【隐私设计模式】隐私设计模式之基于匿名声誉的黑名单

摘要

甚至在不知道他们是谁的情况下摆脱麻烦制造者。

问题

从隐私的角度来看，匿名是一种可取的属性。然而，匿名可能会助长不当行为，因为用户不害怕受到报复。

服务提供商可以根据用户与服务的交互为其用户分配信誉分数。那些行为不端的人会获得坏名声，他们最终会被列入黑名单，并被禁止再使用该服务。然而，这些评分系统传统上要求公开用户身份并将其与信誉评分相关联，因此与匿名性冲突。例如，这使得维基百科管理员决定禁止来自TOR网络的编辑请求，因为他们无法正确识别行为不端的用户。

可在用户和服务提供商之间引入可信第三方（TTP）。TTP可以从服务提供商接收信誉分数，以便实施基于信誉的访问策略，同时对服务提供商隐藏身份。然而，这将要求用户信任TTP，而不是真正的告密者。

我们如何让用户对自己的行为负责，同时保持匿名？

上下文

服务提供商向匿名访问的用户提供服务，这些用户可能会滥用该服务。

目标

服务提供商希望防止行为不端的用户在无法访问其身份的情况下访问服务。

激励示例

wiki允许任何访问者修改其内容，即使没有经过身份验证。一些恶意访问者可能会破坏内容。这一事实由维基管理员发出了信号。如果来自同一IP地址的访问者不断破坏网站，他们将获得坏名声，他们的IP将被禁止修改内容。然而，通过Tor匿名网络代理访问的用户无法从其IP中识别，因此无法跟踪其声誉。

解决方案

• 首先，服务提供商为用户提供匿名身份验证的凭据。
• 然后，每次经过身份验证的用户在服务中持有会话时，服务提供商根据会话期间的用户行为为该会话分配并记录信誉值。请注意，这些信誉值只能链接到特定会话，而不能链接到特定用户（因为它们已匿名身份验证）。
• 当用户回来并在服务中启动新会话时，服务提供商会向用户提出挑战，要求他在零知识的情况下证明自己与任何违规会话（与负面声誉相关的会话）没有关联。零知识证明允许用户证明这一点，而不会向服务提供商透露他们的身份。已经提出了不同的替代证明，例如，证明用户没有链接到一组会话ID中的任何会话，证明用户的最后K个会话具有良好的信誉等。
• 实际上，也可以应用更复杂的黑名单规则。例如，可以为同一会话分配多个信誉分数，每个分数都与用户行为的不同方面有关。然后，黑名单阈值可以采取布尔组合或单个会话和方面信誉值的线性组合的形式。

限制和后果

不同的实现可能只适用于用户数量减少的服务，需要密集的计算，将信誉范围限制在有限的时间范围内，容易受到Sybil攻击等。尽管如此，协议正在改进，以克服这些和其他问题。有关具体讨论，请参阅以下引用的来源。

已知用途

• Au，M.H.、Kapadia，A.和Susilo，W.（2012年）。BLACR:TTP免费的可列入黑名单的匿名凭据。
• Au，M.H.和Kapadia，A.（2012年10月）。PERM：实用的基于信誉的黑名单，没有TTP。《2012年ACM计算机和通信安全会议记录》（第929-940页）。ACM。

类别

分离侧

支持模式

洋葱路由非对称集

技术就绪水平

TRL-3：概念的实验证明

本文：