（计算机应用技术专业论文）p2p匿名通信系统的匿名度量及协议研究.pdf

硕 j 学位论史 摘要 随着计算机网络广泛应用，互联网上的安全和隐私越来越受到人们的关注。 可以很好地隐藏通信关系的匿名通信技术得到快速发展，成为网络安全研究人员 的研究热点。近年来，随着p 2 p 的兴起，p 2 p 网络为解决匿名通信问题提供了新的 技术手段，p 2 p 匿名通信协议的设计越来越引起研究人员的重视。同时，匿名性 的获取是各种匿名技术研究的目标，研究匿名度量对匿名系统的改善具有重要的 指导意义。本文主要针对p 2 p 匿名通信系统的强匿名性及高效性等目标，对p 2 p 匿 名通信系统的匿名度量方法和p 2 p 匿名通信协议进行了讨论和研究。 本文首先阐述了匿名通信技术、p 2 p 技术相关概念；介绍了匿名通信的主要 实现机制；分析了各种匿名系统的特点，指出了匿名系统的研究现状、发展趋势 和存在的问题；探讨了具有代表性的p 2 p 匿名通信系统；总结了系统常见攻击。 其次，针对p 2 p 匿名系统仅对发送者的匿名度进行了定量分析的匿名度量现 状，本文研究了接收者匿名性的度量方法，基于信息熵，针对共谋攻击，给出了 几种典型p 2 p 匿名系统的接收者匿名性度量的计算方法。并分析了接收者匿名度 与系统规模、恶意节点比例、路径长度及转发概率之间的关系。 最后，针对p 2 p 匿名通信系统很难兼顾匿名和效率的问题，本文以取得强匿 名性，尽量减少代价和提高效率为目的，提出了一种新的可控路长的p 2 p 匿名通 信协议l c p a c p 。l c p a c p 采用嵌套加密来保证强匿名，利用转发概率递减的策 略来有效控制路径长度获得高效率。理论分析与计算结果表明，新的协议能显著 缩短路长，保证良好的传输性能，同时能提供良好的匿名保护。 关键词：匿名通信系统；p 2 p ；匿名度量；共谋攻击；嵌套加密 p 2 p 匿名通信系统的匿名度量及协议研究 a b s t r a c t w i t ht h ee x t e n s i v ea p p l i c a t i o no fc o m p u t e rn e t w o r k s ，i n t e r n e ts e c u r i t ya n d p r i v a c yd r a w sp e o p l e sa t t e n t i o ni n c r e a s i n 9 1 y a n o n y m o u sc o m m u n i c a t i o nt e c h n o l o g y b e c a u s eo fi t sa b i l i t yw h i c hc a nw e l lh i d ec o m m u n i c a t i o nr e l a t i o n s h i p ，b e c o m e st h e i n t e r e s t i n g r e s e a r c ha r e af o rn e t w o r ks e c u r i t yr e s e a r c h e r s r e c e n t l y ； w i t ht h e p r o l i f ；e r a t i o na n dg r e a ts u c c e s so fp 2 pt e c h n o l o g y ； p 2 pp r o v i d e san e wt e c h n i c a l m e a n s w h i c hc a ns o l v ea n o n y m o u sc o m m u n i c a t i o np r o b l e m s m o r ea n dm o r e r e s e a r c h e r sp a yt h e i ra t t e n t i o no nt h ed e s i g no fp 2 pa n o n y m o u sc o m m u n i c a t i o n p r o t o c 0 1 m e a n w h i l e ，t h eo b j e c t i v eo fv a r i o u sa n o n y m o u st e c h n o l o g i e si so b t a i n i n g t h ea n o n y m i t y t h er e s e a r c ho fa n o n y m i t ym e a s u r eh a sa n i m p o r t a n tg u i d i n g s i g n i f i c a n c et ot h ei m p r o v e m e n to fa n o n y m o u ss y s t e m a i m e da ts t r o n ga n o n y m i t y a n dh i g he 艏c i e n c yi np 2 pa n o n y m o u sc o m m u n i c a t i o ns y s t e m ，t h i st h e s i sm a i n l y d i s c u s s e st h em e t h o do fa n o n y m o u sm e a s u r ea n dp 2 pa n o n y m o u sc o m m u n i c a t i o n p r o t o c 0 1 f i r s t l y ； t h i s t h e s i s e x p l i c a t e s t h ec o r r e l a t i v e c o n c e p t o f a n o n y m o u s c o m m u n i c a t i o nt e c h n o l o g ya n dp 2 pt e c h n o l o g y ；a n di n t r o d u c e st h em a i nr e a l i z a t i o n m e c h a n i s mo fa n o n y m o u sc o m m u n i c a t i o n i ta n a l y z e st h et r a i to fv a r i o u sa n o n y m o u s s y s t e m sa n dp o i n t so u tt h ec u r r e n ts i t u a t i o n ，d e v e l o pt r e n da n de x i s t e n tp r o b l e m t h e r e p r e s e n t a t i v e p 2 pa n o n y m o u sc o m m u n i c a t i o ns y s t e m sa r ea ls od i s c u s s e d ，a n da s u m m a r i z a t i o nt oc o m m o na t t a c k si sg i v e n s e c o n d l y ，a n o n y m i t ym e a s u r e s t a t u so fp 2 pa n o n y m o u s s y s t e m i s o n l y q u a n t i t a t i v e l ya n a l y z i n gs e n d e ra n o n y m i t y i n t h i st h e s i s ，t h em e a s u r em e t h o do f r e c e i v e ra n o n y m i t yi ss t u d i e d b a s e do ni n f b r i i l a t i o ne n t f o p y ，i na l l u s i o nt oc o l l u s i o n a t t a c k ，t h ec o m p u t a t i o n a lm e t h o d so fr e c e i v e ra n o n y m i t ym e a s u r ef o rs e v e r a lk i n d so f t y p i c a lp 2 pa n o n y m o u ss y s t e m sa r eg i v e n a n dm a t h e m a t i ca n a l y s i si sp r o v i d e df o r t h er e l a t i o n s h i pa m o n gr e c e i v e ra n o n y m i t y ，t h es i z eo fs y s t e m ，t h ep r o p o r t i o no f m a l i c i o u sn o d e ，t h el e n g t ho fr e r o u t i n gp a t ha n df - o r w a r d i n gp r o b a b i l i t y f i n a l ly b e c a u s et r a d eo f fa n o n y m i t ya n de f 矗c i e n c yi sav e r yd i f f i c u l tp r o b l e mi n p 2 pa n o n y m o u sc o m m u n i c a t i o ns y s t e m s ，i n t e n t i o nt o a c q u i r i n gs t r o n ga n o n y m i t y r e d u c i n gt h ep r i c ea n di m p r o v i n ge f l f i c i e n c y ，t h i st h e s i sp r o p o s e sl c p a c p ，an e w l e n g t hc o n t r o u a b l ep r o t o c o lf o rp 2 pa n o n y m o u sc o m m u n i c a t i o n l c p a c pu s e s n e s t e de n c r y p t i o nt og u a r a n t e es t r o n ga n o n y m i t ya n da d o p t sf o r w a r d i n gp r o b a b i l i t y d e c r e a s i n gs t r a t e g yt o c o n t r o lp a t hl e n g t ht oo b t a i nh i g he f f i c i e n c y t h et h e o r y i i l 硕f ：学位论文 a n a l y s i sa n dc a l c u l a t i o nr e s u l t ss h o wt h a tt h i sp r o t o c o lc a nn o to n l ys h o r t e np a t ha n d e n s u r ew e l lt r a n s m i s s i o np e r f o m a n c e ， b u ta l s oc a np r o v i d eg o o da n o n y m o u s p r o t e c t i o n k e yw o r d s ：a n o n y m o u sc o m m u n i c a t i o ns y s t e m ；p 2 p ；a n o n y m i t ym e a s u r e ；c o l l u s i o n a t t a c k ；n e s t e de n c r y p t i o n l v p 2 p 匿名通信系统的匿名度量及协议研究 插图索引 图2 1c s 模式与p 2 p 模式8 图2 2a n o n v m i z e r 15 图2 3洋葱路由示意图17 图2 4c r o w d s 系统示意图2 0 图2 5m o r p h m i x 匿名通道的建立过程2 1 图3 1p 2 p 匿名通信系统模型2 8 图3 2 攻击模型2 9 图3 3 d 随p ，的变化趋势3 3 图3 4d 随n 的变化趋势”3 4 图3 5d 随c n 的变化趋势3 4 图3 6d 随l 的变化趋势一3 4 图4 1l c p a c p 协议的简单实例3 9 图4 2l c p a c p 匿名路径4 2 图5 1p ( 卅h l + ) 随n 的变化趋势4 8 图5 2尸( 卅日l + ) 随c n 的变化趋势4 9 图5 3 p ( ，旧l + ) 随办的变化趋势4 9 图5 4 p ( ，f i + ) 随g 的变化趋势4 9 图5 5p ( 卅h l + ) 随研的变化趋势5 0 图5 6l c p a c p 协议与其他协议的效率比较5 1 v i i 硕 j 学位论文 附表索引 表4 1符号定义38 表5 1l c p a c p 与其他协议的抗攻击能力比较4 6 v i i i 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取 得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何 其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献 的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法 律后果由本人承担。 作者签名：即琳日期：二弦，年占月j 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学 校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被 查阅和借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编入 有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编 本学位论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密团。 ( 请在以上相应方框内打“”) 作者签名：又p ；株日期：加7 年占月j - 日 导师签名瓶、掀习才勉日期：可年石月，日 硕i j 学位论文 第1 章绪论 1 1 研究背景及意义 随着因特网的飞速发展，i n t e m e t 被普遍用作通信的工具，如网络聊天、收发 电子邮件等。然而在网络规模不断扩大的同时也带来了相当严重的安全隐患，人 们也开始越来越关心因特网上的个人隐私和安全问题。当前，对信息本身已有相 对成熟的数据加密算法，但t c p i p 等协议所需的报文头部信息如源地址、目的地 址、报文长度等很难通过加密算法来隐藏。攻击者可以通过流量分析等攻击来获 取通信双方的地址及一些有价值的信息，比如邮件发给谁、哪些i p 在使用哪些服 务，从而给用户的隐私带来威胁，因此仅从数据加密的角度来解决隐私安全问题 是不够的。 为了进一步保护用户的权益，匿名成为了基本需求。尤其在以下在线因特网 应用中，例如网上选举、电子银行，还有一些特殊部门如军事、国防部门需要交 流一些内部资料，同时又不能暴露实体信息。这些应用都对个人隐私要求较高， 匿名是不可缺少的要求，有关匿名通信技术的研究也成为网络安全研究人员的研 究热点。 近年来，p 2 p 技术越来越受到研究人员的关注，n a p s t e r 、g n u t e l l a 【2 1 、 b i t t o r r e n t 【3 】等p 2 p 网络的出现为p 2 p 的发展奠定了基础。p 2 p 网络结构是一种分布 式的、动态的，其规模随着用户的增加而扩大，用户也可以在任何时刻离开或加 入网络。网络中所有节点都是对等的，这有别于传统的客户机服务器( c s ) 模式。 p 2 p 网络中无需中心服务器，每个节点既是客户端，享受其他节点提供的服务， 又是服务器，为其他节点提供服务。由于传统的c s 模式的匿名通信系统存在单 点失效、可扩展性差等问题，p 2 p 无中心的特性为解决匿名通信的问题提供了新 的技术手段，带来了良好的可扩展性。当前，已经有不少p 2 p 匿名通信系统，同 时，基于p 2 p 的许多实际应用也有着强烈的匿名需求，因为许多p 2 p 非匿名用户因 发送明文消息导致了个人隐私泄露。因此，对p 2 p 匿名通信系统的研究也随之成 为一个热点。现有的p 2 p 匿名通信系统由于采用的匿名技术不同，提供了不同程 度的匿名性。有的提供一般程度的保护而获得了高效率，有的提供强力的保护而 牺牲了效率，有的实现了匿名与效率的折中。匿名性的获取是匿名技术研究的目 标，对匿名性能的表示和分析的研究也一直是研究人员所关注的问题。 综上所述，随着网络f 1 益深入到人们的生活，。人们对个人隐私以及信息安全 性提出了越来越高的要求，用于保护通信双方通信关系的匿名通信技术得到了较 p 2 p 匿名通信系统的匿名度量及协议研究 快发展。目前，有关p 2 p 匿名通信技术的研究已经成为网络安全研究领域的研究 课题之一。因此，本课题无论从理论上还是从实践上都具有很强的研究意义。 1 2 国内外研究现状 从目前的匿名通信研究现状来看，对匿名通信技术的研究已取得了较多的成 果。人们从不同的角度对匿名通信技术做了许多的研究。匿名通信技术主要是研 究如何在通信过程中，使通信一方或双方的身份得到很好的隐藏，而不易被外部 观察者得知。自从1 9 8 1 年d a v i dc h a u m 【4 】提出了m i x 的概念，通过多个称为m i x 的 中继服务器来重路由邮件信息，以隐藏邮件用户与邮件服务器之间的通信，随后 便出现了很多各具特点的匿名通信协议和原型系统。典型的基于简单代理的有 a n o n y m i z e r l 5 1 ；基于m i x 的匿名通信协议的研究成果颇多，如第三代用于匿名电子 邮件的m i x m i n i o n 协议【6 】，用于匿名w e b 浏览的w e b m i x 【7 1 ，提供实时匿名连接服 务的o n i o nr o u t i n 一8 ，9 】和它的第二代t o r 【1 川( t h eo n i o nr o u t e r ) ；基于组群的典型代 表有c r o w d s 【1 1 1 、h o r d e s 【12 1 。以上这些协议在一定程度上保证了匿名连接，能够抵 抗一定程度的攻击。 近年来，p 2 p 技术的发展促使人们研究p 2 p 匿名网络。p 2 p 无中心的特性为解 决i n t e m e t 隐私保护和匿名通信的问题提供了新的技术手段。并且p 2 p 网络具有很 强的动态性，网络中的节点同时充当了客户机和服务器两种角色，节点可以在任 意时刻加入或退出【 1 4 】。p 2 p 网络的应用可以很好的解决m i x 网络中节点易受攻 击，缺乏可扩展性等问题。由于p 2 p 匿名网络自身的特点，将匿名技术用于p 2 p 网 络是现实生活中为大量用户提供匿名保护的最具潜力和发展前景的方法。p 2 p 匿 名网络越来越引起研究人员的重视，得到了快速发展。在各类刊物上都有大量基 于p 2 p 的匿名通信协议和原型系统的研究成果发表，研究人员提出了各种匿名技 术方案来解决遇到的各种安全问题。1 9 9 8 年，m k r e i t e r 【i l 】等人提出了一种p 2 p 匿名通信协议，其目的是为用户提供匿名w e b 浏览。协议采用集中式的管理中心 b i e n d e r 来管理系统成员列表并为系统成员产生和分发通信密钥，使用简单的随机 转发机制，但匿名度较低。2 0 0 0 年，c s h i e l d s 等人【1 2 1 对以上协议进行了扩充和改 进，接收者使用组播服务来匿名地路由应答消息，而不是沿请求路径逆向传送， 提高了抵抗回溯攻击的能力。2 0 0 0 年，i a nc l a r k e 等人【 】研发了一个自适应点对点 网络的项目，它是一种分布式信息存储系统，其中的文件通过关键字进行标识， 用户也是通过关键字对文件进行检索和存储，确保信息的匿名发布和使用。2 0 0 2 年，m i c h a e lj f r e e d m a n 等人【1 6 】提出了一种完全无中心的l p 层匿名协议，它采用 了类似m i x 系统的嵌套加密以及源决定路径和多路段路由的方法来实现匿名。协 议使用了分级的掩饰流机制来阻止全局观察者通过流量分析识别出发送者，抗攻 击性强，但增加了消息头部开销和服务的延迟，牺牲了系统的效率。2 0 0 2 年， 2 硕l j 学位论文 m r e n n h a r d 等人【1 7 】提出了一个应用层匿名协议，节点间使用t c p 机制，没有采用 掩饰流，带宽负载较低。路径上的节点由其上一跳节点选择，协议采用冲突检测 方法来防御共谋攻击，但抵抗其它攻击较弱。也在这一年，r s h e 刑o o d 等人l l 驯 提出了一种新的匿名协议，采用了逻辑分层广播的思想来建立匿名网络，但基于 广播的系统使得网络传输的带宽增加，效率较低。 国内各高校及研究机构也对匿名通信技术进行了追踪性研究，在网络协议、 密码学、网络安全等方面，国内已经达到一定的水平，取得了较多研究成果【i 0 1 。 近年来，随着p 2 p 匿名网络的发展，人们越来越关注p 2 p 匿名协议的研究。2 0 0 5 年， t i a n b ol u 等人【3 1 1 提出了一种高效的p 2 p 匿名协议，它是无中心的完全分布式的， 通过分层加密和随机转发取得强匿名和高效率，提供与应用独立的、实时双向匿 名通信服务，实现匿名和效率的折中。2 0 0 6 年，j i n s o n gh a n 与y u n h a ol i u 【3 2 】为了 降低延时和开销，提出了一种非结构化的p 2 p 相互匿名协议，采用n o n p a t hb a s e d 方法，使用随机转发机制和对称加密算法来获得匿名。 匿名性的获取是匿名技术研究的目标，匿名通信系统由于采用的匿名技术不 同，提供了不同程度的匿名性。对匿名性能的表示和分析的研究也一直是研究人 员所关注的问题。匿名度是衡量匿名性的重要指标。1 9 9 8 年，r e i t e ra n dr u b i n 【 将匿名度定义为1 p ，其中p 是攻击者认为某个用户是发送者的概率。2 0 0 1 年， b e r t h o l d 等人在文献【7 】中给出了匿名度的定义，么= l o ( 加。其中是系统中的用 户数，在这样的定义下，匿名度仅仅与系统中的用户数有关，没有考虑攻击者可 能通过一定的攻击手段获得相关信息后，对匿名集中对象判定的不一致性。因此 该匿名度定义不能用来测试系统针对攻击的强壮性。2 0 0 2 年，c l a u d i ad i a z 等人 【3 3 3 4 】和s e r j a n t o v 【3 5 1 等人分别利用信息论模型将匿名系统中的匿名度进行了量化。 该匿名度是基于一系列的概率，这些概率描述了攻击者观察系统后，将系统中不 同用户认为是信息的发送者的概率，特别适合在特定攻击情况下做系统的匿名度 量。 综上所述，随着用户对个人隐私的要求越来越高，匿名通信技术的研究也越 来越引起了网络安全研究人员的重视，研究通信系统中的匿名技术非常有必要。 目前，匿名技术研究的突出问题是匿名和效率之间的问题，而p 2 p 技术与生俱来 的一些特性为解决匿名系统的这些问题提供了新的技术方向，匿名技术的研究将 注意力主要集中在匿名性能的度量及p 2 p 匿名通信协议的研究等方面。 1 3 本文的主要研究内容 随着近几年p 2 p 技术的不断发展和广泛应用，如文件共享和交换等应用，用 户对匿名性的要求也越来越高，大大加快了p 2 p 匿名网络的发展。而当前，p 2 p 网络环境下的各种攻击手段也越来越多，但现有的p 2 p 匿名通信协议大部分在获 3 p 2 p 匿名通信系统的匿名度量及协议研究 得匿名的同时却牺牲了效率。本课题的研究目标是设计更安全更高效的p 2 p 匿名 通信协议，这对于个人、团体、政府部门来说都具有积极的意义。同时，匿名系 统的匿名度量方面的研究成果也甚少，而匿名度量的研究对于p 2 p 匿名系统的改 进与完善具有指导意义。 针对以上研究目标，本文的主要研究内容包括以下几个方面： ( 1 ) 研究匿名通信技术的研究现状和发展趋势，对已有的匿名通信协议和系 统进行分析和总结，指出匿名通信中所涉及的技术问题，研究关键。尤其对典型 的p 2 p 匿名通信系统进行了详细的介绍和分析，并且总结了匿名系统的常见攻击 及其特点。 ( 2 ) 研究p 2 p 匿名通信系统的匿名度量，针对当前p 2 p 匿名通信系统的匿名度 量现状，仅对发送者的匿名度进行了定量分析而没有考虑系统接收者的匿名度量， 研究接收者匿名性的度量方法。 ( 3 ) 针对当前p 2 p 匿名通信系统很难兼顾匿名和效率的问题，总结并分析现 有的典型协议的优点和缺点，提出一种新的具有强匿名度同时又具有高效率的 p 2 p 匿名通信协议。在新的协议中使用嵌套加密和转发概率递减的策略来保证协 议的安全性和高效性。通过使用新的协议，系统可以在获得更强匿名度的同时保 证更高的效率。最后，对提出的协议进行了匿名性分析，与其他协议进行了比较。 1 4 论文的组织结构 论文全文共分为5 章。首先综述了匿名通信技术、p 2 p 技术，分析了各种匿 名通信系统的研究现状、动态和存在的问题，详细探讨了具有代表性的p 2 p 匿名 通信系统的特点、发送者匿名性能和系统存在的问题。然后研究了接收者匿名性 的度量方法，基于信息熵，给出了几种典型p 2 p 匿名系统的接收者匿名性度量的 计算方法。并针对现有p 2 p 匿名通信协议匿名与效率之间的问题，提出了一种新 的可控路长的p 2 p 匿名通信协议，并从安全性、匿名性等方面对新协议的性能进 行了分析和比较。 第1 章为绪论，介绍了匿名通信技术的研究背景和意义，并对课题的国内外 研究现状、主要研究目标和内容以及本文的论文组织结构进行了论述。 第2 章首先介绍了匿名通信和p 2 p 技术的基本术语和相关概念，然后分析比 较了现有的各种匿名通信系统，指出了各自的优缺点。详细分析了p 2 p 匿名通信 系统的研究现状及发展前景，最后对匿名系统的攻击方法进行了简要阐述。 第3 章分析了p 2 p 匿名通信系统的匿名度量现状，针对其仅对发送者进行匿 名度量而没有考虑接收者的问题，提出了接收者匿名性的度量方法，给出了几种 典型p 2 p 匿名系统的接收者匿名性度量的计算方法。并分析了接收者匿名度与系 统规模、恶意节点、路径长度等之间的关系。 4 硕i j 学位论文 第4 章分析了现有的p 2 p 匿名通信协议存在的一些问题，并针对这些问题提 出了新的可控路长的p 2 p 匿名通信协议。详细描述了协议的设计，包括匿名路径 的建立、数据的传递和转发策略等。通过使用嵌套加密和随机转发等机制，使协 议具有强匿名度的同时提高效率。 第5 章主要从安全性和匿名性两方面对新的协议作了评价，通过与其它协议 的比较及对相关实验结果的分析可以看出，新协议不仅可以提供强有力的匿名服 务，还具有较少的加密等开销和较高的通信效率。 最后是全文总结，对本文所完成的研究工作和主要创新点进行了总结，并阐 述了进一步的研究工作。 5 p 2 p 匿名通信系统的匿名度嚣及协议研究 第2 章匿名通信技术综述 本章主要综述了匿名通信技术的研究和发展。首先介绍了匿名通信系统中的 基本概念和定义，对匿名、匿名集、匿名度和匿名等级等进行了说明，简要介绍 了p 2 p 技术的概念及其特点。接着总结归纳了主要的匿名机制以及对当前主要的 匿名通信系统、研究现状进行了分析，其中详细分析了现有的典型p 2 p 匿名通信 系统。最后，对匿名通信系统所受到的攻击进行了介绍和分析。 2 1 匿名通信基本概念 2 1 1 匿名与匿名通信 匿名是指一种在一组对象( 匿名集) 中不被识别的状态【3 6 】，即无法从一组对象 中确定出其中某一个与某事件相关联。例如，某一组对象都有可能是某信息的发 送者，当无法确定出到底谁是信息的真实发送者时，就称该对象是发送匿名的。 a n d r e a sp f i t z m a n n 在文献 3 7 中写到匿名( a n o n y m i t y ) 是指实体( 如用户) 在一个 实体集合中不可辨认的状态。匿名是借助于其他实体的行为来隐藏自己的行为， 要使某个实体具有匿名性，必须使该实体处于一个实体集合中。例如，要使用某 匿名服务时，一个实体只有混入其他的使用该匿名服务的实体中才可能取得匿名。 匿名实体所在的实体集合称为匿名集( a n o n y m i t ys e t ) 。即匿名集是指执行某 个行为( 如发送一封电子邮件) 的可能实体的集合。显然，匿名集中的实体应该 具有相同的属性，匿名集的大小与攻击者密切相关。在现实世界中，一个对象的 匿名总是与行为相关联的，对行为的发起者来说，匿名集就是攻击者认为所有可 能发起该行为的对象集合，对行为的接收者来说，匿名集就是攻击者认为所有可 能接收该行为的对象集合。对象若离开了集合就不再具有匿名性。通常，匿名集 合越大，分布越均匀，匿名性就越强。 匿名通信是指通过一定的方法将业务流中的通信关系加以隐藏，使窃听者无 法直接获知或推知双方的通信关系或通信的一方。匿名通信的一个重要目的就是 隐藏通信双方的身份或通信关系，从而更好的保护网络用户个人通信隐私和涉密 通信，如通信者的i p 地址等，使其无法被外部观察者获知。 匿名性包括不可关联性和不可观察性两个特性【38 1 。两个或多个对象之间的不 可关联性是指系统中的这些对象，相对于其先验知识的关联性来说，其关联性没 有发生变化。这意味着攻击发生前( 攻击者的先验知识) 和发生后( 攻击者的后 验知识) 对象可被关联的概率保持不变。例如，通信系统中，攻击者通过长期的 6 硕卜学位论文 观察或窃取信息后，认为某一对象实施某一行为的概率增加或减小，则该对象和 行为之间不具有不可关联特性。不可关联性是匿名性的充分条件，但不是必要条 件，不可关联性的破坏不一定会使匿名性受到破坏，甚至有些情况下匿名程度都 不会受到影响。例如，在一些情况下可以跟踪到谁发送了什么信息，同时可以跟 踪到谁接收了什么信息，但可以保证发送者和接收者之间的通信关系是不知道的， 即可以保证通信关系的匿名性。 不可观察性是指不能从发送或接收事件集合中分辨出某个发送或接收事件， 这意味着不能将消息从“随机噪声 中分辨出来。通信系统中，发送者的不可观 察性指无法观察到不可观察集合中的用户是否发送了消息。接收者的不可观察性 指无法判断不可观察集合中的用户是否接收了消息。通信关系的不可观察性指无 法观察到是否有消息从一些可能的发送者发向一些可能的接收者。不可观察性也 是匿名性的充分条件，不是必要条件。即由不可观察性可以得到匿名性。例如发 送者是不可观察的说明发送者肯定是匿名的，因为该发送者是否发送了消息都无 法观察到，肯定就无法与任何消息关联。但不可观察性的破坏不一定导致匿名关 系的破坏，例如可以观察到谁在发送消息，谁在接收消息，但无法确定发送者和 接收者之间的关系。 2 1 2 匿名类型 在通信系统中，目前主要将匿名分为三类，发送者匿名( s e n d e ra n o n 舯i t y ) 、 接收者匿名( r e c i p i e n ta n o n y m i t y ) 和通信关系匿名( r e l a t i o n s h i pa n o n y m i t y ) 。 ( 1 ) 发送者匿名：隐藏消息与其发送者之间的关联，系统是发送者匿名的， 能抵抗一定的被动和主动攻击，使得攻击者无法确定谁是消息的发送者。比如在 w e b 匿名浏览中，要求发送者向w e b 服务器发送浏览请求时保持发送者匿名；在 电子投票系统中，选民投票要求是匿名的，选民和选票之间应该是不可关联的并 且是发送者匿名的；在电子银行中，要求支付与支取关系保持匿名，从而使得被 支取方无法获得支付方的身份；在抗审查发布系统中，必须保证发布者是匿名的。 ( 2 ) 接收者匿名：隐藏消息与其接收者之间的关联，系统是接收者匿名的， 能抵抗一定的被动和主动攻击，使得攻击者无法确定谁是消息的接收者，从而隐 藏了真正的接收者。例如在心理咨询和艾滋病等网上调查中，涉及到一些个人隐 私问题，所以参与者会要求保持匿名参加，那么就需要保证接收者匿名。 ( 3 ) 通信关系匿名：隐藏发送者和接收者之间的关联，使得攻击者无法确定 谁与谁在通信。例如，在匿名电子邮件中，要使外部观察者不知道某个发送者和 某个接收者之间有通信关系，这时就要求通信关系匿名。 在这三种类型中，发送者匿名、接收者匿名要强于通信关系匿名，即发送者 匿名或接收者匿名时通信关系肯定是匿名的，但通信关系匿名时发送者或接收者 7 p 2 p 匿名通信系统的匿名度量及协汉研究 却不一定是匿名的。比如在有些情况下发送者和接收者本身是相互知道身份的， 但它们之间的通信关系对其他成员而言是匿名的。 2 2p 2 p 技术概述 2 2 1p 2 p 的概念 p 2 p ( p e e r t o p e e r ) 称为对等网或点对点技术，是近年来广受i t 界关注的热门 话题之一。目前，在学术界和工业界对于p 2 p 还没有一个统一的定义。p 2 p 是一种 网络模型，在这种网络中所有的节点均是对等的( 称为对等点) ，各节点具有相同 的责任与能力并协同完成任务。对等点之间通过直接互连共享信息资源、处理器 资源、存储资源甚至高速缓存资源等，而无需依赖集中式服务器【3 9 1 。p 2 p 模式最 根本的思想，同时也是与客户端服务器( c s ) 模式最显著的区别在于c s 模式中服 务器是网络的控制核心，而在p 2 p 模式中没有明显的客户端或服务器划分，每个 节点既充当客户端享用其他节点提供的服务，又充当服务器为其他结点提供服务。 另外，p 2 p 模式还有如下明显的优点：资源利用率高；节点越多网络越稳定，不 存在瓶颈问题；信息在对等点之间直接交换，速度快，降低了中转成本。p 2 p 与 c s 模式的对比如图2 1 所示： c s 模式 p p 2 p 模式 p e e r 图2 1c s 模式与p 2 p 模式 从互联网的发展历史来看，p 2 p 并不是一个全新概念。在互联网最基本的 t c p l p 协议中并没有客户端和服务器的概念，早在3 0 年前，互联网上的所有设备 都是通讯中平等的一端。然而，由于受带宽及处理能力等的限制，使得人们在通 信中出现了很多中间环节，如中间服务器，第三方等。现在，随着互联网与人们 生活的联系日益密切，人们希望能够更全面、更广泛地参与到互联网的信息交流 中，而计算机和网络性能的提升也推动了p 2 p 技术的发展。在此背景下，p 2 p 再一 次受到了广泛的关注，p 2 p 技术正不断应用到军事领域、商业领域、政府信息、 通信等领域。 实际上，p 2 p 模式中也并不一定是完全无中心的。从集中化程度来说，它可 分为集中式的、部分集中式的和纯分布式的p 2 p 三类。集中式的p 2 p 网络结构中需 硕i ：学位论文 要一定的中心服务器来提供部分必要的网络服务，但系统的性能和可扩展性较差， 例如n a p s t e r 【。部分集中式的p 2 p 网络结构中不存在固定的中心服务器，而是些 称为“超级节点”的特殊节点，为其它节点提供一些服务，且这些超级节点是动 态的，一旦发生节点故障或退出等问题时，它们将被立即更换，例如k a z z a 【4 0 1 。 纯分布式的p 2 p 网络中，自始至终都不存在任何中心服务器参与协调或处理，所 有参与的计算机都是对等点，各对等点之间直接通讯，这种结构能较好的处理动 态节点加入和退出等问题，例如g n u t e l l a 【2 1 。 2 2 2p 2 p 网络的特点 与其它网络模型相比，p 2 p 网络的特点主要体现在以下几个方面【4 1 1 ： ( 1 ) 分布式( d e c e n t r a l i z a t i o n ) p 2 p 网络中的资源和服务分布在所有节点上，信息的传输和服务的实现都直 接在节点之间进行，可以无需任何中间实体和服务器的介入，避免了可能的瓶颈。 即使在混合p 2 p 中，虽然在查找资源、定位服务等环节需要集中式服务器的参与， 但主要的信息交换最终仍然在节点之间直接完成，这样就大大降低了对集中式服 务器的资源和性能要求，也带来了其在可扩展性、健壮性等方面的优势。 ( 2 ) 可扩展性( s c a l a b i l i t y ) 在传统的c s 模式中，系统所能容纳的用户数量和提供服务的能力受到服务器 的资源限制，阻碍了系统规模的扩展。 在p 2 p 网络中，随着用户的不断加入，不仅服务的需求增加了，系统整体的 资源和服务能力也在同步扩充，因此始终能较容易地满足用户的需要。整个体系 是完全分布的，理论上其可扩展性几乎可以认为是无限的。p 2 p 可扩展性好这一 优点已经在一些实际应用中得到证明，如k a z z a ，g n u t e l l a 等。 ( 3 ) 健壮性( r o b u s t n e s s ) 在互联网上随时可能出现的异常情况，如网络中断、网络拥塞、节点失效等 都会影响到系统的稳定性和服务持续性。在传统的c s 模式中，集中式服务器成 为整个系统的要害所在，一旦服务器发生异常就会影响到所有用户。 而p 2 p 网络天生具有耐攻击、高容错的优点。由于服务是分散在各个节点之 间进行的，部分节点或网络遭到破坏对其它部分的影响较小，而且当部分节点失 效时，其余各节点能够自动调整整体拓扑保持连通性。p 2 p 网络通常以自组织的 方式建立起来的，节点可以自由地加入或离开。一些p 2 p 网络还能根据网络带宽、 节点数、负载等变化不断地做自适应式的调整。 ( 4 ) 高性能( h i 曲p e r f o m a n c e ) 随着硬件技术的发展，个人计算机的计算和存储能力及网络带宽等性能依照 摩尔定理高速增长，在目前的互联网上，这些普通用户仅仅以客户机的方式连接 9 p 2 p 匿名通信系统的匿名度量及协议研究 到网络中，作为信息和服务的消费者游离于互联网的边缘，p 2 p 网络就可以有效 地利用互联网中的这些大量普通节点，将计算任务或存储资料分布到所有节点上， 利用其闲置的存储空间或计算能力，达到海量存储和高性能计算的目的。因此， 性能优势是p 2 p 网络被广泛关注的一个重要原因。 ( 5 ) 隐私保护( p r i v a c y ) p 2 p 网络中，由于信息的传输是分散在各个节点之间的而无需经过某个集中 环节，且节点是分布在各个地方的，用户的隐私信息被窃听的可能性大大减小。 目前i n t e m e t 中主要采用中继转发的技术方法，将通信的参与者隐藏在众多的网络 实体之中，从而实现隐私保护，在传统的匿名通信系统中，实现这一机制依赖于 某些中继服务器节点，而在p 2 p 中，所有参与者都可以提供中继转发的功能，因 而大大提高了匿名通信的可靠性和灵活性，能够为用户提供更好的隐私保护。 ( 6 ) 负载均衡( pa y l o a de q u i p o i s e ) p 2 p 网络中由于每个节点都具有客户机和服务器双重身份，减少了对传统c s 模式服务器计算机能力和存储能力的要求，而且由于资源分布在多个节点上，消 除了单个资源模式带来的网络瓶颈，从而实现了网络各节点的负载均衡。 2 3 匿名度 匿名度即表示匿名的程度，是衡量一个系统匿名性能的重要指标。从定性的 角度，r e i t e r 和r u b i n 在文献 1 1 】中指出匿名度可以被看成是一段连续的区域，整 个区域根据提供的发送者匿名性由强到弱的顺序可以分为六个等级。分别是： a b s o l u t ep r i v a c y ； b e y o n ds u s p i c i o n ； p r o b a b l ei n n o c e n c e ；p o s s i b l ei n n o c e n c e ； e x p o s e d ；p r o v a b l ye x p o s e d 。 a b s o l u t ep r i v a c v ：即绝对匿名，攻击者察觉不到通信的存在，完全不能辨认 一个可能的发送者是否发送了信息。 b e y o n ds u s p i c i o n ：即超出猜测，表示消息的真实发送者并不比系统中其他潜 在发送者更有可能是发送者。 p r o b a b l ei n n o c e n c e ：即很可能清白，从攻击者的角度看，某发送者是发起者 的可能性不会比它不是发起者的可能性大。 p o s s i b l ei n n o c e n c e ：即可能性清白，从攻击者的角度来看，真正的发送者可 能是别人，而且这种可能