劉楊，李珺，陳文韻，彭木根

（1.北京郵電大學(xué)信息與通信工程學(xué)院，北京 100876；2.北京郵電大學(xué)網(wǎng)絡(luò)與交換技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室，北京 100876）

1 引言

隨著第五代移動(dòng)通信系統(tǒng)（5G,the fifth generation mobile communication system）的落地和商用，學(xué)術(shù)界和產(chǎn)業(yè)界共同開啟了對(duì)第六代移動(dòng)通信系統(tǒng)（6G,the sixth generation mobile communication system）的研究。5G 的主要目標(biāo)是實(shí)現(xiàn)大連接、高帶寬和低時(shí)延，并實(shí)現(xiàn)“萬(wàn)物互聯(lián)”，從傳統(tǒng)移動(dòng)通信行業(yè)滲透至工業(yè)物聯(lián)網(wǎng)等垂直行業(yè)，滿足未來(lái)10 年（2020—2030 年）的無(wú)線通信需求[1]。對(duì)于6G 而言，隨著人工智能（AI,artificial intelligence）不斷滲透到各行各業(yè)，6G 也將與AI 深度結(jié)合，更多的智能化感知設(shè)備、人機(jī)接口將接入網(wǎng)絡(luò)，“智慧連接”“深度連接”將成為新一代移動(dòng)通信系統(tǒng)的重要特征[2]。

6G 中網(wǎng)絡(luò)空間和運(yùn)行的業(yè)務(wù)將會(huì)變得愈發(fā)復(fù)雜，無(wú)線終端數(shù)據(jù)流量的消耗也將大大增加。由于帶寬和頻譜的不足，傳統(tǒng)的無(wú)線接入網(wǎng)絡(luò)（RAN,radio access network）無(wú)法滿足移動(dòng)用戶和運(yùn)營(yíng)商日益增長(zhǎng)的需求。為了支持新的移動(dòng)通信和服務(wù)，產(chǎn)業(yè)界先后提出了云無(wú)線接入網(wǎng)（CRAN,cloud radio access network）、異構(gòu)云無(wú)線接入網(wǎng)（H-CRAN,heterogeneous cloud radio access network）、基于霧計(jì)算的無(wú)線接入網(wǎng)（F-RAN,fog radio access network）等架構(gòu)作為新的無(wú)線接入網(wǎng)解決方案[3]。與傳統(tǒng)基于集中式云計(jì)算的網(wǎng)絡(luò)架構(gòu)C-RAN 和H-CRAN 相比，F(xiàn)-RAN 充分利用無(wú)線遠(yuǎn)端射頻單元（RRH,remote radio head）、霧無(wú)線接入點(diǎn)（F-AP,fog access point）和霧用戶設(shè)備（F-UE,fog user equipment）等邊緣設(shè)備，將協(xié)作無(wú)線信號(hào)處理（CRSP,collaboration radio signal processing）、協(xié)同無(wú)線資源管理（CRMM,cooperative radio resource management）和緩存、計(jì)算等功能在網(wǎng)絡(luò)邊緣實(shí)現(xiàn)，有效減少了前傳約束、資源浪費(fèi)和處理時(shí)延，并降低泄露用戶隱私數(shù)據(jù)的風(fēng)險(xiǎn)[4-5]，因此成了6G 中無(wú)線接入網(wǎng)的解決方案。

越來(lái)越多的科研機(jī)構(gòu)、社會(huì)機(jī)構(gòu)和企業(yè)通過(guò)收集數(shù)據(jù)來(lái)達(dá)成希望完成的任務(wù)。數(shù)據(jù)收集者通過(guò)對(duì)用戶設(shè)備上傳的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，能夠從真實(shí)世界中獲得更多知識(shí)，從而輔助決策。目前6G 中熱門的應(yīng)用場(chǎng)景有智能電網(wǎng)、智能家居、智慧醫(yī)療、智能汽車等。然而，共享數(shù)據(jù)中通常包含許多人們不愿意透露給他人的隱私信息，如個(gè)人用電習(xí)慣、消費(fèi)習(xí)慣、位置信息、醫(yī)學(xué)診斷結(jié)果等私密性較強(qiáng)、較能反映個(gè)人特征的數(shù)據(jù)。在數(shù)據(jù)共享過(guò)程中，這些信息不可避免地會(huì)被泄露，甚至因此威脅到用戶的生命財(cái)產(chǎn)安全。此外，數(shù)據(jù)的完整性也需要得到保證，數(shù)據(jù)只有正確、完整地存儲(chǔ)下來(lái)，才能發(fā)揮作用。因此，數(shù)據(jù)完整性審計(jì)也是必不可少的一環(huán)。霧節(jié)點(diǎn)具有數(shù)據(jù)緩存功能，可以為用戶提供共享數(shù)據(jù)的緩存服務(wù)。然而，盡管霧節(jié)點(diǎn)距離用戶更近、與用戶交互時(shí)延更低，但由于靠近網(wǎng)絡(luò)邊緣，它們難于管理，易于破壞。

因此，部署在F-RAN 上的數(shù)據(jù)共享應(yīng)用面臨2個(gè)主要的問(wèn)題：1) 共享數(shù)據(jù)可能包含不應(yīng)該暴露給他人的敏感信息，需要一個(gè)方案在保護(hù)用戶隱私的同時(shí)保證數(shù)據(jù)可用性；2) 存儲(chǔ)在霧節(jié)點(diǎn)的數(shù)據(jù)必須保證完整性，由于存在軟硬件損壞、人為錯(cuò)誤等風(fēng)險(xiǎn)，需要對(duì)霧節(jié)點(diǎn)上的文件定期進(jìn)行遠(yuǎn)程數(shù)據(jù)完整性審計(jì)。

對(duì)于傳統(tǒng)的C-RAN 架構(gòu)，文獻(xiàn)[6]采用同態(tài)可認(rèn)證環(huán)簽名，在隱藏用戶身份的同時(shí)進(jìn)行數(shù)據(jù)完整性審計(jì)，并支持無(wú)塊驗(yàn)證。文獻(xiàn)[7]使用類似的同態(tài)可認(rèn)證群簽名，并在簽名前使用基于公鑰的編碼技術(shù)將數(shù)據(jù)編碼成數(shù)據(jù)塊以保護(hù)數(shù)據(jù)隱私。文獻(xiàn)[8]在同態(tài)可認(rèn)證環(huán)簽名的基礎(chǔ)上，采用覆蓋樹算法來(lái)確保數(shù)據(jù)隱私和新鮮度。文獻(xiàn)[9]提出的輕量級(jí)數(shù)據(jù)共享方案基于在線/離線簽名，并使用Merkle 哈希樹（MHT,Merkle hash tree）支持批量審計(jì)和數(shù)據(jù)動(dòng)態(tài)操作。文獻(xiàn)[10]提出的醫(yī)療數(shù)據(jù)共享方案采用基于身份的加密算法。文獻(xiàn)[11]通過(guò)結(jié)合基于密鑰同態(tài)加密的不經(jīng)意偽隨機(jī)函數(shù)和基于零知識(shí)證明的可驗(yàn)證性，實(shí)現(xiàn)數(shù)據(jù)集隱私保護(hù)聚合和共享。

現(xiàn)有網(wǎng)絡(luò)設(shè)計(jì)之初缺乏架構(gòu)級(jí)的安全考慮，安全防護(hù)依靠外掛式、補(bǔ)丁式的方案，因而無(wú)法實(shí)現(xiàn)全網(wǎng)的無(wú)縫安全通信保障[12]。構(gòu)建安全可信的6G網(wǎng)絡(luò)迫切需要內(nèi)生的安全技術(shù)。目前，對(duì)于面向6G的F-RAN 架構(gòu)，還沒有提出解決數(shù)據(jù)隱私保護(hù)和完整性審計(jì)問(wèn)題的內(nèi)生安全數(shù)據(jù)共享機(jī)制。

為此，本文基于面向6G 的F-RAN 設(shè)計(jì)了一種具有本地化差分隱私保護(hù)和動(dòng)態(tài)數(shù)據(jù)完整性審計(jì)功能的數(shù)據(jù)共享機(jī)制，該機(jī)制針對(duì)F-UE 向基帶處理單元（BBU,baseband unit）池實(shí)現(xiàn)數(shù)據(jù)共享的過(guò)程。F-UE 負(fù)責(zé)采集或生成數(shù)據(jù)，以及數(shù)據(jù)隱私保護(hù)處理；F-AP 作為中間節(jié)點(diǎn)緩存并預(yù)處理共享數(shù)據(jù)；大功率節(jié)點(diǎn)（HPN,high power node）負(fù)責(zé)對(duì)F-AP 上的緩存數(shù)據(jù)進(jìn)行完整性審計(jì)，并負(fù)責(zé)控制信令的分發(fā)；BBU 池負(fù)責(zé)統(tǒng)計(jì)推斷被保護(hù)數(shù)據(jù)的原始分布。本文的主要貢獻(xiàn)介紹如下。

1) 從內(nèi)生安全的角度出發(fā)，根據(jù)F-RAN 的架構(gòu)特點(diǎn)為機(jī)制進(jìn)行保證數(shù)據(jù)安全的隱私保護(hù)和數(shù)據(jù)完整性審計(jì)技術(shù)選型，并對(duì)數(shù)據(jù)完整性審計(jì)技術(shù)進(jìn)行了適當(dāng)?shù)母倪M(jìn)，提高了簽名和驗(yàn)證的性能。

2) 在F-RAN 架構(gòu)的基礎(chǔ)上，利用F-AP 緩存、計(jì)算的功能特點(diǎn)，提出了F-UE 與BBU 池間內(nèi)生安全的數(shù)據(jù)共享機(jī)制。相比傳統(tǒng)架構(gòu)，基于F-RAN的機(jī)制降低了用戶交互時(shí)延和遠(yuǎn)距離通信量，并保持了F-RAN 通信層面的功能優(yōu)勢(shì)。在數(shù)據(jù)共享過(guò)程中，F(xiàn)-UE 對(duì)數(shù)據(jù)運(yùn)行 RAPPOR（randomized aggregatable privacy-preserving ordinal response）算法，接著F-AP 對(duì)數(shù)據(jù)進(jìn)行緩存和預(yù)處理，HPN 對(duì)各霧節(jié)點(diǎn)上的暫存數(shù)據(jù)進(jìn)行基于BLS 簽名和MHT的動(dòng)態(tài)完整性審計(jì)，最終BBU 池通過(guò)統(tǒng)計(jì)分析，對(duì)收集數(shù)據(jù)的原始分布進(jìn)行推斷。

3) 對(duì)所提機(jī)制進(jìn)行了安全性分析，分析表明提出的數(shù)據(jù)共享機(jī)制能夠?qū)崿F(xiàn)用戶本地化差分隱私，并實(shí)現(xiàn)安全的數(shù)據(jù)完整性審計(jì)。本文將所提機(jī)制與已有機(jī)制進(jìn)行了功能比較，仿真結(jié)果表明，所提機(jī)制的時(shí)間、空間和通信效率較高，同時(shí)能夠保證隱私保護(hù)處理后的數(shù)據(jù)可用性。

2 預(yù)備知識(shí)

2.1 本地化差分隱私技術(shù)RAPPOR

定義1本地化差分隱私。給定一種隱私算法L，定義域和值域分別為Dom(L) 和Ran(L)，給定n個(gè)用戶，每個(gè)用戶對(duì)應(yīng)一條記錄。對(duì)于任意兩條記錄t∈Dom(L)和t′∈Dom(L)，以及任意t*?Ran(L)，若算法L滿足式(1)，則稱算法L滿足ε-本地化差分隱私[13-14]。

已知擾動(dòng)概率p和總樣本量n，根據(jù)定義1，隱私預(yù)算ε為

要實(shí)現(xiàn)定義1 描述的ε-本地化差分隱私，需要數(shù)據(jù)擾動(dòng)機(jī)制的介入。本文采用Google 已經(jīng)投入實(shí)際使用的RAPPOR[15]技術(shù)，該技術(shù)是一種保護(hù)隱私的數(shù)據(jù)收集技術(shù)，可以利用隨機(jī)性來(lái)保證每個(gè)用戶報(bào)告滿足本地化差分隱私。

RAPPOR 技術(shù)的核心數(shù)據(jù)結(jié)構(gòu)是Bloom Filter。Bloom Filter 是一種隨機(jī)數(shù)據(jù)結(jié)構(gòu)，使用數(shù)組表示集合，數(shù)組的每一位只取0 或1，它能夠確定元素是否屬于此集合[16-17]。在沒有元素加入時(shí)，Bloom Filter 的所有位都置為0，令其長(zhǎng)度為k。Bloom Filter 使用h個(gè)相互獨(dú)立的哈希函數(shù)來(lái)表示一個(gè)集合A={a1,a2,…,an}，并分別將集合中的每個(gè)元素映射到{1,…,k}的范圍中。對(duì)任意一個(gè)元素a，第i個(gè)哈希函數(shù)映射的位置H i(a)（1≤i≤h）就會(huì)被置為1。在判斷一個(gè)元素a*是否屬于這個(gè)集合時(shí)，對(duì)a*應(yīng)用上述h個(gè)哈希函數(shù)，若所有H i(a)的位置都是1，那么認(rèn)為a*是集合中的元素，否則認(rèn)為a*不是集合中的元素。

RAPPOR 基本算法在客戶機(jī)上本地執(zhí)行，用來(lái)保護(hù)數(shù)據(jù)隱私，具體如算法1 所示。

算法1RAPPOR 基本算法

輸入客戶機(jī)的真實(shí)值a0，客戶機(jī)所屬群組編號(hào)cid，系統(tǒng)公共參數(shù)(f,p0,p1,nB,nH,HB)

1) 初始化Bloom Filter。拼接真實(shí)值a0與群組編號(hào)cid，得到a=a0||cid，給定一長(zhǎng)度為nB的Bloom Filter，記作B，以哈希函數(shù)集合HB中的前nH個(gè)哈希函數(shù)作為B 的哈希函數(shù)，并將值a加入B表示的集合。

2) 生成永久隨機(jī)響應(yīng)。對(duì)于每個(gè)客戶端的值a和B 中的位i（0≤i≤k），創(chuàng)建一個(gè)二進(jìn)制報(bào)告值為

其中，f是控制縱向隱私保護(hù)級(jí)別的用戶可調(diào)參數(shù)。隨后，這個(gè)被記錄下來(lái)并被重用，作為以后所有關(guān)于值a的報(bào)告的基礎(chǔ)。

3) 生成瞬時(shí)隨機(jī)響應(yīng)。分配大小為nB的位數(shù)組S，并將每一位初始化為0。用概率設(shè)置每一位，即

4) 報(bào)告。將瞬時(shí)隨機(jī)響應(yīng)S發(fā)送到服務(wù)器。

在數(shù)據(jù)收集之前，設(shè)置nC個(gè)群組，并將每個(gè)用戶隨機(jī)分配到nC個(gè)群組之一。群組內(nèi)部成員使用相同的nH個(gè)哈希函數(shù)來(lái)實(shí)現(xiàn)Bloom Filter，每個(gè)群組選擇的nH個(gè)哈希函數(shù)各不相同。

采用RAPPOR 邊緣解碼算法從收集的RAPPOR報(bào)告中學(xué)習(xí)原始數(shù)據(jù)的邊緣分布，如算法2 所示。

算法2RAPPOR 邊緣解碼算法

1) 創(chuàng)建大小為nBnC×M的設(shè)計(jì)矩陣X，其中，M為候選字符串?dāng)?shù)目（如圖1 所示，為nC個(gè)群組各初始化M個(gè)大小為nB的Bloom Filter，Bi,j為第i個(gè)候選字符串加入第j個(gè)群組的Bloom Filter 后的位數(shù)組）。

2) 令cij為群組j中每個(gè)位i在一組Nj個(gè)報(bào)告中設(shè)置為1 的次數(shù)，則群組j中每個(gè)位i在每個(gè)群組中真正設(shè)置在Bloom Filter 中的次數(shù)為

圖1 設(shè)計(jì)矩陣X示意

3) 設(shè)Y是tij的向量，i∈[1,nB],j∈[1,nC]。選擇候選字符串使用Lasso 回歸[18]擬合模型Y～X，并選擇對(duì)應(yīng)于非零系數(shù)的候選字符串。然后使用所選候選字符串?dāng)M合正則最小二乘回歸，以估計(jì)各字符串的計(jì)數(shù)、標(biāo)準(zhǔn)誤差和P值。

4) 確定哪些字符串出現(xiàn)的頻率是從0 開始的有統(tǒng)計(jì)學(xué)意義，將P值與Bonferroni 校正后的α/M=0.05/M進(jìn)行比較，或者使用Benjamini-Hochberg 法將偽發(fā)現(xiàn)率（FDR,false discovery rate）控制在水平α。

2.2 BLS 簽名

2.3 MHT

MHT 是經(jīng)過(guò)充分研究并用于認(rèn)證的數(shù)據(jù)結(jié)構(gòu)，其目標(biāo)是有效、安全地證明一組元素沒有損壞和變化。它被構(gòu)造為二叉樹，其中MHT 中的葉子是真實(shí)數(shù)據(jù)值的哈希值[20]。

數(shù)據(jù)元素的MHT 身份驗(yàn)證如圖2 所示。首先，具有真實(shí)根節(jié)點(diǎn)hr的驗(yàn)證者請(qǐng)求數(shù)據(jù)塊{x3,x6}，并要求對(duì)接收到的塊進(jìn)行身份驗(yàn)證。證明者除了向驗(yàn)證者提供塊{x3,x6}外，還向驗(yàn)證者提供輔助認(rèn)證信息（AAI,auxiliary authentication information）Ω3=和Ω6=。然后，驗(yàn)證者先后計(jì)算h(x3)，h(x6)，hd=h(h(x3)||h(x4))，he=h(h(x5)||h(x6))，ha=h(hc||hd)，hb=h(he||hf)，hr=h(ha||hb)，通過(guò)檢查計(jì)算的hr是否與真實(shí)的hr相同，來(lái)驗(yàn)證{x3,x6}。

圖2 數(shù)據(jù)元素的MHT 身份驗(yàn)證

MHT 通常用于驗(yàn)證數(shù)據(jù)塊的值，而本文進(jìn)一步采用MHT 來(lái)驗(yàn)證數(shù)據(jù)塊的值和位置。將葉子節(jié)點(diǎn)視為從左到右的有序序列，因此可以通過(guò)遵循此序列以及MHT 中計(jì)算根的方式來(lái)唯一確定任何葉子節(jié)點(diǎn)。

3 數(shù)據(jù)共享機(jī)制

3.1 系統(tǒng)模型

本文設(shè)計(jì)的數(shù)據(jù)共享機(jī)制的系統(tǒng)模型如圖3 所示，它基于面向6G 的F-RAN 架構(gòu)。F-RAN 具有全局C-RAN 模式、本地分布式協(xié)作模式、D2D 模式與HPN 模式。本文主要關(guān)注F-RAN 的本地分布式協(xié)作模式，涉及如下幾類網(wǎng)絡(luò)實(shí)體。

1) BBU 池。BBU 池可被視為中心機(jī)房，內(nèi)部集中了大量基帶處理單元。BBU 池具有集中式CRSP 和CRMM，減少了分散部署B(yǎng)BU 帶來(lái)的管理和維護(hù)成本，提高了網(wǎng)絡(luò)頻譜效率和能量效率。BBU 池通過(guò)多點(diǎn)協(xié)調(diào)（CoMP,coordinated multiple points）功能來(lái)抑制HPN 和F-AP 的跨層干擾。

2) F-AP。在RRH 的射頻處理功能基礎(chǔ)上，F(xiàn)-AP還具有CRSP 和CRMM 功能，以及額外的存儲(chǔ)、計(jì)算功能。

3) F-UE。F-UE 是具有CRSP 和CRMM 以及存儲(chǔ)功能的用戶設(shè)備，但功能弱于F-AP。

4) HPN。HPN 負(fù)責(zé)為所有的F-UE 提供控制信令和小區(qū)特定參考信號(hào)，并為移動(dòng)速率高的用戶提供基本比特速率的無(wú)縫信號(hào)覆蓋。

在F-RAN 中，F(xiàn)-AP 具有一定的計(jì)算和緩存功能。通過(guò)將F-UE 共享的數(shù)據(jù)文件緩存在網(wǎng)絡(luò)邊緣的F-AP，并由F-AP 對(duì)共享數(shù)據(jù)進(jìn)行預(yù)處理后交付給BBU 池，能夠有效降低F-UE 在數(shù)據(jù)共享過(guò)程中的交互時(shí)延，并減少F-AP 與BBU 池間的通信量。

圖3 基于面向6G 的F-RAN 網(wǎng)絡(luò)架構(gòu)的系統(tǒng)模型

在本文設(shè)定的數(shù)據(jù)共享過(guò)程中，F(xiàn)-RAN 工作在本地分布式協(xié)作模式，此時(shí)F-UE 處于低速移動(dòng)或靜止?fàn)顟B(tài)。數(shù)據(jù)收集方委托BBU 池收集F-UE 上傳的數(shù)據(jù)。各實(shí)體協(xié)商公共參數(shù)后，F(xiàn)-UE 生成共享數(shù)據(jù)，進(jìn)行隱私保護(hù)處理后將數(shù)據(jù)共享給鄰近的F-AP。F-AP 負(fù)責(zé)為F-UE 緩存數(shù)據(jù)。在此期間，出于應(yīng)用目的，F(xiàn)-UE 可以與F-AP 進(jìn)行交互，以訪問(wèn)或檢索其預(yù)存儲(chǔ)的數(shù)據(jù)，F(xiàn)-UE 還可以對(duì)已上傳的數(shù)據(jù)進(jìn)行修改、插入和刪除。HPN 負(fù)責(zé)對(duì)緩存在F-AP 上的數(shù)據(jù)進(jìn)行數(shù)據(jù)完整性審計(jì)。待BBU 池通過(guò)負(fù)責(zé)控制信令分發(fā)的HPN下達(dá)上傳指令后，F(xiàn)-AP首先停止收集數(shù)據(jù)，并停止響應(yīng)用戶數(shù)據(jù)更新的請(qǐng)求，然后對(duì)收到的數(shù)據(jù)集進(jìn)行一定的數(shù)據(jù)預(yù)處理后上傳到BBU 池。在BBU 池獲得數(shù)據(jù)后，統(tǒng)計(jì)推斷得到數(shù)據(jù)實(shí)際的分布，交付給數(shù)據(jù)收集方進(jìn)行科學(xué)研究等。

在上述數(shù)據(jù)共享過(guò)程的通信層面，各實(shí)體仍保持其通信功能，包括F-UE、F-AP 的CRSP 和CRMM功能，BBU 池的基帶處理、集中式CRSP、CRMM和CoMP 功能，HPN 的控制信令分發(fā)功能等。

3.2 數(shù)據(jù)共享機(jī)制設(shè)計(jì)

本節(jié)介紹數(shù)據(jù)共享機(jī)制的詳細(xì)設(shè)計(jì)，記F-UE數(shù)量為nU，F(xiàn)-AP 數(shù)量為nA，且nU>>nA，BBU 池與HPN 數(shù)量均為1。

階段1系統(tǒng)設(shè)定

階段2數(shù)據(jù)發(fā)布

階段3數(shù)據(jù)完整性審計(jì)

BatchVerifyProof(pks,chals,Ps)。為了提高效率，HPN 可以對(duì)不同F(xiàn)-AP 給出的關(guān)于不同F(xiàn)-UE數(shù)據(jù)文件的證明P進(jìn)行批量驗(yàn)證，pks、chals 和Ps分別為參與批量驗(yàn)證的公鑰集合、挑戰(zhàn)集合和數(shù)據(jù)

階段4數(shù)據(jù)收集

HashCandidates(nB,nH,nC,HB,candidatesi) 。BBU 池根據(jù)第i個(gè)數(shù)據(jù)塊對(duì)應(yīng)的參數(shù)(nB,nH,nC,HB)和候選字符串列表candidatesi生成設(shè)計(jì)矩陣mapi（詳見2.1 節(jié)算法2 的步驟1)）。

Decode(mapi,finalcountsi,pubi)。BBU 池根據(jù)設(shè)計(jì)矩陣mapi，比特?cái)?shù)組按群組編號(hào)求和的列表finalcountsi，公共參數(shù)pubi，構(gòu)造模型Y～X并對(duì)其進(jìn)行Lasso 回歸，以選擇對(duì)應(yīng)于非零系數(shù)的候選字符串，對(duì)選擇的候選字符串進(jìn)一步進(jìn)行正則最小二乘回歸，統(tǒng)計(jì)出數(shù)據(jù)塊mi的真實(shí)分布Distri（詳見2.1 節(jié)算法2 步驟2)～步驟5)）。

4 安全性

本文提出的數(shù)據(jù)共享機(jī)制的安全性基于RAPPOR 基本算法和數(shù)據(jù)完整性審計(jì)機(jī)制。RAPPOR 算法的安全性分析在文獻(xiàn)[15]已經(jīng)有完整的闡述，本節(jié)只關(guān)注數(shù)據(jù)完整性審計(jì)部分。

4.1 安全模型

對(duì)于數(shù)據(jù)完整性審計(jì)方案來(lái)說(shuō)，數(shù)據(jù)安全的關(guān)鍵在于審計(jì)者HPN 是否能切實(shí)判斷數(shù)據(jù)在F-AP 上存儲(chǔ)的實(shí)際情況。

根據(jù)文獻(xiàn)[20]中的安全模型定義，本文給出形式化的安全模型，主要關(guān)注4 種算法，KeyGen()、SigGen()、GenProof()和VerifyProof()，它們的行為如3.2 節(jié)所述。將執(zhí)行GenProof()與VerifyProof()兩臺(tái)機(jī)器的運(yùn)行表示為{TRUE,FALSE}←(VerifyProof(pk,chal,P,tag) ?GenProof(F,tag,Φ,chal))。

本文希望數(shù)據(jù)完整性審計(jì)協(xié)議是正確且可靠的。正確性要求對(duì)于KeyGen()輸出的所有(pk,sk)，以及SigGen()輸出的所有(F,tag,Φ,sigsk(H(R)))，VerifyProof()在與有效GenProof()交互時(shí)接受式(8)。

將具有審計(jì)能力的HPN 和F-UE 看作共同的挑戰(zhàn)者C，將不受信任的F-AP 看作對(duì)手A?？紤]對(duì)手A 和挑戰(zhàn)者C 之間的博弈：挑戰(zhàn)者C 通過(guò)運(yùn)行KeyGen()生成密鑰對(duì)(pk,sk)，并向A 提供pk?，F(xiàn)在對(duì)手A 可以與挑戰(zhàn)者C 交互，也可以向SigGen()進(jìn)行查詢，為每個(gè)查詢提供一些文件F。挑戰(zhàn)者C計(jì)算SigGen(sk,F)，并返回所有輸出(F,tag,Φ,sigsk(H(R)))給對(duì)手A。對(duì)于之前對(duì)手A向挑戰(zhàn)者C 進(jìn)行查詢的任何文件F，對(duì)手A 可以扮演驗(yàn)證者，通過(guò)指定相應(yīng)的標(biāo)記 tag 來(lái)執(zhí)行VerifyProof(pk,chal,P,tag)? A，即執(zhí)行數(shù)據(jù)完整性審計(jì)協(xié)議。當(dāng)協(xié)議執(zhí)行完成時(shí)，對(duì)手A 向?qū)Ψ教峁￢erifyProof()的輸出。這些協(xié)議執(zhí)行可以相互任意交錯(cuò)，并與文件F的查詢同時(shí)進(jìn)行。最后，對(duì)手A 輸出從某個(gè)查詢返回的標(biāo)簽tag，以及證明算法GenPro of*()。

如果作弊證明者能令人信服地回答挑戰(zhàn)chal的δ部分，即如果滿足式(9)，則它是δ-可接受的。

定義3 和定義4 描述數(shù)據(jù)完整性審計(jì)協(xié)議的可靠性要求。令F為查詢中輸入的文件，查詢返回(F,tag,Φ,sigsk(H(R)))。

定義3如果存在一個(gè)提取算法Extr()，對(duì)于每一個(gè)δ-可接受的作弊證明算法GenPro of*()，滿足個(gè)對(duì)手A，每當(dāng)A運(yùn)行上述博弈，為文件F輸出Extr(pk,Φ,chal,tag,GenProof*())=F，即 Extr() 從GenPr oof*()中恢復(fù)F，那么就說(shuō)一個(gè)可檢索性證明方案是δ-完備的，除非式(9)可以忽略不計(jì)。

定義4如果不存在能夠以不可忽略的概率欺騙驗(yàn)證者的多項(xiàng)式時(shí)間算法，則數(shù)據(jù)完整性審計(jì)協(xié)議是安全的。

4.2 安全性分析

根據(jù)上述安全模型來(lái)評(píng)估本文提出的數(shù)據(jù)完整性審計(jì)方案的安全性，由于該方案基于文獻(xiàn)[20]，因此證明過(guò)程除了審計(jì)細(xì)節(jié)外，大體上與其相似。BLS 簽名的安全性證明在文獻(xiàn)[19]中已經(jīng)給出。

定理1如果簽名方案在本質(zhì)上是不可偽造的，并且在雙線性群中CDH 問(wèn)題很難解決，那么任何反對(duì)本文公開審計(jì)方案合理性的對(duì)手都不能導(dǎo)致驗(yàn)證者以不可忽略的概率接受可檢索性協(xié)議實(shí)例，除非對(duì)手使用正確計(jì)算的值做出響應(yīng)。

證明在文獻(xiàn)[19]中的BLS 簽名方案是安全的前提下，容易證明本文的數(shù)據(jù)完整性審計(jì)方案所要求的數(shù)據(jù)完整性證明是不可偽造的。

表1 相關(guān)方案功能比較

5 仿真與評(píng)價(jià)

5.1 功能比較

由于目前對(duì)F-RAN 的數(shù)據(jù)共享機(jī)制研究還很少，表1 給出本文提出的數(shù)據(jù)共享方案（以下簡(jiǎn)稱本文方案）和已有的傳統(tǒng)云架構(gòu)上的幾個(gè)數(shù)據(jù)共享方案進(jìn)行對(duì)比。如表1 所示，本文方案是唯一支持?jǐn)?shù)據(jù)共享、遠(yuǎn)程數(shù)據(jù)完整性審計(jì)、公共審計(jì)、動(dòng)態(tài)審計(jì)、批量審計(jì)、隱私保護(hù)、隱私保護(hù)數(shù)據(jù)可用性和本地化隱私保護(hù)的方案。注意，文獻(xiàn)[6]、文獻(xiàn)[10]、文獻(xiàn)[11]均不支持本地化隱私保護(hù)，且均需要由用戶之外的第三方完成隱私保護(hù)處理。表1 中√表示支持，×表示不支持。

5.2 性能分析與比較

本文方案主要是基于BLS 簽名和MHT 的動(dòng)態(tài)審計(jì)方案[20]，由于其在聚合簽名和批量驗(yàn)證時(shí)有一定的缺陷，因此本文結(jié)合Dan Boneh 在2018 年提出的公鑰聚合BLS 多簽名方案對(duì)其進(jìn)行了改進(jìn)，并優(yōu)化了MHT 在動(dòng)態(tài)操作時(shí)的響應(yīng)方式。表2 展示了文獻(xiàn)[20]方案的細(xì)節(jié)。

表2 文獻(xiàn)[20]方案的數(shù)據(jù)完整性審計(jì)方案細(xì)節(jié)

文獻(xiàn)[20]方案中簽名和驗(yàn)證的計(jì)算量比本文方案要大，分別具有額外項(xiàng)，且在聚合簽名時(shí)，對(duì)于所有數(shù)據(jù)塊均需要計(jì)算指數(shù)，本文方案只有發(fā)生碰撞的數(shù)據(jù)塊需要計(jì)算指數(shù)。此外，文獻(xiàn)[20]方案的通信量也比本文方案大，其傳輸每個(gè)數(shù)據(jù)塊時(shí)均需要額外傳輸隨機(jī)值wi。

對(duì)于MHT，文獻(xiàn)[20]方案采用結(jié)構(gòu)體實(shí)現(xiàn)，而本文方案采用不定長(zhǎng)二維數(shù)組實(shí)現(xiàn)。一方面，使用二維數(shù)組能夠減少樹占用的存儲(chǔ)空間。結(jié)構(gòu)體表示的節(jié)點(diǎn)需要存儲(chǔ)本節(jié)點(diǎn)的值以及父節(jié)點(diǎn)、孩子節(jié)點(diǎn)的地址，而二維數(shù)組中每個(gè)節(jié)點(diǎn)僅需存儲(chǔ)本節(jié)點(diǎn)的值。另一方面，使用二維數(shù)組可以直接使用索引訪問(wèn)MHT 的底層節(jié)點(diǎn)，時(shí)間復(fù)雜度為O(1)，而結(jié)構(gòu)體實(shí)現(xiàn)的MHT 所需的時(shí)間復(fù)雜度最壞取決于MHT的深度和底層節(jié)點(diǎn)的個(gè)數(shù)。

在更新操作時(shí)，需要先查找到MHT 對(duì)應(yīng)的節(jié)點(diǎn)，再更新底層節(jié)點(diǎn)，并計(jì)算出頂層根節(jié)點(diǎn)。例如，在底層節(jié)點(diǎn)后插入一個(gè)新節(jié)點(diǎn)，令n為MHT 節(jié)點(diǎn)總數(shù)，k為底層節(jié)點(diǎn)個(gè)數(shù)。文獻(xiàn)[20]方案訪問(wèn)目標(biāo)節(jié)點(diǎn)的時(shí)間復(fù)雜度最壞為O(logn)或O(k)，插入操作的時(shí)間復(fù)雜度為O(1)，自底向上計(jì)算根節(jié)點(diǎn)的時(shí)間復(fù)雜度為O(logn)。本文方案訪問(wèn)底層節(jié)點(diǎn)的時(shí)間復(fù)雜度為O(1)，插入操作的時(shí)間復(fù)雜度為O(k)，自底向上重建MHT 并計(jì)算根節(jié)點(diǎn)的時(shí)間復(fù)雜度為O(logn)。因此，在進(jìn)行樹的更新時(shí)，2 種方案的時(shí)間復(fù)雜度相差不大，均取O(logn)與O(k)中的較大值，但在訪問(wèn)特定節(jié)點(diǎn)的值時(shí)本文方案更具有優(yōu)勢(shì)。

盡管本文方案與文獻(xiàn)[20]方案的時(shí)間復(fù)雜度持平，但考慮到F-UE 對(duì)已上傳的數(shù)據(jù)進(jìn)行動(dòng)態(tài)操作并不會(huì)很頻繁，節(jié)省本就有限的存儲(chǔ)空間顯得更加重要。因此，在本文方案的系統(tǒng)設(shè)定下，選擇不定長(zhǎng)二維數(shù)組更佳。

5.3 仿真分析

通過(guò)仿真來(lái)評(píng)估本文方案的時(shí)間性能。本文采用的仿真機(jī)器為Intel Core i5-8250U 1.60 GHz 處理器，16 GB 內(nèi)存，Windows 10 操作系統(tǒng)。仿真采用Python 語(yǔ)言和R 語(yǔ)言編程，IDE 分別采用Spyder和RStudio，Python 版本為3.6.10，R 版本為3.6.3。需要使用額外的Python 依賴庫(kù)pandas、pysha3 1.0b1；額外的R 依賴庫(kù)glmnet、limSolve。在仿真中，設(shè)置基本數(shù)據(jù)塊mi∈M（i∈[1,n]，n為文件數(shù)據(jù)塊數(shù)量）所占內(nèi)存大小為28 B，MHT 的各個(gè)節(jié)點(diǎn)大小為49 B，?q中一個(gè)元素的大小為1 056 B。

1) 簽名方案的性能

首先對(duì)密鑰生成算法進(jìn)行仿真。重復(fù)運(yùn)行100 次KeyGen()，得到100 次運(yùn)行的平均值為0.05 s。運(yùn)行100 次KeyGen()每次耗時(shí)情況如圖4 所示。

圖4 運(yùn)行100 次KeyGen()每次耗時(shí)情況

接著對(duì)簽名生成算法進(jìn)行仿真，生成從0 到1 000 個(gè)不同數(shù)據(jù)塊數(shù)的簽名，每次運(yùn)行數(shù)據(jù)塊增加100 個(gè)。仿真結(jié)果如圖5 所示，數(shù)據(jù)塊數(shù)量x和SigGen()的運(yùn)行時(shí)間y基本呈線性關(guān)系，擬合的線性關(guān)系式為y=0.438 9x+0.727 3，R2=0.999 3，這表明擬合接近實(shí)際情況。從擬合的線性關(guān)系式中可以看出，每增加一個(gè)數(shù)據(jù)塊，SigGen()的運(yùn)行時(shí)間將增加約0.44 s。

圖5 數(shù)據(jù)塊數(shù)量對(duì)SigGen()算法運(yùn)行時(shí)間的影響

2) 批量審計(jì)性能

分別運(yùn)行若干次VerifyProof()和BatchVerify Proof()，探究隨著簽名數(shù)目的增加，逐個(gè)驗(yàn)證簽名和批量驗(yàn)證簽名的耗時(shí)變化以及二者之間的對(duì)比。仿真生成從0 到100 個(gè)來(lái)自不同F(xiàn)-UE 的單個(gè)數(shù)據(jù)塊簽名，每次運(yùn)行F-UE 數(shù)目增加10 個(gè)。仿真結(jié)果如圖6 所示。

圖6 驗(yàn)證簽名數(shù)目對(duì)VerifyProof()與BatchVerifyProof()算法運(yùn)行時(shí)間的影響

圖6 中，兩組散點(diǎn)分別表示對(duì)x個(gè)簽名進(jìn)行一次批量驗(yàn)證和逐個(gè)驗(yàn)證花費(fèi)時(shí)間ys，連線是對(duì)散點(diǎn)圖的線性擬合?？梢钥吹?，無(wú)論是批量驗(yàn)證還是逐個(gè)驗(yàn)證，兩條直線擬合的R2均非常接近1，可以認(rèn)為隨著簽名數(shù)目的增加，算法運(yùn)行時(shí)間大致上呈線性增長(zhǎng)。且二者線性擬合表達(dá)式的斜率相差較大，隨著x增加，Δy=y1?y2=3.154 9x+2.8508。這表明逐個(gè)驗(yàn)證與批量驗(yàn)證的耗時(shí)差距將隨著簽名數(shù)目的增加而增大，批量驗(yàn)證效率更高。

3) 動(dòng)態(tài)審計(jì)性能

對(duì)修改、插入、刪除這3 種操作分別模擬10 次動(dòng)態(tài)操作執(zhí)行ExecUpdate()和10 次動(dòng)態(tài)操作驗(yàn)證VerifyUpdate()，原文件數(shù)據(jù)塊數(shù)量為110，進(jìn)行動(dòng)態(tài)操作的數(shù)據(jù)塊數(shù)量從0 到100，每一次仿真數(shù)據(jù)塊數(shù)量增加10 個(gè)，仿真結(jié)果分別如圖7 和圖8 所示。

圖7 數(shù)據(jù)塊數(shù)量對(duì)算法ExecUpdate()的修改、插入、刪除操作耗時(shí)的影響

從圖7 可以看到，對(duì)于修改、插入和刪除這3種操作，ExecUpdate()的耗時(shí)均隨著動(dòng)態(tài)操作的數(shù)據(jù)塊的增加而增大，二者大致呈線性關(guān)系，且當(dāng)動(dòng)態(tài)操作的數(shù)據(jù)塊數(shù)量相同時(shí)，3 種操作的耗時(shí)比較接近。從圖8 可以看到，對(duì)于修改、插入和刪除這3 種操作，除了數(shù)據(jù)塊數(shù)量為 0 時(shí)，其余VerifyUpdate()的耗時(shí)均與動(dòng)態(tài)操作的數(shù)據(jù)塊數(shù)量沒有明顯關(guān)系，隨著動(dòng)態(tài)操作數(shù)據(jù)塊數(shù)量的增加，耗時(shí)幾乎保持不變。除去數(shù)據(jù)塊數(shù)量為0 的點(diǎn)外，修改、插入和刪除3 種操作的平均耗時(shí)分別為4.18 s、4.19 s 和4.20 s，非常接近。

圖8 數(shù)據(jù)塊數(shù)量對(duì)算法VerifyUpdate()的修改、插入、刪除操作耗時(shí)的影響

4) 隱私保護(hù)性能

對(duì)RAPPOR()進(jìn)行仿真，數(shù)據(jù)塊數(shù)量從0 到50 000 變化，每次迭代數(shù)據(jù)塊數(shù)量增加1 000，仿真結(jié)果如圖9 所示。從圖9 可以看到，RAPPOR 算法的耗時(shí)與數(shù)據(jù)塊數(shù)量呈線性關(guān)系，每增加一個(gè)數(shù)據(jù)塊，時(shí)間大約增加7×10?4s，因此對(duì)于F-UE 來(lái)說(shuō)，進(jìn)行隱私保護(hù)所花費(fèi)的時(shí)間成本較低。

圖9 數(shù)據(jù)塊數(shù)量對(duì)RAPPOR()隱私保護(hù)處理耗時(shí)的影響

對(duì)于邊緣解碼算法Decode()的統(tǒng)計(jì)推斷效果，文獻(xiàn)[15]中已經(jīng)給出了詳細(xì)的仿真結(jié)果和分析，本文不再贅述。

6 結(jié)束語(yǔ)

本文針對(duì)6G 時(shí)代發(fā)展前景廣闊的F-RAN 架構(gòu)，提出一種具有本地化差分隱私保護(hù)和動(dòng)態(tài)數(shù)據(jù)完整性審計(jì)功能的內(nèi)生安全數(shù)據(jù)共享機(jī)制。基于F-RAN 的本地分布式協(xié)作模式，建立機(jī)制運(yùn)行的系統(tǒng)模型。數(shù)據(jù)共享時(shí)，F(xiàn)-UE 本地對(duì)數(shù)據(jù)運(yùn)行RAPPOR 隱私保護(hù)算法；F-AP 對(duì)數(shù)據(jù)暫時(shí)存儲(chǔ)和預(yù)處理；HPN 對(duì)各F-AP 上暫存數(shù)據(jù)進(jìn)行基于BLS和MHT 的完整性審計(jì)，F(xiàn)-UE 可對(duì)F-AP 上數(shù)據(jù)進(jìn)行動(dòng)態(tài)操作與相應(yīng)審計(jì)；最終BBU 池通過(guò)統(tǒng)計(jì)分析，對(duì)收集數(shù)據(jù)的原始分布進(jìn)行推斷。理論分析與仿真結(jié)果表明，本文提出的內(nèi)生安全數(shù)據(jù)共享機(jī)制能夠在保持較高時(shí)間、空間和通信效率的同時(shí)，實(shí)現(xiàn)內(nèi)生安全的動(dòng)態(tài)審計(jì)和多客戶端批量審計(jì)，并在實(shí)現(xiàn)用戶本地化差分隱私的同時(shí)保證數(shù)據(jù)可用性。