重加密匿名通道WGRe.doc

第4期陆天波等：重加密匿名通道WGRe73重加密匿名通道WGRe陆天波1，秦宝山2，李洋3，丁丽1（1. 国家计算机网络应急技术处理协调中心，北京 100029；2. 北京邮电大学，北京 100876；3.中国移动通信研究院，北京 100053）摘 要：发现了通用重加密及相关方案的脆弱性并设计了一个新的重加密方案WGRe。它能保证节点输出流的正确性并能够很好地抵抗重放攻击。与通用重加密及其扩展方案的4倍明文长相比，WGRe的密文长度仅仅是明文的2倍，提高了效率。关键词：匿名通信；重加密；MIX中图分类号：TP393 文献标识码：A 文章编号：1000-436X(2009)04-0066-08WGRe: a re-encryption anonymous tunnelLU Tian-bo1, QIN Bao-shan2, LI Yang3, DING Li1(1. National Computer Network Emergency Response Technical Team/Coordination Center of China, Beijing 100029, China;2. Beijing University of Posts and Telecommunications, Beijing 100876, China; 3. China Mobile Research Institute, Beijing 100053, China)Abstract: The universal re-encryption scheme URE and its extension EURE were reviewed, discovering their vulnerabilities to Pfitzmann attack. Then a novel re-encryption scheme WGRe (WonGoo Re-encryption) was proposed. WGRe could ensure the correctness of the outputs from a node and protect against replay attack, which was hard in layered encryption systems. The experimental results show WGRe is practical and more efficient than URE and EURE schemes due to the fact that its ciphertext is only double the size of the corresponding plaintext, instead of four times as URE or EURE. Key words: anonymous communication; re-encryption; MIX1 引言收稿日期：2008-12-12；修回日期：2009-02-10基金项目：国家重点基础研究发展计划（“973”计划）基金资助项目（2007CB311100）；国家高技术研究发展计划（“863”计划）基金资助项目（2007AA01Z446）；国家自然科学基金资助项目（60873217）Foundation Items: The National Basic Research Program of China (973 Program) (2007CB311100); The National High Technology Research and Development Program of China (863 Program) (2007AA01Z446); The National Natural Science Foundation of China (60873217)Chaum在其开创性的工作中建议一个匿名邮件系统应该确保每个MIX节点都能正确地对消息进行处理1，这在分层加密的系统中是很困难的，原因在于对称密钥算法很难分布式地应用，以及在其上进行零知识证明的不现实性2。围绕着Chaum提出的这一属性，研究者提出了一系列可证明自己行为正确的MIX方案35，习惯上称之为重加密（re-encryption）MIX方案或者可证明（verifiability）MIX方案。这类方案被广泛地应用于匿名投票，但是由于其密钥产生和维护的复杂性而很难应用于匿名通信。Stanford大学的Golle等在2004年提出了通用重加密（URE，universal re-encryption）的MIX方案6，该方案克服了以往的重加密MIX方案（为了叙述方便，称之为传统重加密方案）中密钥产生、分发和维护困难的问题。Fairbrother对URE方案进行了改进以便能高效传输大文件7。Gomukiewicz等则对该方案进行了扩充（称为EURE方案），并设计了一个新的Onion Routing协议8。然而，URE和EURE这2个方案都遭受到Pfitzmann在1994年提出的一种选择密文攻击（简称Pfitzman攻击）9，而且这2个方案中密文长度都是明文的4倍，而传统的重加密方案才2倍。本文首先发现了URE和EURE这2个方案对Pfitzmann攻击的脆弱性以及EURE方案的其他一些问题，如对一种简单被动攻击的脆弱性和基于其上的URE-Onion会泄漏匿名路径长度等。其次，本文设计了一种新的高效实用的匿名通道（WGRe，WonGoo Re-encryption）。它采用了重加密和随机转发的思想，其密文长度仅仅是明文的2倍。本文的匿名通道是通用的，原因在于进行重加密时并不需要知道最初加密的公钥。WGRe主要应用于大规模P2P环境中基于虚电路的延迟敏感匿名通信，可以大大降低Pfitzman攻击的可能性。最后，提出了一种启发式算法以便在匿名路径上合适地分布固定接收点，目的是取得匿名和效率的折中。WGRe是实用性（practicality）、正确性（correctness）和效率（efficiency）的融合，有别于很难取得正确性保证的分层加密MIX系统。2 通用重加密方案的分析2.1 ElGamal加密ElGamal是一种概率公钥密码系统，它的安全性依赖于计算有限域的乘法群上离散对数的难度。可以通过以下几个参数给出其定义：一个阶为素数的群G，g为G的一个生成元，一个私钥和对应的公钥。明文空间为G，密文空间为。对消息的加密为 ，其中每加密一次就选择一个新的。注：“”表示从集合S中随机均匀地选取，若非特别说明，文中的随机数都是随机均匀选取的。对密文的解密为。可以再次选择对密文进行重加密，形成密文 。该重加密的密文与输入的密文是同构的，即这2个密文对应同一个明文对。因此，对密文进行解密有。假定DDH（decisional diffie hellman）问题在群上是困难的前提下，ElGamal加密是语义安全的，这意味着攻击者不可能判断出密文和是否代表同一个明文，重加密MIX网络正是利用了ElGamal系统可以对密文进行重加密这一性质。为了叙述简洁，后面的叙述中，省略掉了模运算，例如，将写为。2.2 通用重加密系统Golle等的通用重加密是指对密文进行重加密时不需要知道该密文对应的公钥。基于此设计了2个实用的MIX网络：通用MIX网络和混合通用MIX网络。后者的缺点是需要花费过多的精力进行密钥管理。而最为严重的是，在明文变得不可恢复之前只能进行有限次的重加密，这严重地影响它的好用性。Fairbrother利用Pohlig-Hellman算法对它进行了提高7，然而，提高了的MIX网络被证明是不安全的8。下面证明通用MIX网络也是不安全的，本文对混合通用MIX网络即EURE方案也是成立的。首先对通用MIX网络做一个简单的描述。假定Alice（）想要发送一个消息给Bob（），路径为。通常发送者和接收者并不是匿名通道的一部分，但是由于第1个MIX节点知道发送者，最后1个知道接收者，因此，本文所讨论的匿名路径包括它们两者。这种情况在P2P匿名系统中是很常见的，如Tarzan10和MorphMix11。通用MIX网络工作步骤如下。步骤1 Bob随机选择一个私钥，并公布对应的公钥。步骤2 为了加密发往Bob的消息，Alice产生随机数，然后对进行如下加密操作。(1)其中，。Alice把密文发送给节点。步骤3 节点收到后，产生随机数 对其进行如下的重加密。(2)其中，然后节点把发送给。每一个节点（）都重复该过程，即对收到的来自于节点的消息进行重加密后发给节点。步骤4 当Bob收到节点发来的如下消息 (3)后，用自己的私钥计算和(4)当且仅当时，。因为一个节点Vi()可能同时位于不同的匿名路径上，因此它将对收到的来自于不同上一跳的消息进行混合，如果收到的密文太少，它将产生掩饰流并与已经收到的密文进行混合。可以看出，每个节点Vi ()只需要选择2个随机参数就可以对密文进行重加密，并不需要知道公钥。下面对这一方案进行分析。首先，EURE方案由于对群G的限制不够严格，因此会遭受到文献4中提出的简单被动攻击（simple passive attack）。但是，只要本文像URE方案一样，对群G稍加限制就可以防止这种攻击的发生。其次，URE方案中，一个节点Vi（）是否只对消息进行转发而不进行重加密（即）是不可察觉的，因为接收者Bob同样可以从收到的消息中正确地得到明文m。这对于一个外部观察者来说是很有用的，因为他可以把和关联起来，即根据猜测，Vi和位于同一条路径上，而且整个系统的安全性依赖于私钥的秘密性。任何知道的全局攻击者都可以从匿名路径上的任何一点开始对Alice进行逐步追踪。不过EURE方案中每个节点都必须对消息进行正确的处理，否则接收者将不能获得正确的结果，而且EURE方案中由于发送者对消息进行加密时采用了多个公钥的乘积，因此即使攻击者知道了其中的部分私钥也无法跟踪Alice。最后，URE和EURE这2个方案都与文献4的第一个方案类似，不同点在于文献4中每个节点都知道其他所有节点的公钥，而URE和EURE方案中都是把用于重加密的公钥信息携带在密文中。这样做的代价是密文长度是明文长度的4倍，而通常的重加密方案是2倍。并且这2个方案都会遭受到Pfitzmann攻击。下面仅对URE方案的攻击过程进行描述，EURE的类似。定理1 通用MIX网络对Pfitzmann攻击是脆弱的。证明 在匿名通信中，通常发送者Alice是知道接收者Bob的，但是Bob并不知道Alice。如果接收者Bob和节点V1被攻击者控制，则攻击者可以通过构造相关的密文把Alice和Bob关联起来。假定Bob和V1被攻击者控制，但是攻击者并不知道它们是否位于同一条路径上，否则系统的匿名性就已经被攻破。而且发送者Alice，即V0和某些节点Vi（）是诚实的（至少要有一个Vi是诚实的，否则就不存在匿名性）。外部观察者不能把发送者Alice和接收者Bob关联起来，因为诚实的节点对消息进行了混合。然而，当节点V1收到来自发送者的消息C0（1）后，它知道C0包含了发送者的消息。为了把发送者Alice和Bob关联起来，V1根据C1（2）构造一个与C1相关的消息。然后，节点V1把C1连同一起发给V2。由于假定群G上的离散对数是困难的，因此V2不能把和C1关联起来，V2于是把C1和分别重加密成C2和。 接着把和发给下一个节点V3。每一个节点Vi（）都重复该过程。当接收者Bob收到消息和后，可以根据式（4）得到以及下列公式得到。和当且仅当时，。然后，Bob可以根据参数很容易地把和关联起来，结果攻击者知道了Bob和Alice在进行通信。证毕该攻击过程可以扩展到匿名路径上的任何一个恶意节点，即任何一个恶意节点都可以通过构造一个相关的密文来确定自己是否与接收者Bob位于同一条匿名路径上，而且，该攻击还可以应用到混合通用MIX网络中。正如文献9所指出到目前为止还没有比较好的对付这种攻击的办法。在实际中通常认为接收者是诚实的，因此这种攻击发生的概率并不大。在上面针对URE方案的证明中，由于Bob和节点V1是被攻击者控制的，因此攻击者在节点V1处利用Bob的私钥即可对来自于Alice的消息C0进行解密，再在Bob处对进行解密就可以确定Bob和V1是否位于同一条路径上。这样看来，似乎本文不用伪造消息。但在EURE方案中，攻击者仅根据Bob的私钥是不能对C0进行解密的。本文上述的攻击方法对URE和EURE都是适用的。2.3 进一步的讨论Fairbrother对Golle等的通用MIX网络进行了改进以减小传递大文件时的密文大小7，但该改进方案耗费仍然很大，而且不实用，因为不能在一个固定大小的数据包中包含过多的密文。Onion Routing协议中的Onion数据包包含了路由信息，而ElGamal重加密的语义安全性决定了本文不能像分层加密那样，直接在数据包中包含路由信息。在上一节对URE和EURE的讨论中都假定每个节点在收到上一跳发来的数据后是知道下一跳的。为了在重加密的数据包中包含路由信息，Gomulkiewicz等基于EURE方案对Onion Routing协议进行了改进，称为URE-Onion8。其思想就是为路径上的每个节点构造一个密文块，再把这些密文块合并起来组成一个URE-Onion数据包。路径上的每个节点对这些密文块解密一次，就可得知下一跳。尽管路径上的节点对URE-Onion进行处理时并不能知道路径上的剩余节点数（即从该节点到接收者的跳数），但该节点根据密文块数可以知道整个路径的跳数（即路径的长度）。基于此，攻击者可以从匿名集合中排除某些节点，即使发送者Alice可以往URE-Onion添加一些掩饰流密文块，节点仍然可以获得关于路径长度的信息，因为不能往固定大小的URE-Onion数据包中添加过多的掩饰流密文块。在Onion Routing中，匿名路径是由发送者选择的。如果网络的规模很大，那么发送者就很难知道整个网络的拓扑，因此就很难随机地在整个网络中进行选取，这就意味着匿名集合并不是整个网络。为了使匿名路径尽量在整个网络中随机选取，Klonowski等基于URE-Onion提出了URE-Navigator方案12，它允许第三方为消息选择路径，这样，当发送者要发送消息时，他可以同时向多个第三方寻求路径。但是该方案中，密文同样是明文的4倍长，而且在延长匿名路径的同时，也增加了整个URE-Navigator数据包的长度。URE-Onion的一个可能应用就是在基于消息的系统中把路由信息嵌套在消息里，这样做的代价就是为了传递一个消息，不得不耗费个消息（为路径长度），好处就是整个系统的安全性是可证明的。如何寻找一种更好的解决路由信息的办法是把现有重加密方案应用于基于消息的系统中的一个关键问题，然而在基于虚电路的匿名系统中，不必在消息中嵌套路由信息，因为消息是沿着虚电路传递的。虽然可以利用URE-Onion数据包构建虚电路，但是在随后的数据传递中，密文是明文的4倍长，可见其效率并不高。为此，本文设计了WGRe匿名通道。3 WGRe方案3.1 动机WGRe是一种面向虚电路延迟敏感通信的匿名通道（本文所说的通道就是指一条虚电路），它采用了ElGamal重加密和Crowds系统13中随机转发2种思想来取得强匿名和高效率。一般来说，匿名路径越长，匿名性就越好，但开销（如处理时间、延迟和带宽等）也就越大。因此，如何取得匿名和效率的折中是一个公开的挑战。本文的通道在延长匿名路径以增强匿名性的同时减少了开销。WGRe的实用性在于对文献4方案的扩充和应用，它没有复杂的密钥分发和管理。WGRe的通用性在于进行重加密时不需要知道初始加密的密钥，并且，WGRe比URE及其扩展EURE方案更高效。原因在于前者的密文仅仅是明文的2倍长，而后2个方案是4倍长。与分层加密的MIX网络相比，WGRe能够更加有效地抵抗重放攻击和取得正确性证明。本文的通道主要应用于大规模无中心P2P网络中。因为在一条WGRe通道中，节点对从Alice到Bob的消息和从Bob到Alice的消息进行重加密采用的密钥是不一样的，为了叙述方便，称从Alice到Bob的通道为正向通道，反之为反向通道。然而，这2个通道实质上就是一个通道。另外，为了抵抗文献9中描述的简单被动攻击，限制2.1节中描述的群G为群的q阶子群，其中p、q是2个大素数并且满足，通常选择。群G的生成元是公开的。3.2 通道的建立一条WGRe通道中存在2种节点，固定节点和概率节点。前者将对收到的消息进行重加密，用()表示。后者仅仅对收到的消息进行转发，用（ ）表示。本文还采用了链路加密以抵抗比较强的攻击者。图1给出了建立一条WGRe通道的过程。1) 发送者Alice（P0）从其邻居表中选择一个节点P1，并根据下述延伸过程中描述的随机选择与P1建立匿名通道。假定每个节点都知道自己邻居的ElGamal公钥。2) Alice把通道逐步延伸到固定节点Pi()，并对通道上的密钥进行更新。3) 当通道延伸到接收者Bob并且已完成密钥更新后，则Alice到Bob的通道建立过程结束。图1 WGRe通道的建立过程延伸过程：假定从Alice到Pi（）的通道已经建立完毕。为了把该通道延伸到下一个节点，Alice沿着该通道发送一个消息m1给Pi（当沿着匿名通道发送消息时，这意味着消息将被通道上的节点进行重加密），并告诉它选择下一个节点。当Pi收到消息m1以后，它从邻居表中选择可能的下一跳节点构成集合，并把该集合发送给Alice。集合中的每一项对应一个节点的IP地址、端口号和ElGamal公钥。Alice从中选择下一跳节点，并发送一个消息m2给Pi，要求它把该匿名通道延伸到节点。本文不让节点Pi直接选择下一跳节点的原因是为了抵抗文献11中提到的恶意节点攻击。当收到消息m2后，它做一个随机选择以决定是否把该通道直接延伸到。Pi随机产生的概率把该通道延伸到；以概率从邻居表中随机选择一个节点，并把通道延伸到该节点。然后Pi发送一个包含了节点的IP地址、端口号和ElGamal公钥的消息给。当收到消息m3后，执行与Pi类似的操作。如果不是把该通道直接延伸到，则从邻居表中随机选择一个节点，并把通道延伸到，随后把消息m3传给。当通道延伸到时，它发送一个消息m4给Pi，告诉它通道延伸已完成。m4在从传递到Pi时并没有进行重加密，因为还没有重加密的密钥。当Pi收到消息m4后，再把该消息发送给Alice。Alice收到该消息后，就知道通道已经延伸到了。随后，Alice对匿名通道上固定节点的密钥对（包括前向密钥和反向密钥）进行更新。Alice首先产生消息，并用节点P1的公钥加密后发给P1。P1用自己的私钥对该消息进行解密后可得到新的密钥对。然后，P1产生如下消息并用P2的公钥加密后发给P2，每个节点Pi（）都重复该过程。当收到来自于Pi的消息后，利用其私钥就可以得到新的密钥对。通过这种方式，通道上所有节点的密钥对都进行了更新。注意节点只有反向密钥，没有正向密钥，在中用1表示没有密钥。每一个节点（包括固定节点和概率节点）根据是否有对应的重加密密钥决定是否对消息进行重加密。每次对通道进行延伸时都要对密钥对进行更新，直到通道延伸到接收者Bob。与文献4相比，利用随机数r和对密钥进行了保护。如果节点Pj的密钥是，则一旦（）是的邻居，则可以借助的公钥很容易得到和，于是节点就知道了和P0。当使用随机数和后，由于假定群G上的离散对数是困难的，很难知道和，于是更难知道和，从而就很难知道和P0。3.3 数据的传递当通道建立完成后，Alice和Bob就可以利用该通道进行通信。假定通道为Alice想把消息传递给Bob，Bob的应答为。固定节点的密钥为（）特别地，Alice和Bob的密钥分别为数据传输过程如下。1) 从Alice到Bob: (, ): (, , )接收者利用自己的私钥计算。2) 从Bob到Alice: (, ): , (, , )发送者Alice利用自己的私钥计算。消息在2个固定节点Pi和之间可能会穿过一些概率节点，这些概率节点仅仅对消息进行转发，并不进行重加密，消息同样如此。从上述数据传输过程可以得到如下结论。定理2 WGRe通道的密文大小是明文的2倍。3.4 通道的拆除通道上的任何节点都可以拆除该通道。通常，当通道上的应用层数据通信完成后，由发送者Alice负责该通道的拆除。但是，由于节点可能会失效，因此该通道也可以由任何中间节点或者末端节点即接收者拆除。一个节点一旦发现它的邻居（上一跳或者下一跳）不再活跃或者由于别的原因想拆除该通道，则它发送一个拆除消息给相邻节点，该拆除消息包含了将被拆除通道的标识。如果是中间节点想拆除该通道，则它向相邻的2个节点（上一跳和下一跳）各发送一个拆除消息，收到拆除消息的节点释放对应通道所占用的资源，并且不再处理收到的任何与该通道有关的通信。如果收到拆除消息的节点是中间节点，则它还会发送拆除消息给下一个邻居节点。如果是接收者，则终止接收者与服务器之间与该通道有关的连接。如果是发送者，则终止来自于应用层的与该通道有关的连接。4 通道的安全性分析本节说明了WGRe是如何提供可变的匿名性及其正确性证明。由于采用了ElGamal重加密技术，WGRe能够比较好地抵抗重放攻击。在大规模的无中心P2P网络中，Pfitzmann攻击将很难发生，本文的攻击模型是一个局部主动或者被动攻击者。4.1 可变的匿名性由于采用了链路加密技术，一个外部观察者是不能把一个节点的流入消息和流出消息关联起来的，这就意味着它不能把固定节点和概率节点分辨开，然而恶意节点却能够做到这一点。假定2个被攻击者控制的恶意节点之间的所有节点都是诚实的概率节点，则这2个恶意节点可以把它们之间传递的消息关联起来，原因在于概率节点不对消息进行重加密，这也就意味着攻击者可以排除这2个恶意节点之间的概率节点，减少路径长度。然而，一旦这2个恶意节点之间有一个诚实的固定节点，则攻击者不能把消息关联起来，因为消息的编码已经被该固定节点改变了。因此，在路径长度一定的前提下，为了取得强匿名性，应该增加固定节点数，减少概率节点数，但同时因加密和密钥更新所导致的资源开销也就增加了。在对匿名性要求不高时，应该增加概率节点数，减少固定节点数以取得高效率。总之，WGRe提供一种由固定节点数和转发概率pf决定的可变匿名性，它是匿名和效率的折中。假设一条WGRe通道上共有个节点，其中有（）个固定节点和个概率节点。注意发送者Alice（）和接收者Bob（）也是固定节点。特别地，除了发送者和接收者之外，至少还要有一个固定节点以便取得更好的安全性。当收到一个消息以后，固定节点将对其进行ElGamal重加密和链路加密，而概率节点只对其进行链路加密。另外，WGRe的密文是明文的2倍长，因此，定义一条WGRe通道的效率为这样，根据给定的效率E，可以确定固定节点数。给定和，如何分布固定节点和概率节点将影响到一条通道的匿名性。例如，在图2中，通道1和通道2由相同的节点构成，其效率都为，但节点的分布不一样。在假定固定节点P2和P3是恶意的前提下，这2个通道所提供的匿名性是不一样的。对通道1来说，这2个恶意节点可以把它们自己关联起来，因为沿着通道传递的消息m在P2和P3处的编码是一样的。其原因是概率节点Q1、Q2和Q3只对m进行链路加密，不进行重加密。对于通道2来说，这2个恶意节点不能把它们自己关联起来，因为消息的编码被固定节点P4改变了。因此，为了抵抗这种关联性攻击，应该尽力改变的编码，这可以通过在通道的固定节点间均匀分布概率节点完成。尽管发送者Alice控制了所有的固定节点，但是不能控制概率节点。因此，建议通道上的所有节点都采用相同的转发概率pf。图2 Alice和Bob之间的不同WGRe通道4.2 正确性WGRe中，一个节点对收到的来自于不同的上一跳节点的消息进行重加密和乱序后流出。定义正确性为输出序列是输入序列的一个置换。Kilian和Sako要求每个节点都泄漏部分信息以使得任何人都可以证明结果的正确性5。Michels等证明了该泄露的部分信息会破坏方案的匿名性14。因此，在本文的通道中，不要求节点泄漏部分信息以取得正确性。然而，为了证明正确性，可以采用证明MIX网络正确性的一些技术1517，在此不再详细描述。4.3 Pfitzmann攻击正如Pfitzmann所指出的，文献4中的方案对Pfitzmann攻击来说是脆弱的，作为对该方案进行扩展的WGRe对该攻击同样是脆弱的。然而，这种攻击对主要应用于大规模无中心P2P环境中的WGRe来说是不现实的。首先，发送者通常确信接收者是诚实的。其次，本文的通道建立过程可以确保匿名通道上的节点是从整个网络中均匀选取的，让每一跳负责选择下一跳。假定网络有N个节点，其中有C个是恶意的。则对一条WGRe通道来说，发生Pfitzmann攻击9的概率为。最后，在P2P网络中，所有节点都可以产生和转发通信流。因此，通道上的恶意节点并不能确定它的前驱节点是否是始发节点。4.4 重放攻击在分层加密的MIX网络中，消息的加密或解密是确定的。因此，如果攻击者记录下某个节点的输入流和输出流，然后重发某个消息，则该消息的解密（加密）结果将保持不变。基于此，攻击者可以攻破任何分层加密的MIX网络。如何抵抗重放攻击是分层加密MIX网络的一个挑战，虽然研究者已经做了大量的工作，但到目前为止，还没有有效的抵抗重放攻击的办法。然而，WGRe却能很好地抵抗重放攻击，因为它采用的ElGamal加密算法是随机的，而不是确定性的。知道每次进行重加密时都会随机选择新的加密参数，所以当同一个消息再次经过某一个节点时，其重加密的结果与以前的重加密结果是不一样的。即使一个攻击者可以观察到输入流和输出流，也不能辨认出哪个消息被发送了2次。5 结束语本文简述了通用重加密方案及其扩展，发现了它们对于Pfitzmann攻击的脆弱性。然后设计了一个新的用于延迟敏感通信的匿名通道WGRe。描述了通道的建立、数据的传递及通道的拆除。该通用重加密通道能够保证节点输出流的正确性，这在分层加密MIX网络中是很困难的。WGRe是匿名和效率的折中，提供一种可变的匿名保护。另外，由于采用了ElGamal加密算法，WGRe能够很好地抵抗重放攻击。在大规模环境的无中心P2P网络中发动Pfitzmann攻击是不现实的，尽管还不能有效地抵抗该攻击，本文的通道是实用的，并且比URE和EURE方案更高效。本文还提出了一种启发式的方法指导用户如何取得匿名和效率的折中。参考文献：1CHAUM D. Untraceable electronic mail, return addresses and digital pseudonymsJ. Communications of the ACM, 1981, 24(2):84-88.2JAKOBSSON M, JUELS A. An optimally robust hybrid mix networkA. Proceedings of Twentieth ACM Symposium on Principles of Distributed Computing(PODC01)C. Rhode Island, 2001.284-292.3OGATA W, KUROSAWA K, SAKO K, TAKATANI K. Fault tolerant anonymous channelA. Proceedings of International Conference on Information and Communication Security (ICICS97)C. Beijing, China, 1997. 440-444.4PARK C, ITOH K, KUROSAWA K. Efficient anonymous channel and all/nothing election schemeA. Proceedings of Eurocrypt93C. Lofthus, Norway, May, 1993.248-259.5KILIAN J, SAKO K. Receipt-free MIX-type voting scheme-a practical solution to the implementation of a voting boothA. Proceedings of Advances in Cryptology-Eurocrypt95C. Saint-Malo, France, 1995. 163-178.6GOLLE P, JAKOBSSON M, JUELS A, et al. Universal re-encryption for MixnetsA. Proceedings of RSA-Conference, Cryptographers TrackC. San Francisco, CA, USA, 2004.393-403.7FAIRBROTHER P. An improved construction for universal re-encryptionA. Proceedings of Privacy Enhancing TechnologiesC. Toronto, Canada, 2004. 79-87.8GOMULKIEWICZ M, KLONOWSKI, KUTYLOWSKI M. Onions based on universal re-encryption-anonymous communication immune against repetitive attackA. Proceedings of Workshop on Information Security ApplicationsC. Jeju Island, Korea, 2004. 400-410.9PFITZMANN B. Breaking efficient anonymous channelA. Proceedings of Advances in Cryptology - Eurocrypt94C. Perugia, Italy, 1994. 332-340.10FREEDMAN M J, MORRIS R. Tarzan: a peer-to-peer anonymizing network layerA. Proceedings of the 9th ACM Conference on Computer and Communications SecurityC. DC, USA, 2002. 193-206.11RENNHARD M, PLATTNER B. Introducing morphmix: peer-to-peer based anonymous internet usage with collusion detectionA. Proceedings of the Workshop on Privacy in the Ele