匿名協(xié)議WonGoo的概率模型驗(yàn)證

匿名協(xié)議WonGoo的概率模型驗(yàn)證分析陸天波，方濱興，孫毓忠，郭麗（中國科學(xué)院計(jì)算技術(shù)研究所軟件研究室北京100080）（中國科學(xué)院研究生院北京100039）（lutianbo@software.ict.ac）摘要Internet隱私的一個(gè)主要問題是缺乏匿名保護(hù)。近年來，人們已經(jīng)針對(duì)這一問題做了很多工作。然而，如何利用已有的形式化方法分析匿名技術(shù)卻是一個(gè)極具挑戰(zhàn)的問題。對(duì)P2P匿名通信協(xié)議WonGoo進(jìn)行了形式化分析。利用離散時(shí)間Markov鏈模型化節(jié)點(diǎn)和攻擊者的行為。系統(tǒng)的匿名性質(zhì)采用時(shí)序邏輯PCTL進(jìn)行描述。利用概率模型驗(yàn)證器PRISM對(duì)WonGoo系統(tǒng)的匿名性進(jìn)行了自動(dòng)驗(yàn)證。結(jié)果表明WonGoo的匿名性隨著系統(tǒng)規(guī)模的增加而增加；但卻隨著攻擊者觀察到的源自同一個(gè)發(fā)送者的路徑的增加而降低。另外，匿名路徑越長，系統(tǒng)的匿名性越強(qiáng)。關(guān)鍵詞匿名；點(diǎn)對(duì)點(diǎn)；WonGoo；概率模型驗(yàn)證中圖法分類號(hào)TP393AnalysisofAnonymityProtocolWonGoowithProbabilisticModelCheckingLUTian-bo,FANGBin-xing,SUNYu-zhong,GUOLi(InstituteofComputingTechnology,ChineseAcademyofSciences,Beijing,P.R.China,100080)(GraduateSchooloftheChineseAcademyofSciences,Beijing,P.R.China,100039)AbtractOneofthemainprivacyproblemsinInternetislackofanonymity.Muchworkhasbeendoneonthisprobleminrecentyears.However,itisachallengetoanalyzeanonymityprotocolformally.Thispaperpresentsformalanalysisofpeer-to-peeranonymouscommunicationprotocolWonGoo.Thebehaviorofgroupmembersandtheadversaryismodeledasadiscrete-timeMarkovchain,andsecuritypropertiesareexpressedasPCTLformulas.UsingtheprobabilisticmodelcheckerPRISM,itanalyzestheanonymityguaranteestheprotocolisintendedtoprovide.Asaresult,itnotonlyfindsthatanonymityprovidedbyWonGooincreaseswiththeincreaseingroupsizeanddegradeswiththeincreaseinthenumberofrandomroutingpaths,butitalsoshowstherelationshipbetweenanonymityandpathlength.Keywordsanonymity,Peer-to-Peer,WonGoo,ProbabilisticModelChecking1引言Internet的一個(gè)缺陷是不提供匿名保護(hù)，攻擊者可以根據(jù)通信流之間的關(guān)系對(duì)發(fā)送者和接收者進(jìn)行追蹤。隨著Internet的快速發(fā)展并被人們廣為接受，以及搜索引擎和數(shù)據(jù)挖掘等技術(shù)的發(fā)展，人們已經(jīng)開始關(guān)注Internet上的隱私和匿名。隱私不僅意味著信息的機(jī)密性，而且意味著信息發(fā)布者身份的機(jī)密性。匿名技術(shù)是Internet上保護(hù)用戶隱私的一種有效手段，它通過一定的方法將通信流中的通信關(guān)系加以隱藏，使攻擊者無法獲知雙方的通信關(guān)系或通信的一方。用戶在通信過程中，通過隱藏自己的IP地址來保護(hù)自己的隱私。例如，用戶訪問了某個(gè)網(wǎng)站，但是由于用戶使用了匿名技術(shù)，使得該訪問活動(dòng)無法與用戶身份信息（指IP地址）關(guān)聯(lián)起來，這在一定程度上保護(hù)了用戶的隱私。加密技術(shù)可以保護(hù)通信的內(nèi)容，但是攻擊者可以通過通信流分析(Trafficanalysis)手段觀察出誰和誰在通信，通信的時(shí)間以及通信流的多少等。因此，加密技術(shù)并不能保證通信的安全，尤其是在一個(gè)大的開放的環(huán)境中，保護(hù)通信者的身份就顯得更加困難。本文中通信者的身份是指其IP地址，因此發(fā)送者是指發(fā)送者的IP地址，同樣，接收者是指接收者的IP地址。我們所提出的WonGoo協(xié)議[1]是一個(gè)綜合了Mix[2]和Crowds[3]的優(yōu)點(diǎn)的可擴(kuò)展點(diǎn)對(duì)點(diǎn)協(xié)議，提供三種形式的匿名保護(hù)：發(fā)送方匿名（senderanonymity），即消息無法被關(guān)聯(lián)到其發(fā)送者；接收方匿名（receiveranonymity），即消息無法被關(guān)聯(lián)到其接收者；關(guān)系匿名（relationshipanonymity），即消息的發(fā)送方和接收方是不可關(guān)聯(lián)的（unlinkability）[4]。WonGoo克服了Mix效率低和Crowds抗攻擊性差的缺點(diǎn)，通過分層加密和隨機(jī)轉(zhuǎn)發(fā)取得了強(qiáng)匿名和高效率。我們?cè)谖墨I(xiàn)[1]中分析了WonGoo的效率和匿名性介于Crowds和Mix之間，是Crowds和Mix的折中。模型驗(yàn)證（ModelChecking）技術(shù)是安全協(xié)議形式化分析的一項(xiàng)重要技術(shù)，它最早應(yīng)用于硬件的性能驗(yàn)證中。隨著信息安全技術(shù)的不斷發(fā)展，被逐漸應(yīng)用于安全協(xié)議的形式化分析中。本文利用概率模型驗(yàn)證（ProbabilisticModelChecking）技術(shù)分析了WonGoo系統(tǒng)的匿名性。我們把WonGoo系統(tǒng)形式化為一個(gè)離散時(shí)間Markov鏈（discrete-timeMarkovchains，DTMCs）模型，利用時(shí)序邏輯PCTL（ProbabilisticComputationalTreeLogic）[5]來描述WonGoo系統(tǒng)的匿名性質(zhì)，并用概率模型驗(yàn)證器PRISM[6]進(jìn)行驗(yàn)證。我們所考慮的問題是攻擊者是否能夠確定誰是一條匿名路徑的發(fā)起者。我們假定攻擊者可以觀察部分網(wǎng)絡(luò)通信流，可以運(yùn)行自己的WonGoo節(jié)點(diǎn)，可以控制其他的部分WonGoo節(jié)點(diǎn)。但是，攻擊者不能破壞系統(tǒng)所采用的加密技術(shù)。醬2概率模型嘉驗(yàn)證技術(shù)敢模型驗(yàn)證是杰一種驗(yàn)證有借限狀態(tài)系統(tǒng)育的自動(dòng)化分些析技術(shù)。系枕統(tǒng)被模型化億為一個(gè)狀態(tài)牲轉(zhuǎn)化圖，系腰統(tǒng)的性質(zhì)用作時(shí)序邏輯描定述。它通過豆一個(gè)有效的雞搜索過程來斯驗(yàn)證狀態(tài)轉(zhuǎn)枝化圖是否滿冠足某種性質(zhì)宿。我們可以換把模型驗(yàn)證馳抽象的描述鍋為：給定一粱個(gè)模型M和觸邏輯描述的仍性質(zhì)P，檢趙查M帶╞鏟P，即在模料型M中性質(zhì)隸P是否成立塔。模型驗(yàn)證疊的最大優(yōu)點(diǎn)插在于驗(yàn)證過滔程是全自動(dòng)嘗化的，并且碧如果一個(gè)性咐質(zhì)不滿足，螺它能給出反辣例說明這個(gè)拌性質(zhì)不滿足弓的理由。狹概率模型驗(yàn)?zāi)淖C是模型驗(yàn)豆證技術(shù)的擴(kuò)蚊充，主要用橋于自動(dòng)驗(yàn)證消具有隨機(jī)行昏為的系統(tǒng)中捆某些事件發(fā)持生的概率。據(jù)例如在系統(tǒng)頭運(yùn)行過程中閑驗(yàn)證事件宴“停停機(jī)的概率猴不超過0.標(biāo)1規(guī)”杯和費(fèi)“您視頻幀在5聲毫秒內(nèi)到達(dá)植的概率不低奶于0.9勢”奉等。瞎概率模型驗(yàn)太證中系統(tǒng)的成形式化模型挑被賦予了概弄率信息，典猶型的情況是頌?zāi)Ｐ偷拿恳缓虃€(gè)狀態(tài)轉(zhuǎn)化崇都標(biāo)記有一朵個(gè)概率，用掠于說明狀態(tài)花轉(zhuǎn)化的可能蠻性。我們?cè)谑谋疚闹杏玫綕车哪Ｐ褪请x福散時(shí)間Ma進(jìn)rkov鏈嚴(yán)（DTMC惱s），其他唇兩個(gè)常用的落模型是連續(xù)臂時(shí)間Mar垮kov鏈（棵conti腔nuous總-time賞Mark乎ovch哈ains，配CTMCs灰）和Mar瞇kov決策猴過程（Ma丹rkov詠decis雞ionp怖roces飯ses，M女DPs）。菠2.1離散美時(shí)間Mar子kov鏈（三DTMCs淺）標(biāo)一個(gè)帶標(biāo)記造函數(shù)的離散早時(shí)間Mar雷kov鏈珠D反是一個(gè)四元拳組顧倍，其中撲確是一個(gè)有限劈狀態(tài)的集合痰；某浸是初始狀態(tài)膽；耍享是一個(gè)轉(zhuǎn)移遣概率矩陣，德滿足叉緊，對(duì)任意的志；睜閥是一個(gè)標(biāo)記辱函數(shù)，表示憑原子命題在岡狀態(tài)澤s粉成立，其中彼AP是一個(gè)者原子命題集親合。陸轉(zhuǎn)移概率矩申陣的元素?fù)Q給出了從狀湊態(tài)護(hù)到狀態(tài)汗的轉(zhuǎn)移概率銜。系統(tǒng)的一掃次執(zhí)行可用樸一條通過D芽TMCs的箏路徑表示。繞本文中Wo躁nGoo系卷統(tǒng)的一次執(zhí)妄行是指一條食WonGo佳o路徑的建胳立過程。一質(zhì)條通過DT衫MCs的路改徑是一個(gè)有痕窮（或者無逢窮）的狀態(tài)饑序列太，其中對(duì)任牌意的賓，有森。我們把始余于狀態(tài)尺的路徑的集悶合記為餃。扭2.2D孩TMCs上央的PCTL按模型驗(yàn)證送PCTL是興對(duì)時(shí)序邏輯設(shè)CTL（C總omput仆ation已a(bǔ)lTr士eeLo灘gic）[均7]的擴(kuò)充館和發(fā)展。它繩在CTL基惹礎(chǔ)之上增加熔了概率算子羽，其中熄，挎。PCTL閉的語法如下曬：砍其中毛是原子命題躬，最是一個(gè)整數(shù)耍，斷是一個(gè)狀態(tài)抱公式，煮是一個(gè)路徑河公式。概率然算子茅的意思是，鼓如果一條路線徑源于狀態(tài)眉且滿足路徑美公式補(bǔ)的概率滿足轎條件昨，則認(rèn)為公以式師在狀態(tài)貌是滿足的。尺可以表示成爽下列公式：當(dāng)蘿巡關(guān)奧群底╞填其中慢。文獻(xiàn)[8裳]對(duì)這一概孕率的計(jì)算過催程進(jìn)行了討乏論。纖PRISM鄰支持三種類氧型的路徑公壯式：捕，敗和遲。路徑撫滿足路徑公崗式站，記為鉆╞咸。下面給出徑PCTL在仁DTMCs誼上的語義描后述。猛對(duì)于一條路銜徑繭：宏堅(jiān)麗（灑的第二個(gè)狀烈態(tài)滿足公式家）親灶立步（顛的前京個(gè)狀態(tài)中的膏某個(gè)滿足青，同時(shí)該狀請(qǐng)態(tài)以前的所貴有狀態(tài)都滿唉足肥）湯對(duì)于一個(gè)狀丈態(tài)詠:吹覺樂財(cái)惠for糕all帽對(duì)于公式夾來說，常用捉的形式是諷。如果一個(gè)視狀態(tài)s滿足講性質(zhì)飾，則從狀態(tài)幫到達(dá)滿足公裙式肅的狀態(tài)的概柴率滿足條件千。均2.3P企RISM模劃型驗(yàn)證器啦PRISM凡[6]是由凳英國伯明翰遵大學(xué)開發(fā)的灣一個(gè)概率模坊型驗(yàn)證器。罵它支持三種僵模型，DT祥MCs，C蔥TMCs和默MDPs。獸在PRIS蜻M(jìn)中，芬系統(tǒng)的行為戀用PRIS闖M語言進(jìn)行輩描述。間一個(gè)系統(tǒng)被燥構(gòu)建成幾個(gè)梳模塊，這些春模塊之間利或用標(biāo)準(zhǔn)的進(jìn)歇程代數(shù)運(yùn)算舉進(jìn)行交互。竊一個(gè)模塊包袋括一些變量們，用于表示酸系統(tǒng)的狀態(tài)會(huì)。系統(tǒng)的行刮為用一些監(jiān)買視命令（g名uarde細(xì)dcom藏mand）誤表示。監(jiān)視斯命令的格式午如下：讓雀村揀蜂益陪態(tài)[]蜘<guar釘d>芹->鑄東<comm議and>司;鋸其中，gu零ard是系掛統(tǒng)變量上的纖斷言，co虛mmand刷描述狀態(tài)轉(zhuǎn)防移，其轉(zhuǎn)移勒的條件是g幻uard為押真。如果狀此態(tài)轉(zhuǎn)移是不鼓確定的，則姐comma簽nd的形式嶼為：厲偵伶貫威匆甩吵<prob錘>唯:貌<comm耕and>蟻+蔽···索+拉<prob餓>榆:致<comm逝and>胡PRISM忘根據(jù)對(duì)系統(tǒng)左的描述進(jìn)行輩建模并確定趴可達(dá)狀態(tài)的罰集合。待驗(yàn)風(fēng)證的系統(tǒng)性叛質(zhì)用時(shí)序邏舍輯PCTL路或CTL進(jìn)話行描述。對(duì)乏于本文用到腫的DTMC霧s來說，我付們是用PC舉TL進(jìn)行描鞋述的。迫3Won黨Goo協(xié)議馳設(shè)Alic分e與Bob然進(jìn)行通信，純Alice陣首先選擇一齒些WonG冬oo節(jié)點(diǎn)，些我們稱之為樹固定接收點(diǎn)期。固定接收午點(diǎn)的功能與蒜Chaum捧描述的Mi建x節(jié)點(diǎn)的功讓能相似。A體lice利視用這些固定斯接收點(diǎn)的公魯鑰對(duì)要發(fā)送杏的消息進(jìn)行鞋分層加密，封構(gòu)造出Wo伙nGoo數(shù)難據(jù)包，然后穿以概率慌轉(zhuǎn)發(fā)給一個(gè)鼓隨機(jī)選定的辭節(jié)點(diǎn)，稱為游概率接收點(diǎn)巾，以概率筒轉(zhuǎn)發(fā)給下一無個(gè)固定接收相點(diǎn)。隨后的法每個(gè)節(jié)點(diǎn)（把包括固定接蜂收點(diǎn)和概率毛接收點(diǎn)）都外進(jìn)行類似的牛操作。當(dāng)W合onGoo況數(shù)據(jù)包到達(dá)足接收者Bo蹲b以后，就食形成了一條中WonGo腐o路徑。隨喇后的所有消末息以及從B熊ob返回到希Alice箭的消息都沿立著這條路徑顧進(jìn)行傳遞。筒我們?cè)谖墨I(xiàn)毒[1]中分線析了攻擊者穩(wěn)不能分辨出樓一條路徑上河的固定接收求點(diǎn)和概率接瘋收點(diǎn)。原在一個(gè)大的斜點(diǎn)對(duì)點(diǎn)匿名飄通信系統(tǒng)中攻，由于節(jié)點(diǎn)斯只擁有局部仙的拓?fù)湫畔⑵螅虼?，在徑進(jìn)行下一跳拆選擇時(shí)，可芽能會(huì)選擇到膽已經(jīng)在路徑偉上出現(xiàn)過的拔節(jié)點(diǎn)，即節(jié)晚點(diǎn)可能會(huì)在島路徑上重復(fù)撐出現(xiàn)。為了泊提高系統(tǒng)的吵匿名性，必格須盡量減少隨重復(fù)節(jié)點(diǎn)出妨現(xiàn)的概率。卷WonGo飲o在路徑構(gòu)今造過程中，脆由發(fā)送者A辣lice確山定的固定節(jié)為點(diǎn)不允許重為復(fù)。而且，謹(jǐn)每一個(gè)節(jié)點(diǎn)織在進(jìn)行概率繼轉(zhuǎn)發(fā)時(shí)，所輕選擇的下一停跳節(jié)點(diǎn)不能技與該節(jié)點(diǎn)本公身以及上一就跳節(jié)點(diǎn)相同厚。為了使分鐘析變得簡單財(cái)，本文假定跨節(jié)點(diǎn)可在W歌onGoo杏路徑上的任臺(tái)何位置重復(fù)緣出現(xiàn)。因此楊，WonG唐oo系統(tǒng)的俊匿名性實(shí)際棉上比本文分哪析的要高。祝為了后面敘氣述方便，我霜們定義固定眠路徑和變化彩路徑兩個(gè)概賠念。由一個(gè)搜固定接收點(diǎn)蔥直接到達(dá)另理一個(gè)固定接住收點(diǎn)的一條廁路稱為固定介路徑（發(fā)送詞者和接收者怒也被看成是礦固定接收點(diǎn)典）。兩個(gè)固兔定接收點(diǎn)之囑間依據(jù)概率運(yùn)轉(zhuǎn)發(fā)所形成孔的路徑稱為練變化路徑。暴顯然，當(dāng)變泛化路徑長度捎為1時(shí)，則明成為固定路比徑。勁4Won厭Goo的模丈型構(gòu)造壇我們僅僅對(duì)客WonGo亭o的路徑建搭立過程進(jìn)行站模型驗(yàn)證，況而對(duì)路徑建艙立完成以后局的通信沒有毯進(jìn)行模型驗(yàn)眉證，原因是乎路徑一旦建治立，那么路伐徑上的每一榜個(gè)轉(zhuǎn)發(fā)節(jié)點(diǎn)愁都是從固定陷的上一個(gè)節(jié)真點(diǎn)接收消息馳，而且通信創(chuàng)的內(nèi)容是不紛會(huì)泄漏發(fā)送炊者的身份信律息的。因此擱攻擊者不會(huì)錯(cuò)從隨后的通憶信中獲得更殲多的關(guān)于發(fā)課送者的信息幼。我們的M敵arkov道鏈模型中的竄狀態(tài)代表匿鑄名路徑建立圓過程中系統(tǒng)啦所處的狀態(tài)竿。一個(gè)狀態(tài)猛完全由模型艱中的狀態(tài)變剖量所確定，賄見表1。表1狀態(tài)變量表1狀態(tài)變量Table1Statevariables泡runCo桃unt狗Numbe曬rof匪paths滅cons沫truct賴edso賴far作(<=To壤talRu航ns).谷good境Thes經(jīng)elect編edfo匠rward蔥eris智hone珍st.畜bad克Thes尾elect檢edfo屆rward暑eris宣bad.奪lastS府een籠Ident皺ityo勾fthe坊prec奪eding每forw互arder像ont真hepa公th.榜obser樣ve唇i奶膚Numbe宣rof怪times己corr趁uptm腸ember繭sobs磨erved真memb矛eri.各new槳Ready鎮(zhèn)toc尿onstr歡ucta秘nothe爪rpat渾h.背start尾Begin凡ning忠ofne崖wpat霜hcon不struc含tion.哥run引Conti拆nuep拆athc存onstr鬼uctio臉n.絹deliv徐er墨Termi登nate第thep窩ath.扛recor脆dLast逮Recor直dthe緞iden錢tity仔ofth售epre勤cedin追gfor片warde皺r.托badOb界serve境Have沒acor交rupt劈membe城rrec俱ordi齡tsob協(xié)serva愈tions攏.肆fixed玉NodeN淚um慨Numbe娘rof尼fixed檔WonG岸oono熄desi誕nap蟻ath.變FwLen嗎gth婦Forwa謙rdpa質(zhì)thle兆ngth蛾betwe糖entw進(jìn)ofix快edWo泉nGoo進(jìn)nodes慧.哭我們假定攻桂擊者除了有國能力運(yùn)行自男己的Won基Goo節(jié)點(diǎn)特之外，還能尿控制部分其掘他的節(jié)點(diǎn)。職我們把攻擊蜜者自己的節(jié)蜘點(diǎn)及被其控央制的其他節(jié)廣點(diǎn)統(tǒng)稱為泄騙密節(jié)點(diǎn)，也潮叫泄密者；獲把沒有被攻冤擊者控制的予節(jié)點(diǎn)，即非鵝泄密者，稱暑為誠實(shí)的節(jié)偏點(diǎn)。誠實(shí)的距節(jié)點(diǎn)不會(huì)為睡攻擊者提供滴任何信息。瓦假設(shè)壘個(gè)成員的W柳onGoo臨網(wǎng)絡(luò)中有句個(gè)泄密者，蹦發(fā)送者Al易ice已經(jīng)未利用節(jié)點(diǎn)選逢擇算法[1副]選定了續(xù)個(gè)固定接收野點(diǎn)。我們所旱考慮的問題師是攻擊者是賭否能夠確定襲一條路徑的偏發(fā)送者是誰晃。對(duì)接收者天的分析與對(duì)吧發(fā)送者的類躬似。如果發(fā)科送者本身是渣一個(gè)泄密者群，則對(duì)攻擊儀者來說，系街統(tǒng)已經(jīng)被攻鴉破。我們考績慮由非泄密輩節(jié)點(diǎn)發(fā)起的災(zāi)一條路徑。蘆在這條路徑嶺上，泄密節(jié)沉點(diǎn)占據(jù)了一桌個(gè)位置。泄周密者的目的秒是確定誰是駁該路徑的發(fā)開起者。由于沉我們采用了崖加密技術(shù)，諷因此通信的誤內(nèi)容是不會(huì)耽暴露發(fā)起者強(qiáng)的身份的。逮所以，攻擊辦者有理由相鬧信第一個(gè)泄灰密者的前驅(qū)艇節(jié)點(diǎn)比其他暈節(jié)點(diǎn)更像是失發(fā)起者。這橫種假設(shè)是合可理的，因?yàn)閭麖墓粽邅硌罂吹谝粋€(gè)泄居密者的前者烏最有可能是提發(fā)起者。后怎面的敘述中肺假設(shè)Won常Goo網(wǎng)絡(luò)費(fèi)中誠實(shí)節(jié)點(diǎn)敵數(shù)為10。宵4.1協(xié)洪議的開始泊我們要求每陳一次會(huì)話都宗是由同一個(gè)至發(fā)送者(o說bserv掏e撇0竟)發(fā)起的。寬這是通過在眨協(xié)議開始時(shí)清設(shè)置變量l愈astSe管en的值為置零來實(shí)現(xiàn)的武。同時(shí)，我往們還要設(shè)置授分別用于表咸示固定節(jié)點(diǎn)迎數(shù)和變化路挖徑長度的變倦量fixe船dNode星Num和F單wLeng腳th的值。寧//Se沉tup桂anew棚prot雹ocol嫂insta企nce鮮[]ne填w溜鍬&播膽(runC周ount喉庫>只鎖0)賞->著(run違Count仗'市通=淺黨runCo荒unt-1青)&n創(chuàng)ew'瞧校=奴強(qiáng)false菜&st粥art'梳揉=趟您true例&fi短xedNo侄deNum絕'來=Ma息xfixe族dNode炊Num&轟FwLe蒜ngth尋'悔=Ma史xFwLe存ngth安;凡//蠟Star芝tthe晶prot眠ocol自[]st眨art成->撞last范Seen'黑=0&韻突run'=無true劇&del順iver'王=fals奔e&s性tart'挺=fals毀e;聚4.2轉(zhuǎn)蓮發(fā)節(jié)點(diǎn)的選動(dòng)擇螞發(fā)送者隨機(jī)搭的從徑個(gè)節(jié)點(diǎn)中選綠擇第一個(gè)概籃率接收點(diǎn)。秘假定匙個(gè)節(jié)點(diǎn)被選科中的概率是伸相等的。我禿們把轉(zhuǎn)發(fā)節(jié)潑點(diǎn)的選擇模純型化為兩次援狀態(tài)轉(zhuǎn)移，奮一次確定所晶選擇的轉(zhuǎn)發(fā)料節(jié)點(diǎn)是否是抄誠實(shí)的，另讀外一次確定咱轉(zhuǎn)發(fā)節(jié)點(diǎn)的省身份。隨機(jī)浪選擇的轉(zhuǎn)發(fā)籠節(jié)點(diǎn)是惡意步節(jié)點(diǎn)的概率百為掀badC=忙C/N滿，是誠實(shí)節(jié)關(guān)點(diǎn)的概率為柄goodC痰=1-ba竿dC想。霞//Go蹦odor餅bad辦WonGo扯omem赤ber品[](!箱good戀&!ba來d&!草deliv峰e(cuò)r&鍋run)揉牧->饞蠟goodC忘:(go緣od'=t茄rue)殲&(re裝cordL植ast'=恢true)策&(r湖un'=f墊alse)蘆+啞鄙復(fù)漏源頑家護(hù)歲badC:錄bad'秀=true項(xiàng)&ba豆dObse冒rve'=宿true需&run壇'=fal悶se;北如果轉(zhuǎn)發(fā)節(jié)蛙點(diǎn)是誠實(shí)的夏，則它可能驅(qū)為棕N-C解個(gè)誠實(shí)節(jié)點(diǎn)健中的任意一價(jià)個(gè)。轉(zhuǎn)發(fā)者情的身份記錄云在last典Seen變飯量中。記錄鉛轉(zhuǎn)發(fā)者的身鉛份是為了模注擬以下行為眼：如果該轉(zhuǎn)廢發(fā)節(jié)點(diǎn)的下姥一個(gè)節(jié)點(diǎn)是竄惡意節(jié)點(diǎn)，械則該惡意節(jié)琴點(diǎn)可以記錄和下該轉(zhuǎn)發(fā)節(jié)亂點(diǎn)的IP地終址。匹//Re剃cord卡thel防astW目onGoo哀memb疫erwh尼otou晚ched媽them堪essag挨e,al永lgoo碗dmem照bers喝maya后ppear盛with厭equa姓l歇//pr筑obabi烤lity窗[]re似cordL生ast&哨攏WonGo族o傍Size=席10樓->抹乒勉0.1:巨(last侮Seen'宮=0)&普(rec桌ordLa肥st'=f畢alse)絡(luò)&(r柜un'=t良rue)標(biāo)+…屋死激0.炮1:(l滋astSe每en'=透9始)&(揭recor以dLast杜'=fal樣se)&筑(run寧'=tru站e)癥;販WonGo植o協(xié)議中，吸每一個(gè)節(jié)點(diǎn)鑰（包括惡意雪節(jié)點(diǎn)）都必蟻須確定下一稍跳。轉(zhuǎn)發(fā)者演以概率題將數(shù)據(jù)轉(zhuǎn)發(fā)關(guān)給隨機(jī)選定堡的概率接收吧點(diǎn)，以概率忠轉(zhuǎn)發(fā)給已經(jīng)曉選好的下一矩個(gè)固定接收膽點(diǎn)。喊//Go璃odme舉mbers翼,for鞭ward萄toa秘rando藍(lán)msel阿ected陳node售with概prob掠abili棒tyPF瘦,els信edel雁iver擾toth印enex產(chǎn)tfix擔(dān)edno晚de.砌[](g醋o(hù)od&班!del挨iver襪&run糟&Fw悠Lengt構(gòu)h>0化)喘->撫權(quán)PF:(觸good'港=fals冷e)棄&(Fw咐Lengt寄h欺'暖=FwLe回ngth-查1)御+巧烤notPF各:(go潑od'=f傻alse)橋炕&(肅fixed決NodeN悉um暮'=雙fixed病Node呼Num-1帳)碧&(F藥wLeng時(shí)th乒'倆=MaxF乞wLeng樓th)橡;高遞海4.3惡遞意節(jié)點(diǎn)的模等型化炕顯然，匿名政路徑上的節(jié)蝶點(diǎn)投是知道它前毒一跳的地址辱的。如果執(zhí)是惡意節(jié)點(diǎn)棚，則它將記些錄下其上一像跳的IP地脾址。這是通否過讀取la俗stSee攀n變量的值碌并紀(jì)錄在o俘bserv均e里i費(fèi)中而實(shí)現(xiàn)的角。黃//Ba技dmem菜bers,稠reme褲mber易from烏whom阿them威essag還ewas撿rece物ived份andt傳ermin峽atet皂hepr賭otoco系l散[]la傭stSee衫n=0&儉badO杰bserv幻e隱->沙(obs臨erve0質(zhì)'=o足bserv侍e0+黃1)&瞞deliv蹄er'=t詞rue威傾&節(jié)究run'=溪true桑絡(luò)&bad畜Obser適ve'=f寄alse;…耐[]la民stSee捧n=9&秧badO盆bserv皂e畝->障(obs客erve叨9農(nóng)'=o羅bserv共e梨9婚+1)鞋&de約liver爛'=tru卻e&r滿un'=t否rue&嫩badO警bserv憤e'=fa疤lse;礦請(qǐng)對(duì)每一次路鐘徑建立過程錄來說，計(jì)數(shù)罰器obse屈rve情i放并不清零，殼而是進(jìn)行累能加。這使得卡攻擊者可以南將對(duì)源自同舍一個(gè)發(fā)起者濫的多條路徑尾的觀察信息卻進(jìn)行累加。蹦我們假定攻怪擊者可以驗(yàn)爹證出兩條路荒經(jīng)是否源自淺同一個(gè)發(fā)送學(xué)者。蠶4.4協(xié)蠟議的結(jié)束董當(dāng)遇到攻擊污者時(shí)我們就嘩結(jié)束路徑建低立過程，這碧是因?yàn)橐坏┗j碰到了惡意摩節(jié)點(diǎn)，則隨善后的建立過賽程不會(huì)提供矛更多的關(guān)于吹發(fā)送者的信霉息給攻擊者耐，攻擊者所夢能獲知的就親是上一跳的贈(zèng)地址。這一殿點(diǎn)與Shm刻atiko陰v[9]用訪PRISM詞分析Cro冒wds協(xié)議臟時(shí)所采用的陸方法相同。叫但是如果在放路徑建立過候程沒有碰到濤惡意節(jié)點(diǎn)，簡Shmat響ikov的左方法在理論喂上會(huì)產(chǎn)生死息鎖狀態(tài)，原兵因是Shm朽atiko由v沒有對(duì)匿彎名路徑的長蜂度進(jìn)行限制推。我們用f碗ixedN勺o(hù)deNu商m表示固定激接收點(diǎn)數(shù)，劫FwLen性gth表示洗變化路徑長踩度，而且我暫們認(rèn)為接收灘者也是一個(gè)摟固定接收點(diǎn)香。這樣，如臘果在路徑建貴立過程中沒鍵有碰到惡意乓節(jié)點(diǎn)，則當(dāng)障fixed岔NodeN嚼um的值為畢零時(shí)，路徑逐建立結(jié)束，暑避免了死鎖贊。談//If敞all駝membe駱rsin舉apa顛thar判ehon冤est,傅termi垮nate膽thep斃aths永etup挪when怠its傘lengt別h鼠incre凡ases慘tot能hema何xlen濾gth.徐[]蜜(沉!般good每&!de帆liver脅&ru終n姿&Fw畢Lengt敘h=0嫌)養(yǎng)->含(fix失edNod韻eNum烤'聞辣=郊fixe梳dNode拾Num-1舒)&(臘FwLen拜gth菠'授心=室MaxF瞎wLeng費(fèi)th);胃[]匪fixed糞Node臨Num=0晶地->配deli寫ver'=奔true;稀//Te則rmina沒teth艦epro功tocol些[]de街liver罩&ru活n概->春done派'=tru課e&d議elive經(jīng)r'=fa泥l(xiāng)se&偽run'簽=fals碧e&災(zāi)茶good'舊=fals席e&b團(tuán)ad'=f錦alse;幣孤//St肆arta郊new奇insta完nce民[]do坐ne妻->倍new'刮=true肆&do錯(cuò)ne'=f割alse乏&run輔'=fal每se;技5匿名性贏質(zhì)的形式化垃與對(duì)Cro余wds的分拍析[3][鐘9]類似，擊我們假定攻壘擊者能夠把閑源自同一個(gè)今發(fā)送者的幾禁條路經(jīng)關(guān)聯(lián)破起來。在攻迅擊者看來，酒如果某一個(gè)棍節(jié)點(diǎn)比其他情節(jié)點(diǎn)更像是濃發(fā)送者，則慘他有理由認(rèn)樹為該節(jié)點(diǎn)就苗是真正的發(fā)泊送者。我們仙要回答的問買題就是攻擊片者猜測出發(fā)止送者的概率華有多大。我鳴們將在表示岸WonGo犁o系統(tǒng)的M孟arkov坑鏈上構(gòu)造P貫CTL公式茂對(duì)這個(gè)問題缸進(jìn)行討論。識(shí)我們用喬表示攻擊者塵觀察到Wo多nGoo成捉員著的次數(shù)。其評(píng)意思是在由結(jié)同一發(fā)送者約發(fā)起的多條巖路徑中，經(jīng)貓過節(jié)點(diǎn)頓并且傷的下一跳是牛惡意節(jié)點(diǎn)的拴路徑有暫條。用席表示發(fā)送者小被觀察到的課次數(shù)。這包甩括兩種情況擊，一是惡意看節(jié)點(diǎn)被選為堆第一個(gè)轉(zhuǎn)發(fā)酸者；二是發(fā)古送者本身被榴選為一個(gè)中鉤轉(zhuǎn)節(jié)點(diǎn)，其狐下一跳是一擁個(gè)惡意節(jié)點(diǎn)暗。瀉我們采用S搖hmati賺kov在文鳥獻(xiàn)[9]中根提出的方法啟來驗(yàn)證Wo打nGoo成倚員。如果一掩個(gè)成員被觀竊察到的次數(shù)褲比其他成員也的都多，即趨，撥，則我們認(rèn)笛為該成員是塔發(fā)送者。為竄此，定義以鄙下事件：洲，彩（發(fā)起者被幸觀察到次數(shù)太大于其他任發(fā)何成員的）秒。綢于是我們要誼驗(yàn)證的概率箭為：碼（猜測慚到真正的發(fā)樂起者）。訪上述匿名性首質(zhì)用PCT惹L描述如下韻：溪//Det釘ectio論n鄰P=?仆[tru燭eU(替new&第runC答ount盡=0&融obse撇rve0訴>obs奶erve1摔&值…迅&ob限serve無0>o驅(qū)bserv快e9)]孕6驗(yàn)證結(jié)祝果洲我們利用P懇RISM模邪型驗(yàn)證器對(duì)瓶WonGo賺o系統(tǒng)的不骨同配置進(jìn)行亞概率模型驗(yàn)過證。表2描拿述了不同規(guī)竭模下的狀態(tài)溪空間，其中雄，固定節(jié)點(diǎn)婚數(shù)fixe扇dNode弦Num=3稅，變化路徑累長度FwL湖ength據(jù)=3。從表覽中可知，與立其他的模型班驗(yàn)證一樣，元隨著系統(tǒng)規(guī)屬模的增大，享狀態(tài)空間增饑長很快，這津使得分析大竄規(guī)模Won逼Goo系統(tǒng)婦變得困難。瓜如何解決模弊型驗(yàn)證中狀丈態(tài)空間爆炸涌問題是該領(lǐng)窯域的一個(gè)難勞題。表2狀態(tài)空間表2狀態(tài)空間Table2Sizeofstatespace廊WonGo粘o辮源自同一發(fā)泊送者的路徑犯數(shù)（Tot慰alRun祝s）甚3曾4您5餓6屑10ho盯nest小membe項(xiàng)rs鈔state誼s羞112,8悼90忘524,0喉26竿1,955兆,852宰6,232汗,410繩trans歲ition母s泳308,7防70友1,439渠,306澇5,391搶,232掏17,23望2,490堂15ho賤nest狗membe昏rs魚state接s陷332,9抹00提2,099紙,876氏10,46復(fù)0,612縱43,78濟(jì)5,236減trans話ition狐s歌1,126仇,595殲7,130捎,771勁35,63詠1,407芽149,5兵56,43辨1唉20ho鏡nest肅membe吹rs果state抗s蹈734,9追60甩5,860這,626嫩36,51身8,022肆189,3觸55,32對(duì)2新trans歇ition舒s市2,964射,720傻23,70劫8,786訴148,1垃21,38習(xí)2全769,9痕19,48沖2敘25ho兄nest尤membe掙rs欄state挑s意1,373劃,820晚13,24副4,276畢99,07誘7,582匹612,7墾90,41神8雄trans竹ition初s藝6,434算,770房62,18偷6,726明466,2治74,65貼7帖2,890于,100,傳243龜表3計(jì)算了芒不同路徑數(shù)誠下的驗(yàn)證概市率敘，從中可以刃看出以下兩遞點(diǎn)：慚隨著攻擊者沖所觀察到的烏源自同一發(fā)銀送者的路徑漲的增多，系捐統(tǒng)的匿名性伏降低。因此馬，在Won址Goo中，滿一次會(huì)話（禾發(fā)送者和接鏈?zhǔn)照咧g的際一次通信）慌只通過一條幫路徑完成，賢而不像Pe次ekabo案oty所建剛議的那樣，輩一次會(huì)話通非過多條路徑挨完成，既所鵝謂的多路徑婚路由。擾在惡意節(jié)點(diǎn)鞋比例（辟badC=年0.167掏）不變時(shí)，牢驗(yàn)證概率館隨著系統(tǒng)規(guī)閉模的增大而草減小。這說草明系統(tǒng)的匿尤名性隨著規(guī)虎模的增加而野增加。表3不同路徑數(shù)下的驗(yàn)證概率（PF=0.3,fixedNodeNum=3,FwLength=3）。表3不同路徑數(shù)下的驗(yàn)證概率（PF=0.3,fixedNodeNum=3,FwLength=3）。Table3ProbabilitiesofdetectingtheinitiatorincreasewithincreasingTotalRunsTable3ProbabilitiesofdetectingtheinitiatorincreasewithincreasingTotalRuns浙WonGo炒o宣源自同一發(fā)杯送者的路徑俯數(shù)（Tot反alRun雞s）吧3凡4隆5修6擴(kuò)10ho踢nest,宿1co浪rrupt會(huì)Pr(%)妻17.29咱17.86嬌18.51絹19.12逃15ho眾nest,盤2co勤rrupt吩Pr(%)蛇17.47按18.00尤19.32突19.89柿10ho溝nest,吸2co劇rrupt惹Pr(%)秒21.85兇24.25放28.09追32.21董15ho山nest,撫3co瘋rrupt燦Pr(%)底19.93究22.07肚25.87狂28.43巧20ho擔(dān)nest,災(zāi)4co綢rrupt照Pr(%)暈18.96擁20.97律23.51理25.37截25ho暑nest,喝5co罵rrupt傻Pr(%)狠18.39蛇19.98枕22.83氧24.78蜜Yong掘Guan等遭人[10]款研究指出，安通常情況下外，匿名性隨弓著匿名路徑點(diǎn)長度的增加士而增加。W聰onGoo妄正是在保證消足夠匿名的倚前提下，通祖過延長匿名瞇路徑，從而肌進(jìn)一步提高象了系統(tǒng)的匿壞名性。表4托和表5分別項(xiàng)描述了Wo畜nGoo的童匿名性隨路餓徑長度的變距化關(guān)系。表柔4通過調(diào)整覽轉(zhuǎn)發(fā)概率P謝f的大小來翠調(diào)整路徑長貼度。表5通賠過調(diào)整固定慣節(jié)點(diǎn)數(shù)fi挪xedNo感deNum滋來調(diào)整路徑銹長度。可以鑰看出，隨著有匿名路徑的撞增長，驗(yàn)證殘概率降低，星從而系統(tǒng)的劣匿名性得到費(fèi)了提高。表4不同轉(zhuǎn)發(fā)概率下的驗(yàn)證概率（fixedNodeNum=4,FwLength=5,Totalrun=3）表4不同轉(zhuǎn)發(fā)概率下的驗(yàn)證概率（fixedNodeNum=4,FwLength=5,Totalrun=3）Table4Probabilitiesofdetectingtheinitiatordecreasewithincreasingforwardprobabilities陣WonGo運(yùn)o鏡PF厚0.1業(yè)0.2超0.3謠0.4箭0.5奔0.6誼0.7目0.8掛0.9玻10ho辨nest,址1co擱rrupt掀Pr(%)鹿17.94扭17.10圓16.06刪14.67培12.79達(dá)10.39角7.73等5.40泰3.87拆15ho鉆nest,躍2co緊rrupt復(fù)Pr(%)古17.72撒16.54逼15.20號(hào)13.63石11.79社9.74尿7.73壩6.09費(fèi)4.97涉10ho每nest,境2co坊rrupt弦Pr(%)盯21.84略20.58樣19.26答17.88映16.44紅15.01散13.66罰12.44麻11.28匙15ho辦nest,差3co板rrupt濤Pr(%)貿(mào)19.78爺18.46奪17.08具15.66夫14.20多12.77勺11.49適10.41霜9.46貪20ho此nest,辟4co壓rrupt疫Pr(%)陵18.75貪17.40呼16.00始14.55哪13.09嫂11.68捎10.43搞9.42夕8.57悠25ho絲nest,在5co醬rrupt橋Pr(%)擾18.15巷16.79壘15.38亡13.92原12.45燭11.05常9.83舍8.85另8.07表5不同固定節(jié)點(diǎn)數(shù)下的驗(yàn)證概率（PF=0.3,FwLength=5,Totalrun=3）表5不同固定節(jié)點(diǎn)數(shù)下的驗(yàn)證概率（PF=0.3,FwLength=5,Totalrun=3）Table5Probabilitiesofdetectingtheinitiatordecreasewithincreasingfixednodenumbers束WonGo柔o慚fixed怪NodeN界um得2胡4縫6莖8街10私12用10ho鏡nest,軟1co稅rrupt換Pr(%)攜20.62且16.06浪12.80伍10.70時(shí)9.46坊8.78應(yīng)15ho孤nest,柄2co慎rrupt濟(jì)Pr(%)捐22.18解15.20墾11.43康9.53傅8.64究8.26口10ho訪nest,喘2co君rrupt駝Pr(%)舒27.70存19.26盈16.21鞠15.32跑15.18靈15.16啞15ho槐nest,援3co威rrupt砌Pr(%)毒26.00商17.08趕13.82乏12.76護(hù)12.49裙12.47辮20ho王nest,苗4co板rrupt臨Pr(%)江25.13錫16.00己12.65棚11.52叼11.18挎11.12溜25ho各nest,勻5co瘋rrupt振Pr(%)肅24.62每15.38帝11.98晌10.81每10.44居10.357結(jié)論踢形式化方法神是對(duì)安全協(xié)精議進(jìn)行驗(yàn)證混的一種有力紙工具。如何駱利用已有的傾形式化方法餓對(duì)匿名協(xié)議壁進(jìn)行分析是引一個(gè)極具挑單戰(zhàn)的問題。犯概率模型驗(yàn)蔑證是一種十星分有效的協(xié)申議形式化分貿(mào)析工具。本室文利用PR醉ISM模型揉驗(yàn)證器對(duì)匿舅名通信協(xié)議撕WonGo殖o進(jìn)行了分輝析。Won療Goo通過淘隨機(jī)轉(zhuǎn)發(fā)和僚分層加密建也立匿名通信喉路徑。因此幅，我們把W返onGoo找的路徑建立孝過程模型化低為一個(gè)離散椒時(shí)間Mar箱kov鏈，均并在攻擊者告可以識(shí)別出賢兩條鏈路是晨否源自同一障發(fā)送者的假乳設(shè)下，分析責(zé)了攻擊者識(shí)防別出一條匿轎名路徑的發(fā)抄起者的概率揮。WonG雁oo協(xié)議的檢分析表明了益利用概率模聾型驗(yàn)證技術(shù)獲分析安全協(xié)骨議的可行性雹。浙Refer理ences謹(jǐn):見點(diǎn)T.Lu泊,B.尋Fang,遮Y.S驕un,X艱.Che吉ng.W伴onGoo捐:AP利eer-t殃o-Pee廟rPro斗tocol晶for兩Anony笑mous花Commu球nicat鞏ion,弄In片Proce渣eding噸sof碼the2干004筍Inter南natio關(guān)nalC企onfer間ence竹onPa傲ralle偽land碗Dist鈔ribut成ed