[发明专利]基于环形架构的匿名通信网络的构建、消息转发方法

说明书

本发明公开了一种基于环形架构的匿名通信网络的构建、消息转发方法，所述消息转发方法包括：选择匿名通信网络中的Routing环中的一个节点，作为阶段路径头节点；利用该节点的公钥加密阶段路径参数、待转发的消息内容、下阶段路由信息后发送给阶段路径头节点；阶段路径头节点利用私钥对接收的信息进行解密，在确定Routing环中的转发节点后，利用分别与各转发节点共享的对称密钥将解密得到的信息进行层级加密，将层级加密的信息通过各转发节点传递，由最后一个转发节点根据解密出的下阶段路由信息将所述消息内容转发至环外。应用本发明能够实现支持多用户的链路复用，快速的流量叠加，可以有效发挥大节点的高带宽、高速处理能力。

技术领域

本发明涉及匿名通信技术领域，特别是指一种基于环形架构的匿名通信网络的构建、消息转发方法。

背景技术

网络匿名通信是一种通过采用消息转发、数据加密、流量混淆等措施来隐藏通信内容及关系的隐私保护技术。网络匿名通信技术主要应用于匿名电子邮件系统、匿名网络存储系统、匿名发布系统、匿名Web浏览系统等。目前，存在以下几种网络结构：

1、基于虚电路(Circuit-based)的网络结构，其是低延迟网络，通信双方的往返消息沿着同一条路径传输(TCP连接链路复用)。链路由发送者创建，链路上每个节点的角色不是对等的，入口节点和出口节点分别知道发送者和接收者的地理位置，攻击者控制入口和出口，通过端到端流量分析进行关联，以破解发送者和接收者的对应关系。匿名性保证来源于大型网络规模和Guard机制、选路算法等多种保护机制给攻击者带来的同时控制出入口的难度，不采用混淆消息机制(Dummy Traffic)。公钥密码体制主要用来密钥协商，对称密钥用来数据传输。

2、基于固定消息传输路径的网络结构：系统提供若干条服务商运营的专门的级联Mix链路(称为Mix Cascade)，用户选择某条级联链路承载往返消息传输。链路上每个节点的角色不是对等的，入口节点和出口节点分别知道发送者和接收者的地理位置，攻击者控制入口和出口，通过端到端流量分析进行关联，以破解发送者和接收者的对应关系。匿名性保证来源于大量用户消息的自混淆，可能采用混淆消息机制(Dummy Traffic)。主要利用公钥密码体制进行层级加密保护消息内容。

3、基于消息源路由转发路径的网络结构：目标是高延迟网络，每条消息单独选择路径，每条消息的传输路径由发送者创建，通过层级加密包括消息传输路由信息，通过消息源路由机制进行选路和多跳传输，通过Reply Block来传递返回消息路径，返回消息未必走同一路径。匿名性保证依赖于Mix机制，通过随机延迟、重路由，重编码等手段混淆输入输出消息对应关系，大量采用混淆消息机制(Dummy Traffic)应对攻击。链路上每个节点的角色不是对等的，入口节点和出口节点分别知道发送者和接收者的地理位置，攻击者如果能持续跟踪消息传输路径，就有可能唯一确定发送者和接收者。利用公钥分层加密来保护消息路由信息、消息内容和Reply Block。

4、基于非对等环的网络结构：该网络结构中的节点就在环之上，避免了传统除匿名通道出入两个位置受监听的威胁。环由初始化节点选择中间节点，逐跳初始化。所有消息都在同一个环上传输，消息包括初始化节点的真实消息和初始化节点的虚假消息，消息都属于一个节点。节点不是对等的，初始化节点拥有上帝视角，其他节点只知道上下游节点，环有出入口节点的概念。依赖混淆消息保护消息匿名性，初始化节点能够认识混淆消息的Level，控制混淆消息的转发路径(分层加密)，路径中间节点无法区分哪些是真实消息，哪些是Dummy消息，只负责消息转发，匿名性依赖于攻击者无法区分真实消息和虚假消息，无法判定谁是环上真正的消息发送者，实现最小匿名集合＝环上节点个数。依赖对称或非对称加密保护和传递消息。