吳振強，廖雪寧，周異輝

（陜西師范大學(xué) 計算機科學(xué)學(xué)院，陜西 西安 710119）

近年來，計算機網(wǎng)絡(luò)在規(guī)模上呈現(xiàn)驚人的擴張趨勢，網(wǎng)絡(luò)的接入方式和角色定位都出現(xiàn)了一系列創(chuàng)新與改革，網(wǎng)絡(luò)體系結(jié)構(gòu)也從TCP/IP模式向以信息為中心的模式進行轉(zhuǎn)換.然而，不管網(wǎng)絡(luò)交互模式發(fā)生怎樣的變化，解決安全與用戶隱私保護問題依然是網(wǎng)絡(luò)研究的重中之重.比利時魯汶大學(xué)的一項民意檢測結(jié)果表明，用戶在使用網(wǎng)絡(luò)時最大的擔(dān)憂是自身的隱私信息遭到泄露［1］.由于網(wǎng)絡(luò)中的攻擊方式多種多樣，防不勝防，有些攻擊者甚至可以在用戶毫無察覺的情況下竊取用戶的隱私信息，從而導(dǎo)致隱私泄露事件頻繁發(fā)生，如Google眼鏡事件，攜程旅行網(wǎng)的信用卡信息泄露事件，以及2013年6月發(fā)生在美國的斯諾登事件等，均顯示了隱私保護的重要性.然而，在所有的網(wǎng)絡(luò)攻擊方式中，被動竊聽攻擊是對網(wǎng)絡(luò)安全和隱私保護危害最大的攻擊方式之一.美國棱鏡計劃就是通過信息竊聽等方式對用戶的隱私信息進行竊取.網(wǎng)絡(luò)中的APT（Advanced Persistent Threat）攻擊能夠通過長時間竊聽得到有用信息進行網(wǎng)絡(luò)攻擊.被動竊聽中的流量分析攻擊可以對竊聽數(shù)據(jù)包的內(nèi)容相關(guān)性、數(shù)據(jù)包大小相關(guān)性和到達時間相關(guān)性等進行分析，從而得到與通信雙方位置和身份有關(guān)的信息.

傳統(tǒng)密碼學(xué)方法雖然可以對通信過程中的消息內(nèi)容進行保護，卻不能隱藏通信雙方的位置信息以及通信的模式.流量分析攻擊者不僅能夠通過分析竊聽到的數(shù)據(jù)包，從而得到與通信實體隱私有關(guān)的信息，還可以對網(wǎng)絡(luò)中通過節(jié)點的流量進行監(jiān)聽，從而確定某些特殊節(jié)點的位置.對于某個在網(wǎng)絡(luò)中接收或發(fā)送大量信息的節(jié)點來說，攻擊者僅通過節(jié)點的流量大小就可以判斷該節(jié)點是否足夠活躍.這種方法一旦使用在軍事攻擊上，則指揮所的位置可能會暴露.另外，傳統(tǒng)匿名是基于密鑰基礎(chǔ)設(shè)施的，且部分方案需要通信雙方有共同信任的第三方參與，尤其是許多方案是針對靜態(tài)網(wǎng)絡(luò)拓撲結(jié)構(gòu)的，這些前提條件都無法適應(yīng)移動通信的場景需求.尤其是隨著目前移動互聯(lián)網(wǎng)、云計算等新型應(yīng)用模式的發(fā)展，信息的交互方式已從傳統(tǒng)的端到端通信轉(zhuǎn)變?yōu)樵朴嬎阒行幕蚰硞€大型門戶網(wǎng)站的數(shù)據(jù)中心進行交互的方式，所有的用戶實質(zhì)都是與數(shù)據(jù)中心進行交互，如Facebook、Twitter、微博、QQ等.在這種交互方式下，傳統(tǒng)的隱私保護方法遇到了新的問題.

網(wǎng)絡(luò)編碼的提出改變了傳統(tǒng)匿名通信的思路.隨機網(wǎng)絡(luò)編碼更是讓網(wǎng)絡(luò)編碼從理論走向了實際應(yīng)用，它不僅適用于有線網(wǎng)絡(luò)，還適用于拓撲結(jié)構(gòu)動態(tài)變化的無線網(wǎng)絡(luò).網(wǎng)絡(luò)編碼本身具有混淆的特性，在沒有密鑰機制參與的情況下，只通過簡單的編碼組合就能夠自然地對消息內(nèi)容進行隱藏.因此，利用網(wǎng)絡(luò)編碼就可以在無密碼或者輕量級密碼的條件下實現(xiàn)通信過程中消息內(nèi)容的保密性.另外，一般線性網(wǎng)絡(luò)編碼方法中要求數(shù)據(jù)包大小相同，中間節(jié)點對于接收到的數(shù)據(jù)包要先緩存，然后再進行編碼、轉(zhuǎn)發(fā).因此，網(wǎng)絡(luò)編碼在防止流量分析攻擊方面有很大的應(yīng)用空間.對于APT攻擊和其他被動攻擊方法，網(wǎng)絡(luò)編碼可以通過多路徑的方式對信息進行分散傳輸，則攻擊者通過收集和分析竊聽到的消息來得到與用戶隱私相關(guān)數(shù)據(jù)的難度增大.

網(wǎng)絡(luò)編碼不僅能夠抵御流量分析攻擊和APT攻擊，而且在提升網(wǎng)絡(luò)吞吐量，均衡負載，降低系統(tǒng)能耗和增強網(wǎng)絡(luò)安全性、匿名性以及可靠性方面有很廣闊的應(yīng)用前景.在抗險救災(zāi)等需要快速組網(wǎng)的場景中，網(wǎng)絡(luò)編碼可以使網(wǎng)絡(luò)保持良好的魯棒性，增強網(wǎng)絡(luò)的抗毀能力和恢復(fù)能力.

1 網(wǎng)絡(luò)編碼的技術(shù)原理

文獻［2］首次提出了網(wǎng)絡(luò)編碼的概念，其核心思想是融合編碼與路由的概念，參與網(wǎng)絡(luò)通信的節(jié)點（路由器）不僅具備傳統(tǒng)的存儲轉(zhuǎn)發(fā)功能，而且能夠?qū)邮盏降南⑦M行處理，然后再轉(zhuǎn)發(fā)出去，目標節(jié)點通過解碼能夠恢復(fù)得到源節(jié)點發(fā)送的信息；它具有“混合魔力”［3］，不需要加密過程就可以完成對消息內(nèi)容的隱藏.最初，網(wǎng)絡(luò)編碼的提出是用來提高組播網(wǎng)絡(luò)的吞吐量.圖1和圖2是著名的“蝶形網(wǎng)絡(luò)”，假設(shè)鏈路的容量為1，源節(jié)點S要將a、b兩個消息發(fā)送給目的節(jié)點D1和D2.若采用傳統(tǒng)的存儲轉(zhuǎn)發(fā)技術(shù)，如圖1所示，a、b沿著不同的道路發(fā)往目的節(jié)點，兩個目的節(jié)點可以分別直接獲得數(shù)據(jù)a和b.然而，要使得兩個目的節(jié)點獲得a和b兩個消息，由于鏈路容量為1，在中間的共享鏈路上就需要一個單位的排隊時間，然后才能將a或b發(fā)送給目的節(jié)點.因此，網(wǎng)絡(luò)的吞吐量為每單位時間1.5bits.

圖1 傳統(tǒng)存儲轉(zhuǎn)發(fā)Fig.1 Traditional store-and-forward

圖2 網(wǎng)絡(luò)編碼Fig.2 Network coding

若采用網(wǎng)絡(luò)編碼方式，如圖2所示.在中間的共享鏈路上，中間節(jié)點可以對a和b進行編碼運算，然后將運算后的結(jié)果發(fā)送出去.目的節(jié)點D1根據(jù)接收到的消息a和axorb就能夠得到a和b兩個消息，目的節(jié)點D2可以根據(jù)接收到的消息b和axorb同樣得到a和b兩個消息.由于在共享鏈路上a和b兩個消息的傳輸不需要排隊等候時間，因此每個節(jié)點均可以在單位時間內(nèi)收到2bits的信息.相較于圖1的傳統(tǒng)存儲轉(zhuǎn)發(fā)技術(shù)，可以看出網(wǎng)絡(luò)編碼能夠提高網(wǎng)絡(luò)的吞吐量.

由于其特殊的性質(zhì)和潛能，許多研究人員在網(wǎng)絡(luò)編碼的分類、編碼矩陣的構(gòu)造算法、優(yōu)化和應(yīng)用等方面進行了大量研究.

（1）網(wǎng)絡(luò)編碼的分類.根據(jù)編碼方式可分為線性網(wǎng)絡(luò)編碼［4］和非線性網(wǎng)絡(luò)編碼；按照編碼系數(shù)選取方式可分為確定網(wǎng)絡(luò)編碼和隨機網(wǎng)絡(luò)編碼［5］；根據(jù)分代方式可分為代內(nèi)（Intra-session）網(wǎng)絡(luò)編碼和代間（Inter-session）網(wǎng)絡(luò)編碼［6］.采用分代技術(shù)的主要原因是:1）傳統(tǒng)高斯消元法的譯碼時間復(fù)雜度隨著原始數(shù)據(jù)分塊的增大呈立方級增大；2）能成功解碼出原始消息的前提是收到可用編碼數(shù)據(jù)包的個數(shù)要大于等于每一代中消息的個數(shù).若原始數(shù)據(jù)分塊太小，個數(shù)太多，則同樣會增加譯碼時間，不能滿足視頻等實時傳輸?shù)男枨?采用分代技術(shù)可以將原始數(shù)據(jù)分塊控制在一個合適的范圍內(nèi)，從而減小譯碼時間.除了以上幾種分類方法，網(wǎng)絡(luò)編碼還可以分為多級網(wǎng)絡(luò)編碼［7－8］和部分網(wǎng)絡(luò)編碼［9］等.其中，多級網(wǎng)絡(luò)編碼的目的是為節(jié)點提供一定程度的編/解碼優(yōu)先級，部分網(wǎng)絡(luò)編碼則旨在解決中間節(jié)點緩存數(shù)據(jù)的超時過期問題.

（2）網(wǎng)絡(luò)編碼構(gòu)造算法.網(wǎng)絡(luò)編碼構(gòu)造算法主要有三種:多項式時間算法［10］、指數(shù)時間算法［11］和貪心算法［4］，且相較于指數(shù)時間算法和貪心算法，多項式時間算法的復(fù)雜度較低，因此它的應(yīng)用比較廣泛.

（3）網(wǎng)絡(luò)編碼優(yōu)化.在網(wǎng)絡(luò)編碼優(yōu)化的研究中考慮的幾個主要因素包括編碼矩陣的構(gòu)造和有限域大小等.文獻［12］提出了一種簡單網(wǎng)絡(luò)的最小代價編碼方案，文獻［13］提出了一種基于信息流分解的網(wǎng)絡(luò)優(yōu)化模型.

（4）網(wǎng)絡(luò)編碼應(yīng)用.首個實用的網(wǎng)絡(luò)編碼方案是在文獻［14］中提出的.方案中局部編碼向量（Local Encoding Vector）由中間節(jié)點在本地生成，且與編碼數(shù)據(jù)包一同發(fā)送給目的節(jié)點.信宿節(jié)點接收到編碼數(shù)據(jù)包后，通過解碼獲得源節(jié)點發(fā)送的消息內(nèi)容，從而增強了信息傳輸過程的安全性.另外，網(wǎng)絡(luò)編碼在無線自組織網(wǎng)絡(luò)［15］、無線傳感器網(wǎng)絡(luò)［16］和無線網(wǎng)狀網(wǎng)［17］中也有較好的應(yīng)用.

2 傳統(tǒng)匿名通信技術(shù)

最早的匿名通信技術(shù)是在文獻［19］中提出的.核心思想是通過多個混淆器對數(shù)據(jù)進行轉(zhuǎn)發(fā)來實現(xiàn)匿名通信.但是，由于非對稱加密機制的采用，且節(jié)點對于接收到的數(shù)據(jù)包要等待一段時間才進行轉(zhuǎn)發(fā)，因此能夠有效阻止流量分析攻擊.系統(tǒng)中每個數(shù)據(jù)包發(fā)送的時間增加，因而會導(dǎo)致通信時延的增加.

在Mix技術(shù)之后，多種匿名通信技術(shù)相繼出現(xiàn).常見有:洋蔥路由（Onion Routing）、第二代洋蔥路由（Tor）、DC-Net、Crowds、MorphMix、Tarzan和Anonymizer.這些技術(shù)涉及的思想主要有:廣播、代理、洋蔥路由和包混淆等.

洋蔥路由［20］采用公鑰加密和嵌套機制的思想.節(jié)點的下一跳地址被封裝在加密結(jié)構(gòu)中，且路徑上的任意節(jié)點通過解密僅可獲知自己的下一跳地址.它可以抵御竊聽和流量分析攻擊，且能夠滿足實時性的要求.但是，由于洋蔥路由基于密鑰基礎(chǔ)設(shè)施，因此系統(tǒng)具有較高的復(fù)雜性.另外，公鑰加密的計算代價較大會導(dǎo)致通信時延增加.

第二代洋蔥路由［21］主要是為了減小洋蔥路由中的加密代價，信源與路徑上各節(jié)點的密鑰協(xié)商借助Deffie-Hellman協(xié)議來完成，并在密鑰協(xié)商的同時完成建路信息的發(fā)送.但系統(tǒng)的密鑰管理開銷會很高，因此通信時延和計算復(fù)雜度也較高.

DC-Net［22］采用廣播的思想，系統(tǒng)的每次運行中，通信參與者都向系統(tǒng)中的每個成員廣播一個報文，接收者對接收到的報文進行解碼運算就可以得到廣播消息的內(nèi)容.該系統(tǒng)在時延和通信量方面不會帶來額外的開銷，但是無法實現(xiàn)接收者匿名，且無法抵御DoS攻擊.

Crowds［23］是一個針對對等網(wǎng)絡(luò)的匿名通信系統(tǒng).系統(tǒng)采用下一跳路由的方式，數(shù)據(jù)傳輸路徑上的每個節(jié)點均掌握接收方的信息.建路的過程中無需密鑰的參與，中間節(jié)點以一定的概率來決定轉(zhuǎn)發(fā)給下一跳節(jié)點還是發(fā)送給接收者.但由于參與通信的節(jié)點均掌握目的節(jié)點的信息，因此系統(tǒng)不能保證目的節(jié)點的匿名性.

Tarzan［24］也是針對對等網(wǎng)絡(luò)的匿名通信系統(tǒng).系統(tǒng)中的所有節(jié)點均可以承擔(dān)發(fā)送和轉(zhuǎn)發(fā)消息的角色.另外，由于系統(tǒng)中的每個數(shù)據(jù)包都會被打上記號，因此也可以防止重放攻擊和DoS攻擊，但是系統(tǒng)的復(fù)雜度相對較高.

MorphMix［25］與洋蔥路由的思想相同，它是針對對等網(wǎng)絡(luò)設(shè)計的.系統(tǒng)中的任何節(jié)點進出系統(tǒng)的選擇沒有限制，且系統(tǒng)不采用覆蓋流的方法，網(wǎng)絡(luò)帶寬和負載較低，缺點是無法防止DoS攻擊.

Anonymizer［26］旨在實現(xiàn)用戶訪問 Web時的匿名性.系統(tǒng)基于代理的思想，在客戶端和服務(wù)器之間加入一個代理服務(wù)器.用戶需要訪問網(wǎng)絡(luò)時先將請求發(fā)送給Anonymizer，Anonymizer將報文中與用戶有關(guān)的地址信息等從瀏覽器請求中去掉，然后再將其發(fā)送給Web服務(wù)器.這樣，Web服務(wù)器只能看到代理服務(wù)器的地址而看不到用戶的真實地址.但該系統(tǒng)的缺點是過分依賴于代理服務(wù)器，若代理服務(wù)器遭到攻擊，則信息的安全性將不能保證.

在傳統(tǒng)的匿名通信方法中，應(yīng)用層主要是以內(nèi)容保護為主，主要采用加密、內(nèi)容混淆或偽名等方法，屬于靜態(tài)保護，如Anonymizer.傳輸層主要通過鏈路加密的方法保護收發(fā)雙方的身份信息，且加密方法給攻擊者提供了穩(wěn)、準、狠的攻擊效果.網(wǎng)絡(luò)層主要是通過逐層的鏈路加密，使得攻擊者只能推知消息的前驅(qū)和后繼節(jié)點，而無法再了解其他節(jié)點的信息.這種方法可以有效地保護消息的內(nèi)容，還可以保護消息的信源和信宿節(jié)點，例如洋蔥路由和第二代洋蔥路由技術(shù)，但該種方案只適合靜態(tài)拓撲結(jié)構(gòu)的網(wǎng)絡(luò).另外，加密混淆機制要求所有節(jié)點在同一個集合中，且基于密鑰基礎(chǔ)設(shè)施的方案效率低下，在保密鏈路的建立期間需要逐級協(xié)商密鑰，時延較大，無法適合動態(tài)的移動網(wǎng)絡(luò).

3 網(wǎng)絡(luò)編碼匿名通信方法

網(wǎng)絡(luò)編碼為缺乏動態(tài)基礎(chǔ)設(shè)施的移動互聯(lián)網(wǎng)和數(shù)據(jù)中心網(wǎng)絡(luò)等的匿名通信需求提供了新的思路.利用網(wǎng)絡(luò)編碼實現(xiàn)匿名通信的目標是:1）發(fā)送方和接收方身份的匿名性；2）數(shù)據(jù)傳輸路徑的匿名性.為達到以上兩個目標，在利用網(wǎng)絡(luò)編碼實現(xiàn)匿名通信的研究中，除了從路由協(xié)議考慮對數(shù)據(jù)傳輸路徑信息進行保護外，還要對全局編碼向量之間的線性關(guān)系進行保護.這是由于在網(wǎng)絡(luò)編碼方法的使用過程中，每個編碼后的數(shù)據(jù)包均與一個GEV（Global Encoding Vector）相關(guān)聯(lián).這些編碼向量來自于生成該編碼消息的編碼系數(shù).若給定編碼方式，則中間節(jié)點的GEVs之間的對應(yīng)關(guān)系可能會泄露數(shù)據(jù)傳輸路徑的信息.因此，網(wǎng)絡(luò)編碼混淆主要是從匿名路由協(xié)議的設(shè)計和全局編碼向量之間的隱藏這兩個層面來實現(xiàn)匿名通信.

3.1 匿名路由協(xié)議設(shè)計方法分析

基于網(wǎng)絡(luò)編碼來實現(xiàn)匿名通信的研究中，匿名路由協(xié)議設(shè)計采用的方法主要有:數(shù)據(jù)加密、多路徑和信息分片.

要對數(shù)據(jù)傳輸?shù)穆窂叫畔⑦M行保護，一個解決方案是使用密碼學(xué)的方法，直接對所要保護的信息進行加密.這一方法在傳統(tǒng)匿名通信的研究中被普遍采用，如第2節(jié)的洋蔥路由、第二代洋蔥路由和MorphMix等.然而，這些協(xié)議的復(fù)雜度都相對較高.為了降低匿名路由協(xié)議的復(fù)雜性，提出了多路徑和信息分片［15－16］的概念，從而避免了加密體制的限制，高效地實現(xiàn)數(shù)據(jù)傳輸路徑的匿名.

多路徑是指在通信的過程中信息會沿著不同的路徑傳輸?shù)侥康墓?jié)點，而不是只沿一條路徑，如圖3和圖4所示.信息分片是指在數(shù)據(jù)傳輸之前先對其進行分組，然后將分組后的消息發(fā)送出去，如圖4所示.假設(shè)原始消息為I，發(fā)送消息之前，源節(jié)點S先將I分成d組:I1、I2、…、Id，然后再將這d組消息沿著不同的路徑發(fā)送出去.

圖3 單一路徑傳輸模式Fig.3 One-path transmission mode

圖4 多路徑傳輸模式Fig.4 Multi-path transmission mode

基于多路徑和信息分片的方法，再結(jié)合網(wǎng)絡(luò)編碼的思想，提出了多種匿名通信的方案［27－30］.筆者的團隊在2011年提出了一種基于網(wǎng)絡(luò)編碼的匿名通信模型［27］.該模型通過網(wǎng)絡(luò)編碼、數(shù)據(jù)分片以及多路徑方法的采用來改變信息的表現(xiàn)形式并隱藏數(shù)據(jù)包之間的關(guān)聯(lián)關(guān)系，從而提高匿名通信的抗攻擊能力.由于網(wǎng)絡(luò)編碼模型不采用密鑰機制，因此可以以較低的復(fù)雜性實現(xiàn)數(shù)據(jù)傳輸?shù)哪涿?

同樣的目的，Katti等人提出了一種無PKI的匿名路由協(xié)議［28－29］.該方案結(jié)合數(shù)據(jù)分片和源路由的方式，在信息傳輸之前節(jié)點首先對路由信息和密鑰信息進行分片，然后將其沿著不同的路徑發(fā)送給所有中間節(jié)點.方案的主要思想是，假設(shè)源節(jié)點S要發(fā)送給節(jié)點X的信息為m，可逆矩陣A＝（A1，A2，…，Ad）.消息傳輸之前，S先將m分成d組:m1、m2、…、md，設(shè)矩陣M＝（m1，m2，…，md），然后對M做變換I＊＝MA，變換后的消息為I＊＝（I＊1，I＊2，…，I＊d）.接著，S將變換后的消息連同變換矩陣的信息沿著不同的路徑發(fā)送給節(jié)點X，如圖5所示.

圖5 數(shù)據(jù)傳輸過程Fig.5 Process of data transmission

在此思想的基礎(chǔ)上，匿名路徑的建立過程如圖6所示［28－29］.其中，XH、XL、YH、YL、ZH、ZL、RH、RL分別表示節(jié)點X、Y、Z兩部分路由信息片.randH為隨機系數(shù).源節(jié)點S將路由信息傳輸給下一跳節(jié)點之前，首先對X、Y、Z的路由信息分片，分片后的信息分別為XH、XL、YH、YL、ZH、ZL、RH、RL.然后，S利用隨機系數(shù)對分片后的信息進行編碼，最后將編碼后的路由信息｛ZH，RH｝｛YH，XH｝｛randH｝等連同隨機系數(shù)一起沿著不同的路徑發(fā)送給下一跳節(jié)點.下一跳節(jié)點收到消息并進行解碼后，再將消息沿著不同的路徑發(fā)送給自己下一跳節(jié)點，直到消息到達目的節(jié)點為止.這樣，路徑上的每一個節(jié)點僅知道自己上一跳和下一跳節(jié)點的信息，而不知道其他節(jié)點的信息，從而保證路徑信息的匿名性.

圖6 匿名路徑建立過程Fig.6 Process of establishing the anonymous path

然而，在Katti等人的方案中，消息只在源節(jié)點進行編碼，中間節(jié)點只進行存儲和轉(zhuǎn)發(fā).若中間線路上存在合謀攻擊，且惡意節(jié)點根據(jù)自己的信息能夠還原出隨機系數(shù)rand，則數(shù)據(jù)傳輸?shù)穆窂叫畔獾叫孤?因此，方案的抗合謀攻擊能力比較弱.

文獻［30］對Katti等人的方案做了進一步研究，提出了一種基于多路徑網(wǎng)絡(luò)編碼的匿名通信機制.該機制中同樣采用信息分片和多路徑的方法.但與Katti等人方案不同的是，傳輸路徑上的所有節(jié)點都對收到的信息進行再次編碼.由于所有的中間節(jié)點都會參與編碼，因此相較于Katti等人的方案，文獻［30］的方案中惡意節(jié)點想要獲得所有的編碼系數(shù)從而恢復(fù)出編碼矩陣的難度增大，且隨著路徑上節(jié)點的增多，惡意節(jié)點獲得編碼矩陣的難度也隨之增大.因此，該方案能夠提供更高的抗合謀攻擊能力.

除了各自的優(yōu)點以外，以上所有方案有一個共同的缺點，即均針對單信源－單信宿的網(wǎng)絡(luò)，源節(jié)點和目的節(jié)點的匿名性無法很好地保證.雖然方案中采取了一定的措施（尋找代理節(jié)點），但是信源節(jié)點的下一跳節(jié)點或信宿節(jié)點的上一跳節(jié)點如果是惡意節(jié)點，則無法保證信源節(jié)點和信宿節(jié)點的匿名性.

3.2 全局編碼向量隱藏技術(shù)

有了匿名路由協(xié)議，就可以保證數(shù)據(jù)傳輸路徑的匿名性.然而，在利用網(wǎng)絡(luò)編碼實現(xiàn)匿名通信的過程中，GEVs之間的線性關(guān)系有時也會泄露數(shù)據(jù)傳輸?shù)穆窂叫畔?這是由于數(shù)據(jù)傳輸過程中，每個編碼后的數(shù)據(jù)包都與一個GEV相關(guān)聯(lián).若不對全局編碼向量的內(nèi)容做任何保護，則攻擊者就可以根據(jù)某一節(jié)點的GEVs之間是否存在關(guān)聯(lián)關(guān)系推斷出數(shù)據(jù)的傳輸路徑信息.因此，需要對全局編碼向量的線性關(guān)系進行保護.目前，這一方面的研究所采用的主要方法有:加密函數(shù)和向量空間混淆.

在運用加密函數(shù)對全局編碼向量之間的線性關(guān)系進行隱藏的研究中，具有代表性的是文獻［31-33］等提出的策略.這類方案采用密碼學(xué)的思想，通過數(shù)據(jù)加密對全局編碼向量的內(nèi)容進行保護.具體的方法是，通信之前首先在源節(jié)點和目的節(jié)點之間共享一個秘密密鑰，然后利用同態(tài)加密函數(shù)對全局編碼向量進行加密.基于同態(tài)加密函數(shù)的性質(zhì)如下:

1）可加性.給定密文E（x）和E（y），存在可計算的有效算法 Add（a，b）使得

2）乘法性質(zhì).給定密文E（x）和一個標量t，存在可計算的有效算法 Mul（a，b），使得E（x·t）＝Mul（E（x），t）.中間節(jié)點對加密后的 GEVs可以直接進行再次編碼，然后將其發(fā)送出去.目的節(jié)點收到編碼數(shù)據(jù)后，可以通過秘密密鑰對加密后的GEVs進行解密，直到獲得足夠多數(shù)量的GEVs，最后經(jīng)過解密得到源節(jié)點發(fā)送的消息.這樣，攻擊者即使截獲了數(shù)據(jù)傳輸路徑上的所有數(shù)據(jù)包，在沒有解密密鑰的情況下，仍無法得到任何有用的信息.攻擊者無法分析出GEVs之間的線性關(guān)系，則方案就能夠滿足匿名通信的要求，保證通信的匿名性.但是，由于方案是基于密鑰基礎(chǔ)設(shè)施的，因此仍需要可信第三方認證或密鑰分發(fā)中心在數(shù)據(jù)傳輸之前分發(fā)秘密密鑰.該方案復(fù)雜性較高，對于具有多個數(shù)據(jù)流的網(wǎng)絡(luò)來說擴展性較差.

為了解決復(fù)雜性高的問題，Wang等人提出了一種抵御流量分析攻擊的匿名通信策略［34］（ALNCode）.該方案引入了網(wǎng)絡(luò)編碼和向量空間［35］（也稱線性空間）的概念.主要思想是，在具有多個數(shù)據(jù)流的網(wǎng)絡(luò)中，通過生成混淆全局編碼向量來隱藏每個數(shù)據(jù)流上下游數(shù)據(jù)GEVs之間關(guān)聯(lián)關(guān)系的目的.具體如圖7所示，L（Vi，j，k）表示經(jīng)過中間節(jié)點k的屬于信息流i第j代的全局編碼向量生成的向量空間，L（Ui，j，k）表示經(jīng)過中間節(jié)點k的不屬于信息流i第j代的全局編碼向量生成的向量空間，則信息流i的第j代消息對應(yīng)的下游全局編碼向量可以由L（Vi，j，k）和L（Vi，j，k）∩L（Ui，j，k）中的全局 編碼向 量生成，以這種方法生成的全局編碼向量不僅與L（Vi，j，k）中的全局編碼向量存在線性關(guān)系，還與L（Ui，j，k）中的全局編碼向量有線性關(guān)系，從而達到隱藏全局編碼向量關(guān)聯(lián)關(guān)系的效果.

圖7 ALNCode思想Fig.7 Key idea of ALNCode

在L（Vi，j，k）∩L（Ui，j，k）存在的情況下，方案能夠很好地防止通信過程中的流量分析攻擊，保證源節(jié)點、目的節(jié)點以及數(shù)據(jù)傳輸路徑信息的匿名性，達到匿名通信的目的.但是，方案的有效性分析中只給出了一個有效性的下界.

為了能夠更加準確地衡量方案的有效性，文獻［36］對文獻［35］的ALNCode方案做了進一步完善，對向量空間下的網(wǎng)絡(luò)編碼混淆方法做了進一步分析.首先，在掌握ALNCode核心思想的基礎(chǔ)上，結(jié)合組合數(shù)學(xué)的相關(guān)理論給出了ALNCode有效性的確切表達式，從而避免了下界帶來的不準確性；其次，對有效性分析進行了仿真，根據(jù)仿真結(jié)果分析了相關(guān)因素對有效性的影響，并分析了產(chǎn)生這種影響的原因，給出了基于網(wǎng)絡(luò)編碼的匿名通信方案在工程實現(xiàn)上的建議；最后，在對方案有效性進行分析的過程中發(fā)現(xiàn)ALNCode有效性分析與實際存在一定的偏差，并給出了出現(xiàn)這種偏差的原因.

利用向量空間方法實現(xiàn)匿名通信的過程中無需使用密鑰機制，因此具有較低的復(fù)雜度.該方法的缺點在于，它只針對具有多個單播數(shù)據(jù)流的網(wǎng)絡(luò)，且通信過程中的數(shù)據(jù)流編號、代編號仍需要安全路由協(xié)議來保護.

3.3 其他網(wǎng)絡(luò)編碼匿名通信技術(shù)

除了上述研究方法外，網(wǎng)絡(luò)編碼匿名通信的研究還用到網(wǎng)絡(luò)協(xié)作、超圖等方法.Zhang等人試圖采用網(wǎng)絡(luò)協(xié)作的方法來實現(xiàn)隱私保護和匿名通信［37］，從而解決傳統(tǒng)匿名路由協(xié)議與網(wǎng)絡(luò)編碼協(xié)議之間的沖突問題.Wan等人結(jié)合超圖的思想，設(shè)計了一種通過網(wǎng)絡(luò)編碼實現(xiàn)多跳無線網(wǎng)絡(luò)中流量分析隱私保護的方案［38］，從而提高網(wǎng)絡(luò)的效率和隱私保護能力.

4 研究展望

雖然利用網(wǎng)絡(luò)編碼可以較好地實現(xiàn)匿名通信，然而網(wǎng)絡(luò)編碼的采用也引入了一些新的問題.利用網(wǎng)絡(luò)編碼實現(xiàn)匿名通信所面臨的挑戰(zhàn)和未來的研究重點集中在以下幾個方面.

（1）通信時延和網(wǎng)絡(luò)吞吐量的研究.首先，在利用網(wǎng)絡(luò)編碼實現(xiàn)匿名通信的過程中，對于接收到的數(shù)據(jù)包，中間節(jié)點先要進行緩存，等到達一定量的數(shù)據(jù)包之后才進行編碼、轉(zhuǎn)發(fā)，因此會增加空間復(fù)雜度.另外，在中間節(jié)點進行的編/解碼變換帶來的計算復(fù)雜度大于傳統(tǒng)存儲轉(zhuǎn)發(fā)的計算復(fù)雜度.無論是編解碼還是緩存，都將增大通信時延，不能滿足實時應(yīng)用的要求.其次，若傳輸過程中某些信息丟失，則目的節(jié)點可能因為收到的數(shù)據(jù)包不足而不能成功解碼，從而增大解碼時延，同時也降低了有效信息的傳輸效率.因此，如何減小通信時延是今后利用網(wǎng)絡(luò)編碼實現(xiàn)匿名通信研究中的一個基本問題.最后，對于給定的網(wǎng)絡(luò)，網(wǎng)絡(luò)編碼混淆思想的網(wǎng)絡(luò)到底有多大的增益，其中的吞吐量分析對于準確地衡量網(wǎng)絡(luò)編碼混淆的優(yōu)劣也具有重要的意義.

（2）安全性研究.由于網(wǎng)絡(luò)編碼中的節(jié)點具有編/解碼的功能，這種功能也帶來了新的問題.網(wǎng)絡(luò)中的惡意節(jié)點會在通信過程中發(fā)起攻擊，如污染攻擊.在利用網(wǎng)絡(luò)編碼實現(xiàn)匿名通信的過程中，接收端進行消息還原時必須得到正確的編碼消息和對應(yīng)的編碼向量.若消息遭受污染攻擊，則部分數(shù)據(jù)的污染將會導(dǎo)致接收端解碼失敗，出現(xiàn)無法獲得原始數(shù)據(jù)或者得到的消息與原始數(shù)據(jù)不一致的情況.在傳統(tǒng)網(wǎng)絡(luò)中，攻擊者污染一個包，只會使該數(shù)據(jù)包不可用.但是網(wǎng)絡(luò)編碼環(huán)境中，一個污染包將會導(dǎo)致大量的數(shù)據(jù)包不可用.傳統(tǒng)預(yù)防污染攻擊的主要方式是數(shù)字簽名，即對正常的數(shù)據(jù)包進行標記.由于任何污染數(shù)據(jù)包的行為都會對簽名造成破壞，因此信宿通過檢驗數(shù)字簽名的完整性就能夠檢查出數(shù)據(jù)包是否被污染.然而，網(wǎng)絡(luò)編碼的特性使得數(shù)字簽名方法的效力受到削弱.雖然數(shù)字簽名能夠?qū)γ總€數(shù)據(jù)包進行標記，但是網(wǎng)絡(luò)編碼會融合所有的數(shù)據(jù)包，這使得信宿在完全解碼前無法對收到的每個數(shù)據(jù)包進行檢驗.因此，安全性研究是匿名通信系統(tǒng)設(shè)計的關(guān)鍵問題之一.

（3）可靠性研究.網(wǎng)絡(luò)編碼通常對網(wǎng)絡(luò)中的錯誤（如信道噪聲、網(wǎng)絡(luò)擁塞、惡意攻擊等）十分敏感，極易導(dǎo)致信宿節(jié)點譯碼失敗.網(wǎng)絡(luò)糾錯［39］的概念就是針對此問題提出的，它起源于傳統(tǒng)糾錯碼，且已經(jīng)發(fā)展成為一個重要的研究方向［40－41］.然而，如何設(shè)計一個適合網(wǎng)絡(luò)編碼環(huán)境的糾錯方案仍是一個亟待解決的問題.

［1］Claessens J，Diaz C，Goemans C，et al.Revocable anonymous access to the Internet［J］.Internet Research，2003，13（4）:242-258.

［2］Shuo-Yen R，Raymond W，Cai Ning.Linear network coding［J］.IEEE Transactions on Information Theory，2003，49（2）:371-381.

［3］Wu Yunnan，Li Baochun.Network coding:the magic of mixing［J］.Proceedings of IEEE，2010:643-644.

［4］Shuo-Yen R，Raymond W.Linear network coding［J］.IEEE Transactions on Information Theory，2003，49（2）:371-381.

［5］Ho T，Medard M，Koetter R.A random Linear Network Coding Approach to Muticast［J］.IEEE Transactions on Information Theory，2006，52（10）:4413-4430.

［6］Halloush M，Radha H.Network coding with multi-generation mixing:Analysis and applications for video communication［C］∥IEEE.IEEE International Conference on Communications.Beijing:IEEE，2008:198-202.

［7］Nguyen K，Nguyen T，Cheung S C.Video streaming with network coding［J］.Journal of Signal Processing Systems，2010，59（3）:319-333.

［8］Nguyen K，Nguyen T，Cheung S.Peer-to-peer streaming with hierarchical network coding［C］∥IEEE.International Conference on Multimedia and Expo.Beijing:IEEE，2007:396-399.

［9］Wang Dan，Zhang Qian，Liu Jiangchuan.Practical net-work coding:theory and application for continuous sensor data collection［C］∥IEEE.IEEE International Workshop on Quality of Service.New Haven:IEEE，2006:93-101.

［10］Sanders P，Egner S，Tolhuizen L.Polynomial time algorithms for network information flow［C］∥ACM.Proceedings of the 15th Annual ACM Symposium on Parallel Algorithms and Architectures.New York:ACM，2003:286-294.

［11］Koeter R，Medard M.An algebraic approach to network coding［J］.IEEE/ACM Transactions on Networking，2003，11（5）:782-795.

［12］Chou P A，Wu Yunnan，Jain K.Practical network coding［C］∥Allerton Conference.Proceedings of the Annual Allerton Conference on Communication Control and Computing.Washington:The Department of Electrical Engeneering，2003，41（1）:40-49.

［13］Fragouli C，Soljamin E.Information flow decomposition for network coding［J］.IEEE Transactions on Information Theory，2006，52（3）:829-848.

［14］Jaggi S，Chou P A，Jain K.Low complexity algebraic network codes［C］∥IEEE.Proceedings of ISIT.Yokohama:IEEE，2003:368.

［15］Wu Y，Sun-Yuan K.Reduced-complexity network coding for multicasting over ad hoc networks［C］∥IEEE.IEEE International Conference on Acoustics，Speech，and Signal Processing （IEEE Cat.No.05CH37625），Philadelphia:IEEE，2005:501-504.

［16］Deb S，Effros M，Ho T.Network coding for wireless applications:a brief tutorial［C］∥IWWAN.Proceedings of IWWAN.London:IWWAN，2005.

［17］Al Hamra A，Barakat C，Turletti T.Network coding for wireless mesh networks:A case study［C］∥IEEE Computer Society.Proceedings of the 2006International Symposium on World of Wireless，Mobile and Multimedia Networks.Washington:IEEE Computer Society，2006:103-114.

［18］Pfitzmann A，Kohntopp M.Anonymity unobservability and pseudo-anonymity:aproposal for terminology［C］∥Federrath H.Design Issues in Anonymity and Observability.Berlin:Springer，2009:1-9.

［19］Chaum D.Untraceable electronic mail，return addresses，and digital pseudonyms［J］.Communications of the ACM，1981，4（2）:84-88.

［20］Goldschlag D，Reed M，Syverson P.Onion routing for anonymous and private Internet connections［J］.Communications of the ACM，1999，42（2）:39-41.

［21］Dingledine R，Mathewson N，Syverson P.Tor:The second generation onion router［C］//Matt Blaze.Proceedings of the 13th USENIX Security Symp.San Deigo:USENIX，2004:303-320.

［22］Chaum D.The dining cryptographers problem:Unconditional sender and recipient untraceability［J］.Journal of Cryptology，1988，1（1）:65-75.

［23］Reiter M K，Rubin A D.Crowds:Anonymity for web transactions［J］.ACM Transactions on Information and System Security（TISSEC），1998，1（1）:66-92.

［24］Freedman M J，Morris R.Tarzan:A peer-to-peer anonymizing network layer［C］∥ACM.Proceedings of the 9th ACM Conference on Computer and Communications Security.Washington:ACM，2002:193-206.

［25］Remhard M，Plattner B.Introducing MorphMix:Peerto-Peer based anonymous internet usage with collusion detection［C］∥ACM.Proceedings of the Workshop on Privacy in the Electronic Society.New York:ACM，2002:91-102.

［26］The anonymizer［EB/OL］.［2014-09-15］.http://www.freeproxy.ru/en/free＿proxy/-cgi-proxy.htm.

［27］吳振強，馬亞蕾.編碼混淆:種新型匿名通信模型［J］.武漢大學(xué)學(xué)報:理學(xué)版，2010，57（5）:401-407.

［28］Katti S，Katabi D，Puchala.Slicing the onion:Anonymous routing without PKI［C］∥ACM.The 4th ACM Workshop on Hot Topics in Networks.College Park:ACM，2005.

［29］Katti S，Cohen，Katabi D.Information Slicing:Anonymous Using Unreliable Overlays［C］∥USENIX.The 4th USENIX Symposium on Networked System Design and Implementation.San Deigo:USENIX，2007:43-56.

［30］段桂華，王偉平，王建新，等.一種基于多路徑網(wǎng)絡(luò)編碼的匿名 通 信機 制 ［J］.軟 件 學(xué) 報，2010，9（21）:2338-2351.

［31］Fan Yanfei，Jiang Yixin，Zhu Haojin，et al.An efficient Privacy Preserving scheme against traffic analysis attacks in network coding［C］∥IEEE.Proceedings of IEEE INFOCOM.Rio de Janeiro:IEEE，2009:2213-2221.

［32］Fan Yanfei，Jiang Yixin，Zhu Haojin，et al.Network coding based privacy preservation against traffic analysis in multi-hop wireless networks［J］.IEEE Transactions on Wireless Communications，2011，10（3）:834-843.

［33］Zhang Peng，Jiang Yixin，Lin Chuang，et al.P-Coding:Secure network coding against eavesdropping attacks［C］∥IEEE.Proceedings of IEEE INFOCOM.San Diego:IEEE，2010:1-9.

［34］Wang Jin，Wu Chuang.Anonymous communication with network coding against traffic analysis attack［C］∥IEEE.IEEE INFOCOM.Shanghai:IEEE，2011:1008-1016.

［35］Wan Zhexian.Geometry of classical groups over finite fields［M］.Beijing:Science Press，1993:1-4.

［36］廖雪寧，周異輝，吳振強.基于向量空間的網(wǎng)絡(luò)編碼匿名通信方案分析［EB/OL］.［2014-09-15］.http:∥icds.gzu.edu.cn/ccnis2014/＃.

［37］Zhang Peng，Lin Chuang，Jiang Yixin，et al.Anoc:Anonymous network-coding-based communication with efficient cooperation［J］.IEEE Journal on Selected Areas in Communications，2012，30（9）:1738-1745.

［38］Wan Zhiguo，Xing Kai，Liu Yhunhao.Priv-Code:Preserving privacy against traffic analysis through network coding for multi-hop wireless networks［C］∥IEEE.IEEE INFOCOM.Beijing:IEEE，2012:73-81.

［39］Cai Ning，Yeung R W.Network coding and error correction［C］∥IEEE.IEEE Information on Theory Workshop.Beijing:IEEE，2002:119-122.

［40］Zhang Zhen.Theory and applications of network error correlation coding［J］.Proceedings of the IEEE，2011，99（3）:406-420.

［41］黃佳慶.網(wǎng)絡(luò)編碼理原理［M］.北京:國防工業(yè)出版社，2012:157-158.