定点破名权法中点通信协议的分析

定点破名权法中点通信协议的分析

1981年，chaum提出了一种混合技术，以解决电子邮件的隐名性问题。后来的研究者把Mix扩展成了一种通用的通信匿名性保护技术,并且开发了一些实用的匿名系统。匿名系统可以分成两类:延迟不敏感匿名系统和延迟敏感匿名系统。延迟不敏感匿名系统主要是满足那些对延迟没有特殊要求的应用,例如匿名电子邮件系统Mixminin。这类系统有足够的延迟时间对通信流进行处理,目前在理论上已趋于完善;延迟敏感匿名系统主要是满足那些对延迟有特殊要求的应用,如Web浏览、聊天等。这类系统由于受延迟的限制,还有很多问题有待解决。延迟敏感匿名系统又可以分为两类:核心Mix网络和点对点Mix网络。核心Mix网络是指Mix节点由服务方提供,用户只是使用该网络,而不会成为该网络中的一个Mix节点,为其他用户提供服务,例如OnionRouting系统;点对点Mix网络中,每个用户都是一个Mix节点,为其它节点提供服务。这意味着经过一个节点的消息可能是源于该节点,也可能是源于其他节点,很难判断其真正的来源。在一个大规模的点对点系统中,当许多用户都进行匿名通信时,会产生大量的通信流,再加上通信始发点的不确定性,提高了攻击者攻击的难度。Crowds、MorphMix、WonGoo等都是点对点匿名通信系统。1固定路径和变化路径WonGoo是我们所提出的一个基于Mix和Crowds的点对点协议,它兼顾了匿名和效率,克服了Mix效率低和Crowds抗攻击性差的缺点。假定Alice与Bob进行通信,Alice首先选择一些WonGoo节点,称之为固定接收点。固定接收点的功能与Chaum描述的Mix节点的功能相似。Alice首先利用这些固定接收点的公钥对要发送的消息进行分层加密,构造出WonGoo数据包。数据包的每一层包含一个固定接收点的地址,最里层包含接收者Bob的地址。这意味着数据包必须经过这些固定接收点,每经过一个,数据包就脱掉一层。Alice接着以概率pf把数据包转发给一个随机选定的节点,称为概率接收点,以概率1-pf转发给下一个固定接收点。随后的每个节点(包括固定接收点和概率接收点)都进行类似的操作。当WonGoo数据包到达接收者Bob以后,就形成了一条WonGoo路径,如图1所示。图1中实心点Pi(i=,12,..,K+2)是固定接收点,空心点Qij是概率接收点。PkPk+1构成了一条固定路径,PkQ1kQ2kQ3kQ4kPk+1构成了一条变化路径。虚线P1P2,...,Pk,...,PK+2构成了一条Mix路径,实线P1Q11Q21P2,...,PkQ1kQ2kQ3kQ4kPk+1,...,PK+2构成了一条WonGoo路径。如果pf=0,即不进行概率转发,WonGoo就演化成了Mix;如果没有固定接收点,WonGoo就演化成了Crowds。随后的所有消息以及从Bob返回到Alice的消息都沿着这条路径进行传递。文献分析了WonGoo的效率和匿名性介于Crowds和OnionRouting之间,而且攻击者不能分辨出概率接收点和固定接收点。为了后面叙述方便,定义固定路径和变化路径两个概念。由一个固定接收点直接到达另一个固定接收点的一条路称为固定路径(发送者和接收者也被看成是固定接收点)。两个固定接收点之间依据转发概率所形成的路径称为变化路径。显然,当变化路径长度为1时,则成为固定路径。2满负荷运行时节点负载期望的确定本文主要分析WonGoo系统中成员的负载。根据Reiter等人的建议,所谓基于重路由匿名通信系统中某成员上的负载,主要计算该成员在所有重路由路径上的出现次数,文献给出了具体的计算方法。在基于重路由的匿名通信系统中,在某一运行周期(指一段运行时间),系统中有N(N=,12,...)个成员,M(M=,12,...)条重路由路径,第m(1≤m≤M)条重路由路径的长度为{Lm},{Lm}为离散型随机变量且独立同分布,服从分布律是:若系统构造重路由路径时采用随机策略在N个成员中选择中继节点,则系统中任一成员vi(i=,12,...,N)的负载iF的数学期望值是:其中E(L)为重路由路径长度的数学期望值。WonGoo系统中,在一个周期内,不是每个节点都在通信,通常情况下M<N。极端情况下,M=N表示系统满负荷运行,即所有成员都在通信。下面计算系统满负荷运行时系统成员vi的负载期望值E(iF)。为此,首先计算WonGoo系统中路径L的长度的数学期望值。设L上的固定接收点数为K(不包括发送者和接收者),K≥0。K=0表示没有固定接收点,此时WonGoo演变成了Crowds。L可以看成是由变化路径1L,2L,…,kL,…,LK+1串接而成,其长度分别为1l,l2,…,lk,…,lK+1,其中tl≥1,t=1,2,...,K+1,如图1所示。我们规定:如果路径L上共有R个节点(包括发送者和接收者),则L的长度为R-1。于是L的数学期望值是:当M=N时,vi的负载期望值是:可以看出,满负荷运行时,WonGoo系统的成员负载由固定接收点数K和转发概率pf决定,而不受系统成员数目N的影响。图2显示了不同转发概率下,节点负载的数学期望值随固定接收点数的变化关系。随着固定接收点数的增加,负载期望值也增加,其增加幅度由转发概率决定。图3显示了在不同固定接收点数情况下,负载期望值随转发概率pf的变化趋势。当pf<5.0时,E(F)的增加幅度不明显;当pf>5.0时,E(F)随pf的增长趋势很明显。当K=0时,我们所推导的结论与文献的结论相同。3基于利益分享的秘密性假定攻击者除了有能力运行自己的WonGoo节点之外,还能控制部分诚实的节点。把攻击者自己的节点及被其控制的诚实节点统称为泄密节点,也叫泄密者。假设N个成员的WonGoo网络中有C个泄密者。我们所考虑的问题是攻击者是否能够确定一条路径的发送者是谁。对接收者的分析与对发送者的类似。如果发送者本身是一个泄密者,则对攻击者来说,系统已经被攻破。我们所考虑的匿名路径是由非泄密节点发起的。在这条路径上,泄密节点占据了一个位置。攻击者的目的是确定谁是该路径的发起者。由于采用了加密技术,因此通信的内容是不会暴露发起者的身份的。攻击者有理由相信第1个泄密者的前驱节点比其他节点更像是发起者。这种假设是合理的,因为从攻击者来看第1个泄密者的前者最有可能是发起者。鉴于针对一条WonGoo路径而言,发起者总是位于第1个泄密者之前,因此本文仅对第1个泄密者进行研究。把攻击者占据一条路径上的某个位置称为一个事件。为了便于分析匿名,定义下列事件:(1)Hk,1≤k表示路径上的第1个泄密者占据第k个位置的事件,我们假设发起者占据第0个位置;(2)Hk+=Hk∨Hk+1∨Hk+2∨...表示路径上的第1个泄密者位于第k个位置之后(包括第k个位置)的事件;(3)I表示路径上第1个泄密节点的前驱节点是发起者的事件;(4)P(I|H1+)表示路径上有泄密者的情况下,第1个泄密者的前驱节点是发起者的概率。设q=(N-C)N,则1-q=CN。与前面不同的是,我们规定:如果路径L上共有R个节点(包括发送者和接收者),则L的长度为R。下面计算第1个泄密者位于路径上第i个位置及位于i之后(包括i)的概率。如果第1个泄密者位于变化路径1L,则其中,节点i位于1L上,即1≤i≤l1。如果第1个泄密者位于变化路径2L,则其中,节点i位于2L上,即1≤i≤l2。如果第1个泄密者位于变化路径kL,则其中,节点i位于kL上,即1≤i≤lk。为了简单,设l1=l2=...=lk=...=lK+1=l≥1,则匿名路径上存在泄密节点的概率:当K=0,l→∞时,P(H1+)以及后面的P(I)和P(I|H1+)都与Reiter的结论相同。我们知道P(I|H1)=1,P(H1)=1-q。这是因为当第1个泄密者位于路径上第1个位置时,它的前者肯定是发起者,即事件I是成立的。当第1个泄密者位于路径上第2个位置或之后时,出现任何非泄密成员的概率是相等的,P(I|H2+)=1(N-C)。P(I)和P(I|H1+)的计算如下:P(I|H1+)表示被猜中的概率,用d=1-P(I|H1+)作为衡量匿名性的指标。为了计算匿名性随系统规模N的变化关系,设定泄密者比例是一定的。图4显示了在,K=5,l=3,pf=5.0的情况下,d随着N的变化趋势。可以看出,当N增加时,匿名度d也增加。但是随着N的增加,d的增长趋势变缓。这是因为匿名是依靠其他实体的行为来隐藏自身的行为,实体越多,隐蔽性越强。但是,由于在一次通信中,并非所有的实体都参与隐藏,在一个大规模的系统中,参与一次通信的可能实体是相对稳定的,因此,随着系统规模的扩大,匿名性的增长变缓。图5计算了在N=1000,C=100,l=3,pf=5.0情况下,d随K的变化趋势。可以看出,K从0增长到1时,d的增长很快,从0.396增长到0.446,随后d的增长变缓。这是因为,在K等于0时,不进行分层加密,攻击者可以很容易地根据数据流的特征进行攻击。当K=1时,由于进行了分层加密,提高了攻击者攻击的难度,从而提高了系统的匿名性。虽然随着K的增大,系统的匿名性有所提高,但是所消耗的系统资源也增大。用户可根据自身的实际情况来选择K,以达到匿名和效率的平衡。图6计算了在N=1000,C=100,K=5,pf=5.0的情况下,d随l的变化趋势。可以看出,l从1增长到3的过程中,d增长较快,随后d的增长变得很缓慢。因此,在实际应用中,l不宜选得过大;否则,系统的开销会很大。图7计算了在N=1000,C