匿名机制(共7篇)
匿名机制 篇1
摘要:文章从可靠性和安全性两方面分别对基于重路由机制的低时延 (Tor) 和高时延匿名通信系统进行了分析, 在这些系统中, 随着共谋节点的增多, 处在选择性的拒绝服务攻击下的系统更易受到攻击。
关键词:可靠性,安全性,DoS攻击
(一) 引言
在信息时代, 随着计算机的广泛应用和网络技术的快速发展, 网络中用户隐私安全问题已经成为互联网应用中迫切需要解决的问题。因此互联网环境下匿名通讯技术的研究正逐渐成为新的热点问题。在这些研究中, 匿名系统的评价指标主要集中在系统的安全性上, 即匿名有效性。然而, 目前的研究开始将衡量匿名系统的指标转向可用性和可靠性上, 因为事实上这些“次要”的特征也是很重要的:在某些情况下若系统是不可靠, 或者是不可用的, 将导致用户的通信处在一个不安全的状态下。
可靠性与安全紧密相关, 且难以观测和分析, 在难以对整个系统的安全造成威胁的状态下, 攻击者可通过有选择地降低系统的可靠性来代替大规模的拒绝服务攻击, 导致系统处于弱安全状态下。通过研究, 在通信无法被控制的情况下, 选择性DoS攻击比针对整个系统的攻击更容易实施, 也更有效。在可靠性很弱的情况下, 许多用户将会尝试再次通信, 这也就给实施攻击提供了更多的机会。
通过对重路由机制的匿名通信技术中低时延系统 (Tor) 和高时延系统 (如Mixminion邮件转发器) 分别实施攻击的成功程度的分析发现:在这些系统中, 随着共谋节点的增多, 处在选择性拒绝服务攻击下的系统更易受到攻击, 尤其是受传统的MIX架构的安全性的限制, 在攻击者实施DoS攻击下, 一个有着大部分共谋节点的匿名系统中匿名性在很大程度上会遭到破坏。
(二) Tor
Tor网络是一个被广泛应用的低时延的匿名通信网络, 自从2003年开始部署以来得到了快速的发展, 到2007年8月已经发展到1000个节点组成, 支持成百上千个用户。它的基本思想是:发送主机先与一系列Tor节点建立连接, 最后到达目的主机。通信通道以压缩的方式构建并分层加密, 因而每个节点只知道前一跳和下一跳路由。然而, 通信的低时延特性给通道中的第一跳和最后一跳节点提供了共谋的机会, 它们通过匹配转发的数据包的时间段很容易发现他们转发的是否同一数据流。
假设节点是随机选取的, 表示被攻击者控制的节点所占的比例, 那么表示任一个通信通道被控制的概率。
设Tor系统中路径的长度为l (l=3) , 若其中任何一个节点失效则通信失败。f表示路径上某个节点可靠的概率, 则此路径的可靠性为:R=fl。
Tor系统的提出者考虑到了选择性DoS攻击模式, 但并没有分析其影响。下面我们分析选择性DoS攻击对Tor的影响。假设共谋节点在他们无法控制整条路径的情况下实施DoS攻击, 这种攻击很容易实施:如果攻击者是路径中的第一个或最后一个转发节点, 这条路径将会很快被发现, 然后将它分别与那些路径上的第一个或最后一个是共谋节点的路径比较。如果匹配, 此条路径将被控制, 否则攻击者通过拒绝在路径上转发信息来废除此路径。若共谋节点位于路径的中间部分, 攻击者同样也会废除此路径, 除非他的前驱和后继节点被串通。
在这种攻击下, 路径中只有第一个和最后一个节点被控制, 或者路径仅由可靠的节点构成, 则此路径是可靠的。
其中RDoS表示在选择性DoS攻击下, Tor系统的可靠性。
图1表示当f=0.9时, Tor系统在选择性DoS攻击下的可靠性, 从图中可知, 可靠性随着被攻击者控制的节点数的增加而降低, 当t=0.6时达到最低, 随后又开始增加。这是因为从那点开始, (1-t) 2开始占主导, 即共谋节点开始较少地实施DoS攻击, 因为他们已控制了更多的节点。
当然, 我们希望共谋节点比例小于50%, 对于攻击者来说控制800个节点中的400个似乎很困难。然而, Tor网络中的节点是由自愿加入的, 且节点只需通过最小限度的认证即可, 所以某些组织以不同的身份来充当Tor系统中的多个节点不是不可能的, 它将控制大部分节点, 况且, 攻击者可以夸大自己的带宽来获得较高的有效的t值。
(三) Mix网络
下面我们讨论选择性DoS攻击对基于MIX网络的高时延系统 (如MixMaster, MixMinion系统) 的影响。
MIX的设想最早由David Chaum在1981年提出。Mix-Net系统由多个相互独立的Mix节点组成, 用户在这些Mix中随机选择构成发送路径, 然后用路径上所有MIX节点的公钥来分层加密消息并通过这些节点依次转发, 直到最终的接收者。每个MIX节点用自己的私钥解密后, 通过延时与重排序再将消息发送给指定的下一个MIX节点, 从而达到通信关系的匿名。Mixmaster, Mixminion系统是在Mix-Net上进一步发展起来的高时延系统, 它相对于低延时系统 (如Tor) 更能抵御计时攻击, 只有当攻击者控制了转发路径中的每个节点时, 消息的匿名性才会遭到破坏。
Mixmaster, Mixminion系统中提供了一种保证可靠性的策略:在完全独立的不同的路径上多次发送同一消息, 使得不同路径上的信息的无联系性减少了潜在的流量分析的可能性。以下的分析都是基于这种策略, 其中参数如下:
l:转发路径的长度 (假设发送同一消息的所有路径的长度相同)
w:转发同一消息的路径数 (不包括重复的)
t:Mix节点是诚实的概率
f:诚实的节点是可靠的概率
1. 常规分析
在被动攻击下, 我们分析Mix网络的安全性和可靠性。
(1) 安全性
只有当路径上的所有节点被控制, 此消息的匿名性才会遭到破坏, 所以MIX网络的安全性为:
Mix网络相对于低时延系统安全性更高, 因为随着l的增长其安全性呈指数级别的增长。例如, 当l=5时, 即使50%的节点共谋, 也只能获取3%的信息。当l的值越大时, 即使共谋节点的数量很大, 用户的信息也能保证安全。
(2) 可靠性
假设攻击者只是简单地转发所有的通信。
为了转发消息, 至少有一条完整的路径包含没有不可靠的Mix节点, 其概率为:
则MIX网络的可靠性为:
2. 选择性DoS攻击
与Tor相似, 攻击者通过实施选择性DoS攻击策略来最大化破坏消息的机会。攻击者通过利用共谋节点的密钥来解密消息从而判断在整个路径中是否存在诚实的节点, 在不被接收者发觉的情况下, 不能被追踪的消息要么抛弃要么以一种巧妙的方式被修改。因而, 发送者不得不发送更多的消息复件来加大此消息到达的几率, 这也增加了被敌人捕获的机会。
假设攻击者将抛弃所有他不能控制的通信, 因而消息被转发的条件是: (1) 路径中所有的节点都是共谋节点; (2) 路径中所有的节点是诚实和可靠的。
其中r为消息在某条路径上被转发的概率。
则在选择性DoS攻击下, MIX网络的可靠性为:
DoS策略并不会影响网络的安全性, 其结果同 (1) 。那么这种策略有什么优势呢?为了达到同级别的可靠性, 发送者必须多次发送消息复件, 这也给攻击者提供了更多捕获信息的机会。需要发送多少消息复件呢?
在DoS攻击下为了获得在被动攻击下同样的可靠性, 需要发送的消息复件的数量为:
其中wpas表示在被动攻击下发送的消息复件数。图2表示当l=5, f=0.90时, 为了获得95%的可靠性, t与w之间的关系, 参数l和f的选择是参照Mixminion系统。从图2中可知, 在DoS策略下, 需要的消息复件数w变得很大, 在t=0.5时达到最大值。
(四) 结论
通过研究表明, 在匿名通信系统中, 系统的可用性及匿名性都与可靠性密切相关。攻击者通过实施选择性DoS攻击在很大程度上能减小系统的匿名性, 而先前的研究中很少有提到这样的假设。
从研究中可以发现, 包含较少的诚实节点的路径容易受到DoS攻击, 因而如何通过检测恶意的不可靠的节点, 或确保路径上的大部分节点都是诚实的来预防拒绝服务攻击是我们今后研究的方向。
参考文献
[1]R.Dingledine and N.Mathewson.Anonymity loves company:Usability and the network effect.In R.Anderson, editor, Fifth Workshop on the Economics of Information Security (WEIS) , Cambridge, UK, June2006.
[2]P.Golle and A.Juels.Parallel mixing.In ACM Conference on Computer and Communications Security, pages220–226, Washington, DC, Oct.2005.ACM Press.
[3]G.Danezis, R.Dingledine, and N.Mathewson.Mixminion:Design of a Type III Anonymous Remailer Protocol.In Bellovin and Wagner[2], pages2-15.
[4]R.Dingledine, N.Mathewson, and P.F.Syverson.Tor:The Second-Generation Onion Router.In The13th USENIX Security Symposium, pages303–320, San Diego, CA, August2004.USENIX Association.
[5]P.Syverson, G.Tsudik, M.Reed, and C.Landwehr.Towards an analysis of onion routing security.In Federrath[13], pages96-114.
匿名机制 篇2
在信息化飞速发展的今天, 网络在人们日常交流和信息共享过程中有着越来越重要的作用。网络社交平台作为人们网上交流的重要平台, 有着不可替代的作用。然而由于网络的开放性以及当今网络社交平台多为匿名环境的特点, 谣言、虚假言论、诈骗广告等信息充斥在匿名网络环境中, 人们的正常交流和信息共享受到很大程度的干扰, 网络社交平台秩序遭到破坏。
对于网络社交平台匿名机制导致网络环境秩序遭到破坏这一现象, 新浪微博率先提出实行实名制。当前已经有很多专家学者等对于网络实名制的实行进行了分析研究, 而这些研究主要集中于从法律角度及实施的现实条件对实名制进行分析, 如杨斌的“浅析微博实名制”[1]通过事实和法律两方面分析微博实名制的必要性和可行性, 分析了现行微博实名制在实施中遇到的问题;张红军、王瑞的“关于微博实名制的思考”[2]建议国家进一步采取措施, 加强互联网以及微博管理。朱继东, 李晓梅的“实名制规范与微博的健康发展”[3]结合微博发展的趋势和面临的问题, 强调实行微博实名制的必要性。然而, 对于在网络社交平台的匿名机制失效问题以及实行实名制的必要性和可行性仍缺少系统科学的分析。
本文以微博实名制为例, 利用Go SRE机制失效分析方法[4]对网络社交平台匿名机制失效进行了系统全面的分析, 从目标、参与者、关系和环境的角度分析了匿名机制失效原因, 并验证了实名制的必要性和合理性。
二、网络环境中的机制与机制失效
失效现象是在管理过程中, 以一定的付出和成本无法达到既定目标, 或者无法完全达到目标的一种现象。失效的原因可能是客观的, 也很有可能是管理机制的设计有关。一个机制的失效与否, 与外界评价并无关系, 只要达到了组织内部设定的目标并满足了成本和效益的事先预想即可。管理领域中出现的失效现象, 一般我们会说“管理机制的失效”, 这里, 就需要首先理清机制和管理机制中的几个概念[4]。
1. 管理中的机制与机制失效
机制 (mechanism) :由环境中某些具有确定或动态关系的特定元件组成, 以模型或规则的形式来揭示事物或事件的规律, 并以此设定一套流程来实现既定目标的设施或解决方案。机制的组成一般包括参与者、规则和关系定义, 其中参与者还包括主体 (用于设计和使用机制) 、客体 (机制作用对象) 、介质, 而规制可以是时间规制、空间规制、动力与约束规制。
管理机制 (managerial mechanism) 是为实现一个确定的管理目标, 基于相关事物或事件的内在运行机理, 考虑到现实条件的制约, 而人为设计出来的一套涵盖了原则、模式、规范及流程, 具备一定能动性的解决方案。
失效 (failure) 是由于系统的组成元件自身发生变化, 或由于外力作用而引发的系统原有功能不再具备或有效性明显降低, 导致最后结果偏离既定目标的现象。
管理机制失效 (managerial mechanism failure) 一般是指由于参与者、外界环境以及系统中存在着的原有关系或状态发生变化, 或者所设计的管理机制本身出现了问题, 导致既定目标无法达到或只能部分实现的状况。
与管理中的机制相对应, 我们可以定义一个网络环境中的机制与机制失效。网络环境中的机制, 是为实现一个确定的目标, 基于网络环境内在的运行机理, 考虑到现实条件的制约, 而人为设计出来的一套涵盖了原则、模式、规范及流程, 具备一定能动性的网络环境运行及管理方式。网络环境中的失效, 是由于系统的组成元件自身发生变化, 或由于外力作用而引发的系统原有功能不再具备或有效性明显降低, 导致最后结果偏离既定目标的现象[4]。
2. 匿名网络环境及其特点
当前网络中匿名社交平台有论坛、贴吧等。网络用户可以在不用公布真实身份的情况下发表言论, 进行交流。在这样一个近乎于完全匿名的网络环境中, 参与者可以免于对自己的言论负责。另一方法, 从心理学角度分析, 匿名机制让个体承受更小的压力, 从而更容易出现从众行为[5]。因而, 在这样的网络环境下, 人们的言论行为更加自由。
3. 匿名机制失效, 网络健康环境被破坏
在这样一个近乎于说话不用负责任, 无需考虑后果的网络环境中, 没有道德和法律等的约束, 人们的言论行为可能会不自觉地偏离道德标准, 甚至出现恶意攻击事件。这些都为网络环境带来不良影响, 使人们正常网络交流互动受到干扰, 甚至参与者利益受损。
此外, 在匿名环境下, 网络水军, 虚假信息, 造谣传言等, 已经对用户信息筛选产生严重干扰, 传达虚假信息的同时误导网络舆论, 甚至造成一定程度的不良社会影响, 如抢盐风波, 世界末日, 肯德基六翅鸡等事件, 这些都已经偏离正常网络环境下的交流目的, 属于网络匿名机制失效现象。
三、基于Go SRE方法的网络匿名机制失效分析
Go SRE法是基于“目标-参与者-关系-环境”的要素分析法, 它的基本原理是通过对管理机制的目标、参与者、关系、环境以及它们之间的作用方式进行分析, 以找到产生失效结果的根本原因, 进而分析出有效的应对策略, 并考虑在防止和应对失效中进行应用。
对于第一个分析对象“目标”, 可以从以下三个方面进行分析:
1、六类不同目标在管理机制中的体现与确认;
(1) 目标的分解:层次性和阶段性分析;
(2) 目标的实现途径和逻辑研究。
2、对于管理机制中的参与者, 可以有以下的分析内容:
(1) 参与者分类;
(2) 参与者状态、心理与行为分析;
(3) 参与者变更、转化分析。
3、对于管理机制失效分析中的关系分析, 包括以下几个部分:
(1) 面向目标实现的关系设计合理性分析;
(2) 参与者之间的关系扭结分析;
(3) 参与者与环境的关系分析;
(4) 环境也分为三个主要的部分:
a.时间、空间规制的合理性;
b.动力与约束规制存在的问题;
c.其他环境因素对于管理机制的适应性。
由于这三个方面之间又存在内在的联系, 因此, 还需要在分析的过程中不断交互、交流、交错, 并将反馈带入整个分析逻辑中去。
本章将根据Go SRE法, 从目标、参与者、关系以及环境这四个方面, 对网络社交平台中的匿名机制进行系统分析, 并找出该机制中的可变因素, 对该匿名机制实现再设计, 从而在一定程度上解决网络社交平台中的匿名机制失效所带来的问题。
下面将根据Go SRE法的基本步骤, 对网络社交平台中的匿名机制进行失效分析。
1.目标分解Goal Decomposition
在信息化飞速发展的今天, 网络作为极其普遍的社交平台, 在人们的日常生活中有着日益重要的作用。博客、个人空间、天涯社区等作为人们分享交流的平台, 实现了信息单向传递向双向传递的转变, 模糊了信息传递者和信息受众的界线, 让每个人都有机会成为信息的发布者。在这样自由舆论的环境下, 由于缺少必要的道德或法律约束, 网络社交秩序很容易遭到破坏, 如批量广告发送, 网络水军进行人身攻击或散传谣言等。由于每个人都可以是信息的来源, 因此在这样的环境中人们所获取的信息没有了权威性的保证, 从而难以确保信息的真实可靠性。
微博等社交平台要求用户注册使用, 为用户提供信息发布、评论、转发、收藏等操作功能, 其根本目标是为使用者提供信息发布和交流的平台, 并维护网络环境正常的社交秩序, 保障用户的言论自由和隐私以及获取信息等权利和利益。所以说, 微博用户的正常交流及信息分享需求, 保障微博用户的“利益”应该是该网络平台交流机制的最终目标, 也是第一层次目标。
但是, 在网络环境匿名机制的状态下, 用户都可以自由地发布信息或发表言论, 因而所有的信息不可能百分之百的保证真实可靠。如果机制的设计较大程度上满足了使用者完全自由的言论需求, 那么必然会有部分用户获取真实信息或其他方面的个人的利益受到损害。中国自古就有“三人成虎”的说法, 一条虚假信息, 经过大量转发或评论后, 就会被很多不明真相的信息受众信以为真, 并进一步转发传递。甚至存在一些用户, 不会对所接收到的信息做任何判断而直接评论转发。更有人利用网络环境的匿名机制这一特点,
匿名机制失效分析流程图故意发布传递虚假信息, 以达到某种目的。究其根源, 造成虚假信息传递并产生某些消极后果的原因, 主要在于存在用户有意或无意地产生并传递不真实的信息。所以, 要保证大多数用户正常获取可信度较高的信息, 免于虚假信息或是广告信息的干扰, 就要保证信息来源的可靠性, 即要求发布或传递信息的用户可信, 用户或信息源“可信”又成为保障用户正常交流目标的基础, 是第二层次的目标。
然而, 在匿名机制状态下, 自由舆论的环境对用户的言论几乎没有任何实质性的限制, 加上普通用户对于信息真实性的鉴别能力有限, 当前能保证用户自由发表言论的匿名机制, 要实现信息“可信”的目标就比较困难。因此, 最好的解决方法是对信息的来源进行适当的约束和限制, 减少虚假信息的发布和传播。从信息源头进行管制, 既能有效保障大多数人正常的言论自由, 实现信息交流的目的, 又能很好地保证信息的质量, 让信息受众获得较为真实客观的信息。如果不对注册的用户进行限制, 任何人可以无限制地随意注册账号, 并利用这些账号随意发布任何信息, 让原本用于交流的社交平台甚至混乱到毫无秩序可言, 那么这个平台所提供的信息就不再“可信”, 很多用户的利益便会受损。也就是说, 对注册用户实行有效的管理, 又是保证信息“可信”的基础, 是第三个层次的目标。
综合以上分析, 我们将微博匿名与实名机制的目标分解为如下图所示, 第一层目标以第二层目标的实现为基础, 第二层目标又立足于第三层目标的实现。
2.参与者分析Stakeholder Analysis
一般而言, 主体和客体是机制中最重要的参与者, 一般是不可缺少的。
(1) 主体分析
机制的主体是指在该机制中占主导地位的参与方。
主体按照作用不同可分为设计主体、执行主体与监督主体三种。很多情况下, 机制的主体即为机制的设计者;在设计阶段, 设计主体负责设计合理有效的机制, 同时接受监督主体的监管, 针对目标进行设计;在执行阶段, 执行主体负责采用措施来实现目标, 同时接受监督主体的监管。在不同阶段, 一个主体可能承担两种角色, 主体的角色也可随时进行转换。
在自由舆论的环境中, 网络匿名机制的主体是社交平台的官方设计管理人员, 他们既是机制的设计主体, 也是执行主体, 同时又是机制的管理和监督主体。但是, 以微博平台为例, 其最初设计的匿名登记注册机制实行时, 管理人员只需在设计好并投入运行的机制中, 管理后台数据存储及前台信息发布, 而无需过多涉入用户注册这一过程。同时对于注册用户所发布的信息, 一般只进行敏感词汇检测与过滤, 不会对信息的真伪进行辨别与判断。在自由舆论的条件下, 简单的匿名机制看似能保证用户自由言论以及信息共享的利益, 但是很难保证信息的真实可信度。一旦共享信息的可信度无法确保, 用户获取真实信息并实现交流的利益也将无法保障。因此可以说, 匿名注册的网络社交平台的设计管理人员未能很好地保证该平台功能的实现, 应在一定程度上对匿名机制的失效负有责任。
从管理主体和监督主体来看, 该平台的设计管理人员同时是该机制的执行者和监督者, 然而在执行和监督时, 管理人员不能对注册的用户进行限制和考察, 也无法对注册用户所发布的信息的内容真实性等方面进行任何检验, 这也是导致该匿名机制失效的又一重要原因。
(2) 客体分析
与主体相对应, 机制的客体是指在机制中承受主体所施加作用的参与方。客体通常情况下为具有自由选择权利的人, 以及受主体意志操纵的事物或事件。
需要说明的是, 客体的反馈作用也是机制设计中不可忽视的力量, 不仅可能改变主体的行为, 而且可能影响目标的实现程度。
在该网络社交平台的匿名机制中, 机制的客体是社交平台的使用者。对于这些使用者而言, 他们只需要根据自己喜好选择一个用户名, 进行简单的无关信息填写就可完成注册。注册用户可使用络社交平台提供的浏览、发布、转载、评论等操作, 而几乎不用受到任何限制。在完全匿名的环境下, 个人言行几乎不用受到任何道德或法律的约束。如此“自由”的舆论环境, 允许用户可以“畅所欲言, 为所欲为”。由于用户几乎可以不用对自己的言论行为负任何责任, 而自身的利益也不会因此受到损害。在无责任和利益相关的情况下, 人们言行的道德水平很容易因缺少约束限制而下降。即说假话不用负责任, 就有人为了满足自己的好奇心或虚荣心等去故意分布或传递不真实信息。在这种环境下, 甚至会有人恶意发布虚假信息, 从而达到自己的某种意图。整个网络社交平台的秩序维护因此变得困难, 而交流环境被破坏看起来在所难免。
从心理学角度来看, 美国社会心理学家詹尼斯对大量错误的群体决定进行分析后得出一个结论:一个群体的内聚力越强, 就越容易导致群体思维的错误。因为在群体决定时, 本来有不同意见者也碍于群体的压力而不再坚持己见, 也会觉得集体的决策似乎是神圣的。按照少数服从多数的原则, 听从大家的意见。同时群体中的成员认为决定是大家作出的, 责任由大家分担, 个体较少负有直接责任, 所以就很容易产生从众心理。
另外, 匿名环境减小了对个体的心理压力。在匿名的网络社交环境中, 存在一个较大的网络群体。有关群体心理学, 施韦因格鲁伯和沃尔施泰因提出确认了7个特征, 其中包括群体是自发冲动的、非理性的、情绪化的并能增加匿名性等。在这个网络群体中, 非理性和情绪化以及能增加匿名性的特征得到了很好的阐释。微博用户在匿名及群体化的环境中, 很大程度上会产生非理性情绪化的举动, 并借助匿名而肆无忌惮地传播不真实的信息。
同时, 所谓“无直接利益冲突”是指社会冲突的众多参与者与冲突事件本身并没有直接的利益诉求, 而是因为曾经遭受过不公平对待, 长期积累下来不满情绪, 感觉自己是显在或潜在的被权力迫害者, 于是借机表达、发泄不满情绪而出现的冲突。同样在匿名社交环境中, 就会存在用户与某件事件本身并没有直接利益关联, 只是因为自己曾经因别人所传播的虚假信息而受过欺骗, 心里留下某种程度的阴影, 从而会有“伺机报复”的心理存在, 这也促进了匿名社交网络环境的破坏。
以上分析可以看出, 在匿名环境下, 客体行为更加自由不受约束, 而匿名环境带来的从众心理以及个体心理压力被分散等现象, 都更进一步促使网络匿名机制的失效产生。
(3) 介质分析
机制中的介质角色是广泛存在的。主体可以对客体直接产生作用, 但往往也可以通过介质间接地对客体产生作用, 只是作用的效果不同。介质可以是人, 亦可以是物。
在日常生活中, 人们面对面的交往过程所接触到的交流对象大多都是现实生活中真实存在着的人, 每个个体都是独一无二的, 在法律、道德以及社会舆论的监督下, 每个人都需要对自己的行为承担直接后果, 因此个体承受压力比匿名环境中的群体分担要大很多。然而, 在网络匿名环境中, 人们进行信息交流的对象多为无法获知真实身份的“虚拟”人物, 在这种情况下, 因没有面对面交流, 人们不用过多顾虑交流对方的语言、情绪等反应变化。此外, 匿名环境减小个体压力的同时加剧了网络用户的从众现象, 加之缺少有效约束, 网络匿名环境中更容易出现破坏正常网络秩序的行为。
3.关系分析Relationship Analysis
在机制分析中, 关系的定义是一个比较柔性的组成部分, 它主要规定主体、客体和介质之间的关系类型、作用方式和适应环境。关系具有信息传递的作用, 它既可以是促进机制更好地发挥作用的粘合剂, 也可以是导致机制失效的分离素。在管理机制中, “职责权利情” (职位、责任、权力、利益、情感) 是影响机制内部关系的五个主要因素。然而, 我们认为在网络匿名环境中, 利益、情感、责任和权力具有较为显著的作用, 因此下文将从这四个角度对匿名网络社交平台中的关系进行分析, 探讨网络社交平台在匿名状态下容易失效的原因。
(1) 利益关系主导参与者的行为
在匿名网络环境中, 主客体分别关注于不同的利益方面, 客体可以在这样的匿名环境中获得利益, 同时客体的行为不会直接影响到主体的利益, 这些都导致了网络环境匿名机制的失效。
由于缺少必要社会舆论和道德约束以及相应的法律规范, 导致网络虚假信息泛滥。发布或产生虚假信息这一行为, 绝大多数都是受利益驱使。统计分析发现, 网络虚假信息话题多与利益相关, 并倾向于利用公众的同情心。一条所谓爱心“接力”, 会在网上转载多达几十万次, 而所提供的电话号码, 经查实多为吸费电话。类似于这样的利用吸费电话的例子数不胜数。此外, 在商业化和娱乐化的当代社会, 由需求利益驱动, 职业粉丝和粉丝交易应运而生, 并逐渐形成一条灰色粉丝产业链。一些人通过刷粉丝积聚影响, 并利用其巨大的粉丝库, 或进行虚假宣传, 或打压商业对手, 破坏正常商业秩序, 扰乱用户使用环境。
此外, 在网络社交平台中, 对于作为管理和监督人员的主体来说, 他们所关注的利益在于更多用户使用这一平台, 从而带来更多其它方面的利益, 如影响力和广告收入等;而对于客体来说, 正常用户所关心的利益是能够充分利用这一社交平台进行人际交流与信息的获取和分享;而有意于利用这一平台散播虚假或欺诈信息的用户来说, 他们的利益在于利用匿名机制从中获取私人利益, 如金钱等。就主客体利益关系而言, 客体的行为不会直接导致主体利益受损, 因而主体对于客体的监督与管理也是低效率的。
另一方面, 这些被利用同情心的“爱心人士”, 只需要轻轻点击“转发”, 就可以让自己的爱心得到满足, 同时自身没有任何利益损失。因此, 在利益关系的驱使下, 加之缺少必要规范约束, 导致了网络环境下的匿名机制失效现象的产生。
(2) 责任缺失增加匿名机制的失效程度
在网络匿名环境下, 由于主体责任缺失, 没有对客体进行有效监督和管理, 从而导致客体的行为破坏了正常的网络社交秩序。
利用人们的同情心, 骗取爱心人士转发虚假帖子之所以如此猖獗, 很大程度上是由于网络的开放性和不确定性。人们可化名注册账号, 多次转载以增加虚假信息的影响范围。且用户一旦注销注册的账号后, 由于是匿名注册使用, 很难追查到传播虚假信息的始作俑者。匿名机制为不法活动提供了很好的保护盾。
此外, 从主体角度来说, 作为网络社交平台的设计和管理人员, 由于是匿名机制, 无法对虚假信息传播者追究责任, 因此要进行有效的管理几乎为不可能。虽然微博平台添加了广告等信息过滤功能, 但机器程序无法对用户所发布的每一条信息都能进行有效的识别与判断, 其精确程度也很难保证。即使是微博的举报功能, 也很大程度上依赖于用户的主动举报, 并且只有当同时举报某一条信息的用户数达到一定数量, 管理员才会对信息进行处理和删除。
因此, 主体对客体进行有效监督管理责任的缺失进一步加速了网络社交环境匿名机制的失效。
(3) 权力关系降低匿名网络环境秩序维护的强制性
在很多情况下, 权力关系是制度得以执行的必要条件。在匿名网络社交环境中, 即使管理和监督人员具有过滤、删除敏感或虚假信息甚至停用某一账号的权力, 但由于网络社交平台用户数量过于庞大, 而管理人员数量相对较少, 用户所发布和传播的信息变得不可控。对于用户来说, 如微博等社交平台为他们提供了虚假信息举报的功能, 但对于信息的判别是具有用户个人经验性的, 并且发现并举报虚假信息这一行为也是自发的。在这样一个匿名机制中, 主体的权力很难得到有效发挥, 有效监督管理执行困难降低了网络环境秩序维护的强制性, 因此匿名网络社交平台的秩序维护不具有强制性, 容易引发秩序混乱。
(4) 情感关系使得客体易成为机制失效的推动者
在匿名网络环境中, 导致匿名机制失效的情感关系包括部分人的仇富心理、报复心理、敌视政府以及同情心等, 以下以同情心为例, 分析情感关系推动匿名机制失效的原因。
面对类似于求助帖子、爱心接力等这样的信息时, 人们的同情心很容易被利用。社交网络的关注与被关注、粉丝或互粉关系所建立的社交网络巨大而庞杂。一条热门状态或帖子可以通过这样的社交网络转发多达上万次。当出现一条求助信息, 尤其是不涉及自身利益时, 大多数人都会成为爱心人士, 愿意主动对这一信息进行扩散, 表达怜悯之情的同时也满足了自己的同情心理。一些人便利用了人们的这一情感因素, 恶意传播扩散虚假信息, 从而达到诈骗等私人目的。因而在网络环境的匿名机制中, 情感关系促使客体成为了机制失效的推动者。
4. 环境因素与规制分析 (Environment and RegulationAnalysis)
时间规制、空间规制以及动力与约束规制是影响管理机制实施效果的三种重要的环境变量。环境因素分析也是识别管理机制失效原因的重要方法。下面从时间、空间以及动力与约束三个方面, 对网络环境中的匿名机制的失效问题作更进一步剖析。
(1) 时间因素
时间是对机制作用的环境从时间角度的描述, 可以从时刻、频率、时间段、不同时间尺度等不同的时间变量进行分析。
与通常日常生活中的人际交流相比, 网络空间中的信息存在时间更长, 其影响力也更持久。因为一条信息自存在开始, 就会一直以文字形式存在于网络空间里, 时时刻刻都有可能被阅读评论或转载传播。并且信息一经发布, 便可同时被发布者的所有粉丝接收到, 大大增加了信息传递的即时性。在这样的环境下, 虚假信息的存在时间更长, 其影响范围也更广更持久。因而在匿名网络社交平台中, 即使其他因素保持不变, 信息影响时间的变化也将导致网络社交环境秩序的破坏。
(2) 空间因素
空间因素包括位置和可用空间两类。网络环境中的位置因素决定了人们行为的非理性化。在正常的现实社会中的面对面交流中, 人们接收与传播信息的过程是即时的, 并且交流者之间互相明确知道对方是真实存在并且唯一的, 即不存在一个人同时具有多重身份。而在匿名网络环境中, 一个人可以无限制地注册任意多个账号, 即一个人可以同时扮演多个角色。同时, 考虑到无需顾及交流过程中的情面、对方语言行为反应等, 网络环境中的人与人之间交流比面对面交流更加自由, 人们的行为更容易非理性化, 从而进一步促使了网络环境秩序的混乱。
同时, 可用空间的不可空性也增加了网络环境秩序维护的难度。在匿名环境中, 网络社交平台所需的使用成本较容易实现, 对使用几乎没有限制, 基本成了完全开放的场所, 用户交流的空间基本上是一个完全开放的空间, 任何人都可以参与到交流中来并接收或传播信息。可用空间无法调节, 看似有限的空间可以有无限用户存在, 因此用户随意进入或干扰变得容易, 维持秩序也更加困难。
(3) 动力与约束规制
从广义上来理解, 动力与约束规制可以理解为机制的激励因素, 包括正激励和负激励两个方面的含义。任何一个激励制度的设计必须将激励主体与客体的目标相结合, 只有在主客体目标相一致的情况下, 才能实现机制的目标。另外, 激励制度的设计必须具有一定的激励作用, 再优秀的激励机制对没有需求的人来说都是没有效果的。
在网络社交平台匿名机制中, 机制主体的目标是为用户提供有序的自由交流和信息分享的平台。而用户的目标是借用这个平台实现信息共享与交流, 表达自身意见和想法, 甚至是发泄自己的情绪, 其间不免有很多由个人利益驱使的个人或团体故意发布和传播虚假信息。遵守秩序正常进行信息分享和交流并不有利于这些团体或个人实现利益相关的目的, 因此, 用户自觉遵守秩序的动机并不强烈。此外, 因匿名网络环境中本身缺少法律约束和道德舆论规范, 人们的行为没有得不到有效的约束。所以, 匿名网络社交平台中, 在缺乏有效激励保证和约束规制的情况下, 部分用户没有遵守秩序进行正常信息交流的动力, 这也导致了网络匿名机制的失效。
四、网络社交平台中的可变因素识别
利用Go SRE模型对参与者及其关系、环境因素分析之后, 我们对机制的内外部因素有了非常清晰全面的认识。在这些认识的基础上, 要识别出哪些因素是可以改变的, 改变到何种程度可以使得机制的作用机理更加合理, 目标更容易达到。
目标方面, 前面已经提到, 在匿名网络社交平台中, 由于匿名性和网络的开放性, 而管理员的数量和监督力有限, 想要在较大程度上维护和保障微博用户的利益, 满足他们正常交流和信息分享的需求已经不太可能, 只能保证在“可信”用户范围内实现一定程度上的信息共享。所以, 保障用户利益和用户可信这两个层次的目标是不可改变的。对于第三层次目标“用户管理”而言, 只是实现上两级目标的基础。假如不能保证对用户实现有效的管理, 设计一定的机制进行事后补救之后如果能实现用户可信并且用户利益得到保障这两个目标, 我们也认为机制是有效的。但在本文所涉及匿名开发的网络环境下, 很难单独做到保障每一个用户的利益不受到损害。
在本文中, 由于时间和空间的特殊性, 网络环境的开放性以及匿名机制的不确定性让匿名网络社交平台的秩序维护变得尤其困难。匿名机制存在于互联网这个大环境中, 因此认为这个开放的空间因素是不可改变的。但是, 对如微博的注册用户从源头进行管理是可行的。对于参与者来讲, 进行网络交流与信息共享的网络环境不会改变, 网络用户所发布和传播的信息量巨大, 也不会减少, 也就是说主客体所处的环境不会改变。但是, 主客体之间的关系可以稍作改变。例如, 增加后台管理人员数量, 加强对用户所发布和传播信息的检测和过滤, 尽最大可能减少广告、诈骗等虚假信息的传播;教育提高网民素质;管理人员对用户的监管权利稍微加大等。以下是从改变参与者主客体关系的角度, 给出了实行实名制的“事前预防策略”。
五、网络社交平台匿名机制再设计与分析
1、匿名机制再设计
针对匿名机制的失效问题, 利用“事前预防策略”进行网络社交平台匿名机制再设计是对原有机制的改进优化。在日常生活中, 如果脱离群体的掩护, 或者一个人处在能被大家清楚地认识和和了解的环境中, 那么人们的行为就会自觉地遵守道德和法律规范, 从而社会环境的秩序得到维护。
在解决匿名机制的失效问题时, 实名机制能很好地解决匿名机制中群体心理及责任利益等关系所带来的一系列问题。考虑到开放的网络环境中需要对个人隐私进行适当的保护, 因此所采用的是前台匿名后台实名机制。用户注册时须填写真实姓名等个人信息, 而在前台可以选择使用网名, 从而对用户个人信息起到了一定的保护作用。但是在实行后台实名制的时候, 因涉及到个人的真实信息, 对后台数据库的安全性有较高要求。由于在后台数据库中储存着注册用户的真实信息, 一旦出现发布散播虚假信息的现象, 可根据后台数据库中存储的用户真实信息及时追踪始作俑者, 从而对其追究责任。另一方面, 用户在前台可以选择继续使用网名, 从而在网络开放的环境中保护了自己的隐私信息。
2、实名机制有效性分析
实行实名制, 会在一定程度上对用户的言论行为进行了合理范围内的限制, 但其用意是为了更好地保护用户的利益, 维持正常的网络社交环境;另一方面, 实名制能够在事后进行追踪和实施惩罚监管, 但根本目的还在于维持网络社交环境舆论场的秩序和生命力, 从而有效维护网络平台的基本功能。
以下将根据Go SRE分析方法, 对改进后的匿名机制进行分析, 从而验证前台匿名后台实名的实名制能够有效解决网络社交平台匿名机制中的一系列问题。
(1) 目标分析
前面分析了网络社交平台的三个层次目标, 第一层次目标, 实现用户的正常交流和信息分享, 以及保障用户“利益”, 是以用户可信的第二层次目标为基础的, 而用户可信这一目标又是基于实现用户管理这个第三层次目标的。在该经匿名机制改进而得到的实名机制中, 由于后台注册的数据库中存储了用户的真实信息, 从而使得用户管理变得可行, 进一步保证了用户的“可信”, 最终第一目标——用户正常交流和信息分享, 以及保障用户“利益”, 得以实现。
(2) 参与者分析
在实名机制中, 用户在注册时已经填写登记了个人真实信息, 因此, 对于用户所发布和传播的每一条信息来说, 都是“有迹可循”。必要时, 网络社交平台的管理和监督人员, 即该机制的主体, 可查询存有用户真实信息的数据库, 从而获取用户真实信息, 实现对信息源的追踪。另一方面, 在了解自己的真实信息被记录, 并且可追踪时, 作为客体的用户的语言行为也将有所收敛。一旦涉及到个人真实信息, 那么个人利益问题将难免不受牵连, 考虑到对自身利益的保护, 用户也将尽量减少发布或者传播出处不明、可靠性无法确定的信息。同时, 群体效应的作用将大大减小, 恶意发布和散播虚假或欺诈信息的行为将在很大程度上被减少。此外, 因涉及到个人真实信息, 网络社交平台不再是一个完全匿名的环境, 道德舆论及社会法律因素将在一定程度对用户的言行上起到约束作用。因此从机制中主客体以及介质的角度分析, 信息源的可靠性有了较大保证, 从而网络社交平台的功能的正常实现将在很大程度上得到保障, 用户“利益”也将得到保护。
(3) 关系分析
首先, 由于实名制中涉及到个人真实信息, 利用匿名的特点进行与利益相关的虚假或诈骗信息发布和传播将不再可行。同时, 由于用户进行注册时必须填写个人真实信息, 从而避免了一个人同时注册多个账号, 或者是利用软件控制注册和管理多个账号, 进行一系列和利益相关的活动, 如新浪微博中的僵尸粉等。当职业粉丝和粉丝交易几乎无利可图时, 灰色粉丝产业链便将逐渐随之消亡。
其次, 由于实行实名制的网络社交平台后台数据库中可查询注册用户的真实信息从而可对虚假信息源进行追踪, 因此社会道德舆论和法律将在一定程度上对该平台具有监督约束作用, 责任关系的重建将让网络社交平台的秩序得到维护。
此外, 当发现造成一定社会影响的虚假信息开始散播时, 法律等国家强制机器将涉入调查和追踪, 从而匿名机制中的弱权力关系将变成实名制中的强制性强权力关系, 从而对维护网络社交平台秩序的实行变得更加有力。
综合以上几点从关系角度的分析, 利益关系和责任关系从信息源对虚假诈骗信息进行了抑制, 而强权力关系又为利益和责任关系提供了有力的保障。因此, 实行实名机制的网络社交平台秩序将在很大程度上得到维护。
(4) 环境因素与规制分析
实行实名机制后, 用户在网络社交平台进行注册时必须填写登记个人真实信息, 这些信息可以用于确定所对应的唯一用户的真实身份。在这种情况下, 每个用户只能注册使用一个账号, 从而使得空间因素中的位置因素变得确定, 而时间因素和空间因素中的可用空间因素都在利益关系和责任关系中得到很好的限制。此外, 前面已经分析过, 由实名机制而引入的社会道德舆论和法律将为网络社交平台带来更多有效约束。因此在时间、空间以及动力与约束规制方面, 匿名制所带来的一系列问题都得到了很好的解决。
综合以上四个方面的分析, 存在于匿名机制中的种种问题以及造成这些问题的原因都在很大程度上得到了解决, 因此, 实行前台匿名后台实名的机制是对于匿名机制的一种有效的改进措施,
六、结论与展望
通过Go SRE机制失效分析, 本文从机制失效的表现出发, 根据管理机制失效的概念、特征、判据, 网络社交平台匿名机制失效的原因从目标、参与者、关系和环境的角度进行了详细分析, 得出当前网络匿名环境中存在导致机制失效的因素, 并且该失效现象会随着使用人数增加而加剧。此外, 通过可识别因素分析, 提出了预防和应对机制失效的策略与方法, 针对的网络社交平台中的匿名机制进行分析, 验证了实行后台实名前台匿名机制的必要性与合理性。该分析方法以及结论对网络社交平台匿名机制失效现象的改进具有指导意义。
参考文献
[1]杨斌.浅析微博实名制[J].网络安全技术与应用, 2012, 2:69-70.
[2]张红军, 王瑞.关于微博实名制的思考[J].新闻爱好者, 2011, 10:10-11.
[3]朱继东, 李晓梅.实名制规范与微博的健康发展[J].新闻爱好者, 2011, 12:64-66.
[4]陈安, 陈宁, 武艳南等.现代应急管理技术与系统[M].北京:科学出版社, 2011.
[5]李玉华, 卢黎歌等.网络世界与精神家园——网络心理现象透视[M].西安:线交通大学出版社, 2002, 1.
[6]庞航宇.实名制:应对不负责任的微博舆论场[J].科技传播, 2012, 7 (上) :18-19.
匿名举报制度刍议 篇3
匿名举报是指不具名或不具真实姓名、使用化名、具“群众”、“知情人”等形式的举报。产生匿名举报的原因是多方面的, 主要有:
(一) 怕打击报复
举报人举报的大多是领导干部, 举报人相对处于弱势地位, 由于现在社会监督体系还不完备, 官官相护、打击报复和穿小鞋的现象还时有发生, 使举报人权利得不到应有的保护, 举报人怕举报的问题没有解决而举报构材料却落到被举报人的手中, 受到打击报复, 因而不敢署名。
(二) 怕举报失实承担责任
举报人对所举报的问题不是本人掌握的第一手材料, 有的仅是凭怀疑或道听途说, 举报人出于公心举报, 但怕举报被查不实后承担责任, 因而不敢署名。
(三) 怕不能够引起重视
举报人怕举报的问题太小, 钱太少, 被举报人得不到处罚, 或者不能引起相关部门的重视, 在举报材料中随意夸大事实, 罗列大量问题, 加大数额。
(四) 为了泄私愤
部分举报人在利益格局调整中成为弱势群体或遇到挫折后因私利得不到满足, 对被举报人有意见、有矛盾, 为泄私愤, 故意制造影响, 夸大情节, 希望被举报人被追究法律责任或纪律处分。
(五) 出于嫉妒
有的人心胸狭窄, 在人事调整或干部任免等与他人竞争中害怕对手超过自己, 于是用匿名举报的方式“暗箭伤人”;有的人因在平时工作中有过“过节”, 于是选择别人在提拔、评先、评优、入党或晋升职称的关键时候进行举报或诬告。
二、匿名举报的弊端
匿名举报现已成为检察机关查处案件的主要来源之一, 在职务犯罪查处中起到重要作用, 但也存在诸多弊端, 主要体现在以下三个方面:
(一) 不利于维护被举报人的合法权益
由于匿名举报在形式上散发范围广, 内容上随意性较大, 后果无人负责, 从而造成对被举报人一些权益上的损害, 有时甚至引起家庭破裂、提拔机会丧失等更为严重的后果。
(二) 不利于案件的查处
由于举报人不详, 就使得案件的查处失去了第一线索, 同时, 由于其内容过于粗糙, 有时失实, 致使调查难度加大, 查实可能性低, 给查处案件带来了诸多不便, 调查取证中往往走弯路, 浪费大量的财力、物力、时间和精力, 甚至贻误战机, 使违法、犯罪分子逍遥法外。
(三) 破坏正常的举报秩序
匿名举报降低了举报人的责任感和举报内容的线索价值, 容易导致重复举报、越级举报的增加, 给受理举报的国家机关增加了负担, 影响了正常举报工作的开展。
三、对待匿名举报的方法
(一) 要区别情况, 认真对待
匿名举报反映的问题简明扼要, 一针见血, 详细具体反映了问题的前后始末过程, 有关部门要抓住问题的关键, 尽快组织人员进行调查。举报反映的问题模凌两可, 反映的问题“或许、可能、据说”, 而且叙述冗长, 无本质内容, 或还有的一信多投, 同时向多个部门反映, 有关部门可作暂时存查, 有的可转有关部门调查了解, 对多方投递的, 可与其他部门共同商量处理办法。
(二) 要注意调查方式, 慎重处理
在调查过程中必须注意调查方式。调查之前要拟定具体的、切实可行的调查方案, 同时在调查过程中要灵活机动, 不能死板教条, 要尽量顾及被举报人员权利, 使其合法权益不受损害, 在问题未查清之前, 很难把握所反映问题真实性的情况下, 不能一开始就认为被举报人一定有问题, 调查中尽量避免对被举报人造成不良影响。
(三) 要细心调查, 善于发掘案件线索
虽然有些匿名举报所反映的问题不十分具体, 但“无风不起浪”, 多数举报所反映的问题都有一定的真实性、可靠性, 为此, 调查人员就必须在调查过程中认真细致, 善于从细微之处寻找蛛丝马迹, 发现问题, 找准问题的突破口, 抓住时机, 查清问题。
(四) 要把握原则, 维护被举报人合法权益
在涉及被举报人干部人事调整或干部任免时, 原则上应作缓查;必需及时调查的, 也要慎重对待, 对查证失实的问题要及时澄清, 要保护被举报人的合法权利、工作热情、积极性。
四、解决和减少匿名举报的对策
(一) 完善举报制度
对署名举报要实行绝密管理, 严格控制举报原件的呈报范围, 举报人相关信息不得传出受理部门, 外转件要回避与举报人相关联的任何内容, 在对举报件开展调查的过程中, 要杜绝任何泄露举报人身份的可能性, 最大程度地保证举报人的安全。在完善制度的基础上, 制定《举报法》, 用法律手段来规范和约束相关职能部门, 保护举报人和被举报人的权利。
(二) 健全监督制度
必须配套相应的监督制度, 以确保保密制度得到一丝不苟地执行, 对打击报复举报人的行为应制定严格的法律法规加以惩处, 以消除举报人的后顾之忧, 确实保障举报人的权利不受侵犯。
(三) 加强宣传教育
提高群众的法律意识, 使之明析权利和义务之间的关系。必须让举报群众明确自己的举报行为是受到法律保护的, 举报身边的违法乱纪现象, 是每个公民的权利和应尽的义务, 从而极大地提高人民群众揭露腐败的的自觉性和积极性。
(四) 落实奖励制度
可追踪的匿名证书 篇4
本文对RFC中提到的可追踪匿名证书(TAC)所使用的密码技术作了总结和概述,RFC是由互联网工程工作小组发布的一系列以编号排定的文件,这些文件收集了有关因特网的相关资讯,以及UNIX和因特网社群的软件文件,这些文件为以x.509为标准的PKI体系提供了详细的技术支持,并通过应用盲签名和门限密码学来保护证书的持有者,防止通过证书链接到证书持有者的真实身份。在实体间的通信信道安全的情况下,TAC具有两个核心特点:匿名性和不可否认性。匿名性是指证书的主体域中使用匿名来标识实体,只有在很严格的条件下才允许匿名链接到用户的真实身份。这点是TAC最重要的一个特点,如果达不到匿名性,那么使用TAC就没有什么意义了。用户可以自己选择证书中包含的匿名,如果这个匿名已经被CA公布,那么,AI可以选择一个随机数作为新的匿名或者停止被公布的这个匿名的使用。不可否认性是指证书的持有者不能否认他参加了证书申请与使用,基于这个特性,一个用户为另一个用户申请TAC是不可能的。
2 PKI中的TAC
在RFC5636中,介绍了基于X.509标准的匿名证书发布方案。通常,发布的基于X.509标准的普通证书的实体域中会使用真实名字,而TAC的实体域中会使用匿名来代替真实名字,因此,就不能暴露证书持有者的真实身份信息。
作为一般的终端用户希望使用这样的匿名证书,因为它具有普通证书的功能,而且还不能由证书链接到用户的真实名字,这点是可行的,因为终端用户的名字对于可信机构去验证证书的真实性通常不重要,它并不同于公司企业所使用的证书,公司名字作为公共信息一般不会链接到个人。但是值得注意的是,TAC不能给用户提供一种完全的匿名,一个权威机构仍然可以得到用户的真实身份信息。
使用TAC来代替普通的证书,TAC通过隐藏真实名字来为用户提供额外的安全保护,为了获得证书,用户像往常一样发起获得证书的程序。为了进行签名过程,用户会从盲签名发布者(BI)那里得到一个匿名,这个符号会被传递给匿名证书发布者(AI)。AI和BI共同证明这个匿名的唯一性和正确性,验证通过后它们使用门限签名方法对证书签名。
为了完成证书的追踪BI保持了实名与匿名间的联系,AI则完成实际的签名。因此,BI知道用户的真实身份,但是AI是不知道的。在这种情况下,BI相当于一个普通的证书注册机构(RA),AI则完成了作为证书颁发机构(CA)的工作。这个模型的前题是RA和CA必须分离,否则就实现不了匿名性。
另外一个需要注意的是在可追踪的匿名证书方案中,一个用户不能为了不同的应用使用同一个匿名来获得不同的证书。这虽然限制了可追踪匿名证书的应用,但却确保了证书不能被滥用。为了不同的应用而申请多个匿名证书,这是可以实现的。一个用户在注册过程中可以申请多个证书,例如证书个数最多为K,BI中设置一个计数器,初始值为K,只有当AI收到K时,BI记录盲签名哈希值。为了防止证书被滥用,BI应该知道证书的个数,而且AI和用户之间也要求更严格的身份认证,来防止黑客获得这些证书的部分信息。
同样也是防止证书被滥用,RFC中也不允许用户自己更新TAC。一个用户允许从CA那获得多个TAC,所以,获得足够的密钥信息应该不成问题。当TAC达到了证书的有效期,考虑到可信实体和用户之间的交互,用户可以申请一个新的证书,使用现有(这个)的证书来链接两个TAC。
3 TAC的发布与追踪
TAC中需要解决的问题是怎样仍然使用X.509标准,但是却可以提供更多的匿名性。为了给证书提供适当的签名又不泄露用户的真实姓名,这里使用了密码学中的盲签名技术。盲签名允许消息发送者先将消息盲化,签名者对盲化后的消息进行签名,消息的接收者对消息去除盲化因子,最后得到签名者对原消息的签名。为了阻止黑客的攻击,同时也为了通过证书追踪到真实的用户,证书的匿名与用户的真实名之间的链接需要分别存储在不同的实体中。
3.1 TAC的发布协议
TAC的发布过程如图1所示。
第1步证书申请者即用户向BI证明自己身份的真实性。BI与RA相似,BI验证用户的真实身份并存储用户的身份信息,同时设置用户的密钥及证书的效期,而且不能由这个用户的密钥链接到用户的真实身份,为此,BI可以向用户发送一个信息,这个信息包含用户的密钥和证书的有效期,并用自己的私有密钥进行签名。
第2步BI通过一个安全信道将签名后的信息发送给用户,用户收到信息之后需要在开始下一步之前验证这个签名,以后由TAC追踪到用户过程中会用到这个信息,用来防止用户不在BI那注册就申请证书。
第3步用户根据通用的标准形式来制定证书申请证书,如常用的PKCS10格式。在申请书的格式中,主体域中应该包含一个用户自己选择的匿名。为了避免主体域名的冲突,这个匿名也可以由CA提供的程序自动生成。然后用户就通过一个安全信道把请求信息发送给AI,而用户从BI那接收到的信息作为这个请求信息的一部份。注意,这个信道不能用于认证用户,因为这会暴露用户的真实身份,减少了匿名性。
第4步AI检查接收到的信息的格式并验证信息中的签名,然后验证证书的有效期,如果是合法的,与最近已存储的合法的信息进行比较,来防止重放攻击。如果主体域名已经被另一个证书所使用,那么AI或者拒绝申请,或者选择一个随机的匿名。AI设置所有的域,包括证书的签名数据,对这个数据计算哈希值,对这个哈希值再进行盲签名。注意,如果想要实现匿名的话,那么BI就不应该知道进行盲签名的密钥对。随后,AI对盲签名后的哈希值进行签名,连同用户提供的信息,并对过双向认证的安全信道发送给BI,AI签名用的证书也应该包括在内。
第5步BI验证AI对盲签名哈希值的签名,以及自己的签名。然后验证匿名确保它以前没有被用来申请过证书。为了实现TAC的追踪,这个匿名是与数据库中用户的信息相联系的。然后BI使用自己的门限签名密钥对盲签名哈希值进行签名,在这之后,用自己的签名密钥对结果进行签名,然后把它发送给AI。
第6步AI验证BI对盲签名哈希值的签名,然后AI对结果去除盲化因子,最后使用自己的门限签名密钥来完成对TAC的签名。TAC与匿名间的关系会被存储,以便以后由TAC追踪到用户。最后,AI把TAC发送给用户,现在用户可以使用TAC了。
3.2 TAC的追踪协议
当发现证书被滥用时,为了获得证书持有者的真实身份信息,一个可信机构通过分别与AI和BI通信的方法启动证书的追踪协议,如图2所示。
Step A首先可信息实体向AI提供匿名证书被滥用的证明。现行的IP地址系统很大程度上取决于服务提供商为它的用户提供的保护有多好。对于CA而言,规则应该更严格,因为公布证书的匿名会比公布用户的IP地址泄露更多的信息。之后,TAC就由权威机构提供给AI,然后,AI撤销TAC并添加到证书撤销列表(CRL)中。
Step B接下来,AI搜索与TAC相对应的匿名,并通过双向认证的安全信道把它发送给可信实体。
Step C可信实体把匿名发送给BI,并且要求得到用户的身份信息。BI可以根据协议独立验证可信实体的投诉的正确性。
Step D BI验证匿名中它自己的签名,检索TAC证书用户的身份信息并把身份信息发送给可信实体。
4 结束语
新闻批评中匿名消息源的使用 篇5
关键词:新闻批评,消息源,使用
所谓匿名消息源, 就是新闻线索或者事实的提供者考虑自身安全或新闻的敏感等因素而不愿意自己的身份公之于众, 要求记者在报道中不要提及其名或所在单位。而匿名消息源在报道中往往以“据消息灵通人士说”, “据专家说”, “记者从有关方面获悉”, “业内人士透露”等等形式出现。 (1)
由于新闻批评的特殊性, 对某人或者某集团的利益有直接危害。曝光对于消息源来说是有危险存在的。同时, 作为消息源, 如果确定自己的安全是被保障的, 在提供线索时也会更加详尽。
但是匿名消息源如果处理不当就会产生一些问题。如记者并没有进行深入调查, 就会损害新闻的真实性;一些缺乏道德的媒体会用“保护消息源”做挡箭牌拒不承认假新闻, 给受害者造成“有苦说不出”的困境;而且消息来源的匿名性直接导致了受众对新闻报道的真实性的怀疑。
虽然根据美联社及其附属机构美联社执行编辑协会 (APME) 对419家美国报纸的调查, 有1/4的编辑称他们决不会使用匿名信息作为消息源。 (2) 但是从新闻批评的特殊性来说, 匿名不可避免, 所以在使用之前一定要进行全面的思考。
(一) 保护匿名消息源
英国广播公司 (BBC) 在Editorial Guidelines中要求:虽然一些记者因为保护消息源入狱, 但是这仍然是新闻工作中的一个最重要的原则。当我们承诺要保护消息源匿名性的时候, 我们必须遵守它, 包括拒绝法庭的要求;我们必须保证当必须进行匿名的时候, 我们的保护是有效的, 保证声音和图像都经过了处理, 让人难以辨认。
水门事件中的“深喉”就是一个成功的例子。
“水门事件”在美国历史上的影响力非同一般, 它迫使尼克松成为美国历史上首位辞职的总统, 民众对总统的看法和印象开始发生某种改变, 总统的权力此后开始受到更多的限制和束缚。声名远播的伍德沃德成了《华盛顿邮报》的招牌, 被誉为“新闻记者之王”。
而尽管人们诸多猜测, “深喉”的身份始终是个谜, 直到2005年5月31日, 一个91岁高龄的老人在隐匿身份33年后终于向外界公开, 他就是“深喉”、美国FBI前副局长马克·费尔特。2008年12月8日, 95岁的“深喉”在睡梦中辞世。在如此重大的事件之后仍旧可以保持平凡人的生活, 在安详中告别这个世界, 得益于媒体对秘密的遵守。
无论是从新闻的影响力来说, 还是对消息来源的保护, “水门事件”的报道始终是调查性新闻中的典范。
(二) 注重核实信息
匿名消息源最大的危害就是其可能发生的对新闻真实性的违背, 从而导致虚假新闻的产生。由匿名消息源所提供的信息, 如果记者不去进行核实求证, 又不想失去获得独家新闻或重要新闻的机会, 那么假新闻就会不可避免地产生 (3) 。
在2005年5月9日一期的《新闻周刊》披露了美军在关塔那摩基地中为了迫使嫌疑犯招供, 将《古兰经》冲入抽水马桶的事件之后。阿富汗、巴基斯坦等地接连爆发大规模示威活动, 抗议美军亵渎《古兰经》, 活动中已有多人死亡。事后, 原始报道编辑马克·惠特克表示, 《新闻周刊》的报道中有失实的地方, 消息源后来改口称, 他不敢肯定自己是在军方的调查报告中看到这些内容的, 有可能是在别的文件中见过。
这一事件迫使美国媒体开始关注对匿名消息源的使用问题。作为美国最主要的通讯社, 美联社对使用匿名消息源也有严格的规定。第一, 匿名消息提供的材料必须是对新闻至关重要的信息, 而非观点;第二, 信息只有在匿名情况下才能被披露;第三, 信息必须是可靠且准确无误的。只有在满足这些条件的时候, 美联社才考虑使用匿名消息源 (4) 。以保证消息的准确性, 对媒体和受众负责。
(三) 遵守职业道德
如果以“保护消息源”作为对事情负责的挡箭牌, 媒体也同样失去了道德的准则。新闻要以受众为根本出发点, 关注受众的需求, 也要对传播给受众的信息负责。
在美国洛斯阿拉莫斯核武器实验室工作的华裔科学家李文和, 称因被怀疑触犯安全条例, 为中国盗取核武情报被捕。3月6日《纽约时报》率先援引匿名消息来源报道该案, 使事件明显升级。案件几经波折, 随着事实真相公之于众, 李文和洗清了加在他身上的58项指控。
但是美国主流媒体坚定的认为, 有关李文和案的报道在准确性上是“没有问题”的。之所以同意做出赔偿, 是为了避免其记者被判入狱, 交纳更高处罚金, 最重要的是保护“新闻来源”。
许多科学家和法律专家都认为, 李文和是美国一部分人种族歧视和反华情绪的牺牲品。美国五家新闻媒体的五名记者仍然拒绝透露消息来源, 这意味着他们有难言之隐, 或本身所报道的事实无法得到证实。其中对“消息源的保护”俨然成为美国主流媒体拒绝认错的“挡箭牌”。
综上所述, 由于新闻批评的特殊性, 在报道中运用消息来源要注意防止片面导致的报道不平衡或报道漏洞;在匿名消息源的使用上, 要注意对消息源的保护, 对信息的核实。同时要遵守职业道德, 切不可用“保护匿名消息源”作为对假新闻负责的挡箭牌。这些, 是对消息源的负责, 对受众的负责, 以及对媒体的负责。■
参考文献
①③张敏:《使用匿名消息源应注意什么》, 《青年记者》2006年第4期
一种新的基于身份的匿名加密 篇6
早在1984年Shamir[1]就提出了基于身份加密IBE( Identitybased Encryption) 的思想。在IBE方案中,公钥基础设施PKI( public key infrastructure) 无需分发公钥证书,用户的身份转化成n长字符串后可以直接作为公钥,私钥生成中心PKG( private key generator) 为每个用户生成各自的私钥。例如用户Alice( A)给用户Bob( B) 发加密的电子邮件,B的邮件地址是“Bob@163. com”,A利用系统确定算法,根据“Bob@ 163. com”计算出一个公开钥加密邮件即可。当B收到由A发来的加密邮件后,B与一个第三方 ( 密钥服务器) 联系,向服务器证明自己的身份,并从密钥服务器获得解密用的密钥,就可以阅读邮件了。该过程如图1所示。由此可见基于身份的加密简化了公钥管理过程,避免了传统公钥密码体制中因管理公钥证书而带来的各种弊端。
尽管Shamir早在上世纪80年代就提出了IBE的思想,但他当时只构造了一个基于身份的签名方案IBS( identity-based signature) ,而没有提出一个确定的IBE方案。直到2001年才由Boneh以及Cocks[3]等人用不同的方法独立提出了两个IBE方案。其中Boneh和Franklin的方案基于有效的可计算双线性映射点群构造,并且证明了其安全性在随机预言机模型下达到了适应性选择密文安全,同时定义了IBE系统中的语义安全性。Cocks[3]利用一种基于大合数的二次剩余问题构造了一个IBE方案,其方案在随机预言机模型下构造,安全性依赖于因子分解困难问题。不过其效率比Boneh和Franklin的方案低很多,所以很少被人注意。
2002年Gentry等[5]在标准模型下基于双线性DH假设构建了第一个分层HIBE( Hierarchical Identity Base Encryption) 方案,解决了PKG工作负担过重的问题。2007年Abdalla[7]在前人工作的基础上给出了一个密文大小和效率高低之间折中的HIBE方案,并提出了具有固定密文大小的基于身份的广播加密方案IBBE( identity-based broadcast encryption) 。2005年Waters提出了一个在标准模型下选择性明文安全IND-ID-CPA( indistinguishability - identity-chosen plain-text attack) 的IBE方案[8],方案的效率很高,但是公开的系统参数非常长。在这之后,大量的IBE方案都是利用双线性映射构造的。
本文结合Waters IBE方案,在合数阶双线性群下,基于双线性DH假设构造了一个新的匿名IBE方案。该方案中,由密文不能得到接收者的任何身份信息,从而保护了用户的隐私。最后对方案的效率和安全性进行了分析证明。
1 预备知识
本文使用合数阶双线性群[9,10]。G和G1是两个阶为N =p1p2的循环群。这里的p1、p2是不同的素数,一个双线性映射e为: G×G→G1,e有以下性质:
( i) 双线性对于所有的u,v∈G,a,b∈ZN,可以得到e( ua,vb) = e( u,v)ab。
( ii) 非退化性映射不把G×G中的所有元素对映射到G1中的单位元。即当g是G的生成元时,e( g,g) 是G1的一个生成元。
( iii) 可计算性对于所有的u,v∈G有一个有效的算法来计算e( u,v) 。
2 基于身份的加密
2. 1 基于身份的加密定义
一个基于身份 的加密机 制由Setup、Extract、Encrypt和Decrypt四个多项式时间概率算法组成。
Setup输入安全参数k,返回系统公开参数params和系统主密钥master-key。系统公开参数包括: 有限的消息空间M的描述,有限的密文空间C的描述。系统的公开参数params对外公布,秘密保存系统主密钥master-key,仅由PKG所知。
Extract输入params、master-key和一个任意的c = Encrypt( param,ID,m) ,返回对应的私钥d。这里ID为一个作为公钥的任意长字符串,d为其对应的私有的解密私钥。Extract算法生成公钥的对应私钥。
Encrypt输入params,ID和明文消息m∈M,输出密文c∈C。
Decrypt输入params,密文c∈C和私钥d,返回明文消息m∈M。
这些算法必须满足一致性条件,即当d是由Extract算法生成的公钥ID对应的私钥时,有下述计算成立: 对于任意的m∈M,Decrypt( params,c,d) = m,c = Encrypt( param,ID,m) 。
2. 2 复杂性假设
本文构造的IBE方案基于BDH困难假设[12]。
BDH假设: 给定 ( P,aP ,bP ,cP ) ( a,b,c∈Z*q) ,计算w =e( P,P)abc∈G1,其中e是一个双线性映射,P是G的生成元,G,G1是阶为素数N的两个群。设算法A用来解决BDH问题,其优势定义为τ,如果Pr| A( P,aP ,bP ,c P) = e( P,P)abc|≥τ。
2. 3 安全模型
Gentry[13]定义了选择密文攻击下匿名IBE方案的安全模型。安全性证明通过下述游戏进行,其中有两个参与者: A为敌手,B为挑战者。
Setup B执行Setup算法并把系统参数params发送给A。
Phase1 A适应性的进行下列询问:
Extract query < ID > : B对身份ID执行Extract算法,并把对应的私钥返还给敌手A。
Decrypt query < ID,C > : B首先对身份ID执行Extract算法,然后用生成私钥解密密文C,并把明文M或出错信息返还给A。
Challenge: A提交身份ID0、ID1和消息M0、M1给B,其中ID0、ID1都没有在阶段1中执行过提取询问,B随即选择j,k∈{ 0,1} ,计算C*= Encrypt( params,IDj,Mk) ,并把C*返还给A。
Phase2 A继续适应 性地询问,但是不能 对ID0、ID1、< ID0,C*> 和 < ID1,C*> 进行提取和解密询问。
Guess: A输出j',k' ∈ { 0,1 } ,如果j' = j,k' = k则A赢得游戏。
我们称A为匿名的选择性密文安ANON-IND-ID-CCA2( anonymous- indistinguishability-identity-adaptive chosen ciphertext attack) 敌手,其优势定义为
定义1如果所有t时间的ANON-IND-ID-CCA2[14]敌手在经过q次询问后,都不能以大于ε的优势赢得上述游戏,则基于身份的匿名加密方案是( t,q,ε) ANON-IND-ID-CCA2安全的。
在上述游戏中,如果敌手不能进行解密询问,则被称为ANON-IND-ID-CPA敌手。
定义2如果所有t时间的ANON-IND-ID-CPA敌手在经过q次询问后,都不能以大于ε的优势赢得上述游戏,则基于身份的匿名加密方案是( t,q,ε) ANON-IND-ID-CPA安全的。
3 方案描述
本节构造了一个基于身份的匿名加密方案。方案过程如下:
提取PKG选择r∈ZP,则用户u的私钥为:
加密已知消息M和身份ID,随即选择k∈Zp,则以身份ID加密消息M所得的密文为:
解密接收者得到密文C = ( C0,C1,C2) ,利用自己的私钥dID= ( d0,d1) 来计算:
正确性
4 安全性分析
本文的安全性证明是基于Brent Waters[8]中的证明方法。
定理1若:假设成立,其中k∈( 0,n) 。那么我们的IBE方案是( t,ε,q) ANON - IND - ID - CPA安全的。
证明假设存在一( t,ε,q) - ANON - IND - ID - CPA敌手要攻击我们的方案,我们构造一个算法B来解决BDH问题。B将进行BDH挑战( g,ga,gb,gc,Z) ,并且输出一个猜测β',看挑战是不是一个BDH元组。
接下来,对于用户ID = ( ui) ,i∈v = { 1,2,…,n} 为了方便分析定义了以下三个函数:
和一个二值函数:
由此可以看出,C*是对Mγ的有效加密。否则,我们在G1中随机选取元素Z,在这种情况下,对于B选取的γ在密文中得不到任何信息。
Phase2A继续适应性地进行询问,但是不能对ID0、ID1进行提取询问,也不能对 < ID0,C*> ,< ID1,C*> 进行解密询问。
Guess: A输出j',k' ∈{ 0,1} 。如果j' = j,k' = k ,则敌手赢得游戏。
5 效率分析
方案的主要特点是基于合数阶双线性群构造的,因此它密文长度比较短,私钥是依赖于接收者集合,所以获得了一定的安全性。另外,加密阶段引入两个随机元T1,T2∈Gp2,附加到密文C = ( C0,C1,C2) 中得到C = ( C0,C1×T1,C2×T2) ,相当于对密文进行了伪装,使得敌手无法分辨出是那个用户的信息,从而保护了用户的隐私,并对正确性也做了验证。表1给出了本方案与一些IBE方案在安全性和效率等方面的对比。
由表1可以看出,文献[13]基于ABDHE( aug- mented bilinear Diffie- Hellman exponent) 假设可证安全,但实际上ABDHE问题的难度低于BDH问题,文献[14]虽然公钥长度为O( 1) ,但是仅在selective-ID模型中可证安全。而文献[8]和文献[12]虽然有短的密钥长度,且为adaptive-ID安全模型,但是它不具备匿名性。因此综合来看本文在安全性方面和匿名性方面都有优势。
6 结 语
目前,越来越多人从实际应用的角度考虑IBE方案,目的是构造效率更高、更加安全的方案。例如: 匿名的IBE方案、分层方案、前向安全方案。本文基于BDH假设,在合数阶双线性群下构造了一个基于身份的匿名加密方案。方案的密文长度比较短,私钥依赖于接收者集合,有较高的安全性。最重要的一点是方案具有匿名性,保护了接收者的身份信息。在今后通信技术高速发展的时代,必然对基于身份加密设计提出更高的要求,所以,基于身份的匿名加密在未来仍是一个值得深入研究的密码分支。
摘要:针对目前基于身份的加密方案大都不是匿名的,结合合数阶双线性群的性质,同时基于双线性DH假设构造了一个新的基于身份的匿名加密方案。结果表明,方案的安全性不依赖于随机预言机,密文和私钥均为固定长度。最重要的一点是方案实现了匿名性,由于密文不能得到接收者的任何身份信息,从而保护了接收者的隐私。最后分析了方案的效率,并和类似方案进行了对比。
匿名机制 篇7
近年来, 位置服务极大地推动了人们生活质量的提高, 使得人们对于基于位置服务依赖程度逐渐增加。用户在享受服务同时可能会将自己的位置信息暴露出来, 例如, 利用连续的位置信息将形成用户轨迹, 通过对轨迹的分析, 攻击者能找到用户现在、过去的位置以及对应家庭地址、工作地点和生活规律, 甚至可以从日常运动轨迹分析出用户的行为模式和生活习惯等信息。目前已经有的轨迹隐私保护技术大致有3种[1,3,4,5,7,8,9,10]:基于假数据、泛化法和抑制法的轨迹隐私保护技术。假数据可以通过某些途径恢复用户的真实轨迹, 如果扩展的点扰动过大则可以通过数学方法恢复出大致轨迹。抑制法在密度比较大的区域还是很容易通过其他位置恢复出轨迹, 推断出可能到达过的位置。泛化法是通过分段或者框, 在框中隐藏用户请求服务, 这样恶意者就不能确定在框中到底是谁请求的服务。其中, 由于泛化方法可根据不同环境和位置进行自主配置, 具有良好的柔韧性, 得到了广泛的应用。
文献[12]提出了基于假数据混合区域法, 基本思想主要是利用假名来混淆攻击者, 使得无法确定用户的真实轨迹。在算法中定义了一个混合区域, 在混合区域中的用户不能发送位置信息, 是无法跟踪的位置空间, 在进入混合区域之前所有用户都分配假名, 当进入混合区域之后用户之间进行假名交换, 当离开混合区域时则使用新的假名进行通信, 从而使得在混合区域中进入和出去之后无法确定用户的确切身份, 攻击者难以分辨原来所跟踪的用户。该方法需要预先定义假名交换空间区域, 一般需要在轨迹中的敏感位置设置混合区域, 且区域不能过大, 否则影响服务质量, 不能很好地满足服务请求的实时性要求。
文献[2]提出泛化法的分布式匿名方法Cloak P2P, 所有移动用户组成一个点对点网络, 通过k匿名框和转发完成匿名。系统的关键是形成k匿名框, 首先由用户发送服务请求, 然后再以用户为中心形成半径为r的区域, 在此区域中如果找到k个用户则形成k匿名框, 否则以区域内用户在进行区域扩展, 直到找到k个用户形成k匿名框。然后在形成的k匿名框中随机选择一个用户进行服务请求转发完成服务请求。由于请求发送用户位于区域中心, 若攻击者知道原理, 就很容易以大于1/k的概率推断出用户位于匿名框的中心位置区域, 而且当区域中请求服务的用户密度过小会使匿名框增大, 匿名服务时间增长, 影响位置服务效率。本文是基于泛化法的基础上并结合背景地图模型, 预先构造背景地图模型并实现实时匿名服务请求, 在构造匿名框时采用假数据实现k匿名不再受到区域密度限制, 并以此提出了基于语义匿名代理的轨迹隐私保护方法SAP。
1 背景知识与定义
本节将介绍与本文密切相关的用户位置隐私和相关问题定义, 轨迹匿名系统的设计主要从防止速度关联攻击和轨迹语义匿名两个方面来实现, 轨迹语义匿名首先需要构造抽象城市模型, 故而下面就速度关联攻击和抽象城市模型进行定义。
定义1 (速度关联攻击) 若攻击者知道在匿名区中所有用户位置, 而且其中某个用户u在不断地发送位置请求服务, 则根据匿名算法思想则会在用户u的周边构建一个匿名区域Ri (i=1, 2, 3, …) 。攻击者不断通过快照截获了连续的匿名区域Ri, 计算出用户大致所在区域范围与快照区域相交范围确定用户位置, 根据数据分析出到底是谁在发送请求, 而后绘制出基本的轨迹。
定义2 (抽象城市网络模型) 是带有语义的无向带权图, 定义如下:
G= (V, E, den, pt, et, num)
其中, V是顶点集合, E是非空的边集合, den是顶点密度, pt是顶点类型, et表示边的权重, 是从顶点u到v的最短时间。
通过实现抽象城市网络模型, 实现语义匿名。在构造区域时需满足语义匿名门限要求τ, 即对于每个顶点, 系统为每种类型的位置点设置了顶点密度den和顶点类型pt, 对于每个构造的区域需要满足条件是隐私门限边界den (pti) /denr (*) ≥τ (den (pti) 表示位置pti的密度, denr (*) 表示所在区域的密度) , 这样所形成的抽象城市模型区域均满足该门限, 若用户当前请求位置在区域r, 则获取当前用户在区域中敏感位置的概率小于τ, 从而保护了用户的语义轨迹隐私。
2 轨迹匿名系统
系统模型中每个用户都具有定位能力的移动设备, 这些设备都有唯一的网络标识 (如IP地址) , 而且还具有一定的接入网络与信息处理的能力 (2G/3G, GPRS或WIFI等) 。而且网络中的每个用户相互之间可以建立点对点的通信。图1描述了语义轨迹匿名的系统结构。
图1主要包含:移动客户端、服务提供商和认证服务器。每个用户可以自定义自己的隐私属性, 包括两个参数k和PT={ (pti, τi) , i=1, 2, …, n}, k表示需要至少k个匿名用户所构成匿名集合, PT表示针对每种位置类型用户自定义的隐私门限, 其中{pti, i=1, 2, …, n}是系统预先定义好的位置类型。如果用户没有设置两个参数, 系统会使用默认系统参数。
在系统结构中, 每个用户在网络中拥有相同的地位, 能够建立点对点通信。其中移动客户端通过SAP-tree的方式进行组织, 每个用户都是树的叶子节点。其进行语义匿名的过程: (1) 用户u进行认证, 认证成功则将自己的位置映射到语义地图模型并返回簇头地址, 并将二维地址通过Hilbert转化为一维地址。 (2) 通过簇头及插入索引操作将用户组织到SAP-tree中。 (3) 检测自己的位置是否在敏感区域, 如果是则进行时间匿名[12], 时间匿名返回发布服务请求时的抽象城市模型的区域和发布时间, 否则不需要进行时间匿名。 (4) 用户通过索引操作自组织k个用户形成k匿名集。 (5) 随机选取相同区域的用户进行转发, 并将结果集返回簇头。 (6) 簇头将结果集转发到用户节点并进行求精。
3 分布式索引结构
分布式索引结构是为实现轨迹匿名系统而提出的一种组织方式, 是将单个移动用户组织到SAP-tree形成点对点通信, 不需要中心服务器结构, 通过该索引结构就可以实现用户动态加入和离开网络、构造k匿名框、代理转发和基于抽象城市网络模型的语义轨迹匿名。而负载均衡能使该系统中的每个加入节点具有相同的负载, 不需要额外的代价即可实现轨迹隐私的保护。
3.1 索引结构的特性
分布式匿名结构是基于树的索引模型, 称为SAP-tree。如图2所示SAP-tree共有12个节点共组成了8个簇。
(1) 簇头:簇表示多个节点组成的一个自制组织, 簇头就是由簇成员推举出来。每个用户都属于叶子节点中的一个簇, 且簇之间不相交, 对于簇C其簇头表示为head (C) , 簇头 (簇头在图示中表示为大写) 存储簇中所有用户索引, 并进行相关的索引操作。通过簇头递归向上形成一颗SAP-tree。一个簇头可能被包含于多层, 表示为Cui, 第i层包含用户u。
(2) 簇操作:每个簇都有相关的状态信息, 对于分布式结构来说只需要簇头维护簇内状态信息, 但为了其健壮性会将簇头的状态信息复制到簇内所有成员。簇内和簇之间的叶子节点都是按照H (u) 顺序排序。对于非叶子节点簇内元素有m个键, 并对应m个指针指向下层簇的簇头节点, 其中m个键用于完成索引搜索。当有新的节点加入, 离开或者更新都需要簇头更新相关簇的信息。树最大层次为logαN (N为节点数量) 。簇大小有一定限制范围, 每个用户在一层只在一个簇中。簇最大搜索深度不超过logαN, 每个簇成员所存储的簇状态信息不超过O (αlogαN) 。
3.2 索引操作
图3为索引操作示意图。
(1) 新用户加入与离开
每当有新用户u加入网络的时候就需要进行插入操作, 主要经过以下几个步骤:u通过认证服务器进行认证, 认证成功返回SAP-tree的入口地址 (root IP地址) ;获取用户当前位置并Hilbert化;插SAP-tree。用户离开只需将其移除并更新簇状态信息。
如图3 (a) 和 (b) 所示, 用户un要加入SAP-tree, 其Hilbert值为40, 首先un会和uf建立连接并更新Cf0簇的count=8, uf将un请求转发给ud并更新Cd1簇的count=4, 最后将un加入到ud之后就完成了插入操作。如果插入过后簇成员个数超过3α就会触发簇分裂操作并产生新的簇和簇头, 并更新相应簇头信息。如图3 (c) 和 (d) 所示, ub被标记离开网络, 此时簇成员个数为1已经低于α=2, 所以触发合并操作, 从Cd2簇中借uc加入Ca2簇中, 同时更新Cd2的count=3而Ca2的不变, 同时通过Cf1簇头uf向上通知Cf0更新count=7。
(2) 构建K匿名框
在构建K匿名框操作操作时, 为了防止速度关联攻击, 系统将地图模型区域化和时间匿名算法进行结合。故而在进行K匿名框构造时, 必须保证当前匿名框中的用户都在请求服务用户相同的区域中, 如果当前区域中用户数量未达到K系统采用假数据构造K匿名框。主要步骤:u发出请求并逐层向上由簇头转发请求到root;确定K个用户所在树中的范围并转发到各个簇头;各簇头找到各簇中节点后形成匿名框;如果在区域中的个数未达到K, 则触发假数据算法, 产生假数据并一起构成K匿名框;将K匿名框转发到u。
如图3 (e) 和 (f) 所示, un提出K=4匿名框请求, 然后un将请求转发到簇头节点ud, 在到uf和ui (实线箭头表示) , ui根据在簇头中的区域范围a (324) , d (325) , f (325) 从而给簇头uf, ud发送匿名请求 (虚线箭头表示) , 并将匿名集合结果转发给簇头uf, 由于集合大小以及达到要求故直接转发到un, 完成构造K匿名框的过程。
(3) 簇头轮询机制
簇头轮询机制是为了实现SAP-tree的簇头负载均衡而设计的平衡机制。簇中每个成员都有机会成为簇头, 以及被提升为其低层簇头, 在不同层之间进行轮换。要实现簇头轮询机制需要设置一个负载门限PT (pressure threshold) 表示服务次数。当PT>Max PT即进行簇头轮换, 其中Max PT为系统参数。
如图3 (g) 和 (h) 所示表示一次簇头轮询。这里为了更加明确表示簇头轮询机制只是写出节点名字。图3 (g) 表示SAP-tree的原始状态, 此时uf触发门限, 启动簇头轮询, 首先从root开始从Cf0中选择ui作为新的簇头;然后沿着uf往下到第一层Cf1, 并从中选择ud作为新簇头同时将ud提升到第0层替换uf;最后同样的方法将uj作为新簇头并提升到第1层, 图3 (h) 表示经过轮询机制之后最终的状态。
3.3 代理转发
当完成K匿名框构造之后不由用户自身发送位置服务请求, 而是使用其他用户代理请求服务, 这样降低了用户与位置的关联性, 使得攻击者无法区分位置与用户的关系, 保护了轨迹信息。代理步骤:从K匿名框中随机选择非假数据的用户u作为转发对象;当前用户将构造好的K匿名框和请求一起发送给u;u将请求发送到位置服务器;位置服务器将结果集返回给当前用户所在簇头;簇头将结果发送到个簇成员, 由用户自身完成查询结果求精。
对于SAP-tree和地图模型的语义代理轨迹隐私保护方案基本思想, 一方面通过地图模型和时间匿名完成语义轨迹匿名, 另一方面使用了代理降低用户与位置的关联保护轨迹隐私。而且对于分布式匿名系统内部的通信是加密的, 即便是簇头内部通信是被攻击者截取也很难将通信信息还原。在转发时使用了K匿名框结构, 从而使得用户在转发时被识别的概率为1/k, 这样有助于防止恶意的服务获取用户位置有防止跟踪的发生。在SAP-tree中簇头只是负责维护整个簇的状态信息不存储簇成员的具体位置信息, 即便是簇头信息泄露也不能确定簇成员的位置。
4 实验结果与分析
实验在Windows XP环境下进行平台的搭建, 利用了PeerSim[10]仿真平台进行仿真。
在SAP系统中, 主要思想是利用代理请求阻断了前后位置的相关性并结合语义匿名从而达到轨迹隐私的目的。在系统中还专门考虑了速度关联攻击的情况, 不仅能使用户在享受服务时能实现k匿名而且针对k匿名无法防御语义泄露情况下实现与模型地图的结合实现语义匿名。本章将通过系统仿真来实现来测试系统的有效性并通过和Cloak P2P[2]结构进行比较说明语义匿名的有效性。
4.1 实验环境与参数
系统使用Thomas Brinkhoff[6]路网数据生成器生成基本位置数据, 用户移动速度限制范围在18~68 km/h, 对于上述的城市网络中将生成1 000条轨迹, 每条轨迹含有100个节点以模拟基于位置服务的请求, 每条轨迹平均运行一个小时。匿名集k的范围在5~50。最后通过和Cloak P2P[2]比较。
4.2 实验结果分析
为了说明系统对语义匿名的有效性和代理请求的优点, 系统假设了网络环境是稳定的, 没有用户节点在服务请求过程中因网络故障等原因无故离开网络, 系统测试了语义匿名的强度, 并与Cloak P2P[2]系统进行了比较。
考虑到实际情况, 设置有5K用户请求服务并且请求服从齐夫分布且θ=0.8。为了体现匿名效果系统和Cloak P2P针对中心k匿名攻击进行了比较, 设用户u是距离k匿名框中心最近的用户, 如图4所示u被攻击者识别的概率。理论上, 如果使用了k匿名方法构造请求框, 则被识别出的概率为1/k (虚线表示) , 也就是说如果实际算法如果能抵御k匿名攻击u被识别概率曲线应该在虚线之下。Cloak P2P当k≥8时就不满足k匿名的要求。例如当k=25时, u被识别的概率就达到9%是允许概率1/k=4%的两倍, 当到k=75时被识别的概率是12%是1.3%的12倍。但是在SAP系统满足k匿名的要求, 因为使用了k匿名框每次请求至少包含了k个用户的集合, 故而每次被识别的概率为1/k。而Cloak P2P虽然使用了k匿名, 但是算法基于空间扩展算法, 是以请求用户为中心向周围扩展, 故而很容易判断出匿名框中心很小范围能可能就是发送请求用户, 故而容易被中心k匿名攻击所识别。
如图5所示速度关联攻击。实验中考虑到极端情况, 攻击者根据用户背景知识获取到用户的运行速度v和运动方向, 以及当前用户u的前一次服务请求的匿名框和现在服务的匿名框 (实际攻击者很难获取) 。根据前一次用户的请求匿名框和运行速度, 攻击者能断定出当前用户所在范围。用户的请求服从齐夫分布且θ=0.8, 上面的实验中已经证明系统能抵御中心k匿名攻击, 识别出请求用户的概率仅为1/k, 能保证k匿名。而且SAP针对速度关联攻击专门设置了时间匿名, 能保证速度关联攻击时用户以低于1/k的概率被识别, 在k=25时, 被识别概率为2%是正常识别的1/2, 能有效防护速度关联攻击。而Cloak P2P没有针对速度关联攻击进行设计, 而且结合k匿名攻击则使得泄露的概率逐渐增加, 当k=25时泄露概率是1/k=4%的2.5倍。
5 结语
本文研究了基于位置服务中轨迹隐私保护问题。简述了当前中心服务器结构的缺陷性, 不能满足可信性的需求, 从而提出SAP的服务器结构, 取消了使用中心匿名服务器, 取而代之的是使用基于语义的代理请求并结合背景地图模型的方法, 并有效地提升了轨迹语义匿名隐私效果, 后继工作中主要是着重提高系统的服务效率。
摘要:位置服务中隐私保护非常重要, 移动设备的不可靠性往往会泄露个人轨迹数据等秘密信息。基于此提出新的轨迹隐私保护方法——基于语义匿名代理SAP (Semantic Anonymity Proxy) , 从传统轨迹匿名时使用的中心匿名服务器可能不可信为突破口, 取消使用中心匿名服务器, 使用基于背景地图模型的语义匿名和代理请求的方法实现基于位置的服务。在基于真实与模拟数据的测试中, 在同CloakP2P比较时显示了其在轨迹隐私保护的有效性和服务的优质性。
关键词:轨迹隐私,位置服务,匿名代理,语义
参考文献
[1]霍峥, 孟小峰.轨迹隐私保护技术[J].计算机学报, 2011, 10 (10) :254-262.
[2]Chow C Y, Mokbel M F, Liu X.A Peer-to-Peer Spatial Cloaking Algorithm for Anonymous Location-based Services[C]//ACM International Symposium on Advances in Geographic Information Systems, ACM Press, New York, 2006.
[3]Luper D, Cameron D, Miller J A, et al.Spatial and temporal target association through semantic analysis and GPS data mining[C]//Proceedings of the 2007 International Conference on Information&Knowledge Engineering.Las Vegas, 2007:251-257.
[4]Terrovitis M, Mamoulis N.Privacy preserving in the publication of trajectories[C]//Proceedings of the 9th International Conference on Mobile Data Management (MDM’2008) , Beijing, 2008:65-72.
[5]Abul O, Atzori M, Bonchi F, et al.Hiding sensitive trajectory patterns[C]//Proceedings of the 7th IEEE International Conference on Data Mining Workshops (ICDMW’2007) .Singapore, 2007:693-698.
[6]Brinkhoff T.A framework for generating network-based moving objects[J].An Int Journal on Advances of Computer Science of Geographic Information Systems, 2002, 6 (2) :153-180.
[7]Yunxia F, Peng L, Jianhui Z.A mobile terminal based trajectory preserving strategy for continuous querying LBS users[C]//IEEE International Conference on Distributed Computing in Sensor Systems, Hangzhou, China, May 2012.2012:92-98.
[8]Gruteser M, Grunwald D.Anonymous usage of location-based services through spatial and temporal cloaking[C]//MobiSys, 2003.
[9]Gabriel C, Panos K, Spriros S.MOBIHIDE:A mobilea peer-to-peer system for anonymous location-based queries[C]//Proceeding of the 10th international conference on advances in spatial and temporal databases (SSTD’2007) .Berlin, 2007:221-238.
[10]Alberto M, Mark J.PeerSim:A scalable P2P simulator[C]//Proc.of the 9th Int.Conference on Peer-to-Peer (P2P’09) , Seattle, WA, 2009:99-100.
[11]赵东青, 李雪瑞.LBS中位置及语义的研究[J].武汉大学学报:信息科学版, 2006, 31 (5) :458-461.
【匿名机制】推荐阅读:
匿名举报06-16
匿名算法08-25
K-匿名算法07-07
匿名散文诗05-21
仅凭着一封线索简单的匿名举报信05-19
论国有林区经济发展的微观机制-市场机制08-18
留人机制07-03
制定机制07-15
传播机制07-17
规避机制07-17