共享约束规则来干扰频谱共享，那么其将获得比诚实次用户更低的信任值；

从抑制恶意行为的角度，可以评估每个次用户的个体信任系数，截止目前，主要注意到三种恶意行为，包括拒绝反馈，私自访问和占用空闲；

为确保对各个信任系数评估的可扩展性，对于多种恶意行为可以采用二元性共享评级，让Β＝{mb₁,…,mb_h,…,mb_g}表示恶意行为的集合，其中mb_h表示第h个恶意行为且g表示恶意行为的数量，对于SU_j，LSM可以统计与第h个恶意行为相关的积极共享评级的数量，一直统计到第l个恶意行为，表示为以及与第h个恶意行为相关的消极共享评级的数量，一直统计到第l个恶意行为，表示为/>对应于第l个序号的mb_h的SU_j的第h个信任系数被评估为：

信任系数可以通过负面和积极共享评级数量来计算，为了加大因负面共享评级数量增值对于信任系数的衰减，使用SU_j在所有中的非零最小值/>作为积极共享评级数量的计算因子，以此，刺激次用户对于共享约束规则的遵守；

最后，将与各种恶意行为相关的所有个体信任系数合并为次用户信任值，SU_j在第l个恶意行为中的信任值可以被评估为：

其中w_h是第h个体信任值系数的权重且λ是个体信任系数的基本权重，

w_h与λ之间的关系是w_h＝u_h*λ和其中u_h是由LSM给出的第h个体信任值的关键性倍数，/>是对/>的惩罚，其意味着危害最大的恶意行为将导致次用户信任值的降低，δ是次用户信任值的阈值，当/>时，LSM将不会向SU_j授予频谱共享许可。

2.根据权利要求1所述的海量物联网设备接入环境中的快速授权频谱共享系统，其特征在于，所述的共享约束规则如下：

规则1：当LSM接收到授权用户声称他们的频谱是空闲的消息时，LSM可以将空闲的授权频谱分配给次用户；

规则2：如果授权用户想要收回它们的频段时，应该提前向LSM发送消息，声称他们将使用授权频段；然后，LSM将转发此消息，告诉次用户必须立即退出空闲的授权频谱，授权用户可以在次用户退出后继续使用该频段，显然FLSS方案保证了授权用户优先使用授权频段的权利；当授权用户发送收回频谱的消息时，可以自动设置一个很小的等待时间，如果次用户在等待时间之后没有退出正在使用的授权频段，授权用户有权收回它们的频谱；

规则3：次用户收到LSM转发的收回消息时，必须立即退出空闲的授权频段；

规则4：只有收到LSM的许可消息时，次用户才能使用空闲的授权频段；

规则5：每次只能将一个空闲的授权频段分配给一个次用户，如果次用户完成通信退出此频段时，LSM将这个空闲的授权段分配给另一个次用户；

规则6：即使空闲的授权频谱在次用户使用后没有被回收，该次用户也必须将其归还给LSM。

3.根据权利要求1所述的海量物联网设备接入环境中的快速授权频谱共享系统，其特征在于，所述的授权用户行为数据库由m个授权用户数据表组成，其中m是网络中授权用户的数量；次用户行为数据库由n个次用户数据表组成，其中n是网络中次用户的数量。

4.利用海量物联网设备接入环境中的快速授权频谱共享系统的方法，其特征在于，包括以下步骤：

步骤一，授权频谱管理

授权频谱管理是FLSS方案的核心，在集中式环境中，LSM可以来自融合中心；在分布式环境中，可以使用分布式选举方法从多个用户产生LSM；为确保频谱的有序共享，授权用户和次用户都遵守LSM所管理的共享约束规则，共享约束规则如下：

规则1：当LSM接收到授权用户声称他们的频谱是空闲的消息时，LSM可以将空闲的授权频谱分配给次用户；

规则2：如果授权用户想要收回它们的频段时，应该提前向LSM发送消息，声称他们将使用授权频段；然后，LSM将转发此消息，告诉次用户必须立即退出空闲的授权频谱，授权用户可以在次用户退出后继续使用该频段，显然FLSS方案保证了授权用户优先使用授权频段的权利；当授权用户发送收回频谱的消息时，可以自动设置一个很小的等待时间，如果次用户在等待时间之后没有退出正在使用的授权频段，授权用户有权收回它们的频谱；

规则3：次用户收到LSM转发的收回消息时，必须立即退出空闲的授权频段；

规则4：只有收到LSM的许可消息时，次用户才能使用空闲的授权频段；

规则5：每次只能将一个空闲的授权频段分配给一个次用户，如果SU完成通信退出此频段时，LSM将这个空闲的授权段分配给另一个次用户；

规则6：即使空闲的授权频谱在次用户使用后没有被回收，该次用户也必须将其归还给LSM；

步骤二，执行LSA协议，本步骤又包括以下步骤：

第一，一个授权用户发送共享信息其中k表示S[i]的序列号，/>表示LU_i的数字签名信息，LSM根据S[i]更新LU的行为数据库，在FLSS方案中，授权用户行为安全模块用于支持授权用户的安全性能；

第二，一个SU发送访问信息向LSM申请授权频谱，其中l表示Q[j]的序列号，/>表示LU_i的数字签名信息，LSM根据S[i]更新授权用户的行为数据库，在FLSS方案中，授权用户行为安全模块用于支持授权用户的安全性能，在FLSS方案中，次用户行为安全模块用于支持授权用户的安全性能；

第三，LSM向SU_j响应QueryHit消息LSM检查LU行为数据库，发现其中一个授权用户，例如LU_i的频谱是空闲的，因此，/>表示SU_j可以获得使用LU_i空闲频谱的许可权，τ表示许可截止时刻，用于避免一些次用户对授权频谱的长期占用；

第四，LSM等待LU_i是否发送Recall消息r是一个随机整数；如果发送，将执行以下三个步骤：①LSM将R[i]转发给SU_j，②SU_j尽可能快地向LSM反馈关于LU_i的频谱状态，③LSM将一条RecallHit信息/>回复给LU_i，同时，LSM给予SU_j其他空闲频谱的许可权，如果没有发送，则LSM继续向SU_j授予权限，并转到第五步；

第五，LSM一直持续到终止时刻τ，如果达到终止时刻，LSM将撤销对SU_j的许可权，如果未达到，则转到第六步，并且将LU_i的空闲频谱使用许可权给予另一个次用户，直到LU_i发送Recall信息，此外，LSM可以在到达τ时刻之前给予SU_j多个机会以便申请新的许可权；

第六，LSM再次等待来自LU_i的Recall消息，如果收到消息，则转到第四步，如果收到消息，转到，如果未收到，LSM继续向SU_j授予权限；为了避免在传输过程中被劫持和篡改，应将LSA协议中的消息流设置为只读数据，包括Sharing消息，Query消息，QueryHit消息，Recall消息，RecallHit消息；

步骤三，用户行为安全，约束授权用户行为和次用户行为，具体如下：

(一)授权用户行为的安全性通过授权用户签名验证和信任管理来抑制

1)签名验证

为了检测恶意用户是否冒充为诚实的授权用户，应将数字签名信息添加到Sharing消息中，再以LU_i为例，将数字签名添加到S[i]中，/>可以计算为：

为了避免签名重复攻击的风险，将k添加到的计算中，h(·)是不可逆的哈希函数，其中恶意用户无法通过使用已知的因变量来推断自变量，sk_i为LU_i的私钥；

一旦LSM从LU_i接收到S[i]，LSM就可以用验证S[i]接收到的数据中签名和自身持有的sk_i是否一致；如果不一致，则表示一个恶意用户可能冒充为LU_i，为了保持授权用户行为数据的可靠性，这些虚假的S[i]将被丢弃，特别地，恶意用户不能伪造/>的原因是a)sk_i只能被LSM和LU_i持有；b)由于不可逆的哈希函数，恶意用户无法推断出sk_i；

对于Recall消息R[i]，其签名应计算为为了避免使用/>伪造R[i]，将随整数添加至k；

2)授权用户信任管理

为了分析授权用户的共享行为，可以使用信任管理来评估授权用户的信任度；如果恶意用户总是使用其自身的授权用户标识直接发送虚假的共享消息，那么获得比诚实授权用户更低的信任值；

在授权用户行为数据库中，LSM同时记录次用户使用授权频谱后的反馈信息，以LU_i为例，如果LU_i发送真实的共享信息，LU_i可以获得空闲的授权频谱并提交反馈信息SU_j(sf_i)＝0，其表示正常；如果SU_j将受到干扰，因此提交反馈信息SU_j(sf_i)＝1，其表示异常；

以LU_i而言，LSM可以统计正常反馈的次用户数目，直到第k个序列号，表示为以及异常反馈的次用户的数目，直到第k个序列号，由/>表示，LU_i在第k个序列号上的信任值可以计算为：

其中η是指数衰减因子，其与授权用户的数量(m)成正比，且与次用户的数量成反比，因此，η可以计算为：

假设θ是授权用户信任值的阈值，当时，LSM将接受LU_i的Sharing消息，否则，当时，LSM将拒绝LU_i的Sharing消息；

为了抑制来自某些授权用户的虚假Sharing消息的影响，采取惩罚性措施，当时，LU_i的附属次用户也不能获得来自其他授权用户的空闲频谱的使用许可权；

(二)次用户行为安全，通过恶意行为的防御措施和次用户信任管理来抑制1)防御措施

为了干扰频谱共享，具有次用户身份的恶意用户将违反包括共享约束规则3，规则4，规则6下的共享行为，从而导致三种类型的恶意行为，这三种类型的恶意行为及其防御措施的描述如下：

违反规则3-拒绝反馈恶意行为

描述：一些次用户收到Recall消息时拒绝立即返回空闲授权频谱；

防御措施：LSM使这些次用户离线一段时间并告诉授权用户让其收回次用户的频谱；与此同时，LSM记录与规则3相关的负面共享评级；

违反规则4-私自访问的恶意行为

描述：一些次用户在未经LSM许可的情况下私自访问授权的授权用户频谱；

防御措施：如果授权用户发现其自身的授权频谱被某些次用户占用但并未向LSM发送任何Sharing消息，可以向LSM发送投诉消息，然后，LSM将审查这些SU并使其断开接入一段时间，与此同时，LSM记录与规则4相关的负面共享评级；

违反规则6-占用空闲的恶意行为

描述：当一些次用户在使用授权频谱后仍未收到Recall消息时，会私自占有该空闲授权频谱；

防御措施：LSM应该不定期地检测获得许可的次用户信号，以检查其是否使用了授权频谱，如果没有，LSM会使其断开空闲频谱接入一段时间，与此同时，LSM记录与规则6相关的负面共享评级；

2)次用户信任管理

次用户的信任值对于LSM来说也是非常重要的，LSM可以将用作惩罚具有次用户标识的恶意用户的凭据，因此，还应采用信任管理通过分析次用户的共享行为来评估其信任度，如果恶意用户总是通过违反共享约束规则来干扰频谱共享，那么其将获得比诚实次用户更低的信任值；

从抑制恶意行为的角度，可以评估每个次用户的个体信任系数，截止目前，主要注意到三种恶意行为，包括拒绝反馈，私自访问和占用空闲；

为确保对各个信任系数评估的可扩展性，对于多种恶意行为可以采用二元性共享评级，让Β＝{mb₁,…,mb_h,…,mb_g}表示恶意行为的集合，其中mb_h表示第h个恶意行为且g表示恶意行为的数量，对于SU_j，LSM可以统计与第h个恶意行为相关的积极共享评级的数量，一直统计到第l个恶意行为，表示为以及与第h个恶意行为相关的消极共享评级的数量，一直统计到第l个恶意行为，表示为/>对应于第l个序号的mb_h的SU_j的第h个信任系数被评估为：

信任系数可以通过负面和积极共享评级数量来计算，为了加大因负面共享评级数量增值对于信任系数的衰减，使用SU_j在所有中的非零最小值/>作为积极共享评级数量的计算因子，以此，刺激次用户对于共享约束规则的遵守；

最后，将与各种恶意行为相关的所有个体信任系数合并为次用户信任值，SU_j在第l个恶意行为中的信任值可以被评估为：

其中w_h是第h个体信任值系数的权重且λ是个体信任系数的基本权重，

w_h与λ之间的关系是w_h＝u_h*λ和其中u_h是由LSM给出的第h个体信任值的关键性倍数，/>是对/>的惩罚，其意味着危害最大的恶意行为将导致次用户信任值的降低，δ是次用户信任值的阈值，当/>时，LSM将不会向SU_j授予频谱共享许可。