可信計算模式下P2P匿名通信系統(tǒng)設計

雷 濤

(華南師范大學 物理與電信工程學院, 廣州 510006)

可信計算模式下P2P匿名通信系統(tǒng)設計

雷 濤

(華南師范大學 物理與電信工程學院, 廣州 510006)

為了提高P2P匿名通信系統(tǒng)的安全性與可信性，需要對P2P匿名通信系統(tǒng)進行設計；當前使用的匿名通信系統(tǒng)，無法在用戶節(jié)點匿名的情況下，保證P2P匿名通信系統(tǒng)匿名節(jié)點的可信性；因此，提出一種基于可信計算模式的P2P匿名通信系統(tǒng)設計方法;該系統(tǒng)的硬件部分分為系統(tǒng)登錄模塊、通信模塊、數(shù)據(jù)模塊、可信計算模塊4大模塊，模塊之間相互合作，形成一個完整的匿名通信系統(tǒng)，匿名通信系統(tǒng)軟件設計部分通過建立可信計算的聯(lián)接，實現(xiàn)在匿名通道中進行數(shù)據(jù)傳遞，并對待傳遞的數(shù)據(jù)進行層次性打包加密，同時采用可信度計算對匿名通信系統(tǒng)中節(jié)點、匿名通道進行計算，形成安全可信的匿名傳遞通道;實驗仿真證明，該方法在保證該系統(tǒng)數(shù)據(jù)傳遞的效率的同時提高了匿名通信系統(tǒng)的安全性與可靠性。

可信計算；P2P；匿名通信系統(tǒng)

0 引言

近年來，隨著信息時代的發(fā)展，計算機的廣泛應用和網(wǎng)絡技術的快速發(fā)展，網(wǎng)絡中用戶隱私與數(shù)據(jù)傳遞安全的問題，已經(jīng)成為互聯(lián)網(wǎng)中迫切需要解決的問題[1]。如何使P2P匿名通信系統(tǒng)中用戶的隱私與數(shù)據(jù)傳遞處于匿名狀態(tài)，達到保護個人隱私的作用，成為當前技術開發(fā)人員研究的重點[2]。然而當前使用的匿名通信系統(tǒng)，無法在用戶節(jié)點匿名的前提下，保證P2P匿名通信系統(tǒng)匿名節(jié)點的可信性[3]。在這種情況下，如何提高P2P匿名通信系統(tǒng)的安全性與可信性，已經(jīng)成為當前需要解決的主要問題。該系統(tǒng)將硬件部分劃分為以下幾個部分，系統(tǒng)登錄模塊對用戶的私人信息進行認證，通信模塊可以實現(xiàn)一對一或一對多的數(shù)據(jù)傳遞，數(shù)據(jù)模塊對將要發(fā)出的數(shù)據(jù)進行打包加密，使得數(shù)據(jù)更加安全，可信計算模塊是計算整個匿名系統(tǒng)節(jié)點的可信度，同時使用可信度計算對匿名通信系統(tǒng)中節(jié)點、匿名通道進行計算，形成安全可信的傳遞匿名通信系統(tǒng)。由于可信計算模式下P2P匿名通信系統(tǒng)的研究具有重要意義，因此，信息安全的問題受到人們和許多專家的關注，同時取得一定的研究成果[4-5]。

現(xiàn)有的P2P匿名通信系統(tǒng)設計方法有：文獻[6]提出一種基于DHT的P2P匿名通信系統(tǒng)設計方法。該方法中使用上下兩成的混合式拓撲結構，上層匿名通信系統(tǒng)為全分布非結構化拓撲，下層匿名通信系統(tǒng)為中心化拓撲，形成相對穩(wěn)定的拓撲結構，同時引入DHT算法，形成匿名通信網(wǎng)絡內(nèi)部分成機制，保障匿名通信系統(tǒng)負載均衡，而且系統(tǒng)中匿名通信算法提升節(jié)點之間通信的可靠性。該方法能很好地發(fā)揮P2P網(wǎng)絡的優(yōu)勢，同時一定程度上解決了P2P網(wǎng)絡的不足，但該方法無法解決匿名通信系統(tǒng)信息查找困難、節(jié)點管理困難的問題。文獻[7]提出一種基于可分級的P2P匿名通信系統(tǒng)設計方法。該方法將匿名通信系統(tǒng)分為兩大模塊，分級模塊和信任值模塊，分級匿名通信模塊利用“高匿名等級，高匿名性，高負載”的匿名通信思想，實現(xiàn)各個模塊之間的銜接和融合，同時結合匿名等級對現(xiàn)有的匿名通信系統(tǒng)進行優(yōu)化和改進，再利用MFC界面編程和Socket鏈接通信，Socket通信等技術實現(xiàn)了“集中處理，分層傳遞”的匿名通信系統(tǒng)信任機制軟件構架，構建匿名通信系統(tǒng)的模型。該方法使得P2P匿名通信系統(tǒng)具有一定的靈活性和可靠性，但該方法設計的P2P匿名通信系統(tǒng)不能滿足用戶的自主選擇性。文獻[8]提出一種基于信譽度計算的P2P匿名通信系統(tǒng)設計方法。該方法在現(xiàn)有的匿名通信系統(tǒng)上進行信譽度評價改進，以匿名通信過程中通信時間作為信譽度向量權重變化的參考量，再對當前節(jié)點的信任度進行評價，以節(jié)點信任度的經(jīng)驗值及其變化趨勢來評價，同時將匿名通信系統(tǒng)中匿名服務進行分級，滿足不同用戶的需求，最后通過分成加密方法和非對稱加密的方法對將要傳遞的數(shù)據(jù)進行打包加密，完成數(shù)據(jù)的安全傳遞。該方法提高了P2P匿名通信系統(tǒng)的匿名度，但該方法設計的P2P匿名通信系統(tǒng)的節(jié)點穩(wěn)定程度較低，影響了通信信息的傳遞效率[9-10]。

針對上述問題，提出一種基于可信計算模式的P2P匿名通信系統(tǒng)設計方法。實驗仿真證明，該方法在保證該系統(tǒng)數(shù)據(jù)傳遞的效率的同時提高了匿名通信系統(tǒng)的安全性與可靠性。

1 可信計算模式下P2P匿名通信系統(tǒng)設計

1.1 可信計算模式下P2P匿名通信硬件系統(tǒng)設計

本文提出可信計算模式的P2P匿名通信系統(tǒng)，該系統(tǒng)為網(wǎng)絡用戶提供了一個安全可靠的信息交流平臺，系統(tǒng)的硬件結構如圖1所示。

圖1 P2P匿名通信系統(tǒng)硬件結構圖

在用戶登入匿名通信系統(tǒng)時，首先通過用戶登錄模塊進行身份的驗證，在P2P匿名通信網(wǎng)絡中記錄登錄狀態(tài)，如果是首次登錄的情況下，系統(tǒng)將建立一個配置文件，將用戶名、密碼信息存入該文件中。登入成功后P2P匿名通信網(wǎng)絡將自動進行初始化操作。匿名通信系統(tǒng)中網(wǎng)絡通信模塊起到節(jié)點之間交互的作用。可以一對一交互信息，也可以一對多交互資源。數(shù)據(jù)模塊負責將要傳遞的數(shù)據(jù)進行打包，并對數(shù)據(jù)包進行加密。而可信計算模塊是整個系統(tǒng)中計算量最大的模塊，主要負責計算匿名通信系統(tǒng)的可信度與安全度。

1.2 可信計算模式下P2P匿名通信軟件系統(tǒng)設計

首先對P2P匿名通信系統(tǒng)的匿名通道進行設計，假設L是匿名通信系統(tǒng)中新增的屬性，該屬性描述了數(shù)據(jù)包的生命周期；M是匿名通信系統(tǒng)中已經(jīng)傳遞的匿名數(shù)據(jù)包；A表示接收匿名數(shù)據(jù)包目的地地址；目的地的簽注密鑰的公共密鑰為Ka，Ki為可信計算簽注密鑰的公共密鑰，因此有下列表達式：

L1,K1[R1,Ka(R0,M),A]→L2,Ka[(R0,M),A]

(1)

式中,L1為已發(fā)送的匿名數(shù)據(jù)包在沒經(jīng)過可信計算之前的生命周期；L2為已發(fā)送的匿名數(shù)據(jù)包經(jīng)過可信計算之后的生命周期；R1、R0是P2P匿名通信系統(tǒng)中附加的匿名數(shù)據(jù)包，是用來保證數(shù)據(jù)包傳遞前后一致性。建立一個可信計算的聯(lián)接，稱之為可信計算匿名通道。在P2P系統(tǒng)中有許多可供可信計算的節(jié)點，在數(shù)據(jù)包傳遞之前，這些節(jié)點將通過可信計算來計算匿名通道的可信性，數(shù)據(jù)包沿著已經(jīng)計算過的匿名通道進行傳遞，但在數(shù)據(jù)包傳遞時，在通道中數(shù)據(jù)包將要經(jīng)過的節(jié)點必須在線，否則數(shù)據(jù)包傳遞將失敗。

數(shù)據(jù)包在未傳遞之前，應該按照P2P匿名通信系統(tǒng)中匿名通道節(jié)點的個數(shù)，對數(shù)據(jù)進行層次性打包，將要傳遞的數(shù)據(jù)包放在最內(nèi)層，并且將該數(shù)據(jù)包進行加密，只有相關結點的簽注密鑰才能將其打開。以這種方法層層打包數(shù)據(jù)，并通過各個節(jié)點，當該數(shù)據(jù)包達到最后一個節(jié)點時，即目的地節(jié)點，以該節(jié)點的簽注密鑰進行解密。在P2P匿名通信系統(tǒng)中數(shù)據(jù)包的格式如圖2所示。

圖2 數(shù)據(jù)包格式

匿名通道中每個節(jié)點都將接到一個數(shù)據(jù)包，并用簽注密鑰對已經(jīng)加密的數(shù)據(jù)包進行解密，然后根據(jù)P2P匿名通信系統(tǒng)的指示進行轉發(fā)。則數(shù)據(jù)包的傳遞過程為：

L1,Kn[Rn,Kn-1(Rn-1,...,K2(R2,K1(R1,Ka(R0,M),A))...)]

→L2,Kn-1[Rn-1,...,K2(R2,K1(R1,Ka(R0,M),A))...]

→... ... ...→L,K(R,M),A

(2)

當A是可信計算匿名網(wǎng)絡通道節(jié)點的地址時，已傳遞的數(shù)據(jù)包將由該節(jié)點接收，數(shù)據(jù)包只有兩種狀態(tài)，一種狀態(tài)是數(shù)據(jù)包已達到目的節(jié)點；另一種狀態(tài)是數(shù)據(jù)包生命周期已到期被拋棄。

P2P匿名通信系統(tǒng)中有相應的儲存節(jié)點，當儲存節(jié)點不在線時目的節(jié)點將進行緩存，當時間過長時，會將數(shù)據(jù)傳遞給相鄰的節(jié)點進行保存，需要查詢數(shù)據(jù)時，目的節(jié)點會向相鄰節(jié)點發(fā)出查詢請求，同時獲取相關的更新信息。

1.3 可信計算模式下P2P匿名通信系統(tǒng)可信度計算

P2P匿名通信系統(tǒng)中，每個節(jié)點都將保護用戶個人隱私，為了使P2P匿名通信系統(tǒng)中沒有泄密的網(wǎng)絡節(jié)點，通過可信度計算來計算匿名通信系統(tǒng)的各個節(jié)點是否可信。

假設P2P匿名通信系統(tǒng)節(jié)點數(shù)為n，系統(tǒng)中還將設立m個系統(tǒng)登入口，且m

H=H1+H2+...+Hk

(3)

式中,P(I/H)表示P2P匿名通信系統(tǒng)中有泄密者的情況，并準確猜出數(shù)據(jù)包發(fā)送源的概率。匿名通信系統(tǒng)中可信的節(jié)點有n+m+z個，設發(fā)送源的可信值為e，匿名通道的長度為k+1，假設：

n+m+z=t

(4)

(5)

當e=10時，則以最高可信度值計算P2P匿名通信系統(tǒng)中安全度，第1個泄密節(jié)點位于匿名通道第i個節(jié)點位置的概率為：

(6)

匿名通信系統(tǒng)中第1個泄密節(jié)點在第1個匿名通信節(jié)點位置或之后的概率為：

(7)

匿名通信系統(tǒng)中第2個泄密節(jié)點在第2個匿名通信節(jié)點位置或之后的概率為：

(8)

當匿名通信系統(tǒng)中第1個泄密者位于第1個匿名通信節(jié)點位置時，它前一個節(jié)點一定是數(shù)據(jù)包的發(fā)送源，則事件I成立，因此，得到P(I/H)=1。當匿名通信系統(tǒng)中第1個泄密者位于第2個匿名通信節(jié)點位置或之后時，它前一個匿名通信系統(tǒng)節(jié)點是數(shù)據(jù)包發(fā)送源的概率是1/(t-c)，匿名通信系統(tǒng)中出現(xiàn)非匿名節(jié)點的概率是相同的，即：

(9)

P(I)=P(H1)P(I/H1)+P(H2)P(I/H2)=

(10)

(11)

因為式中q≤1，所以1-qk-1<1-qk，因此，當滿足公式(11)時，則有：

(12)

(13)

即P2P匿名通信系統(tǒng)達到可信安全的程度。

2 實驗與分析

該實驗將在Xen隔離Compartment的平臺上進行，該系統(tǒng)采用TPM安全芯片、源虛擬機監(jiān)控器Xen-3.0.2、匿名通信系統(tǒng)可信服務層的TCMG、TSMG、MA等模塊。在P2P匿名通信系統(tǒng)中，系統(tǒng)匿名性以匿名通信系統(tǒng)的可信度來進行評估。假設N(N>1)為P2P匿名通信系統(tǒng)的規(guī)模，S為匿名通信系統(tǒng)中數(shù)據(jù)泄密的情況下系統(tǒng)的規(guī)模，H(X)為匿名通信系統(tǒng)的熵值，pi為匿名通信系統(tǒng)中第i個節(jié)點被認為發(fā)送源的概率。推斷發(fā)送源的方法一般采用排除法，以泄密節(jié)點為中心，排除附近不可能的節(jié)點，獲得一個較小的集合，再進行最終的判斷。在不考慮泄密節(jié)點的情況下，匿名通信系統(tǒng)的可信度可以表示為：

(14)

式中,H*(X)表示匿名通信系統(tǒng)在沒有泄密節(jié)點情況下的理想熵值。

通過上述公式的定義可以得出匿名通信系統(tǒng)的可信度與匿名通信系統(tǒng)中每個節(jié)點的區(qū)分度有關。匿名通道中節(jié)點區(qū)分度越大，數(shù)據(jù)泄密的越多，熵值越小，因此系統(tǒng)的可信度越弱，反之匿名通道中節(jié)點區(qū)分度越小，數(shù)據(jù)泄密的越少，熵值越大，因此系統(tǒng)的可信度越強。如果可以保持匿名通信系統(tǒng)中節(jié)點在一個較的小區(qū)分度內(nèi)，則提高匿名通信系統(tǒng)的可信性。則S越大，匿名通信系統(tǒng)的可信度越高。而利用本文提出的可信度計算方法，可以計算出該節(jié)點的可信性，同時對節(jié)點進行再次加密。

P2P匿名通信系統(tǒng)節(jié)點數(shù)為n，其中有B個節(jié)點經(jīng)過可信計算，在x個周期后，攻擊者收集到匿名通信系統(tǒng)中可疑的IP地址數(shù)量為n+(x-1)B個，在泄密節(jié)點存在的情況下，匿名通信系統(tǒng)的可信度可以表示為：

(15)

圖3顯示出S減小后匿名通信系統(tǒng)可信度的變化情況。與當前使用的匿名通信系統(tǒng)相比，該匿名通信系統(tǒng)隨著使用的時間變長，可信度減少現(xiàn)象變慢，這種現(xiàn)象相對于P2P匿名通信系統(tǒng)來講是一個有意義的結果，匿名通信系統(tǒng)使用的時間越長，產(chǎn)生的IP地址會越多，IP地址越多分析難度越大，并延長匿名通信系統(tǒng)的分析時間，因此，使得匿名通信系統(tǒng)的可信度增加，在極端的情況下，目的節(jié)點將自己已知節(jié)點廣播給相鄰的兩個節(jié)點，從而實現(xiàn)相鄰節(jié)點之間的信息交互，使得匿名通信系統(tǒng)中節(jié)點獲得更多的鄰居。當S=1時，對于當前使用的匿名通信系統(tǒng)來說，攻擊者已經(jīng)找到發(fā)送源節(jié)點，即D(X)=0，而對P2P匿名通信系統(tǒng)而言，攻擊者只是找到了發(fā)送源節(jié)點所在的網(wǎng)段，發(fā)送源節(jié)點并沒有完全的暴露，即發(fā)送信息與發(fā)送者的隱私?jīng)]有暴露。

圖3 可信度與匿名通信系統(tǒng)規(guī)模的關系

而影響匿名通信系統(tǒng)可信度與安全度的還有TCP匿名網(wǎng)絡通道連接。當一個匿名通信節(jié)點與一個主機構建一個TCP匿名網(wǎng)絡通道連接，為了保證數(shù)據(jù)傳遞的過程中TCP匿名通道不被切斷，過期的匿名通信網(wǎng)絡節(jié)點也會被繼續(xù)使用，過期的節(jié)點僅被以前建立的匿名通道使用，新建立的TCP匿名通道連接，還是需要使用新的匿名通道節(jié)點，在這種情況下即使攻擊者獲得相關的網(wǎng)絡節(jié)點之間的聯(lián)系，也僅僅解除了發(fā)送源節(jié)點第一層加密，攻擊者的攻擊對匿名通信系統(tǒng)整體影響并不大，因此，可以認為本文的方法起到一定的作用。

我們不僅對P2P匿名通信系統(tǒng)的安全性進行了實驗，而且對本系統(tǒng)的性能也進行了相關的實驗，在保證匿名通信系統(tǒng)可靠性與安全性的同時，該系統(tǒng)是否可以保證匿名通信系統(tǒng)的傳遞效率，因此，展開匿名通信系統(tǒng)傳遞效率的實驗。

雖然該系統(tǒng)的可信度、安全度較強，但匿名通信系統(tǒng)傳遞的效率也是廣大使用者關注的熱點之一，是否在保證安全可靠的匿名通信的前提下，提高匿名通信系統(tǒng)的傳遞效率。影響傳遞效率的主要因素有傳遞數(shù)據(jù)的大小、傳遞通道中經(jīng)過的節(jié)點個數(shù)(中間節(jié)點)、IP地址的沖突。前兩個因素一直是匿名通信效率研究關注的重點，本實驗也將關注IP地址的沖突的研究。

該實驗通過理論與實踐的方法證明IP地址沖突的沖突率。首先，在北京大學校園中DHCPv5服務器中申請了150個連續(xù)的IP地址作為SIP地址，利用這150個地址生成可變的IP地址，為了保證實驗的嚴謹性，經(jīng)過2000次的循環(huán)實驗，得到的結果顯示，這150個IP地址之間并沒有出現(xiàn)沖突，可以認為在該網(wǎng)段中，不會因為IP地址沖突導致匿名通信系統(tǒng)數(shù)據(jù)傳遞效率，因此推斷在P2P匿名通信系統(tǒng)中IP地址的變更不會造成大量的IP地址沖突，影響匿名通信系統(tǒng)的數(shù)據(jù)傳遞效率。

此外，還對其他兩個因素進行研究，首先將北大的匿名通信節(jié)點在北大的校園網(wǎng)中進行匿名通信效率的測試，圖4表示匿名通道中節(jié)點的個數(shù)對匿名通信系統(tǒng)傳遞效率的影響，圖4還同時顯示了傳遞數(shù)據(jù)包大小對匿名通信系統(tǒng)傳遞效率的影響，而數(shù)據(jù)包越大，經(jīng)過匿名通道中間節(jié)點越多，匿名通信系統(tǒng)傳遞的效率越低，數(shù)據(jù)包越大匿名通信系統(tǒng)傳遞得到時間越長，這是不可避免的問題。但是與當前匿名通信系統(tǒng)相比，傳遞效率有顯著的提高。

圖4 傳遞延遲與中間節(jié)點及數(shù)據(jù)包大小的關系

表1給出了當前匿名通信系統(tǒng)與P2P匿名通信系統(tǒng)數(shù)據(jù)傳遞延遲的比較結果，表中的延遲數(shù)值是從匿名通信系統(tǒng)起始節(jié)點發(fā)出請求到請求內(nèi)容傳遞回來的時間。

表1 當前系統(tǒng)與P2P系統(tǒng)數(shù)據(jù)包傳遞延遲時間比較

從表1中可知P2P匿名通信系統(tǒng)要比當前系統(tǒng)的延遲時間短，而且因為當前系統(tǒng)已經(jīng)被廣大用戶認可，所以可以認為本文可信技術模式下P2P匿名通信系統(tǒng)設計可以滿足匿名通信系統(tǒng)的基本需求。

3 結論

針對當前使用的方法，無法在用戶節(jié)點匿名的前提下，保證P2P匿名通信系統(tǒng)的匿名節(jié)點可信性。本文提出一種基于可信計算模式P2P匿名通信系統(tǒng)設計方法。仿真實驗結果表明，所提方法在保證該系統(tǒng)數(shù)據(jù)傳遞效率的同時提高了匿名通信系統(tǒng)的安全性與可靠性。

[1] 王少輝,蔣季宏,肖 甫.基于重路由匿名通信系統(tǒng)的設計[J].計算機科學,2016,43(10):154-159.

[2] 譚慶豐,方濱興,時金橋,等.StegoP2P:一種基于P2P網(wǎng)絡的隱蔽通信方法[J].計算機研究與發(fā)展,2014,51(8):1695-1703.

[3] 韓祺祎,任夢吟,文 紅.基于拓撲勢的P2P社區(qū)推薦信任模型[J].電子與信息學報,2015,37(6):1279-1284.

[4] 王嘉慧,程久軍.P2P模式下基于網(wǎng)格擴增的位置匿名算法[J].計算機科學,2014,41(4):90-94.

[5] 羅 健,廖俊國,李 雄.P2PSpaceTwist:一種主動式用戶協(xié)作的位置隱私保護方法[J].計算機工程與科學,2016,38(8):1661-1668.

[6] 周 璇,宦國強,宋占杰.基于P2P網(wǎng)絡的機頂盒VoD系統(tǒng)條件接收機制[J].計算機科學,2015,42(4):72-75.

[7] 王昱華,江 林,胡志剛,等.基于DHT的P2P系統(tǒng)負載均衡算法[J].計算機工程與應用,2015,51(23):100-105.

[8] 曾明霏,余順爭.使用虛擬參與人和博弈論的P2P網(wǎng)絡信用系統(tǒng)模型[J].小型微型計算機系統(tǒng),2014,35(6):1309-1314.

[9] 劉曉坦, 李曉雯, 崔 翔. 基于可信計算的多級安全策略研究[J]. 電子設計工程, 2016, 24(7):148-150.

[10] 譚慶豐,時金橋,方濱興,等.匿名通信系統(tǒng)不可觀測性度量方法[J].計算機研究與發(fā)展,2015,52(10):2373-2381.

Design of P2P Anonymous Communication System Based on Trusted Computing

Lei Tao

(School of Physics and Electronic Engineering,South China Normal University, Guangzhou 510006,China)

In order to improve the safety and reliability of P2P anonymous communication system, the need to design P2P anonymous communication system. Anonymous communication system currently in use, not in the anonymous user node, to ensure the credibility of P2P anonymous communication system of anonymous nodes. Therefore, puts forward a design method of P2P anonymous communication system based on trusted computing model. The hardware part is divided into system login module, communication module, data module, trusted computing module 4 modules, mutual cooperation between modules, to form a complete anonymous communication system, anonymous communication system software design through the connection establishment of trusted computing, Realization of data transmission in the anonymous channel, and the level of data transfer encryption package to the credibility of the calculation, the node in anonymous communication system, anonymous channel is calculated, the formation of a safe and reliable delivery channel. Anonymous experiments show that this method improves the safety and reliability of the anonymous communication system to ensure efficiency the system of data transmission at the same time.

trusted computing;P2P;anonymous communication system

2017-04-18；

2017-05-07。

廣東省省級科技計劃項目(2013B010204019)。

雷 濤(1973-)，女，四川成都人，博士研究生，講師，主要從事信息安全方向的研究。

1671-4598(2017)08-0268-04

10.16526/j.cnki.11-4762/tp.2017.08.069

TP393

A