桂兵祥，何 健

(武漢工業(yè)學(xué)院計算機(jī)與信息工程系，湖北武漢430023)

匿名通訊的基本目標(biāo)是在網(wǎng)絡(luò)通訊中隱藏用戶的身份以防止其他用戶或竊聽者識別其身份。很多文獻(xiàn)介紹過點(diǎn)對點(diǎn)匿名通訊系統(tǒng)，其使用的匿名協(xié)議有兩個重要特性：所提供的匿名程度或等級、抵抗惡意破壞其匿名特性的抗攻擊能力。與很多“點(diǎn)對點(diǎn)”(peer-to-peer)應(yīng)用一樣［1］，匿名通訊系統(tǒng)易受這樣的攻擊，即某些結(jié)點(diǎn)用戶(peers)在使用系統(tǒng)的同時幾乎或根本不給別人(other peers)提供服務(wù)，這里稱這類結(jié)點(diǎn)用戶為“順風(fēng)車乘客”(free-riders)，而更為復(fù)雜的是，這類匿名通訊系統(tǒng)給任何結(jié)點(diǎn)用戶提供了隱藏身份的匿名機(jī)制，這在實(shí)際應(yīng)用中更是為“順風(fēng)車乘客”的利己行為大開方便之門。在匿名系統(tǒng)中，當(dāng)“順風(fēng)車乘客”需要建立匿名通訊時，加入并作為系統(tǒng)的成員，獲得系統(tǒng)提供的某些服務(wù)，但是一旦他們的現(xiàn)實(shí)需求得到滿足就會馬上離開系統(tǒng)。這種行為對匿名系統(tǒng)的損害至少有兩個方面：首先，它可以降低系統(tǒng)的匿名程度或等級，因其與參與系統(tǒng)的結(jié)點(diǎn)總數(shù)成正比例，而在任何時刻，“順風(fēng)車乘客”的泛濫會嚴(yán)重減少其總數(shù);其次，“順風(fēng)車乘客”的大量出現(xiàn)會引起系統(tǒng)成員頻繁更換，使得系統(tǒng)維護(hù)開銷大增，某些惡意的攻擊將更容易發(fā)生。為了防范這類攻擊，約束“順風(fēng)車乘客”的不道德行為，促進(jìn)和鼓勵更多的匿名結(jié)點(diǎn)用戶參與協(xié)作，在匿名通訊系統(tǒng)中引進(jìn)適當(dāng)?shù)姆婪稒C(jī)制是十分必要的。

1 匿名通訊系統(tǒng)激勵機(jī)制研究現(xiàn)狀

最近許多研究表明在系統(tǒng)中建立激勵機(jī)制可以打擊上述不法行為，從而增強(qiáng)系統(tǒng)的健壯性。

目前該領(lǐng)域的研究工作主要集中在建立“信用機(jī)制”方面［2］，即依靠系統(tǒng)中的結(jié)點(diǎn)用戶(單獨(dú)或以合作的方式)識別“順風(fēng)車乘客”，然后根據(jù)其“不良信用”歷史記錄，拒絕提供服務(wù)以示懲罰。雖然信用機(jī)制是一種很有前途的方法，但是他們明確需要結(jié)點(diǎn)用戶知道彼此的身份。然而，在匿名通訊協(xié)議中，“順風(fēng)車乘客”的身份被該系統(tǒng)提供的匿名服務(wù)所隱藏。因而其主要實(shí)用于點(diǎn)對點(diǎn)的系統(tǒng)，而不適合于匿名通訊系統(tǒng)。雖然如此，人們在匿名系統(tǒng)中建立信用機(jī)制方面依然做出了很多努力，但效果都不理想。

通過虛擬經(jīng)濟(jì)利益驅(qū)動用戶積極參與協(xié)作是一條有效的途徑，在建立“付費(fèi)機(jī)制”方面的研究也取得了一些進(jìn)展，即在系統(tǒng)協(xié)作過程中，眾多結(jié)點(diǎn)用戶通過支付虛擬數(shù)字現(xiàn)金來獲得系統(tǒng)提供的相應(yīng)服務(wù)，反之系統(tǒng)把虛擬數(shù)字現(xiàn)金支付給提供了服務(wù)的結(jié)點(diǎn)用戶，研究表明，這種激勵機(jī)制能促進(jìn)眾多結(jié)點(diǎn)用戶的協(xié)作。然而，一些現(xiàn)有的方案為確保支付的有效性，在具體實(shí)現(xiàn)中要求所有用戶有特殊的硬件支持;另一些方案雖不需要特殊的硬件支持，但其對支付過程采用了集中管理，而且，有分析家認(rèn)為，在分布式服務(wù)方式下，如何設(shè)定系統(tǒng)所提供的各類服務(wù)的價格是個難題。

在匿名通訊系統(tǒng)中建立“付費(fèi)機(jī)制”后，虛擬數(shù)字現(xiàn)金的流通不能威脅到系統(tǒng)所具有的匿名特性，而且，交易過程中的集中記帳也不應(yīng)該暴露用戶的身份;此外，也不需要特殊硬件的支持，為更多結(jié)點(diǎn)用戶積極參與協(xié)作提供方便［3］。

2 基于付費(fèi)方式激勵機(jī)制系統(tǒng)設(shè)計

在討論基于付費(fèi)方式的激勵機(jī)制設(shè)計之前，首先需要回顧異構(gòu)網(wǎng)絡(luò)的基本操作。

在一個簡化的異構(gòu)網(wǎng)絡(luò)中，某一用戶結(jié)點(diǎn)希望給目的地D發(fā)送一條匿名消息(稱為“發(fā)起者”)，其在系統(tǒng)里構(gòu)成一系列參與合作的用戶結(jié)點(diǎn)路徑。在此路徑上的最后的用戶結(jié)點(diǎn)負(fù)責(zé)向最終目的地D傳遞消息。發(fā)起者隨機(jī)選擇路徑上中間的結(jié)點(diǎn)，并用其各自的公鑰遞歸地加密消息，如式(1)所示。

其中：Si是在路徑上第i個用戶結(jié)點(diǎn)的地址，l是路徑的長度，{X}K+i表示消息X被公鑰K+i遞歸加密，稱之為“加密洋蔥”。構(gòu)造完“加密洋蔥”后，發(fā)起者將其提交給路徑上的第一個用戶結(jié)點(diǎn)S1。每個路徑上的中間結(jié)點(diǎn)用戶i將用各自的私鑰把消息解密以獲得有效信息，包括下一跳的地址Si+1和傳遞給下一跳的加密消息。最后，消息到達(dá)路徑的最后結(jié)點(diǎn)，消息R被提交給目的地D。然后，中間結(jié)點(diǎn)用戶沿著相反的路徑依次傳遞來自D的任何響應(yīng)。

基于付費(fèi)方式激勵機(jī)制設(shè)計方案的本質(zhì)是把小額的虛擬數(shù)字現(xiàn)金付費(fèi)過程嵌入到匿名路徑的每一跳中。發(fā)起者確定一個在加密消息中為第i跳定義的付費(fèi)Ci。上述協(xié)議所提供的“源路由機(jī)制”(即由發(fā)起者確定匿名路徑)特別適合于付費(fèi)機(jī)制的集成，因?yàn)榘l(fā)起者能把付費(fèi)操作安全地嵌入到路徑中的每一跳中。為支持虛擬數(shù)字現(xiàn)金付費(fèi)機(jī)制，這里將匿名協(xié)議以兩種方式，即“在線付費(fèi)”和“離線付費(fèi)”方式加以描述。

2.1 在線支付協(xié)議

在線支付協(xié)議中，每個中間節(jié)點(diǎn)必須與特定的虛擬銀行聯(lián)系，以確認(rèn)支付的有效性。這決定所收到的虛擬數(shù)字現(xiàn)金付費(fèi)是否以前被用過。為了防止虛擬數(shù)字現(xiàn)金的重用，每個結(jié)點(diǎn)用戶在沿著相反的路徑返回任何響應(yīng)消息之前，應(yīng)該驗(yàn)證其支付的有效性。

為了防止中間結(jié)點(diǎn)接收支付而不提供服務(wù)，采用了確認(rèn)機(jī)制，只有在有效通訊量被完全地遞交之后才能付費(fèi)。給結(jié)點(diǎn) i的付費(fèi)由發(fā)起者產(chǎn)生的對稱密鑰加密，且只有結(jié)點(diǎn)i+1可以使用。當(dāng)接收一個消息時，結(jié)點(diǎn)i在確認(rèn)消息中給其前驅(qū)結(jié)點(diǎn)發(fā)送被加密的對稱密鑰，使得上一跳獲得相應(yīng)的支付。在接收到一個由其后繼結(jié)點(diǎn)發(fā)來的確認(rèn)消息時，結(jié)點(diǎn) i將密鑰及付費(fèi)Ci解密，然后與虛擬銀行聯(lián)系以驗(yàn)證付費(fèi)的有效性。

結(jié)點(diǎn)i收到的有效通訊量是：

其中：Ki-1是對稱密鑰，符號{X}K表示用對稱密鑰K來對消息X加密。

路徑上最后的結(jié)點(diǎn)用戶遞交未加密的請求R給目的地D。由于假定D不參與匿名協(xié)議，故付費(fèi)密鑰被提供給最終的結(jié)點(diǎn)用戶。因此，最終的有效通訊量為：

顯然，在這個協(xié)議中，發(fā)起者必須信賴路徑上最終的結(jié)點(diǎn)用戶能正確地將消息遞交給最終目的地。

2.2 離線支付協(xié)議

離線支付協(xié)議與在線支付協(xié)議的不同主要在于結(jié)點(diǎn)用戶與虛擬銀行虛擬銀行相互作用的方式。不像在線支付協(xié)議那樣每次接收支付都需與虛擬銀行發(fā)生作用，一個結(jié)點(diǎn)用戶可以積累付費(fèi)且能在以后成批地兌換。然而，使用離線虛擬數(shù)字現(xiàn)金時，檢測虛擬數(shù)字現(xiàn)金是否被重用需要收款方向付費(fèi)方發(fā)出“挑戰(zhàn)信息”。由于付費(fèi)方必須保持匿名，這里提供了相應(yīng)的機(jī)制來用于遞交“挑戰(zhàn)信息”——從中間結(jié)點(diǎn)沿著相反的路徑一直到發(fā)起者。挑戰(zhàn)被適當(dāng)?shù)丶用埽虼酥挥邪l(fā)起者可以讀取它們。

在給目的地D發(fā)送消息之后，最后的一跳產(chǎn)生一個消息，其包含一個加密的挑戰(zhàn){Q1}KL的消息，沿著逆向路徑將其遞交。用于加密挑戰(zhàn)的是對稱密鑰，其由發(fā)起者產(chǎn)生，用來對該結(jié)點(diǎn)的付費(fèi)進(jìn)行加密。當(dāng)這一消息被遞交給發(fā)起者時，逆向路徑的每個結(jié)點(diǎn)i附加其被加密的挑戰(zhàn){Qi}Ki，因此發(fā)起者接收消息，其包含來之所有中間結(jié)點(diǎn)且被加密的挑戰(zhàn)：{Ql}Kl{Ql-1}Kl-1…{Q1}K1。接收到帶有挑戰(zhàn)信息的消息之后，發(fā)起者將為每一跳構(gòu)造一個“加密洋蔥”，其包含每一跳的響應(yīng)Ri，當(dāng)路徑上的最后一跳接收到其響應(yīng)R1時，它將能給發(fā)送方遞交任何起源于目的地的響應(yīng)。路徑上的最后一跳將會立刻把這一消息傳送給目的地，但是需要把任何響應(yīng)放入緩沖區(qū)，直到從發(fā)起者收到R1。與在線支付協(xié)議一樣，離線支付協(xié)議也使用被加密的密鑰來加密所支付的虛擬數(shù)字現(xiàn)金，結(jié)點(diǎn)用戶為得到付費(fèi)必須發(fā)送請求。但其也有一些優(yōu)點(diǎn)：能減少與虛擬銀行過多的聯(lián)系，同時降低虛擬銀行打破系統(tǒng)匿名特性的可能性。

2.3 系統(tǒng)的性能和時延分析

很明顯，在匿名通訊系統(tǒng)中引入上述基于付費(fèi)方式的激勵機(jī)制將會增加系統(tǒng)的通訊和計算開銷，對系統(tǒng)的性能和時延有一些影響。這些額外開銷主要來源于系統(tǒng)在產(chǎn)生和傳遞所有消息過程所產(chǎn)生的額外通訊流量。在“在線付費(fèi)”協(xié)議中，要求路徑中的結(jié)點(diǎn)給予其前驅(qū)結(jié)點(diǎn)遞交一個確認(rèn)消息，解密付費(fèi)、聯(lián)絡(luò)虛擬銀行存入虛擬數(shù)字現(xiàn)金;然而在“離線付費(fèi)”協(xié)議中，一個結(jié)點(diǎn)用戶需產(chǎn)生一個挑戰(zhàn)并加密，然后把它回送給發(fā)起者，接收并檢驗(yàn)相應(yīng)的響應(yīng)消息，以后再聯(lián)系虛擬銀行。

假設(shè)系統(tǒng)計算資源是充足的，該轉(zhuǎn)換過程將決定額外的時延。尤其是在上述協(xié)議中，結(jié)點(diǎn)與虛擬銀行、結(jié)點(diǎn)與發(fā)起者之間的事務(wù)處理決定額外時延的程度。然而，這兩種事務(wù)處理可以與等待來自目的地的“響應(yīng)消息”并發(fā)執(zhí)行，從而掩蓋了其產(chǎn)生的實(shí)際延時，因此，用戶所感知的時延是很小的。

為“發(fā)起者”頒發(fā)虛擬數(shù)字現(xiàn)金一定會與虛擬銀行發(fā)生關(guān)系，而且發(fā)布匿名的虛擬數(shù)字現(xiàn)金付費(fèi)要求處理和交換消息，故虛擬數(shù)字現(xiàn)金的使用也會增加一些系統(tǒng)開銷。為了減輕這種時延，結(jié)點(diǎn)用戶在建立他們自己的匿名通訊之前應(yīng)該預(yù)先批量購買虛擬數(shù)字現(xiàn)金。

3 基于付費(fèi)方式激勵機(jī)制模型

在匿名通訊系統(tǒng)中，用戶必須給消息傳遞路徑上的每一跳嵌入一個數(shù)量為Q的虛擬數(shù)字現(xiàn)金。為簡單起見，假設(shè)系統(tǒng)中所有路徑都有一個固定長度L，那么發(fā)送信息的總費(fèi)用是LQ，讓n表示系統(tǒng)的用戶總數(shù)，假設(shè)用戶i(1≤i≤n)以固定費(fèi)率產(chǎn)生消息，必須通過系統(tǒng)匿名傳輸。為了匿名地發(fā)送該消息，結(jié)點(diǎn)用戶必須在一個最小時間s內(nèi)加入系統(tǒng)，其間假設(shè)該結(jié)點(diǎn)用戶必須為其他人傳遞消息來進(jìn)行協(xié)作。

每個用戶i必須優(yōu)化兩個變量，即協(xié)作等級Ci和通過系統(tǒng)發(fā)送消息所付的外部資金量Qi，s表示系統(tǒng)發(fā)送匿名消息所需的時間，因此某一用戶為滿足自己的需要加入到系統(tǒng)的最小時間為s。s小于1/，假設(shè) s更小，那么，作為用戶加入到系統(tǒng)的最小時間的協(xié)作等級Ci則在［s，1 ］范圍內(nèi)取值。假設(shè)用戶接收到服務(wù)后就開始協(xié)作，那么Ci必不等于零，且通過系統(tǒng)發(fā)送消息的總開銷不超過LQ。

當(dāng)用戶加入匿名系統(tǒng)以傳送其他結(jié)點(diǎn)產(chǎn)生的消息時，便積累虛擬數(shù)字現(xiàn)金總收入。假設(shè)用戶有必要發(fā)送所有生成的匿名消息，那么由用戶i注入到系統(tǒng)的虛擬數(shù)字現(xiàn)金是LQ。假設(shè)匿名系統(tǒng)中的結(jié)點(diǎn)均由發(fā)起者隨機(jī)選定，那么某用戶以傳遞消息的方式積累的虛擬數(shù)字現(xiàn)金數(shù)量等于所有用戶注入系統(tǒng)的虛擬數(shù)字現(xiàn)金總量除以加入到系統(tǒng)的用戶平均數(shù)。用表示加入到匿名系統(tǒng)的用戶i所獲取的虛擬數(shù)字現(xiàn)金，那么

因?yàn)楫?dāng)用戶加入到系統(tǒng)時只會積累虛擬數(shù)字現(xiàn)金收入，因此其累積收入的長期費(fèi)用是Ci。發(fā)送一條消息時，虛擬數(shù)字現(xiàn)金收入總值是LQ，用戶 i將向系統(tǒng)提供來自外部的資金Pi，LQ-Pi的余額則必定被系統(tǒng)的其他為系統(tǒng)提供服務(wù)的用戶所收集。如果用戶還沒有收集到此余額，則其不得不為其他用戶提供服務(wù)，以積累必要的資金。因此在他自己的消息發(fā)送之前有一個等待時間，此等待時間的平均值用W(Pi，Ci)表示。如果某用戶愿意全額支付用以發(fā)送其每條匿名消息的現(xiàn)金 (Pi=LQ)，那么其等待時間是零;同樣，某結(jié)點(diǎn)用戶永久的加入到匿名系統(tǒng)中(Ci=1)，那么他就有一個相對低的信息發(fā)送費(fèi)率(很小)。即使你不愿意支付(Pi=0)，其等待時間也接近零。為使每個用戶加入匿名系統(tǒng)的加權(quán)費(fèi)用總額最小，必須對其進(jìn)行局部最優(yōu)化處理。尤其考慮如下三種開銷。

協(xié)作等級：假設(shè)用戶因?yàn)閰⒓酉到y(tǒng)協(xié)作而發(fā)生一些開銷，包括為傳遞其他用戶的消息所需的本地資源、承擔(dān)長久加入的匿名系統(tǒng)所增長的安全風(fēng)險等等。因?yàn)檫@些開銷很難量化，我們將其簡化為變量Ci的線性函數(shù)。

網(wǎng)絡(luò)現(xiàn)金流量：用戶通過系統(tǒng)發(fā)送匿名信息時，存在與其所付費(fèi)相關(guān)的開銷。因?yàn)橛脩艏雀顿M(fèi)又收錢，每個用戶都有一個網(wǎng)絡(luò)虛擬資金流量，用Pi-Ci表示，我們把它作為費(fèi)用處理。如果用戶接收貨幣數(shù)量超過付費(fèi)，網(wǎng)絡(luò)資金流量則取負(fù)值。

平均等待時間：因?yàn)橛脩魧ρ訒r也較敏感，故還存在一種與發(fā)送消息的等待時間W(Pi，Ci)相關(guān)的開銷，平均等待時間的分析表達(dá)式由多方面決定，這里給出了一個記錄系統(tǒng)中用戶的行為排隊(duì)模型。

用戶發(fā)送自己的匿名消息前的等待時間可用漏桶模型描述，如圖1所示，其能表示用戶產(chǎn)生的匿名信息和積累的收入總量間的相互作用。該漏桶模型由兩個獨(dú)立的隊(duì)列組成，他們分別用于存儲消息和虛擬現(xiàn)金收入。當(dāng)消息到達(dá)空的消息隊(duì)列且現(xiàn)金收入隊(duì)列中的現(xiàn)金可用時，消息立刻發(fā)送出去且消耗一個單位的現(xiàn)金信令。

圖1 等待時間的漏桶模型

如果當(dāng)消息到達(dá)時沒有現(xiàn)金信令可用，他必須等待直到積累到足夠的現(xiàn)金信令，然后把消息發(fā)送出去。消息和現(xiàn)金信令都按固定的比例產(chǎn)生，在此，匿名消息以比率生成，現(xiàn)金信令直接映射為用戶所積累產(chǎn)生的收入，主要由其自己所支付現(xiàn)金量和所加入的系統(tǒng)產(chǎn)生。用戶積累收入的總比率為其確定了發(fā)送一條匿名消息所要的開銷額。研究表明，用戶i發(fā)送一條匿名消息的等待時間為：

以上漏桶模型保持穩(wěn)定的必要條件是現(xiàn)金信令的到達(dá)率要高于消息的到達(dá)率，否則就意味著用戶不能發(fā)送他的所有消息。本方案期望不同用戶關(guān)于上述開銷有著不同的敏感性。例如，有的用戶可能對發(fā)送匿名消息需付費(fèi)非常敏感，而其它用戶卻對等待時間敏感。為了考慮到用戶的差異性，可在開銷中為不同的用戶分配不同的權(quán)重 αi、βi和 γi等。那么，用戶i局部最優(yōu)化表達(dá)式為：

約束條件為：

4 對模型的定性分析

為了使上述數(shù)學(xué)模型更易實(shí)施，把系統(tǒng)中所有用戶進(jìn)行分類(用M表示)，具有相同行為特征的用戶分為一類(注意以下的i表示一類用戶而不是一個用戶)，假設(shè)每類有相同數(shù)量的用戶，且每類中的用戶的數(shù)量足夠大，以至能粗約估計而不受某個別特殊用戶的影響。這樣，所有用戶以相同比率λc從系統(tǒng)中積累總收入。通過使用數(shù)值分析法，可以依次解決每類中的局部最優(yōu)化問題，從而決定了系統(tǒng)的均衡。

這里考慮兩類用戶，即M=2，第一類用戶對付費(fèi)很敏感而對等待時間很遲鈍，意味著外部資金的支付比獲得服務(wù)所需的等待或保持加入到系統(tǒng)中具有有更大價值。通過調(diào)節(jié)權(quán)重值來平衡不同的開銷，以模擬其行為。權(quán)重值大的表明了強(qiáng)烈的敏感性。第二類用戶相反，對等待時間敏感而對付費(fèi)相對遲鈍，更愿意為其獲得的服務(wù)付費(fèi)。在下面分析研究中，假定兩類用戶對加入到系統(tǒng)都同樣敏感。利用這兩組分類，通過優(yōu)化選擇為每條消息所支付的價格和協(xié)作等級，可以研究在不同的匿名消息需求下，系統(tǒng)均衡會有何不同。

對于第二類用戶(對等待時間敏感而對付費(fèi)不敏感)，經(jīng)常用全價(P=LQ=1)發(fā)送他們的消息，與其產(chǎn)生的需求無關(guān)。相反，對第一類用戶，只有當(dāng)其產(chǎn)生的消息達(dá)到某一值時才愿意付費(fèi)。

與系統(tǒng)保持100%連接而與需求數(shù)無關(guān)的第一類用戶相反，第二類用戶用40% 的時間連接系統(tǒng)。第二類結(jié)點(diǎn)用戶對為獲得服務(wù)而必須付費(fèi)有不可忽視的敏感性，用戶用連接到系統(tǒng)為其他人提供服務(wù)來重新獲得部分開銷。

通過鼓勵對價格敏感的結(jié)點(diǎn)用戶(很有可能是“順風(fēng)車乘客”，其對付費(fèi)很敏感)保持連接到系統(tǒng)中，使得其能免費(fèi)獲得服務(wù)并獲得收益。當(dāng)發(fā)送消息的需求很低時，兩類都付全價，因?yàn)椴皇敲款惗伎梢詮南到y(tǒng)收集足夠的收入來滿足自己的需求。隨著需求的增加，最終第一類用戶利用第二類用戶愿意為其提供服務(wù)而降低了付費(fèi)。隨著需求的進(jìn)一步提高，第一、二類用戶同時降低自己的付費(fèi)，且增加了連接到系統(tǒng)的時間。兩類用戶均100% 連接到系統(tǒng)，為自己的消息發(fā)送積累收入。

以上的定性分析結(jié)果表明：引入付費(fèi)式激勵機(jī)制的匿名通訊系統(tǒng)比其它系統(tǒng)更能有效抑制“順風(fēng)車乘客”行為，具有更高的協(xié)作等級，進(jìn)而改善系統(tǒng)用戶的匿名身份特性。

5 結(jié)束語

為了有效地提高“點(diǎn)對點(diǎn)”匿名通訊協(xié)議系統(tǒng)中用戶的協(xié)作等級，描述了一個基于付費(fèi)方式的匿名通訊激勵機(jī)制;給出了基于虛擬數(shù)字現(xiàn)金的“在線付費(fèi)”和“離線支付”兩種協(xié)議結(jié)構(gòu);在保證消息延遲適當(dāng)和結(jié)構(gòu)簡潔的前提下，把這個技術(shù)合并到點(diǎn)對點(diǎn)的匿名協(xié)議中，并用公式表達(dá)了一個基于付費(fèi)方式促進(jìn)匿名協(xié)議協(xié)作的抽象模型。通過對該模型進(jìn)行定性分析，結(jié)果表明：引入付費(fèi)式激勵機(jī)制的匿名通訊系統(tǒng)能有效抑制“順風(fēng)車乘客”行為，具有更高的協(xié)作等級，進(jìn)而改善系統(tǒng)用戶的匿名身份特性。

［1］ Michael J Freedman，Robert Morris，Tarzan.A peer-to-peer anonymizing network layer［C］//In Proceeding of the 9th ACM Conference on Computer and Communications Security(CCS 2002).Cali：IEEE Computer Society，2002：24-31.

［2］ Steve Kremer， Olivier Markowitch， Jianying Zhou.An intensive survey of non-repudiation protocols ［J］. Computer Communications，2002，25(17)，362-372.

［3］ Daniel R Figueiredo，Jonathan K Shapiro，Don Towsley.Using Payments to Promote Cooperation in Anonymity Protocols［EB/OL］.(2003-09-23).ftp：//www-net.cs.umass.edu/pub/A-non_Incentive_03-31.p.