技術領域

本發明涉及一種信息安全與匿名通信技術，特別涉及一種寄生于對等網絡的匿名通信方法。

背景技術

目前，現有的匿名通信技術通過引入中間節點及多跳加密的方式，使得第三方觀察者難以直接關聯通信發起者和接收者，從而達到匿名通信的目的。同時，為了防止觀察者通過流量特征分析的方法關聯通信路徑上的各個鏈路，通常采用網絡流變形方法模糊通信鏈路上的流量特征，提高觀察者根據流量特征辨別通信路徑的難度。傳統的網絡流變形方法包括：流填充、掩飾流、主動丟包、流混合、重調度等方法。

然而，近年來提出的基于時域或頻域特征的流量關聯分析方法依然能夠有效的推斷通信鏈路的流量相關性，從而破壞匿名通信系統的匿名性保護。其主要的原理是，在通信路徑上相鄰鏈路的流量具有較強的時間相關性。例如，在通信路徑A->B->C中，通信數據從A經過B傳遞到C,那么B->C中傳輸的網絡包的發送時間取決于A->B中網絡包的到達時間以及數量，所以B->C的流量特征和A->B的流量特征存在時間相關性，第三方觀察者可以據此關聯通信路徑上的不同鏈路。已有的大多數網絡流變形方法難以徹底的并高效率的去除這種時間相關性，從而抵抗流量關聯分析。

此外，已有的匿名通信技術通過混淆匿名通信節點的通信流來達到匿名保護的目的，系統的匿名性和同時在線的通信節點數量之間有直接關聯。當參與匿名通信的節點數量較少時，匿名性會相對比較低下，較易被追蹤和發現。已有系統難以在少數通信節點情況下提供高強度的匿名性保護。

發明內容

本發明的目的在于克服現有技術的缺點與不足，提供一種寄生于對等網絡的匿名通信方法，該方法解決了在少數通信節點情況下匿名性較為低下的技術問題，通過將通信節點寄生在對等文件共享網絡中來實現匿名通信，不僅可以有效抵抗流量關聯分析，而且可以大大提高少數通信節點情況下的匿名性。

本發明的目的通過下述技術方案實現：一種寄生于對等網絡的匿名通信方法，通過將通信節點寄生到對等（Peer-to-Peer,以下簡稱P2P）文件共享網絡中,來實現匿名通信。每個參與匿名通信的節點加入到P2P文件共享網絡中，參與文件共享，同時將通信數據混合垃圾數據通過加密編碼后嵌入到傳輸的文件分塊中進行相互傳遞。

具體而言，如圖1所示，本發明包含以下五個具體的步驟：

S1、通信節點寄生到P2P文件共享網絡；

S2、通信節點參與P2P文件共享網絡中的文件下載；

S3、通信節點連接寄生在同一網絡中的部分其他通信節點，并啟動虛擬文件共享；

S4、相鄰通信節點之間通過Diffe-Hellman密鑰交換，協商通信數據加密密鑰；

S5、通信節點將通信數據混合垃圾數據通過加密編碼后嵌入文件塊中進行傳輸。

步驟S1具體為：通信節點采取和P2P文件共享網絡協議相一致的通信行為，加入到P2P文件共享網絡中，和部分其他P2P網絡節點建立連接。

步驟S2具體為：通信節點隨機選擇1到3個P2P文件共享網絡中共享的文件，請求下載這些文件。通過這種方式，加入到由其他P2P網絡節點創建的Swarm中(Swarm的定義：在P2P文件共享網絡中，所有共享或下載同一個文件的節點彼此連接，形成的網絡拓撲結構稱為Swarm)。

步驟S3具體為：一部分通信節點在P2P網絡中擔任引導節點，負責引導新加入的節點加入到由通信節點創建的Swarm中，并和Swarm中的其他通信節點建立連接。通信節點創建的Swarm中共享的是嵌入通信數據的虛擬文件，用于傳遞通信數據。通信節點創建的Swarm（簡稱為通信swarm)和其他普通P2P文件共享網絡節點創建的Swarm(簡稱為文件swarm)交織在一起，形成相互交疊的覆蓋網絡(如圖2所示）。對于網絡中任意兩個通信節點v_i和v_j，只要網絡中存在一條連接這兩個節點的路徑（v_i,v_k1,v_k2,...,v_kn,v_j），且路徑上任意兩個相鄰的節點屬于同一個通信Swarm,那么v_i和v_j就能夠建立通信的信道。

步驟S4具體為：對于網絡中兩個相鄰的通信節點P_i和P_k，按以下步驟協商密鑰：

步驟S41、P_i向P_k發送文件塊請求；