匿名通信綜述*

陳 歡 ，蘇馬婧 ，王學賓 ，宋 棟

(1.華北計算機系統工程研究所，北京 100083；2.中國科學院信息工程研究所，北京 100083)

0 引言

匿名即通過一些方法實現隱蔽個人身份或者是個人特征信息。匿名作為網絡中一種特性，在現實生活中具有廣泛而實際的需求。利用現代加密方法，如公私鑰加密、電子簽名和密鑰協商等能夠很好地保障傳統意義上的信息安全四要素：機密性、完整性、可用性和真實性。但是，面對用戶日益增加的對個人隱私保護的需求，傳統的密碼技術并不能有效解決用戶諸如網絡通信地址的匿名性問題，匿名通信系統的出現很好地解決了上述問題?；ヂ摼W中的匿名是指，將通信雙方的身份、網絡地址等敏感信息通過一定的技術手段處理，使得網絡中的惡意第三方無法有效識別通信雙方的身份和網絡特征信息。匿名通信系統，是指在現有的網絡上采取諸如網絡編碼、通信加密、路由轉發和鏈路混淆等多種技術，實現隱藏通信實體之間關系和通信內容的通信系統。

在匿名通信系統快速發展的同時，針對匿名通信的威脅也層出不窮，根據攻擊原理可具體分為兩個大類：流量攻擊和基于匿名通信協議本身弱點的攻擊技術。前者主要是主動和被動攻擊等，后者有網橋發現和重放攻擊等。

此外，由于匿名通信可以實現自身信息隱藏，防止安全部門的追蹤管理，從而逃避犯罪，因此如何確保匿名通信系統的可信性，防止其被惡意使用者濫用，也是當下互聯網監管部門的重點關注方向。

目前已經有一些研究人員對匿名通信系統進行了大量研究[1-3]。鑒于此，為了深入理解匿名通信技術的功能結構、技術原理、部署機制、安全威脅等一系列問題，對其研究方向進行總體把握，對匿名通信系統進行綜述具有重要意義。

本文首先闡述了匿名相關概念，給出了匿名通信系統定義及其含義，按照時間發展順序系統地梳理了匿名通信系統發展至今的歷程，并按照匿名通信系統在網絡中工作的不同層次對其分類介紹，并進一步分析了匿名通信系統的工作原理、面臨的威脅挑戰以及應對方法；最后對匿名通信系統未來的發展進行了展望。

1 匿名通信系統定義及演化過程

1.1 匿名通信系統定義

文獻[1]中定義匿名通信為：一種通過采用數據轉發、內容加密、流量混淆等措施來隱藏通信內容及關系的隱私保護技術。進一步地，將進行數據轉發的由多跳加密代理節點組成的系統稱之為匿名通信系統。

文獻[2]中定義匿名通信系統為：一種建立在應用層之上，結合利用數據轉發、內容加密、流量混淆等多種隱私保護技術來隱藏通信實體關系和內容的覆蓋網絡。

本文對匿名通信系統定義為：一種運行在應用層或者是網絡層，綜合運用密碼、路徑加密、流量混淆和鏈路控制等一系列技術，實現鏈路中通信雙方身份和數據等隱私信息不被第三方惡意攻擊者所獲悉的隱蔽通信系統。匿名通信系統應當有效地保障通信實體雙方的身份等特征信息在有限的實體集中不可識別；在多次的通信過程中實體沒有固定的身份信息；執行具體操作的實體和執行動作之間不具備關聯性，達到抵御網絡中惡意攻擊攻擊者基于觀測到的有限信息從發送和接收兩個事件集合中分辨特定事件企圖的作用。

1.2 匿名通信系統發展歷史

匿名通信系統起源于20 世紀80 年代，歷經40 年演化，圖1 展示了匿名通信系統發展歷程中的重要事件節點，期間出現了以Mix、Tor、LAP 和Hornet 等為代表的多種類型的系統。

1981 年CHAUM D L 提出Mix[4]，Mix 是一種由用戶節點和提供轉發服務的多個Mix 節點組成的鏈路混合網絡，實現了最初的簡單的匿名。匿名通信系統在此之后也得以開始被廣泛研究發展并進一步投入到互聯網隱私通信使用之中。

圖1 匿名通信系統發展歷程

1995 年，美國海軍實驗室(NRL)的David Goldschlag、Mike Reed 和Paul Syverson 創造和部署了Tor(洋蔥路由)的原型，用于防止在網絡建立時泄露通信雙方的信息。之后在1997 年交由美國國防高等研究計劃署進行進一步開發。

1996 年，CULCU C 等提出的Babel[5]引入了Mix 路徑，通過延遲批量消息來抵御流量分析攻擊。

1998 年由AT&T 實驗室提出的一種面向Web 訪問的一種匿名通信系——Crowds[6]。Crowds 采用重路由機制，即通信數據通過多個節點組成的重路由路徑到達接收方，以達到匿名的效果。

2001 年DINGLEDINE R 等提出基于信譽系統的Mix節點選擇技術[7]，提高了Mix 網絡的可靠性和效率。

2002 年DINGLEDINE R 在之前的基礎上又提出了具有分布式信任的Mix 級聯協議[8]，主要是通過信譽度重新排列Mix 級聯，進一步提高協議在具體使用過程中的可靠性。同年，Roger Dingledine 開始參與Paul Syverson在NRL 的洋蔥路由項目工作。為了區分NRL 的這個原始的工作和在其他地方出現的洋蔥路由工作，Roger 把這個項目叫做Tor，Tor 之后經歷了三代的發展已成為目前網絡上使用最為廣泛的匿名通信系統。2002 年FREEDMAN M J 等首次提到一種旨在消除流量分析攻擊的對等匿名通信系統——Tarzan[9]。Tarzan 融合了Mix思想和P2P 技術，使用Chord 查找算法選擇中間節點并建立IP 隧道。

2003 年DANEZIS G 提出結合“Mix 級聯模型”和“自由路由”的受限路由Mix 網絡[10]，以保證消息的匿名性。COTTRELL L 等人提出Mixmaster 協議[11]，在每個數據包末尾添加隨機數據，將消息轉化加密為統一大小，保證所有發送者的路由信息相同。DANEZIS G 等人提出Mixminion 協議[12]，部署了一組冗余和同步的目錄服務器系統，為電子郵件消息提供發送人和接收人匿名。

之后的十余年，這種基于覆蓋層的匿名通信系統的發展一直處于在原有系統的基礎上進行改良和增補。例如通過加入可信計算[13]、網絡編碼[14]、SDN 網絡[15]等方式來抵御花樣繁雜的攻擊和監管。但是此類系統無一例外地面臨著拓展性較弱和性能限制方面的問題。隨著互聯網架構的進一步發展，研究人員得以利用下一代互聯網架構來設計基于網絡層的匿名通信協議，這種協議可以成為網絡中默認路由架構的一部分，利用源選擇的路由體系結構實現高度拓展且高效的匿名路由。網絡層的匿名通信系統主要是借助新的互聯網架構中的新型路由技術(pathlet routing/segment routing 等)，使得路由器等網絡基礎設施參與建立匿名通信系統，并協助轉發匿名流量。與前述的覆蓋層匿名通信系統間接隱藏分組頭的匿名通信方法不同，網絡層匿名通信系統在網絡層直接隱藏信息的分組頭，在理論上認為有更快的傳輸速度和更高的拓展性。

2012 年由HSIAO H T 提出了LAP[16]，在網絡層實現的輕量級匿名通信協議，可以雙向匿名通信，具有低延伸性和寬松的攻擊者模型兩個特點。之后的Dovetail[17]是在LAP 的基礎上進行了改進，使用中間節點進行隱藏目的地。

2015 年CHEN C 等提出的Horne[18]是一種處于網絡層的匿名通信協議。

2017 年CHEN C 等提出的PHI[19]解決了LAP 和Dovetail 中存在的問題，同時保持了兩者的高效性。這種協議提出了一種隱藏路徑信息的有效包頭格式和一種新的可與當前及未來互聯網架構兼容的后退路徑建立方法。

2018 年CHEN C 提出了TARANET[20]，一種可拓展的、高速率且抗流量分析的匿名通信協議。TARANET 可以直接內置于現有的網絡基礎架構之中，可以實現短路經和高吞吐量。

綜上，研究人員不斷提出改進匿名通信體系結構，迭代系統版本，提升系統性能和匿名性。同時，針對匿名網絡的攻擊和對抗攻擊的方法也在不斷提升。

2 匿名通信系統工作原理及評價

近年來發展的新型匿名通信協議運行于網絡層，以LAP 為代表的輕量級匿名通信協議主要是通過隱藏通信過程中數據包包頭內的轉發信息來有效地實現防止惡意攻擊者，這種輕型的匿名通信協議避免了對數據包有效載荷進行加密，有效地降低了通信對資源的消耗。以Hornet 為代表的網絡層洋蔥路由協議在輕量級匿名通信協議的基礎上提供了對數據包載荷的保護，其原理是一種由數據包來攜帶加密狀態的洋蔥路由協議的數據包格式，即，將通信的會話狀態卸載到終端主機，并將它們自己的狀態嵌入數據包以便中間節點在數據包轉發過程中可以提取自己的狀態進行轉發操作。

2.1 典型匿名通信系統

按照通信系統構建所依賴的環境和運行機制，可以將匿名通信系統分為覆蓋層匿名通信系統和網絡層匿名通信協議兩大類，見圖2。其中覆蓋層的匿名通信系統以Mix 和Tor 為主要代表，基于網絡層的匿名通信協議以LAP 和Hronet 為代表。覆蓋層匿名通信系統和網絡層匿名通信協議在可拓展性、時延、吞吐量、安全和匿名性以及部署規模等方面的對比如表1 所示。下面分別對這幾種典型的匿名通信系統進行介紹。

圖2 匿名通信系統分類圖

表1 兩種不同類型匿名通信系統比較

2.1.1 Mix

Mix 是一種利用多個節點進行多級路徑轉發消息的通信網絡，該網絡可以對通信雙方身份和通信消息實現一定程度的保護。在實際使用過程中，發送者可以選擇N 個連續的目標進行數據傳輸，其中只有一個是真正的接收者，如圖3 所示。網絡竊聽者在一段鏈路中獲取真正接收者的概率為1/N，并且在實際傳輸過程中中間節點可以采用重新排序、延遲或者是填充手段使得竊聽者成功的概率更低。

圖3 Mix 網絡結構圖

實現上述的匿名通信需要滿足以下兩個條件：(1)網絡中各目標可以可靠地完成工作并且彼此之間有安全通道；(2)中間節點知曉所有的路徑。

Mix 利用多個轉發節點的方法來實現對信息準確傳輸路徑的模糊，從而達到使得網絡竊聽者無法輕易獲知通信雙發的關聯信息的目的，實現一定程度的匿名性。

Mix 網絡在實際的測試和使用過程中存在一些問題，基于RSA 的混合消息格式不但會占用大量資源，同時也被證明該機制在標記攻擊中存在脆弱性[21]。

2.1.2 洋蔥路由Tor

(1)第一代洋蔥路由

將NRL 最早部署的Tor 稱之為第一代洋蔥路由。該系統通過多次混淆消息、層層加解密達到隱蔽網絡路徑結構，對抗路徑跟蹤和流量分析等攻擊行為。其工作原理如圖4 所示。

圖4 洋蔥路由示意圖

該系統也存在著一些技術上的缺陷：①代理路由器的潛在威脅。在代理路由器被攻陷的情況下，傳輸層的IP 和端口信息將暴露。②加解密帶來時延和額外開銷。通信鏈路路由之間數據采用公鑰密碼機制加解密，當通信路徑過長時，會導致中間節點路由加解密資源消耗過大，造成整個路徑通信時延過長。③節點數據庫信息冗余。所有的節點必須存儲公私鑰、認證碼和可信標識等信息在數據庫中，當節點數量過大時，數據庫的維護和管理將消耗更多資源，導致系統拓展性較差。

(2)第二代洋蔥路由

第二代洋蔥路由使用了實時混合技術，即通過通信鏈路上的路由器對一定時間內的通信數據消息進行重新排序，以此使系統抵抗被動流量攻擊。同時第二代洋蔥路由系統還通過允許客戶端加入且僅服務于選定的客戶端來提高系統的靈活性。

(3)第三代洋蔥路由

第三代洋蔥路由，即Tor，是目前使用最為廣泛的匿名通信系統，在全球范圍內大規模部署。相比于前代洋蔥路由，Tor 做了以下幾點改進：

①Tor 放棄了實時混合和重新對分組數據進行排序的操作。這些機制在后來的試驗和實際使用中證明并不能有效地抵御流量分析攻擊，并且會帶來高昂的延遲和帶寬開銷。

②Tor 采用了目錄服務器來存儲鏈路相關信息，維護網絡拓撲和路由證書。使得通信發起者可以根據自己需要獨立從目錄服務器中選擇通信用到的節點。

③Tor 客戶端以迭代方式設置通信鏈路，該機制使用Diffe-Hellman 密鑰交換機制與鏈路上的洋蔥路由進行對稱密鑰的協商。

Tor 將數據打包成512 B 大小的單元，每個單元在節點傳輸之前都要按照之前協商的密鑰進行加密，依次是：出口節點、中間節點和入口節點。在消息傳輸時，各個中間節點使用自己的密鑰將單元解密，得到下一跳信息后傳給下一個節點，直到最終節點進行消息還原并傳給接收者。

在數據的傳輸過程中，每個路由僅知道與其通信的前驅和后繼路由器信息，通過網絡傳輸鏈路上的有限信息實現匿名。在網絡鏈路中的每一跳，根據信息流的方向逐層對信息進行加密或者是解密。中間節點不能夠讀取到單元的具體內容，單元的外觀總是在經過中繼節點時不斷變化，使得不能通過網絡信息流觀察到通信雙方之間的聯系。

2.1.3 LAP 及其改進

LAP 是最早出現的網絡層輕量級匿名通信協議，具有較低的延伸匿名和較為寬松的攻擊模型。

LAP 實現了對匿名消息的發起者信息匿名和地理位置的保護，對于消息接收者，協議使用約會節點的方式使其匿名性得以保護。LAP 與目前的網絡相互適應，同時也可與未來網絡架構兼容。

LAP 網絡拓撲模型如圖5 所示。

圖5 LAP 網絡拓撲模型

LAP 協議的機制是通過模糊終端主機在網絡中的拓撲位置來增強系統的匿名性。該協議中每個數據包都包含了加密的數據包包頭，包頭中包含了路由信息。

假設通信雙方分別是Bob 和Alice。通信連接的建立始于Bob 向Alice 發送的空數據包?？諗祿邪薃lice 的地址信息，網絡中的每個AS(Autonomous System)都知道目的地址，從而每個AS 都可以獨立自主的決定轉發數據包的路徑。

在LAP 協議中，每個AS 都持有本地密鑰。在圖5 所示的傳輸過程中，位于第一跳的AS6 首先使用自己的本地密鑰K6，對轉發消息(Bob 建立鏈接使用的空數據包，即AS 對的路由決策)進行加密，之后AS6 會將加密的路徑信息添加到數據包包頭中，路徑上的其他AS 也會執行相同的操作，具體過程見圖6。AS9 完成操作后，所有的加密信息都包含在數據包包頭之中。在正式通信的過程中，每個AS 只需用自己的密鑰進行解密即可得到轉發信息來轉發數據包。

Dovetail 是在LAP 基礎上改進的一種協議。LAP 存在單一節點同時知曉源和目的地址，會產生匿名通信信息泄露的風險。Dovetail 采用間接節點隱藏目的地的機制，具體是Dovetail 會隨機選擇三個第三方節點作為通信網絡的輔助節點。

PHI 在前述的LAP 和Dovetail 的基礎上進一步增強了協議的匿名性。其使用了三種新的技術：

(1)將節點狀態以偽隨機的順序放置在數據包頭中，實現節點位置信息隱藏。具體見圖7。

(2)使用back-off 路徑構造方法。

(3)加密綁定有效負載以防止會話劫持攻擊。

PHI 在同等級別的資源開銷下具有比Dovetail 更強的匿名性。并且PHI 可以與傳統網絡體系結構兼容。同時，PHI 克服了現有已識別的輕量級匿名通信系統攻擊。

2.1.4 Hornet

Hornet 是一種利用下一代Internet 體系結構設計的高效可拓展匿名通信系統。其設計初衷是以盡可能少的資源開銷完成可靠的、高速率的匿名通信，并且能夠向下兼容底層網絡，具有很強的拓展性。相比于輕量級匿名通信協議，以Hornet 為代表的匿名通信協議在之前的基礎上增加了對數據包載荷的保護。其原理是一種由數據包來攜帶加密狀態的洋蔥路由協議的數據包格式，即，將通信的會話狀態卸載到終端主機，并將它們自己的狀態嵌入數據包以便中間節點在數據包轉發過程中可以提取自己的狀態進行轉發操作。

2.2 匿名通信系統評價

匿名通信系統繁雜多樣，對于各種匿名通信系統或協議在同一尺度標準進行分析評價具有重要意義，不僅利于使用者增強通信隱私保護，還利于匿名通信系統更加規范化的發展。研究人員提出了一系列針對匿名通信系統的評價指標和評價方法。

PFITZMANN A 等在文獻[22]中提出了不可觀測性概念。此后在各種相關文獻中常以不可觀測性作為匿名通信系統評價的重要指標。

REITER M K 等在文獻[23]中提出采用1-p 來度量匿名通信系統匿名度。其中p 表示攻擊者可以從匿名集合中識別當前通信用戶的概率。因此1-p 可以作為衡量同一匿名集合中不同對象之間可被攻擊者識別的程度。

DIAZ C 等在文獻[24]中提出了一種匿名通信系統匿名性的評價方法。該方法基于香農熵，比較全面地考慮了匿名集合大小以及攻擊者對匿名集中不同元素之間的可識別狀態的概率分布，因此在攻擊者獲取匿名集合中相關信息時能夠有效地評估新狀態下的匿名性。

HAMEL A 等人在文獻[25]中從一種全新的角度衡量匿名系統性能。通過對攻擊者能力進行分析，將之與系統帶寬進行等價代換。通過攻擊程度與帶寬的轉換，可以在一定帶寬資源的統一前提下對攻擊給匿名通信系統產生的影響進行評估。該方法側重于關心匿名通信系統的性能。

圖6 包頭中加密路徑形成過程

圖7 PHI 中段位置隨機化過程

譚慶豐等在文獻[26]中提出針對匿名通信系統全方位不可觀測性評價，并提出基于相對熵的方法對不可觀測性進行度量。文中給出不可觀測性定義：

(1)匿名性。即通信系統主體在匿名集合中的不可識別的狀態。

(2)不可檢測性。即從網絡竊聽者或者是攻擊者的角度不能有效識別其感興趣的通信主體。

(3)不可觀測性。即指網絡攻擊者感興趣的通信客體在任何其他相同類型的通信客體集合中不可區分的狀態。其主要有兩層含義：通信主體的匿名性和通信客體的不可檢測性。

以d 表示系統的不可觀測性，d 的取值范圍在[0，1]，取值越小表明不可觀測性屬性越好。

本文認為需要從兩個方面對匿名通信系統進行評價。一方面是系統的性能特性，這包括系統的兼容性、可拓展性、通信時延和通信效率等，這些特性是影響系統能夠大規模部署和廣泛使用的一個重要因素；另一方面是系統的安全特性，主要包括通信雙方的不可觀測性和通信內容的不可還原性，這些特性是系統匿名性的重要保障因素。以上兩方面緊密結合才能形成一個性能優良、安全可靠的匿名通信系統。因使用場景的不同，對兩者的實際要求會存在一定程度的偏向，因此對匿名通信系統的評價應該在實際使用場景和兩者之間進行合理平衡。

3 匿名通信系統威脅與挑戰

對匿名通信系統的攻擊主要是通過一系列技術手段，達到發現通信流量、關聯通信鏈路、關聯通信雙方具體身份進而還原通信內容的目的?？偨Y起來，對匿名通信系統典型的攻擊手段主要有流量分析攻擊和監聽，下面將分別對兩類攻擊方法進行介紹。

3.1 流量分析攻擊

流量分析攻擊是指攻擊者控制匿名通信系統(網絡)的入口和出口節點，對通信雙方進行流量識別，運用統計及相關性方法關聯通信實體、識別匿名通信用戶的身份等信息。流量分析攻擊可分為兩種：被動式及主動式。被動流量分析攻擊的攻擊者先會從一端網絡找出一段流量的特征，然后在另一端網絡查找該特征，主動流量分析攻擊的攻擊者會在一端網絡依據特定模式修改數據包，然后在另一端查找符合該模式的數據包。

攻擊者可以籍此把兩端的流量聯系起來，使其去匿名化。即使在數據包上加入定時噪聲，也有攻擊手段能夠抗衡[27]。

3.1.1 被動流量分析攻擊

(1)流量動態匹配

攻擊者在兩個觀測點監測流量(包括監測同一節點的進出口流量)，來嘗試通過搜索匹配觀測點之間的流量相似性來判斷觀測點觀測到的數據是否屬于同一流量[28-29]。

(2)模板攻擊

攻擊者通過匿名通信系統訪問已知Web 站點或是其他Web 服務端，構建出訪問這些Web 的流量模式(模板)數據庫。在竊聽通信流量時，攻擊者將觀測到的流量和數據庫中的模式進行對比，若匹配成功則可以以較大概率猜測出客戶端訪問的Web 站點或者是Web 服務端[30-31]。

(3)網絡統計關聯

這種攻擊方式是攻擊者監測網絡不同部分的特征并將其與目標匿名流的特征進行比較。例如將目標雙向流的RTT 與測得的到大量網絡地址的RTT 進行比較，在目標流的RTT 與被監測網絡之一的RTT 有強關聯的情況下可以判斷目標主機的可能網絡位置。同樣的，通過記錄單向流(隨時間變化)的吞吐量，之后再與各個網絡位置的吞吐量進行比較，敵手可以對目標主機的位置進行最終定位。

3.1.2 主動流量攻擊

主動流量攻擊使用和被動流量分析攻擊相似的技術，但主動流量攻擊還涉及攻擊者對目標的流量操縱。

(1)動態流量修改

修改動態流量，在數據包中添加水印(或標簽)，攻擊者可以監測到流量流向，這種攻擊稱之為流水印。另一種相似的攻擊稱之為流指紋，攻擊者將多位信息編碼插入動態流量中，之后再將編碼的信息在同一網絡的另一個節點解碼用以識別具體網絡。

(2)擁塞攻擊

動態流量修改的前提是攻擊者需要控制盡可能多的節點，擁塞攻擊與其類似。但是攻擊者僅需操縱單個可控節點流量，造成網絡中其他節點擁塞或是網絡波動。之后觀察這些網絡異常是否影響到了目標，如是，則說明被監測目標的流量遍歷了發生網絡流量波動的節點。

(3)指紋識別

通過對網站指紋進行研究，可以發起網站指紋攻擊，破解用戶所訪問的隱藏服務[32]。政府級別的強制監管可以和企業合作，要求ISP 在傳輸過程中復制用戶的流量動態并且通過安全通道將其轉發，也可以將監控設備架設在主干網等位置，保證擁有更快的應對速度，再利用數據分析工具篩選流量，識別Tor 用戶。

3.2 監聽

3.2.1 出口節點攻擊

可以通過運行和監聽Tor 出口節點，截獲電子郵箱賬號的用戶名和密碼[33]。Tor 不能加密出口節點到目標服務器之間流量，所以導致任一的出口節點皆有能力截獲通過該節點且沒有經過TLS 或SSL 進行端到端加密的流量。通過對截獲的流量進行分析，攻擊者可以在實際數據和協議數據中找到源端的相關信息[34]。文獻[35-36]提出一種威脅Tor 通信網絡的方法，作者宣稱可以達到解密通信的效果。

3.2.2 自治域系統監聽

若客戶至入口中繼和出口中繼至目標地址這兩段網絡路徑在同一個自治域之中，則該自治域的管理者可以經過統計，獲知入口路段和出口路段之間的關系，并且能推斷出數據包的具體流向。

3.3 應對威脅的方法

3.3.1 流量偽裝

流量偽裝技術(例如協議混淆、流量變種等)是應對流量分析的常用對抗手段。主要思想是將一種流量的特征偽裝成為另一種流量，以此降低基于流特征分析的準確性。在匿名通信系統中，通過多次轉發和改變報文的樣式消除報文之間的對應關系，為通信的發送者和接收者提供可靠地隱私保護。文獻[37]中WRIGHT C V 提出一種可以實時改變數據分組的凸優化方法，該方法可以將一種流量的分組大小分布偽裝成另外一種流量的分組大小分布，經變換之后的流量可以有效地規避流量分器的識別。此外比較典型的是文獻[38-40]提出的SkypeMorph、StepTorus 和CensorSpoofer，分別將Tor 流量偽裝成Skype 視頻流量、HTTP 流量和基于SIP 的VOIP 協議。

3.3.2 Tor 傳輸層插件

Tor 為了應對安全威脅，先后部署了obfs、Meek 和FTE等基于傳輸層的插件來支持協議混淆和協議偽裝。

(1)obfs 混淆代理

為了有效抵抗深度包監測技術，Tor 的obfs 由此而生。obfs 先后經歷了四個版本，分別是obfs、obfs2[41]、obfs3[42]和obfs4[43]。obfs2 采用分組密碼加密方式對通信數據進行加密，擦除Tor 流量相關標識，有效實現混淆。obfs3 使用Diffie-Hellman 協議交換確認通信雙方的密鑰，但是此種方法在雙方密鑰交換階段缺乏對網橋身份的驗證，存在中間人攻擊風險。obfs4 利用BridgeDB 實現基于網橋身份驗證的密鑰交換，客戶端通過BridgeDB 查詢可用的節點，并獲取其相關信息(IP 地址、節點ID 和公鑰信息)，三個同時驗證成功，才能通過obfs4 建立通信鏈接。此種方法，既能有效地混淆Tor 流量，又可防止中間人攻擊。

(2)Meek

Meek[44]是一種前置域匿名通道構建技術。Meek-client把真正傳輸的Tor 數據封裝在HTTP POST 載荷之中，將目標網橋地址寫入HTTP HOST 載荷。加密后的HTTP HOST 相關內容無法被監管者發現。前置域服務器接收到數據之后，根據實際載荷字段信息將數據轉發到網橋節點，在節點運行的Meek-server 對HTTP 報頭進行處理后將封裝好的Tor 流量發送至下一個中繼節點。Meek 現依賴于Google、Amazon 和Azure 等大型服務提供商的前置域名服務器。通過這種方法，造成Tor 客戶端在訪問正常往網站的假象，從而規避針對Tor 的流量監控。

(3)FTE

Format-Transforming Encryption[45]在2013 年被提出。通過拓展傳統的對稱加密，將密文轉換為指定的傳輸格式。依據用戶輸入的正則表達式，輸出具有一定協議格式的數據流量。其中用戶輸入的正則表達式，可以從DPI 系統源碼中提取亦或是通過應用層流量自動學習得到。依此，使得基于正則表達式的DPI 技術會將處理后的流量誤識別為用戶選定的協議流量，實現規避審查。特別的，在Tor 中，常使用HTTP 正則表達式將Tor流量轉換為HTTP 協議，實現流量偽裝。

4 結論

匿名通信技術作為互聯網發展過程中對匿名性保證的關鍵技術，自其提出以來便一直是相關領域的研究熱點，經歷了從最簡單的Mix 網絡到實用性較強的Tor，從最初的覆蓋層匿名通信系統逐漸發展出適應未來互聯網架構的網絡層匿名通信協議。這一方面得益于在目前互聯網大環境下網絡中的匿名性作為公民的一項基本權利愈加受到各方面的挑戰，公眾對個人隱私的保護越來越重視。另一方面得益于匿名通信在商業領域的廣泛使用。

未來匿名通信的發展主要還是沿著兩條主線發展，一種是公開化網絡，即采用無中心化的P2P 方式，是Tor思想的延續；另一種則是私有化部署和自建的匿名通信系統，主要目標是為了實現隱私保護或受保護目標的防護(例如用于采集瀕危動物信息的數據傳輸等)。