云匿名系統多維度性能評估方法*

黃 磊

（江蘇大學 鎮江 202013）

1 引言

隨著云服務技術的發展，給人們帶來了極大的便利。然而，在使用云計算、云存儲的同時，存在隱私泄露［1～4］的風險，會給客戶造成極大的損失。匿名技術作為一種主要的隱私增強技術被廣泛應用于互聯網的各個方面，用來隱藏通信過程中通信主體的身份信息以及通信雙方的通信關系，從而為在線用戶提供隱私保護。然而，隨著網絡流量分析技術的發展，攻擊者不僅可以檢測到匿名通信系統的流量指紋特征，還能夠更進一步監視匿名網絡，從而破解其匿名性、甚至可以阻斷互聯網用戶跟匿名通信系統的連接，如“棱鏡”計劃顯示美國政府部門已經針對Tor［5～6］等匿名網絡開展大規模的信息收集工作［7］。因此，現有匿名通信技術雖然能夠保證通信主體的不可追蹤性和通信客體的私密性，但是，不能掩蓋通信主體正在使用該技術這一事實，即對于敵手來說可以檢測到該用戶正在使用匿名系統進行通信。

本文工作，主要貢獻有以下三個方面。

1）設計了基于多云平臺的匿名系統框架模型，將mix節點布置在云平臺之上，結合二者優勢。并對系統工作原理進行了分析，從理論的角度上分析了云匿名系統可以對抗審查和抵制流量分析。

2）為了保證云匿名系統的有效性，采用多云結構模型，降低了中繼節點相互勾結的可能性。其中節點有類tor的mix節點稱為中繼節點，產生混淆流量的mix節點稱為管理節點。敵手可攻擊中繼節點，破壞系統的匿名性。流量混淆算法一定程度上可以抵制流量分析，從而可以降低節點被追蹤的可能性。

3）提出一種多維度云匿名評估方法，該方法涵蓋拓撲結構模型、敵手威脅模型、代價開銷模型，解決了現有匿名系統評估方法單維性的問題。針對拓撲結構模型，本文將傳統基于熵的度量方式進行改進，囊括了內在流量的角度和并排mix結構的角度。針對敵手威脅模型，將可追蹤率和譚慶豐的隱蔽性度量方式進行改進，解決了計算時無法在妥協節點比例確定的情況下衡量敵手攻擊系統能力的問題。為了評估系統的隱蔽性，拓撲結構模型的原理放入隱蔽性度量公式的當中去，更深層次度量了系統的隱蔽性。

2 相關工作

3 基于多云的匿名系統結構

為了更好地評估本文所提匿名淆亂算法，此處建立了一種基于多云框架的匿名系統模型。在文章［12］的基礎上，增加了管理節點原有的功能，改變了路由發送策略和流量混淆功能，同時布置了PO節點。為了便于研究工作的進行，對本文所提出的云匿名系統進行定義。

3.1 云匿名框架模型

云匿名系統由三部分組成：1）云提供商（Cloud provider）；2）管理員（Manager）；3）郵局云（PO）；4）Mix節點。具體結構如圖1所示。

3.2 云匿名系統工作原理

云提供商（CP）：負責提供計算和存儲服務，由于單一的服務提供商可能會導致一些惡意勾結或者攻擊的問題，單云存儲結構比較單一，只有單個的服務提供商，不足以保證數據的隱私安全。而多云存儲由于多個結構復雜多云存儲結構為mix級聯傳輸的數據進行暫時存放，便于接收者的獲取。傳統的單云模式常常出現被敵手攻擊的情況，引入多云結構，增加系統匿名性能，即使某一塊云被敵手攻擊，攻擊者也無法獲得發送方和接收方的身份信息。

管理節點（M）：管理節點是首個mix節點，根據用戶需求設計路徑選擇策略以及流量混淆算法，根據不同的Qos策略來選擇更加合適的匿名傳輸策略，根據用戶的需求布置對應流量混淆算法。

郵局云（PO）：支持離線存取功能，無需實時通信，在文章［13］中的郵局協議類似于PO結構，都是為了保證數據匿名傳輸。多云匿名系統增強系統匿名性，抵制各種攻擊手段。文章從網絡流量和針對節點攻擊兩個方面來研究匿名云系統的性能。

mix節點（M）：除了管理節點之外的mix節點，是用于傳輸消息的普通匿名節點，類似Tor電路中節點的作用。

4 云匿名系統多維度評估方法

為了便于理解，下文會逐一引入和定義。其中第四章各個符號含義如表1。

表1 主要符號及含義

4.1 拓撲結構模型

定義1內在拓撲結構模型（D1）：使用信息熵度量基本方法，將傳統的信息熵度量方式拓展到內部的流量特征，xi，j表示第i節點的第j個屬性的大小取值，pi，j是xi，j歸一化處理后的結果，匿名度D1的表示方式如下。

通過將每個節點的流量特征向量細分的方式可以將多維特征值納入評估指標，避免拓撲結構的不穩定性和片面性。

定義2外在拓撲結構模型（D2）：針對并排路由的匿名電路，借鑒文獻［14］的推導，當n>>K，ln（n-K）≈ln（n），ln（n！）≈n ln（n）-n，計算信息熵匿名度化簡得上式等價于：

4.2 敵手威脅模型

定義3內在敵手威脅模型（D3）：

定義4外在敵手威脅模型（D4）：令mix級聯的路徑長度為m，向敵手妥協的mix節點數目為t，則平均可追蹤率D4求解如公式如下。

4.3 代價開銷模型

定義5代價開銷模型（D5）：采用三元組的方式，［P，T，C］表示［計算開銷，時間，花費金額］來形象代替最終的開銷：

其中P和T只是在比值上符合上述關系，具體的C、P、T如何量化要符合實際系統的應用場景，便于計算同時有說服力。通過上述公式，可以看出計算開銷是衡量云匿名系統的一個指標。

5 實驗

本文通過實驗室9臺電腦在局域網內搭建了openstack私有云，建立3個domain，在每個domain中利用KVM虛擬化技術生成3個虛擬節點，在虛擬化節點中，修改mix的配置文件，將其配置為mix節點，實現了云匿名系統。服務器配置為Intel Core CPU E3-1225@3.10GHz并配備16GB內存，使用的計算機系統為Cent OS 7版本。以下對其進行實驗分析。

通過匿名云系統相關數據實時的收集、計算和歸納。收集到了1000條數據集，每條數據集是一個五元組D(D1，D2，D3，D4，D5)，代表了第四章對于匿名度的五個維度，同時對相關數據進行了處理和分析。如圖2所示對比了改進后的內在拓撲結構（D1）外在拓撲結構（D2），可以看出改進后的兩種拓撲結構會隨著敵手攻擊能力的增強而匿名度降低，這符合實際的情況，優于傳統固定不變的拓撲結構。圖3展示了內在敵手模型（D3）與改進前的隱蔽性進行比較，可以看出D3具有比較穩定的性質，并于傳統拓撲結構對比較，而隱蔽性度量考慮方式較為單一，因此D3的模型更加適合度量云匿名這種復雜的匿名系統。圖4比較了外在敵手模型（D4）和改進之前的可追蹤率進行比較，解決了計算時無法在妥協節點比例確定的情況下衡量敵手攻擊系統能力的問題。

圖2 傳統拓撲和改進后兩種拓撲之間關系

圖3 內在敵手模型的合理性

圖4 可追蹤率之間的關系型與

圖5展示了云匿名系統和Tor以及Mix所需要維護的人均成本，云匿名系統單位資源的人均費用最低，從用戶以及提供商的利益角度進行考量，屬于經濟利益角度，對于個人還有單位都是重要的。

圖5 三種匿名系統運營成本對比關系

6 結語

針對Tor匿名系統的不足，本文提出了云匿名系統，利用云平臺的計算、存儲的優勢，使得系統匿名性好和高效，同時可以抵制匿名節點相互勾結和抵制流量分析。為了衡量云匿名系統的性能，本文設計了一套性能度量方法，該方法可以同時將拓撲結構模型、敵手威脅模型、代價開銷模型納入性能度量范疇，同時借助時間序列的動態性將匿名度的波動性納入評估范疇，實現了匿名評估的可靠性。在基于流量混淆的多云匿名系統結構上對該方法進行了有效性驗證，結果表明該方法滿足了云匿名系統的特殊需求并且顯著優于傳統匿名系統匿名度分級的標準。然而，本文方法目前還無法評估云匿名系統整體的匿名性，鑒于匿名參數量化的困難性，本文下一步工作的重點內容有：1）研究匿名屬性的算法和測量方法；2）使用機器學習的方法分析出拓撲結構模型、敵手威脅模型、開銷模型之間變化的動態關系；3）根據云端的過往行為進行中繼mix節點評價，建立評價體系，構建更加優異的電路結構，促進云匿名系統發展。