网络六边形受到攻击
大家读完觉得有帮助记得关注和点赞!!!
抽象
现代智能交通系统 (ITS) 的一个关键要求是能够以安全、可靠和匿名的方式从互联车辆和移动设备收集地理参考数据。Nexagon 协议建立在 IETF 定位器/ID 分离协议 (LISP) 和分层六边形集群 (H3) 地理空间索引系统之上,为动态、保护隐私的数据聚合提供了一个有前途的框架。为了解决当前规范中持续存在的关键安全和隐私漏洞,我们应用了 STRIDE 和 LINDDUN 威胁建模框架,并证明 Nexagon 协议容易受到用户重新识别、会话链接和稀疏区域攻击。为了应对这些挑战,我们提出了一种增强的安全架构,将公钥基础设施 (PKI) 与临时假名证书相结合。我们的解决方案通过随机密钥轮换和自适应地理空间分辨率来保证用户和设备匿名,从而有效缓解稀疏环境中的重新识别和监控风险。基于微服务的覆盖网络上的原型实现验证了该方法,并强调了其为实际部署做好准备。我们的结果表明,可以在不增加延迟超过 25% 或将吞吐量降低超过 7% 的情况下实现所需的安全级别。
索引术语:
安全众包、移动网络、隐私保护协议、地理隐私威胁建模、移动边缘安全。我介绍
在互联汽车和移动设备上运行的分布式机器学习 (ML) 有望显著提高交通效率和可持续性,最明显的是实时改进路线规划和交通优化[1]具有多层上下文信息[2]. 如图 1 所示,互联汽车现在充当边缘设备,能够为各种用例(从道路缺陷到碰撞检测)获取大量地理参考数据。 这些数据的准确性和颗粒度最终决定了智能交通系统的整体安全性和性能[4].
这类数据驱动型解决方案的一个关键挑战是如何从数百万辆互联汽车和移动边缘设备中收集实时数据,同时解决在现实情况下拥有和作它们的所有人员非常重大的安全和隐私问题。换句话说,为了确保没有攻击者能够跟踪或破坏任何移动节点或其数据,底层智能交通生态系统需要大规模实施的安全数据聚合系统[5,6].
图 1:一个交通场景,显示实时捕获和报告路况和车辆碰撞的互联车辆网络。
鉴于这些挑战,互联网工程任务组 (IETF) 目前正在讨论和标准化网络六边形(“nexagons”)的使用[3]用于安全的移动数据收集。这种所谓的 Nexagon 协议建立在定位器/ID 分离协议 (LISP) 之上[7158286]并支持移动节点网络,以实时绘制交通标志、车辆路线、建筑工程、自然灾害和其他道路状况。该协议依靠地理位置分散的代理来传输传感器派生的属性,同时确保整个网络的及时更新。
Nexagon 协议缺乏支持其安全要求所需的实际身份验证机制的详细指南。因此,我们的研究重点是批判性地检查协议的架构,以确定破坏互联汽车及其用户的安全性和隐私性的方面。我们的目标是进行系统的威胁分析,并实施一个真实世界的原型,为已识别的漏洞提供有效的缓解措施,为未来的研究提供信息。
我们的研究通过提供以下措施来解决 Nexagon 协议中的关键差距:(1) 对 Nexagon 协议中的安全和隐私威胁进行全面分析,以及相应的缓解措施;(2) 基于 PKI 的身份验证系统,采用假名证书和安全密钥轮换来保证安全发现和增强的匿名性;(3) 原型 Nexagon 实现以及性能指标,用于演示基于 PKI 的身份验证增强功能的可行性和开销。
本文的其余部分结构如下:第二部分概述了 ITS 背景下隐私保护协议的相关研究,从而引出我们的贡献。第 III 节详细阐述了 Nexagon 架构,详细介绍了它与 LISP 和分层六边形网格系统 (H3) 的关联。第 IV 部分对 Nexagon 协议进行安全和威胁分析,识别潜在漏洞并提出缓解措施。第 V 部分详细介绍了我们对 Nexagon 协议的实施策略,然后对我们的安全附件进行了全面评估。最后,第六节总结了我们的发现,并提出了未来研究的领域。
第二相关工作
ITS 应用程序对地理参考数据的严重依赖引入了固有的隐私风险[10.1007/978-3-030-03405-4_5]对于参与用户。在此类系统中提供用户匿名对于维护公众信任和鼓励广泛采用至关重要。 k-匿名研究[doi:10.1142/S0218488502001648]引入了一种数学上强大的解决方案,通过隐藏用户身份来解决隐私风险。匿名模型确保每个人的数据与数据集中至少 k-1 个其他个体无法区分。这是通过引入虚拟用户来实现的,这些虚拟用户增强了匿名性,并为防止重新识别提供了统计保证。 相比之下,差分隐私 (DP)[10.1007/11787006_1]采用不同的策略,通过引入 Noise 来增加数据的随机性,确保查询的输出显示有关任何个人的最小信息,同时保持整体数据集的实用性。
虽然 k-anonymity 等隐私保护技术显示出可喜的结果,但在应用于 ITS 等实时动态环境时,仍然存在重大挑战。例如[10.1007/11787006_1]使用 k-anonymity,通过引入来自具有欺骗位置的用户的虚拟请求,来掩盖基于位置的服务 (LBS) 用户的实际位置。这种方法确保了用户的匿名性,但在基础设施资源受限的环境中会导致效率低下。在 ITS 中,及时更新路线和流量状况至关重要,这种方法会导致大量带宽消耗,而不会产生成比例的好处。此外,使用此方案进行欺骗的移动客户端将面临性能下降,因为需要重复请求来保持匿名。
相比之下,差分隐私在数据中引入了受控噪声,确保单个用户数据受到保护,而无需任何冗余。但是,噪声的引入可能会掩盖关键细节,从而导致交通预测、路线优化或车队管理洞察不那么精确[10.1145/3035918.3054779].
其他几项研究工作探索了旨在保护移动众包系统中隐私的实际解决方案。概述的方法[8485464,8678475,PEREZ2022100450,https://doi.org/10.1155/2018/8959635],保护用户数据并保持匿名性,同时仍然允许高效的数据聚合和任务分配。但是,这些解决方案在应用于动态和实时环境时要么达不到要求,要么在技术上难以实现和维护。 现有的保证匿名的方法无法满足 ITS 的运营需求,这凸显了对更高效、可扩展和适应性更强的解决方案的需求。Nexagon 协议[3]通过引入专为实时数据交换而设计的解决方案,以及为分布式互联汽车和其他类型的移动边缘设备量身定制的安全扩展,来应对这些挑战。
第三网络六边形:概述
Nexagon 协议建立了一个移动边缘设备的分布式网络,旨在支持地理参考数据的实时流,同时确保用户隐私。该协议利用了定位器/ID 分离协议 (LISP) 的高级寻址语义[7158286]实现高效的客户管理,并采用 H3 分层空间索引系统来有效地本地化客户。LISP 通过分离唯一标识设备及其在网络内的路由上下文的关注点来应对现代互联网的挑战。H3 的开发是为了改善依赖基于位置的服务的应用程序中的用户体验[共 号 11060731,h3文档].
作为 Nexagon 网络的关键组件,LISP 为在 hexagons 中本地化客户端提供了基础架构。通过分离全局和本地范围,LISP 通过使用路由定位器 (RLOC) 和端点标识符 (EID) 来镜像传统的网络设计。RLOC 支持支持 LISP 的边缘路由器之间的通信,提供广域网访问,而 EID 则促进了 Nexagon 覆盖内客户端之间的交互。为了确保高效的数据转发和无缝的网络发现,边缘路由器维护了存储 EID 和 RLOC 之间关联的映射缓存。
H3 软件包由 Uber Technologies 开发,旨在增强用户应用程序的基于位置的服务。该库将客户端的 GPS 坐标转换为与已定义网格中的特定六边形对应的唯一标识符。每个六边形(也称为“H3 图块”)将具有相似 GPS 坐标的设备分组到同一图块中。这些切片的粒度由名为 resolution 的参数决定,该参数定义给定地理区域的细节级别[h3文档].如图 2 所示,剖面图直观地展示了 H3 切片如何建立边界,从而能够根据车辆的地理位置对车辆进行分组。
图 2:叠加了不同粒度的六边形切片的剖面图,显示了如何为车辆和移动设备编制索引。
除了移动边缘设备或客户端之外,Nexagon 规范还概述了几个关键组件,这些组件支持和支持它为边缘设备提供的服务。图 3 提供了该方案中所有参与元素的全面可视化表示,突出了它们与其他组件的交互以及它们在实现安全、可扩展和隐私保护数据聚合方面的特定作用。
- •
身份验证节点:通过指定方法安全地提供必要的凭证,处理客户端关联和加入 Nexagon 网络。
- •
地理地图节点:维护一个空间数据库,该数据库将地理引用的更新映射到相应的客户端终端节点标识符 (EID)。
- •
H3 聚合节点:处理在每个 H3 图块中收集的数据,实现本地化分析并支持为用户提供广泛的服务。聚合结果存储在数据湖中,以供将来分析和洞察。
图 3:Nexagon 协议架构概述。
四安全和隐私分析
就目前而言,Nexagon 协议规范没有定义用于客户端身份验证的特定机制。为了确保网络得到强大的保护,免受流氓行为者的侵害,对潜在的攻击媒介进行全面调查并开发能够有效缓解这些威胁的强大安全机制至关重要。此分析专门用于保护移动边缘设备的完整性和隐私性。为了实现这一点,我们应用 STRIDE[跨]和 LINDDUN[邓2011APT]威胁建模框架。这些互补技术共同使我们能够系统地识别 Nexagon 协议中的隐私风险。
首先,我们将 Nexagon 系统分解为数据流图 (DFD),提供其组件之间交互和信息流的可视化表示。接下来,我们将威胁类别映射到相应的 DFD 元素,识别容易受到安全和隐私风险影响的组件。随后,利用 STRIDE 和 LINDDUN 框架中的攻击树模板来发现潜在的攻击场景并制定缓解策略。最后,我们在一个综合表格中总结了我们的发现,该表格概述了在我们的实施设置中要考虑的已识别威胁、建议的缓解措施和隐私增强解决方案。
IV-A 型系统分解
为了系统地评估 Nexagon 协议的安全和隐私风险,我们使用 DFD 将其架构分解为基础元素。因此,每个元素都表示为实体、流程、数据存储或数据流。如图 4 所示,生成的信任边界跨三个不同的区域定义:(1) 不受信任的外部(客户端进程和边缘基础设施),(2) 半受信任的“隔离区”(DMZ)(聚合进程和边缘路由器),以及 (3) 受信任的管理平面(核心身份验证进程)。联网车辆和其他移动边缘设备等外部实体被分配到不受信任的外部区域,而边缘路由器的范围被限定为半受信任的 DMZ,因为它们协调不受信任的客户端和受信任的内部进程之间的流量。身份验证过程在受信任的管理平面内运行,因为它处理敏感任务,例如颁发假名凭证和管理加密密钥。数据流(例如地理引用的更新)的范围跨信任边界。
图 4:Nexagon 协议的数据流图。
IV-B 型映射威胁类别
表 I 提供了安全和隐私威胁类别到 Nexagon 架构中各自 DFD 元素的全面映射。每个交集都表示特定威胁类别对特定 DFD 元素的适用性:实体、流程、数据存储或数据流。此映射突出了系统的不同组件如何面临不同的风险,并作为有针对性的缓解策略的基础。
例如,Linkability 和 Disclosure 等属性跨越多个 DFD 元素,反映了它们在处理敏感数据的系统中的普遍性。同样,欺骗和篡改等威胁类别强调实体和进程中的漏洞,而拒绝服务的影响对进程和数据流的影响更为普遍,因为它们在维护系统可用性方面的作用。否认和信息泄露被排除在 STRIDE 映射之外,因为它们已经在 LINDDUN 框架中得到解决。同样,内容不感知和不合规也被排除在外,因为它们不会影响 Nexagons 中用户的隐私。
表 I:将威胁类别映射到 DFD 元素
| 威胁类别 | DFD 元件 | ||||
|---|---|---|---|---|---|
| 实体 | 过程 | 数据存储 | 数据流 | ||
| 林顿 | 链接性 | X | X | X | X |
| 可识别性 | X | X | X | X | |
| 不可否认性 | X | X | |||
| 可检测性 | X | X | |||
| 披露 | X | X | X | ||
| 跨 | 欺骗 | X | X | ||
| 篡改 | X | X | |||
| 拒绝服务 | X | X | |||
IV-C 型威胁、缓解措施和隐私增强解决方案
在表 II 中,我们列出了在系统威胁建模过程中发现的威胁的完整列表。对于每个已识别的威胁,我们利用 LINDDUN 框架提供的攻击树中的洞察来开发攻击场景,并根据评估的隐私增强解决方案提出缓解措施。这种系统化的方法可确保全面解决安全漏洞和隐私风险。我们通过提出两个关键威胁模型来总结我们的发现,这些模型突出了具有高风险因素的漏洞。我们将解决在原型实施过程中发现的漏洞,如下一节所述。为简洁起见,我们提供了一个表格,总结了攻击场景,为未明确详细说明的其他关键攻击提供了描述。
表 II:网络六边形中的威胁、受影响的组件、攻击描述和缓解措施
| 威胁 | 受影响的 组件 | 攻击描述 | 缓解 | 风险级别 |
| 会话链接 | –移动客户端 –身份验证代理 | 攻击者通过连接不同进程中的凭证并通过静态标识符或类似模式跟踪会话中的作来链接用户。 | – 使用动态轮换的假名 EID[10.1145/586110.586137]. – 添加虚拟流量以防止基于时间的关联。 | 高 |
| 请求分析 | – 移动客户端 | 攻击者将用户行为跨进程链接起来,以识别模式(例如请求频率)。 | – 在请求模式中添加噪音以掩盖用户行为[Chakravarty2014年交通]. – 通过混合网络路由请求以匿名化流量。 | 中等 |
| 稀疏区域 攻击 | – 移动客户端 | 攻击者通过利用静态六边形网格中的低密度客户端来利用人口稀少或偏远的区域。 | –在稀疏区域中动态扩展六边形区域。 –确保在任何区域中至少有 k 个客户端无法区分[chow2008空间]. | 高 |
| 用户 重新识别 | –移动客户端 –地图代理 | 攻击者通过将假名与外部数据集(例如 IP 地址)相关联来识别用户。 | – 在不透露身份的情况下对用户进行身份验证。 – 加密通信和存储中的所有元数据或使用洋葱路由器。 | 中等 |
| 伪造日志或 审计条目 | –移动客户端 – 身份验证代理 – 映射代理 – 聚合代理 | 恶意行为者修改日志以否认对特定作的责任。 | – 使用区块链或仅附加存储进行审计跟踪。 – 对日志进行加密签名以确保完整性。 | 低 |
| 客户端请求/响应重播 | –身份验证代理 –映射代理 | 攻击者重播有效的身份验证请求以绕过不可否认机制。 | – 在请求中包含 nonce 以防止重放攻击。 – 使用双向 TLS (mTLS) 进行双向验证。 | 中等 |
| 用户数据泄露 和窃听 | –移动客户端 –身份验证代理 | 攻击者利用弱加密或不良访问控制来拦截未加密的传输(包括地理参考数据),从而暴露敏感的用户信息。 | –加密所有传输中的数据和静态数据。 – 实施严格的基于角色的访问控制 (RBAC)。 | 中等 |
| 欺骗代理 | –移动客户端 –地图代理 | 攻击者冒充合法的客户端或身份验证代理。 | – 使用硬件支持的认证进行设备验证。 – 要求双方使用证书相互验证[9824568]. | 高 |
| 高-发生的可能性非常高,并且对 Nexagons 有严重影响,目前尚未被知名计划解决中等-发生的可能性非常大,对 Nexagons 有关键影响,目前由知名计划解决低-发生的可能性非常小,对 Nexagons 有严重影响 | ||||
IV-C1 号分层集群中的窄区域攻击
虽然六边形提供了一种有效的方法来定位来自移动客户端的数据,但当 H3 图块叠加在人口稀少或偏远地区的道路网络上时,就会出现隐私问题。在这些地区,低密度的客户端可能会无意中使个人面临隐私风险。如图 5 所示,一个单独的客户沿着一条覆盖着六边形瓦片的指定道路从 A 点移动到 B 点。由于客户端提供定期更新,因此可以轻松跟踪其在网格中的位置。每次客户进入一个新的六边形时,它的存在都很容易被注意到,这使得推断客户的方向并最终预测最终目的地成为一项微不足道的任务。
图 5:一个模拟场景,说明一个孤独的客户端在人口稀少的六边形中漫游。
降低这种风险的一种方法是利用 H3 模块,使我们能够调整移动边缘设备定位的密度或粗略程度。设置为分辨率范围为 1 到 15 的参数以控制此功能。通过动态改变偏远地区的分辨率,我们可以实现类似于 k 匿名的效果,同时保持所收集的地理参考数据的整体效用。在这种情况下,改变分辨率以适应更多客户端将给对手带来难以破译的任务。
IV-C2 号欺骗性 Control Plane Agent
Nexagons 管理代理充当重要的抽象,用于监督网络的整体状态并管理处理移动边缘客户端的数据包交付、数据预处理和身份验证的核心服务。确保客户只与合法代理人通信对于维护实体之间的信任至关重要。恶意行为者可能会试图通过模拟合法的身份验证服务器来破坏服务发现过程或在设备初始化期间损害客户端隐私。为了应对这种威胁,受信任的平台模块 (TPM)[5931361]可以通过安全地生成、存储和管理加密密钥和凭证,为载入 Mobile Edge 客户端提供必要的保护。当客户端尝试在 nexagon 中进行身份验证时,TPM 会提供可验证的信息,例如要解析的服务器名称和解决质询所需的安全加密密钥,从而确保只有合法客户端才能访问管理服务。以前的研究表明,TPM 的软件实现,例如基于固件的 TPM (fTPM),提供了可与专用 TPM 硬件相媲美的强大安全保证,并已部署在数百万台移动设备中[raj2016ftpm].
V实施和性能分析
Nexagon 餐厅[3]协议规范没有明确定义协议应该实现 Internet 堆栈的哪个层。但是,由于它利用了第 3 层协议 LISP,因此它的开发自然与网络层保持一致。但是,此方法需要对现有标准和配置进行重大更改。在与现有基础设施集成时,将协议部署为覆盖层可提供更大的灵活性,从而促进更快的集成以及与当前系统的无缝兼容性[穆罕默德2021,法米2007].基于这一观察,我们现在详细讨论了将协议部署为覆盖层的方法,概述了集成威胁缓解措施的开发流程,以及一些架构抽象以及使用的核心技术。
V-A部署架构
利用微服务架构,每个组件都被开发为隔离的服务,使其能够在通过指定 API 进行交互时独立运行。核心功能封装在不同的容器中,每个容器代表一个 Nexagon 代理。总之,我们通过以下安全增强功能对 Nexagon 组件进行了补充:
V-A1 号认证
我们将身份验证过程设计为作为根证书颁发机构 (CA) 运行,作为单一事实来源。但是,另一种部署策略可以采用具有中间 CA 的分层 CA 结构,以提供灵活性和可扩展性,尤其是在适应现有供应商和云服务提供商时。中间 CA 将充当根 CA 授权的委托实体来颁发证书,从而提高安全性和作效率[10671564].在坚持 PKI 的核心原则的同时[7163785],我们通过将两个基本机制集成到其运营中来增强我们的解决方案。
- •
通过随机性实现匿名性:为了增强安全性,我们会定期轮换代理用于签名的密钥,强制所有代理定期重新进行身份验证。与传统的 PKI 部署相比,这提供了额外的安全层,传统的 PKI 部署可以长时间保持证书的有效性,而无需续订或重新验证。类似的方法适用于下一节中讨论的客户端代理生成的 EID。此外,在每次密钥轮换后,都会采用可变的六边形分辨率,以便管理平面采样的客户端有可能位于稀疏区域中。这种方法降低了与我们之前强调的分层聚类相关的隐私风险。
- •
用于增强隐私的假名证书:使用假名证书可降低不必要的监视的可能性,并限制敏感数据的泄露。这意味着,即使证书遭到入侵,其影响也会降至最低,因为它无法链接回客户端。假名证书与标准 X.509 证书的不同之处在于,假名证书省略或匿名化标识字段(如使用者名称或可分辨名称),以增强用户隐私并防止与特定身份直接关联,同时仍支持身份验证和安全通信。在 Nexagon 中初始化期间,合法客户端的软件 TPM 会为成功生成证书提供支持。TPM 生成新的密钥对,并使用其私钥对请求进行签名,该请求包括新生成的公钥及其长期标识的加密表示形式。此请求将发送到 CA,CA 使用 TPM 的证明对其进行验证。验证后,CA 会颁发与新密钥对绑定的假名证书,其中包含权限和过期等元数据[9445398].
尽管其他加密方法(如组签名[1181226]存在保证隐私和问责制,假名证书由于其可扩展性、灵活性和增强的隐私功能,在 Nexagons 中提供了更好的应用优势。使用假名证书,通过动态密钥轮换和省略识别字段来保证个人级别的匿名性,防止重识别和联动攻击。
V-A2 号移动客户端
移动代理能够生成唯一的 EID,这对于在保持匿名的同时发布事件至关重要。上线后,客户端被配置为首先通过 DNS 解析预配置的服务器名称。然后,它会联系身份验证代理以获取必要的凭据。 另一个重要的新增功能是代理能够在通过网络转发数据时定期交换 EID。证书交换的频率,加上这些唯一标识符的随机性,有效地保护了客户端及其用户的隐私。图 6 显示了一个序列图,它说明了移动客户端在初始引导过程中执行的步骤。此过程对于确保网络确认发布的事件至关重要。
图 6:序列图说明了客户端代理与证书颁发机构 (CA) 在初始载入阶段之间的交互。
V-A3 号映射和聚合
映射代理用于将活动客户端的当前映射存储为键值 (KV) 数据存储。我们开发了终端节点,使客户端能够在发生检测时发布事件。该代理还配置为将事件直接转发到身份验证期间配置的聚合终端节点。聚合代理实施一个流式处理管道,该管道旨在在客户端上传事件时处理映射代理传输的数据。
V-A4 号环境
我们设置了一个测试环境来评估 Nexagon 协议的运行和性能。我们使用了两个虚拟机 (VM),它们配置相同,每个虚拟机配备 4 GB RAM 和 2 个 CPU 内核。这种设置允许我们运行测试来模拟来自边缘设备的事件,无论是否提供建议的安全扩展。在第一个 VM 中,我们运行了整个管理平面的复合部署,每个组件都部署为微服务。第二个 VM 托管客户端进程,该进程旨在发布模拟来自移动边缘设备的请求的事件。可以在我们的存储库中访问我们的架构和代码库的综合文档[奥巴多芬2024nexagon]根据要求,提供对我们的设计和实施选择的进一步见解。
V-B性能分析
在本节中,我们的评估与模拟测试期间获得的关键结果一起呈现。
V-B1 号评估方法
我们使用不同数量的用户请求进行了负载测试,以比较我们的身份验证扩展对性能的影响。初始测试通过使用预共享密钥处理客户端请求来建立基准。后续测试使用我们的身份验证机制,如前所述。这种方法使我们能够量化安全增强功能带来的性能开销。表 III 中列出了捕获的关键指标的摘要。此外,表 IV 提供了响应时间及其百分位分布的详细细分。
V-B2 号指标
结果表明延迟增加了 10% 到 25%。我们还观察到通量略有下降,范围从 3% 到 7% 不等。这些结果完全在实际部署可接受的范围内。
表 III:关键指标和置信区间的摘要结果
| 无扩展 | 带扩展 | |
|---|---|---|
| 平均延迟 (ms) | 306 (±73) | 384 (±45) |
| 吞吐量 (req/sec) | 260 (±19) | 250 (±10) |
| CPU 利用率 (%) | 42 (±6) | 57 (±3) |
表 IV:不同百分位数的延迟分布
| 延迟百分位数(毫秒) | ||
|---|---|---|
| 无扩展 | 带扩展 | |
| 第 50 个百分位 | 276 | 330 |
| 第 80 个百分位 | 290 | 373 |
| 第 90 个百分位 | 330 | 416 |
| 第 95 个百分位数 | 400 | 460 |
六结论
为了在智能交通系统中为众包地理参考数据提供安全、可靠和高效的解决方案,我们为 IETF 的 Nexagon 协议提供了详细的漏洞分析、缓解策略和一组安全扩展。我们的原型实现利用了 LISP 的寻址功能和 H3 的索引结构的概念。我们的结果表明,具有伪随机临时证书和标识符的 PKI 提供了一种强大的解决方案,可以保护用户隐私和 Nexagon 网络的完整性,而不会影响延迟和吞吐量。未来的研究可以探索 Nexagon 协议在真实世界车辆网络中的部署,以评估其在动态条件下的性能。此外,还可以探索用于去中心化和保护隐私的数据处理的联邦学习等高级机制,以进一步改进协议的功能集并为未来的研究提供信息。