【笔记】Safely Measuring Tor

1. 简介

Tor网络是数字隐私最流行的工具之一。各种不同的用户使用其洋葱路由协议来保护他们在互联网上产生的隐私信息。截至2016年5月，该网络包括7000个自愿运行的中继向用户目的地转发流量，网络共同转发近75Gbps的流量，并且估计每天有175万用户连接。
统计数据对于了解Tor目前的影响力以及如何改进服务至关重要。然而，由于其保护隐私，典型的网络监控方法不能直接应用于Tor。例如，简单地衡量用户数量是非常困难的，因为Tor旨在让用户保持匿名，并且也不应收集有关用户身份的信息。Tor目前收集了很少的测量数据，其中许多使用了未知精度的启发式技术。
在差分隐私保护和实用隐私保护聚合的基础上开发了PrivCount，一种高效，灵活的系统，用于在隐私保护下的Tor测量。PrivCount增加了可重复的测量阶段，以便进行迭代测量。它还提供了一个综合的方法来应用差分隐私多元化和多样化的Tor统计，同时保持了高精度。开发了一个实现PrivCount的开源工具，该工具强大，安全，特别适用于Tor的研究。
用PrivCount工具对Tor用户和流量进行测量研究，对PrivCount的研究部署涉及到4个不同国家的6个独立参与者，想要破坏系统的安全属性，需要让所有参与者都妥协。测量汇总在7个Tor中继上进行，这可以防止根据流量特征来识别来源。
收集了客户端和目的地的统计数据，目标是为将来的Tor业务模型做参考和网络改进。在出口流量方面的结果表明，Web端口的流量现在占Tor的数据字节的91％，高于2010年的42％。还使用完全不同于Tor自测量的的方法第一次提供了Tor用户数量的估计。数据表明，在任何给定的10分钟内，平均有71万用户连接到Tor，其中超过55万（77％）是活跃的。也看到了出口策略的效果，这些策略会被传递以限制将连接到哪些端口和IP，并且证据表明出口策略会显着影响出口中继的流量类型，这是以前的研究没有考虑的因素。

2 PrivCount隐私计数

为了安全地收集Tor网络的统计数据，设计和实现了一个名为PrivCount的隐私保护数据收集和聚合系统。

2.1 角色和体系结构概述

PrivCount是一个分布式计数系统，依靠多个节点和实体来实现隐私和安全。PrivCount部署包含Tally服务器（TS）节点，一个或多个数据收集器（DC）节点以及一个或多个共享管理器（SK）节点。
Tally服务器。TS是系统的中心点。TS在认可DC和SK节点之前先验证它们，跟踪它们的可用性和状态，并同步系统操作。为了最小化PrivCount部署的攻击面，TS充当其他节点之间所有通信的中央代理。TS服务器端口是唯一需要在整个PrivCount系统中打开并可通过Internet访问的端口;DC和SK仅与TS建立连接。DC和SK之间的所有通信都被加密和认证，因为TS仍然不可信。
数据收集器 DC是处理测量的主要节点。DC负责从本地运行的Tor进程收集事件，计算事件的统计数据，并维护一段时间内每个统计数据的计数。每个计数器用随机噪声加共享数进行初始化。噪声用于提供最终汇总值的差分隐私。共享数用于“致盲（blind）”计数器;共享数被每个SK加密一次，然后在DC被擦除之前，每个数都被发送到相应的SK（通过TS代理）。这个过程确保转发隐私：任何DC泄漏都不会泄漏超过本地计数器的值（计数器会随机出现）。DC在采集期间对计数器进行重新计数，然后在汇总期间将最终计数（真实计数，噪声和共享数的总和）发送给TS。
共享管理器 SK负责存储由DC分配给它的共享数;对于每个计数器，每个SK将从每个DC收到一个共享值。在汇总过程中，对每个计数器，每个SK将它们从DC接收到的共享值求和，并将总和发送给TS。一旦TS收到来自DC的所有计数和来自SK的所有总计共享值，TS将来自每个计数器的所有DC的计数相加，然后通过减去总计的共享值来“去致盲”每个计数器。每个计数器的最终总计数只有在所有SK的所有总和秘密都被移除后才有意义。只要至少有一名SK在秘密数求和中诚实行事，TS就无法学习单独的DC数量，并且除了最终的汇总计数没有任何数据暴露，但最终最终的汇总计数受到差别隐私保护。（所以使用多个SK是为了保证安全）。

2.2 协议规范

考虑使用一个telly服务器T，n个数据收集器Di，和m个共享管理器Sj，j∈来部署PrivCount。此外，假设正在收集l个统计数据;令sk为第k次统计的计算值k∈{1，…，l}。统计值可以是单个整数或表示成直方图的整数向量。单个数是用一个计数器实现的的一个整数，是PrivCount中的基本数据结构。
PrivCount的目标是保护隐私的同时测量所有统计数据，然后只显示所有DC中汇合的差分隐私计数，即计算${\sum }_{i=1}^n{s}_k^i+N_k^i$，其中$+N_k^i$是Di的（ϵ，δ）-差分隐私随机噪声组件。
PrivCount将实现这种汇合的步骤分成许多阶段，这些阶段允许一个迭代的收集过程，在这个过程中可以使用初始结果来影响后来的数据收集。此设计在测量类型和长度方面具有灵活性，运行协议的独立参与方之间的协调最少，同时仍保持其安全属性。因为操作人员是这一过程的关键组成部分，所以在描述中包含操作人员如何与自动化系统进行交互。PrivCount的操作阶段如下：

2.2.1 初始化

初始化阶段包含所有需要DC和SK操作员参与的操作。PrivCount将操作员之间的协调集中在开始阶段，其后阶段仅由TS操作员自行决定多次执行。
在此阶段，TS操作员应该为TS配置一份将在所有协议参与者之间共享的部署文档。部署文档包含所需DC和SK的公钥。它还包括以下参数来控制加入统计数据的保护隐私的噪声量：差分隐私参数ϵ和δ，每个统计的敏感度（即，在给定用户活动的某个有限的变化量的情况下，统计信息可以改变的最大量），重新配置时间（必须在采集阶段以不同配置相互交换）以及噪声权重$w_i$（即由DC $D_i$提供的相对噪声量）。部署文档还包括得到测量输出的DC的最小子集。TS然后将部署文档发送到每个DC和SK。

2.2.2 配置

所有的DC和SK都接受了部署文档后，只有TS会进入配置阶段。在配置阶段，TS设置数据收集的特征，DC和SK自动适应这些特性以维持隐私保证。这显着提高了使用PrivCount的速度和便利性。在这个阶段，在TS中设置以下特征：（i）收集的开始和结束时间，
（ii）将被收集的统计信息$s_{}$