第25卷第 11期
2005年 11月
计算机应用
Computer Applications
Vo1.25 No.11
NOV.2005
文章编号:1001—9081(2005)11—2475一O5
匿名通信概览
朱娜斐,陈松乔,眭鸿飞,陈建二
(中南大学信息科学与工程学院,湖南 长沙410083)
(yuanyuan1981@hotmail.corn)
摘 要:对匿名通信的基本概念及相关理论进行 了较为全面的整理。阐述了匿名通信的研究意
义,介绍了匿名通信及其攻击的定义。在此基础上对于目前不同的匿名通信系统进行了分析和评价,
并介绍了重要的攻击形式。最后提出了匿名通信的未来研究方向和关于匿名通信的法律问题。
关键词:匿名通信;匿名攻击;Mix;P2P
中图分类号:TN919;TP309 文献标识码:A
Overview of anonymous communication
ZHU Na—fei,CHEN Song—qiao,SUI Hong—fei,CHEN Jian—et
(School ofInformation Science and Engineering,Central South University,Changsha Hunan 410083,China)
Abstract:The definition and relative theories of anonymous communication were summarized.The importance of the
study on anonymous communication was illustrated. Current an onymous communication systems were analysed and the
impo~ant attack forms in them were introduced.At last the direction for future study and the legal problem of anonymous
communication were put forward.
Key words:anonymous communication;anonymous attacks;Mix;P2P
0 引言
Interact已经被越来越多地用于个人和商业通信中,如众
多市民使用网络来处理银行事务、购物和纳税等重要的商业
交易,信息安全逐渐成为一个潜在的巨大问题。因此信息加
密技术成为信息安全的一种重要保障手段。对信息本身的保
密已有相对成熟的保护信息的数据加密算法。
但H33"P,TCP/IP,MIME,兀 等开放式协议所需的报文
头部信息例如源地址和目的地址、报文长度等很难通过加密
算法来隐藏。攻击者可以利用协议存在的漏洞发动窃听与流
量分析攻击来获取通信双方的地址,进而推断出一些有价值
的信息。侦听是指攻击者对通信链路进行非法窃听,获取重
要信息。而流量分析是指攻击者可以对链路中信息的时间、
速率、源及目的地等信息进行分析,从而窃取通信双方的地址
以及相关重要信息。匿名通信是指通过一定的方法将业务流
中的通信关系加以隐藏,使窃听者无法直接获知或推知双方
的通信关系或通信的一方。匿名通信的一个重要目的就是隐
藏通信双方的身份或通信关系,从而实现对网络用户的个人
通信隐私及涉密通信的更好的保护。
1 匿名通信的定义
1.1 匿名通信
匿名通信主要研究网络通信中用户的标识信息的保密问
题。这一类标识信息包括用户主机的IP地址。我们假设发
送者(Sender)通过通信网络发送报文(Message)给接收者
(Receiver)。用户查询数据库、消费者在网上电子商店购物
等都可以通过抽象归纳为这个模型。从攻击者的视角给出所
有的定义,该攻击者想要监控通信、通信模式甚至操纵通信。
我们假定攻击者不能够从报文的内容中获得发送者或接收者
的任何信息,即我们不关心报文的内容。
匿名性(Anonymity)⋯ 是指通信实体的一种状态,即该
实体无法从一个实体集合——匿名集(Anonymity Set)中被识
别出来。 、
要实现一个实体的匿名,需要一个由多个具有同样属性的
实体组成的集合,即匿名集。匿名集是指有可能导致某一行为
的所有主体的集合。因此,发送者只有在潜在的发送者构成的
集合——发送者集中,才能达到匿名。对于接收者同样如此。
发送者匿名集和接收者匿名集可以不相交、重叠或者相交。匿
名集越大,发送或接收的可能性越均匀,则匿名性越强。
匿名通信系统(Anonymous Communication System) 隐藏
网络通信实体的网络地址、实体间的通信关系等隐私信息,使
其不被对手观测。根据所要隐藏信息的不同,可将匿名保护
形式分为三种:发送方匿名(Sender Anonymity)保护通信发起
者的识别信息;接收方匿名(Recipient Anonymity)保护通信接
收者的身份标识;收发双方无关联(Unlinkability of Sender and
Recipient)则使得发送者与接收者无法被关联 。目前的研
究主要集中在发送方匿名服务方面。
1.2 匿名攻击
对于匿名性的讨论往往是在一定类型的攻击的前提下进
行,即在具有何种能力的对手的攻击下,用户能够保持什么程
度的匿名性。我们将从以下几个方面来描述匿名攻击 :
内部 一外部 能够监听破坏通信媒质、链路的攻击者,我
们称之为外部的(Outside),否则能够破坏匿名系统 中的节
点、通信的接收者和发送者,称之为内部的(Inside),或合谋
收稿日期:2005—05—27;修订日期:2005一O8一O9 基金项目:国家自然科学基金资助项目(90104028)
作者简介:朱娜斐(1981一),女 ,河南宝丰人,硕士研究生,主要研究方向:匿名通信; 陈松乔 (1940一),男 ,湖南长沙人,教授,博士生导
师,主要研究方向:软件工程; 眭鸿飞(1973一),男,湖南衡阳人,博士研究生,主要研究方向:网络安全、信息隐藏; 陈建二(1954一),男,浙
江宁波人,教授,博士生导师,主要研究方向:汁算机网络、优化理论.
维普资讯
第 25 卷第 11 期
2005 年 11 月 oa n o
用
-m
应圳机句算白叶厅时
'{nr
m o pb
Vol. 25 No. 11
Nov. 2005
文章编号 :1001-9081(2005)11-2475 -05
匿名通信概览
未娜斐,陈松乔,硅鸿飞,陈建二
(中南大学信息科学与工程学院,湖南长沙 410083 )
(yuanyuan1981@ hotmail. com)
摘 要:对匿名通信的基本概念及相关理论进行了较为全面的整理。阐述了匿名通信的研究意
义,介绍了匿名通信及其攻击的定义。在此基础上对于目前不同的匿名通信系统进行了分析和评价,
并介绍了重要的攻击形式。最后提出了匿名通信的未来研究方向和关于匿名通信的法律问题。
关键词:匿名通信;匿名攻击 ;Mix; P2P
中图分类号: TN919; TP309 文献标识码 :A
Overview of anonymous communication
ZHU Na-fei , CHEN Song-qiao, SUI Hong-fei , CHEN Jiar卜er
(School of Ir功rmation Science and Engìneerìng, Central South University, Changsha Huoon 410083 , Chìoo)
Abstract: The definition and relatìve theories of anonymous communicatìon were summarized. The importance of the
study on anonymous communìcation was illustrated. Current anonymous communication systems were analysed and the
important attack forms in them were introduced. At last the directìon for future study and the legal problem of anonymous
communication were put forward.
Key words: anonymous communìcation; anonymous attacks; Mix; 四P
。 引言
Internet 已经被越来越多地用于个人和商业通信中,如众
多市民使用网络来处理银行事务、购物和纳税等重要的商业
交易,信息安全逐渐成为一个潜在的巨大问题。因此信息加
密技术成为信息安全的一种重要保障手段。对信息本身的保
密已有相对成熟的保护信息的数据加密算法。
但 HTIP , TCP /IP , MIME,凹?等开放式协议所需的报文
头部信息例如源地址和目的地址、报文长度等很难通过加密
算法来隐藏。攻击者可以利用协议存在的漏洞发动窃听与流
量分析攻击来获取通信双方的地址,进而推断出一些有价值
的信息。侦听是指攻击者对通信链路进行非法窃听,获取重
要信息。而流量分析是指攻击者可以对链路中信息的时间、
速率、源及目的地等信息进行分析,从而窃取通信双方的地址
以及相关重要信息。匿名通信是指通过→定的方法将业务流
中的通信关系加以隐藏,使窃听者无法直接获知或推知双方
的通信关系或通信的→方。匿名通信的一个重要目的就是隐
藏通信双方的身份或通信关系,从而实现对网络用户的个人
通信隐私及涉密通信的更好的保护。
1 匿名通信的定义
1. 1 匿名通信
匿名通信主要研究网络通信中用户的标识信息的保密问
题。这一类标识信息包括用户主机的 IP 地址。我们假设发
送者(Sender) 通过通信网络发送报文( Message) 给接收者
(Receiver) 。用户查询数据库、消费者在网上电子商店购物
等都可以通过抽象归纳为这个模型。从攻击者的视角给出所
有的定义,该攻击者想要监控通信、通信模式甚至操纵通信。
我们假定攻击者不能够从报文的内容中获得发送者或接收者
的任何信息, f!P我们不关心报文的内容。
匿名性( Anonymìty ) (1] 是指通信实体的一种状态,即该
实体无法从一个实体集合一一-匿名集(Anonymity Set) 中被识
别出来。
要实现→个实体的匿名,需要一个由多个具有同样属性的
实体组成的集合,即匿名集。匿名集是指有可能导致某一行为
的所有主体的集合。因此,发送者只有在潜在的发送者构成的
集合一一发送者集中,才能达到匿名。对于接收者同样如此。
发送者匿名集和接收者匿名集可以不相交、重叠或者相交。匿
名集越大,发送或接收的可能性越均匀,则匿名性越强。
匿名通信系统(Anonymous Communication System) 隐藏
网络通信实体的网络地址、实体间的通信关系等隐私信息,使
其不被对手观测。根据所要隐藏信息的不同,可将匿名保护
形式分为三种:发送方匿名 (Sender Anonymity) 保护通信发起
者的识别信息;接收方匿名 (Recipient Anonymity) 保护通信接
收者的身份标识;收发双方元关联( Unlinkability of Sender and
Recipient) 则使得发送者与接收者无法被关联[1] 目前的研
究主要集中在发送方匿名服务方面。
1. 2 匿名攻击
对于匿名性的讨论往往是在一定类型的攻击的前提下进
行,即在具有何种能力的对于的攻击下,用户能够保持什么程
度的匿名性。我们将从以下几个方面来描述匿名攻击[2j
内部-外部 能够监听破坏通信媒质、链路的攻击者,我
们称之为外部的 (Outside) ,否则能够破坏匿名系统中的节
点、通信的接收者和发送者,称之为内部的 (Inside) ,或合谋
收稿日期,2005 -05 -27;修订日期,2005 一 08 -09 基金项目:国家自然科学基金资助项目 (90104028)
作者简介:朱娜斐(1981-) ,女,河南宝丰人,硕士研究生,主要研究方向:匿名通信; 陈松乔(1940-) ,男,湖南长沙人,教授,博士生导
师,主要研究方向:软件工程: 陡鸿飞(1973 - ) ,男,湖南衡阳人,博士研究生,主要研究方向:网络安全、信息隐藏: 陈建二(1954 -),男,浙
江宁波人,教授,博士生导师,主要研究方向:计算机网络、优化理论.
2476 计算机应用 2005年
的(Collaborator)。
被动一主动 主动的(Active)对手可以任意地对计算结
果和报文进行修改(增加或删除),然而被动的(Passive)对手
只能够侦听。例如,一个外部的主动攻击者可以对来自于它
所控制的线路的信息进行删除或添加而一个被动的内部对手
可以轻易地在已控制的节点处将进入的该节点的报文与送出
的报文进行相关联(但它不能改动这些报文)。
静态的一可适应的 静态的(Statica1)攻击者在协议运
行前选择它们要控制的资源但当协议运行后便不能再改变这
些资源。而自适应的(Adaptive)攻击者在协议执行时也可修
改它们所控制的资源,例如,它们可以跟踪报文。
攻击者可以是这些属性的任意组合。例如它们可以以被
动的方式控制混合节点而以主动的方式控制线路。值得一提
的是,可能还有其他相关的攻击者属性。
2 匿名通信的研究现状
利用匿名技术来防范网络流量分析的历史可以追溯到
2O世纪7O年代和8O年代,当时由Davjd Chaum和其他一些
人提出了几项具有革新意义的技术,包括广播、隐地址、
MIXes和 DC—Nets以及 PIR。目前,匿名通信系统主要有两
类:基于广播的匿名系统和基于重路由的匿名系统(包括基
于单代理的匿名系统,基于MIX的匿名系统和基于 P2P的匿
名系统)。针对各种匿名系统,又有多种多样的攻击形式,如
前驱攻击、暴露攻击、强制攻击等。
2.1 匿名通信系统
2.1.1 基于广播/多播的匿名通信 系统 ,
DC.Nets为典型的基于广播的匿名通信系统 j,主要提
供发送者匿名保护。
其核心思想为,在系统运行的每个周期,每个参与者包括
发送者都向系统中每个成员广播一个报文。通过在接收到的
所有报文上施以运算,每个参与成员能够计算出所要广播的
消息内容,而无法推断出发送者的身份。
通过这种广播方式,可以很容易实现发送者匿名。如果
发送者只希望将消息发送给某个特定成员,并且对其他成员
屏蔽接收者的身份,即实现接收者匿名,可以通过非对称加密
的方式,用该成员的公钥对报文进行加密。
遗憾的是,这个协议具有严重的缺陷:
1)信道冲突。如果许多参与者都同时试图发送报文,由
于所有广播值的和将等于所有报文之和,那么所有的信息都
将丢失。更严重的是,如果系统中的恶意成员有意在其他成
员通信时发送报文,这种协议允许他计算合法的报文,而别的
用户无法得到任何信息。
2)报文的数目。每次报文发送中都需要每个成员的参
与,这将导致效率和健壮性方面的问题,在大型的网络中这是
一 个不可实现的制约。
3)密钥管理。对于实际应用而言,共享密钥的数目可能
太大了(每次传输都需要一个新的密钥)。即使采用伪随机
数作为密钥,也不能从根本上解决这个问题。
尽管有这些问题,在许多情形下 DC—Net都是有用的。对
某些基本的应用,例如环形拓扑中,DC—Net能在保持较高安
全性 的同时,提供较 好 的效率。K—AMT(K—Anonymous
Me镐a Transmission)则在 DC—Net思想的基础上,通过一定
的机制提供大小为 K的匿名集,从而使得协议更加简单有
效 J。除此之外,还可将这种广播机制与其他机制如 Mix网
络结合使用,以获得更好的安全性与通信性能的折中。
Herbivore便是这种结合的产物。
2.1.2 基于单代理技术的匿名通信 系统
代理服务器技术在普通网络中有着大量的应用,同样可
用于解决匿名中的实际问题。例如在客户机和服务器之间加
入一个代理,客户机与服务器之间的全部通信经过代理转发,
则服务器所能观察到的将是代理而非客户机。对服务器而
言,客户机达到了发送者匿名。下面列举一些单代理匿名系
统的实例:
Anon.penet.fi(也称 Penet)是第一个严格意义上提供匿
名服务的实用系统,用于在电子邮件传输中提供发送者匿名
服务 J。有匿名需求的用户必须首先在服务器上注册。针
对每个邮箱地址,Penet提供一个假名地址,并实现真假地址
间的映射。用户的邮件到达 Penet服务器后,邮箱地址被切
换,从而隐藏了发送者地址。Penet在开始运行后非常流行,
用户数最多时达到将近700 000。
Anonymizer提供匿名的 Web访问服务 J。它将信息报
文的认证头以及源地址从 Web浏览器请求中去掉 Web代理
服务器——Anonymizer。通过这种办法一个Web服务器只能
知道Anonymizer服务器的身份而不是用户的真实身份(比如
IP地址)。在这种方案中,所有的重路由路径都有且只有一
个中间节点,就是 Anonymizer服务器。
LPWA技术是 Lucent公司提出的,称为 Lucent个性化
Web助手 (Lucent Personalized Web Assistant,LPWA) J。与
Anonymizer一样,LPWA使用一个能够接收发送者的匿名连
接,并将它们转发到发送者希望匿名的目的主机上的单独代理
服务器。所有的接收者可以知道这个代理服务器的地址,但是
发送者的地址是隐藏的。代理服务器本身知道发送者的身份。
虽然单代理技术具有简单、易用的优势,但是其不足也很
突出,最主要的一点是信息过于集中。由于代理作为中继转
发客户机与服务器之间的通信,它具有系统中所有通信属性
信息。一旦被攻陷,系统中所有信息都将暴露 J。
2.1.3 基于 Mix的匿名通信 系统
David Chaum于 1981年提出的 Mix概念,被认为是最有
希望解决Internet中匿名通信问题的方法 j。现有的几个应
用于实际的匿名通信系统,主要是基于Chaum的 Mix思想开
发的。例如用于匿名电子邮件的Mixmaster系统,提供实时匿
名连接服务的 Onion Routing,以及用于匿名 Web浏览的
Freedom、WebMix等。这些系统大多提供发送者以及关系匿
名服务。
图 1 MIXes的结构
如图1所示,Mix系统由在网络中提供匿名服务的Mix
节点组成。每个报文经过多个 Mix节点的处理最终到达接收
者。系统中每个 Mix节点接收一定数量的报文作为输入,对
这些报文进行编码变换,并随机排序后,将报文成批输出,以
消除输入报文与输出报文之间的关联。初始时,发送者采用
各 Mix节点的公钥对报文进行嵌套加密处理。假设报文将被
维普资讯
2476 计算机应用 2005 年
的( Collaborator) 。
被动-主动 主动的 (Active) 对于可以任意地对计算结
果和报文进行修改(增加或删除) ,然而被动的 (Passive) 对于
只能够侦听。例如,一个外部的主动攻击者可以对来自于它
所控制的线路的信息进行删除或添加而一个被动的内部对于
可以轻易地在已控制的节点处将进入的该节点的报文与送出
的报文进行相关联(但它不能改动这些报文)。
静态的-可适应的 静态的( Statical) 攻击者在协议运
行前选择它们要控制的资源但当协议运行后便不能再改变这
些资源。而自适应的(Adaptive)攻击者在协议执行时也可修
改它们所控制的资源,例如,它们可以跟踪报丈。
攻击者可以是这些属性的任意组合。例如它们可以以被
动的方式控制混合节点而以主动的方式控制线路。值得一提
的是,可能还有其他相关的攻击者属性。
2 匿名通信的研究现状
利用医名技术来防范网络流量分析的历史可以迫溯到
2却O 世纪 7切O 年代和 8ωO 年代,当时由 David C口αh】lal剧1口Ilrn
人提出了几项具有革新意义的技术,包括广播、隐地址、
MIXes 和 DC-Nets 以及 PIR。目前,医名通信系统主要有两
类:基于广播的匿名系统和基于重路由的匿名系统(包括基
于单代理的匿名系统,基于 MIX 的医名系统和基于四P 的医
名系统)。针对各种医名系统,又有多种多样的攻击形式,如
前驱攻击、暴露攻击、强制攻击等。
匿名通信系统
2. 1. 1 基于广播/多播的匿名通信系统
DC-Nets 为典型的基于广播的医名通信系统[幻,主要提
供发送者医名保护。
其核心思想为,在系统运行的每个周期,每个参与者包括
发送者都向系统中每个成员广播一个报丈。通过在接收到的
所有报文上施以运算,每个参与成员能够计算出所要广播的
消息内容,而无法推断出发送者的身份。
通过这种广播方式,可以很容易实现发送者医名。如果
发送者只希望将消息发送给某个特定成员,并且对其他成员
屏蔽接收者的身份,即实现接收者医名,可以通过非对称加密
的方式,用该成员的公钥对报文进行加密。
遗憾的是,这个协议具有严重的缺陷:
1)信道冲突。如果许多参与者都同时试图发送报文,由
于所有广播值的和将等于所有报文之和,那么所有的信息都
将丢失。更严重的是,如果系统中的恶意成员有意在其他成
员通信时发送报文,这种协议允许他计算合法的报文,而别的
用户无法得到任何信息。
2)报文的数目。每次报文发送中都需要每个成员的参
与,这将导致效率和健壮性方面的问题,在大型的网络中这是
一个不可实现的制约。
3)密钥管理。对于实际应用而言,共享密钥的数目可能
太大了(每次传输都需要一个新的密钥)。即使采用伪随机
数作为密钥,也不能从根本上解决这个问题。
尽管有这些问题,在许多情形下 DC-Net 都是有用的。对
某些基本的应用,例如环形拓扑中, DC-Net 能在保持较高安
全性的同时,提供较好的效率。 K-AMT ( K-Anonyrnolls
Me曹sage Transrnission) 则在 DC-Net 思想的基础上,通过一定
的机制提供大小为 K 的医名集,从而使得协议更加简单有
效闷。除此之外,还可将这种广播机制与其他机制如 Mix 网
络结合使用,以获得更好的安全性与通信性能的折中。
Herbivore 便是这种结合的产物。
2. 1. 2 基于单代理技术的匿名通信系统
代理服务器技术在普通网络中有着大量的应用,同样可
用于解决医名中的实际问题。例如在客户机和服务器之间加
入一个代理,客户机与服务器之间的全部通信经过代理转发,
则服务器所能观察到的将是代理而非客户机。对服务器而
言,客户机达到了发送者医名。下面列举一些单代理医名系
统的实例:
Anon. pene t. fi( 也称 Penet) 是第一个严格意义上提供匿
名服务的实用系统,用于在电子邮件传输中提供发送者医名
服务[5] 。有医名需求的用户必须首先在服务器上注册。针
对每个邮箱地址, Penet 提供一个假名地址,并实现真假地址
间的映射。用户的邮件到达 Penet 服务器后,邮箱地址被切
换,从而隐藏了发送者地址。 Penet 在开始运行后非常流行,
用户数最多时达到将近 700000 0
Anonyrnìzer 提供医名的 Web 访问服务[6] 。它将信息报
文的认证头以及源地址从 Web 浏览器请求中去掉 Web 代理
服务器一-Anonyrnizer。通过这种办法一个 Web 服务器只能
知道 Anonyrnizer 服务器的身份而不是用户的真实身份(比如
IP 地址)。在这种方案中,所有的重路由路径都有且只有一
个中间节点,就是 Anonyrnizer 服务器。
LPWA 技术是 Lllcent 公司提出的,称为 Lllcent 个性化
Web 助于 (Lllcent Personalized Web Assistant , LPWA) [7] 。与
Anon严ùzer 一样, LPWA 使用一个能够接收发送者的医名连
接,并将它们转发到发送者希望匿名的目的主机上的单独代理
服务器。所有的接收者可以知道这个代理服务器的地址,但是
发送者的地址是隐藏的。代理服务器本身知道发送者的身份。
虽然单代理技术具有简单、易用的优势,但是其不足也很
突出,最主要的一点是信息过于集中。由于代理作为中继转
发客户机与服务器之间的通信,它具有系统中所有通信属性
信息。一旦被攻陷,系统中所有信息都将暴露[8] 。
2. 1. 3 基于 Mix 的匿名通信系统
David Chaurn 于 1981 年提出的 Mix 概念,被认为是最有
希望解决 Intemet 中医名通信问题的方法川。现有的几个应
用于实际的医名通信系统,主要是基于 Challrn 的 Mix 思想开
发的。例如用于匿名电子邮件的 Mixrnaster 系统,提供实时匿
名连接服务的 Onion ROllting ,以及用于匿名 Web 浏览的
Freedorn 、 WebMix 等。这些系统大多提供发送者以及关系医
名服务。
图 1 MIX目的结构
如图 1 所示, Mix 系统由在网络中提供医名服务的 Mix
节点组成。每个报文经过多个 Mix 节点的处理最终到达接收
者。系统中每个 Mix 节点接收→定数量的报文作为输入,对
这些报文进行编码变换,并随机排序后,将报文成批输出,以
消除输入报文与输出报文之间的关联。初始时,发送者采用
各 Mix 节点的公钥对报文进行嵌套加密处理。假设报文将被
第11期 朱娜斐等:匿名通信概览 2477
沿一条由i。,i ,⋯,i. 组成的路径发送,则发送者首先把接
收者地址和报文用i 公钥加密,然后将其与i 的地址用i
的公钥对报文加密,并依次类推。路径上的Mix节点接收到
报文后将首先用私钥解密获得下一跳 Mix地址及内在的报
文,将一定数目的报文(t个)进行重排序后发送。我们将发
送者和接收者之间的由Mix代理组成的路径称为重路由路径
(Rerouting Path)。每个Mix节点重排报文并输出的过程称为
清空(Flushing)。为避免冲刷出的报文数目不足导致匿名集
太小,还可发送填充流量。
Mix网络的优点在于 ,由于采用了强的加密机制,外部观
测者以及除路径上除网络出口节点外的中继节点都无法获知
最终的接收者r的地址以及传输数据的内容,因而针对系统
中的合谋成员也能提供强的匿名保护。主机的身份(如主机
名或IP地址)可以通过Web站点或用户网络来发布,使其更
容易地被用户获知。通过数字证书对网络中的Mix主机进行
认证,可以严格控制一些恶意主机的加入。通过控制主机的
ISP,可以保证系统中的主机大多是计算能力强以及网络连通
度较高的可靠的主机。
但是,传统Mix网络具有明显的缺陷:1)防合谋攻击的能
力有限。系统中节点构成的网络与外部网络之间有明显的边
界,当某个恶意节点从一个外部节点接收到请求时,那么该节
点可以获知通信的源、目的地址。2)这些系统中很少针对被动
的能观测所有网络流量的全局观测者提供匿名保护,即使在系
统中采用覆盖流量以保持恒定的流量,对于能观测到整个网络
的全局观测者,仍无法阻止其在边界处进行流量分析。3)这些
中继很容易成为DDoS攻击和法律攻击的目标。4)为了达到
恒定流量所引入的填充流量会浪费大量的带宽,这在今天的因
特网是不可接受的。相对于用户的匿名需求而言,网络中专用
于提供匿名的主机的数目增长有限,造成提供服务的主机与用
户数目的严重不平衡,最终会在性能上形成瓶颈。
更何况,这种方式要求一些支持将用户聚集成为匿名组
的底层基础设施,而且只有在有大量用户加入到匿名系统中
的情况下用户才能获得隐私保护,这不仅增加了配置的花费,
而且也不实用。因此,从发布至今,几乎每一个商业隐私保护
项目,比如Freedom、SafeWeb等都以失败而告终。
2.1.4 基于 P2P的匿名通信 系统
为解决配置代价昂贵的问题,近期有一些研究开始考虑
引入P2P技术,将系统的主要工作由系统的用户来承担。这
样不仅可以减少提供这类服务的组织的花费,而且可以降低
对于提供服务的组织的依赖性。在极端情况下,整个服务完
全由用户承担。P2P技术的基本思想是将信任分布,而非将
其集中,由于没有任何集中的目标,它能更好地防止审计或法
律方面的攻击。
AT&T的Crowds系统就是一个例子 。Crowds的基本
思路是需要该系统实现匿名的用户构成一个群。Crowds系
统中某一个成员发起的Web请求直接发送给 Web服务器或
者转发给另一个系统成员。如果请求被送到另一个成员,该
成员同样随机地决定是直接提交请求还是将其转发给其他成
员。直到最终请求到达目的Web服务器,服务器的响应也会
沿着同样的成员序列到达 Web请求的发起者。
Hordes【1。。利用多个类似于 Crowds协议中使用的Jondos
对发给接收者的一个包匿名路由。对于这些转发路径来说,
Hordes使用与Crowds相同的策略,最大的不同之处就是它向
接收者回应的匿名路由使用多播服务而不是使用固定的回应
路径。与Crowds一样,Hordes也允许转发路径中存在循环并
且期望路径长度由转发的可能性决定。
JAP是德国的研究机构开展的网页浏览隐私保护项目,
它的安全性更高 。它的目的在于将remailers(Type 2)系统
的思想应用到Web冲浪中:网页浏览请求和响应被分割成固
定大小的报文,然后加密封装,最后沿中继点(称为Mix)转发
到目的地。每一个Mix都等待大量的报文到来,然后拨开最
外层,最后将它们按随机顺序转发。
Tarzan在 Mix网络的基础上,引入 IP隧道技术 ,构造 P2P
匿名网络rl 。系统采用发送覆盖流量使得全局观察者无法
利用流量分析来识别发起者。报文的发起者以不易受对手影
响的方式,伪随机地在一个受限的拓扑内选择一条由 Peers
组成的路径,并利用嵌套加密和多跳转发路由来实现其匿名。
由于它提供IP服务,对应用程序透明,因此具有容错性、高度
可扩展性及易于管理等特性。
MorphMix Ll 则引入随机的 Peer节点作为第三方,在发
送者和路径上的中继节点问进行密钥协商,然后再构造重路
由路径。为防御合谋攻击,采用一种探测机制来判断发起者
所建立的隧道是否被对手所控制。
P5 (Peer—to-Peer Personal Privacy Protoco1)通过构造一
个树状结构,形成一个匿名广播信道,每个参与者可以根据其
匿名及实时通信需求确定加入点。
2.1.5 国内研究成果
在理论研究方面,文献[19]中结合 MPLS的优势提出了
一 种安全、高效的隐匿通信模型,使得现有的隐匿系统既能够
阻止复杂的攻击,又无需占用大量带宽。该模型的安全性不
低于洋葱路由器网络的安全性,且其效率优于目前的洋葱路
由方案。由于现有的洋葱路由方案只能隐藏信息,并不能保
证抵御以扰乱为目的的破坏性攻击。因此应用群签密技术,
提出了一个既能隐藏信息又能防扰乱攻击的新方案 。该
方案采用了可信标识和群签密方法来增加 IP数据包的可信
赖度,其密钥可采用集中管理方式管理(也可分散管理),并
增加时戳信息以保证实时性。在基于组群的匿名系统(如
Crowds)中,为了解决其路径长度没有上界,在极端的情况下
可能会使转发路径无限长的现象,文献[21]中提出了基于组
群的有限路长匿名通信协议。该协议实现了路径长度的有界
性 ,并且在相同路径长度期望下,有限长度协议比 Crowds具
有更强的抗泄密能力。
在匿名通信技术的应用方面,有人基于Ferguson电子支
付系统,提出了一种可撤销用户匿名的支付系统 。一方
面,它能有效地保护用户的隐私;另一方面,在银行的协助
下,一个可信第三方可撤销用户的匿名性,因此可有效地防
止钱的伪造和敲诈。利用群签名协议和时限承诺协议,有人
提出了一种新的基于匿名通讯信道的安全电子投票方案。该
方案使诚实投票者的身份无条件保持匿名,然而不诚实的投
票者一定能被可信赖的注册机构追踪到。在文献[23]中提
出了一种新的重路由策略——距离优先分组重路由,实现了
短距离优先转发的策略,重路由时在近距离分组中进行随机
转发。数学分析和模拟测试结果表明,新的重路由策略在一
定分组成员数情况下能保持与非分组重路由算法相当的匿名
性能,同时明显地降低了服务延迟。新的策略中每个中转代
理只需知道就近分组中的代理,这为匿名系统的扩展性研究
提供了一定的基础。
维普资讯
第 11 期 朱娜斐等:匿名通信概览 2477
沿一条由 i l , i2 , … , i ,J 组成的路径发送,则发送者首先把接
收者地址和报文用 i(l 公钥加密,然后将其与 id 的地址用 i(J_t
的公钥对报文加密,并依次类推。路径上的 Mix 节点接收到
报文后将首先用私钥解密获得下一跳 Mix 地址及内在的报
文,将一定数目的报文 ( t 个)进行重排序后发送。我们将发
送者和接收者之间的由 Mix 代理组成的路径称为重路由路径
( Rerouting Path) 。每个 Mix 节点重排报文并输出的过程称为
清空( F1ushing) 。为避免冲刷出的报文数目不足导致匿名集
太小,还可发送填充流量。
Mix 网络的优点在于,由于采用了强的加密机制,外部观
测者以及除路径上除网络出口节点外的中继节点都无法获知
最终的接收者 r 的地址以及传输数据的内容,因而针对系统
中的合谋成员也能提供强的匿名保护。主机的身份(如主机
名或 IP 地址)可以通过 Web 站点或用户网络来发布,使其更
容易地被用户获知。通过数字证书对网络中的 Mix 主机进行
认证,可以严格控制一些恶意主机的加入。通过控制主机的
ISP,可以保证系统中的主机大多是计算能力强以及网络连通
度较高的可靠的主机。
但是,传统 Mix 网络具有明显的缺陷: 1 )防合谋攻击的能
力有限。系统中节点构成的网络与外部网络之间有明显的边
界,当某个恋意节点从一个外部节点接收到请求时,那么该节
点可以获知通信的源、目的地址。 2)这些系统中很少针对被动
的能观测所有网络流量的全局观测者提供匿名保护,即使在系
统中采用覆盖流量以保持恒定的流量,对于能观测到整个网络
的全局观测者,仍无法阻止其在边界处进行流量分析。 3)这些
中继很容易成为 DDoS 攻击和法律攻击的目标。 4) 为了达到
恒定流量所引人的填充流量会浪费大量的带宽,这在今天的因
特网是不可接受的。相对于用户的匿名需求而言,网络中专用
于提供匿名的主机的数目增长有限,造成提供服务的主机与用
户数目的严重不平衡,最终会在性能上形成瓶颈。
更何况,这种方式要求一些支持将用户聚集成为匿名组
的底层基础设施,而且只有在有大量用户加入到匿名系统中
的情况下用户才能获得隐私保护,这不仅增加了配置的花费,
而且也不实用。因此,从发布至今,几乎每一个商业隐私保护
项目,比如 Freedom , SafeWeb 等都以失败而告终。
基于四P 的匿名通信系统
为解决配置代价昂贵的问题,近期有一些研究开始考虑
引人四P技术,将系统的主要工作由系统的用户来承担。这
样不仅可以减少提供这类服务的组织的花费,而且可以降低
对于提供服务的组织的依赖性。在极端情况下,整个服务完
全由用户承担。四P 技术的基本思想是将信任分布,而非将
其集中,由于没有任何集中的目标,它能更好地防止审计或法
律方面的攻击。
AT&T 的 Crowds 系统就是一个例子[9] Crowds 的基本
思路是需要该系统实现匿名的用户构成一个群。 Crowds 系
统中某一个成员发起的 Web 请求直接发送给 Web 服务器或
者转发给另一个系统成员。如果请求被送到另一个成员,该
成员同样随机地决定是直接提交请求还是将其转发给其他成
员。直到最终请求到达目的 Web 服务器,服务器的响应也会
沿着同样的成员序列到达 Web 请求的发起者。
Hordes[lO]利用多个类似于 Crowds 协议中使用的 Jondos
对发给接收者的一个包匿名路由。对于这些转发路径来说,
Hordes 使用与 Crowds 相同的策略,最大的不同之处就是它向
接收者回应的匿名路由使用多播服务而不是使用固定的回应
路径。与 Crowds 一样, Hordes 也允许转发路径中存在循环并
且期望路径长度由转发的可能性决定。
JAP 是德国的研究机构开展的网页浏览隐私保护项目,
它的安全性更高[11] 。它的目的在于将 remailer百 (Type 2) 系统
的思想应用到 Web 冲浪中:网页浏览请求和响应被分割成固
定大小的报文,然后加密封装,最后沿中继点(称为 Mix) 转发
到目的地。每一个 Mix 都等待大量的报文到来,然后拨开最
外层,最后将它们按随机顺序转发。
Tarzan 在 Mix 网络的基础上,引人 IP 隧道技术,构造四P
匿名网络[叫。系统采用发送覆盖流量使得全局观察者无法
利用流量分析来识别发起者。报文的发起者以不易受对手影
响的方式,伪随机地在一个受限的拓扑内选择一条由 Peers
组成的路径,并利用嵌套加密和多跳转发路由来实现其匿名。
由于它提供 IP 服务,对应用程序透明,因此具有容错性、高度
可扩展性及易于管理等特性。
MorphMix [ 13] 则引人随机的 Peer 节点作为第三方,在发
送者和路径上的中继节点间进行密钥协商,然后再构造重路
由路径。为防御合谋攻击,采用一种探测机制来判断发起者
所建立的隧道是否被对手所控制。
P5[14] (Peer-to-Peer Personal Privacy Protocol)通过构造一
个树状结构,形成一个匿名广播信道,每个参与者可以根据其
匿名及实时通信需求确定加入点。
2. 1. 5 因内研究成采
在理论研究方面,文献[19J 中结合 MPLS 的优势提出了
一种安全、高效的隐匿通信模型,使得现有的隐匿系统既能够
阻止复杂的攻击,又无需占用大量带宽。该模型的安全性不
低于洋葱路由器网络的安全性,且其效率优于目前的洋葱路
由方案。由于现有的猝葱路由方案只能隐藏信息,并不能保
证抵御以扰乱为目的的破坏性攻击。因此应用群签密技术,
提出了一个既能隐藏信息又能防扰乱攻击的新方案I剧。该
方案采用了可信标识和群签密方法来增加 IP 数据包的可信
赖度,其密钥可采用集中管理方式管理(也可分散管理) ,并
增加时戳信息以保证实时性。在基于组群的匿名系统(如
Crowds) 中,为了解决其路径长度没有上界,在极端的情况下
可能会使转发路径无限长的现象,文献 [2门中提出了基于组
群的有限路长匿名通信协议。该协议实现了路径长度的有界
性,并且在相同路径长度期望下,有限长度协议比 Crowds 具
有更强的抗泄密能力。
在匿名通信技术的应用方面,有人基于 Ferguson 电子支
付系统,提出了一种可撤销用户匿名的支付系统[22] 。一方
面,它能有效地保护用户的隐私;另一方面,在银行的协助
下,一个可信第三方可撤销用户的匿名性,因此可有效地防
止钱的伪造和敲诈。利用群签名协议和时限承诺协议,有人
提出了一种新的基于匿名通讯信道的安全电子投票方案。该
方案使诚实投票者的身份无条件保持匿名,然而不诚实的投
票者一定能被可信赖的注册机构追踪到。在文献 [23 J 中提
出了一种新的重路由策略一一距离优先分组重路由,实现了
短距离优先转发的策略,重路由时在近距离分组中进行随机
转发。数学分析和模拟测试结果表明,新的重路由策略在一
定分组成员数情况下能保持与非分组重路由算法相当的匿名
性能,同时明显地降低了服务延迟。新的策略中每个中转代
理只需知道就近分组中的代理,这为匿名系统的扩展性研究
提供了一定的基础。
2478 计算机应用 2005血
2.2 匿名攻击
前面明确了匿名攻击的类型 :内部 一外部,被动 一主
动 ,静态的 一可适应的。在此基础上,介绍几种主要攻击形
式。
1)前驱攻击
前驱攻击(Predecessor Attack)是匿名通信系统中最为典
型的被动内部攻击 ,它由系统中的合谋成员共同施行 。由
于用户的兴趣、爱好等原因,发送者和接收者在某段时期内会
保持一种规律性的通信关联。最典型的例如用户在浏览 Web
站点时 ,会形成一种浏览习惯 ,即在相当长的时期内会频繁地
访问某个感兴趣的Web站点,这段时期称为一个会话周期。
在会话周期内,重路由路径将经过多次重置,而合谋成员每次
都以一定概率作为中继节点出现在新重路由路径上。一旦合
谋成员获取传输数据的明文和数据的接收者地址,就能将重
路由路径和特定的会话关联起来。由于发送者与其他成员作
为某个合谋成员的前驱出现的概率不均匀,所以对手便能根
据各成员在多次路径重置后出现在其前驱位置上的次数来推
断出会话的发送者。
Reiter等估算了在Crowds系统中,合谋成员数目与发送者
地址暴露概率之间的关系 ¨。Wright等利用美国麻省理工学
院计算机系Web代理日志数据验证了用户保持长期会话的这
种行为习惯,并基于大数定理证明了只要会话期间内重路由路
径重置的轮数 足够大,任何匿名通信协议都会被攻破。
2)暴露攻击
暴露攻击(Disclosure Attack),又称交集攻击(Intersection
Attack),是一种不依赖于匿名系统具体实现机制的攻击手
段。若攻击者知道在任意给定时间内哪些用户处于活动状
态,那么通过多次观测它可以推断出哪些用户在互相通信。
这种攻击建立在一种观测结果之上,即用户一般只与相对较
少数目的团体通信。例如:典型的用户通常在不同时期访问
相同的网站(他的访问不是随机的)。通过对一系列处于活
动状态的用户进行交集攻击,攻击者将很有可能获得有价值
的信息。这种交集攻击是一个非常著名的开放性问题,并且
想要以一种有效的方法来解决这个问题似乎非常困难。文献
[16]通过模拟实验研究了交集攻击的可行性。文献[17]进
一 步证明了交集攻击为 NP难问题。
3)报文标记攻击
报文标记攻击(Message Tagging)是一种主动攻击。主动
的内部对手在控制第一个和最后一个报文路由节点后,可以
在第一个节点处对报文作标记(例如进行稍微的改动)以便
于在离开节点时进行辨认。因为入口节点知道发送者而出口
节点知道接收者,于是匿名性被攻破。如果报文没有严格的
结构,那么主动的外部的对手也可以发起类似的攻击。
4)通信模式攻击
通信模式攻击(Communication Pattern Attack)是通过简
单地对通信形式(用户什么时候进行报文的收发)进行观测,
可以容易地获得许多有用的信息 。由于参与通信的个体
一 般不同时“说话”,即当一方发送报文时,另一方通常保持
安静,攻击者对这种同步性的观测时间越长,能够推断出通信
形式的可能性就越大。
这种攻击可由一个被动的且可以监视出口和入口的混合
节点来发起。执法部门可以非常成功的发起这种攻击,因为
他们通常对哪两个团体在通信都有预知的信息,只是想去证
实这种猜测而已。
5)强行攻击
强行攻击(Brute Force Attack),类似于密码分析中的穷
举攻击 ]。假定存在一个被动的、静态的、外部的对手,他能
够监听所有通信流。攻击思想十分简单:攻击者从报文的发
送者出发,跟踪报文每条可能的路径,最终获得一个可能的发
送者集合,以及集合中每个成员作为发送者的概率。
假设系统中每个节点当接收到 t个报文后才发送这些报
文(例如一次性地将这些报文送出),报文的重路由路径长度
固定为 d。攻击者首先从发送者跟踪报文到第一个节点,进而
跟踪该节点所释放的报文到达若干个不同的节点(1到£个)。
如果所有报文被送到同一个节点或接收者,那么攻击者只需
监视一个节点。否则 ,攻击者就需要观测 £个不同的混合节
点。这个过程一直持续到报文到达第 d层的节点,攻击者这时
将只跟踪离开网络的报文(例如到达接收者的报文)。最坏情
况下,攻击者只需跟踪一条路径就可以将发送者与接收者匹
配。最好情况下,攻击者需要跟踪t“条通过这个混合网的路径
以及£ 条到达外界的报文,并且获得大小为 的接收者集合。
强行攻击对于匿名通信的研究十分具有指导意义,通过
它可以决定何时、何处及用多少垃圾流量。
6)计时攻击
计时攻击(Timing Attack)主要针对提供实时匿名通信的
系统 J。攻击者有可能根据传送报文的时间信息获得匿名
报文之间的关联。假设有一系列进入网络的报文、一系列发
出网络的报文以及各报文到达离开的时间,则根据路由时间
信息可以将两个系列的报文关联起来。例如:假定有两个路
由,一个需要用4个单位时间,一个需要用6个单位时间,并
且假定进入网络的两个报文的到达时间为0:00和0:01,两
个报文离开网络的时间为0:07和0:04。攻击者无需进行复
杂的计算,就可以将进入和发出的报文关联起来。文献[18]
对这种攻击进行了详细的分析,并提出了有效的防御方法。
3 未来的研究方向
对于匿名通信而言,鉴于Mix网络在防御能力、网络性能
及可实现性方面的缺陷,将来的研究重点可能是有关P2P匿
名通信系统的研究。对于 P2P系统未来的研究,从以下几个
问题来考虑:
1)建立灵活的密钥交换机制,使得匿名成员加入系统
后,付出较小的通信代价和管理代价,便能获得其他成员的公
钥,以更高效地实现基于秘密共享的重路由算法。
2)寻求更好的用于下一跳路由的端对端加密方法,并将
其结合到重路由机制中,以获得更高的匿名性和更高效的通
信性能。
3)探讨有效的 P2P系统构造算法,使得在动态环境下,
匿名成员无需获得全局拓扑信息,也能保证通信的匿名性。
另外,匿名攻击也是未来研究的一个重点。现在所提及
的大多数攻击都具有较强的针对性,我们需要归纳出更具一
般性的攻击形式,如攻击者无需获取特定的通信关联而是根
据任意的通信关联都可以进行攻击。另一个可能的研究问题
是对攻击效果的形式化,以便对对手进行更精确的描述。
最后,值得一提的是匿名网络通信的法律问题。首先,匿
名网络通信保障了公民言论自由权、民主权、隐私权、平等权
的实现,并且为通信自由的实现提供了保障。然而,匿名网络
通信在利于公民实现宪法和法律赋予的权利的同时,也不可
避免地带来许多副作用,譬如有人利用匿名网络对政府进行
维普资讯
2478 计算机应用 2005 年
匿名攻击
前面明确了匿名攻击的类型[7J 内部一外部,被动一主
动,静态的一可适应的。在此基础上,介绍几种主要攻击形
式。
1 )前驱攻击
前驱攻击( Predec巳ssor Attack) 是匿名通信系统中最为典
型的被动内部攻击,它由系统中的合谋成员共同施行[臼]。由
于用户的兴趣、爱好等原因,发送者和接收者在某段时期内会
保持一种规律性的通信关联。最典型的例如用户在浏览 Web
站点时,会形成一种浏览习惯,即在相当长的时期内会频繁地
访问某个感兴趣的 Web 站点,这段时期称为一个会话周期。
在会话周期内,重路由路径将经过多次重置,而合谋成员每次
都以一定概率作为中继节点出现在新重路由路径上。一旦合
谋成员获取传输数据的明文和数据的接收者地址,就能将重
路由路径和特定的会话关联起来。由于发送者与其他成员作
为某个合谋成员的前驱出现的概率不均匀,所以对于便能根
据各成员在多次路径重置后出现在其前驱位置上的次数来推
断出会话的发送者。
R巳it町等估算了在 Crowds 系统中,合谋成员数目与发送者
地址暴露概率之间的关系[臼 o Wright 等利用美国麻省理工学
院计算机系 Web 代理日志数据验证了用户保持长期会话的这
种行为习惯,并基于大数定理证明了只要会话期间内重路由路
径重置的轮数 T足够大,任何匿名通信协议都会被攻破。
2) 暴露攻击
暴露攻击(Disclosure Attack) ,又称交集攻击( Inters巳ction
Attack) ,是一种不依赖于匿名系统具体实现机制的攻击手
段。若攻击者知道在任意给定时间内哪些用户处于活动状
态,那么通过多次观测它可以推断出哪些用户在互相通信。
这种攻击建立在一种观测结果之上,即用户一般只与相对较
少数目的团体通信。例如:典型的用户通常在不同时期访问
相同的网站(他的访问不是随机的)。通过对一系列处于活
动状态的用户进行交集攻击,攻击者将很有可能获得有价值
的信息。这种交集攻击是一个非常著名的开放性问题,并且
想要以一种有效的方法来解决这个问题似乎非常困难。文献
[16J 通过模拟实验研究了交集攻击的可行性。文献[ 17 J 进
一步证明了交集攻击为 NP 难问题。
3) 报文标记攻击
报文标记攻击(M巳ssag巳 Tagging) 是一种主动攻击。主动
的内部对手在控制第一个和最后一个报文路由节点后,可以
在第一个节点处对报文作标记(例如进行稍微的改动)以便
于在离开节点时进行辨认。因为人口节点知道发送者而出口
节点知道接收者,于是匿名性被攻破。如果报文没有严格的
结构,那么主动的外部的对手也可以发起类似的攻击。
的通信模式攻击
通信模式攻击( Communication Patt巳rn Attack) 是通过简
单地对通信形式(用户什么时候进行报文的收发)进行观测,
可以容易地获得许多有用的信息[臼]。由于参与通信的个体
一般不同时"说话即当一方发送报文时,另一方通常保持
安静,攻击者对这种同步性的观测时间越长,能够推断出通信
形式的可能性就越大。
这种攻击可由一个被动的且可以监视出口和人口的棍合
节点来发起。执法部门可以非常成功的发起这种攻击,因为
他们通常对哪两个团体在通信都有预知的信息,只是想去证
实这种猜测而已。
5) 强行攻击
强行攻击( Brut巳 Forc巳 Attack) ,类似于密码分析中的穷
举攻击[8J 。假定存在一个被动的、静态的、外部的对手,他能
够监听所有通信流。攻击思想十分简单:攻击者从报文的发
送者出发,跟踪报文每条可能的路径,最终获得一个可能的发
送者集合,以及集合中每个成员作为发送者的概率。
假设系统中每个节点当接收到 t 个报文后才发送这些报
文(例如一次性地将这些报文送出) ,报文的重路由路径长度
固定为 d。攻击者首先从发送者跟踪报文到第一个节点,进而
跟踪该节点所释放的报文到达若干个不同的节点(1到 t 个)。
如果所有报文被送到同一个节点或接收者,那么攻击者只需
监视一个节点。否则,攻击者就需要观测 t 个不同的混合节
点。这个过程一直持续到报文到达第 d层的节点,攻击者这时
将只跟踪离开网络的报文(例如到达接收者的报文)。最坏情
况下,攻击者只需跟踪一条路径就可以将发送者与接收者匹
配。最好情况下,攻击者需要跟踪 t'l 条通过这个泪合网的路径
以及 td 条到达外界的报文,并且获得大小为 td 的接收者集合。
强行攻击对于匿名通信的研究十分具有指导意义,通过
它可以决定何时、何处及用多少垃圾流量。
的计时攻击
计时攻击(Timing Attack) 主要针对提供实时匿名通信的
系统[8J 。攻击者有可能根据传送报文的时间信息获得匿名
报文之间的关联。假设有一系列进入网络的报文、一系列发
出网络的报文以及各报文到达离开的时间,则根据路由时间
信息可以将两个系列的报文关联起来。例如:假定有两个路
由,一个需要用 4 个单位时间,一个需要用 6 个单位时间,并
且假定进入网络的两个报文的到达时间为 0;00 和 0;01 ,两
个报文离开网络的时间为 0;07 和 0;04 0 攻击者元需进行复
杂的计算,就可以将进入和发出的报文关联起来。文献[18J
对这种攻击进行了详细的分析,并提出了有效的防御方法。
3 未来的研究方向
对于匿名通信而言,鉴于 Mix 网络在防御能力、网络性能
及可实现性方面的缺陷,将来的研究重点可能是有关P2P 匿
名通信系统的研究。对于P2P 系统未来的研究,从以下几个
问题来考虑:
1 )建立灵活的密钥交换机制,使得匿名成员加入系统
后,付出较小的通信代价和管理代价,便能获得其他成员的公
钥,以更高效地实现基于秘密共享的重路由算法。
2) 寻求更好的用于下一跳路由的端对端加密方法,并将
其结合到重路由机制中,以获得更高的匿名性和更高效的通
信性能。
3)探讨有效的P2P 系统构造算法,使得在动态环境下,
匿名成员元需获得全局拓扑信息,也能保证通信的匿名性。
另外,匿名攻击也是未来研究的-个重点。现在所提及
的大多数攻击都具有较强的针对性,我们需要归纳出更具一
般性的攻击形式,如攻击者元需获取特定的通信关联而是根
据任意的通信关联都可以进行攻击。另一个可能的研究问题
是对攻击效果的形式化,以便对对手进行更精确的描述。
最后,值得-提的是匿名网络通信的法律问题。首先,匿
名网络通信保障了公民言论自由权、民主权、隐私权、平等权
的实现,并且为通信自由的实现提供了保障。然而,匿名网络
通信在利于公民实现宪法和法律赋予的权利的同时,也不可
避免地带来许多副作用,譬如有人利用匿名网络对政府进行
第 11期 朱娜斐等:匿名通信概览 2479
恶意的攻击,对他人进行恐吓,诋 毁他人名誉 ,甚至进行金
融诈骗。因此必须制定相关法律来预防有害信息,保护正当
用户的网络通信权。
参考文献:
[1] PFITZMANN A,KOHNTOPP M.Anonymity,Unobservability,and
Pseudonymity:A Proposal for Terminology[A].FEDERRATH H,
Ed.Designing Privacy Enhancing Technologies: Design Issues in
Anonymity and Observability,LNCS 2009[C].Springer-Verlag,
2ooO.
[2] RAYMOND J-F.TrafficAnalysis:Protocols,Attacks,DesignIssues,
and Open Problems[hi.FEDERRA TH H,Ed.Designing Privacy
Enhancing Technologies:Design Issues in Anonymity and Observ.
ability,LNCS 20O9[C].Springer—Verlag,2000.10—29.
[31 CHAUM D.The Dining Cryptographers Problem:Unconditional
Sender and Recipient Untraceability[J].Journal of Cryptology,
1988,1(1):65—75.
[41 OHKUBO M,ABE M.A kength—Invariant Hybrid MI)(【hi.OKAMO—
To Ed.Advances in Cryptology — ASIACRYFF 2OOO,6th Intema-
tional Conference on the Th eory and Application of Cryptology and Infor-
mation Security,LNCS 1976[C].Springer-Verlag,2OOO.178—191.
[5] Anonymity:Pseudonymous servers:Anon.penet.fi[EB/OL].http://
www.stack.nl/~galactus/remailers/index—penet.htm1.20O3一o4.
[6] SafeWeb.Safeweb startpage[EB/OL].https://www.safeweb.
corn/,2003—07.
[7] The Lucent Personalized Web Assistant[EB/OL].http://www1.
bell—labs.com/pmject/lpwa/,2004—09.
[8] DINGLEDINE R,FREEDMAN MJ,MOLNAR D.The Free Haven Pro.
ject:Distributed Anonymous Storage Service[A].FEDERRATH H,
Ed.Designing Privacy Enhancing Technologies:Design lssues in Ano-
ny~ty and Observability,LNCS 2OO9[C].Springer-Vedag,2OOO.
[91 HAUSER RC.Using the Internet to decrease Software Piracy on A-
nonymous Receipts,Anonymous ID Cards;and Anonymous Vouch—
ers[hi.Proceedings of the 5 th Annual Conference of the Internet
Society The Internet towards Global Information Infrastructure[C],
1995.199—2o4.
【10l SHIELDS C,LEVINE BN.A protocol for anonymous eommuniea-
tion over the Internet[hi.Proceedings of the 7th ACM Conference
on Computer and Communication Security[C],2000.33—42.
[1 1] JAP Anonymity&Privacy[EB/OL].http://anon.inf.tu—dresden.
de/.2O04—12.
[1 2] FREEDMAN MJ,MORRIS R.Tarzan:A Peer.to—Peer Anonymiz—
ing Network Layer[A].Proceedings of the 9th ACM Conference oll
Computer and Communications Security(CCS 2002)[C],2002.
193—206.
[13] RENNHARD M,PLATFNER B.Introducing MorphMix:Peer—to—
Peer based Anonymous Internet Usage with Collusion Detection
[A].Proceedings of the Workshop on Privacy in the Electronic So—
ciety[C],2002.
[14] SHERWOOD R,BHATYACHARJEE B,SRINIVASAN A.P5:A
Protocol for Scalable Anonymous Communication【A].Proceedings
of the 2002 IEEE Symposium on Security and Privacy[C].IEEE
Computer Society Press,2002.58—70.
[15] ANDERSON R.The Eternity Service[A].MAURER UM,Ed.Ad—
vances in Cryptology — PRA GOCRYPT'96,International Conference
on the Theory and Application of Cryptographic Techniques[C],1996.
【16】 SYVERSON P,STUBBLEBINE S.Group principals and the for-
malization of anonymity[A].WING JM,WOODCOCK J,DAVIES
J,ed.Formal Methods—FM'99,LNCS 1708[C].Springer—Ver-
lag,1999.814—833.
[17] GOLDSCHLAG D,REED M,SYVERSON P.Onion routing for a-
nonymous andTrivate internet connections[J].Communications of
the ACM,1999,42(2):39—41.
[18] MITOMO M,KUROSAWA K.Attack for Flash MIX[A].OKA—
MOTO T,Ed.Advances in Cryptology — ASIACRYPT 2000,6th
International Conference on the Theory and Application of Cryptolo—
gy and Information Security,LNCS1976[C].Springer-Verlag,
2ooO.192—2o4.
[19] 吴振强,杨波.基于葱头路由技术和MPks 的隐匿通信模型
【J】.西安电子科技大学学报(自然科学版),2002,29(4):513
— 517.
[2O] 赵福祥,王育民,王常杰.可靠洋葱路由方案的设计与实现
[J].计算机学报,2001,24(5):463—467.
[21] 王伟平,陈建二,王建新,等.基于组群的有限路长匿名通信
协议[J].计算机研究与发展,2003,40(4):609—614.
[22】 杨波,刘胜利,王育 民.一种可撤销匿名性的电子支付系统
[J].西安电子科技大学学报,1999,26(4):420—422.
[23] 王伟平,陈建二,陈松乔,等.匿名通信中短距离优先分组重
路由方法的研究[J].软件学报,2004,15(4):561—570.
(上接第2474页)
MPLS组播树算法的优点:1)平均的组播转发表的大小,
由于在非分支节点不需要保存组播信息,所以可以节约大量
的资源,据估算,网络中非分支节点占到 80%的比例,所以,
平均的组播转发表的大小平均减小80%。2)MPLS控制消息
的费用,控制消息的消耗用维护状态的控制消息数据包的总
数目来度量。3)效率比传统的转发效率大大提高。
MPLS组播树算法的不足:1)只考虑的单信源的MPLS组
播,不支持共享树;2)需要一个一个的 NIMS负责 join和
prune消息的管理,增加了系统的复杂性和控制的overhead。
参考文献:
[1] OOMS D,SALES B,LIVENS W,et a1.RFC3353,Overview of IP
Multicast in a Multi-Protocol Label Switching(MPLS)Environment
[S],2002.
[2] BHANTNAGAR S,GANGULY S,NATH B.Label Space Reduc-
tion in Muhipoint-to—point LSPs for Traffic Engineering[z].Depart-
ment of Computer Science,Rutgers University Piscataway,2003.
f 3] SOLA M,OHTA M,MAENO T.Scalability of internet muhicast
[4]
[5]
[6]
[7]
[8]
【9】
[1O]
protocols[A].Proceedings of INET[C],1998.
BRISCOE R,TATHAM M.End to end aggregation of multicast ad—
dresses[Z].Internet draft,1997.
THALER DG,HANDLEY M.On the Aggregatab ility of Multicast
Forwarding[A].Proceedings of INFOCOM 2000[C],2000.
YANG B,MOHAPATRA P.Multicasting in MPLS Domains[J].
Computer Communications Journal,2004,27(2):162—170.
OH Y.K,KIM D—K,YOEN H—J,et a1.Scalable MPks Multicast u—
sing Label Aggregation in Intemet Broadcasting System[A].
ICT2003[C].Tahiti,French Polynesia,2003.
BOUDANI A,COUSIN B.A New Approach to Construct Multicast
Trees in MPks Networks[A].Seventh International Symposium on
Computers and Communications(ISCC'02)[C],2002.
OOMS D,HOEBEKE R,CHEVAL P.MPkS Multieast Traffic En—
gineefing[Z].draft,2002.
李小勇.可扩展 MPLS组播的研究与设计[D].华东师范大学,
2005.
维普资讯
第 11 期 朱娜斐等:匿名通信概览 2479
恶意的攻击,对他人进行恐吓,诋毁他人名誉,甚至进行金
融诈骗。因此必须制定相关法律来预防有害信息,保护正当
用户的网络通信权。
参考文献:
[1] PFITZMANN A, KÖHNTOPP M. Anonymity, Unobservability , and
Pseudonymity: A Proposal for Terminology[ A]. FEDERRATH H,
Ed. Designing Privacy Enhancing Technologies: Design Issues in
Anonymity and Observability, LNCS 2009 [C]. Springer-Verlag,
2000.
[2] RA YMOND J -F. TrafficAnalysis: Protocols , Attacks , DesignIssues ,
and Open Problems[ A]. FEDERRATH H, Ed. Designing Privacy
Enhancing Technologies: Design Issues in Anonymity and Observ-
ability, LNCS 2009[ C]. Springer-Verlag, 2∞ -29.
[3] CHAUM D . The Dining Crγptographe四 Problem Unconditional
Sender and Recipient Un位aceability [ J]. Journal of Crγptology ,
1988 , 1(1): 65 -75.
[ 4] OHKUBO M, ABE M. A Length-Invariant Hybrid MIX[ A]. OKAMO-
TO T, Ed. Advanc田 in Crγptol唱y - ASIACRYPT 2α泊, 6th Intern仕
tional COIÚerence on the ηleory and Application of Crγptology and Infor-
mation Security, LNCS 1976[ C]. Springer-Verlag, 2αXl. 178 -191.
[5] Anonymity: Pseudonymous serve四Anon. penet. fi[ EB/OL]. http://
www. stack. nl / - galactus/ remailers /index-penet. html, 2003 -04.
[6] SafeWeb. Safeweb startpage [ EB/ OL] . https: / / www. safeweb
C旧m/, 2003 -07.
[7]ηle Lucent Personalized Web Assistant[ EB/OL]. http://wwwl.
bell-Iabs. com /proj回νIpwa/, 2004 -09.
[8] DINGLEDINE R, FREEDMAN Mj, MOLNAR D. The Free Haven pro
ject: Dis时buted Anonymous Storage Service[A]. FEDERRATH H,
Ed. Designing Privacy Enhancing Technologi田 Design Issues in Ano-
nymity and Observability, LNCS 2朋[C]. Spring町-Verlag,组Xl.
[9] HAUSER RC. Using the Internet to decrease Software Piracy on A-
nonymous Receipts , Anonymous ID Cards , and Anonymous Vouch-
ers[ 坷. Proceedings of the 5 th Annual Conference of the Internet
Society The Internet towards Global Information Infrastructure[ C] ,
1995. 199 -204.
[10] SHIELDS C, LEVINE BN. A protocol for anonymous communica-
tion over the Internet[ A]. Proceedings of the 7th ACM Conference
on Computer and Communication Security[ C] , 2000. 33 -42.
[ 11] JAP Anonymity & Privacy[ EB/OL]. http://anon. inf. tu-dresden.
(上接第 2474 页)
MPLS 组播树算法的优点:1)平均的组播转发表的大小,
由于在非仕支节点不需要保存组播信息,所以可以节约大量
的资源,据估算,网络中非分支节点占到 80% 的比例,所以,
平均的组播转发表的大小平均减小 80% 02) MPLS 控制消息
的费用,控制悄息的消耗用维护状态的控制消息数据包的总
数目来度量。 3)效率比传统的转发效率大大提高。
MPLS 组播树算法的不足: 1 )只考虑的单信源的 MPLS 组
播,不支持共享树; 2) 需要一个一个的 NIMS 负责 join 和
prune 消息的管理,增加了系统的复杂性和控制的 overhead。
参考文献:
[1] OOMS D, SALES B, LIVENS W, et al. RFC3353 , Overview oflP
Multicast in a Multi-Protocol Label Switching (MPLS) Environment
[S] , 2002.
[2] BHANTNAGAR S, GANGULY S, NATH B. Label Space Reduc-
tion in Multipoint-to-point LSPs for Traffic Engineering[ Z]. Depart-
ment of Computer Science, Rutgers University Piscataway, 2003.
[3] SOLA M, OHTA M, MAENO T. Scalability of internet multicast
de/, 2004 -12.
[12] FREEDMAN MJ , MORRIS R. Tarzan: A Peer-to-Peer Anonymiz-
ing Network Layer[ A]. Proceedings of the 9th ACM Conference on
Computer and Communications Security ( CCS 2002) [ C] , 2002.
193 -206.
[13] RENNHARD M, PLATTNER B. In位。ducing MorphMix: Peer-to-
Peer based Anonymous Internet Usage with Collusion Detection
[ A]. Proceedings of the Workshop on Privacy in the Electronic So-
ciety[ C], 2002.
[14] SHERWOOD R , BHATTACHARJEE 日, SRINIVASAN A. P5: A
Protocol for Scalable Anonymous Communication[ A]. Proceedings
of the 2002 JEEE Symposium on Security and Privacy[ C]. IEEE
Computer Society Press , 2002. 58 -70.
[ 15] ANDERSON R.ηle Eterni ty Se凹ice[ A]. MAURER UM, Ed. Ad-
vances in Crγptol唱y - PRAGOCRYPr96, International Conference
on the Theory and Application of Crγptographic Techniqu田[C], 1贝格.
[ 16] SYVERSON P, STUBBLEBINE S. Group principals and the for-
malization of anonymity[ A]. WING JM , WOODCOCK J, DAVIES
J , ed. Formal Methods - FM '99 , LNCS 1708[ C]. Springer-Ver-
lag, - 833.
[ 17] GOLDSCHLAG D, REED M, SYVERSON P. Onion routing for a-
nonymous and中rivate internet connections[ J]. Communications of
theACM , 1999 , 42(2): 39-41.
[18] MITOMO M, KUROSAWA K. Attack for Flash MIX[A]. OKA-
MOTO T, Ed. Advances in Crγptology - ASIACRYPT 2000, 6th
International Conference on the Theory and Application of Crγptol。因
gy and Information Security , LNCSI976 [ C]. Springer-Verlag,
2000. 192 -204.
[ 19] 吴振强,杨波.基于葱头路由技术和 MPLS 的隐匿通信模型
口].西安电子科技大学学报(自然科学版), 2002 , 29(4):513
-517.
[20] 赵福祥,王育民,王常杰.可靠洋葱路由方案的设计与实现
[ J]. 计算机学报, 2∞1 , 24(5): 463 -467.
[21] 王伟平,陈建二,王建新,等.基于组群的有限路长匿名通信
协议[1] .计算机研究与发展, 2∞3 , 40(4): 609-614.
[22] 杨波,刘胜利,王育民.一种可撤销匿名性的电子支付系统
[1] .西安电子科技大学学报, 1999 , 26( 4): 420 -422.
[23] 玉伟平,陈建二,陈松乔,等.匿名通信中短距离优先分组重
路由方法的研究[ J]. 软件学报, 2004 , 15(4):561-570.
protocols[ A]. Proceedings of INET[ C] , 1998.
[4] BRISCOE R, TATHAM M. End to end aggregation of multicast ad-
dr臼ses[ Z]. Internet draft , 1997.
[5] THALER DG, HANDLEY M. On the Aggregatability of Multicast
Forwarding[ A]. Proceedings of INFOCOM 2oo0[ C] , 2000.
[6] YANGB , MOHAPATRA P. Multicasting in MPLS Domains [ J] .
Computer Communications Journal , 2004 , 27( 2): 162 -170.
[7] OH Y -K, KIM D-K, YOEN H-J, et al. Scalable MPLS Multicast u-
sing Label Aggregation in Intemet Broadcasting System [ A] .
ICT2003[ C]. Tahiti , French Polynesia, 2003.
[8] BOUDANI A, COUSIN B. A New Approach to Construct Multicast
Trees in MPLS Networks[ A]. Seventh International Symposium on
Computers and Communications (ISCC'02) [C] , 2002.
[9] OOMS D, HOEBEKE R , CHEV AL P. MPLS Multicast Traffic Erν
gineering[ Z]. draft, 2002.
[10] 李小勇.可扩展 MPLS 组播的研究与设计[D]. 华东师范大学,
2005.
