日時:2008年 4月 3日(木) 18:30 から
場所:早稲田大学 理工学部(大久保キャンパス) 63号館 5F 05-06室(地図)
話者:
井口 誠(早稲田大学 理工学術院/フランステレコム)
話題:
プライバシー保護を重視した匿名P2Pネットワークプロトコルの設計
概要:
各ノードのプロファイル情報(どのようなデータを保持しているのか)を隠匿しつつ、
類似データを保有するノード間においてデータ共有を実現する匿名P2Pネットワーク
プロトコルを紹介する。提案方式は、ノードが意図的に偽のプロファイルをネット
ワークに配布する点が特徴的である。
また、提案プロトコルの応用についても論じる。
出席者:16名
高須賀清隆、安齋嶺、多田好克、寺田実(電通大)、小林弘明(元電通大)、 和田英一(IIJ)、齋藤宏治(シンセリアル),伊知地宏(ラムダ数教研)、 日比野啓(朝日ネット),山口文彦(東京理科大)、永松礼夫(神奈川大)、 疋田敏朗(トヨタIT開発センター)、田中哲朗、横山大作、笹田耕一、 丸山一貴(東京大)
Q: ノードのプロファイルが「近い/遠い」という判定の基準は? A: 一定の閾値を設定の上、プロファイルの類似度がこの閾値以上の場合は 「近い」、そうでない場合は「遠い」と判定している。 Q: プロファイルの隠匿とは供給元の隠匿なのか?それとも内容の隠匿なのか? A: 供給元の隠匿を採用している。 Q: データプロファイル f(d_i) は、ハッシュのようなものか? A: 違う。データの特徴を現すメタデータに相当するものである。 例えばデータがテキストであれば、このテキストの特徴ベクトルなどが データプロファイルになる。 Q: lTTLの値や通信の遅延より、ホップ数がわかってしまうのではないか? A: コネクション要求メッセージ生成時にlTTLの値を変動させているため lTTLからホップ数はわからない。通信遅延からは推測可能かもしれないが、 各ノードにおいて意図的に遅延を発生させるなどの対応策をとる事が可能。 なお、ホップ数が判明したとしても、直接的にこれがプロファイルの露見 につながるわけではない。 Q: 悪意を持ったノードが1つだけという前提に見えるが、悪意を持った複数の ノードが協調して解析を行った場合における匿名性はどうか。 A: 現在の段階では、複数ノードが結託した攻撃については検討外。 Q: 評価実験において、lTTLが最大値であった場合にノードが嘘をつく確率は? A: 0.5としている。 Q: 実験において、lTTLの変動値を 0-3 にしている根拠は? A: 特にないが、全ノード数が1000であるため、あまり大きなlTTL値を採用する と実験の意味がなくなってしまう(すべてのノードに到達可能となって しまうため) Q: 実験における「コネクション切断」とは何か? A: すでに確立済のコネクションを切断する処理のことをさす。 Q: Cache にデータが溜まると、ノードのプロファイルは更新されるのか? A: 今回の実験では、ノードのプロファイルは固定という前提。よって、 Cacheに溜まったデータは、ノードプロファイルには影響を及ぼさない。 Q: Node infoの保持上限が10個だと、いざ嘘をつこうと思っても自分に似た プロファイル情報しか手元になく、嘘がつけないという状況に陥ってしまう のではないか? A: その可能性はある。今後検討する。 Q: 嘘=完全一致ではない、という設定はどうなのか? A: プロファイルとしてどのようなメタデータを利用するのかにも依存する。 類似度が閾値以下のプロファイルのみを嘘として選択するやり方も考えられる。 A: Gnutella や Winny などの既存の匿名P2P方式と比較する予定はあるか? Q: まだ比較はしていない。ぜひ試してみたい。 Q. 評価実験のシミュレーションでは各ノードが同期的に動作しているようだが、 実際にはそうではないのではないか? A. 確かに実環境では各ノードが非同期に動作する。ただし、同期/非同期の 違いによる違いはほとんどないはず。 Q: ループ検出だが、パス情報をハッシュの形でメッセージに含めることで、 事前検出が可能になるのではないか? A: 確かにその通りかもしれない。検討する。 Q: ループ事後検出時、「このメッセージはすでに受け取った」と答えるのは よくないのでは?答えずに黙ってメッセージを捨てる方がよいのでは? A: ループ発生の事実を知ることで発生するリスクとの兼ね合いだと思う。 今後検討していきたい。 コメント: ワイヤレスな環境への適用も検討して欲しい。