黃賢明　黃鑫

摘 ?要： 當(dāng)前已有不少基于重路由的匿名通信系統(tǒng)，但現(xiàn)有的匿名通信系統(tǒng)大部分在獲得匿名的同時卻犧牲了效率。為設(shè)計既安全又高效的匿名通信系統(tǒng)，提出基于重路由技術(shù)的匿名通信系統(tǒng)改進模型，對匿名系統(tǒng)的匿名度進行探究。模型根據(jù)敵手攻擊能力的不同，提出兩種改進方式：對于敵手攻擊能力為1的情形，提出單一節(jié)點和多節(jié)點的信息熵偏差模型，該模型能夠用于不同系統(tǒng)之間匿名性的比較，客觀、合理地給出各個節(jié)點的權(quán)重;對于敵手攻擊能力為0.95的情形，引入模糊熵的概念與非線性規(guī)劃模型，運用模糊熵與概率熵相結(jié)合，充分利用模糊隨機變量整合所有不確定性，理論分析表明，改進后的重路由算法均能有效保證匿名性能?；诮o定的匿名系統(tǒng)信息發(fā)送概率，設(shè)計實例求解系統(tǒng)的匿名性并做比較分析，實驗結(jié)果表明，改進后的匿名系統(tǒng)度量模型具有較好的可靠性與優(yōu)越性。

關(guān)鍵詞： 匿名通信系統(tǒng); 改進模型; 重路由技術(shù); 節(jié)點權(quán)重; 不確定性整合; 理論分析

中圖分類號： TN914?34; TP393 ? ? ? ? ? ? ? ? ? 文獻標識碼： A ? ? ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2020）24?0096?06

Research on improved anonymous communication system

model using rerouting technology

HUANG Xianming， HUANG Xin

（School of Computer， Hunan University of Technology， Zhuzhou 412007， China）

Abstract： Currently， there are many anonymous communication systems based on rerouting， but most of the existing anonymous communication systems lose efficiency while gaining anonymity. An improved anonymous communication system model based on the rerouting technology is proposed and the anonymity of the system is explored to design a safe and effective anonymous communication system. The two improved modes of the model are proposed according to the different attack ability of the adversary. In allusion to the case that the attack ability of the adversary is 1， the information entropy deviation model of single node and multi?node is proposed， which can be used to compare the anonymous performance of different systems and give the weight of each node objectively and reasonably. In view of the case that the attack ability of the adversary is 0.95， the concept of fuzzy entropy and nonlinear programming model are introduced， and the combination of fuzzy entropy and probability entropy is used to integrate all uncertainties by fully utilizing the fuzzy random variable. The theoretical analyses show that the improved rerouting algorithm can guarantee the anonymous performance effectively. Based on the given information sending probability of anonymous system， an example is designed to solve the anonymous performance of the system， and its results are compared. The experimental results show that the improved metrics model of the anonymous system has better reliability and superiority.

Keywords： anonymity communication system; improved model; rerouting technology; node weight; uncertainty integration; theoretical analysis

0 ?引 ?言

隨著網(wǎng)絡(luò)服務(wù)的快速發(fā)展，隱私問題已經(jīng)引起了人們越來越多的關(guān)注。為了保護用戶通信安全，互聯(lián)網(wǎng)系統(tǒng)會為用戶提供匿名操作[1]。為了保證用戶訪問互聯(lián)網(wǎng)的安全性，匿名成為必要要求。特別是以下的互聯(lián)網(wǎng)應(yīng)用，如在線股票、電子商務(wù)、電子銀行等，包括一些特殊行業(yè)，如國防、軍事部門需要共享一些內(nèi)部信息，但不能暴露信息的內(nèi)容。以上應(yīng)用對保密性要求很高，匿名性是必不可少的。另外，由于部分非匿名用戶因發(fā)送明文消息而泄露了個人隱私，因此匿名通信系統(tǒng)的開發(fā)利用在許多實際應(yīng)用中也有著強烈需求。目前，已經(jīng)有不少基于重路由技術(shù)的匿名通信系統(tǒng)，但現(xiàn)有的匿名通信系統(tǒng)由于采用的匿名技術(shù)不同，匿名性程度也不盡相同。一些提供一般的匿名保護而實現(xiàn)了高效率，一些以犧牲效率為代價提供了強力的匿名保護，一些達到了匿名和效率的妥協(xié)[2]。匿名性的獲取是研究匿名通信技術(shù)的關(guān)鍵，而匿名度作為衡量匿名性的重要指標，也一直是研究人員所關(guān)注的問題。

鑒于上述現(xiàn)狀，本文提出基于重路由技術(shù)的匿名通信系統(tǒng)的改進模型，以匿名性為主要研究對象，在合理的假設(shè)下，采用多種方法對系統(tǒng)匿名性進行度量，從不同角度對匿名系統(tǒng)進行研究，設(shè)計出合理的算法;通過計算機編程求解，探究該模型及算法在匿名電子郵件、電子商務(wù)、匿名瀏覽、網(wǎng)上醫(yī)療咨詢、電子銀行等方面的應(yīng)用。

1 ?相關(guān)研究工作

1.1 ?匿名技術(shù)

目前，匿名技術(shù)的發(fā)展具有一定的研究基礎(chǔ)，如crowds、Mix nets、洋蔥路由等匿名技術(shù)[2?5]都有著廣泛的應(yīng)用和研究領(lǐng)域，但是這些匿名技術(shù)的共同缺點是缺乏對匿名用戶操作的監(jiān)督和控制，并且在系統(tǒng)出現(xiàn)問題時缺乏相應(yīng)的對策，提供匿名服務(wù)還降低了系統(tǒng)的安全性。因此在匿名技術(shù)的開發(fā)過程中，也帶來了不良和非法的行為：利用匿名通信系統(tǒng)服務(wù)器發(fā)起分布式拒絕服務(wù)攻擊;利用電子現(xiàn)金系統(tǒng)的匿名性進行洗錢和非法圈錢行為;通過發(fā)送匿名郵件或發(fā)布匿名公告等對他人進行惡意的人身攻擊和誹謗?？梢?，網(wǎng)絡(luò)活動的匿名性導(dǎo)致的惡意行為仍在繼續(xù)，危害程度越來越高，對匿名技術(shù)和可控匿名系統(tǒng)的研究已迫在眉睫。

1.2 ?重路由技術(shù)

重路由技術(shù)在匿名通信系統(tǒng)方面有許多應(yīng)用，基于此技術(shù)的匿名系統(tǒng)通常具有一個或多個轉(zhuǎn)發(fā)節(jié)點用于連接發(fā)送者和接收者，這些節(jié)點轉(zhuǎn)發(fā)、填充和改寫數(shù)據(jù)包以隱藏數(shù)據(jù)包的來源及關(guān)聯(lián)。這種匿名通信系統(tǒng)主要包括Anonymizer、L PW A、Onion router[6]、Horder[7]、Tarzan[8]、Morph Mix[9]等。重路由技術(shù)通常用于實現(xiàn)發(fā)送方通信者的匿名性和不可連接性，其基本原理是發(fā)送者的數(shù)據(jù)包由中間節(jié)點進行轉(zhuǎn)發(fā)和處理操作，可以隱藏發(fā)送者的信息以及其與接收者之間的關(guān)聯(lián)。

Anonymizer通信系統(tǒng)也提供匿名互聯(lián)網(wǎng)訪問服務(wù)，基本原理是從瀏覽器請求中將信息報文的認證頭以及源地址的地址信息去掉。所以服務(wù)器只能獲取匿名服務(wù)器的地址而不能獲取用戶的真實地址，在此方案中，所有的重路由路徑都只有一個中間節(jié)點，這便是Anonymizer服務(wù)器。

與Anonymizer類似，L PW A通信系統(tǒng)使用匿名服務(wù)器，該服務(wù)器可以接收發(fā)送者的匿名連接并將信息轉(zhuǎn)發(fā)到目主機，其中，發(fā)送者的地址是隱藏的，只有接收者能獲取該服務(wù)器地址。該重路由技術(shù)的優(yōu)勢是簡單易建立，缺點是一旦被攻破，通信系統(tǒng)中所有信息都將泄露。文獻[6]給出了Onion router的轉(zhuǎn)發(fā)模式，在建立路徑階段采用源路由方式，通過洋蔥路由服務(wù)器進行路徑選擇，根據(jù)路徑節(jié)點將IP包從后往前進行逐個加密封裝，使匿名破壞者只能解密最外層，從而保護通信。

文獻[7]給出了Horder通信模式，利用多個代理來匿名轉(zhuǎn)發(fā)數(shù)據(jù)包給接收者，與Crowds使用策略類似，用戶在使用匿名功能的同時成為系統(tǒng)服務(wù)者，不用的是Horder在回復(fù)消息時采用多播服務(wù)而不走發(fā)送者路徑。該技術(shù)優(yōu)勢是在各節(jié)點上不需要太多路由表，不易遭到被動攻擊。對于抵御Dos攻擊方面，Tarzan由于限制了各個節(jié)點的發(fā)送/接收數(shù)據(jù)包數(shù)量比例，從而可以防止序列號和數(shù)據(jù)包被篡改，能較好地抵抗Dos攻擊;Morph Mix采用嵌套和鏈路雙重加密機制，系統(tǒng)處于動態(tài)變化狀態(tài)，雖然對手較難破壞通信通道節(jié)點，但是由于任何節(jié)點都容易進出該系統(tǒng)，所以該系統(tǒng)在抵抗Dos攻擊方面較弱。

2 ?針對敵手攻擊能力為1的情形

2.1 ?模型分析

[senderer][receiver]

圖1重路由匿名系統(tǒng)模型由N個節(jié)點組成，是一類基于重路由技術(shù)的通用模型，其中，節(jié)點的集合V可表示為V={vi：1≤i≤N}。發(fā)送者匿名狀態(tài)是通過N個節(jié)點相互合作實現(xiàn)的，該匿名系統(tǒng)中的N個節(jié)點中不包括接收者。除此之外，在傳輸層建立系統(tǒng)模型，同時假定每個主機節(jié)點之間可以互相通信。如圖1所示，信息由節(jié)點0發(fā)送出去，經(jīng)過由匿名系統(tǒng)確定的重路由路徑<0，5，3，7，9，R>傳送，最終達到接收節(jié)點R。

由于基于重路由技術(shù)的匿名系統(tǒng)的通用模型不能作為其他系統(tǒng)下匿名性比較的數(shù)學(xué)模型，針對敵手攻擊能力為1的情形，提出改進模型，即基于信息熵理論的信息熵偏差模型。該模型能夠用于不同系統(tǒng)之間匿名性的比較，并且分析每個節(jié)點對系統(tǒng)模型的影響，從而客觀、合理地推導(dǎo)出各個節(jié)點的權(quán)重，由單一節(jié)點信息熵的偏差模型引申出多節(jié)點的偏差模型。

2.2 ?信息熵偏差模型的建立

每一個網(wǎng)絡(luò)節(jié)點可視作一個用戶，每個用戶之間可以相互訪問;敵手的攻擊能力為1，即攻擊者能100%識別節(jié)點概率差異，即不考慮各節(jié)點概率差異。由于可能同時有多個節(jié)點訪問N0，故按照訪問節(jié)點N0的節(jié)點數(shù)，將該模型分為單節(jié)點訪問的信息熵偏差模型和多節(jié)點訪問的信息熵偏差模型。

3.2 ?模糊熵和概率熵的結(jié)合

假設(shè)存在離散概率空間（X，P），假定模糊集A定義在論域X上，其中，X=xi的概率為P，則該整體熵為：

[H（A，P）=-i=1npi（μilog μi+（1-μi）log（1-μi））] （7）

式（7）將模糊熵和概率熵緊密結(jié)合在一起，通過和的形式將模糊熵和概率熵融合成整體，以此平均不確定性，其中，HS（P）是Shannon熵。

[Htot（A，P）=HS（P）+H（A，P）] ? ? ? ?（8）

3.3 ?確定系統(tǒng)的匿名度

設(shè)離散模糊隨機變量X取值A(chǔ)1，A1，…，An，P{X=Ai}=pi，且H（Ai）=hi，則X的混合信息熵定義為：

[H（X）=i=1n（1+hi）pilog（1pi）+hi（1+pilog（1pi））] （9）

若記單個模糊事件{X=Ai}的Shannon熵與pi的積為si，則式（9）可簡單表示為：

[H（X）=i=1n（1+hi）si+hi（1+si）] ? ? ? （10）

從式（10）可以推斷出，模糊隨機變量的混合熵不僅包含單獨的模糊熵和信息熵部分，還包含了它們的交叉部分。這說明模糊隨機變量既包含相對獨立的模糊性部分，又包含與其相對的隨機性部分，同時它們還存在相互纏繞依存而不可分的特性。

在本節(jié)中，當(dāng)單節(jié)點訪問N0時，根據(jù)信息熵模型可得[Hm=i=1N1Nlog2N=log2N]，而當(dāng)[i=1，2，…，n]，式（10）改寫為模糊熵[H（X）=i=1npilog（1pi）]，則匿名度d為：

[d=H（X）Hm=i=1npilog（1pi）log2N] ? ? ? ?（11）

3.4 ?非線性規(guī)劃模型建立

根據(jù)模糊熵和概念熵，確定系統(tǒng)匿名度的定量計算公式作為目標函數(shù)，根據(jù)敵手的攻擊能力造成的識別節(jié)點的概率差異，確定訪問節(jié)點概率范圍為約束條件。建立非線性規(guī)劃模型，尋找各個系統(tǒng)在約束條件作用下的匿名度最優(yōu)值。

3.4.1 ?非線性規(guī)劃算法步驟

目標函數(shù)或約束條件中包含非線性函數(shù)的問題稱為非線性規(guī)劃問題。使用Matlab描述非線性規(guī)劃問題時，其數(shù)學(xué)模型可以寫成以下形式：首先目標函數(shù)可表示為min f（x）。約束條件：

[s.t. ?A?x≤bAeq?x=beqc（x）≤0ceq（x）=0lb≤x≤ub]

式中：f（x）表示標量函數(shù);A、b、Aeq、beq、lb、ub分別對應(yīng)其相應(yīng)維數(shù)的矩陣和向量;c（x）、ceq（x）表示非線性向量函數(shù)。

使用Matlab命令表示如下：

[x，fval]=fmincon（fun，x0，A，b，Aeq，beq，lb，ub，nonlcon，options）

命令中返回值x表示決策向量x的取值，fval表示返回的目標函數(shù)取值。參數(shù)中fun表示由M文件定義的函數(shù)f（x）;x0為x初始值;A、b、Aeq、beq則分別定義線性約束條件A·x≤b，Aeq·x=beq，若無線性約束，則會出現(xiàn)A=[]、b=[]、Aeq=[]、beq=[];lb、ub表示變量x的下界和上界，即x的取值范圍。若無上界和下界約束，則lb=[]， ub=[]，即lb的所有分量都為-inf， ub的所有分量都為inf;nonlcon表示采用了M文件定義的非線性向量函數(shù)c（x）， ceq（x）;options表示定義優(yōu)化參數(shù)。這些參數(shù)設(shè)置使用Matlab中默認值。

3.4.2 ?目標函數(shù)及約束條件的確定

目標函數(shù)：

[f（p）=i=1npilog（1pi）log2N] ? ? ? ? ?（12）

約束條件：對于P3系統(tǒng)，已知P3={0.18，0.18，0.18， 0.16，0.16，0.07，0.07，0，0，0}得到約束條件如P3系統(tǒng)所示;對于P4系統(tǒng)，已知P4={0.17，0.17，0.17，0.15，0.15，0.15，0.13， 0.13，0.13，0.1}，觀察數(shù)據(jù)可得，概率之和不為1，于是對P4中的各概率進行歸一化處理。得到歸一化后的概率P4={0.117 2，0.117 2，0.117 2，0.103 4， 0.103 4，0.103 4，0.089 7，0.089 7，0.089 7，0.069}，于是約束條件如P4系統(tǒng)所示。

P3系統(tǒng)：

[i=1n=10pi=10.13≤p1≤0.230.13≤p2≤0.230.13≤p3≤0.230.11≤p4≤0.210.11≤p5≤0.210.02≤p6≤0.120.02≤p7≤0.120≤p8≤0.050≤p9≤0.050≤p10≤0.05]

P4系統(tǒng)：

[i=1n=10pi=10.067 2≤p1≤0.167 20.067 2≤p2≤0.167 20.067 2≤p3≤0.167 20.053 4≤p4≤0.153 40.053 4≤p5≤0.153 40.053 4≤p6≤0.153 40.039 7≤p7≤0.139 70.039 7≤p8≤0.139 70.039 7≤p9≤0.139 70.019≤p10≤0.119]

3.5 ?計算系統(tǒng)匿名度的最優(yōu)值

利用Matlab編程求解P3系統(tǒng)和P4系統(tǒng)在概率范圍約束內(nèi)，優(yōu)化得到的系統(tǒng)匿名度值分別是d3=0.972 8，d4=0.991 2。

顯然d3

4 ?結(jié) ?語

本文基于重路由技術(shù)進行了2次改進，首先針對敵手的攻擊能力為1的情況，提出改進的匿名系統(tǒng)匿名性度量模型。通過分析以節(jié)點的發(fā)送偏差概率作為該節(jié)點在系統(tǒng)匿名性度量中的權(quán)重，分別建立了單節(jié)點訪問N0的信息熵偏差模型和多節(jié)點訪問N0的信息熵偏差模型。定量計算得到p1，p2系統(tǒng)的匿名度分別為0.951 7，0.952 5，定性分析得到系統(tǒng)匿名度關(guān)于節(jié)點訪問個數(shù)對稱的結(jié)論。該模型的優(yōu)勢為避免了傳統(tǒng)模型的主觀性，使得匿名度比較客觀，可廣泛應(yīng)用于不同匿名性系統(tǒng)綜合評價問題。其次，針對敵手的攻擊能力為0.95的情況，提出了模糊熵和概率熵結(jié)合的方法并建立新的匿名通信模型，以匿名度為目標函數(shù)，概率范圍為約束條件，采用非線性規(guī)劃方法，利用Matlab編程得到p3，p4系統(tǒng)的匿名度的最優(yōu)值分別為0.972 8，0.991 2。該模型優(yōu)勢為數(shù)學(xué)概念清晰，計算簡便實用，可信度較高，且巧妙地利用了非線性規(guī)劃求解，減少了工作量。

本文提出的改進模型是在假設(shè)各節(jié)點之間相互獨立、互不干擾下進行的匿名研究，未來將研究復(fù)雜情況下匿名通信系統(tǒng)的匿名性度量問題，以保證各通信節(jié)點的有效性和安全性。

參考文獻

[1] 陸天波，程曉明，張冰.MIX匿名通信技術(shù)研究[J].通信學(xué)報，2018（12）：135?143.

[2] 崔璨.匿名通信系統(tǒng)中的洋蔥路由及可控接入技術(shù)研究[D].曲阜：曲阜師范大學(xué)，2019.

[3] FATEMEH S， MILIVOJ S， RIZWAN A M， et al. A survey on routing in anonymous communication protocols [J]. ACM computing surveys， 2016， 51（3）： 1?39.

[4] JIANG L L， LI T， LI X， et al. Anonymous communication via anonymous identity?based encryption and its application in IoT [J]. Wireless communications and mobile computing， 2018（7）： 122?138.

[5] BRAEKEN A， LIYANAGE M， JURCUT A D. Anonymous light weight proxy based key agreement for IoT （ALPKA） [J]. Wireless personal communications， 2019（7）： 1?20.

[6] SYVERSON P F， GOLDSCHLAG D M， REED M G. Anonymous connections and onion routing [J]. IEEE journal on selected areas in communications， 2018， 16（4）： 482?494.

[7] SHIELDS C， LEVINE B N. A protocol for anonymous communication over the internet [C]// Proceedings of 7th ACM Conference on Computer and Communication Security. Athens： ACM， 2000： 33?42.

[8] FREEDMAN M J， MORIS R. Tarzan： a peer to peer anonymizing network layer [C]// Proceedings of 9th ACM Conference on Computer and Communications Security. Washington： ACM， 2002： 193?206.

[9] REMHARD M， PLATTNER B. Introducing M orphMix： Peer?to?Peer based anonymous internet usage with collusion detection [C]// Proceedings of Workshop on Privacy in the Electronic Society. Washington： ACM， 2018： 121?135.

[10] SHIN Yoshihiro， YASUDA Hiroshi， MAEDA Katsuyuki， et al. Researchers submit patent application， anonymous communication system and method for subscribing to said communication system： USA， USPTO 20190149523 [P]. 2017?08?22 [2019?01?23].

[11] 王良民，倪曉鈴，趙蕙.網(wǎng)絡(luò)層匿名通信協(xié)議綜述[J].網(wǎng)絡(luò)與信息安全學(xué)報，2020，6（1）：11?26.

[12] 楊云，李凌燕，魏慶征.匿名網(wǎng)絡(luò)Tor與I2P的比較研究[J].網(wǎng)絡(luò)與信息安全學(xué)報，2019，5（1）：66?77.

[13] 薛智宇.基于SDN的匿名通信追蹤模型的研究[J].計算機與數(shù)字工程，2019（10）：2413?2416.

作者簡介：黃賢明（1976—），男，回族，湖南漢壽人，碩士，碩士生導(dǎo)師，副教授，研究方向為網(wǎng)絡(luò)信息安全、通信技術(shù)、工作流技術(shù)。

黃 ?鑫（1979—），男，湖南湘潭人，碩士，講師，研究方向為網(wǎng)絡(luò)信息安全、通信技術(shù)。