韓志耕，馮霞，陳耿

（1. 南京審計(jì)大學(xué)工學(xué)院，江蘇 南京 211815；2. 南京審計(jì)大學(xué)江蘇省公共工程審計(jì)重點(diǎn)實(shí)驗(yàn)室，江蘇 南京 211815；3. 安徽大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，安徽 合肥 230601）

基于SDN的電郵抵賴(lài)源頭抑制方法

韓志耕1,2，馮霞3，陳耿1,2

（1. 南京審計(jì)大學(xué)工學(xué)院，江蘇 南京 211815；2. 南京審計(jì)大學(xué)江蘇省公共工程審計(jì)重點(diǎn)實(shí)驗(yàn)室，江蘇 南京 211815；3. 安徽大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，安徽 合肥 230601）

受制于現(xiàn)有互聯(lián)網(wǎng)體系可管控性的喪失，以簽收電郵為代表的安全電郵技術(shù)僅能對(duì)電郵抵賴(lài)進(jìn)行事后檢測(cè)而無(wú)法實(shí)施源頭抑制?；赟DN（software-defined networking）控制與數(shù)據(jù)相分離的思想，通過(guò)將定制的抵賴(lài)抑制單元旁路附加到傳統(tǒng)電郵模型之上，提出一種不破壞現(xiàn)有電郵結(jié)構(gòu)的電郵抵賴(lài)源頭抑制方法。在給出抵賴(lài)抑制單元內(nèi)嵌的電郵證據(jù)綁定協(xié)議、抵賴(lài)行為檢測(cè)算法、簽收信度評(píng)估模型和抑制策略形成算法后，對(duì)所提方法在4種交叉場(chǎng)景中進(jìn)行了有效性測(cè)試。實(shí)驗(yàn)結(jié)果表明，在與當(dāng)前電郵系統(tǒng)兼容共生的前提下，所提方法能夠?qū)﹄娻]抵賴(lài)實(shí)施有效的源頭抑制。

電郵抵賴(lài)；源頭抑制；SDN；簽收電郵

1 引言

雖然在過(guò)去 10多年里電郵作為人與人之間溝通平臺(tái)的基本屬性不斷地被削弱，但其所擁有的特有通信優(yōu)勢(shì)使其依然保持著較廣的應(yīng)用[1]。2014年Gartner安全電郵網(wǎng)關(guān)魔力象限顯示，電郵話題討論的嚴(yán)肅性使目前80%的工作交互主要借助其進(jìn)行；電郵通信記錄的法律效應(yīng)使其在電子政務(wù)等誠(chéng)信敏感領(lǐng)域具有當(dāng)前新興工具無(wú)法企及的重要地位。即便在移動(dòng)互聯(lián)網(wǎng)時(shí)代，電郵仍表現(xiàn)出極好的平臺(tái)適應(yīng)性，2013年上線即獲好評(píng)的Ping應(yīng)用就是例證。盡管如此，電郵發(fā)展仍面臨諸多困境，且安全問(wèn)題是首要問(wèn)題。2013年Gartner報(bào)告將安全電郵列入最搶手云安全服務(wù)行列，并預(yù)測(cè) 2017年其市場(chǎng)份額會(huì)邁進(jìn)10億美元大關(guān)。

作為一種典型的電郵安全威脅，電郵抵賴(lài)是對(duì)先前電郵交互事實(shí)的拒絕承認(rèn)，包括電郵發(fā)送抵賴(lài)和接收抵賴(lài)。當(dāng)前抑制電郵抵賴(lài)的主要技術(shù)是簽收電郵[2]，其通過(guò)在不信任的電郵主體之間公平地交換電郵信息和抗抵賴(lài)證據(jù)以實(shí)現(xiàn)電郵交互行為的可追溯[3]。簽收電郵抑制電郵抵賴(lài)的方法是事后檢測(cè)，這意味著被檢測(cè)出的電郵抵賴(lài)可能已經(jīng)奏效，對(duì)誠(chéng)實(shí)用戶或許已經(jīng)形成傷害，從維護(hù)誠(chéng)實(shí)用戶利益的角度出發(fā)，倘若能從源頭上抑制電郵抵賴(lài)，會(huì)減輕此類(lèi)傷害，然而這在現(xiàn)有互聯(lián)網(wǎng)體系內(nèi)無(wú)法獲得解決，原因在于：事后檢測(cè)電郵抵賴(lài)無(wú)須對(duì)電郵交互進(jìn)行在線干預(yù)，但源頭抑制必須強(qiáng)加在線控制，而現(xiàn)有互聯(lián)網(wǎng)可管性的喪失卻無(wú)法為之提供保障。當(dāng)前互聯(lián)網(wǎng)細(xì)腰模型正被打破，各種協(xié)議決策邏輯交織在一起產(chǎn)生的非線性作用使網(wǎng)絡(luò)行為呈現(xiàn)出復(fù)雜性且難以預(yù)測(cè)[4]。本文充分發(fā)揮SDN在提升網(wǎng)絡(luò)安全上的優(yōu)勢(shì)[5]，基于其控制與數(shù)據(jù)相分離的思想，通過(guò)將定制的電郵抵賴(lài)抑制單元旁路附加到傳統(tǒng)電郵模型之上，提出一種不破壞現(xiàn)有電郵結(jié)構(gòu)的電郵抵賴(lài)源頭抑制方法。

2 相關(guān)工作

傳統(tǒng)郵政系統(tǒng)中抑制郵件抵賴(lài)的主要手段是采用給據(jù)郵件。與給據(jù)郵件中抗抵賴(lài)證據(jù)（即手簽紙質(zhì)給據(jù)）容易獲取不同，電郵系統(tǒng)中抗抵賴(lài)證據(jù)的獲取卻極其困難。事實(shí)上，受制于現(xiàn)有互聯(lián)網(wǎng)體系對(duì)可審計(jì)性的不支持[6]，諸如S/MIME (secure/multipurpose Internet mail extensions)等電郵安全協(xié)議雖然能提供完整性、認(rèn)證性和保密性，但均無(wú)法提供抗抵賴(lài)性；盡管RFC2634通過(guò)將簽收證據(jù)引入S/MIME以提供電郵抗抵賴(lài)問(wèn)題，但其建立在收件人定會(huì)返回收條的假設(shè)之上，在真實(shí)世界中通常難以滿足[2]。

受給據(jù)郵件思想啟發(fā)，當(dāng)前抑制電郵抵賴(lài)的主要技術(shù)是簽收電郵，研究的焦點(diǎn)為如何在可審計(jì)性缺失的互聯(lián)網(wǎng)體系內(nèi)進(jìn)行電郵取證 ，相關(guān)研究集中在以下3個(gè)方面，分別為電郵取證的公平性、環(huán)境適應(yīng)性和互操作性。

1) 電郵取證公平性旨在保證所有電郵實(shí)體要么都能獲得想要的證據(jù)，要么都無(wú)法獲得對(duì)己有利的證據(jù)[3]，其理論基礎(chǔ)是公平交換[7]。Onieva等[8]將P異步時(shí)限性技術(shù)引入文獻(xiàn)[9]中的快速樂(lè)觀簽收電郵協(xié)議，使所有實(shí)體可在協(xié)議執(zhí)行的任意階段終止執(zhí)行而不破壞取證的公平性；Shao等[10]針對(duì)回放攻擊可致誠(chéng)實(shí)方無(wú)法獲得期望的電郵證據(jù)的問(wèn)題，提出規(guī)避回放攻擊的指導(dǎo)原則；Payeras-Capella等[11]針對(duì)選擇性接收會(huì)致發(fā)送方丟失證據(jù)的問(wèn)題，通過(guò)推遲暴露發(fā)送方簽名給出無(wú)選擇性接收的公平簽收電郵協(xié)議。

3) 互操作性是指異構(gòu)簽收電郵系統(tǒng)為達(dá)成跨系統(tǒng)公平取證而進(jìn)行的差別互補(bǔ)與兼容共生，這是在異構(gòu)環(huán)境下大規(guī)模部署簽收電郵系統(tǒng)需要解決的問(wèn)題[2]。Tauber等提出了簽收電郵互操作標(biāo)準(zhǔn)[16]、建立了簽收電郵跨歐盟互操作方案[17]，同時(shí)還設(shè)計(jì)出符合傳統(tǒng)電郵體系的互操作樂(lè)觀簽收電郵協(xié)議[18]；提出一種概率公平簽收電郵系統(tǒng)，解決了因可信第三方帶來(lái)的簽收電郵應(yīng)用范圍有限和無(wú)法跨國(guó)互操作的問(wèn)題。

雖然簽收電郵技術(shù)在可審計(jì)性缺失的互聯(lián)網(wǎng)體系內(nèi)借助電郵取證實(shí)現(xiàn)了對(duì)電郵抵賴(lài)的事后檢測(cè)，然而受制于現(xiàn)有互聯(lián)網(wǎng)體系可管控性的缺失[20]，該技術(shù)因?yàn)闊o(wú)法對(duì)電郵抵賴(lài)實(shí)施在線控制，從而無(wú)法對(duì)其實(shí)施源頭抑制。與簽收電郵技術(shù)相比，本文利用SDN控制與數(shù)據(jù)相剝離的思想，通過(guò)將定制的抵賴(lài)抑制單元旁路附加到現(xiàn)有電郵模型之上，實(shí)現(xiàn)了電郵數(shù)據(jù)邏輯與抵賴(lài)抑制邏輯的剝離，為電郵抵賴(lài)在線控制提供了途徑，并進(jìn)而解決了現(xiàn)有技術(shù)對(duì)電郵抵賴(lài)僅能事后檢測(cè)而無(wú)法源頭抑制的問(wèn)題。

3 源頭抑制框架

3.1 基本構(gòu)想

本文源頭抑制電郵抵賴(lài)的基本構(gòu)想如下：電郵系統(tǒng)最初處于誠(chéng)信穩(wěn)定態(tài)（即無(wú)抵賴(lài)）；當(dāng)電郵抵賴(lài)發(fā)生后系統(tǒng)由誠(chéng)信穩(wěn)定態(tài)遷移到抵賴(lài)擾動(dòng)態(tài)；進(jìn)而由于抵賴(lài)抑制策略的激活實(shí)施，系統(tǒng)由抵賴(lài)擾動(dòng)態(tài)遷移到抵賴(lài)控制態(tài)；此后隨著電郵抵賴(lài)的不斷出現(xiàn)和抵賴(lài)抑制的自適應(yīng)實(shí)施，系統(tǒng)經(jīng)由若干抵賴(lài)抑制中間態(tài)（即擾動(dòng)態(tài)與控制態(tài)的切換與調(diào)整），并最終回歸到誠(chéng)信穩(wěn)定態(tài)。該構(gòu)想的實(shí)現(xiàn)要求電郵系統(tǒng)必須具備可控性，以便將電郵抵賴(lài)抑制策略（即控制邏輯）在線作用于電郵交互（即數(shù)據(jù)交互），這需要得到SDN技術(shù)[21]的支持。

SDN由Mckeown教授于2009年在INFOCOM會(huì)議上提出，該技術(shù)通過(guò)將特定的網(wǎng)絡(luò)硬件與軟件進(jìn)行解耦，實(shí)現(xiàn)了網(wǎng)絡(luò)控制平面和數(shù)據(jù)平面的分離[20]，為提升網(wǎng)絡(luò)可管控性提供了創(chuàng)新性方案。其中，控制平面掌握全局網(wǎng)絡(luò)信息，采用具有邏輯中心化和可編程的控制器，方便管理配置網(wǎng)絡(luò)和部署新協(xié)議；數(shù)據(jù)平面僅提供簡(jiǎn)單的數(shù)據(jù)轉(zhuǎn)發(fā)功能，采用啞交換機(jī)，用于快速處理匹配的數(shù)據(jù)分組；控制器通過(guò) OpenFlow等標(biāo)準(zhǔn)接口向交換機(jī)下發(fā)轉(zhuǎn)發(fā)規(guī)則，交換機(jī)僅需按照這些規(guī)則執(zhí)行相應(yīng)的轉(zhuǎn)發(fā)動(dòng)作。

3.2 方法框架

基于 SDN技術(shù)，一種可行的電郵抵賴(lài)源頭抑制方法框架如圖1所示，其特征在于通過(guò)給傳統(tǒng)電郵模型旁路附加一個(gè)抵賴(lài)抑制單元包括行為證據(jù)綁定組件、行為證據(jù)管理組件、抵賴(lài)程度評(píng)估組件、簽收信度管理組件和抑制策略生成組件，從而實(shí)現(xiàn)電郵抵賴(lài)行為的可抑制、可管理。在該方法的閉環(huán)自反饋框架內(nèi)，從電郵交互前的抵賴(lài)避免，到電郵交互中的抵賴(lài)取證，再到電郵交互后的抵賴(lài)評(píng)估，整個(gè)過(guò)程使電郵交互成為一個(gè)自適應(yīng)運(yùn)行的抵賴(lài)抑制系統(tǒng)，滿足了電郵交互的誠(chéng)信需求。其中，傳統(tǒng)電郵模型對(duì)應(yīng)于SDN數(shù)據(jù)平面，用于標(biāo)識(shí)基于傳統(tǒng)電郵協(xié)議進(jìn)行的電郵交互行為；抵賴(lài)抑制單元對(duì)應(yīng)于SDN控制平面，用于對(duì)電郵抵賴(lài)行為實(shí)施抑制。

3.3 抑制流程

圖1所述的電郵抵賴(lài)源頭抑制方法的閉環(huán)抑制流程描述如下。

圖1 電郵抵賴(lài)源頭抑制方法框架

其中，ISF(·)為抑制策略形成算法，A為電郵發(fā)送方，{Bi}為電郵接收方Bi(i≥0)的集合，t為協(xié)議輪標(biāo)識(shí)，{crA|{Bi}}t?1為 t?1輪電郵交互后電郵收發(fā)方的簽收信度，=gt;為輸出（下同），{risA|{Bi}}t為針對(duì) t輪電郵交互的抵賴(lài)抑制策略。式(2)中，ISI(·)為抑制策略實(shí)施函數(shù)為抵賴(lài)抑制策略未發(fā)生作用時(shí)欲進(jìn)行的t輪電郵行為為抵賴(lài)抑制策略作用后所表現(xiàn)出來(lái)的t輪電郵行為。

4 抵賴(lài)抑制邏輯

4.1 電郵證據(jù)綁定

定義1 電郵行為(EB, e-mail behavior) 限指電郵發(fā)送方與接收方之間為傳遞電郵內(nèi)容所進(jìn)行的通信交互，包括電郵發(fā)送行為與接收行為。

定義2 電郵證據(jù)(EE, e-mail evidence) 指與電郵行為唯一關(guān)聯(lián)的、可用于向非當(dāng)事方重現(xiàn)電郵行為事實(shí)的抗抵賴(lài)電子憑證，包括電郵發(fā)送證據(jù)和接收證據(jù)。

本文定制的電郵證據(jù)綁定協(xié)議 BbindE是對(duì)文獻(xiàn)[14]的改進(jìn)，其基本思想是在單向端到端的電郵內(nèi)容傳遞的同時(shí)進(jìn)行雙向端到端的特征秘密交換。BbindE包括main主協(xié)議和abort與resolve這2個(gè)輔助協(xié)議。

4.1.1 協(xié)議符號(hào)

A、B、TTP、M: 電郵發(fā)送方、既定接收方 Bi集合、可信第三方、電郵內(nèi)容。

B′：成功執(zhí)行main協(xié)議步驟②的Bi集合，為B子集。

B″=B?B′：被A取消接收權(quán)的Bi集合，為B子集。

B″_cancelled：被TTP取消接收權(quán)的Bi集合，為B″子集。

B″_finished：求助 resolve協(xié)議恢復(fù)接收權(quán)的Bi集合，為B子集。

SX(M)：實(shí)體X對(duì)M的數(shù)字簽名。

PX(M), EK(M)：用實(shí)體X公鑰對(duì)M進(jìn)行非對(duì)稱(chēng)加密、用密鑰K對(duì)M進(jìn)行對(duì)稱(chēng)加密。

PB(M)= PB1(M), PB2(M),?=EK(M), PB1(K),PB2(K),?：集合B對(duì)M進(jìn)行群加密。

Z=PTTP(A, B, PB(M))：特征秘密Z。

L=h(M)：協(xié)議輪新鮮標(biāo)簽，h為單向散列函數(shù)。

4.1.2 協(xié)議描述

1) 正常情形：電郵證據(jù)綁定僅使用main協(xié)議即可完成，無(wú)需TTP參與。

main協(xié)議如下。

2) Z交換異常：若A執(zhí)行完main協(xié)議步驟①后未收到某些既定 Bi∈(B″=B?B′)的反饋簽名 SBi(Z,L)，A執(zhí)行abort協(xié)議以放棄與這些Bi的交互。

abort協(xié)議如下。

3) M傳遞異常：若Bi執(zhí)行完main協(xié)議步驟②后未收到PBi(M)或M被篡改，Bi可執(zhí)行resolve協(xié)議以恢復(fù)交互。

resolve協(xié)議如下。

BbindE借助引入新鮮標(biāo)簽 L=h(M)并重構(gòu)簽名消息(如將 SBi(Z)重構(gòu)為 SBi(Z,L))，消除了原協(xié)議[14]因A惡意變更M給Bi帶來(lái)的危害。原協(xié)議中A可在main協(xié)議步驟③中將步驟①中既定的M變更為M′，最終A持有Bi接收M的證據(jù)，而B(niǎo)i實(shí)際收到的確為M′，這對(duì)Bi來(lái)說(shuō)不公平。BbindE執(zhí)行完后，A持有電郵接收證據(jù){SBi(Z,L), STTP(B″_cancelled, Z,L)}，Bi持有電郵發(fā)送證據(jù){SA(Z,L),STTP(B″_cancelled,Z, L)}

4.1.3 有效性證明

定理1 BbindE綁定證據(jù)可使仲裁方J相信電郵行為無(wú)否認(rèn)。

證明 擬采用基于信仰的模態(tài)邏輯 SVO[22]進(jìn)行證明如下。

BbindE中基本項(xiàng)集為{{A, Bi, TTP, J}，{Z, L,M}，{KA, KBi, KTTP, KA?1, KBi?1, KTTP?1, K}}

BbindE中密鑰持有假設(shè)P1和P2為

在假設(shè)P1～P12的基礎(chǔ)上，結(jié)合SVO邏輯的Nec規(guī)則和信任公理、源關(guān)聯(lián)公理、接收公理以及敘述公理可以證明G1和G2目標(biāo)成立，邏輯推理過(guò)程略。 證畢

4.2 抵賴(lài)行為檢測(cè)

定義3 電郵抵賴(lài)(ER, e-mail repudiation)指電郵實(shí)體出于私利對(duì)已實(shí)施的電郵行為予以否認(rèn)，包括電郵發(fā)送抵賴(lài)(如A向Bi發(fā)送M，但A事后否認(rèn)曾發(fā)送過(guò)M給Bi)和電郵接收抵賴(lài)(如Bi收到A發(fā)送的M，但Bi事后否認(rèn)曾接收過(guò)來(lái)自A的M)。

以實(shí)體A向群體B發(fā)送電郵M為例，此處基于4.1節(jié)中證據(jù)綁定結(jié)果給出行為證據(jù)綁定組件內(nèi)嵌的電郵抵賴(lài)檢測(cè)算法，描述如下。

1) 發(fā)送方抵賴(lài)檢測(cè)

發(fā)送方抵賴(lài)包括2種情況：A未向Bi發(fā)送過(guò)M但宣稱(chēng)發(fā)送過(guò)，以及發(fā)送過(guò)但宣稱(chēng)未發(fā)送過(guò)。由于前者無(wú)法提供綁定證據(jù)，此處僅對(duì)后者展開(kāi)檢測(cè)，詳見(jiàn)算法1。

算法1 DER_sender // 發(fā)送方抵賴(lài)檢測(cè)

⑨ return SR；

2) 接收方抵賴(lài)檢測(cè)

同理，此處僅對(duì)Bi接收來(lái)自過(guò)M但宣稱(chēng)未接收過(guò)進(jìn)行抵賴(lài)檢測(cè)，詳見(jiàn)算法2。

算法2 DER_receiver // 接收方Bi抵賴(lài)檢測(cè)

4.3 簽收信度評(píng)估

4.3.1 評(píng)估步驟

定義4 簽收行為(CB, certified behavior) 特指電郵實(shí)體對(duì)電郵行為事實(shí)的誠(chéng)實(shí)宣稱(chēng)或拒絕承認(rèn)。

定義5 簽收信度(CR, certified reputation) 特指公眾對(duì)電郵實(shí)體無(wú)抵賴(lài)簽收行為的社會(huì)認(rèn)可度。

簽收信度的評(píng)估分2步完成，介紹如下。

1) 簽收信度初估：基于抵賴(lài)檢測(cè)結(jié)果計(jì)算初始簽收信度，即，其中，為

t輪初始簽收信度，SRt和RRt為t輪抵賴(lài)檢測(cè)結(jié)果，f(·)為簽收信度初估模型。

由于可直接應(yīng)用于簽收信度初估的模型有很多[23]，故此處僅給出簽收信度重估模型，描述如下

其中，式(8)中 ρ(0lt;ρ≤1)和 LH 分別為歷史近鄰簽收信度的關(guān)注因子和關(guān)注時(shí)隙個(gè)數(shù)，式(10)中θ(0lt;θ≤1)和 LDH分別為歷史近鄰簽收信度波動(dòng)率的關(guān)注因子和關(guān)注時(shí)隙個(gè)數(shù)，且LH和LDH通常設(shè)置為電郵實(shí)體策略抵賴(lài)行為的振蕩時(shí)隙大?。皇?7)中α和β在設(shè)置上要求正比于LH，且γ和δ在設(shè)置上擬遵循式(11)和式(12)。

4.3.2 逼近度分析

定義6 簽收距離(CD, certified distance)。給定簽收行為 CBt(0≤CBt≤1)和對(duì)應(yīng)的簽收信度CRt(0≤CRt≤1)，則對(duì)應(yīng)的簽收距離為 CDt=|CRt?CBt|。

定義7 簽收信度逼近度(DACR, degree of approximation of certified reputation)。給定簽收行為CBt(0≤CBt≤1)和對(duì)應(yīng)的簽收距離CDt，則簽收信度逼近度

定理 2 在簽收信度重估模型中引入時(shí)效維δDt|SDt|可提高簽收信度逼近度。

證明 設(shè) CBt(0≤CBt≤1)為簽收行為，CR′t(0≤ CR′t≤ 1)為引入 δDt|SDt|之前獲得的簽收信度，對(duì)應(yīng)簽收距離 CD′t=|CR′t?CBt|，簽收信度逼近度為；CR為引入 δD|SD|之后ttt獲得的簽收信度，即 CRt=CR′t+δDt|SDt|，對(duì)應(yīng)簽收距離CDt=|CRt?CBt|，簽收信度逼近度為

如圖2(a)所示，當(dāng)簽收行為呈現(xiàn)突發(fā)惡化趨勢(shì)時(shí)有Dtlt;0且SDtlt;0，由于0lt;δlt;1有δDt|SDt|lt;0，進(jìn)而有|CR′t?CBt+δDt|SDt||lt;|CR′t?CBt|，依據(jù)定義 6 有CDtlt;CD′t，由定義 7 有 DACR′tlt;DACRt。

如圖2(b)～圖2(d)所示，當(dāng)惡意簽收行為呈現(xiàn)持久化趨勢(shì)(Dt≤0，SDt≥0)、簽收行為呈現(xiàn)突發(fā)改善趨勢(shì)(Dtgt;0，SDtgt;0)、誠(chéng)實(shí)簽收行為呈現(xiàn)持久化趨勢(shì)(Dt≥0，SDt≤0)時(shí)證明類(lèi)似。證畢。

4.4 抑制策略形成

定義8 簽收信度閾值(CRT, certified reputation threshold)特指電郵實(shí)體在電郵行為實(shí)施過(guò)程中所能容忍的對(duì)方實(shí)體最低簽收信度。

抵賴(lài)抑制策略的形成使用了基于簽收信度閾值的比較方法。具體思路為：在電郵收發(fā)方簽收信度不小于全系統(tǒng)簽收信度閾值 CRTt（ global)的前提下，若電郵發(fā)送方A的簽收信度TVtB(A)低于電郵接收方Bi的簽收信度閾值CRTt(Bi)，則禁止發(fā)送，反之則允許發(fā)送；若Bi簽收信度TVt(Bi)低于A的簽收信度閾值CRTt（A)，則禁止接收，反之則允許接收。其合理性可在電郵實(shí)體簽收行為空間內(nèi)予以解釋?zhuān)阂缘谝环N情況為例，由于TVt(A)小于CRTt(Bi)，即A在先前簽收行為上的綜合誠(chéng)信表現(xiàn)低于Bi的承受底限，依據(jù)組織行為學(xué)的歸因論，可以預(yù)測(cè)到A在未來(lái)極小時(shí)間內(nèi)大幅度改善簽收行為的可能性會(huì)極低，為此可禁止A向Bi發(fā)送電郵。

算法3給出了抵賴(lài)抑制策略形成算法，其中，A和B={B1, B2,…, B|B|}分別為電郵發(fā)送方和電郵接收方，TVt(x)和CRTt(x)分別為電郵實(shí)體x在t輪的簽收信度和簽收信度閾值。

算法3 ISF // 抑制策略形成算法

輸入 TVt(A), CRTt(A), {TVt(Bi)},{CRTt(Bi)},CRTt(global)

輸出 ris // 抵賴(lài)抑制策略，元素(00)bit為允許交互，(01)bit為允許發(fā)送禁止接收，(10)bit為禁止發(fā)送允許接收，(11)bit為禁止交互

圖2 簽收行為4類(lèi)變化原子趨勢(shì)

5 實(shí)驗(yàn)與分析

5.1 實(shí)驗(yàn)系統(tǒng)構(gòu)建

利用SDN開(kāi)源平臺(tái)構(gòu)建出如圖3所示的實(shí)驗(yàn)系統(tǒng)，介紹如下：1) 在 SDN控制器 PC0(運(yùn)行Ubuntu12.04+POX)上部署抵賴(lài)抑制單元中除電郵證據(jù)綁定之外的所有邏輯，以形成抵賴(lài)抑制策略；2) 在OpenFlow交換機(jī)PC1、PC2(運(yùn)行Ubuntu12.04+OpenFlow)上部署定制的流表更新邏輯，以便能夠依據(jù)抵賴(lài)抑制策略更新流表；3) 在PC3(運(yùn)行Win7)上部署定制軟件NRMail，該軟件除實(shí)現(xiàn)SMTP和POP3電郵客戶端邏輯外，還實(shí)現(xiàn)電郵行為提取及證據(jù)綁定邏輯（證據(jù)綁定時(shí)所需的TTP角色由定制的TTP進(jìn)程實(shí)現(xiàn)、證據(jù)簽名及驗(yàn)證由定制的sign進(jìn)程實(shí)現(xiàn)）；4) 在PC4(運(yùn)行Win7)上部署共享軟件Winmail以提供SMTP和POP3電郵服務(wù)。該實(shí)驗(yàn)系統(tǒng)中網(wǎng)絡(luò)192.168.100.0中的PC0、PC1和 PC2共同構(gòu)成電郵控制通道，網(wǎng)絡(luò)192.168.111.0中的PC3、PC1和192.168.122.0網(wǎng)絡(luò)中的PC2、PC4共同構(gòu)成電郵數(shù)據(jù)通道。

該實(shí)驗(yàn)系統(tǒng)的時(shí)序運(yùn)行過(guò)程為：1) NRMail截獲電郵發(fā)送的SOCKET通信，將所綁定的電郵發(fā)送行為證據(jù)連同SOCKET信息一并提交給OpenFlow交換機(jī)；2) OpenFlow交換機(jī)緩存該SOCKET，并將從中解析出的電郵收發(fā)方標(biāo)識(shí)與電郵證據(jù)(封裝成packet-in消息)一并通過(guò)安全通道(遵守OpenFlow協(xié)議)直接轉(zhuǎn)發(fā)給SDN控制器；3) SDN控制器提取電郵收發(fā)方簽收信度并據(jù)此形成電郵抵賴(lài)抑制策略，其結(jié)果通過(guò)安全通道派發(fā)給OpenFlow交換機(jī)；4) OpenFlow交換機(jī)依據(jù)獲得的抵賴(lài)抑制策略更新流表，在轉(zhuǎn)發(fā)本輪后續(xù)電郵數(shù)據(jù)的同時(shí)持續(xù)向SDN控制器提交來(lái)自NRMail的后續(xù)電郵證據(jù)；5) SDN控制器對(duì)本輪電郵交互實(shí)施抵賴(lài)檢測(cè)，并完成簽收信度更新。

圖3 實(shí)驗(yàn)平臺(tái)

5.2 抵賴(lài)抑制實(shí)驗(yàn)

5.2.1 實(shí)驗(yàn)參數(shù)選擇

1) 電郵實(shí)體總數(shù)為1 025（惡意實(shí)體占20%）。同時(shí)規(guī)定誠(chéng)實(shí)實(shí)體誠(chéng)實(shí)宣稱(chēng)真實(shí)電郵行為、無(wú)共謀（即不會(huì)彼此哄抬簽收信度）、無(wú)誹謗（即不會(huì)詆毀他人簽收信度）；惡意實(shí)體為謀取私利對(duì)真實(shí)行為會(huì)策略地選擇誠(chéng)實(shí)宣稱(chēng)或拒絕承認(rèn)、會(huì)共謀抵賴(lài)、會(huì)對(duì)誠(chéng)實(shí)實(shí)體實(shí)施誹謗。

2) 簽收行為注入模型如圖4所示，同時(shí)設(shè)置電郵抵賴(lài)的行為表現(xiàn)值為 0.1、非抵賴(lài)的行為表現(xiàn)值為1；惡意行為策略時(shí)隙為10個(gè)時(shí)間片，即波動(dòng)周期為20個(gè)時(shí)間片。

3) 簽收信度初估時(shí)標(biāo)記抵賴(lài)評(píng)估證據(jù)樣本值為0.1、標(biāo)記非抵賴(lài)樣本值為1，信度合計(jì)選用加權(quán)簡(jiǎn)單求和經(jīng)典算法[23]。

5) 設(shè)置CRTt(global)=0.4，設(shè)置閾值系數(shù)為0.8，即

圖4 簽收行為注入模型

5.2.2 簽收信度逼近測(cè)試

簽收信度越逼近于簽收行為，抵賴(lài)抑制策略就越具備針對(duì)性。然而，信度類(lèi)評(píng)估所固有的時(shí)滯性卻會(huì)加大簽收信度的偏離性。為考查本文方法的簽收信度逼近性，以圖4中行為模型為輸入，圖5(a)給出了無(wú)共謀情境下，未被誹謗和被誹謗時(shí)誠(chéng)實(shí)實(shí)體簽收信度評(píng)估情況，以及 ρ=1且 θ=1、ρ=1且θ=0.75、ρ=0.75且 θ=1和 ρ=0.75 且 θ=0.75時(shí)惡意實(shí)體簽收，與此對(duì)應(yīng)，圖5(b)給出了共謀情境下的簽收信度評(píng)估情況?？梢钥闯觯?) 誹謗會(huì)降低（誠(chéng)實(shí)實(shí)體）簽收信度逼近性；2) 雖然共謀會(huì)抬升(惡意實(shí)體)簽收信度，但適當(dāng)降低 ρ(ρ=0.75lt;1)和抬升θ(θ=1gt;0.75)均可改善簽收信度逼近性。

圖5 簽收信度評(píng)估結(jié)果

圖6 共謀對(duì)逼近性影響幅度分析

為考查共謀對(duì)簽收信度逼近性的影響幅度，圖6 針對(duì) ρ=1 且 θ=1、ρ=1 且 θ=0.75、ρ=0.75 且 θ=1和ρ=0.75且θ=0.75這4組條件，比對(duì)了惡意實(shí)體在共謀和無(wú)共謀時(shí)的簽收信度評(píng)估情況?？梢钥闯?，較無(wú)共謀而言，當(dāng)簽收行為由誠(chéng)實(shí)轉(zhuǎn)為抵賴(lài)時(shí)，共謀會(huì)加大簽收信度偏離性；反之，當(dāng)簽收行為由抵賴(lài)轉(zhuǎn)為誠(chéng)實(shí)時(shí)，共謀會(huì)提升簽收信度逼近性。這意味著，惡意電郵實(shí)體為更好地隱蔽自身的抵賴(lài)行為，在試圖抵賴(lài)電郵行為時(shí)會(huì)選擇共謀，反之，在試圖誠(chéng)實(shí)宣稱(chēng)電郵行為時(shí)會(huì)選擇無(wú)共謀。

5.2.3 源頭抑制效果檢測(cè)

為檢測(cè)電郵抵賴(lài)源頭抑制效果，針對(duì)無(wú)共謀無(wú)誹謗、無(wú)共謀有誹謗、有共謀無(wú)誹謗、有共謀有誹謗 4種交叉場(chǎng)景（下文簡(jiǎn)稱(chēng) 4種交叉場(chǎng)景），圖 7給出了設(shè)定ρ=1，θ=0.75(即簽收信度逼近度最差情形)時(shí)電郵交互總量逐步增長(zhǎng)至10 000時(shí)被源頭抑制掉的電郵發(fā)送抵賴(lài)、電郵接收抵賴(lài)、電郵收發(fā)抵賴(lài)，以及電郵交互無(wú)抵賴(lài)這4類(lèi)抵賴(lài)情況的占比數(shù)據(jù)。如表1所示，隨著電郵交互次數(shù)的不斷增多，被源頭抑制掉的電郵發(fā)送抵賴(lài)平均占比從最初的0.243 8下降（使用″↘″標(biāo)記）到0.019 7，電郵接收抵賴(lài)平均占比從最初的0.215 2下降到0.019 9，電郵收發(fā)抵賴(lài)平均占比從最初的0.013 9下降到0，與此同時(shí)，電郵交互成功平均占比從最初的0.620 4上升（使用″↗″標(biāo)記）到0.957 4。這表明，本文提出的電郵抵賴(lài)源頭抑制方法能夠促使電郵實(shí)體執(zhí)行誠(chéng)信無(wú)抵賴(lài)的電郵交互。

5.2.4 源頭抑制能力評(píng)估

對(duì)電郵抵賴(lài)源頭抑制能力的評(píng)估擬采用3種常用的評(píng)估分類(lèi)器度量標(biāo)準(zhǔn)：查全率、查準(zhǔn)率和調(diào)和平均值。具體地，設(shè)TP是事前被正確識(shí)別為電郵抵賴(lài)的樣本數(shù)、FN是事前被誤判為電郵無(wú)抵賴(lài)的樣本數(shù)、FP是事前被誤判為電郵抵賴(lài)的樣本數(shù)，則電郵抵賴(lài)查全率、電郵抵賴(lài)查準(zhǔn)率、調(diào)和平均值

圖7 電郵抵賴(lài)源頭抑制實(shí)驗(yàn)結(jié)果

表1 電郵抵賴(lài)源頭抑制效果分析

圖8 電郵抵賴(lài)查全率、查準(zhǔn)率和調(diào)和平均值

表2 電郵抵賴(lài)源頭抑制能力分析

針對(duì)4種交叉場(chǎng)景，圖8給出了ρ=1，θ=0.75時(shí)電郵交互總量從1增長(zhǎng)到10 000時(shí)的電郵抵賴(lài)查全率、電郵抵賴(lài)查準(zhǔn)率和調(diào)和平均值。從表2可以看出，雖然在4種交叉場(chǎng)景下的電郵抵賴(lài)查全率均值僅為0.373 0，但查準(zhǔn)率卻高達(dá)0.999 2，并且還獲得了0.526 4的較好調(diào)和平均值，這表明本文方法具備一定的電郵抵賴(lài)源頭抑制能力。

5.2.5 與簽收電郵的比較

為確保比較的公平性，通過(guò)裁剪5.1節(jié)的實(shí)驗(yàn)系統(tǒng)構(gòu)建出待比較的簽收電郵系統(tǒng)，即切斷圖3中的PC0，修改PC1、PC2上流表以雙向允許PC3、PC4間的分組，保留PC3上的NRMail和PC4上的電郵服務(wù)。

圖9給出了ρ=1，θ=0.75時(shí)電郵交互總量從1增長(zhǎng)到10 000時(shí)，本文方法與簽收電郵的電郵抵賴(lài)抑制對(duì)比情況。從表3和表4可以看出，在同種系統(tǒng)配置下，當(dāng)電郵交互總量達(dá)到10 000時(shí)，4種交叉場(chǎng)景下本文方法的電郵抵賴(lài)源頭抑制的占比與簽收電郵的電郵抵賴(lài)事后抑制占比相當(dāng)，分別達(dá)到了94.85%、99.53%、99.09%和99.10%，這表明本文方法有效彌補(bǔ)了簽收電郵在抵賴(lài)源頭抑制上的不足。

6 結(jié)束語(yǔ)

基于 SDN技術(shù)，提出一種不破壞現(xiàn)有電郵結(jié)構(gòu)的電郵抵賴(lài)源頭抑制方法，解決了現(xiàn)有以簽收電郵為代表的電郵安全技術(shù)僅能對(duì)電郵抵賴(lài)進(jìn)行事后檢測(cè)而無(wú)法實(shí)施源頭抑制的問(wèn)題?？紤]到本文方法在電郵抵賴(lài)查全率上還有提升空間，下一步工作擬分2步進(jìn)行：1) 設(shè)計(jì)出抵賴(lài)危害評(píng)估模型，以對(duì)電郵抵賴(lài)的危害性進(jìn)行界定；2) 基于電郵通聯(lián)網(wǎng)絡(luò)提出電郵抵賴(lài)傳播與擴(kuò)散機(jī)制，以獲取危害性電郵抵賴(lài)的行為態(tài)勢(shì)。在改善電郵抵賴(lài)源頭抑制針對(duì)性的同時(shí)，通過(guò)擴(kuò)大電郵抵賴(lài)的預(yù)測(cè)面來(lái)提升電郵抵賴(lài)的源頭查全率。

圖9 源頭抑制與事后抑制實(shí)驗(yàn)結(jié)果

表3 無(wú)共謀情境下抵賴(lài)抑制占比（抑制數(shù)/交互量）

表4 有共謀情境下抵賴(lài)抑制占比（抑制數(shù)/交互量）

[1] WELLS T M, DENNIS A R. To e-mail or not to e-mail: the impact of media on psychophysiological responses and emotional content in utilitarian and romantic communication[J]. Computers in Human Behavior, 2016, 54: 1-9.

[2] TAUBER A. A survey of certified mail systems provided on the Internet[J]. Computers amp; Security, 2011, 30: 464-485.

[3] FERRER-GOMILLA J L, ONIEVA J A, PAYERAS M, et al. Certified electronic mail: properties revisited [J]. Computers amp; Security,2010, 29(2):167-179.

[4] KIM H, FEAMSTER N. Improving network management with software defined networking [J]. IEEE Communications Magazine, 2013,51(2):114-119.

[5] ALI S T, SIVARAMAN V, RADFORD A, et al. A survey of securing networks using software defined networking [J]. IEEE Transactions on Reliability, 2015,64(3): 1086-1097.

[6] BECHTOLD S, PERRIG A. Accountability in future Internet architectures[J]. Communications of the ACM, 2014, 57(9): 21-23.

[7] WANG Y, SUSILO W, AU MH, et al. Collusion-resistance in optimistic fair exchange[J]. IEEE Transactions on Information Forensics and Security, 2014, 9(8):1227-1239.

[8] ONIEVA J A, ZHOU J, LOPEZ J. Enhancing certified e-mail service for timeliness and multicast[C]// 2004 International Network Conference. Plymouth, UK, 2004: 327-336.

[9] MICALI S. Simple and fast optimistic protocols for fair electronic exchange[C]//The twenty-second annual symposium on Principles of distributed computing. Boston, USA, 2003: 12-19.

[10] SHAO MH, WANG G, ZHOU J. Some common attacks against certified e-mail protocols and the countermeasures[J]. Computer Communications, 2006, 29(15): 2759-2769.

[11] PAYERAS-CAPELLà M M, MUT-PUIGSERVER M, FERRER-GOMILA J L, et al. No author based selective receipt in an efficient certified e-mail protocol[C]//2009 17th Euromicro International Conference on Parallel, Distributed and Network-based Processing. Weimar, 2009:387-392.

[12] PUIGSERVER M M, GOMILA J L F, ROTGER L H. Certified electronic mail protocol resistant to a minority of malicious third parties[C]//Nineteenth Annual Joint Conference of the IEEE Computer and Communications Societies (IEEE INFOCOM 2000). 2000:1401-1405.

[13] ATENIESE G, MEDEIROS BD, GOODRICH MT. TRICERT: a distributed certified e-mail schemes[C]//2001 Network and Distributed System Security Symposium. San Diego, USA, 2001.

[14] ZHOU J, ONIEVA J, LOPEZ J. Optimized multi-party certified e-mail protocols[J]. Information Management amp; Computer Security,2005, 13(5):350-366.

[15] WANG C, LAN C, NIU S, et al. An ID-based certified e-mail protocol with STTP suitable for wireless mobile environments[J]. Journal of Computers, 2013,8(1): 3-9.

[16] TAUBER A, APITZSCH J, BOLDRIN L. An interoperability standard for certified mail systems[J]. Computer Standards amp; Interfaces,2012, 34: 452-466.

[17] TAUBER A, KUSTOR P, KARNING B. Cross-border certified electronic mailing: a European perspective[J]. Computer Law amp; Security Review, 2013, 29(1):28-39.

[18] DRAPER-GIL G, FERRER-GOMILA JL, HINAREJOS MF, et al.An optimistic certified e-mail protocol for the current Internet e-mail architecture[C]//2014 IEEE Conference on Communications and Network Security(CNS). San Francisco, 2014: 382-390.

[19] PAULIN A, WELZER T. A universal system for fair non-repudiable certified e-mail without a trusted third party [J]. Computers amp; Security, 2013,32: 207-218.

[20] LARA A, KOLASANI A, Ramamurthy B. Network innovation using OpenFlow: a survey [J]. IEEE Communications Surveys amp; Tutorials,2014, 16(1): 493-512.

[21] KREUTZ D, RAMOS F M V, VERISSIMO P E, et al. Softwaredefined networking: A comprehensive survey[J]. Proceedings of the IEEE, 2015,103(1): 14-76.

[22] SYVERSON P, VAN OORSCHOT P C. A unified cryptographic protocol logic[R]. Technical Report, NRL Publication 5540-227,Naval Research Lab, 1996.

[23] HENDRIKX F, BUBENDORFER K, CHARD R. Reputation systems: A survey and taxonomy [J]. Journal of Parallel and Distributed Computing, 2015, 75: 184-197.

[24] SRIVATSA M, XIONG L, LIU L. TrustGuard: countering vulnerabilities in reputation management for decentralized overlay networks[C]//The 14th international conference on World Wide Web(WWW2005). Chiba, Japan, 2005.

SDN based e-mail repudiation source restraining method

HAN Zhi-geng1,2, FENG Xia3, CHEN Geng1,2
(1. Institute of Technology, Nanjing Audit University, Nanjing 211815, China;2. Jiangsu Key Laboratory of Public Project Audit, Nanjing Audit University, Nanjing 211815, China;3. School of Computer Science and Technology, Anhui University, Hefei 230601, China)

With the limitation of controllability of the existing Internet architecture, the existing secure e-mail technology such as certified e-mail can only post detection but cannot source restraining on e-mail repudiation. Based on the idea of control and data separation of software-defined networking technology, by means of bypass attaching customized repudiation restrain unit to the traditional e-mail model. An e-mail repudiation source restraining method was proposed without destroying the existing e-mail structure. After presenting e-mail evidence binding protocol, repudiation behavior detection algorithm, certified reputation evaluation model, and repudiation restraining strategy formation algorithm embedded in repudiation restrain unit, the effectiveness were tested of the proposed method in 4 cross scenarios. The experimental results show that, under the premise of compatibility with the current e-mail system, the method can source restrain e-mail repudiation effectively.

e-mail repudiation, source restraining, SDN, certified e-mail

s: The National Natural Science Foundation of China (No.71271117), The Natural Science Foundation of Jiangsu Province (No.BK20151460), The University Natural Science Foundation of Jiangsu Province(No.16KJB520021), Jiangsu Province Key Laboratory of Network and Information Security(No.BM2003201), The Opening Foundation of Jiangsu Province Key Laboratory of Public Project Audit (No.GGSS2015-04)

TP393

A

10.11959/j.issn.1000-436x.2016178

2016-02-28；

2016-07-12

馮霞，fengx.ahu@foxmail.com

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.71271117）；江蘇省自然科學(xué)基金資助項(xiàng)目（No.BK20151460）；江蘇省高校自然科學(xué)基金資助項(xiàng)目（No.16KJB520021）；江蘇省網(wǎng)絡(luò)與信息安全重點(diǎn)實(shí)驗(yàn)室基金資助項(xiàng)目（No.BM2003201）；江蘇省公共工程審計(jì)重點(diǎn)實(shí)驗(yàn)室開(kāi)放課題基金資助項(xiàng)目（No.GGSS2015-04）

韓志耕（1976-），男，江蘇東臺(tái)人，博士，南京審計(jì)大學(xué)講師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全與管理。

馮霞（1983-），女，江蘇揚(yáng)中人，安徽大學(xué)博士生，主要研究方向?yàn)閿?shù)據(jù)安全。

陳耿（1965-），男，江蘇無(wú)錫人，博士，南京審計(jì)大學(xué)教授、碩士生導(dǎo)師，主要研究方向?yàn)閿?shù)據(jù)安全、網(wǎng)絡(luò)取證。