面向端到端溯源攻擊對手的Tor 安全性模型

王 琦，曹衛(wèi)權(quán)，梁 杰，李 赟，吳 杰

（盲信號處理國家級重點(diǎn)實(shí)驗(yàn)室，成都 610041）

0 概述

洋蔥路由器（The onion router，Tor）［1］以穩(wěn)定的服務(wù)和較低的通信延時(shí)，深受匿名通信用戶歡迎。截止到2020 年7 月31 日，Tor 在全球范圍內(nèi)的用戶人數(shù)常年保持在每月兩百萬以上，但Tor 并不是絕對安全的［2-3］。Tor 借助MIX［4］的重路由機(jī)制實(shí)現(xiàn)用戶通信鏈路的不可追蹤性與身份的匿名性，采用固定輸入輸出的消息轉(zhuǎn)發(fā)機(jī)制，使消息發(fā)送者與消息接收者之間具有一一對應(yīng)關(guān)系，降低中繼節(jié)點(diǎn)負(fù)荷。同時(shí)，Tor 中繼節(jié)點(diǎn)進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)，沒有采取消除數(shù)據(jù)包之間時(shí)間特征的策略［5-7］，進(jìn)一步提升了通信實(shí)時(shí)性。然而，現(xiàn)有研究表明：Tor 不能抵御端到端的溯源攻擊［8-9］，即溯源攻擊者只要掌握同一條通信鏈路進(jìn)入和退出Tor 網(wǎng)絡(luò)，使用簡單的流量分析攻擊，就可以對此次匿名通信過程實(shí)現(xiàn)成功溯源［10-11］。因此，在使用Tor 時(shí)，評估其面對端到端溯源攻擊對手時(shí)的安全性是十分必要的。

RYBCZYNSKA［12］從潛在用戶發(fā)送和接收消息的可能性出發(fā)，提出匿名通信系統(tǒng)的匿名性計(jì)算方法，并設(shè)計(jì)通過計(jì)算香農(nóng)熵來量化匿名性的評估框架。DIAZ 等［13］采用信息論模型來量化一個(gè)匿名通信系統(tǒng)的匿名程度，提出一種基于用戶被觀察者觀察到通信過程的概率模型，用于評估匿名通信系統(tǒng)在各種攻擊模型下的匿名級別與某種特定攻擊在不同匿名通信系統(tǒng)中獲取的信息量大小。HAMEL等［14］從量化攻擊者的攻擊方法及能力的角度衡量Tor 用戶的安全性，并給出Tor 用戶通信路徑被不同攻擊者溯源的概率。ELAHI 等［15］開發(fā)COGS 框架，大規(guī)模仿真Tor 匿名通信入口節(jié)點(diǎn)的選擇情況，并發(fā)現(xiàn)Tor 用戶入口節(jié)點(diǎn)的更換是導(dǎo)致通信路徑匿名性被破壞的主要因素［16］。JOHNSON 等［17］使用Tor 網(wǎng)絡(luò)中的節(jié)點(diǎn)信息并利用TorPS［18］路徑模擬器，對Tor用戶與溯源攻擊對手的行為進(jìn)行模擬，根據(jù)模擬結(jié)果給出多類用戶匿名性受損的概率。

使用熵的概念可以衡量Tor 整體的安全性，但是無法對溯源攻擊者的能力、具體用戶的通信行為等信息進(jìn)行精確量化［14］，因此無法計(jì)算單個(gè)對手對匿名用戶安全性的破壞程度。利用Tor 模擬器可以計(jì)算有限溯源攻擊對手對某些用戶的溯源成功率，但離散模擬實(shí)驗(yàn)無法全面預(yù)測不同能力的對手對用戶匿名性的破壞程度以及總結(jié)用戶安全性隨著自身行為模式的變化規(guī)律［19］。

為較精確預(yù)測具有不同攻擊能力的端到端溯源攻擊對手對Tor 用戶安全性的破壞程度，并總結(jié)不同Tor 用戶的行為模式隨著自身安全性的變化規(guī)律，本文基于Tor 節(jié)點(diǎn)選擇算法，結(jié)合Tor 用戶與端到端溯源攻擊對手模型，建立面向端到端溯源攻擊對手的Tor 安全性模型。利用真實(shí)網(wǎng)絡(luò)環(huán)境中的Tor 節(jié)點(diǎn)信息及Tor 選路算法，并通過用戶通信鏈路節(jié)點(diǎn)選擇過程的多次蒙特卡洛模擬實(shí)驗(yàn)以驗(yàn)證該模型的有效性。

1 安全性模型

1.1 相關(guān)概念

下文將面向端到端溯源攻擊對手的Tor 安全性模型簡稱為安全性模型，并給出安全性模型中的相關(guān)定義：

1）對手。在Tor 匿名網(wǎng)絡(luò)的Guard 節(jié)點(diǎn)總帶寬和Exit 節(jié)點(diǎn)總帶寬資源中，將均占有一定比例的節(jié)點(diǎn)控制者稱為端到端溯源攻擊對手，簡稱為對手。Tor 節(jié)點(diǎn)選擇算法中使用節(jié)點(diǎn)帶寬來計(jì)算節(jié)點(diǎn)被選中的概率。因此，對手控制的節(jié)點(diǎn)被用戶選中的概率，只與這些節(jié)點(diǎn)的總帶寬有關(guān)。為保證對手可以達(dá)到端到端溯源攻擊的條件，僅做出對手控制的Guard 節(jié)點(diǎn)及Exit 節(jié)點(diǎn)的個(gè)數(shù)均大于等于1 個(gè)的基本假設(shè)，而不明確規(guī)定對手控制的Guard 節(jié)點(diǎn)及Exit節(jié)點(diǎn)的具體個(gè)數(shù)。

2）捕獲。本文將一次匿名通信過程中Tor 用戶的Guard 節(jié)點(diǎn)與Exit 節(jié)點(diǎn)均為同一對手控制的節(jié)點(diǎn)的事件稱為用戶通信鏈路被對手捕獲，簡稱為捕獲。本文不考慮對手在某次溯源攻擊中僅掌握了Guard節(jié)點(diǎn)與Exit 節(jié)點(diǎn)中的一個(gè)時(shí)，如何采用其他技術(shù)手段去獲取另一個(gè)不受其控制的節(jié)點(diǎn)的流量。在真實(shí)的網(wǎng)絡(luò)環(huán)境中，如果對手在用戶通信鏈路建立時(shí)未能同時(shí)獲取到Guard 節(jié)點(diǎn)與Exit 節(jié)點(diǎn)處的流量，那么要在用戶通信時(shí)間內(nèi)通過流量追蹤的技術(shù)手段去達(dá)到同時(shí)獲取端到端的匿名通信流量并實(shí)現(xiàn)追蹤溯源是很困難的。

3）指標(biāo)1 與指標(biāo)2。將用戶使用Tor 進(jìn)行匿名通信的一段時(shí)間段內(nèi)，對手至少捕獲用戶通信鏈路一次的概率及捕獲次數(shù)的期望值分別稱為模型的指標(biāo)1 與指標(biāo)2。

1.2 數(shù)學(xué)模型

在安全性模型建立過程中，依據(jù)Tor 節(jié)點(diǎn)選擇算法、用戶模型及對手模型3 個(gè)要素進(jìn)行安全性模型中2 個(gè)指標(biāo)的數(shù)學(xué)建模。

1）Tor 節(jié)點(diǎn)選擇算法

在Tor 節(jié)點(diǎn)選擇算法中，優(yōu)先選擇帶寬高、運(yùn)行穩(wěn)定的節(jié)點(diǎn)作為中繼節(jié)點(diǎn)，節(jié)點(diǎn)帶寬最終被轉(zhuǎn)化為該節(jié)點(diǎn)的權(quán)重。節(jié)點(diǎn)權(quán)重計(jì)算流程如圖1 所示。

圖1 節(jié)點(diǎn)權(quán)重計(jì)算流程Fig.1 Procedure of node weight calculation

在圖1中，共有n個(gè)備選Tor節(jié)點(diǎn)，Bi表示第i個(gè)節(jié)點(diǎn)的帶寬值，W表示節(jié)點(diǎn)的網(wǎng)絡(luò)帶寬權(quán)重值，Wi表示第i個(gè)節(jié)點(diǎn)的帶寬權(quán)重值，計(jì)算公式為

在進(jìn)行節(jié)點(diǎn)選擇時(shí)，首先計(jì)算各個(gè)節(jié)點(diǎn)的累積權(quán)重值，第i個(gè)節(jié)點(diǎn)的累計(jì)權(quán)重值為前i個(gè)節(jié)點(diǎn)權(quán)重值求和的結(jié)果；然后從0 到1 之間進(jìn)行抽樣，根據(jù)抽樣結(jié)果找到累積權(quán)重值對應(yīng)的中繼節(jié)點(diǎn)。因此，帶寬越高的節(jié)點(diǎn)，被選中的概率越大［20］。

2）用戶模型

用戶模型主要參考現(xiàn)實(shí)Tor 用戶的3 個(gè)參數(shù)，具體為Guard 節(jié)點(diǎn)的更換周期L、用戶平均每天建立的通信鏈路數(shù)M、用戶使用Tor 的總天數(shù)N。S=M×L表示在一個(gè)用戶Guard 節(jié)點(diǎn)更換周期內(nèi)用戶建立的鏈路總數(shù)。R=M×N表示用戶在N天內(nèi)建立的鏈路總數(shù)。為N與L的商向下取整，表示用戶N天內(nèi)更換Guard 節(jié)點(diǎn)的次數(shù)。

3）對手模型

對手模型參考了端到端溯源攻擊對手的兩個(gè)參數(shù)：（1）對手貢獻(xiàn)的端到端網(wǎng)絡(luò)帶寬占Tor 端到端網(wǎng)絡(luò)帶寬的比例α；（2）溯源攻擊對手在Exit 節(jié)點(diǎn)分配的帶寬占其總帶寬的比例β。由對手的定義可知，對手在Guard 節(jié)點(diǎn)分配帶寬比例為1-β。

在Tor 中，Guard 節(jié)點(diǎn)與Exit 節(jié)點(diǎn)的總帶寬值分別為BN1與BN2，BN表示Tor 網(wǎng)絡(luò)在Guard 節(jié)點(diǎn)與Exit節(jié)點(diǎn)處的總帶寬，BN=BN1+BN2。占Tor 總帶寬資源比例為α的對手，對Tor 貢獻(xiàn)的帶寬值為BM=α×BN。對手在Guard 節(jié)點(diǎn)與Exit 節(jié)點(diǎn)分配的帶寬值分別為BM1=(1-β)×BM與BM2等于β×BM。設(shè)Tor 用戶在 一次匿名通信過程中選中對手Guard 節(jié)點(diǎn)為事件A，選中對手Exit 節(jié)點(diǎn)為事件B。由此可得，事件A與事件B發(fā)生的概率分別為

4）指標(biāo)1

假設(shè)用戶的某個(gè)通信鏈路被對手捕獲為事件G，因?yàn)橛脩粼诮⑼ㄐ沛溌返倪^程中，通常先選擇一個(gè)Guard 節(jié)點(diǎn)，再進(jìn)行Exit 節(jié)點(diǎn)的選擇，所以事件G發(fā)生的概率為P(G)=P(B|A)×P(A)。由于對手進(jìn)行帶寬資源分配后，事件A與事件B是相互獨(dú)立的，因此事件G發(fā)生的概率為P(G)=P(B)×P(A)。假設(shè)用戶在某Guard 節(jié)點(diǎn)更換周期開始時(shí)選中了對手控制的Guard 節(jié)點(diǎn)，在此周期內(nèi)建立了S條通信鏈路，而用戶在此周期內(nèi)至少選中一次對手Exit 節(jié)點(diǎn)的概率為P=1-(1-P(B))S。設(shè)在此周期內(nèi)用戶通信鏈路被對手至少捕獲一次為事件E'。事件E'發(fā)生的概率為P(E')=[1-(1-P(B))S]×P(A)。用戶鏈路不被捕獲的事件P(A)。假設(shè)用戶在N天的K個(gè)Guard 節(jié)點(diǎn)更換周期內(nèi)通信鏈路均不被捕獲為事件發(fā)生的概率為

基于以上分析可得N天內(nèi)用戶的通信鏈路被對手至少捕獲一次的事件E發(fā)生的概率為P(E)=1-對公式省略中間變量，得到指標(biāo)1 為關(guān)于α、β、N、M、L的函數(shù)，數(shù)學(xué)表達(dá)式為

5）指標(biāo)2

對手在某次匿名通信過程中捕獲用戶通信鏈路的概率為P(G)=P(B)×P(A)。在整個(gè)用戶通信時(shí)間內(nèi)，對手捕獲用戶通信鏈路次數(shù)的期望值為E=N×M×P(G)，省去中間變量可得指標(biāo)2 的數(shù)學(xué)表達(dá)式為

在指標(biāo)1 與指標(biāo)2 中，N=180、M=6、L=60，并且根據(jù)Tor Project［2］提供的2019 年9 月的共識文件，確定BN1=7.16 Gb/s、BN2=4.66 Gb/s、BN=11.82 Gb/s。

2 合理性驗(yàn)證

2.1 實(shí)驗(yàn)準(zhǔn)備

實(shí)驗(yàn)以Tor Project 中2019 年9 月 至2020 年8 月的Tor 節(jié)點(diǎn)描述文件及共識文件為基礎(chǔ)，使用Tor 選路算法來模擬12 個(gè)月內(nèi)用戶在Tor 網(wǎng)絡(luò)中通信鏈路中繼節(jié)點(diǎn)選擇過程。

為精確控制對手占Tor 端到端帶寬的比例，實(shí)驗(yàn)中人為地在Tor 帶寬中加入對手貢獻(xiàn)的帶寬，雖然這會在一定程度上改變真實(shí)的Tor 網(wǎng)絡(luò)環(huán)境，但并不會影響用戶匿名通信鏈路節(jié)點(diǎn)選擇過程以及不同Tor帶寬占有比例的對手對用戶安全性破壞程度的度量。對手模型使用兩個(gè)參數(shù)進(jìn)行量化，即對手貢獻(xiàn)的端到端帶寬占Tor 端到端帶寬的比例α以及對手在Exit 節(jié)點(diǎn)處分配的帶寬占其帶寬的比例β。在實(shí)驗(yàn)過程中，α和β的取值分別為0.01、0.02、0.05、0.10、0.20、0.40、0.50 和0.01、0.02、0.05、0.10、0.20、0.46、0.48、0.50、0.80。用戶模型使用3 個(gè)參數(shù)度量，即在180 天內(nèi)，平均每天建立6 條通信鏈路，且每60 天更換1 次Guard 節(jié)點(diǎn)。

實(shí)驗(yàn)過程具體為：首先按照α與β的取值，在Tor共識文件中加入對手控制的節(jié)點(diǎn)，實(shí)驗(yàn)中共有63 個(gè)參數(shù)不同的對手；然后使用Tor 節(jié)點(diǎn)選擇算法，對用戶面對的63 個(gè)對手分別進(jìn)行5 000 次通信鏈路節(jié)點(diǎn)選擇的蒙特卡洛模擬；最后實(shí)驗(yàn)輸出結(jié)果為用戶建立的通信鏈路IP 集合。

對每條鏈路的Guard 與Exit 節(jié)點(diǎn)的IP 進(jìn)行統(tǒng)計(jì)，若其IP 均為對手控制的IP，則判定此鏈路被對手捕獲。假設(shè)5 000 次模擬中共有λ次模擬出現(xiàn)用戶通信鏈路被對手至少捕獲1 次的情況，共有σ條匿名通信鏈路被對手捕獲，則用戶的通信鏈路被對手至少捕獲1 次的概率以及被捕獲次數(shù)的期望值分別為P=λ/5 000、E=σ/5 000。本文將上述兩個(gè)統(tǒng)計(jì)結(jié)果分別稱為實(shí)驗(yàn)結(jié)果1 與實(shí)驗(yàn)結(jié)果2。

2.2 指標(biāo)與實(shí)驗(yàn)結(jié)果對比

經(jīng)模擬實(shí)驗(yàn)統(tǒng)計(jì)得到，用戶U 的通信鏈路至少被對手捕獲1 次的概率P與捕獲次數(shù)的期望值E隨著α與β變化而變化的情況如圖2 所示。

圖2 實(shí)驗(yàn)結(jié)果三維圖Fig.2 3D diagram of experimental results

為對比指標(biāo)與相對應(yīng)實(shí)驗(yàn)結(jié)果的差異進(jìn)行如下處理：

1）使用實(shí)驗(yàn)中用戶模型與對手模型分別對指標(biāo)1 與指標(biāo)2 進(jìn)行采樣，采樣結(jié)果如圖3 所示。

圖3 安全性模型的指標(biāo)采樣三維圖Fig.3 3D diagram of index sampling for security model

2）使用采樣后的指標(biāo)1、指標(biāo)2 分別與實(shí)驗(yàn)結(jié)果1、實(shí)驗(yàn)結(jié)果2 計(jì)算結(jié)果的誤差D1及D2分別進(jìn)行統(tǒng)計(jì)，如圖4 所示，彩色效果見《計(jì)算機(jī)工程》官網(wǎng)HTML 版，其中藍(lán)色柱狀圖部分表示指標(biāo)計(jì)算結(jié)果小于相應(yīng)實(shí)驗(yàn)結(jié)果，其他顏色的柱狀圖部分表示指標(biāo)計(jì)算結(jié)果大于相應(yīng)實(shí)驗(yàn)結(jié)果。

圖4 指標(biāo)與相應(yīng)實(shí)驗(yàn)結(jié)果的誤差柱狀圖Fig.4 Error histogram between indexes and corresponding experimental results

指標(biāo)與相應(yīng)的實(shí)驗(yàn)結(jié)果的誤差統(tǒng)計(jì)結(jié)果如表1 所示，其中，最大誤差為指標(biāo)計(jì)算值與相應(yīng)實(shí)驗(yàn)統(tǒng)計(jì)值作差后的最大值，最小誤差為作差后絕對值的最小值，平均誤差為作差后對63 個(gè)差值先求和再求平均的結(jié)果。

表1 指標(biāo)與相應(yīng)實(shí)驗(yàn)結(jié)果的誤差統(tǒng)計(jì)Table 1 Error statistics of indexes and corresponding experimental results

3）通過圖2 與圖3 可以看出，指標(biāo)與相應(yīng)實(shí)驗(yàn)結(jié)果對至少捕獲一次的概率及捕獲次數(shù)的期望值隨著α與β的取值變化具有相同的變化趨勢。在指標(biāo)1 與實(shí)驗(yàn)結(jié)果1 均達(dá)到最大值時(shí)，β的取值隨α變化而變化的曲線進(jìn)行擬合，結(jié)果如圖5 所示。在指標(biāo)2 與實(shí)驗(yàn)結(jié)果2 均達(dá)到最大值時(shí)，β取值隨α變化而變化的曲線進(jìn)行擬合，結(jié)果如圖6 所示。

圖5 捕獲概率最大時(shí)β 隨α 的變化情況Fig.5 Change of β with α when the capture probability is maximum

圖6 期望值最大時(shí)β 隨α 變化情況Fig.6 Change of β with α when the expected value is maximum

通過對12 個(gè)月的共識文件進(jìn)行統(tǒng)計(jì)，發(fā)現(xiàn)帶寬隨著時(shí)間不斷增大。2020 年8 月，Tor 在Exit 節(jié)點(diǎn)與Guard 節(jié)點(diǎn)處的總帶寬約為20.81 Gb/s，相比2019 年9 月共增加約8.99 Gb/s［2］。2019 年9 月 至2020 年8 月的帶寬統(tǒng)計(jì)如圖7 所示。

圖7 Tor 每月平均帶寬統(tǒng)計(jì)Fig.7 Tor monthly average bandwidth statistics

在實(shí)驗(yàn)過程中，使用2019 年9 月的Tor 共識帶寬值來計(jì)算對手在保持Tor 帶寬占有比例為α?xí)r，對手對Tor 網(wǎng)絡(luò)所貢獻(xiàn)的帶寬值。隨著時(shí)間的推移，對手貢獻(xiàn)的帶寬值在Tor 總帶寬中占有的真實(shí)比例小于實(shí)驗(yàn)前預(yù)設(shè)的比例α。這使得實(shí)驗(yàn)中用戶選中對手Guard 節(jié)點(diǎn)與Exit 節(jié)點(diǎn)的概率小于模型中用戶選中對手Guard 節(jié)點(diǎn)與Exit 節(jié)點(diǎn)的概率，進(jìn)而導(dǎo)致實(shí)驗(yàn)計(jì)算出的捕獲概率值與捕獲期望值小于模型計(jì)算出的捕獲概率值與捕獲期望值。

對于誤差的修正，首先使用12 個(gè)月內(nèi)每月的Tor 端到端網(wǎng)絡(luò)帶寬、Guard 以及Exit 節(jié)點(diǎn)的總帶寬來擬合實(shí)驗(yàn)過程中BN、BN1、BN2這3 個(gè)參數(shù)，并重新進(jìn)行Tor 用戶通信鏈路節(jié)點(diǎn)選擇模擬實(shí)驗(yàn)；然后對指標(biāo)及相應(yīng)的實(shí)驗(yàn)結(jié)果做誤差分析，并對帶寬擬合后的指標(biāo)計(jì)算結(jié)果與相應(yīng)實(shí)驗(yàn)結(jié)果的誤差進(jìn)行統(tǒng)計(jì)，如表2 所示?？梢钥闯?，進(jìn)行帶寬修正的指標(biāo)計(jì)算結(jié)果與相應(yīng)實(shí)驗(yàn)結(jié)果最大誤差、最小誤差及平均誤差均有了一定程度的減小，并且誤差的絕對值總體保持在一個(gè)很小的范圍內(nèi)。

表2 帶寬擬合后的誤差統(tǒng)計(jì)Table 2 Error statistics after bandwidth fitting

因此，對于掌握Tor 帶寬占有比例為α且在Exit節(jié)點(diǎn)處帶寬分配比例為β的對手，安全性模型可以精確計(jì)算該對手對用戶通信鏈路至少捕獲一次的概率與捕獲次數(shù)的期望值。

帶寬擬合實(shí)驗(yàn)后的預(yù)測結(jié)果與圖5、圖6 的結(jié)果一致，即模型中捕獲概率與捕獲期望分別達(dá)到最大值時(shí)，α對應(yīng)的β值與實(shí)驗(yàn)結(jié)果所得的值擬合度較高，約為85.7%，當(dāng)捕獲概率或期望值達(dá)到最大值時(shí)，α對應(yīng)的β值不同的點(diǎn)分別只有一個(gè)。因此，當(dāng)捕獲概率或期望值達(dá)到最大時(shí)，安全性模型對于β的取值隨α變化的預(yù)測是較精確的。

3 對手能力分析

本節(jié)將基于安全性模型分析不同Tor 帶寬占有比例的對手，在不同帶寬分配比例下對用戶安全性的影響。

3.1 捕獲概率與期望值計(jì)算

借助安全性模型的指標(biāo)1 與指標(biāo)2，遍歷α、β的取值來計(jì)算不同對手對用戶的通信鏈路至少捕獲一次的概率以及捕獲次數(shù)的期望值，如圖8所示，其中α和β分別為連續(xù)的閉區(qū)間[0.01,0.50]和[0.01,0.99]。

圖8 安全性模型的指標(biāo)三維圖Fig.8 3D diagram of indexes for security model

3.2 指標(biāo)達(dá)到最大值時(shí)的帶寬分配

分析當(dāng)對手對用戶通信鏈路至少捕獲一次的概率或捕獲次數(shù)的期望達(dá)到最大時(shí)，對手帶寬分配比例β隨對手帶寬占有比例α的變化情況，如圖9、圖10 所示，其中α和β的取值范圍均屬于連續(xù)閉區(qū)間[0.001,0.990]。

圖9 指標(biāo)1 達(dá)到最大值時(shí)β 隨α 的變化情況Fig.9 Change of β with α when index 1 reaches the maximum

圖10 指標(biāo)2 達(dá)到最大值時(shí)β 隨α 的變化情況Fig.10 Change of β with α when index 2 reaches the maximum

3.3 帶寬分配比例的規(guī)律分析

當(dāng)指標(biāo)計(jì)算結(jié)果分別達(dá)到最大值時(shí)，對β隨α的變化規(guī)律產(chǎn)生的原因進(jìn)行分析。由圖9 可以看出，當(dāng)指標(biāo)1 達(dá)到最大值時(shí)，β總是隨著α增大而逐漸減小。由上文結(jié)論可知，用戶在一個(gè)Guard 節(jié)點(diǎn)更換周期內(nèi)，選中對手的Guard 節(jié)點(diǎn)以及至少選中一次對手Exit 節(jié)點(diǎn)的概率分別為P1=P(A)和P2=1-(1-P(B))360。可以看出，即使用戶選中對手Exit 節(jié)點(diǎn)的概率P(B)的值較小，用戶也會在一個(gè)Guard 節(jié)點(diǎn)更換周期內(nèi)，以較大的概率選中對手的Exit 節(jié)點(diǎn)，并且對手在此周期內(nèi)只進(jìn)行一次Guard 節(jié)點(diǎn)的選擇。因此，對手在Guard 節(jié)點(diǎn)處分配更高的帶寬值可以帶來更高的捕獲率，同時(shí)當(dāng)對手占有帶寬的總比例α逐漸增大時(shí)，更高的帶寬分配比例將向Guard 節(jié)點(diǎn)處傾斜，而對手在Exit 節(jié)點(diǎn)處分配的帶寬比例β逐漸減小也是合理的。

由圖10 可以看出，當(dāng)指標(biāo)2 達(dá)到最大值時(shí)，隨著α的增大，β的取值從0.50 開始以很小的幅度減小。由上文結(jié)論可知，當(dāng)P(B)=P(A)時(shí)，對手捕獲用戶通信鏈路概率最大，且對手捕獲用戶通信鏈路次數(shù)的期望值也最大，但P(B)與P(A)的取值受BN、BN1、BN2的影響，即使α接近于1，β的取值也不會小于0.45。因此，不能簡單地認(rèn)為當(dāng)β=0.5 時(shí)，對手捕獲鏈路次數(shù)的期望值最大。

4 用戶安全性分析

通過改變Tor 用戶模型中的參數(shù)對不同類型用戶的安全性進(jìn)行分析。由指標(biāo)2 的建模方法可知，用戶模型中的兩個(gè)參數(shù)對指標(biāo)2 的影響是線性的，因此本節(jié)僅研究用戶模型對指標(biāo)1 的影響。由于用戶在一段時(shí)間內(nèi)建立的通信鏈路數(shù)量及更換Guard節(jié)點(diǎn)的周期可以分別利用用戶每天平均建立的鏈路數(shù)M及更換Guard 節(jié)點(diǎn)的周期L進(jìn)行度量，因此僅針對M及L這兩個(gè)參數(shù)，使用控制變量法對各類Tor 用戶的安全性進(jìn)行研究。

4.1 使用頻率對用戶安全性的影響

本文根據(jù)用戶每天平均建立的通信鏈路數(shù)M來衡量用戶使用Tor 的頻率，并將Tor 用戶分為5 類，如表3 所示。

表3 根據(jù)通信鏈路數(shù)量的用戶分類Table 3 User classification according to the number of communication links

借助指標(biāo)1，計(jì)算并分析5 類用戶面對不同Tor帶寬占有比例α的對手時(shí)，通信鏈路被對手至少捕獲一次的最大值Pmax及達(dá)到Pmax時(shí)β取值隨α的變化情況，如圖11 所示，其中R為根據(jù)M計(jì)算所得的用戶在180 天內(nèi)建立的通信鏈路總數(shù)。由圖11 可以看出，對于使用Tor 的頻率大于每天一次的所有用戶，其Pmax的取值較為接近。例如，當(dāng)對手在Tor 中占有帶寬比例為0.2 時(shí)，在180 天內(nèi)，對手對用戶U3、U4、U5 的Pmax取值約為0.5。由圖12 可以看出，當(dāng)不同的用戶取到Pmax時(shí)，對手在Exit 節(jié)點(diǎn)處的帶寬分配比例β具有較大差別。例如，當(dāng)α=0.1 時(shí)，對手在用戶U1～用戶U5 分別達(dá)到Pmax時(shí)，β的取值分別約為0.440、0.360、0.100、0.017、0.006。

圖11 R 取不同值時(shí)Pmax隨α 的變化情況Fig.11 Change of Pmax with α when R takes different values

圖12 R 取不同值時(shí)β 隨α 的變化情況Fig.12 Change of β with α when R takes different values

4.2 更換周期對用戶安全性的影響

根據(jù)不同的Guard 節(jié)點(diǎn)更換周期L對用戶進(jìn)行分類，用戶分類情況如表4 所示。

表4 根據(jù)Guard 節(jié)點(diǎn)更換周期的用戶分類Table 4 User classification according to Guard node replacement cycle

根據(jù)表4 中的用戶類型，并借助指標(biāo)1，計(jì)算并分析4 類用戶面對不同Tor 帶寬占有比例α的對手時(shí)，通信鏈路被對手至少捕獲一次概率的最大值Pmax1及達(dá)到Pmax1時(shí)β取值隨α變化的情況，如 圖13所示，其中K表示用戶180 天內(nèi)更換Guard 節(jié)點(diǎn)的次數(shù)。由圖13 可以看出，對于帶寬占有比例為α的對手，Pmax1隨著用戶更換Guard 節(jié)點(diǎn)的周期增大而減小。對于用戶U6 與U7 而言，只要對手帶寬占有比例α分別約超過0.001 與0.040 時(shí)，其Pmax1值都接 近于1。對于用戶U9 而言，即使對手占有50%的Tor 總帶寬，其Pmax1也低于0.439。

圖13 K 取不同值時(shí)Pmax1隨α 的變化情況Fig.13 Change of Pmax1 with α when K takes different values

由圖14 可以看出，除了U6 與U7 這類頻繁更換Guard 節(jié)點(diǎn)的用戶，用戶U8 與U9 在達(dá)到Pmax1時(shí)，β隨α的變化規(guī)律與上文中的預(yù)測一致。因此，Guard節(jié)點(diǎn)更換周期對于達(dá)到Pmax1時(shí)β取值隨α變化的影響可以忽略不計(jì)。

圖14 K 取不同值時(shí)β 隨α 的變化情況Fig.14 Change of β with α when K takes different values

5 結(jié)束語

本文依據(jù)Tor 路徑選擇算法、各類用戶模型及對手模型，建立面向端到端溯源攻擊的Tor 安全性模型，并基于真實(shí)環(huán)境中Tor 節(jié)點(diǎn)信息進(jìn)行用戶通信鏈路中繼節(jié)點(diǎn)選擇的蒙特卡洛模擬實(shí)驗(yàn)。實(shí)驗(yàn)結(jié)果驗(yàn)證了該模型的合理性與正確性，并表明其可以較精確地預(yù)測不同能力對手對各類用戶安全性的破壞程度。下一步將研究可觀察到Tor 中繼節(jié)點(diǎn)通信流量但未在Tor 匿名系統(tǒng)中貢獻(xiàn)網(wǎng)絡(luò)帶寬的被動(dòng)監(jiān)聽型攻擊對手，并評估此類攻擊對手對Tor 用戶安全性的破壞程度。