一種基于距離優先分組策略的重路由策略

匿名通信是指在特定的方法上隱藏業務流程中的通信關系，以便監聽者不直接了解雙方之間的通信關系或通信關系的一方。此外，通信雙方之間的身份或通信關系的面紗可以是隱藏通信雙方的身份或通信關系的重要目的。為了確保網絡用戶的個人通信隱私，并更好地保護敏感通信。例如，在匿名投票系統、匿名支付系統和虛假報告系統上使用。現在，關于網絡身份通信技術的研究越來越受網絡安全研究人員的重視，已經成為網絡安全研究的向前重要分支。在基于因特網的匿名通信技術的研究方面,早期提出了針對電子郵件的匿名郵件系統,隨后又出現了一些有代表性的匿名通信協議和原型系統,典型的有基于簡單代理(simple-proxy)的Anonymizer,ProxyM,基于Mix的Freedom,OnionRouting,WebMixes,基于組群的Crowds,Hordes,這些系統都在一定程度上保證了匿名連接.從技術上而言,目前匿名系統的研究主要是對匿名有效性的研究,這些系統借助于多個代理的重路由(rerouting)技術、填充包(padding)技術和加密技術來達到匿名發送或接收的目的.例如在OnionRouting系統中,采用了路徑上主機的多級嵌套公開密鑰加密,并且利用路徑上代理填充包使得所有的輸入輸出具有同樣的長度,這使得網絡附加開銷增大,同時也使得客戶請求相應的延遲有所增加.在重路由技術方面,大部分采用的是隨機重路由的策略,即在所有中轉主機中隨機選擇一個進行轉發.隨著系統的擴展,代理主機數增加,由于部分中轉主機之間的距離很遠,隨機重路由帶來延遲可能會很大.本文提出了一種距離優先分組重路由策略,數學分析和仿真實驗都證明,在一定分組成員數的情況下,該策略能夠較好地保持匿名度,同時極大地降低了重路由轉發延時.本文第1節介紹相關的研究工作.第2節是新的重路由策略及其匿名性能分析.第3節是模擬測試及其分析.第4節是結論.1相關研究和基礎在這一節中,我們介紹一些典型匿名系統中的重路由策略,對相關的匿名特性進行分析比較.1.1符號和定義由于本文中采用概率分析的方法,在文章中多處用到了一些符號,表1給出了這些符號的說明.1.2概率分析方法AT&T的Crowds系統是基于組群的思想來實現匿名的,能夠提供匿名Web瀏覽服務.系統中每個成員用戶有一個代理,稱作jondo.當用戶發出請求時,jondo充當請求代理,將請求以等概率隨機發給組中任一jondo.之后,路徑上每個jondo以概率決定是轉發給下一個jondo還是將請求直接給Webserver,即發給組中任一jondo的概率是pf,發給Webserver的概率是1-pf.Crowds系統主要實現了發送者匿名.在文獻中利用概率分析的方法,對泄密者攻擊情況下的匿名性能作了分析,用路徑上有泄密者情況下,攻擊者能準確判斷發起者的概率P(I|H1+)來表示匿名性能.其中,n是組群中的成員數,即系統中的中轉代理總數;c是泄密者個數;pf是轉發概率.在Crowds中平均每條路徑經過轉發的代理個數為K=1/(1-Pf).在其他匿名系統中大部分也是采用隨機轉發的策略,例如在OnionRouting系統中,借鑒了Crowds的方法采用了隨機轉發源選路徑的方式.1.3固定有限長度重路由有限長度重路由是對隨機概率重路由的改進.Crowds中采用概率的方法決定是傳給下一jondo還是傳給server,路徑長度是沒有制約的.這使得路徑長度沒有上界,極端情況下會達到無限長,這使得請求應答時間無限長(盡管這一概率非常小).有限長度匿名通信協議的工作過程:當用戶要發送信息時,將請求交給它的用戶路由代理(route_proxy),代理以一定方式隨機產生一個路徑長度(path_length),然后任選一組員代理傳送,該轉發代理將path_length減1若path_length不為0,則該代理按同樣的方式將請求轉交給其他代理,直到某個代理發現path_length降為0,就將請求直接交給接收方(Webserver).用同樣的概率分析方法,得到了當路徑長度為k時的固定有限長度重路由(staticpath-lengthrerouting,簡稱SKRR)的匿名性能.由于采用固定長度的路徑會帶來另一種攻擊,即由于k是路徑的上界且所有中轉主機都知道k,所以只要路徑上的某個泄密者獲得的path_length是k-1,就可以準確地得出前者是發送者.改進的做法是采用隨機產生路徑長度的方法——隨機路長重路由(randomizedpath-lengthrerouting,簡稱RKRR),但若采用均勻分布,在[k1,k2]間隨機取值作為路徑長度k,則仍然有1/(k2-k1+1)的概率取到k=k2,這種情況下,同樣會導致固定長度情況下的問題.因此,我們設法采用其他分布隨機取值,設法使取到k2的概率降低,因此構造了一個取值權值函數W(k).其中,mid∈[k1,k2],代表權值最大的k.因此,取到路徑長度k的概率是在采用隨機路長方法之后,使得路徑長度取到k2的概率降低.例如,當k在間取值,取mid=5,6,7,8時對應的k取到上界20的概率分別是0.0020,0.0022,0.0025,0.0029.2短時可以實現以市場為原則的短效策略重路由將原來的單個源與目的之間的直接連接變成了多個主機之間的轉接,從而使得通信雙方的通信關系得以隱藏或者發送方、接收方的身份得以隱藏.重路由付出的代價是顯而易見的,體現為網絡的代價和服務的代價兩方面,網絡方面的開銷體現在網絡資源的占用上,多個代理對信包作了轉發,占用了更多的信道資源和主機資源.服務方面的代價體現為增加了服務的延遲時間,原來單個連接的延遲變成了多個連接的延遲之和.在以往的研究中,集中于獲得較好的匿名性能而忽略了協議的開銷,尤其是對延遲時間的增加.本文提出的短距離優先重路由策略在考慮匿名性能的同時兼顧了性能方面的影響.2.1隨機轉發策略相關的重路由策略研究都是將代理主機作為一個大組,當選擇轉發代理時采用隨機選擇轉發的策略.而我們可以觀察到,當這些代理主機分布很廣且數目很多的情況下,代理主機間的連接延遲差別就會很大,這主要是由于代理之間的物理距離以及代理連接上的擁擠程度不同造成的,因而造成了選擇不同轉發代理所付出的代價有較大的差異.因此,我們的基本出發點是優先選擇代價小的代理主機進行轉發.我們主要基于用戶延遲方面的考慮,提出了短距離優先的重路由策略.基本思想是,在n個代理主機的環境下,每個主機代理通過測試獲得自己周圍的近距離的m個主機代理,在轉發時采取隨機策略在m個鄰近主機代理中間進行選擇.從實現的角度來看,這里的距離可以用時延來表示,由于主機之間的往返時延可以通過底層的ICMP報文測知,所以距離的測試是可行的.距離可以采取定期測試的方法,因此每個代理主機(router_proxy)都定期保留它的m個鄰近主機(nearbyroute_proxy)的信息.以下是分組之后的隨機概率轉發重路由算法的描述,設隨機轉發概率是pf:2.2仿真結果分析我們將分組策略引入到第1.2節和第1.3節所描述的重路由算法中.在匿名性能的分析上,為了便于比較,我們采用與Crowds系統相同的攻擊模型,即中轉主機代理可能成為泄密者,位于路徑上的第1個泄密者猜測前者是發送者.用P(I|H1+)表示泄密者猜測準確的概率,也就是在被猜測的信包中發送者被猜中的概率.并假設泄密點在物理位置上是均勻分布的(即若非泄密者比例是p,每個中轉主機周圍選m臺主機,其中m×p是非泄密主機).以下分別給出了概率轉發、固定路長和隨機路長情況下的距離優先分組重路由策略的匿名性能分析結果(具體數學推導過程詳見附錄).2.2.1pi#h+不分組算法將分組策略引入隨機概率轉發重路由算法中,每次轉發在就近組主機中隨機選擇,其他維持原策略不變,經推導可得當m=n時,即不分組時,上式即為(pf+n-nppf)/n,以p=(n-c)/n代入,即為[n-pf(n-c-1)]/n,與公式(1)是一致的因為m<n,所以顯然分組后P(I|H1+)比未分組時有所增加,即匿名性能有所下降.2.2.2m=n的檢驗上式中m>=2,因為當m為1時,最靠近自己的點是自己,每次都會選擇自己,即發送者每次都傳給自己.當m=n時,公式(4)可以簡化為這與公式(2)一致,即這時匿名性能等同于不分組時固定路長的情況.2.2.3固定路長為k的情況由于采用固定路長會帶來與有限固定路長重路由(SKRR)同樣的問題,因此考慮采用與公式(3)相同的概率函數ρ(k)來隨機取得路長k,P(I|H1+,k)表示在路長為k的情況下,固定路長分組重路由策略下的P(I|H1+)值.這種情況下,可以按照下式求得P(I|H1+)的期望值.2.3分析和比較隱藏能力根據以上概率分析結果,我們對多種重路由策略的在不同路徑長度期望、不同泄密者數以及不同分組大小下的匿名性能進行了比較.2.3.1不同路徑策略比較圖1計算了不同路徑長度期望情況下,取n=1000,m=100,c=100,各種重路由策略下的匿名性能計算值比較因為P(I|H1+)表示被猜中的概率,所以用1-P(I|H1+)可以作為衡量匿名度的指標.可以看出,當路徑長度增加時,各種重路由策略的匿名性能有所提高,而這種增長趨勢隨著路徑長度的增加而放緩.顯然,引入了短距離分組優先策略后,各種策略與不分組時相比,匿名性能略有下降,這可以解釋為由于采用短距離分組重路由,每個轉發代理出現在自己的近距離小組中,使得發送者出現在路徑上的概率提高,從而增加了泄密者猜測準確的可能性,降低了匿名性.無論是否分組,幾種路由策略相比,有限路長重路由策略獲得的匿名性要好于隨機概率轉發重路由策略,在有限路長中采用固定路長較隨機路長方法獲得的匿名性能理論值要好一些.這可以解釋為當應用隨機概率轉發算法(RPRR)時,路徑長度取到較小值的可能性較大.2.3.2路徑長度對偽造的影響圖2計算了在不同泄密者個數情況下,多種重路由策略的匿名性能.可以看出,泄密者個數增加,各種重路由算法下匿名性能都下降.2.3.3分組規模的影響圖3是當n=1000和n=10000,泄密者比例是10%,L=5(或路長期望是5)的情況下,分組大小變化時,各種匿名重路由方法下的P(I|H1+).可以看出,分組重路由的P(I|H1+)與分組大小有關系,這是因為分組成員越少,發送者再次出現在路徑上的概率越大,從而路徑上一旦有發送者,猜中的可能性就越大,即P(I|H1+)增加.而我們也可以看到這種變化不是線性的,當分組成員數小于150時,隨著分組成員數的增加,P(I|H1+)下降較快(匿名性變好);當分組成員數大于150時,P(I|H1+)變化趨緩,且不斷接近相同路長期望下的相應非分組重路由算法.同時可以看到,n增大,即系統主機數增多,對曲線的影響不大.選擇分組大于150,可以獲得接近于非分組路由情況的匿名性3模擬測試在這一節中,我們將通過模擬的方法測試上述多種重路由策略的匿名性能、造成的附加開銷以及對服務延遲的影響.3.1[l1,l1]的轉發代理組模擬環境中共有n個中轉代理,代理間相互是可以連接的,代理間的距離在[L1,L2]之間均勻分布,每個代理周圍最近的m個代理形成該代理的轉發代理組,c個泄密者在n個成員中隨機產生.隨機產生測試請求,請求的發送者在n個成員中隨機產生.3.2平均路段數和轉發延遲單位共測試了10000個請求,取代理主機總數n=1000,分組成員數m=100,泄密者數c=100,距離分布范圍值L1=2,L2=20,L1,L2的值以延時單位計.表2列出了多種重路由算法的性能測試值,并且列出了相應的理論計算值作為對照(由于固定路長會帶來不利影響,這里只測試了隨機有限路長的情況).其中,P(I|H1+)是指攻擊準確的概率;平均路段數是指每個請求平均經過的路段數,這反映了重路由中多少個代理主機參與了轉發;平均轉發延時單位測試了每個請求平均經過的延時單位,即路徑上的延遲之和,這反映了重路由對服務延時的影響.為了便于比較,我們在相同路徑長度期望下進行測試,在對RKRR和DGRKRR算法的測試中,取路徑長度范圍值區間k1=3,k2=20,通過變化mid值使路徑長度期望變化;在RPRR和DGRPRR算法測試中,通過改變pf值使路徑長度期望變化.從表2中可以看出,P(I|H1+)模擬測試結果值與概率分析理論計算結果基本是一致的,在相同路段期望情況下,采用了距離優先分組策略后匿名性能略有降低,同時,從對服務延遲的影響來看,距離優先分組重路由策略使請求轉發延遲時間有明顯的降低.例如,在路徑期望L為6.2685時,RKRR與DGRKRR比較,P(I|H1+)測試值從20.83增加到22.05,而轉發延遲單位由68.6349降為17.9052;RPRR與DGRPRR比較,P(I|H1+)測試值從24.0306增加到24.1346,而轉發延遲單位由73.1526降為19.2291.4隨機概率轉發組本文提出了一種用于匿名通信的重路由算法——距離優先分組重路由算法.我們利用與Crowds系統分析中同樣的攻擊模型,分別在隨機概率轉發和有限路長限制下研究了該算法的匿名性能、網絡開銷以及轉發造成的延遲.數學分析和模擬測試結果表明,與非分組重路由算法相比,在一定分組大小情況下,距離優先重路由算法在保持了較好的匿名性能的同時降低了服務延遲.進一步的研究將針對泄密者集中分布情況下的匿名性能進行研究,并且將這種新的重路由策略用到匿名通信系統中,研究在實際系統中的可實現性以及可擴展性.附錄:關于短距離優先分組重路由算法匿名性能的分析與推導.假設泄密點在物理位置上是均勻分布的,非泄密者比例是p(即每個中轉主機周圍選m臺主機,其中m×p是非泄密主機).令位于路徑的第1個泄密者在路徑的第i個位置的概率,即路徑的前i-1次取到了非泄密者,第i個選到了泄密者的概率為P(Hi).第1個泄密者位于路徑上第1個位置或之后的概率為P(H1+)