一種運用重路由技術的匿名通信系統改進模型研究

黃賢明　黃鑫

摘 ?要： 當前已有不少基于重路由的匿名通信系統，但現有的匿名通信系統大部分在獲得匿名的同時卻犧牲了效率。為設計既安全又高效的匿名通信系統，提出基于重路由技術的匿名通信系統改進模型，對匿名系統的匿名度進行探究。模型根據敵手攻擊能力的不同，提出兩種改進方式：對于敵手攻擊能力為1的情形，提出單一節點和多節點的信息熵偏差模型，該模型能夠用于不同系統之間匿名性的比較，客觀、合理地給出各個節點的權重;對于敵手攻擊能力為0.95的情形，引入模糊熵的概念與非線性規劃模型，運用模糊熵與概率熵相結合，充分利用模糊隨機變量整合所有不確定性，理論分析表明，改進后的重路由算法均能有效保證匿名性能?；诮o定的匿名系統信息發送概率，設計實例求解系統的匿名性并做比較分析，實驗結果表明，改進后的匿名系統度量模型具有較好的可靠性與優越性。

關鍵詞： 匿名通信系統; 改進模型; 重路由技術; 節點權重; 不確定性整合; 理論分析

中圖分類號： TN914?34; TP393 ? ? ? ? ? ? ? ? ? 文獻標識碼： A ? ? ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2020）24?0096?06

Research on improved anonymous communication system

model using rerouting technology

HUANG Xianming， HUANG Xin

（School of Computer， Hunan University of Technology， Zhuzhou 412007， China）

Abstract： Currently， there are many anonymous communication systems based on rerouting， but most of the existing anonymous communication systems lose efficiency while gaining anonymity. An improved anonymous communication system model based on the rerouting technology is proposed and the anonymity of the system is explored to design a safe and effective anonymous communication system. The two improved modes of the model are proposed according to the different attack ability of the adversary. In allusion to the case that the attack ability of the adversary is 1， the information entropy deviation model of single node and multi?node is proposed， which can be used to compare the anonymous performance of different systems and give the weight of each node objectively and reasonably. In view of the case that the attack ability of the adversary is 0.95， the concept of fuzzy entropy and nonlinear programming model are introduced， and the combination of fuzzy entropy and probability entropy is used to integrate all uncertainties by fully utilizing the fuzzy random variable. The theoretical analyses show that the improved rerouting algorithm can guarantee the anonymous performance effectively. Based on the given information sending probability of anonymous system， an example is designed to solve the anonymous performance of the system， and its results are compared. The experimental results show that the improved metrics model of the anonymous system has better reliability and superiority.

Keywords： anonymity communication system; improved model; rerouting technology; node weight; uncertainty integration; theoretical analysis

0 ?引 ?言

隨著網絡服務的快速發展，隱私問題已經引起了人們越來越多的關注。為了保護用戶通信安全，互聯網系統會為用戶提供匿名操作[1]。為了保證用戶訪問互聯網的安全性，匿名成為必要要求。特別是以下的互聯網應用，如在線股票、電子商務、電子銀行等，包括一些特殊行業，如國防、軍事部門需要共享一些內部信息，但不能暴露信息的內容。以上應用對保密性要求很高，匿名性是必不可少的。另外，由于部分非匿名用戶因發送明文消息而泄露了個人隱私，因此匿名通信系統的開發利用在許多實際應用中也有著強烈需求。目前，已經有不少基于重路由技術的匿名通信系統，但現有的匿名通信系統由于采用的匿名技術不同，匿名性程度也不盡相同。一些提供一般的匿名保護而實現了高效率，一些以犧牲效率為代價提供了強力的匿名保護，一些達到了匿名和效率的妥協[2]。匿名性的獲取是研究匿名通信技術的關鍵，而匿名度作為衡量匿名性的重要指標，也一直是研究人員所關注的問題。

鑒于上述現狀，本文提出基于重路由技術的匿名通信系統的改進模型，以匿名性為主要研究對象，在合理的假設下，采用多種方法對系統匿名性進行度量，從不同角度對匿名系統進行研究，設計出合理的算法;通過計算機編程求解，探究該模型及算法在匿名電子郵件、電子商務、匿名瀏覽、網上醫療咨詢、電子銀行等方面的應用。

1 ?相關研究工作

1.1 ?匿名技術

目前，匿名技術的發展具有一定的研究基礎，如crowds、Mix nets、洋蔥路由等匿名技術[2?5]都有著廣泛的應用和研究領域，但是這些匿名技術的共同缺點是缺乏對匿名用戶操作的監督和控制，并且在系統出現問題時缺乏相應的對策，提供匿名服務還降低了系統的安全性。因此在匿名技術的開發過程中，也帶來了不良和非法的行為：利用匿名通信系統服務器發起分布式拒絕服務攻擊;利用電子現金系統的匿名性進行洗錢和非法圈錢行為;通過發送匿名郵件或發布匿名公告等對他人進行惡意的人身攻擊和誹謗?？梢姡W絡活動的匿名性導致的惡意行為仍在繼續，危害程度越來越高，對匿名技術和可控匿名系統的研究已迫在眉睫。

1.2 ?重路由技術

重路由技術在匿名通信系統方面有許多應用，基于此技術的匿名系統通常具有一個或多個轉發節點用于連接發送者和接收者，這些節點轉發、填充和改寫數據包以隱藏數據包的來源及關聯。這種匿名通信系統主要包括Anonymizer、L PW A、Onion router[6]、Horder[7]、Tarzan[8]、Morph Mix[9]等。重路由技術通常用于實現發送方通信者的匿名性和不可連接性，其基本原理是發送者的數據包由中間節點進行轉發和處理操作，可以隱藏發送者的信息以及其與接收者之間的關聯。

Anonymizer通信系統也提供匿名互聯網訪問服務，基本原理是從瀏覽器請求中將信息報文的認證頭以及源地址的地址信息去掉。所以服務器只能獲取匿名服務器的地址而不能獲取用戶的真實地址，在此方案中，所有的重路由路徑都只有一個中間節點，這便是Anonymizer服務器。

與Anonymizer類似，L PW A通信系統使用匿名服務器，該服務器可以接收發送者的匿名連接并將信息轉發到目主機，其中，發送者的地址是隱藏的，只有接收者能獲取該服務器地址。該重路由技術的優勢是簡單易建立，缺點是一旦被攻破，通信系統中所有信息都將泄露。文獻[6]給出了Onion router的轉發模式，在建立路徑階段采用源路由方式，通過洋蔥路由服務器進行路徑選擇，根據路徑節點將IP包從后往前進行逐個加密封裝，使匿名破壞者只能解密最外層，從而保護通信。

文獻[7]給出了Horder通信模式，利用多個代理來匿名轉發數據包給接收者，與Crowds使用策略類似，用戶在使用匿名功能的同時成為系統服務者，不用的是Horder在回復消息時采用多播服務而不走發送者路徑。該技術優勢是在各節點上不需要太多路由表，不易遭到被動攻擊。對于抵御Dos攻擊方面，Tarzan由于限制了各個節點的發送/接收數據包數量比例，從而可以防止序列號和數據包被篡改，能較好地抵抗Dos攻擊;Morph Mix采用嵌套和鏈路雙重加密機制，系統處于動態變化狀態，雖然對手較難破壞通信通道節點，但是由于任何節點都容易進出該系統，所以該系統在抵抗Dos攻擊方面較弱。

2 ?針對敵手攻擊能力為1的情形

2.1 ?模型分析

[senderer][receiver]

圖1重路由匿名系統模型由N個節點組成，是一類基于重路由技術的通用模型，其中，節點的集合V可表示為V={vi：1≤i≤N}。發送者匿名狀態是通過N個節點相互合作實現的，該匿名系統中的N個節點中不包括接收者。除此之外，在傳輸層建立系統模型，同時假定每個主機節點之間可以互相通信。如圖1所示，信息由節點0發送出去，經過由匿名系統確定的重路由路徑<0，5，3，7，9，R>傳送，最終達到接收節點R。

由于基于重路由技術的匿名系統的通用模型不能作為其他系統下匿名性比較的數學模型，針對敵手攻擊能力為1的情形，提出改進模型，即基于信息熵理論的信息熵偏差模型。該模型能夠用于不同系統之間匿名性的比較，并且分析每個節點對系統模型的影響，從而客觀、合理地推導出各個節點的權重，由單一節點信息熵的偏差模型引申出多節點的偏差模型。

2.2 ?信息熵偏差模型的建立

每一個網絡節點可視作一個用戶，每個用戶之間可以相互訪問;敵手的攻擊能力為1，即攻擊者能100%識別節點概率差異，即不考慮各節點概率差異。由于可能同時有多個節點訪問N0，故按照訪問節點N0的節點數，將該模型分為單節點訪問的信息熵偏差模型和多節點訪問的信息熵偏差模型。

3.2 ?模糊熵和概率熵的結合

假設存在離散概率空間（X，P），假定模糊集A定義在論域X上，其中，X=xi的概率為P，則該整體熵為：

[H（A，P）=-i=1npi（μilog μi+（1-μi）log（1-μi））] （7）

式（7）將模糊熵和概率熵緊密結合在一起，通過和的形式將模糊熵和概率熵融合成整體，以此平均不確定性，其中，HS（P）是Shannon熵。

[Htot（A，P）=HS（P）+H（A，P）] ? ? ? ?（8）

3.3 ?確定系統的匿名度

設離散模糊隨機變量X取值A1，A1，…，An，P{X=Ai}=pi，且H（Ai）=hi，則X的混合信息熵定義為：

[H（X）=i=1n（1+hi）pilog（1pi）+hi（1+pilog（1pi））] （9）

若記單個模糊事件{X=Ai}的Shannon熵與pi的積為si，則式（9）可簡單表示為：

[H（X）=i=1n（1+hi）si+hi（1+si）] ? ? ? （10）

從式（10）可以推斷出，模糊隨機變量的混合熵不僅包含單獨的模糊熵和信息熵部分，還包含了它們的交叉部分。這說明模糊隨機變量既包含相對獨立的模糊性部分，又包含與其相對的隨機性部分，同時它們還存在相互纏繞依存而不可分的特性。

在本節中，當單節點訪問N0時，根據信息熵模型可得[Hm=i=1N1Nlog2N=log2N]，而當[i=1，2，…，n]，式（10）改寫為模糊熵[H（X）=i=1npilog（1pi）]，則匿名度d為：

[d=H（X）Hm=i=1npilog（1pi）log2N] ? ? ? ?（11）

3.4 ?非線性規劃模型建立

根據模糊熵和概念熵，確定系統匿名度的定量計算公式作為目標函數，根據敵手的攻擊能力造成的識別節點的概率差異，確定訪問節點概率范圍為約束條件。建立非線性規劃模型，尋找各個系統在約束條件作用下的匿名度最優值。

3.4.1 ?非線性規劃算法步驟

目標函數或約束條件中包含非線性函數的問題稱為非線性規劃問題。使用Matlab描述非線性規劃問題時，其數學模型可以寫成以下形式：首先目標函數可表示為min f（x）。約束條件：

[s.t. ?A?x≤bAeq?x=beqc（x）≤0ceq（x）=0lb≤x≤ub]

式中：f（x）表示標量函數;A、b、Aeq、beq、lb、ub分別對應其相應維數的矩陣和向量;c（x）、ceq（x）表示非線性向量函數。

使用Matlab命令表示如下：

[x，fval]=fmincon（fun，x0，A，b，Aeq，beq，lb，ub，nonlcon，options）

命令中返回值x表示決策向量x的取值，fval表示返回的目標函數取值。參數中fun表示由M文件定義的函數f（x）;x0為x初始值;A、b、Aeq、beq則分別定義線性約束條件A·x≤b，Aeq·x=beq，若無線性約束，則會出現A=[]、b=[]、Aeq=[]、beq=[];lb、ub表示變量x的下界和上界，即x的取值范圍。若無上界和下界約束，則lb=[]， ub=[]，即lb的所有分量都為-inf， ub的所有分量都為inf;nonlcon表示采用了M文件定義的非線性向量函數c（x）， ceq（x）;options表示定義優化參數。這些參數設置使用Matlab中默認值。

3.4.2 ?目標函數及約束條件的確定

目標函數：

[f（p）=i=1npilog（1pi）log2N] ? ? ? ? ?（12）

約束條件：對于P3系統，已知P3={0.18，0.18，0.18， 0.16，0.16，0.07，0.07，0，0，0}得到約束條件如P3系統所示;對于P4系統，已知P4={0.17，0.17，0.17，0.15，0.15，0.15，0.13， 0.13，0.13，0.1}，觀察數據可得，概率之和不為1，于是對P4中的各概率進行歸一化處理。得到歸一化后的概率P4={0.117 2，0.117 2，0.117 2，0.103 4， 0.103 4，0.103 4，0.089 7，0.089 7，0.089 7，0.069}，于是約束條件如P4系統所示。

P3系統：

[i=1n=10pi=10.13≤p1≤0.230.13≤p2≤0.230.13≤p3≤0.230.11≤p4≤0.210.11≤p5≤0.210.02≤p6≤0.120.02≤p7≤0.120≤p8≤0.050≤p9≤0.050≤p10≤0.05]

P4系統：

[i=1n=10pi=10.067 2≤p1≤0.167 20.067 2≤p2≤0.167 20.067 2≤p3≤0.167 20.053 4≤p4≤0.153 40.053 4≤p5≤0.153 40.053 4≤p6≤0.153 40.039 7≤p7≤0.139 70.039 7≤p8≤0.139 70.039 7≤p9≤0.139 70.019≤p10≤0.119]

3.5 ?計算系統匿名度的最優值

利用Matlab編程求解P3系統和P4系統在概率范圍約束內，優化得到的系統匿名度值分別是d3=0.972 8，d4=0.991 2。

顯然d3

4 ?結 ?語

本文基于重路由技術進行了2次改進，首先針對敵手的攻擊能力為1的情況，提出改進的匿名系統匿名性度量模型。通過分析以節點的發送偏差概率作為該節點在系統匿名性度量中的權重，分別建立了單節點訪問N0的信息熵偏差模型和多節點訪問N0的信息熵偏差模型。定量計算得到p1，p2系統的匿名度分別為0.951 7，0.952 5，定性分析得到系統匿名度關于節點訪問個數對稱的結論。該模型的優勢為避免了傳統模型的主觀性，使得匿名度比較客觀，可廣泛應用于不同匿名性系統綜合評價問題。其次，針對敵手的攻擊能力為0.95的情況，提出了模糊熵和概率熵結合的方法并建立新的匿名通信模型，以匿名度為目標函數，概率范圍為約束條件，采用非線性規劃方法，利用Matlab編程得到p3，p4系統的匿名度的最優值分別為0.972 8，0.991 2。該模型優勢為數學概念清晰，計算簡便實用，可信度較高，且巧妙地利用了非線性規劃求解，減少了工作量。

本文提出的改進模型是在假設各節點之間相互獨立、互不干擾下進行的匿名研究，未來將研究復雜情況下匿名通信系統的匿名性度量問題，以保證各通信節點的有效性和安全性。

參考文獻

[1] 陸天波，程曉明，張冰.MIX匿名通信技術研究[J].通信學報，2018（12）：135?143.

[2] 崔璨.匿名通信系統中的洋蔥路由及可控接入技術研究[D].曲阜：曲阜師范大學，2019.

[3] FATEMEH S， MILIVOJ S， RIZWAN A M， et al. A survey on routing in anonymous communication protocols [J]. ACM computing surveys， 2016， 51（3）： 1?39.

[4] JIANG L L， LI T， LI X， et al. Anonymous communication via anonymous identity?based encryption and its application in IoT [J]. Wireless communications and mobile computing， 2018（7）： 122?138.

[5] BRAEKEN A， LIYANAGE M， JURCUT A D. Anonymous light weight proxy based key agreement for IoT （ALPKA） [J]. Wireless personal communications， 2019（7）： 1?20.

[6] SYVERSON P F， GOLDSCHLAG D M， REED M G. Anonymous connections and onion routing [J]. IEEE journal on selected areas in communications， 2018， 16（4）： 482?494.

[7] SHIELDS C， LEVINE B N. A protocol for anonymous communication over the internet [C]// Proceedings of 7th ACM Conference on Computer and Communication Security. Athens： ACM， 2000： 33?42.

[8] FREEDMAN M J， MORIS R. Tarzan： a peer to peer anonymizing network layer [C]// Proceedings of 9th ACM Conference on Computer and Communications Security. Washington： ACM， 2002： 193?206.

[9] REMHARD M， PLATTNER B. Introducing M orphMix： Peer?to?Peer based anonymous internet usage with collusion detection [C]// Proceedings of Workshop on Privacy in the Electronic Society. Washington： ACM， 2018： 121?135.

[10] SHIN Yoshihiro， YASUDA Hiroshi， MAEDA Katsuyuki， et al. Researchers submit patent application， anonymous communication system and method for subscribing to said communication system： USA， USPTO 20190149523 [P]. 2017?08?22 [2019?01?23].

[11] 王良民，倪曉鈴，趙蕙.網絡層匿名通信協議綜述[J].網絡與信息安全學報，2020，6（1）：11?26.

[12] 楊云，李凌燕，魏慶征.匿名網絡Tor與I2P的比較研究[J].網絡與信息安全學報，2019，5（1）：66?77.

[13] 薛智宇.基于SDN的匿名通信追蹤模型的研究[J].計算機與數字工程，2019（10）：2413?2416.

作者簡介：黃賢明（1976—），男，回族，湖南漢壽人，碩士，碩士生導師，副教授，研究方向為網絡信息安全、通信技術、工作流技術。

黃 ?鑫（1979—），男，湖南湘潭人，碩士，講師，研究方向為網絡信息安全、通信技術。