基于SDN的電郵抵賴源頭抑制方法

韓志耕，馮霞，陳耿

（1. 南京審計大學工學院，江蘇 南京 211815；2. 南京審計大學江蘇省公共工程審計重點實驗室，江蘇 南京 211815；3. 安徽大學計算機科學與技術學院，安徽 合肥 230601）

基于SDN的電郵抵賴源頭抑制方法

韓志耕1,2，馮霞3，陳耿1,2

（1. 南京審計大學工學院，江蘇 南京 211815；2. 南京審計大學江蘇省公共工程審計重點實驗室，江蘇 南京 211815；3. 安徽大學計算機科學與技術學院，安徽 合肥 230601）

受制于現有互聯網體系可管控性的喪失，以簽收電郵為代表的安全電郵技術僅能對電郵抵賴進行事后檢測而無法實施源頭抑制?；赟DN（software-defined networking）控制與數據相分離的思想，通過將定制的抵賴抑制單元旁路附加到傳統電郵模型之上，提出一種不破壞現有電郵結構的電郵抵賴源頭抑制方法。在給出抵賴抑制單元內嵌的電郵證據綁定協議、抵賴行為檢測算法、簽收信度評估模型和抑制策略形成算法后，對所提方法在4種交叉場景中進行了有效性測試。實驗結果表明，在與當前電郵系統兼容共生的前提下，所提方法能夠對電郵抵賴實施有效的源頭抑制。

電郵抵賴；源頭抑制；SDN；簽收電郵

1 引言

雖然在過去 10多年里電郵作為人與人之間溝通平臺的基本屬性不斷地被削弱，但其所擁有的特有通信優勢使其依然保持著較廣的應用[1]。2014年Gartner安全電郵網關魔力象限顯示，電郵話題討論的嚴肅性使目前80%的工作交互主要借助其進行；電郵通信記錄的法律效應使其在電子政務等誠信敏感領域具有當前新興工具無法企及的重要地位。即便在移動互聯網時代，電郵仍表現出極好的平臺適應性，2013年上線即獲好評的Ping應用就是例證。盡管如此，電郵發展仍面臨諸多困境，且安全問題是首要問題。2013年Gartner報告將安全電郵列入最搶手云安全服務行列，并預測 2017年其市場份額會邁進10億美元大關。

作為一種典型的電郵安全威脅，電郵抵賴是對先前電郵交互事實的拒絕承認，包括電郵發送抵賴和接收抵賴。當前抑制電郵抵賴的主要技術是簽收電郵[2]，其通過在不信任的電郵主體之間公平地交換電郵信息和抗抵賴證據以實現電郵交互行為的可追溯[3]。簽收電郵抑制電郵抵賴的方法是事后檢測，這意味著被檢測出的電郵抵賴可能已經奏效，對誠實用戶或許已經形成傷害，從維護誠實用戶利益的角度出發，倘若能從源頭上抑制電郵抵賴，會減輕此類傷害，然而這在現有互聯網體系內無法獲得解決，原因在于：事后檢測電郵抵賴無須對電郵交互進行在線干預，但源頭抑制必須強加在線控制，而現有互聯網可管性的喪失卻無法為之提供保障。當前互聯網細腰模型正被打破，各種協議決策邏輯交織在一起產生的非線性作用使網絡行為呈現出復雜性且難以預測[4]。本文充分發揮SDN在提升網絡安全上的優勢[5]，基于其控制與數據相分離的思想，通過將定制的電郵抵賴抑制單元旁路附加到傳統電郵模型之上，提出一種不破壞現有電郵結構的電郵抵賴源頭抑制方法。

2 相關工作

傳統郵政系統中抑制郵件抵賴的主要手段是采用給據郵件。與給據郵件中抗抵賴證據（即手簽紙質給據）容易獲取不同，電郵系統中抗抵賴證據的獲取卻極其困難。事實上，受制于現有互聯網體系對可審計性的不支持[6]，諸如S/MIME (secure/multipurpose Internet mail extensions)等電郵安全協議雖然能提供完整性、認證性和保密性，但均無法提供抗抵賴性；盡管RFC2634通過將簽收證據引入S/MIME以提供電郵抗抵賴問題，但其建立在收件人定會返回收條的假設之上，在真實世界中通常難以滿足[2]。

受給據郵件思想啟發，當前抑制電郵抵賴的主要技術是簽收電郵，研究的焦點為如何在可審計性缺失的互聯網體系內進行電郵取證 ，相關研究集中在以下3個方面，分別為電郵取證的公平性、環境適應性和互操作性。

1) 電郵取證公平性旨在保證所有電郵實體要么都能獲得想要的證據，要么都無法獲得對己有利的證據[3]，其理論基礎是公平交換[7]。Onieva等[8]將P異步時限性技術引入文獻[9]中的快速樂觀簽收電郵協議，使所有實體可在協議執行的任意階段終止執行而不破壞取證的公平性；Shao等[10]針對回放攻擊可致誠實方無法獲得期望的電郵證據的問題，提出規避回放攻擊的指導原則；Payeras-Capella等[11]針對選擇性接收會致發送方丟失證據的問題，通過推遲暴露發送方簽名給出無選擇性接收的公平簽收電郵協議。

3) 互操作性是指異構簽收電郵系統為達成跨系統公平取證而進行的差別互補與兼容共生，這是在異構環境下大規模部署簽收電郵系統需要解決的問題[2]。Tauber等提出了簽收電郵互操作標準[16]、建立了簽收電郵跨歐盟互操作方案[17]，同時還設計出符合傳統電郵體系的互操作樂觀簽收電郵協議[18]；提出一種概率公平簽收電郵系統，解決了因可信第三方帶來的簽收電郵應用范圍有限和無法跨國互操作的問題。

雖然簽收電郵技術在可審計性缺失的互聯網體系內借助電郵取證實現了對電郵抵賴的事后檢測，然而受制于現有互聯網體系可管控性的缺失[20]，該技術因為無法對電郵抵賴實施在線控制，從而無法對其實施源頭抑制。與簽收電郵技術相比，本文利用SDN控制與數據相剝離的思想，通過將定制的抵賴抑制單元旁路附加到現有電郵模型之上，實現了電郵數據邏輯與抵賴抑制邏輯的剝離，為電郵抵賴在線控制提供了途徑，并進而解決了現有技術對電郵抵賴僅能事后檢測而無法源頭抑制的問題。

3 源頭抑制框架

3.1 基本構想

本文源頭抑制電郵抵賴的基本構想如下：電郵系統最初處于誠信穩定態（即無抵賴）；當電郵抵賴發生后系統由誠信穩定態遷移到抵賴擾動態；進而由于抵賴抑制策略的激活實施，系統由抵賴擾動態遷移到抵賴控制態；此后隨著電郵抵賴的不斷出現和抵賴抑制的自適應實施，系統經由若干抵賴抑制中間態（即擾動態與控制態的切換與調整），并最終回歸到誠信穩定態。該構想的實現要求電郵系統必須具備可控性，以便將電郵抵賴抑制策略（即控制邏輯）在線作用于電郵交互（即數據交互），這需要得到SDN技術[21]的支持。

SDN由Mckeown教授于2009年在INFOCOM會議上提出，該技術通過將特定的網絡硬件與軟件進行解耦，實現了網絡控制平面和數據平面的分離[20]，為提升網絡可管控性提供了創新性方案。其中，控制平面掌握全局網絡信息，采用具有邏輯中心化和可編程的控制器，方便管理配置網絡和部署新協議；數據平面僅提供簡單的數據轉發功能，采用啞交換機，用于快速處理匹配的數據分組；控制器通過 OpenFlow等標準接口向交換機下發轉發規則，交換機僅需按照這些規則執行相應的轉發動作。

3.2 方法框架

基于 SDN技術，一種可行的電郵抵賴源頭抑制方法框架如圖1所示，其特征在于通過給傳統電郵模型旁路附加一個抵賴抑制單元包括行為證據綁定組件、行為證據管理組件、抵賴程度評估組件、簽收信度管理組件和抑制策略生成組件，從而實現電郵抵賴行為的可抑制、可管理。在該方法的閉環自反饋框架內，從電郵交互前的抵賴避免，到電郵交互中的抵賴取證，再到電郵交互后的抵賴評估，整個過程使電郵交互成為一個自適應運行的抵賴抑制系統，滿足了電郵交互的誠信需求。其中，傳統電郵模型對應于SDN數據平面，用于標識基于傳統電郵協議進行的電郵交互行為；抵賴抑制單元對應于SDN控制平面，用于對電郵抵賴行為實施抑制。

3.3 抑制流程

圖1所述的電郵抵賴源頭抑制方法的閉環抑制流程描述如下。

圖1 電郵抵賴源頭抑制方法框架

其中，ISF(·)為抑制策略形成算法，A為電郵發送方，{Bi}為電郵接收方Bi(i≥0)的集合，t為協議輪標識，{crA|{Bi}}t?1為 t?1輪電郵交互后電郵收發方的簽收信度，=gt;為輸出（下同），{risA|{Bi}}t為針對 t輪電郵交互的抵賴抑制策略。式(2)中，ISI(·)為抑制策略實施函數為抵賴抑制策略未發生作用時欲進行的t輪電郵行為為抵賴抑制策略作用后所表現出來的t輪電郵行為。

4 抵賴抑制邏輯

4.1 電郵證據綁定

定義1 電郵行為(EB, e-mail behavior) 限指電郵發送方與接收方之間為傳遞電郵內容所進行的通信交互，包括電郵發送行為與接收行為。

定義2 電郵證據(EE, e-mail evidence) 指與電郵行為唯一關聯的、可用于向非當事方重現電郵行為事實的抗抵賴電子憑證，包括電郵發送證據和接收證據。

本文定制的電郵證據綁定協議 BbindE是對文獻[14]的改進，其基本思想是在單向端到端的電郵內容傳遞的同時進行雙向端到端的特征秘密交換。BbindE包括main主協議和abort與resolve這2個輔助協議。

4.1.1 協議符號

A、B、TTP、M: 電郵發送方、既定接收方 Bi集合、可信第三方、電郵內容。

B′：成功執行main協議步驟②的Bi集合，為B子集。

B″=B?B′：被A取消接收權的Bi集合，為B子集。

B″_cancelled：被TTP取消接收權的Bi集合，為B″子集。

B″_finished：求助 resolve協議恢復接收權的Bi集合，為B子集。

SX(M)：實體X對M的數字簽名。

PX(M), EK(M)：用實體X公鑰對M進行非對稱加密、用密鑰K對M進行對稱加密。

PB(M)= PB1(M), PB2(M),?=EK(M), PB1(K),PB2(K),?：集合B對M進行群加密。

Z=PTTP(A, B, PB(M))：特征秘密Z。

L=h(M)：協議輪新鮮標簽，h為單向散列函數。

4.1.2 協議描述

1) 正常情形：電郵證據綁定僅使用main協議即可完成，無需TTP參與。

main協議如下。

2) Z交換異常：若A執行完main協議步驟①后未收到某些既定 Bi∈(B″=B?B′)的反饋簽名 SBi(Z,L)，A執行abort協議以放棄與這些Bi的交互。

abort協議如下。

3) M傳遞異常：若Bi執行完main協議步驟②后未收到PBi(M)或M被篡改，Bi可執行resolve協議以恢復交互。

resolve協議如下。

BbindE借助引入新鮮標簽 L=h(M)并重構簽名消息(如將 SBi(Z)重構為 SBi(Z,L))，消除了原協議[14]因A惡意變更M給Bi帶來的危害。原協議中A可在main協議步驟③中將步驟①中既定的M變更為M′，最終A持有Bi接收M的證據，而Bi實際收到的確為M′，這對Bi來說不公平。BbindE執行完后，A持有電郵接收證據{SBi(Z,L), STTP(B″_cancelled, Z,L)}，Bi持有電郵發送證據{SA(Z,L),STTP(B″_cancelled,Z, L)}

4.1.3 有效性證明

定理1 BbindE綁定證據可使仲裁方J相信電郵行為無否認。

證明 擬采用基于信仰的模態邏輯 SVO[22]進行證明如下。

BbindE中基本項集為{{A, Bi, TTP, J}，{Z, L,M}，{KA, KBi, KTTP, KA?1, KBi?1, KTTP?1, K}}

BbindE中密鑰持有假設P1和P2為

在假設P1～P12的基礎上，結合SVO邏輯的Nec規則和信任公理、源關聯公理、接收公理以及敘述公理可以證明G1和G2目標成立，邏輯推理過程略。 證畢

4.2 抵賴行為檢測

定義3 電郵抵賴(ER, e-mail repudiation)指電郵實體出于私利對已實施的電郵行為予以否認，包括電郵發送抵賴(如A向Bi發送M，但A事后否認曾發送過M給Bi)和電郵接收抵賴(如Bi收到A發送的M，但Bi事后否認曾接收過來自A的M)。

以實體A向群體B發送電郵M為例，此處基于4.1節中證據綁定結果給出行為證據綁定組件內嵌的電郵抵賴檢測算法，描述如下。

1) 發送方抵賴檢測

發送方抵賴包括2種情況：A未向Bi發送過M但宣稱發送過，以及發送過但宣稱未發送過。由于前者無法提供綁定證據，此處僅對后者展開檢測，詳見算法1。

算法1 DER_sender // 發送方抵賴檢測

⑨ return SR；

2) 接收方抵賴檢測

同理，此處僅對Bi接收來自過M但宣稱未接收過進行抵賴檢測，詳見算法2。

算法2 DER_receiver // 接收方Bi抵賴檢測

4.3 簽收信度評估

4.3.1 評估步驟

定義4 簽收行為(CB, certified behavior) 特指電郵實體對電郵行為事實的誠實宣稱或拒絕承認。

定義5 簽收信度(CR, certified reputation) 特指公眾對電郵實體無抵賴簽收行為的社會認可度。

簽收信度的評估分2步完成，介紹如下。

1) 簽收信度初估：基于抵賴檢測結果計算初始簽收信度，即，其中，為

t輪初始簽收信度，SRt和RRt為t輪抵賴檢測結果，f(·)為簽收信度初估模型。

由于可直接應用于簽收信度初估的模型有很多[23]，故此處僅給出簽收信度重估模型，描述如下

其中，式(8)中 ρ(0lt;ρ≤1)和 LH 分別為歷史近鄰簽收信度的關注因子和關注時隙個數，式(10)中θ(0lt;θ≤1)和 LDH分別為歷史近鄰簽收信度波動率的關注因子和關注時隙個數，且LH和LDH通常設置為電郵實體策略抵賴行為的振蕩時隙大??；式(7)中α和β在設置上要求正比于LH，且γ和δ在設置上擬遵循式(11)和式(12)。

4.3.2 逼近度分析

定義6 簽收距離(CD, certified distance)。給定簽收行為 CBt(0≤CBt≤1)和對應的簽收信度CRt(0≤CRt≤1)，則對應的簽收距離為 CDt=|CRt?CBt|。

定義7 簽收信度逼近度(DACR, degree of approximation of certified reputation)。給定簽收行為CBt(0≤CBt≤1)和對應的簽收距離CDt，則簽收信度逼近度

定理 2 在簽收信度重估模型中引入時效維δDt|SDt|可提高簽收信度逼近度。

證明 設 CBt(0≤CBt≤1)為簽收行為，CR′t(0≤ CR′t≤ 1)為引入 δDt|SDt|之前獲得的簽收信度，對應簽收距離 CD′t=|CR′t?CBt|，簽收信度逼近度為；CR為引入 δD|SD|之后ttt獲得的簽收信度，即 CRt=CR′t+δDt|SDt|，對應簽收距離CDt=|CRt?CBt|，簽收信度逼近度為

如圖2(a)所示，當簽收行為呈現突發惡化趨勢時有Dtlt;0且SDtlt;0，由于0lt;δlt;1有δDt|SDt|lt;0，進而有|CR′t?CBt+δDt|SDt||lt;|CR′t?CBt|，依據定義 6 有CDtlt;CD′t，由定義 7 有 DACR′tlt;DACRt。

如圖2(b)～圖2(d)所示，當惡意簽收行為呈現持久化趨勢(Dt≤0，SDt≥0)、簽收行為呈現突發改善趨勢(Dtgt;0，SDtgt;0)、誠實簽收行為呈現持久化趨勢(Dt≥0，SDt≤0)時證明類似。證畢。

4.4 抑制策略形成

定義8 簽收信度閾值(CRT, certified reputation threshold)特指電郵實體在電郵行為實施過程中所能容忍的對方實體最低簽收信度。

抵賴抑制策略的形成使用了基于簽收信度閾值的比較方法。具體思路為：在電郵收發方簽收信度不小于全系統簽收信度閾值 CRTt（ global)的前提下，若電郵發送方A的簽收信度TVtB(A)低于電郵接收方Bi的簽收信度閾值CRTt(Bi)，則禁止發送，反之則允許發送；若Bi簽收信度TVt(Bi)低于A的簽收信度閾值CRTt（A)，則禁止接收，反之則允許接收。其合理性可在電郵實體簽收行為空間內予以解釋：以第一種情況為例，由于TVt(A)小于CRTt(Bi)，即A在先前簽收行為上的綜合誠信表現低于Bi的承受底限，依據組織行為學的歸因論，可以預測到A在未來極小時間內大幅度改善簽收行為的可能性會極低，為此可禁止A向Bi發送電郵。

算法3給出了抵賴抑制策略形成算法，其中，A和B={B1, B2,…, B|B|}分別為電郵發送方和電郵接收方，TVt(x)和CRTt(x)分別為電郵實體x在t輪的簽收信度和簽收信度閾值。

算法3 ISF // 抑制策略形成算法

輸入 TVt(A), CRTt(A), {TVt(Bi)},{CRTt(Bi)},CRTt(global)

輸出 ris // 抵賴抑制策略，元素(00)bit為允許交互，(01)bit為允許發送禁止接收，(10)bit為禁止發送允許接收，(11)bit為禁止交互

圖2 簽收行為4類變化原子趨勢

5 實驗與分析

5.1 實驗系統構建

利用SDN開源平臺構建出如圖3所示的實驗系統，介紹如下：1) 在 SDN控制器 PC0(運行Ubuntu12.04+POX)上部署抵賴抑制單元中除電郵證據綁定之外的所有邏輯，以形成抵賴抑制策略；2) 在OpenFlow交換機PC1、PC2(運行Ubuntu12.04+OpenFlow)上部署定制的流表更新邏輯，以便能夠依據抵賴抑制策略更新流表；3) 在PC3(運行Win7)上部署定制軟件NRMail，該軟件除實現SMTP和POP3電郵客戶端邏輯外，還實現電郵行為提取及證據綁定邏輯（證據綁定時所需的TTP角色由定制的TTP進程實現、證據簽名及驗證由定制的sign進程實現）；4) 在PC4(運行Win7)上部署共享軟件Winmail以提供SMTP和POP3電郵服務。該實驗系統中網絡192.168.100.0中的PC0、PC1和 PC2共同構成電郵控制通道，網絡192.168.111.0中的PC3、PC1和192.168.122.0網絡中的PC2、PC4共同構成電郵數據通道。

該實驗系統的時序運行過程為：1) NRMail截獲電郵發送的SOCKET通信，將所綁定的電郵發送行為證據連同SOCKET信息一并提交給OpenFlow交換機；2) OpenFlow交換機緩存該SOCKET，并將從中解析出的電郵收發方標識與電郵證據(封裝成packet-in消息)一并通過安全通道(遵守OpenFlow協議)直接轉發給SDN控制器；3) SDN控制器提取電郵收發方簽收信度并據此形成電郵抵賴抑制策略，其結果通過安全通道派發給OpenFlow交換機；4) OpenFlow交換機依據獲得的抵賴抑制策略更新流表，在轉發本輪后續電郵數據的同時持續向SDN控制器提交來自NRMail的后續電郵證據；5) SDN控制器對本輪電郵交互實施抵賴檢測，并完成簽收信度更新。

圖3 實驗平臺

5.2 抵賴抑制實驗

5.2.1 實驗參數選擇

1) 電郵實體總數為1 025（惡意實體占20%）。同時規定誠實實體誠實宣稱真實電郵行為、無共謀（即不會彼此哄抬簽收信度）、無誹謗（即不會詆毀他人簽收信度）；惡意實體為謀取私利對真實行為會策略地選擇誠實宣稱或拒絕承認、會共謀抵賴、會對誠實實體實施誹謗。

2) 簽收行為注入模型如圖4所示，同時設置電郵抵賴的行為表現值為 0.1、非抵賴的行為表現值為1；惡意行為策略時隙為10個時間片，即波動周期為20個時間片。

3) 簽收信度初估時標記抵賴評估證據樣本值為0.1、標記非抵賴樣本值為1，信度合計選用加權簡單求和經典算法[23]。

5) 設置CRTt(global)=0.4，設置閾值系數為0.8，即

圖4 簽收行為注入模型

5.2.2 簽收信度逼近測試

簽收信度越逼近于簽收行為，抵賴抑制策略就越具備針對性。然而，信度類評估所固有的時滯性卻會加大簽收信度的偏離性。為考查本文方法的簽收信度逼近性，以圖4中行為模型為輸入，圖5(a)給出了無共謀情境下，未被誹謗和被誹謗時誠實實體簽收信度評估情況，以及 ρ=1且 θ=1、ρ=1且θ=0.75、ρ=0.75且 θ=1和 ρ=0.75 且 θ=0.75時惡意實體簽收，與此對應，圖5(b)給出了共謀情境下的簽收信度評估情況?？梢钥闯觯?) 誹謗會降低（誠實實體）簽收信度逼近性；2) 雖然共謀會抬升(惡意實體)簽收信度，但適當降低 ρ(ρ=0.75lt;1)和抬升θ(θ=1gt;0.75)均可改善簽收信度逼近性。

圖5 簽收信度評估結果

圖6 共謀對逼近性影響幅度分析

為考查共謀對簽收信度逼近性的影響幅度，圖6 針對 ρ=1 且 θ=1、ρ=1 且 θ=0.75、ρ=0.75 且 θ=1和ρ=0.75且θ=0.75這4組條件，比對了惡意實體在共謀和無共謀時的簽收信度評估情況?？梢钥闯?，較無共謀而言，當簽收行為由誠實轉為抵賴時，共謀會加大簽收信度偏離性；反之，當簽收行為由抵賴轉為誠實時，共謀會提升簽收信度逼近性。這意味著，惡意電郵實體為更好地隱蔽自身的抵賴行為，在試圖抵賴電郵行為時會選擇共謀，反之，在試圖誠實宣稱電郵行為時會選擇無共謀。

5.2.3 源頭抑制效果檢測

為檢測電郵抵賴源頭抑制效果，針對無共謀無誹謗、無共謀有誹謗、有共謀無誹謗、有共謀有誹謗 4種交叉場景（下文簡稱 4種交叉場景），圖 7給出了設定ρ=1，θ=0.75(即簽收信度逼近度最差情形)時電郵交互總量逐步增長至10 000時被源頭抑制掉的電郵發送抵賴、電郵接收抵賴、電郵收發抵賴，以及電郵交互無抵賴這4類抵賴情況的占比數據。如表1所示，隨著電郵交互次數的不斷增多，被源頭抑制掉的電郵發送抵賴平均占比從最初的0.243 8下降（使用″↘″標記）到0.019 7，電郵接收抵賴平均占比從最初的0.215 2下降到0.019 9，電郵收發抵賴平均占比從最初的0.013 9下降到0，與此同時，電郵交互成功平均占比從最初的0.620 4上升（使用″↗″標記）到0.957 4。這表明，本文提出的電郵抵賴源頭抑制方法能夠促使電郵實體執行誠信無抵賴的電郵交互。

5.2.4 源頭抑制能力評估

對電郵抵賴源頭抑制能力的評估擬采用3種常用的評估分類器度量標準：查全率、查準率和調和平均值。具體地，設TP是事前被正確識別為電郵抵賴的樣本數、FN是事前被誤判為電郵無抵賴的樣本數、FP是事前被誤判為電郵抵賴的樣本數，則電郵抵賴查全率、電郵抵賴查準率、調和平均值

圖7 電郵抵賴源頭抑制實驗結果

表1 電郵抵賴源頭抑制效果分析

圖8 電郵抵賴查全率、查準率和調和平均值

表2 電郵抵賴源頭抑制能力分析

針對4種交叉場景，圖8給出了ρ=1，θ=0.75時電郵交互總量從1增長到10 000時的電郵抵賴查全率、電郵抵賴查準率和調和平均值。從表2可以看出，雖然在4種交叉場景下的電郵抵賴查全率均值僅為0.373 0，但查準率卻高達0.999 2，并且還獲得了0.526 4的較好調和平均值，這表明本文方法具備一定的電郵抵賴源頭抑制能力。

5.2.5 與簽收電郵的比較

為確保比較的公平性，通過裁剪5.1節的實驗系統構建出待比較的簽收電郵系統，即切斷圖3中的PC0，修改PC1、PC2上流表以雙向允許PC3、PC4間的分組，保留PC3上的NRMail和PC4上的電郵服務。

圖9給出了ρ=1，θ=0.75時電郵交互總量從1增長到10 000時，本文方法與簽收電郵的電郵抵賴抑制對比情況。從表3和表4可以看出，在同種系統配置下，當電郵交互總量達到10 000時，4種交叉場景下本文方法的電郵抵賴源頭抑制的占比與簽收電郵的電郵抵賴事后抑制占比相當，分別達到了94.85%、99.53%、99.09%和99.10%，這表明本文方法有效彌補了簽收電郵在抵賴源頭抑制上的不足。

6 結束語

基于 SDN技術，提出一種不破壞現有電郵結構的電郵抵賴源頭抑制方法，解決了現有以簽收電郵為代表的電郵安全技術僅能對電郵抵賴進行事后檢測而無法實施源頭抑制的問題?？紤]到本文方法在電郵抵賴查全率上還有提升空間，下一步工作擬分2步進行：1) 設計出抵賴危害評估模型，以對電郵抵賴的危害性進行界定；2) 基于電郵通聯網絡提出電郵抵賴傳播與擴散機制，以獲取危害性電郵抵賴的行為態勢。在改善電郵抵賴源頭抑制針對性的同時，通過擴大電郵抵賴的預測面來提升電郵抵賴的源頭查全率。

圖9 源頭抑制與事后抑制實驗結果

表3 無共謀情境下抵賴抑制占比（抑制數/交互量）

表4 有共謀情境下抵賴抑制占比（抑制數/交互量）

[1] WELLS T M, DENNIS A R. To e-mail or not to e-mail: the impact of media on psychophysiological responses and emotional content in utilitarian and romantic communication[J]. Computers in Human Behavior, 2016, 54: 1-9.

[2] TAUBER A. A survey of certified mail systems provided on the Internet[J]. Computers amp; Security, 2011, 30: 464-485.

[3] FERRER-GOMILLA J L, ONIEVA J A, PAYERAS M, et al. Certified electronic mail: properties revisited [J]. Computers amp; Security,2010, 29(2):167-179.

[4] KIM H, FEAMSTER N. Improving network management with software defined networking [J]. IEEE Communications Magazine, 2013,51(2):114-119.

[5] ALI S T, SIVARAMAN V, RADFORD A, et al. A survey of securing networks using software defined networking [J]. IEEE Transactions on Reliability, 2015,64(3): 1086-1097.

[6] BECHTOLD S, PERRIG A. Accountability in future Internet architectures[J]. Communications of the ACM, 2014, 57(9): 21-23.

[7] WANG Y, SUSILO W, AU MH, et al. Collusion-resistance in optimistic fair exchange[J]. IEEE Transactions on Information Forensics and Security, 2014, 9(8):1227-1239.

[8] ONIEVA J A, ZHOU J, LOPEZ J. Enhancing certified e-mail service for timeliness and multicast[C]// 2004 International Network Conference. Plymouth, UK, 2004: 327-336.

[9] MICALI S. Simple and fast optimistic protocols for fair electronic exchange[C]//The twenty-second annual symposium on Principles of distributed computing. Boston, USA, 2003: 12-19.

[10] SHAO MH, WANG G, ZHOU J. Some common attacks against certified e-mail protocols and the countermeasures[J]. Computer Communications, 2006, 29(15): 2759-2769.

[11] PAYERAS-CAPELLà M M, MUT-PUIGSERVER M, FERRER-GOMILA J L, et al. No author based selective receipt in an efficient certified e-mail protocol[C]//2009 17th Euromicro International Conference on Parallel, Distributed and Network-based Processing. Weimar, 2009:387-392.

[12] PUIGSERVER M M, GOMILA J L F, ROTGER L H. Certified electronic mail protocol resistant to a minority of malicious third parties[C]//Nineteenth Annual Joint Conference of the IEEE Computer and Communications Societies (IEEE INFOCOM 2000). 2000:1401-1405.

[13] ATENIESE G, MEDEIROS BD, GOODRICH MT. TRICERT: a distributed certified e-mail schemes[C]//2001 Network and Distributed System Security Symposium. San Diego, USA, 2001.

[14] ZHOU J, ONIEVA J, LOPEZ J. Optimized multi-party certified e-mail protocols[J]. Information Management amp; Computer Security,2005, 13(5):350-366.

[15] WANG C, LAN C, NIU S, et al. An ID-based certified e-mail protocol with STTP suitable for wireless mobile environments[J]. Journal of Computers, 2013,8(1): 3-9.

[16] TAUBER A, APITZSCH J, BOLDRIN L. An interoperability standard for certified mail systems[J]. Computer Standards amp; Interfaces,2012, 34: 452-466.

[17] TAUBER A, KUSTOR P, KARNING B. Cross-border certified electronic mailing: a European perspective[J]. Computer Law amp; Security Review, 2013, 29(1):28-39.

[18] DRAPER-GIL G, FERRER-GOMILA JL, HINAREJOS MF, et al.An optimistic certified e-mail protocol for the current Internet e-mail architecture[C]//2014 IEEE Conference on Communications and Network Security(CNS). San Francisco, 2014: 382-390.

[19] PAULIN A, WELZER T. A universal system for fair non-repudiable certified e-mail without a trusted third party [J]. Computers amp; Security, 2013,32: 207-218.

[20] LARA A, KOLASANI A, Ramamurthy B. Network innovation using OpenFlow: a survey [J]. IEEE Communications Surveys amp; Tutorials,2014, 16(1): 493-512.

[21] KREUTZ D, RAMOS F M V, VERISSIMO P E, et al. Softwaredefined networking: A comprehensive survey[J]. Proceedings of the IEEE, 2015,103(1): 14-76.

[22] SYVERSON P, VAN OORSCHOT P C. A unified cryptographic protocol logic[R]. Technical Report, NRL Publication 5540-227,Naval Research Lab, 1996.

[23] HENDRIKX F, BUBENDORFER K, CHARD R. Reputation systems: A survey and taxonomy [J]. Journal of Parallel and Distributed Computing, 2015, 75: 184-197.

[24] SRIVATSA M, XIONG L, LIU L. TrustGuard: countering vulnerabilities in reputation management for decentralized overlay networks[C]//The 14th international conference on World Wide Web(WWW2005). Chiba, Japan, 2005.

SDN based e-mail repudiation source restraining method

HAN Zhi-geng1,2, FENG Xia3, CHEN Geng1,2
(1. Institute of Technology, Nanjing Audit University, Nanjing 211815, China;2. Jiangsu Key Laboratory of Public Project Audit, Nanjing Audit University, Nanjing 211815, China;3. School of Computer Science and Technology, Anhui University, Hefei 230601, China)

With the limitation of controllability of the existing Internet architecture, the existing secure e-mail technology such as certified e-mail can only post detection but cannot source restraining on e-mail repudiation. Based on the idea of control and data separation of software-defined networking technology, by means of bypass attaching customized repudiation restrain unit to the traditional e-mail model. An e-mail repudiation source restraining method was proposed without destroying the existing e-mail structure. After presenting e-mail evidence binding protocol, repudiation behavior detection algorithm, certified reputation evaluation model, and repudiation restraining strategy formation algorithm embedded in repudiation restrain unit, the effectiveness were tested of the proposed method in 4 cross scenarios. The experimental results show that, under the premise of compatibility with the current e-mail system, the method can source restrain e-mail repudiation effectively.

e-mail repudiation, source restraining, SDN, certified e-mail

s: The National Natural Science Foundation of China (No.71271117), The Natural Science Foundation of Jiangsu Province (No.BK20151460), The University Natural Science Foundation of Jiangsu Province(No.16KJB520021), Jiangsu Province Key Laboratory of Network and Information Security(No.BM2003201), The Opening Foundation of Jiangsu Province Key Laboratory of Public Project Audit (No.GGSS2015-04)

TP393

A

10.11959/j.issn.1000-436x.2016178

2016-02-28；

2016-07-12

馮霞，fengx.ahu@foxmail.com

國家自然科學基金資助項目（No.71271117）；江蘇省自然科學基金資助項目（No.BK20151460）；江蘇省高校自然科學基金資助項目（No.16KJB520021）；江蘇省網絡與信息安全重點實驗室基金資助項目（No.BM2003201）；江蘇省公共工程審計重點實驗室開放課題基金資助項目（No.GGSS2015-04）

韓志耕（1976-），男，江蘇東臺人，博士，南京審計大學講師，主要研究方向為網絡安全與管理。

馮霞（1983-），女，江蘇揚中人，安徽大學博士生，主要研究方向為數據安全。

陳耿（1965-），男，江蘇無錫人，博士，南京審計大學教授、碩士生導師，主要研究方向為數據安全、網絡取證。