Tomo’s HotLine

前回はP2P分散プロキシの設計の概略を書いた。
今回から数回に分けてセキュリティや匿名性の議論を行う。匿名性と非匿名性のバランスについても後ほど書ければと思う。

今、Chordを使って分散プロキシを設計することを考えてみよう。
実際にＷＥＢサーバにアクセスするノードはＵＲＬ=urlとするとNode_ID=hash(url)とすることにしよう。このノードをＧＷノードと呼ぶ事にし、urlに接続要求したノードを接続要求ノードと定義する。

さて匿名性が高いということはＧＷノードからみて接続要求ノードがわからないこととほぼ同値である。

Chordを使って分散プロキシを設計すると、実は匿名性があまり高くならない事が考えられる。その理由は一体なんでしょう？

それはChordが「きれいに」設計されたＤＨＴだからである。Chordにおいて、ノードＡのリンク先はノードＡのNodeIDから2ⁿ離れたNodeIDのノード群となる。ということは、ＧＷノードや中間プロキシとなるノードからすると、接続要求ノードが「大体この辺にあるな」と推測できる（というよりもNodeIDの範囲を絞る）事ができるのである。ここで中間プロキシとは接続要求ノードがＧＷノードにルーティングする際に使用するノードで、それ自体がＧＷノードと接続要求ノードのプロキシになるノード群を意味する。

このような事を避けるためには、ランダムネスを取り入れたＤＨＴを入れることも考えられる。例えば、ＤＨＴとしてSymponyを入れることにより、このような推測はややしにくくなる事が考えられる。

もっとも、Sympnonyを取り入れたとしても接続要求ノードのNodeIDの範囲を絞る事が可能である。
そこで、ルーティングにもランダムネスを入れることが考えられる。

ＤＨＴの場合、非常に効率よくルーティングするため、ＧＷノードへ一番効率のよい中間ノードへルーティングすることになる。そのため、下記のようなルーティングポリシを実行すれば効率は多少劣るが匿名性は高くなるだろう。

・各リンク先において、ＧＷノードに近づくリンク先へ行く確率をp,逆に遠ざける確率をqとする。
　p+q=1である。
・pは各ノードでランダムに設定する。ただし、一般にpはp>>qであるような確率発生関数を設定すること。
・ＧＷノードに効率よくルーティングするリンクほど、実際にルーティングする確率が高くすることに確率発生関数を設定する。つまりルーティングする毎に確率発生関数を計算し、それを基に乱数を発生させて、ルーティング先を決めるわけだ。ランダムネスを取り入れつつ、効率良くルーティングしやすくなるように設計していることに注意！
・qの確率で、逆方向（つまりＧＷノードに遠ざける）にルーティングする。

このようにすれば、ＧＷノードから中間プロキシから接続要求ノードを推測するのは困難になるはずだ。

次回は暗号、その応用としてMix-net(Onion-routing）を取り入れた際にどのぐらい分散プロキシの匿名性が高まるか検討してみることににする。