بخشی از مقاله
چکیده - نظارت بر طیف با استفاده از سنجش جمعیتی، با وجود سودبخشی آن در دسترسی پویا به طیف، از تهدیداتی رنج میبرد. در این مقاله بهطور خاص دو مورد از این مشکلات مورد بررسی قرار میگیرد. در سیستمهای سنجش جمعیتی هنگام ارسال داده، شرکتکنندگان میبایست گزارشهایی شامل مکان و زمان خود را ارسال کنند، چراکه تصمیمگیریها وابسته به این اطلاعات هستند. به همین علت حریم خصوصی شرکتکنندگان مورد تهدید است و تعداد مشارکتکنندگان در سنجش به تضمین این نیاز وابسته است.
از سوی دیگر افراد بدخواه ممکن است بهعنوان شرکتکنندگان در این سیستمها حضور داشته باشند و گزارشهای نادرست ارسال کنند. این گزارشها منجر به خطا درنتیجه نهایی سیستم میشوند و به عنوان یک تهدید بهحساب میآیند. تأمین حریم خصوصی در عین مقابله با گرههای متخاصم یک چالش اساسی است که مورد توجه کافی قرار نگرفته است. در این مقاله، چارچوبی برای نظارت بر طیف مبتنی بر سنجش جمعیتی با حفظ حریم خصوصی مکانی کاربران و امکان مقابله با گره های بدخواه - با استفاده از سازوکار مدیریت اعتماد - ارائه شده است. نشان داده شده است که طرح پیشنهادی نه تنها از امنیت مورد نیاز برخوردار است، بلکه کارآمدتر از سایر روشهای مشابه نیز میباشد.
-1 مقدمه
با پیشرفتهای اخیر در فنآوریهای سنجش و انتقال، بهویژه گسترش تلفنهای هوشمند و حضور گستردهی این دستگاهها، میتوان از آنها بهعنوان منبع بالقوهی سنجش و جمعآوری اطلاعات بهره برد. به این کار سنجش جمعیتی - MCS - 1 گفته میشود. MCS یک الگوی جدید مبتنی بر قابلیتهای دستگاههای همراه است که میتواند جایگزینی برای روشهای سنتی جمعآوری داده همانند زیرساختهای حسگر ثابت بهحساب بیاید.[1]
یکی از کارهایی که میتوان برای انجام آن از سنجش جمعیتی کمک گرفت، نظارت بر طیف الکترومغناطیس است. نظارت بر طیف میتواند بهطور مؤثر به اجرای مقررات ترافیک رادیویی کمک کرده و نقضها را مشخص نماید. همچنین امکان استفاده از طیف آزاد توسط فناوری رادیوشناختگر تسهیل میگردد. اپراتورهای موجود برای نظارت و کنترل مشتریان خود، میتوانند با ایجاد برنامه کاربردی از صاحبان تلفن همراه برای شرکت در نظارت و کنترل کمک بگیرند. حضور همهجا حاضر تلفنهای هوشمند، سنجش جمعیتی را به یک روش مساعد برای این کار تبدیل میکند.
برای استفاده از سنجش جمعیتی به منظور نظارت بر طیف چالشهایی وجود دارد. در این سیستم هر شرکتکننده میبایست نتیجه سنجش طیف را در مکان و زمان مشخصی اعلام کند که به معنی انتشار مکان/زمان حضور فیزیکی و مشخصه خود به دیگران است. این دادهها حاوی اطلاعات شخصی و خصوصی در ارتباط با شرکتکنندگان است و ممکن است حریم خصوصی شرکتکنندگان را با خطر مواجه کند. نگرانی از این موضوع میتواند منجر به عدم همکاری افراد در عملیات سنجش شود.
از دیگر مشکلات این است که در هنگام سنجش طیف، به دلیل شرایط محیطی مانند محوشدگی و سایه، ممکن است نتیجه سنجش با اشتباه همراه باشد و لذا سنجش جمعتی نیاز است. همچنین این امکان وجود دارد که شرکتکنندگان، اطلاعات بدخواهانه و یا نادرست ارسال کنند. به همین علت نظارت بر رفتار شرکتکنندگان بهمنظور برآورد صداقت آنها در عین توجه به اشتباهات ناخواسته یک نیاز ضروری است. برخی از این سیستمها برای ارزیابی اعتماد موجودیتها از میزان اعتبار استفاده میکنند .[2]
با وجود این که حفظ حریم خصوصی منجر به افزایش مشارکت شرکتکنندگان میشود، بااینحال در صورت عدم وجود انگیزه کافی، تعداد شرکتکنندگان به حد موردنیاز نخواهد رسید. در حالی که یکی از مهمترین دلایل موفقیت یک سیستم سنجش جمعیتی، تعداد شرکتکنندگان آن میباشد. در صورتی که شرکتکنندگان در این سنجش شرکت نکنند نتایج دقیقی به دست نمیآید. روشهای متعددی برای ایجاد انگیزه معرفی شده است که از جملهی آنها میتوان به ایجاد انگیزه مادی، انگیزههای اجتماعی و یا بازیها اشاره داشت .[3] روشهای ریزپرداخت در تشویق شرکتکنندگان و افزایش کارایی آنها موفقیت زیادی داشته است .[4]
در این مقاله، چارچوبی برای نظارت بر طیف مبتنی بر سنجش جمعیتی ارائه می شود که در آن دو چالش امنیتی این سامانه ها یعنی حفظ حریم خصوصی مکانی کاربران و مقابله با گره های بدخواه در نظر گرفته شده است. برای این منظور پروتکلی برای حفظ حریم خصوصی کاربران ارائه شده و همچنین سعی شده با استفاده از یک سازوکار مدیریت اعتماد مناسب، قابلیت کنترل رفتار گره های بدخواه نیز فراهم گردد. در ارزیابی های انجام شده نشان داده شده که طرح پیشنهادی نه تنها از امنیت مورد نیاز برخوردار است، بلکه کارآمدتر از سایر روشهای مشابه نیز میباشد.
ادامه این مقاله به شرح زیر است: بخش 2 به ارائه کارهای پیشین در مبحثهای حریم خصوصی و اعتماد تخصیصیافته است. سپس در بخش 3 مدل سیستم آمده است. در بخش 4 اجزای سیستم و ارتباط آنها با یکدیگر معرفیشدهاند و در بخش 5 پروتکل ارائه شده بهتفصیل شرح داده شده است. در بخشهای 6 و7 به ترتیب به بررسی امنیتی پروتکل ارائه شده و تحلیل کارایی پروتکل پرداختهاند. در نهایت در بخش 8 نتیجهگیری ارائه شده است.
-2 کارهای پیشین
با ظهور برنامههای کاربردی سنجش مشارکتی، روشهای متعددی برای حفظ حریم خصوصی و اعتماد به نتایج سنجش کاربران در این برنامهها ارائه شده است. به عنوان مثال روشهای ارائه شده در [5] و [6] تنها به حفظ حریم خصوصی کاربران در محیطهای سنجش جمعیتی پرداختهاند و امکان وجود کاربر بدخواه را در سیستم در نظر نگرفتهاند. روشهایی نیز تنها به شناسایی و مقابله با گرههای بدخواه پرداخته و حریم خصوصی کاربران را مدنظر قرار ندادهاند به عنوان مثال در مقاله [7] یک سیستم برای ارزیابی قابلاعتماد بودن گزارش شرکتکنندگان بر اساس تابع گامپرتز در یک برنامهی کاربردی نظارت آلودگی صوتی، ارائهشده است.
در [8] یک شمای جمعیت سپاری آگاه از خصوصیات اجتماعی همراه با مدیریت اعتبار ارائهشده است که SACRM نام دارد. تمرکز اصلی این روش، انتخاب شرکتکنندگان مناسب برای تخصیص وظایف با بررسی خصوصیات اجتماعی، میزان تأخیر در انجام هر عمل و درنهایت اعتبار، صورت میگیرد. در [9] چانگ و همکارانش یک سیستم اعتبار برای تشخیص حملات سایبیل ارائه دادهاند. گرههای مهاجم بهطورمعمول برای ارتباط از کانالهای رادیویی ثابتی استفاده میکنند.
بنابراین وجود گرههای سایبیل از طریق تعریف یک نرخ نرمال برای برخی از معیارها، در یک شبکهی سنجش مشارکتی، تشخیص داده میشود. در [17] یک بستر برای سنجش جمعیتی با توجه با امنیت و حریم خصوصی کاربران در نظر گرفته شده است. در این بستر کاربران بعد از ثبتنام در سیستم، یک کلید گروهی دریافت کرده، در صورت تمایل به شرکت در عملیات سنجش، با استفاده از روشهای انتقال مبهم، شناسهی وظیفهی مورد نظر را از سرور دریافت میکند. با همکاری دو بخش موجود، هر کاربر با استفاده از کلید گروهی خود، نام مستعار برای شرکت در عمل سنجش بهدست میآورد. کاربران با استفاده از نامهای مستعار خود در سیستم گزارش ارسال کرده و در ازای آن، یک رسید، برای پاداش، تحویل می-گیرند. در این روش، مدلی برای سنجش اعتبار کاربران در نظر گرفته نشده است.
در میان روشهای متعدد ارائه شده، چارچوبهایی برای حفظ حریم خصوصی با در نظر گرفتن اعتماد نیز ارائه شده است. مرجع [10] راهحلی برای مشکل »اعتماد بدون هویت« در سنجش جمعیتی ارائه داده است. همچنین یک چارچوب با نام ARTSense برای اعتماد و اعتبار، با در نظر گرفتن گمنامی، معرفیشده است. در این سیستم روش پنهانسازی2 زمانی و مکانی با انگیزه ایجاد k-anonymity بر روی دادههای حس شده، اجرا میشود. اعتماد به یک شرکتکننده بر اساس اعتبار، ضریب شباهت و پارامتر حساسیت به دست میآید.
چارچوب Incognisense که در [11] آمده است، برای حفظ حریم خصوصی در کنار سیستم اعتماد، از امضای کور - برای ایجاد نامهای مستعار - بهره میگیرد. در این روش هر شرکتکننده برای ارسال دادههای سنجش شده در هر دوره زمانی، نام مستعار متفاوتی انتخاب میکند. قبل از شروع هر دورهی زمانی، کاربر امتیاز اعتبار نام مستعار فعلی خود را به نام مستعار جدید منتقل میکند. این روش به خاطر استفاده از امضای کور، نیاز به شخص سوم مورد اعتماد ندارد.
Paysense یک سیستم عملی و یکپارچه است که با استفاده از BitCoin، یک چارچوب جامع برای بررسی اعتبار و پرداخت پاداش به شرکتکنندگان با حفظ حریم خصوصی ارائه میکند .[12] به علت نزدیکی شهرت و پاداش در این روش، این دو موضوع با یکدیگر ترکیبشدهاند، به این معنی که درصورتیکه حساب یک شرکتکننده غنی باشد، نشانگر این است که در گذشته گزارشهای درست زیادی از طرف این شرکتکننده ارسالشده است و درنتیجه قابلاعتماد است. در این روش شرکتکننده نمیتواند با حفظ اعتبار، از پاداش خود استفاده کند و از آن طرف در صورتی که بخواهد پاداش خود را دریافت کند، به همان میزان از اعتبارش کاهش مییابد.
برای سنجش طیف به روش جمعیتی نیز روشهایی ارائه شده است. به عنوان مثال در [13] از کاربران تلفن همراه برای انجام عملیات سنجش طیف در زمان و مکان خاص کمک گرفته میشود. در این چارچوب ارائهدهندگان خدمات طیف، عملیات سنجش طیف را مابین تعدادی شرکتکننده توزیع میکنند، درحالیکه حریم خصوصی مکانی آنها را نیز تضمین میکنند. در این روش به سنجش شهرت گزارشهای کاربران اشارهای نشده است.
Pricss یک چارچوب مبتنی بر سنجش جمعیتی برای سنجش طیف میباشد .[14] در این روش برای حفظ حریم خصوصی کاربران یک روش جدید بر اساس سازوکار نمایی ارائهشده است. در این روش فرض شده که شرکتکنندگان هیچ انگیزهای برای انتشار اطلاعات نادرست ندارند و درنتیجه سیستمی برای بررسی اعتماد وجود ندارد. در [15] یک مدل برای جلوگیری از ارسال داده خطا در سنجش طیف همکارانه ارائهشده و حریم خصوصی گرهها مورد توجه نبوده است.
در [16] الگوریتمی برای مدیریت کلید بر مبنای ارتباط بین کاربران ثانویه ارائه شده است. این الگوریتم میتواند در شبکههای رادیو شناختی پویا با مرکز تصمیمگیری غیرقابل اطمینان کار کند. در این روش برای ایجاد حریم خصوصی مکانی کاربران از روشهای اشتراک کلید محرمانه استفاده شدهاست. در این روش افراد به صورت گروهی کار کرده و اعتبار گروه بالا یا پایین میرود. به همین علت ارائهی شهرت به طور مشترک به همهی اعضای گروه تعلق میگیرد و این امکان وجود دارد که در صورت کم بودن تعداد کاربران بدخواه، میزان شهرت کاربر بدخواه نیز تحت تأثیر دیگر کاربران، به اشتباه افزایش یابد.
-3 مدل سیستم
در این سیستم که مبتنی بر سنجش جمعیتی میباشد، شرکتکنندگان از طریق برنامه کاربردی نصب شده بر روی دستگاههای خود، وظایف سنجش مختلف را دریافت میکنند و در صورت علاقه به شرکت در هر یک از آنها، دادههای موردنیاز - مانند زمان، مکان و انرژی دریافتی در فرکانس موردنظر - را ثبت کرده و سپس تحلیلهای اولیه خود را در فرم یک گزارش به بستر اصلی تحویل میدهند. هر شرکتکننده یک رسید در ازای گزارش خود تحویل میگیرد که به واسطهی آن میتواند پاداش خود را دریافت کند. مدل سیستم ارائه شده با تغییراتی، از [17] اقتباس شده است و متناسب با کاربرد مورد نیاز - سنجش طیف - تغییر داده شده است.
1؛-3 مدل سنجش طیف
در حال حاضر چندین روش برای سنجش طیف پیشنهاد شده که تشخیص انرژی یکی از پرکاربردترین آنها است. در رابطهی y - t - - 1 - دادهی دریافتی در مکان شرکتکننده را نشان میدهد . h - t - ضریب محوشدگی و n - t - نویز سفید گوسی جمع شونده است که به صورت متغیرهای مستقل گوسی مختلط3 مدل شدهاند. H0 نشانگر اشغال نبودن طیف مورد نظر و H1 نمایانگر اشغال بودن آن میباشد. در صورتی که انرژی سیگنال دریافتی از یک آستانه مشخص بیشتر باشد، نمایانگر وجود سیگنال است و هنگامی که انرژی دریافتی از این آستانه کمتر باشد، سیگنال وجود نخواهد داشت. است،
2؛-3 مدل حمله
در سیستمهای سنجش جمعیتی حملات مختلفی وجود دارد. این حملات هم بهصورت خارجی و هم داخلی میتوانند کارکرد سیستم را به خطر بیندازند و باعث افت بهرهوری و یا افزایش نتایج نادرست شوند. بدخواهان خارجی میتوانند با شنود دادههای ارسالی، راجع به مکان و یا مسیر حرکت شرکتکنندگان اطلاعات جمعآوری کنند و به حریم خصوصی شرکتکنندگان تجاوز کنند. از طرفی افراد داخل سیستم نیز میتوانند رفتار بدخواهانه داشته باشند و یا سیستمهای شرکتکنندگان درستکار را تحت اختیار خود بگیرند. در هر دو حالت از طرف شرکتکنندگانی که از قبل احراز اصالت شدهاند دادههای غلط ارسال خواهد شد.
فرستادن دادههای نادرست میتواند منجر به تغییر تصمیم نهایی و نتایج غلط شود. به عنوان مثال در کاربرد رادیوی شناختگر هنگامی که در یک مکان فرکانس مورد نظر اشغال باشد، گزارش غلط باعث میشود کاربر دیگری از آن پهنای باند استفاده کند و تداخل ایجاد شود و یا بهعکس در صورت عدم وجود سیگنال اصلی، نتایج نادرست باعث افزایش هشدار خطا و هدر رفتن پهنای باند خواهد شد.
شرکتکنندگان ممکن است بخواهند برای دریافت پاداش بیشتر، بدون انجام عمل سنجش و با بهرهگیری از ناشناسی خود، اقدام به ارسال مکرر یک گزارش کرده و چند بار پاداش دریافت کنند. این امکان وجود دارد که کاربران بدخواه تعداد قابل توجهی از شرکتکنندگان را شامل شوند، اما در این جا فرض بر این است که به میزان کافی شرکتکننده درستکار در سیستم حضور دارد. در غیر این صورت دستیابی به تصمیم درست، با مشکل مواجه خواهد شد.
3؛-3 مفروضات
در این جا اجزای سمت سرور سیستم، شبهدرستکار - یعنی درستکار ولی کنجکاو - فرض شدهاند به این معنی که انتظار میرود هر یک به تنهایی وظیفهی خود را به درستی انجام دهند ولی در صورت امکان، اطلاعات شخصی کاربران را جمعآوری کنند. شرکتکنندگان سیستم ممکن است درستکار و یا بدخواه باشند. محرمانگی و اصالت ارتباط با کمک کانالهای TLS ایجاد شده بین دستگاه و اجزای مختلف سیستم، تضمین میشود. علاوه بر این، برای جلوگیری از افشای هویت با توجه به شناسههای شبکه، فرض میشود دستگاههای شرکتکنندگان از طریق شبکه لایهای TOR با دیگر اجزای سیستم ارتباط برقرار میکنند. برای جلوگیری از انکارپذیری مابین اجزای مختلف سیستم از SAML4 استفاده میشود .[17]