一種混合的Ｔｏｒ匿名通信系統

摘要:提出了一種混合的Tor匿名通信系統方案，它不僅能夠保證Tor系統低的通信延遲，而且還能夠排除其因未使用填充信息和批量處理技術而導致的安全問題#65377;它確保了Tor匿名通信系統能夠更加可靠地運行，實現用戶身份隱藏#65377;

關鍵詞:匿名通信;Tor;Crowds;洋蔥路由

中圖分類號:TP393文獻標志碼:A

文章編號:1001-3695(2007)10-0141-04

0引言

隨著網絡技術的普及與發展，網絡安全也受到越來越多的關注#65377;針對各種各樣的安全問題，研究人員提出了各種不同的解決方案#65377;目前，對通信內容加密與保護的技術已相對成熟，但對通信雙方身份的保護技術卻仍需完善#65377;如在電子投票#65380;電子銀行#65380;電子商務#65380;電子拍賣等領域，用戶身份的保密是必不可少的#65377;但目前的網絡協議如HTTP#65380;TCP/IP均為開放式的，竊聽者可以很容易地從截獲的數據包中得到通信雙方的IP地址#65380;報文長度#65380;數據包交換的時間及頻率等信息，由此竊聽者就可能判斷出用戶身份，再結合其他消息，竊聽者就可以在不知道通信內容的情況下推斷出一些有價值的信息#65377;

匿名通信就是在不改變現有網絡協議情況下實現業務流中通信關系的隱藏，使竊聽者無法直接獲知或推知雙方的通信關系或通信的一方#65377;根據隱藏信息的不同，匿名通信分為三種:發送方匿名(sender anonymity)保護通信發起者的識別信息;接收方匿名(recipient anonymity)保護通信接收者的身份標志;收發雙方無關聯(unlinkability of sender and recipient)則使得發起者與接收者無法被關聯[1]#65377;

Tor是一種低時延的匿名通信系統#65377;因為要保證數據包在系統中低的時延，它沒有采用傳統的發送填充信息和對一定量的數據包批量處理等技術，這些技術可以使觀測者無法跟蹤和識別數據包，因此存在著安全問題#65377;文獻[2]提出了一種攻擊方式，它利用受控服務器發送的特殊數據，逐步跟蹤并推斷出通過這些特殊數據的Tor節點，從而實現通信流分析#65377;文獻[3]也提出了一種攻擊方法，Tor在這種攻擊中也是脆弱的#65377;針對這些不安全因素，本文提出了一種混合Tor匿名通信系統，它可以有效抵抗文獻[2，3]提出的攻擊，提高Tor系統的安全性，而且還保留了Tor系統的低延遲特性#65377;

1Tor匿名通信系統和Crowds匿名通信系統

1.1Tor匿名通信系統

Tor匿名通信系統[4]被稱為第二代洋蔥路由系統#65377;它由一組洋蔥路由器(onion router) [5]組成(也稱為Tor節點)#65377;這些洋蔥路由器用來轉發起始端到目的端的通信流#65377;每個洋蔥路由器都試圖保證在外部觀測者看來輸入與輸出數據之間的無關聯性，即由輸出的數據包不能判斷出其對應輸入的數據包，使攻擊者不能通過跟蹤信道中的數據流而實現通信流分析#65377;

在Tor匿名通信系統中，需要匿名的用戶首先啟動洋蔥代理(onion proxy，OP)程序，洋蔥代理負責通信鏈路的建立和數據的加/解密#65377;它首先從目錄服務器(directory server)中獲得所有Tor節點信息;然后在Tor節點的集合中隨機選取一個節點，協商秘密密鑰;最后與它建立一個安全信道#65377;密鑰建立過程使用短期的DiffieHellman密鑰交換協議，同時使用TLS協議進一步保證信道的保密性和信息的前向安全#65377;以后所有的數據都將通過這個信道進行傳輸#65377;之后OP通過已建立的信道，再繼續將連接拓展至其他的Tor節點，與其交換密鑰，最終建立一條多層加密信道#65377;數據在傳輸前首先被OP按其所通過Tor節點的順序從后至前層層加密(類似于洋蔥)，在傳輸過程中，加密后的數據每通過一個Tor節點被解密一次，直到最后一個節點數據被完全解密并轉發到目的端#65377;數據在從目的端返回的過程中，每經過一個Tor節點被加密一次，到達OP后又被層層解密，最終轉發給用戶端的應用程序#65377;由于每個Tor節點只知道自己的加密和解密密鑰，對于外部攻擊者和合謀Tor成員來說，除非他們能夠獲得路徑中所有Tor節點的密鑰，否則他們不可能得到通信數據的明文#65377;

與傳統的匿名通信系統不同，Tor并不對來自不同用戶的數據進行任何精確的混合，即不采用批量處理技術，而是將待輸出的數據包存儲在其對應流的緩存中，數據包的輸出是以輪循的方式在各個流之間循環進行#65377;這保證了所有連接的數據被公平地轉發#65377;當一個連接的流緩存為空時，它將跳過這一連接而轉發下個非空連接緩存中的數據#65377;因為Tor的目標之一是低延遲，所以它并不對數據包進行精確的延遲#65380;重新排序#65380;批量處理和填充信息丟棄等傳統操作#65377;

1.2Crowds匿名通信系統

Crowds[6]是一個可以提供發送方匿名的通信系統#65377;它的主要思想是“blending into a crowd”，即構造一個有很多匿名用戶組成的群組，匿名通信發送方隱藏在眾多的群組成員中#65377;每個組員均充當代理的角色，當某成員需要建立匿名通信時，它將請求發送給其他成員#65377;當該成員收到請求后，可以選擇將請求直接提交給目的節點或將其轉發至其他成員#65377;從而使每個成員在被保護的同時，也為其他成員提供保護#65377;具體而言，每個匿名保護的主機上運行一個被稱為Jondo代理程序，通過設定瀏覽器中的主機名和端口號#65377;將Jondo指定為HTTP代理#65377;該Jondo從系統管理節點blender中獲得系統成員的Jondo列表，來自瀏覽器的請求首先被發送給本地Jondo，本地Jondo拋擲硬幣來判斷是將請求提交給目的端還是轉發到下一個Crowds節點#65377;如果提交則與目的端建立連接，如果是轉發到下一節點，則本地Jondo從列表中隨機選取一個Crowds成員，并與其建立連接，將請求轉發給他，下一Crowds節點的Jondo也進行相同的拋硬幣操作，直到請求被最終提交給目的端#65377;

在Crowds匿名通信系統中，連接建立過程不用傳統的公鑰加密，而是用各個Jondo節點的對稱密鑰進行加密，節點的對稱密鑰從blender服務器中獲得#65377;由于沒有公鑰操作，Crowds系統的通信延遲特別低，但是其安全性沒有公鑰加密匿名通信系統高#65377;因為每個轉發數據的Jondo節點均可解密通過的數據從而獲得通信內容#65377;其設計主要用于Web瀏覽#65377;在Crowds系統中，加入Crowds的用戶越多，其匿名性越好#65377;筆者證明當用戶數n→∞時，Crowds系統無論對于本地竊聽者，Crowds合謀攻擊者或目的端攻擊者均能達到近乎完美的匿名性#65377;

2威脅模型

文獻[2]針對Tor系統提出了一種攻擊方法#65377;它能夠逐步檢測找出某一鏈路上的所有Tor節點，從而發現通信的發起者，攻破Tor匿名通信系統#65377;

在Tor中，不同用戶的不同連接可能通過同一Tor節點，由于不同的流在同一個Tor節點被處理和轉發，而它們又分享共同的處理器資源和網絡帶寬，這些流會相互影響#65377;Mix[7]系統的策略是將數據先存儲在mix節點的緩存中，然后批量處理，使輸入流與輸出流無關聯#65377;但是Tor并不采用這種策略，因為這會增加數據包的通信延遲#65377;Tor中的數據以輪循的方式輸出，當一個連接中沒有數據時，Tor將跳過此連接而去處理有數據的連接#65377;這意味著Tor節點的負載會影響此節點及以后在同一鏈路所有節點的通信流，增加其延遲#65377;節點負載越重，那么通信延遲越高#65377;對于高負載節點，只要增加一個額外的通信流，就將造成所有通過此節點數據流的高的延遲#65377;攻擊者可以利用Tor的這一特點進行攻擊#65377;通過連接一個目標節點，測量其通信時延，攻擊者可以估計出目標節點的通信負載，用這個測量結果與一個已知的通信模式進行比較，可以判斷出此目標節點是否包含在通信鏈路中#65377;

任何Tor節點均可以進行這樣的測量并且估計某一Tor節點的負載#65377;如圖1所示，假設攻擊者控制了一個Tor節點，并將其連接路徑長度設為1(默認值為3)#65377;這個受控Tor節點與目標Tor節點(Tor節點2)建立客戶機服務器模式的連接，之后它將測量與此目標節點的負載#65377;這一連接被輸入特殊的探尋數據流(probe traffic)，它可以測量通信延遲并由此估計目標Tor節點的負載，這將檢測通過目標節點瞬間的通信流#65377;

攻擊者利用上面的技術觀察通過某目標節點輸入和輸出的數據流#65377;然后進一步假設攻擊者控制了一個網絡服務器，稱為受控服務器，這一服務器可以對輸入信息進行回復#65377;由此，用戶可以從服務器獲得匿名的確認信息#65377;受控服務器通過匿名網絡向用戶發送數據#65377;這種數據是一種特殊格式的數據#65377;在攻擊試驗中，它是一組突發的數據流#65377;因為攻擊者知道Tor網絡中突發數據流的輸入模式，能夠建立模板，并且比較判斷目標Tor節點中的流是否與這種突發數據流相關#65377;

攻擊者的目標就是根據各個Tor節點的延遲數據來確定哪個節點處理了受控服務器發送的特殊格式數據#65377;攻擊者對每個節點進行測試，判斷特殊數據流通過了哪個Tor節點#65377;如果某一Tor節點通過了突發數據，那么它與受控節點探尋數據的相關值會大于未通過突發數據節點與受控節點探尋數據的相關值，由此通信鏈路被找出，匿名系統被攻破#65377;

相關的執行非常簡單，由受控服務器與探尋數據的延遲相乘，并將所有結果相加#65377;受控服務器的模板函數S(t)為 

由于本系統是基于Tor系統的，它能夠抵抗Tor所能抵抗的所有攻擊并且繼承了Tor匿名通信系統的優勢#65377;而且由于該本系統是混合的系統，使攻擊的難度更大#65377;因為僅針對Tor的攻擊或者針對轉發網絡的攻擊是不可能完成通信流分析的#65377;而且該系統增加了Tor系統的安全性，在Tor中，如果一個攻擊者控制了目錄服務器，那么它可能誘使OP選擇合謀Tor節點作為轉發節點，針對這種攻擊，Tor只能通過人為因素來增加系統的安全性，但本系統可以很容易抵抗這種攻擊，因為即使用戶OP選擇了合謀的Tor節點，只要轉發網絡是安全的，那么攻擊者仍無法找出信息的發送方#65377;同樣，僅發動針對轉發網絡的攻擊，僅能獲知通信的發送方，系統仍能實現接收方匿名，因為轉發網絡的終點并非通信的終點#65377;對于轉發網絡安全性來說，只要能夠保證blender節點的安全，那么用戶在選擇轉發用戶時將是完全隨機的#65377;文獻[6]證明它是一個安全的系統，因此整個匿名通信將是安全的#65377;

1)低時延性轉發網絡的實現是非常簡單而且高效率的#65377;由于數據鏈路的建立和數據的轉發都是用對稱密鑰加密的，速度非常快，影響時延主要因素是網絡的帶寬和網絡擁塞情況#65377;由于Tor采用了擁塞控制算法和令牌桶策略來保證網絡的健壯性，混合系統能夠實現很低的通信時延#65377;

2)數據安全性在Crowds系統中，任何一個轉發節點均可獲得通信的明文，因此不能保證數據的安全性#65377;而在混合系統中，轉發網絡中的數據均是OP加密后的數據，數據安全性可以很好地實現，同時可以完成整體性檢驗和數據的前向安全#65377;

3)全局攻擊由于沒有填充信息流，該系統與Tor系統一樣，對于全局攻擊者來說是脆弱的#65377;強大的全局攻擊者可以通過端對端的時間攻擊和包計數攻擊攻破Tor系統#65377;但是文獻[8]證明，即使再完美的匿名通信系統，都會在一定時間內被全局攻擊者攻破，因此所有匿名通信系統對于全局攻擊都是脆弱的#65377;

5結束語

本文提出了一種混合Tor匿名通信系統方案#65377;該方案不需要傳統的填充信息和批量處理技術就可以保證Tor匿名通統的安全性，而且由于沒有采用填充信息，不用發送冗余信系息包，提高了匿名通信系統的效率，降低了通信時延#65377;本文提出的混合Tor系統是一個安全高效的匿名通信系統#65377;未來的方向是研究混合系統可能存在的安全漏洞，實現更強的安全性#65377;

參考文獻:

[1]PFITMANN A， KNTOPP M. Anonymity， unobservability， and pseudonymity a proposal for terminology[C]//FEDERRATH H.Designing privacy enhancing technologies design issues in anonymity and observability.New York: SpringerVerlag， 2001:1-9.

[2]MURDOCH S J，DANEZIS G.Lowcost traffic analysis of Tor[C]//Proc of the 2005 IEEE Symposium on Security and Privacy.Washington: IEEE Computer Society，2005:183195.

[3]BRIAN N L，MICHAEL K R，WANG Chenxi，et al.Timing attacks in LowLatency mix systems:extended abstract[C]//Proc of Financial Cryptography.Berlin:Springer，2004:251-265.

[4]DINGLEDINE R，MATHEWSON N，SYVERSON P.Tor:the secondgeneration onion router[C]//Proc of the 13th USENIX Secunty Symposium.Berkeley:USENIX，2004:303-320.

[5]REED M，SYVERSON P，GOLDSCHLAG D.Anonymous connection and onion routing[J].IEEE Journal on Selected Areas in Communications，1998，16 (4):482 -494.

[6]REITER M K，RUBIN A D.Crowds:anonymity for Web transactions[J]. ACM Transactions on Information and System Security， 1998， 1(1): 62 -92.

[7]BERTHOLD O，FEDERRATH H，KPSELL S.Web MIXes:a system for anonymous and unobservable Internet access[C]//International Workshop on Design Issues in Anonynity and Unob Servability.Berlin:Springer，2001:115129.

[8]KESDOGAN D，AGRAWAL D，PENZ S.Limits of anonymity in open environments[C]//Proc of the 5th International Workshop on Information.Berlin:Springer，2003:53-69.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”