一種標識符動態協商的匿名通信模型

楊曉暉,莊海晶

(河北大學 網絡空間安全與計算機學院,河北 保定 071000)

1 引 言

隨著網絡技術的發展和大數據應用的增加,數字信息傳遞已成為人類交流的一種重要形式。但是,數字信息傳遞有很多潛在的安全隱患。潛在的攻擊者可以構建通信分析圖,統計分析出通信雙方或者竊取信息,進行重放攻擊等,這些攻擊行為嚴重破壞節點的通信,威脅用戶的隱私。研究人員揭示了各種可以讓對手通過網絡入侵獲取私人或其他敏感信息的方式,比如所謂的電話號碼[1]或IP地址[2]。因此,隱私的最終目標不僅是要保護信息的內容,而且要保護通信方的身份、通信的實際時間以及通信過程中的特定用戶參與?；谏鲜鲈?對匿名通信系統等隱私保護協議的研究勢在必行。在匿名通信系統中,對手在任何時候都不能知道參與者的身份。此外,對手不應該知道發送和接收實體以及消息是否有價值[3]。然而目前的通信系統并不能提供對信息的不可追溯性和不可聯系性的基本保護。這些保護對調查自由、言論自由以及越來越多的網絡隱私都至關重要[4-5]。在監視和廣泛分析行為以及數據泄漏等安全事件頻繁發生時,保護數據隱私,防止用戶身份信息泄露變得越來越重要[6-9]。

匿名通信作為信息傳遞時隱私保護的關鍵手段之一,已成為研究的熱點[10]。匿名通信是一種在網絡通信過程中隱藏信息發送者和接收者的一種方法。匿名通信指采取一定的措施隱蔽通信流中的通信關系,使竊聽者難以獲取或推知通信雙方的關系及內容。匿名通信的目的就是隱蔽通信雙方的身份或通信關系,保護網絡用戶的個人通信隱私。匿名通信在神經網絡[11]、云計算[12]和物聯網[13]中迅速發展。

針對匿名通信的研究,文中的貢獻如下:

(1) 提出一種新的預處理階段標識符協商方案,通過橢圓曲線迪菲-赫爾曼(Elliptic Curve Diffie-Hellman,ECDH)密鑰交換,讓網絡中每兩個成員都能協商出僅有對方知道的惟一通信標識符,同時協商出加密消息的對稱密鑰。改進后的方案簡化且更有效地利用了預處理階段。

(2) 在匿名通信階段,通過讓發送者設置變化量,并將變化量作為密文的一部分傳輸給接收者,發送者和接收者根據相同的變化量改變標識符,將標識符動態化。動態標識符能有效抵抗重放攻擊和統計攻擊。

(3) 設置專門的追查機構,將去除匿名的權利從用戶轉移到追查機構,防止惡意用戶拒絕去除匿名。

2 研究現狀

如今人們逐漸意識到網絡安全和數據隱私的重要性,針對通信過程中用戶身份數據的泄露在多個網絡架構和不同的網絡應用場景中都有很多的研究。

對于點對點(Peer To Peer Lending,P2P)網絡的匿名通信研究,SUN等[14]提出將節點分為3種不同類型的節點協同進行信息傳輸,由此進行P2P網絡的匿名通信。對于車載隨意移動網絡,DIAB等[15]通過提出集成隧道維護算法,使得匿名傳遞消息的同時,消息的發送和接收不會被中斷。MARIA等[16]提出匿名身份驗證以檢查車輛的合法性,同時能夠在漫游的情況下為車輛提出基于區塊鏈的切換身份驗證。對于社交網絡, BUCCAFURRI等[17]提出的一種基于協作方法的匿名通信協議,所提出的方案不僅對社交網絡提供商隱藏了消息的內容,而且還隱藏了通信本身。

撇開匿名通信的具體應用場景,在計算機網絡上對于匿名通信的研究,可以追溯到1981年CHAUM等[18]提出的一種MIX-net機制,該機制通過多個MIX節點來混淆信息,隱藏身份。接著,CHAUM等[19]又提出一種DC-net機制,該方法基于標準密碼技術,能夠抵御少數不誠實節點存在的情況下的故障分析攻擊。但是這種機制要求節點在給定時間段內同時進行匿名通信操作。之后提出了洋蔥網絡[20-21],基于洋蔥路由算法,通過在公密鑰加密系統中進行分層消息加密來實現匿名。XIA等[22]改進了洋蔥網絡,將洋蔥混合網絡嵌入到逐跳路由中,設計了一種混合路由方法。該方法可以保證節點故障情況下的持久的路由能力,防止靜態中間混合失敗時導致消息丟失、通信失敗甚至去匿名化攻擊。但是路由網絡難以抵抗流量分析攻擊[23],且要求每個節點都是誠實的,不然惡意節點能夠串通起來破壞網絡。JIANG等[3]在2018年提出Acibe,該模型通過基于身份的加密方案(Identity-Based Encrypted,IBE)對消息進行加密,且允許用戶在每個時間段內上傳和下載多條消息,能夠解決DC-net機制要求節點同時通信的問題。但是,該方案的通信效率會隨著通信數量的增加而顯著降低。為提高通信效率,方案[4,10]通過增加預處理階段來進行一些必要操作,通過預處理階段的操作可以減少匿名通信階段的通信計算時間。

Aitac模型[10]中,在預處理階段,通過要求匿名組的每兩個成員都協商對應的通信標識,從而減少通信階段下載的密文數量,降低匿名通信的成本,同時提高擴展性。在該預處理階段中,為了協商通信標識,需要匿名組中的每個用戶都為其余的N-1個用戶生成一個標識符nij,并用對應的用戶Uj的公鑰加密該標識符。為保證標識符的完整性,還對標識符進行哈希,將哈希結果附加到密文中。接著,每個用戶都將生成的N-1個標識符nij上傳到公共版中,為了讓每個用戶獲得其余用戶給其設置的惟一nij,需要匿名組中的每個用戶下載公共板上的所有密文,然后解密所有自己可以解密的密文來獲得其他用戶給自己設置的標識符。在后續匿名通信階段,用戶根據密文前綴的標識符nij選擇發送給自己的密文進行下載。但是,Aitac由于所設置的標識符的不變性,可能沒辦法很好地抵抗重放攻擊和統計攻擊。文中方案在此基礎上進行改進。

3 預備知識

3.1 雙線性映射

G和Gt為素數p階乘法循環群,其中g為G的生成元。e：G×G→Gt為雙線性映射,擁有以下性質:

(1) 雙線性:對于任意?a,b∈Zp,都有(ga,gb)=e(g,g)ab。

(2) 可計算性:對于任意?u,v∈G都能在多項式時間內計算出e(u,v)。

(3) 非退化性:e(g,g)≠1Gt,其中1Gt為Gt的單位元。

此外,e還因為滿足e(ga,gb)=e(g,g)ab=e(gb,ga),而具有對稱性。

3.2 ECDH密鑰交換

ECDH是橢圓曲線加密算法(Elliptic Curve Cryptography,ECC)+迪菲-赫爾曼算法(Diffe_Hellman,DH),安全性由橢圓曲線離散對數難題來保證。交換雙方可以在不共享任何秘密的情況下協商出一個密鑰。ECC是建立在基于橢圓曲線的離散對數問題上的密碼體制,給定橢圓曲線上的一個點P,一個整數k,求解Q=kP容易;給定一個點P、Q,知道Q=kP,求整數k卻是一個難題。ECDH工作過程如下(以Alice和Bob為例):

(1) 選取一條橢圓曲線(橢圓曲線E,階N,基點G)。

(2) Alice生成隨機整數a,計算A=aG。Bob生成隨機整數b,計算B=bG。

(3) Alice將A傳遞給Bob;Bob將B傳遞給Alice。傳遞可公開,由于橢圓曲線的離散對數問題是難題,攻擊者計算不出a和b。

(4) Bob收到Alice傳遞的A,計算Q=bA;Alice收到Bob傳遞的B,計算Q′=aB。

(5) Alice、Bob雙方即得一致的密鑰Q：

Q=bA=b(aG)=a(bG)=aB=Q′ 。

(1)

4 系統模型

在提議的模型中,提出一種新的預處理階段協商方案,通過ECDH密鑰交換,讓網絡中每兩個成員都能協商出僅有對方知道的惟一通信標識符,同時協商出對稱密鑰。能顯著降低在預處理階段的通信消耗和提高獲取通信方標識符的效率。在匿名通信階段,通過標識符的動態變化的方式,能有效抵抗重放攻擊和統計攻擊。Aitac模型提出可追溯性,其可追溯性是以用戶自己選擇去除匿名性使其可被追溯為前提,但是考慮到惡意用戶不會主動去除匿名性而致身份暴露,提議的模型通過改變密文結構和增加一個追查機構對惡意用戶進行追蹤。方案中常用到的符號如表1所示。

表1 常用的符號

4.1 模型概覽

匿名通信模型如圖1所示,模型中存在5種類型的實體:發送者、接收者、公共板、密鑰生成中心(Key Generation Center,KGC)和追查機構。

圖1 匿名通信模型

(1) 發送者:消息的發送方。負責加密消息,維護標識符,生成密文。

(2) 接收者:消息的接收方。根據標識符選擇自己的消息進行下載,解密密文,獲得消息。

(3) 公共板:消息上傳到公共板中,進行集中混淆。接收者通過標識符從公共板中下載消息。

(4) 密鑰生成中心:負責所有匿名組中成員和追查機構的公私鑰的生成。

(5) 追查機構:在需要解除消息的匿名性時,能夠找到消息的所屬者。

表2 Ui“用戶-標識符”映射表

開始是預處理階段,預處理階段是為了匿名通信階段做準備,匿名組中的所有用戶會做相同的動作,因此在該階段沒有匿名的需求。首先密鑰中心生成非對稱密鑰分發給匿名組中所有成員和追查機構。接著用戶通過ECDH密鑰交換,協商出Ui和Uj的對稱密鑰K,接著雙方再計算出通信標識符nij和nji。每個用戶都會維護一個“用戶標識符”映射表。以用戶Ui為例,如表2所示。

在匿名通信時,發送者將消息加密上傳到公共板中,接收者根據密文前綴中的標識符過濾出傳輸給自己的密文進行下載。在檢索到有屬于自己的密文時,用戶僅下載屬于自己的密文,不需要下載與自己無關的密文進行下載和解密。這樣可減少匿名通信階段下載和解密密文的負擔。但是,如果使用靜態標識符(在預處理階段設置好后不再改變),則很容易遭受重放攻擊,造成系統壓力過大,或遭受統計攻擊,造成身份泄露。

考慮重放攻擊的情況。攻擊者從公共版中下載密文,假設攻擊者下載的密文標識符為n′,攻擊者沒有對應的密鑰不能解密密文中的信息,但是攻擊者大量將該密文重復上傳到公共板中或提取標識符n′后邊附加自己的消息。若該標識符n′對應用戶Ux,用戶Ux發現公共版中有大量屬于自己的密文,于是進行下載。但是下載后發現,已接收過該密文或n′所對應的發送者與簽名所映射的發送者不一致,則該密文是無效密文,只能丟棄。用戶Ux被動下載大量無效密文,導致正確密文無法被下載。超過系統規定時間后,正確密文被拋棄,用戶Ux被攻擊,無法下載屬于自己的正確密文。

考慮標識符泄露的情況。攻擊者監視公共版中的密文上傳下載情況,發現用戶Ux頻繁地下載標識符為n′的密文,那么n′很大概率為用戶Ux的其中一個標識符。攻擊者若長期進行監測和統計分析,很可能得到標識符和用戶的映射關系,造成身份泄露。為了解決以上的問題,提議的方案將靜態標識符改為動態標識符。

在需要的時候,追查機構可以根據密文,追查出消息的所屬者。

4.2 安全目標

匿名通信模型的安全性涉及以下幾個方面:

(1) 匿名通信模型的魯棒性。在匿名通信模型的各個階段,都能抵御來自惡意方的攻擊。例如重放攻擊、中間人攻擊和統計攻擊等。

(2) 消息m的安全性。消息m的安全性包括消息m來源的正確性、消息m的完整性和消息m的機密性。消息m來源的正確性是要驗證該消息所屬發送者身份的正確性,而不是未經認證的惡意攻擊者偽造的消息。文中采用基于身份的簽名方法SM 9來確保消息m來源的正確性。消息m的完整性是指數據正確無誤,使數據免受未授權的毀壞。文中采用哈希驗證的方式來保證消息m的完整性;消息m的機密性是匿名通信方案的基礎。文中采用公鑰加密的方式保證消息m的機密性。

(3) 發送者和接收者的匿名性。發送者的匿名性是在匿名通信過程中,除了消息發送者和接收者外,匿名組中其余N-2個用戶無法知道公共版上該消息的發送者和接收者的身份。在需要去除消息的匿名時,追蹤機構可以進行匿名的去除;接收者的匿名性是在匿名通信中,只有發送者知道消息接收者的身份,匿名組的其他成員都不知道接收者的身份。

4.3 系統體系結構

提議的模型包含預處理階段、匿名通信階段和身份追蹤。

4.3.1 預處理階段

文中方案的預處理階段包含以下幾個部分:

(1) 設置階段。該階段生成系統公共參數。設E為一個p階循環群,基點為Q。設G1和G2是階為素數q的加法循環群,GT是階為素數q的乘法循環群。存在一個雙線性映射e：G1×G2→GT。P1為群G1的生成元,P2為群G2的生成元。公共參數為PG=(E,p,Q,G1,G2,GT,P1,P2,e)。

(2) 密鑰生成。主密鑰生成:密鑰生成中心隨機選擇Ks∈[1,q-1]作為主私鑰,計算主公鑰Ps=[Ks]P2;用戶和追查機構簽名加密公私鑰生成:公鑰是實體的惟一標識PKi=ID,私鑰SKi=[Ks(H(ID)+Ks)-1]P1。

(3)標識符nij生成和傳輸。在這個階段中,匿名組中的每個用戶Ui(i=1,2,…,N)為其余N-1個用戶生成隨機整數uij(j=1,2,…,N;j≠i),計算Aij=uijQ,然后分別發送給其余的N-1個用戶。如圖2所示,假設用戶Ui和用戶Uj(i,j∈N,i≠j)。Ui選擇隨機整數a,計算Aij=aQ。同理,Uj選擇隨機整數b,計算Aji=bQ。Ui將Aij發送給Uj,Uj將Aji發送給Ui。Ui計算K=aAji=abQ。Uj計算K=bAij=baQ。預處理階段沒有匿名,因此通信雙方知道對方的ID。接著,Ui和Uj用雙方的公鑰對K進行哈希,獲得他們雙方的通信標識符:

圖2 協商對稱密鑰和標識符(以Ui和Uj為例)

nij=H(PKj‖K) ,

(2)

nji=H(PKi‖K) 。

(3)

Ui想要給Uj發消息,用nij作為標識符,對于Ui,nij是發送標識符,對于Uj,nij是接收標識符。而Uj想要給Ui發消息,用nji作為標識符;對于Uj,nji是發送標識符;對于Ui,nji是接收標識符。

為了保證協商標識符的安全性,抵抗中間人攻擊,Ui在傳輸中間數據Aij時要加上公私鑰簽名機制來進行鑒別。簽名采用基于身份的簽名算法SM 9。發送方產生隨機數r∈[1,q-1],計算簽名如下:

h=H(Aij‖e(P1,Ps)r) ,

(4)

S=[r-h]SKi。

(5)

為保證Aij的完整性,將Aij與對方的公鑰連接進行哈希。因此最終傳輸的中間數據為

cAij=(s1,c1,c2)=((h,S),Aij,H(PKj‖Aij)) 。

(6)

Uj收到數據后,進行簽名驗證,計算如下:

P=[H(PKi)]P2+Ps,

(7)

u=e(S′,P) ,

(8)

z=e(P1,Ps)h′。

(9)

若H(Aij‖zu)=h′,則驗證成功;接著進行完整性驗證,若H(PKj‖A′ij)=H(PKj‖Aij),則驗證成功,說明中間數據Aij正確傳輸。

4.3.2 匿名通信階段

匿名通信由以下4個步驟組成,如圖3所示。

圖3 匿名通信

(1) 密文加密。提議的方案采用對稱加密進行消息的加密。Ui找到預備階段協商的接收方Uj對應的標識符nij作為密文的前綴。對于消息m,發送方Ui通過預處理階段協商的對稱密鑰K快速計算密文K(m)。將消息m和nij連接后進行哈希H(m‖nij)并放在第3個參數作為消息認證碼,用來保證消息的完整性。為了防止中間人攻擊,要對密文進行簽名以對發送方身份進行驗證。簽名采用基于身份的簽名算法SM 9。發送方產生隨機數r∈[1,q-1],計算

h=H(H(m)‖e(P1,Ps)r) ,

(10)

S=[r-h]SKi。

(11)

簽名為

σi=(h,S) 。

(12)

為了實現后續的可追蹤,發送者查詢追蹤機構的公鑰,使用該公鑰對簽名σ、消息摘要H(m)和發送者的公鑰,即發送者的身份標識PKi進行加密。結果作為密文的第6個參數,即

T=PK′(σ,H(m),PKi) 。

(13)

為了抵抗重放攻擊和防止標識符泄露,設計了動態標識符。每次發送者在生成密文時,隨機選擇一個數t。t即為下一次通信密文的變化量。發送者將t加密后放在密文的第2個參數的位置,同時更新自己維護的“用戶-標識符”映射表。

密文c結構如圖4所示。

圖4 密文c結構

(2) 發送者上傳密文。發送者將密文c上傳到公共版中,在上傳步驟中,每個用戶至少上傳1次密文。發送者上傳密文后,會馬上進行該密文對應的標識符更新。更新標識符的算法如下:

nij=nij+H(t) 。

(14)

新標識符由舊標識符和經過哈希的變化量t相加而得。

(3) 接收者下載密文。在下載階段,接收者過濾密文前綴,根據密文前綴中的標識符nij,找到屬于自己的密文進行下載。在此階段,每個用戶需要至少下載1次密文。若用戶沒有在公共版中找到屬于自己的密文,則隨機下載一個。

(4) 接收者解密密文。接收者Uj根據標識符nij找到自己的密文并進行下載。下載和驗證完消息的完整性后,接收者進行標識符更新,設定新標識符算法如式(14)。發送者和接收者使用相同的變化量進行更新,更新后的標識符相同。之前的標識符在驗證完消息的完整性后拋棄。這樣若有惡意攻擊者進行重放攻擊,使用過期的標識符上傳數據到公共版上,接收者會忽略該密文不會進行下載。這種動態標識符的方式,也讓攻擊者無法通過監視用戶上傳下載密文中的標識符的數量和頻率,來推測用戶與標識符的映射關系,造成身份泄露。

接收者下載完密文c后,首先用預處理階段協商的對稱密鑰K進行解密,獲得消息m′。然后,為驗證發送方的身份,要進行簽名的驗證。接收者通過nij找到發送方的PKi。在這里強調一下,只有通信雙方能通過nij知道對方的身份,別人是不能通過nij知道通信雙方的身份的。接著,接收者計算

P=[H(PKi)]P2+Ps,

(15)

u=e(S′,P) ,

(16)

z=e(P1,Ps)h′。

(17)

若

H(H(m)‖zu)=h′

(18)

成立,則發送者的身份驗證通過。為驗證解密的消息的完整性,對消息和此次更新前的標識符連接并進行哈希H(m′‖nij),若

H(m′‖nij)=c4,

(19)

則消息完整性得以確認,消息是正確的。

4.3.3 身份追蹤

為防止匿名濫用,對匿名網絡通信設置了可追蹤的機制?？紤]到作惡的用戶不會主動解除匿名,文中方案將解除匿名的權力賦予追查機構。追查機構收到申請需要解除匿名的匿名消息c=(c1,c2,c3,c4,c5,c6)。追查機構提取出T,用自己的私鑰對T進行解密SK′(PK′(σ,H(m),PKi))。追查機構解密后,得到簽名σ、哈希后的消息H(m)和PKi。追查機構進行簽名的驗證,追查機構計算式(15)～(17)。若式(18)成立,則可確認該條消息的發送者為PKi。

5 實驗和分析

5.1 SM 9簽名正確性證明

驗證正確性實際上就是驗證zu=e(P1,Ps)r。證明如下:

zu=e(P1,Ps)he(S,P)=

e(P1,P2)Kshe([r-h]SKi,[H(PKi)]P2+Ps)=

e(P1,P2)Kshe([r-h][Ks(H(ID)+Ks)-1]P1,[H(PKi)]P2+KsP2)=

e(P1,P2)Kshe([r-h][Ks(H(ID)+Ks)-1]P1,[H(PKi)+Ks]P2=

e(P1,P2)Kshe(P1,P2)(r-h)(Ks(H(ID)+Ks)-1)(H(PKi)+Ks)=

e(P1,P2)Kshe(P1,P2)(r-h)Ks=e(P1,P2)rKs=e(P1,Ps)r。

(20)

5.2 安全性分析

根據模型提出的3個安全目標進行分析:匿名通信模型的魯棒性、消息m的可信度和發送者接收者的匿名性。

5.2.1 匿名通信模型的魯棒性

(1) 協商標識符安全性。預處理階段進行對稱密鑰和標識符的協商。該方案在該階段能夠抵抗中間人攻擊。證明如下。

(21)

(22)

因此,說明中間數據接收不正確,接收者會拋棄數據,中間人攻擊失敗。

(2) 匿名通信安全性。匿名通信過程中,該方案能抵抗重放攻擊。證明如下。

(23)

(24)

因此Uj不會接收該惡意數據,也不會更新標識符。

匿名通信過程中如果采用靜態的標識符,很可能會造成標識符無效身份泄露。文中方案能防止標識符無效造成的身份泄露。證明如下。

(3) 身份追蹤安全性。該方案能保證身份追蹤的安全性,證明如下。

5.2.2 消息m的安全性

消息m的安全性包括消息m來源的正確性、消息m的完整性和消息m的機密性。消息m來源的正確性由基于身份簽名方案的安全性保證,只要基于身份簽名方案是安全的,那么消息m的來源就是可保證的。文中采用SM9作為簽名方案,該方案可以對簽名進行驗證,保證消息發送者身份的正確性。消息m的完整性由哈希算法保證,只要

H(m′‖nij)=c4,

(25)

那么消息完整性可以得到保證。消息m的機密性由對稱加密方案的安全性進行保證。文中采用SM4作為對稱加密方案。只要加密方案是安全的,消息就是安全的。

5.2.3 發送者和接收者的匿名性

公共板的集中特性可以保證匿名性。所有上傳密文在公共版中集中混淆,因此不知道那條消息是誰發出,發給誰。提出的方案可以保證對于匿名組其他用戶,消息中的標識符無法與任何用戶進行對應,無法通過標識符找出發送者和匿名者。在消息的上傳和下載階段,要求所有用戶至少進行1次上傳和下載,這可以確保沒有“只有一個用戶上傳”或“只有一個用戶下載”這樣的情況,從而保證發送者和接收者的匿名性。

對于上述幾個方面的描述,將所提出的模型與Acibe模型[3]、Aitac模型[10]和DC-net模型[19]進行了比較。模型的安全性比較如表3所示。

表3 不同模型的安全性比較

5.3 實驗分析

文中方案采用的密碼庫是由北京大學自主開發的國產商用密碼開源庫GmSSL,實驗環境是Ubuntu 18.04(64bit),Intel(R) Core(TM) i5-10505 CPU @ 3.20 GHz 3.19 GHz,4 GB RAM。消息的長度設置為 128 B,用戶數最大為40。將模型的性能與Acibe[3]和Aitac[10]進行了比較。忽略了上傳和下載階段的通信成本,并在一個通信周期中逐步將消息數增加到1 000條。觀察通信時間隨消息數的增加而變化,得到時間成本。

在預處理階段,由于Acibe沒有該階段,因此在該階段文中僅和Aitac進行比較。由于提出的方案改變了協商標識符的方式,因此當用戶數增加時需要處理的“協商標識符”消息數量較少,如圖5所示。因為在協商時,Aitac需要每個節點去下載處理其余節點生成的所有(O(N2))“協商標識符”消息,因此要處理的消息數隨用戶數的增加呈非線性增加,提出的方案只用處理有效的對應其余節點的O(N)個“協商標識符”消息,要處理的消息數隨用戶數的增加呈線性增加,減小了每個節點的處理壓力。方案也有利于節點的擴展,在這個階段同時進行了對稱密鑰的協商。

圖5 標識符協商時處理的消息數

圖6是密鑰生成的時間消耗。在密鑰生成時,Aitac和提出的方案只需要在預處理階段為每個節點進行密鑰生成,在后續通信階段密鑰不改變,因此密鑰生成所花費的時間與消息數量無關,只與參與的用戶數有關。而Acibe要求每次通信周期都重新計算用戶的密鑰,因此其密鑰生成時間成本會隨消息數量的增加而增加,這樣可以大大簡化私鑰生成的計算,提高匿名通信的效率。

圖6 密鑰生成的時間消耗

圖7是消息加密的時間消耗。在匿名通信階段,提出的方案用在預處理階段協商的對稱密鑰對消息進行對稱加密,對消息采用對稱加密的加密方式比起非對稱密鑰可大大提高加密效率。

圖7 消息加密的時間消耗

圖8是解密的時間消耗。消息解密時,提出的方案和Aitac都要求用戶只需要通過標識符過濾屬于自己的消息進行解密,而Acibe要求用戶將公共板中的消息全部進行下載再解密,即要處理O(NM)的消息,因此,提出的方案和Aitac解密的時間消耗大大減少。同時,提出的方案采用的加密方式是對稱加密,解密時的時間效率會更高。實驗時假設有40個用戶,不同模型在不同階段的時間消耗如表4所示。

圖8 消息解密的時間消耗

表4 不同模型不同階段的時間消耗比較

6 結束語

文中提出一種基于動態標識符協商方法的匿名通信模型。該模型提出一種新的預處理階段協商方案,通過ECDH密鑰交換,讓網絡中每兩個成員都能協商出僅有對方知道的惟一通信標識符以及對稱密鑰。該方案能顯著降低在預處理階段的通信消耗和提高獲取通信方標識符的效率。在匿名通信階段,通過標識符的動態變化的方式,能有效抵抗重放攻擊和統計攻擊。同時設置專門的追查機構,并改變匿名通信階段時的密文結構,將去除匿名的權利從用戶轉移到追查機構,防止惡意用戶拒絕去除匿名,由此進行惡意用戶身份追蹤。實驗和分析表明,提出的方案具有有效性和可行性。但是由于標識符是動態改變的,同一個發送者在同一個通信周期發送多條消息時,接收者下載下一條同一發送者所發送的消息時,需要等待計算新的標識符,這種情況的下載效率會受到一定程度的影響。筆者會在接下來的工作中進行研究和改進。