12、利用可链接性信息攻击基于混合的匿名服务

利用可链接性信息攻击基于混合的匿名服务

1. 引言

如今，互联网上需要用户创建账户的应用和服务数量迅速增加。服务提供商通过提供用户账户，既能提供个性化服务，也可能追踪用户以投放定制广告或实施差别定价。同时，为避免数据泄露带来的客户索赔，服务提供商也希望减少数据库中的个人数据。然而，许多服务仍需要一定量的数据来服务客户，这导致用户不得不透露个人信息，而这些信息可能被服务提供商分析。

身份管理系统需要评估服务提供商能从用户消息中获取多少信息，以帮助用户选择对隐私影响最小的数据。目前已有一些关于匿名性和不可链接性的定义和形式化模型，但大多仅适用于通信场景。本文展示了如何利用消息间的可链接性信息（如服务提供商从消息内容中获取的信息），在流量分析的基础上进一步降低发送者的匿名性。我们提出了一个“层组合模型”，将网络流量的先验知识整合其中，并进行了模拟，给出了攻击者成功率的上下界，以及攻击者能够突破用户隐私的条件。

2. 相关工作

本文探讨了如何利用有噪声的可链接性信息攻击发送者的匿名性，重点在于建立流量分析信息与其他途径获取的可链接性信息之间的联系。

在网络层匿名系统方面，过去几年有大量研究。一些基本概念被提出并不断改进，如基于Chaum的Mixes的Web mixes和Tor等系统。同时，也有对这些系统的各种攻击被讨论。本文的网络层模型基于Chaum的Mixes，但不过多强调复杂的流量分析模型。

在用户配置文件的可链接性方面，不仅在隐私增强身份管理系统中被讨论，在统计数据库中也有涉及。本文抽象了可链接性信息的推导过程，将其建模为一个加权图，其中节点是消息，边的权重表示两条消息来自同一用户的概率。

此外，还