張旋+曹建民

摘 要：為了解決當(dāng)前匿名系統(tǒng)中匿名控制技術(shù)存在的主要問題，文章提出一種基于群簽名機制的可控匿名通信層，通過在傳輸層建立可控匿名連接，為端到端應(yīng)用提供統(tǒng)一的匿名控制機制，并且通過CACL和具體匿名通信網(wǎng)絡(luò)結(jié)合，可以有效構(gòu)建可控匿名通信系統(tǒng)，解決現(xiàn)有匿名系統(tǒng)存在的問題。

關(guān)鍵詞：隱私；匿名控制；群簽名

1 匿名和匿名控制

匿名技術(shù)是保護用戶隱私的重要手段，學(xué)者Claudia將匿名服務(wù)分為數(shù)據(jù)匿名和通信匿名兩類。相對于通信匿名，數(shù)據(jù)匿名方面的研究比較多，但大多都只針對某一個領(lǐng)域內(nèi)的匿名應(yīng)用，而為了保證用戶行為的強匿名性，匿名系統(tǒng)應(yīng)該同時保證數(shù)據(jù)匿名和通信匿名兩方面的匿名性。因此，匿名控制技術(shù)和可控匿名系統(tǒng)便成了匿名技術(shù)研究的一個重要方面。

通過分析現(xiàn)有的匿名系統(tǒng)，發(fā)現(xiàn)存在幾點不足：（1）缺乏對一般應(yīng)用系統(tǒng)的統(tǒng)一匿名控制機制；（2）缺乏對匿名通信系統(tǒng)的有效匿名控制；（3）現(xiàn)有的可控匿名通信系統(tǒng)運行復(fù)雜，效率低并缺乏可用性，其設(shè)計出發(fā)點往往是國家或者暴力機構(gòu)的網(wǎng)絡(luò)監(jiān)視工具。

針對以上問題，本文提出一種基于群簽名機制的可控匿名通信層（Controllable Anonymity Communication Layer，CACL），通過在傳輸層建立可控匿名連接，為端到端應(yīng)用提供統(tǒng)一的匿名控制機制，并且通過CACL和具體匿名通信網(wǎng)絡(luò)結(jié)合可以有效構(gòu)建可控匿名通信系統(tǒng)，解決現(xiàn)有匿名系統(tǒng)存在的問題。

2 可控匿名通信層CACL

2.1 基于群簽名機制的CACL系統(tǒng)模型

利用群簽名（Group Signature，GS）方案，群成員可以匿名地代表整個群體進行簽名；當(dāng)簽名發(fā)生糾紛時系統(tǒng)中的群管理員（Group Manager，GM）可以打開群簽名獲得簽名者的真實身份，群簽名被廣泛應(yīng)用在需要匿名認證的許多場合，在CACL系統(tǒng)中，群簽名是核心的密碼學(xué)算法。

CACL系統(tǒng)模型主要包含3個角色：群管理員、群成員和驗證方。其中匿名身份認證中心（Anonymous Identity CA，AICA）負責(zé)生成并管理一個公開的“群”；用戶向認證機構(gòu)AICA注冊個人真實身份信息，認證機構(gòu)驗證信息的真實性后，給用戶生成并發(fā)送群成員私鑰和群公鑰證書。當(dāng)用戶建立到服務(wù)方的CACL可控匿名連接時，用戶使用群成員私鑰對服務(wù)方發(fā)送的挑戰(zhàn)值進行響應(yīng)，服務(wù)方驗證響應(yīng)值（GS）的合法性之后，接受用戶的CACL連接請求。當(dāng)服務(wù)方日后檢測到用戶行為的非法性之后，則向用戶所在群的認證機構(gòu)發(fā)送糾紛數(shù)據(jù)和用戶建立連接時保留的群簽名，AICA確認撤銷匿名請求的合法性之后打開群簽名，獲得用戶的真實身份信息。CACL工作在傳輸層，目的是使匿名控制即獨立于具體的應(yīng)用，又獨立于具體的匿名通信網(wǎng)絡(luò)，提供統(tǒng)一的匿名控制機制。

2.2 CACL建立可控匿名連接協(xié)議

CACL協(xié)議由3個不同的子協(xié)議組成，它們都建立在CACL的基本協(xié)議層上。（1）可控匿名連接建立協(xié)議：此協(xié)議完成從用戶端到服務(wù)方的可控匿名連接的初始化，是CACL最重要的子協(xié)議；（2）可控匿名數(shù)據(jù)傳輸協(xié)議：CACL連接初始化成功后，上層的應(yīng)用數(shù)據(jù)便被封裝到數(shù)據(jù)傳輸協(xié)議中進行傳輸；（3）可控匿名通知協(xié)議：雙方在整個通過過程中，都可以使用通知協(xié)議來通知對方通信中出現(xiàn)的異常狀態(tài)。連接建立分為兩階段，第一階段雙方協(xié)商好用戶所屬群信息和密碼學(xué)算法，并建立認證信道；第二階段用戶接受服務(wù)方挑戰(zhàn)并產(chǎn)生群簽名響應(yīng)。

在第一階段中雙方使用Hello消息協(xié)商好用戶所屬群的信息和相應(yīng)的密碼學(xué)算法，主要包括密鑰協(xié)商方法和消息鑒定算法（Message Authentication Code，MAC）。之后雙方分別使用Key Exchange密鑰交換消息協(xié)商出共享秘密值secret-value，并使用消息認證（Using Message Authentication，UMA）來切換到消息認證信道。另外通常也會有用戶對服務(wù)器的鑒定過程，這時需要服務(wù)器發(fā)送證書消息，雙方計算得出共享秘密值后產(chǎn)生各自的MAC寫密鑰：ServerWriteMacSecret=Sha1（“server”||ClientHello||ServerHello||secret-value）；ClientWriteMacSecret=Sha1（“client”||ClientHello||ServerHello||secret-value）；CACL在建立連接協(xié)議的第一階段只利用共享主秘密產(chǎn)生消息認證碼MAC密鑰，以保證之后交互消息的完整性和可認證性，但對消息不進行加密，這部分工作可以由安全套接層（Secure Sockets Layer，SSL）或者應(yīng)用自己完成。

第二階段雙方使用已經(jīng)建立起的可認證的連接進行挑戰(zhàn)響應(yīng)過程，由服務(wù)方產(chǎn)生一個隨機數(shù)挑戰(zhàn)值CR，發(fā)送給用戶，用戶對CR進行群簽名產(chǎn)生響應(yīng)值，服務(wù)方驗證群簽名的合法性，簽名內(nèi)容是：GroupSignature= GroupSig（H（m）），H（m）=Hash（CR||ClientHello||ServerHello||secret-value），連接的最后雙方發(fā)送Finished消息確認連接建立成功，之后雙方在此連接上使用第一階段建立的安全信道發(fā)送應(yīng)用數(shù)據(jù)和CACL其他類型的消息。

2.3 CACL的不可否認機制和匿名撤銷過程

CACL層設(shè)計目標(biāo)是防止匿名性的濫用，當(dāng)檢測到濫用而請求打開用戶身份時需要一定的證據(jù)支持，因此對于不可否認特性有內(nèi)在需求。因此在CACL協(xié)議中，提供了一個可選的簡單的不可否認機制，上層應(yīng)用也可以使用其自身的不可否認機制。CACL的不可否認機制是粗粒度的原理，用戶和服務(wù)方都對連接建立成功后發(fā)送的每條CACL消息進行摘要，并在結(jié)束連接時，讓用戶端對最終的摘要值進行簽名后發(fā)送給服務(wù)方，服務(wù)方驗證通過后保存簽名和相應(yīng)的消息和摘要值。

具體操作：當(dāng)成功建立CACL協(xié)議后，用戶端和服務(wù)方根據(jù)連接建立信息生成相同的證據(jù)初始值ServerProof和ClientProof。在建立連接之后，通信雙方發(fā)送數(shù)據(jù)消息，并且更新證據(jù)值；對于用戶端，當(dāng)發(fā)送第n條消息時有：ClientProofn=Hash（ClientProofn-1 || MAC（Messagen））；當(dāng)用戶收到一條服務(wù)方發(fā)送的消息時計算：ServerProofn=Hash（ServerProofn-1 || MAC（Messagen））；雙方發(fā)送完各自的數(shù)據(jù)時，應(yīng)該具有相同的ClientProof和ServerProof值；最后用戶端產(chǎn)生對證據(jù)的群簽名，并發(fā)送給服務(wù)方：ProofGroupSig = GroupSig （ ClientProof || ServerProof ）。這種不可否認機制具有一定的適用范圍，一般適合對少量關(guān)鍵數(shù)據(jù)進行操作。

3 結(jié)語

本文分析并指出了當(dāng)下可控匿名系統(tǒng)存在的主要問題，提出在傳輸層進行端到端匿名控制的觀點，并給出了可控匿名通信層CACL的系統(tǒng)和協(xié)議設(shè)計。CACL系統(tǒng)簡單安全、效率較高，提供統(tǒng)一的匿名控制機制，減少了應(yīng)用系統(tǒng)的部署花銷，同時能有效防止匿名通信系統(tǒng)的匿名濫用問題，促進匿名系統(tǒng)的發(fā)展。

作者簡介：張旋（1980— ），男，陜西西安，碩士，講師；研究方向：差錯控制技術(shù)，大數(shù)據(jù)系統(tǒng)中數(shù)據(jù)的可靠性技術(shù)。

[參考文獻]

[1]CLAESSENS J，DIAZ C，GOEMANS C，et al. Revocable anonymous access to the Internet[J].Journal of Internet Research，2003（4）：242-258.

[2]CHAUM D. Blind signature for untreaceable payments[C].Berlin：Proceeding of Crypto 83 in Cryptology，1983：199-203.

[3]STADLER M，PIVETEAU JM，CAMENISCH J. Fair blind signatures[M].Berlin：Springer-Verlag Berlin Heidelberg，1995.

Abstract： In order to solve the main problems of anonymous control technology of the existing anonymous system， this paper proposes a controllable anonymous communication layer（CACL）based on group signature mechanism. By establishing a controllable anonymous connection at the transport layer， providing a unified anonymous control mechanism for end to end applications， and through the combination of CACL and the specific anonymous communication network， can effectively construct controllable anonymous communication system to solve the existing problems of the anonymous system.

Key words： privacy； anonymous control； group signature