众所周知，通过P2P下载文件时，服务器会返回一个列表，其中包含该文件的发布者和其他下载者的地址。随后，下载者会通过这个列表，联系到其他的下载者，从而瓦相交换文件块。这种方式大大的减轻了服务器的负担，而且越多的人下载，下载的速度越快。但与此同时，文件的下载者身份却被暴露，从而泄露了下载者的隐私。

　　同Crowds系统一样，本方案也采用概率转发的方式提供匿名性。我们引入一种冗余节点，该节点不参与文件的下载，仅仅转发其他下载者的请求‘5]。实际上，并不需要某些专门的设备作为冗余节点，P2P系统中的某些下载者，如果它并不参与本次文件的下载过程，那么它就可以作为冗余节点。用n表示参与一次匿名文件下载的结点数，nk表示冗余节点的数量。

　　建立匿名通信烦的过程如下：下载者向服务器请求他要下载的文件的其他下载者列表，服务器接到请求后，并不是直接把该列表回复给下载者，而是将其发送给Blender，并向Blender请求一系列的冗余节点。Blender接到请求后，将会获取一些冗余节点返回给服务器，服务器再将这些冗余节点连同原列表混合成一个新的列表发送给下载者。这样当下载者通过列表上的节点下载文件时，当他向一个真实的节点请求文件块时，该真实节点相应的返回给他文件块。当他向冗余节点请求文件块时，冗余节点只是简单地转发他的请求给其他的节点，因此当一个节点接收到请求信息时，它并不能判断文件的真实请求者是谁。图3表示匿名的文件下载过程。

　　由于攻击者并不能判断某次通信请求是否是真实的请求者发起的，因此本文提出的方案具有的匿名度是Probableinnocence。由此，可以看出，本方案已经使用户拥有了一定的匿名性。

　　2.2可调节的匿名性

　　匿名度和性能是一对矛盾体，追求匿名性必然会带来性能上的损失。有时，用户希望系统能提供一个高的匿名性，但有时，用户又可能会希望系统能提供一个好的性能，而对于匿名性的要求，则没那么高。因此，本方案将提供一个在匿名性和性能之间可以调节的机制。

　　当下载者向服务器请求列表时，他向服务器发送他期望的匿名度lk，服务器将lk连带着文件下载者列表一同发送给Blender。Blender根据lk，得出转发概率Pk，和nk个冗余节点。Blender将转发概率pk，和nk个冗余节点返回给服务器，服务器将冗余节点列表及原列表重新生成一个新的列表以连同转发概率pk返回给下载者。

　　匿名度为lk对应的转发概率为pk，冗余节点的数量为nk。当下载者选择较高的匿名度时，则本次匿名通信中的冗余节点的数量和转发概率也越大，从而提供一个更好的匿名度。当其选择较低的匿名度时，则本次匿名通信中的冗余节点的数量和转发概率就小，从而提供一个较低的匿名度和一个较高的性能。

　　3匿名性分析

　　本文通过信息熵来衡量匿名度的大小。X作为概率分布函数的离散随机输入，则对于每一个发送者来说，它是路径发起者的概率为：

　　从而可以得到如图4所示的仿真结果。可以看出，匿名度随着转发概率的增加而变大，随着攻击者个数的增加而变小。而增加冗余节点的个数，是一种有效的减少路径中攻击者的方式。但是也可以看出过高的转发概率和大量的冗余节点虽然大大提高了匿名度，但是必然会影响系统的效率。因此，用户可以根据具体的需求，选择其所需要的匿名度。

　　4结论

　　本文基于Crowds的基本思想，提出了一种用于P2P文件下载网络的匿名通信方案。此方案不仅能提供匿名度为Probableinnocence的匿名服务，还可以调节匿名度，以满足不同用户对匿名性和性能的不同要求。仿真结果验证了方案的匿名性，并展示了不同的转发概率以及攻击者数目对匿名性的影响。另外，本方案并不改变原有的P2P文件下载网络的工作方式，只是在原有网络的基础上，增加了一个匿名层，因此方案实施的成本很低。