網(wǎng)絡(luò)層匿名通信協(xié)議綜述

王良民，倪曉鈴，趙蕙

網(wǎng)絡(luò)層匿名通信協(xié)議綜述

王良民，倪曉鈴，趙蕙

（江蘇大學(xué)計(jì)算機(jī)科學(xué)與通信工程學(xué)院，江蘇 鎮(zhèn)江 212013）

匿名通信系統(tǒng)是一種建立在應(yīng)用層之上結(jié)合利用數(shù)據(jù)轉(zhuǎn)發(fā)、內(nèi)容加密、流量混淆等多種隱私保護(hù)技術(shù)來隱藏通信實(shí)體關(guān)系和內(nèi)容的覆蓋網(wǎng)絡(luò)。然而，作為覆蓋網(wǎng)絡(luò)運(yùn)行的匿名通信系統(tǒng)，在性能和安全保障上的平衡問題上存在不足。未來互聯(lián)網(wǎng)架構(gòu)的出現(xiàn)使構(gòu)建基于基礎(chǔ)設(shè)施的匿名通信系統(tǒng)成為可能。此類匿名通信系統(tǒng)將匿名設(shè)計(jì)為網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù)，通過為路由器配備加密操作，可解決匿名網(wǎng)絡(luò)的可拓展性和性能限制的部分問題，因此也可稱它們?yōu)榫W(wǎng)絡(luò)層匿名通信協(xié)議。對現(xiàn)有的網(wǎng)絡(luò)層匿名通信協(xié)議（LAP、Dovetail、Hornet、PHI和Taranet）進(jìn)行了研究，介紹了網(wǎng)絡(luò)層匿名通信協(xié)議的分類標(biāo)準(zhǔn)，簡述其創(chuàng)新點(diǎn)和具體加密思想，并對它們?nèi)绾卧诎踩院托阅芏咧g的權(quán)衡進(jìn)行分析，也指出了這幾種網(wǎng)絡(luò)匿名通信協(xié)議的優(yōu)勢和不足，最后提出在匿名通信系統(tǒng)發(fā)展的過程中所面臨的挑戰(zhàn)和需要深入研究的問題。

匿名通信；協(xié)議；網(wǎng)絡(luò)層；綜述

1 引言

互聯(lián)網(wǎng)作為通信與信息傳播的途徑在快速發(fā)展的同時(shí)，隱私保護(hù)成為當(dāng)今互聯(lián)網(wǎng)發(fā)展過程中一個(gè)至關(guān)重要的問題。國內(nèi)外一些調(diào)查機(jī)構(gòu)的研究結(jié)果表明：用戶越來越關(guān)注自身的隱私是否被泄露。隨著加密技術(shù)的深入研究，用戶通信數(shù)據(jù)的安全性得到了加強(qiáng)，但傳統(tǒng)加密技術(shù)很難對通信參與者身份、行為、網(wǎng)絡(luò)地址等隱私信息進(jìn)行強(qiáng)有力的保護(hù)。同時(shí)在一些特殊的應(yīng)用領(lǐng)域，如電子醫(yī)療、電子投票等系統(tǒng)，用戶身份、行為和網(wǎng)絡(luò)地址等隱私信息的保護(hù)程度是評估整個(gè)系統(tǒng)安全性能的重要因素之一[1]。為了解決上述問題，研究者們提出了保護(hù)用戶隱私的匿名技術(shù)。

匿名是指將用戶的身份、行為和網(wǎng)絡(luò)地址等隱私信息隱藏在特定的匿名集合之中，令網(wǎng)絡(luò)竊聽者和攻擊者無法識別通信行為的具體發(fā)起者，通信雙方的身份以及具體的網(wǎng)絡(luò)地址信息。匿名技術(shù)主要是通過對通信參與者身份和數(shù)據(jù)的匿名化，以及網(wǎng)絡(luò)地址的匿名化來保護(hù)個(gè)人隱私信息[2-3]的安全性。匿名通信系統(tǒng)是指采用匿名技術(shù)來保護(hù)通信雙方身份、行為和網(wǎng)絡(luò)地址等隱私信息的通信系統(tǒng)[4]，而有關(guān)如何保護(hù)用戶匿名身份的研究也成為公鑰密碼學(xué)的一個(gè)重要分支[5]。

目前，匿名通信技術(shù)的發(fā)展已具有一定的研究基礎(chǔ)。其中，安全性較高的匿名通信方案是混合網(wǎng)絡(luò)[6-9]，它們可以提供高延遲的異步消息傳遞。另一種則是洋蔥路由網(wǎng)絡(luò)（如Tor，the second-generation onion router[10]）。洋蔥路由采用密碼學(xué)相關(guān)技術(shù)實(shí)現(xiàn)了在計(jì)算機(jī)網(wǎng)絡(luò)上進(jìn)行匿名通信的目標(biāo)。在洋蔥路由的網(wǎng)絡(luò)中，消息被一層一層地加密包裝成像洋蔥結(jié)構(gòu)一樣的數(shù)據(jù)包，并經(jīng)由一系列被稱作洋蔥路由的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行轉(zhuǎn)發(fā)，每經(jīng)過一個(gè)洋蔥路由就可以將數(shù)據(jù)包的最外層解密，以此類推，當(dāng)數(shù)據(jù)包到達(dá)目的地時(shí)將最后一層解密，目的地就能獲得原始消息。因?yàn)榻?jīng)過這一系列的加密包裝，每一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)（包括目的地）都只能知道其相鄰節(jié)點(diǎn)，但無法知道整個(gè)發(fā)送路徑，從而達(dá)成了匿名通信的目的。Tor可以在安全性和性能之間提供平衡，實(shí)現(xiàn)典型的互聯(lián)網(wǎng)活動（如網(wǎng)頁瀏覽、即時(shí)消息傳遞等）的低延遲匿名通信。但研究人員也發(fā)現(xiàn)由于洋蔥路由網(wǎng)絡(luò)易受各種流量分析攻擊[11-15]，所以洋蔥路由網(wǎng)絡(luò)提供的匿名等級不足。同時(shí)基于覆蓋網(wǎng)絡(luò)的設(shè)計(jì)也為Tor帶來性能和拓展性方面的問題：在性能方面，覆蓋網(wǎng)絡(luò)的設(shè)計(jì)——使用每跳可靠的傳輸，增加了傳播和排隊(duì)延遲；在拓展性方面，Tor的設(shè)計(jì)要求中間節(jié)點(diǎn)維持每個(gè)鏈接狀態(tài)，從而限制了可以同時(shí)發(fā)生的并發(fā)匿名鏈接總數(shù)。此外，傳統(tǒng)的匿名通信系統(tǒng)是基于應(yīng)用層從而實(shí)現(xiàn)匿名通信的目的。研究者們認(rèn)為匿名通信應(yīng)該成為互聯(lián)網(wǎng)的內(nèi)置服務(wù)，以保證個(gè)人言論自由，進(jìn)行隱私保護(hù)，而不是僅通過可選的應(yīng)用層服務(wù)提供匿名性[16]。

近年來，研究人員發(fā)現(xiàn)網(wǎng)絡(luò)層匿名通信系統(tǒng)[17-21]，即通過在網(wǎng)絡(luò)層中構(gòu)建匿名通信協(xié)議可部分地解決匿名網(wǎng)絡(luò)的可拓展性和性能限制問題。在當(dāng)今的互聯(lián)網(wǎng)中，IP是基本的3層協(xié)議。而IP地址存在于每個(gè)數(shù)據(jù)包中，攻擊者通過記錄用戶的IP地址可以唯一地識別它，將該身份和用戶的在線活動聯(lián)系起來，關(guān)聯(lián)到不同的服務(wù)，并部分地揭示它的地理和網(wǎng)絡(luò)位置。所以網(wǎng)絡(luò)層匿名通信協(xié)議在不泄露用戶的第3層身份標(biāo)識（IP地址）的前提下進(jìn)行匿名通信，同時(shí)也不像Tor一樣產(chǎn)生大量的延遲和包頭開銷。網(wǎng)絡(luò)層匿名通信系統(tǒng)將匿名通信作為互聯(lián)網(wǎng)和下一代網(wǎng)絡(luò)架構(gòu)中的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的服務(wù)。和基于覆蓋網(wǎng)絡(luò)的現(xiàn)有匿名系統(tǒng)相比，網(wǎng)絡(luò)層匿名通信協(xié)議具有3個(gè)優(yōu)點(diǎn)：首先，網(wǎng)絡(luò)層匿名通信協(xié)議只涉及傳輸層之下的層，消除了覆蓋網(wǎng)絡(luò)中上層的處理和過多的排隊(duì)延遲；其次，此類協(xié)議可以使用源與目的地之間的較短路徑（而不是覆蓋網(wǎng)絡(luò)中重定向所建立的長路徑），從而減少傳播延遲；最后，路由器可以提供比現(xiàn)有自愿貢獻(xiàn)的服務(wù)器更高的吞吐量，并可增加匿名通信的吞吐量?，F(xiàn)有的網(wǎng)絡(luò)層匿名通信協(xié)議有以下5個(gè)：LAP（lightweight anonymity and privacy）[17]、Dovetail（stronger anonymity in next-generation internet routing）[18]、PHI（path-hidden lightweight anonymity protocol at network layer）[19]、Hornet（high-speed onion routing at the network layer）[20]、Taranet（traffic-analysis resistant anonymity at the network layer）[21]。根據(jù)它們在計(jì)算量和數(shù)據(jù)包包頭開銷方面的不同需求以及是否對數(shù)據(jù)包負(fù)載提供完整性保護(hù)的特性，可將它們劃分為兩類：網(wǎng)絡(luò)層輕量級匿名通信協(xié)議（包括LAP、Dovetail和PHI）和網(wǎng)絡(luò)層洋蔥路由匿名通信協(xié)議（包括Hornet和Taranet）。

2 基于覆蓋網(wǎng)絡(luò)的匿名通信協(xié)議

2.1 基于覆蓋的應(yīng)用層匿名通信系統(tǒng)

匿名通信的相關(guān)研究開始于David關(guān)于Mix網(wǎng)絡(luò)的提議[22]：通過Mix的轉(zhuǎn)接作用和對傳送數(shù)據(jù)重新排序、延時(shí)和填充等淆亂手段隔斷網(wǎng)絡(luò)通信雙方（或第三方）的邏輯聯(lián)系，使信宿方（或第三方）獲得只是信源身份的數(shù)據(jù)及Mix身份[23]。自此，研究者們提出并部署了基于消息的Mix系統(tǒng)[7-8,24-25]。這些系統(tǒng)通過使用昂貴的不對稱原語、消息批處理和混合等技術(shù)可以承受主動攻擊者和大部分的變節(jié)中繼節(jié)點(diǎn)帶來的威脅。由于它們會產(chǎn)生大量的計(jì)算開銷并帶來高延遲，適合于支持延遲容忍的應(yīng)用如電子郵件等。但隨著科技的進(jìn)步，高延遲匿名系統(tǒng)并不能滿足人們的更高要求。此后又提出了低延遲洋蔥路由系統(tǒng)[9,26-28]來有效地支持交互式流量。洋蔥路由系統(tǒng)是由志愿服務(wù)器組成的，它們自愿為其他服務(wù)器轉(zhuǎn)發(fā)流量。它的思想是用戶選擇一組服務(wù)器來匿名地轉(zhuǎn)發(fā)流量。在數(shù)據(jù)包轉(zhuǎn)發(fā)的過程中，每個(gè)服務(wù)器可以獨(dú)立地進(jìn)行加/解密，防止攻擊者通過觀察關(guān)聯(lián)出/入口流量。此外，低延遲洋蔥路由系統(tǒng)在數(shù)據(jù)包轉(zhuǎn)發(fā)期間僅需要對稱加密操作，并且避免使用導(dǎo)致延遲的批處理和混合技術(shù)。然而，低延遲洋蔥路由系統(tǒng)容易受到端到端的確認(rèn)攻擊，如時(shí)序攻擊等，因此與Mix網(wǎng)絡(luò)相比，它的匿名性保證較弱。為了實(shí)現(xiàn)強(qiáng)大的匿名性和良好的性能，研究者們繼而提出了比原始洋蔥路由網(wǎng)絡(luò)具有更高的抗流量分析能力和性能更高的協(xié)議[9]。綜上所述，從基于覆蓋的匿名系統(tǒng)的功能上來看，可分為低延遲洋蔥路由系統(tǒng)和抵制流量分析的高延遲匿名系統(tǒng)。其中低延遲洋蔥路由系統(tǒng)包括I2P[29]，JonDO[30]，F(xiàn)reedom[26]，Tor[9]。而抵制流量分析的匿名系統(tǒng)也可分為兩類：Mix網(wǎng)絡(luò)[31-34]和DC（dining cryptographer）網(wǎng)絡(luò)[35-38]。雖然二者的思想和采用的抵制流量分析的方式不同，但其本質(zhì)都是為了抵制流量分析并提供更高性能。

2.2 基于覆蓋網(wǎng)絡(luò)的匿名系統(tǒng)的主要問題（以Tor為例）

Tor是目前最流行的基于覆蓋網(wǎng)絡(luò)的低延遲洋蔥路由匿名系統(tǒng)之一。它是一種基于電路的低延遲匿名通信服務(wù)，Tor網(wǎng)絡(luò)的客戶端基于加權(quán)隨機(jī)的路由選擇算法隨機(jī)選取的中繼節(jié)點(diǎn)構(gòu)成了加密的通信鏈路，并引入完美的前向安全、擁塞控制、共享虛電路、分布式目錄服務(wù)、端到端的完整性檢測和可以配置的出口策略等機(jī)制，此外還加入了接收者匿名的實(shí)用設(shè)計(jì)，提高了Tor的匿名性和傳輸性能。Tor網(wǎng)絡(luò)可以直接運(yùn)行在現(xiàn)有的互聯(lián)網(wǎng)架構(gòu)上，運(yùn)行時(shí)不需要特殊的權(quán)限，幾乎不需要節(jié)點(diǎn)之間的同步或協(xié)調(diào)，并在匿名性、可用性和效率之間提供了合理的權(quán)衡。但其作為覆蓋網(wǎng)絡(luò)的設(shè)計(jì)存在性能和拓展性方面的問題。這樣的覆蓋系統(tǒng)試圖使用通過間接路由傳輸?shù)姆謱蛹用軘?shù)據(jù)包來達(dá)成匿名通信的目的。但是，由于較長的端到端路徑長度和間接通過3個(gè)Tor中繼節(jié)點(diǎn)的加密操作都會使運(yùn)行速度變慢，從而帶來額外的延遲。Tor網(wǎng)絡(luò)要求中間節(jié)點(diǎn)保持每個(gè)匿名連接的狀態(tài)從而受到可拓展性限制的影響。除此以外，Tor也容易受到流量分析的影響[39-42]。簡言之，當(dāng)前傳統(tǒng)的匿名技術(shù)難以保障系統(tǒng)的絕對安全性，尤其是在低延遲匿名通信系統(tǒng)（如Tor）中，其難以抵抗在具有強(qiáng)攻擊性的攻擊者進(jìn)行全局攻擊時(shí)的外部攻擊，而且在系統(tǒng)的通信過程中存在網(wǎng)絡(luò)開銷較大的缺陷，還不能保證為用戶提供可靠并且高性能的匿名通信服務(wù)。目前已有研究者們關(guān)注如何提高Tor的性能，主要從以下兩點(diǎn)展開：電路路徑選擇[43-45]和Tor的擁塞控制[46]。

為了提高匿名通信系統(tǒng)的性能，研究者們認(rèn)為基于覆蓋網(wǎng)絡(luò)設(shè)計(jì)的匿名系統(tǒng)在拓展性和性能方面存在的問題可以通過在網(wǎng)絡(luò)層構(gòu)建匿名協(xié)議來解決：網(wǎng)絡(luò)層匿名協(xié)議利用下一代互聯(lián)網(wǎng)架構(gòu)設(shè)計(jì)實(shí)現(xiàn)高度可拓展的設(shè)計(jì)目標(biāo)。網(wǎng)絡(luò)層匿名通信路由協(xié)議也可被稱作下一代匿名網(wǎng)絡(luò)，它們的基本假設(shè)是自治系統(tǒng)中的設(shè)備（如路由器等）在轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)可以進(jìn)行有效的加密操作，以便為終端主機(jī)提供匿名性。此處理一般在（軟件）路由器上完成。該網(wǎng)絡(luò)可提供匿名功能，并將該功能作為其默認(rèn)路由架構(gòu)中的一部分。通過利用源選擇的路由體系結(jié)構(gòu)，可以實(shí)現(xiàn)高度可拓展并且高效的端到端的匿名路由，無須在路由器上保持每個(gè)流的狀態(tài)。換句話說，在網(wǎng)絡(luò)層匿名通信協(xié)議中，節(jié)點(diǎn)轉(zhuǎn)發(fā)數(shù)據(jù)包所需要的狀態(tài)一般由數(shù)據(jù)包攜帶，會話狀態(tài)卸載至終端主機(jī)，這里的會話狀態(tài)可以是路由信息、節(jié)點(diǎn)的密鑰信息等[47]。

3 網(wǎng)絡(luò)層匿名通信協(xié)議

3.1 網(wǎng)絡(luò)層匿名協(xié)議的基本思想和與基于應(yīng)用層的匿名通信協(xié)議的比較

網(wǎng)絡(luò)層匿名通信協(xié)議將匿名通信作為互聯(lián)網(wǎng)和下一代網(wǎng)絡(luò)架構(gòu)中的網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù)。除了實(shí)現(xiàn)匿名以外，該類協(xié)議的基本設(shè)計(jì)目標(biāo)是高拓展性和高性能。當(dāng)然，網(wǎng)絡(luò)層匿名通信協(xié)議的實(shí)現(xiàn)離不開新興的路由技術(shù)如pathlet routing[48]/segment routing（SR）[47,49]等。本文以segment routing技術(shù)為例來詳細(xì)介紹支持網(wǎng)絡(luò)層匿名通信協(xié)議中關(guān)鍵技術(shù)的主要思想。segment routing是由IETF（國際互聯(lián)網(wǎng)過程任務(wù)組）推動的支持軟件定義網(wǎng)絡(luò)（SDN，software defined network）架構(gòu)的新型路由轉(zhuǎn)發(fā)協(xié)議。在未來的SDN網(wǎng)絡(luò)架構(gòu)中，SR將為網(wǎng)絡(luò)提供和上層應(yīng)用快速交互的能力。SR技術(shù)基于源路由[50-51]，節(jié)點(diǎn)（通常為路由器、主機(jī)或設(shè)備）選擇路徑，并且引導(dǎo)數(shù)據(jù)包沿著該路徑通過網(wǎng)絡(luò)，其做法是在數(shù)據(jù)包包頭中插入帶順序的段（segment）列表，以指示接收到這些數(shù)據(jù)包的節(jié)點(diǎn)怎么去處理和轉(zhuǎn)發(fā)這些數(shù)據(jù)包。段可以表示任何類型的指令：與拓?fù)湎嚓P(guān)的、基于服務(wù)的、基于上下文的等。因?yàn)橹噶畋痪幋a在數(shù)據(jù)包包頭中，所以網(wǎng)絡(luò)節(jié)點(diǎn)在接收數(shù)據(jù)包時(shí)只需要執(zhí)行這些指令。轉(zhuǎn)發(fā)路徑上的節(jié)點(diǎn)不必為所有可能經(jīng)過它們的流維持需要的狀態(tài)信息，也就是所謂的“狀態(tài)在數(shù)據(jù)包中”。而在網(wǎng)絡(luò)層匿名通信協(xié)議中主要是對數(shù)據(jù)包包頭中添加路徑段信息來表示路由，為了實(shí)現(xiàn)匿名，這些協(xié)議針對每個(gè)路徑段進(jìn)行加密從而隱藏路徑。

圖1 segment routing工作流程示例

Figure 1 The example of segment routing workflow

SR技術(shù)用節(jié)點(diǎn)段標(biāo)識（Node-SID，node- segment identifier）表示網(wǎng)絡(luò)中的節(jié)點(diǎn)，而用鄰接段標(biāo)識（Adj-SID，adjacency-segment identifier）表示網(wǎng)絡(luò)中的鏈路。數(shù)據(jù)的轉(zhuǎn)發(fā)路徑則是由一條段標(biāo)識（SID，segment identifiers）序列表示。數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)，中間節(jié)點(diǎn)只需依據(jù)包頭最外部的段標(biāo)識對數(shù)據(jù)包實(shí)施操作。

segment routing工作流程如圖1所示，假設(shè)流量要從A到達(dá)F。

1) 網(wǎng)絡(luò)中運(yùn)行內(nèi)部網(wǎng)關(guān)協(xié)議（IGP，interior gateway protocol）或者邊界網(wǎng)關(guān)協(xié)議（BGP，border gateway protocol），保證全網(wǎng)路由可達(dá)。

2) 為網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)配置Node-SID（Node-SID可以單獨(dú)表示一臺設(shè)備，而且全局有效并唯一），并且通過IGP或者BGP進(jìn)行擴(kuò)散,保證Node ID全網(wǎng)唯一，且Node ID全網(wǎng)可達(dá)。

3) 生成Adj-SID（Adj-SID則是本地有效，本地唯一標(biāo)識一條鏈路），Adj-SID可以通過手動配置生成，也可以通過控制器進(jìn)行分配。

4) 控制器向設(shè)備收集全網(wǎng)的拓?fù)浜蜆?biāo)簽信息，這些信息可以通過IGP或者BGP上報(bào)給控制器。

5) 如某應(yīng)用向控制器請求，要求網(wǎng)絡(luò)提供一條帶寬不低于20 Mbit/s，時(shí)延不高于10 ms的鏈路。控制器收到請求后將告訴A收到一條流量，這條流量從A到F要求帶寬20 Mbit/s，時(shí)延10 ms等。

6) A向控制器請求路徑計(jì)算，由于控制器已經(jīng)掌握了全網(wǎng)的拓?fù)浜蜆?biāo)簽信息，于是計(jì)算得知，C到F的路徑擁塞，最優(yōu)路徑應(yīng)該是A-C-E-F。

7) 控制器給A下發(fā)標(biāo)簽棧，標(biāo)簽棧為（16001，30002，16002）。

8) A收到標(biāo)簽棧后，發(fā)現(xiàn)第一跳標(biāo)簽是16001，則根據(jù)路由將報(bào)文同時(shí)發(fā)往B和D，B和D收到后，發(fā)現(xiàn)標(biāo)簽為16001，于是根據(jù)路由，將報(bào)文發(fā)往C。

9) C收到報(bào)文后，發(fā)現(xiàn)第一個(gè)標(biāo)簽是自身的標(biāo)簽，則將標(biāo)簽彈出，發(fā)現(xiàn)內(nèi)層標(biāo)簽是30002，是自身的Adj-SID，于是將30002彈出，并將報(bào)文發(fā)往30002對應(yīng)的鏈路。

10) 當(dāng)E收到該報(bào)文之后，根據(jù)標(biāo)簽16002將報(bào)文發(fā)往F，這樣整個(gè)流的轉(zhuǎn)發(fā)完成。

同時(shí)下一代互聯(lián)網(wǎng)架構(gòu)，如NEBULA[52]、Mobility First[53]、XIA[54]、SCION[55-56]等網(wǎng)絡(luò)架構(gòu)的出現(xiàn)也使網(wǎng)絡(luò)層匿名通信協(xié)議的實(shí)現(xiàn)成為可能。NEBULA提供符合策略的路徑，并使每個(gè)路由器能夠驗(yàn)證所攜帶數(shù)據(jù)的來源。MobilityFirst專注于適應(yīng)動態(tài)主機(jī)，并實(shí)現(xiàn)可拓展的網(wǎng)絡(luò)移動性。XIA旨在提供靈活、可拓展的網(wǎng)絡(luò)架構(gòu)，集成了內(nèi)容，服務(wù)或用戶等備用一流主機(jī)的豐富尋址。SCION提供隔離、路徑控制、可拓展性以及可獲得性等特性。本文以SCION為例進(jìn)行詳細(xì)闡述。2019年開始開發(fā)的SCION是一種路徑感知網(wǎng)絡(luò)架構(gòu)，Hornet、PHI、Taranet這幾個(gè)項(xiàng)目都可以在SCION上首先獲取到路徑信息。多項(xiàng)新興技術(shù)的出現(xiàn)，如segment routing可支持采用路徑感知架構(gòu)作為互聯(lián)網(wǎng)部署的可行性。它與傳統(tǒng)的互聯(lián)網(wǎng)架構(gòu)之間的區(qū)別在于：當(dāng)前的網(wǎng)絡(luò)架構(gòu)是假設(shè)數(shù)據(jù)包將被發(fā)送到預(yù)期的目的地，傳輸層的一些協(xié)議的目的也是保證傳輸?shù)目煽啃?，但新型的網(wǎng)絡(luò)架構(gòu)是將路徑感知加入到網(wǎng)絡(luò)架構(gòu)中，這樣的網(wǎng)絡(luò)體系結(jié)構(gòu)使端點(diǎn)可以獲得有關(guān)路徑及其屬性的信息。然后，這些端點(diǎn)可以使用該信息來選擇給定目的地、流甚至數(shù)據(jù)包的路徑。如當(dāng)源S和目的地D要進(jìn)行通信的時(shí)候，首先源會獲取到此過程中源到目的地的所有路徑信息段，如果需要進(jìn)行匿名的通信，就需要對這些路徑信息段進(jìn)行不同的加密操作等。和SDN相比，SDN中的大多數(shù)工作主要適用于域內(nèi)通信，而SCION主要涉及改進(jìn)域間通信，使每個(gè)域內(nèi)的網(wǎng)絡(luò)變化最小。SCION可以利用SDN提供域內(nèi)通信，因此，這兩種方法相互補(bǔ)充。雖然一些新興的SDN項(xiàng)目試圖在現(xiàn)有的互聯(lián)網(wǎng)架構(gòu)中提供域間屬性，如顯式多路徑支持，但它們?nèi)狈CION提供的安全性和拓展性等屬性。

與軟件定義網(wǎng)絡(luò)類似，SCION也存在控制平面和數(shù)據(jù)平面。控制平面用來探索和傳播可達(dá)性信息，數(shù)據(jù)平面的功能是如何轉(zhuǎn)發(fā)數(shù)據(jù)包?，F(xiàn)有的網(wǎng)絡(luò)層匿名通信協(xié)議可以在SCION架構(gòu)上獲取到路徑信息后，再進(jìn)行匿名的會話通信。網(wǎng)絡(luò)層匿名通信協(xié)議也可以稱作基于網(wǎng)絡(luò)基礎(chǔ)設(shè)施（如路由器）的匿名協(xié)議。與基于覆蓋網(wǎng)絡(luò)的現(xiàn)有匿名系統(tǒng)相比，基于基礎(chǔ)設(shè)施的匿名系統(tǒng)有3個(gè)優(yōu)點(diǎn)：首先，使用源和目的地之間的較短路徑，可以減少傳播延遲；其次，僅涉及網(wǎng)絡(luò)模型中傳輸層下方的層；最后，路由器可以提供比現(xiàn)在自愿提供資源服務(wù)器更高的吞吐量，并且也致力于增加匿名通信中的吞吐量。對兩類匿名通信協(xié)議的比較如表1所示。

3.2 網(wǎng)絡(luò)層匿名通信協(xié)議的簡介

根據(jù)現(xiàn)有的網(wǎng)絡(luò)層匿名通信協(xié)議對計(jì)算量和包頭開銷的不同要求，將它們劃分為輕量級匿名協(xié)議和洋蔥路由匿名協(xié)議。網(wǎng)絡(luò)層輕量級匿名協(xié)議（如LAP、Dovetail和PHI）只需要網(wǎng)絡(luò)設(shè)備來解密和驗(yàn)證路徑段，而這個(gè)路徑段是包含了轉(zhuǎn)發(fā)數(shù)據(jù)包所需的基本信息，并使用端到端的數(shù)據(jù)包加密來提供保密性。相比之下，洋蔥路由匿名協(xié)議（如Hornet、Taranet）需要路徑上的網(wǎng)絡(luò)設(shè)備進(jìn)行昂貴的加密作來建立流，并對每個(gè)數(shù)據(jù)包使用每跳認(rèn)證加密。每個(gè)路徑上的節(jié)點(diǎn)還需要在其路徑段內(nèi)存儲必要的密鑰，這使數(shù)據(jù)包包頭開銷增大。除此以外，輕量級匿名協(xié)議之所以輕量也在于這類匿名協(xié)議沒有對數(shù)據(jù)包的負(fù)載進(jìn)行加密操作。

表1 基于覆蓋網(wǎng)絡(luò)的匿名通信協(xié)議和網(wǎng)絡(luò)層匿名通信協(xié)議的比較

網(wǎng)絡(luò)層匿名通信協(xié)議所期望達(dá)到的隱私和性能屬性根據(jù)每個(gè)協(xié)議的設(shè)計(jì)而有所不同。本文根據(jù)現(xiàn)有的期望屬性可對協(xié)議進(jìn)行評估和分析。

隱私屬性如下。

1) 發(fā)送者/接收者匿名。匿名是指將用戶的身份、行為和網(wǎng)絡(luò)地址等隱私信息隱藏在特定的匿名集合中，令網(wǎng)絡(luò)竊聽者和攻擊者無法識別通信行為具體是由哪一個(gè)體發(fā)起，識別通信雙方的身份以及具體的網(wǎng)絡(luò)地址信息。發(fā)送者/接收者匿名是指攻擊者無法通過捕獲到的數(shù)據(jù)包鏈接發(fā)送者/接收者。

2) 會話不可鏈接性。會話不可鏈接性則是確保如果給定來自兩個(gè)不同會話的兩個(gè)數(shù)據(jù)包，攻擊者無法確定這些數(shù)據(jù)包是否和同一個(gè)發(fā)送者（或接收者）相關(guān)聯(lián)。

3) 地理位置隱私。當(dāng)用戶隱藏他的地理位置時(shí)，攻擊者無法追蹤用戶的位置。

4) 路徑信息機(jī)密性/真實(shí)性。攻擊者根據(jù)路徑上的變節(jié)節(jié)點(diǎn)無法揭示路徑上的節(jié)點(diǎn)總數(shù)或其余任一端的終端主機(jī)的距離。除此以外，攻擊者也無法修改現(xiàn)有路徑或偽造新路徑。

5) 數(shù)據(jù)包有效負(fù)載保密和端到端的完整性。在終端主機(jī)不變節(jié)的情況下，攻擊者無法從數(shù)據(jù)包負(fù)載中學(xué)習(xí)到任何信息，除了數(shù)據(jù)包序列之間的長度和時(shí)間。

6) 抵制流量分析。流量分析是指通過元數(shù)據(jù)（如流量模式、時(shí)序等），來識別通信端點(diǎn)。而根據(jù)攻擊者是否操縱流量，可以將流量分析技術(shù)分為主動和被動。而為了提高匿名性，抵制流量分析攻擊具有重大意義。

性能屬性如下。

1) 低性能開銷。為了達(dá)到低帶寬開銷和低延遲的目標(biāo)，在加密方面操作一般僅使用對稱加密。

2) 可拓展性。為了避免狀態(tài)爆炸問題，保持最小或者無每流狀態(tài)來減少攻擊面積，提高可拓展性。

3) 低路徑延伸。由于等待時(shí)間隨著路徑上中間跳數(shù)（中間節(jié)點(diǎn)）的增加而增加，所以盡量保持低路徑延伸。

4) 高吞吐量。吞吐量是指對網(wǎng)絡(luò)、設(shè)備、端口、虛電路或其他設(shè)施，單位時(shí)間內(nèi)成功地傳送數(shù)據(jù)的數(shù)量（以比特、字節(jié)、數(shù)據(jù)包等測量）。而網(wǎng)絡(luò)層匿名通信協(xié)議則希望達(dá)成高吞吐量的目標(biāo)來滿足用戶的需求。

3.2.1 網(wǎng)絡(luò)層輕量級匿名協(xié)議

一般地，輕量級匿名協(xié)議有以下3點(diǎn)特征：首先，這類協(xié)議可以提供高速的數(shù)據(jù)包轉(zhuǎn)發(fā)，速度可達(dá)到100 Gbit/s；其次，此類協(xié)議通過不需要在每個(gè)中間節(jié)點(diǎn)上維持流狀態(tài)從而實(shí)現(xiàn)高拓展性；最后，它們可以融入不同的網(wǎng)絡(luò)架構(gòu)中。目前存在的輕量級匿名協(xié)議有LAP、Dovetail以及PHI。

(1) LAP

Hsiao等[17]提出的LAP協(xié)議是一種可以實(shí)現(xiàn)實(shí)時(shí)雙向匿名通信的輕量級協(xié)議，有兩個(gè)基本屬性：低延伸匿名和寬松的攻擊者模型。低延伸匿名是指用于匿名和私人通信的數(shù)據(jù)包應(yīng)該經(jīng)過幾乎最佳的路由。而寬松的攻擊者模型（如終端服務(wù)器攻擊）則是區(qū)別于現(xiàn)有匿名系統(tǒng)所考慮的強(qiáng)攻擊者模型（如全球或政府級攻擊者）。

本文將對LAP進(jìn)行概述，并解釋終端主機(jī)如何建立加密路徑以及自治域（AS，autonomous system）如何沿著加密路徑轉(zhuǎn)發(fā)數(shù)據(jù)包以實(shí)現(xiàn)中等級別的匿名性。如用戶（或發(fā)送者）想要和目的地（或接收者）進(jìn)行匿名會話，假設(shè)所使用的拓?fù)浣Y(jié)構(gòu)如圖2所示，LAP協(xié)議的目的則是隱藏發(fā)起的路徑并到達(dá)目的地，換句話來說LAP協(xié)議是通過模糊終端主機(jī)的拓?fù)湮恢脕砑訌?qiáng)匿名性。而其中的關(guān)鍵點(diǎn)在于每個(gè)數(shù)據(jù)包都包含加密的數(shù)據(jù)包包頭，包頭中包含路由信息。為了實(shí)現(xiàn)匿名性，每個(gè)AS在數(shù)據(jù)包包頭內(nèi)只能了解到關(guān)于其本身的信息。

圖2 LAP網(wǎng)絡(luò)拓?fù)淠Ｐ?/p>

Figure 2 The model of LAP network topology

當(dāng)想要和進(jìn)行通信時(shí)，首先發(fā)送空的數(shù)據(jù)包用于與目的地建立連接。在圖3中展示了該協(xié)議對于數(shù)據(jù)包包頭的具體加密過程。LAP協(xié)議中有這樣的定義：該數(shù)據(jù)包中已經(jīng)事先包含了目的地的地址，所以每個(gè)AS均可以獨(dú)立地決定如何轉(zhuǎn)發(fā)數(shù)據(jù)包。比如AS3在了解到目的地的地址的情況下知道它需要轉(zhuǎn)發(fā)數(shù)據(jù)包給AS1。LAP協(xié)議假設(shè)每一個(gè)AS都有一個(gè)本地密鑰。首先，AS6使用自己的本地密鑰K6對轉(zhuǎn)發(fā)信息（即AS的路由決策）進(jìn)行加密，比如AS6中的就是AS6的出口接口。隨后AS6將加密后的路徑信息添加入數(shù)據(jù)包包頭的路徑段中。對于其他AS也進(jìn)行類似的操作，直至AS9也完成此操作之后，此時(shí)的數(shù)據(jù)包包頭中就包含了所有的加密的轉(zhuǎn)發(fā)信息。而這樣的數(shù)據(jù)包包頭可以添加進(jìn)所有的數(shù)據(jù)包中，每一個(gè)AS只需用自己的密鑰進(jìn)行解密便可得到轉(zhuǎn)發(fā)信息來轉(zhuǎn)發(fā)數(shù)據(jù)包。

在LAP協(xié)議中，segment的具體構(gòu)造如下：

LAP數(shù)據(jù)包包頭格式

LAP屬于網(wǎng)絡(luò)層的路由協(xié)議，并且主要是對數(shù)據(jù)包的包頭格式進(jìn)行了修改。圖4展示了LAP數(shù)據(jù)包的包頭格式。LAP協(xié)議的數(shù)據(jù)包有兩種類型：會話請求過程中的請求數(shù)據(jù)包和用來回復(fù)信息的回復(fù)數(shù)據(jù)包。從圖4中可以看出，請求數(shù)據(jù)包表示的是打算與匿名通信。為了發(fā)起請求，在32位目的地址中指定的地址。在請求數(shù)據(jù)包經(jīng)過多個(gè)自治域并到達(dá)的過程中，每個(gè)中間AS域?qū)⒆约旱募用苈窂蕉翁砑尤搿凹用苈窂健弊侄沃?。而回?fù)數(shù)據(jù)包的包頭中不包含IP地址，這是因?yàn)榭梢詮南鄳?yīng)的請求數(shù)據(jù)包中直接復(fù)制雙向的加密路徑來轉(zhuǎn)發(fā)回復(fù)數(shù)據(jù)包。此外，包頭中還包括一個(gè)“長度”字段來指示數(shù)據(jù)包的大小。加密路徑中則包含的是一組段，每一個(gè)段的大小默認(rèn)為128 bits。如圖中所示，每個(gè)段都包含一個(gè)入口端口、一個(gè)出口端口、段的大小，用來存放其他信息的保留位以及消息鑒別碼（MAC，message authentication code）。

圖3 包頭中加密路徑的形成過程

Figure 3 Formation of E-PATH in the packet header

LAP實(shí)現(xiàn)發(fā)送者匿名和對地理位置的保護(hù)。為了實(shí)現(xiàn)接收者匿名，可以采用約會節(jié)點(diǎn)的方式，參考Tor中的機(jī)制，該協(xié)議可以和當(dāng)前IP網(wǎng)絡(luò)相適應(yīng)，也可以與未來網(wǎng)絡(luò)架構(gòu)SCION等相融合。LAP是網(wǎng)絡(luò)層匿名通信領(lǐng)域的首創(chuàng)之舉，為之后該領(lǐng)域的研究提供了很多的靈感。但對于LAP協(xié)議也存在一個(gè)明顯的問題：AS6作為第一跳，同時(shí)知道了源和目的地的地址，那么此時(shí)就必須信任第一跳，否則將會破壞匿名性。為了改進(jìn)這一缺陷，Sankey等[18]在Dovetail協(xié)議中采用一種間接的思想進(jìn)行改進(jìn)。

(2) Dovetail

圖4 LAP數(shù)據(jù)包包頭格式和segment的格式

Figure 4 Formats of packet headers and a path segment of LAP

通過對以上兩個(gè)協(xié)議的比較，可以發(fā)現(xiàn)LAP協(xié)議的缺點(diǎn)是需要信任第一跳，而優(yōu)點(diǎn)則是可以適用于沒有源控制的網(wǎng)絡(luò)架構(gòu)；而在Dovetail協(xié)議中，其優(yōu)點(diǎn)是沒有AS能夠同時(shí)知道源和目的地的地址，但缺點(diǎn)就在于它需要源控制的網(wǎng)絡(luò)架構(gòu)。除此以外，兩者的數(shù)據(jù)包格式都存在一個(gè)共同的問題：AS位置的泄露。如當(dāng)攻擊者攻擊了圖5(c)的AS9之后，它可以分析并學(xué)習(xí)到在其本身之前還存在5個(gè)段，那么攻擊者就可以了解到自己處于第6跳的位置，并且它知道了目的地的地址，從而會損壞匿名性。因此對于輕量級匿名協(xié)議的更嚴(yán)格的要求也就應(yīng)運(yùn)而生。對于一個(gè)新的匿名協(xié)議，希望可以達(dá)到以下3點(diǎn)要求：第一，AS的位置不被泄露；第二，沒有AS同時(shí)知道源和目的地的位置；第三，可以適應(yīng)于沒有源控制的轉(zhuǎn)發(fā)路徑。而2017年Chen等[19]提出的新路由協(xié)議PHI則達(dá)到了以上3個(gè)要求。

圖5 Dovetail連接的構(gòu)造過程

Figure 5 Construction of a Dovetail connection

(3) PHI

在網(wǎng)絡(luò)層隱藏路徑的輕量級匿名協(xié)議簡稱PHI。PHI不僅解決了在LAP和Dovetail中存在的問題，同時(shí)也保持了與LAP和Dovetail相同的效率水平。PHI提出了一種隱藏路徑信息的有效包頭格式和一種新的可與當(dāng)前及未來網(wǎng)絡(luò)架構(gòu)兼容的后退路徑建立方法。實(shí)驗(yàn)分析表明PHI將LAP和Dovetail的匿名集擴(kuò)展了30多倍，并在商用軟件路由器上達(dá)到120 Gbit/s的轉(zhuǎn)發(fā)速度。

為了使AS的位置不被泄露，PHI中采用段位置隨機(jī)化的思想。當(dāng)要插入一個(gè)段到數(shù)據(jù)包的包頭時(shí)，以密鑰鍵入的偽隨機(jī)函數(shù)來計(jì)算出偽隨機(jī)位置，隨后進(jìn)行插入操作。如圖6所示，比如AS6計(jì)算出的位置號是3，則將6插入到數(shù)據(jù)包包頭中的確定位置。對于其他AS也進(jìn)行相同的操作。這種方法可以防止攻擊者捕捉到包頭中段位置之間的關(guān)聯(lián)。

圖6 PHI中段位置隨機(jī)化的過程

Figure 6 The process of randomizing path-segment positions in PHI

在PHI中隱藏路徑信息的核心思想是在數(shù)據(jù)包包頭中隨機(jī)化每個(gè)節(jié)點(diǎn)的段的位置。具體的隨機(jī)化過程如下。首先，節(jié)點(diǎn)會使用偽隨機(jī)函數(shù)（PRF，pseudo-random function）來計(jì)算其段在包頭中的位置。函數(shù)的輸入是該節(jié)點(diǎn)的本地密鑰（kpos）和會話id（sid），輸出則是計(jì)算出的該節(jié)點(diǎn)要插入的位置（pos）。表示為

然后，每個(gè)節(jié)點(diǎn)生成自己的段，段的構(gòu)造公式如式(4)~式(6)所示。

最后，節(jié)點(diǎn)將自己的段插入計(jì)算好的位置中。但這種操作會帶來一個(gè)沖突問題：當(dāng)兩個(gè)AS計(jì)算的位置號相同時(shí)，就會產(chǎn)生沖突。如AS6計(jì)算出的位置號是3，AS1的位置號也是3，那么后者將把前者覆蓋掉。針對這種沖突問題，研究者們提出兩種解決方案。第一種方案是進(jìn)行多次試驗(yàn)，同時(shí)發(fā)送多個(gè)會話建立請求數(shù)據(jù)包。第二種方案是采用更大的包頭空間。如對于4跳的路徑，需要12個(gè)段的空間。

而在PHI中為了與當(dāng)前的互聯(lián)網(wǎng)架構(gòu)兼容，即在沒有源控制轉(zhuǎn)發(fā)路徑的情況下工作，采用的方案是建立后退路徑。首先，源是建立一條到達(dá)輔助節(jié)點(diǎn)的路徑，這部分路徑的構(gòu)建過程與Dovetail類似。而與Dovetail的不同之處在于，Dovetail中需要輔助節(jié)點(diǎn)來拓展一條不同的路徑，而PHI是由輔助節(jié)點(diǎn)沿著前向的路徑的相反方向發(fā)出請求，從而尋找中間節(jié)點(diǎn)。每一個(gè)在路徑上的AS都可以獨(dú)立地檢查其本身是否可以轉(zhuǎn)發(fā)數(shù)據(jù)包給目的地。當(dāng)一個(gè)節(jié)點(diǎn)成為中間節(jié)點(diǎn)之后，如圖6中的AS1，則可以創(chuàng)建一個(gè)新路徑段，并且將出口端口的字段更改為朝向目的地，同時(shí)在自己的段中設(shè)立“中間”標(biāo)志。最后AS1便可以建立到達(dá)D的路徑。

PHI數(shù)據(jù)包包頭格式

PHI的數(shù)據(jù)包共有兩種類型：會話請求過程中請求數(shù)據(jù)包和回復(fù)/數(shù)據(jù)傳輸數(shù)據(jù)包。PHI的請求數(shù)據(jù)包中包括以下幾個(gè)部分：數(shù)據(jù)包類型、數(shù)據(jù)包長度、前一跳的位置、計(jì)算出的段位置號、加密段形成的路徑、S的DH公鑰以及地址位。而回復(fù)數(shù)據(jù)包中也有相同的部分：數(shù)據(jù)包類型、數(shù)據(jù)包長度、前一跳的位置、計(jì)算出的段位置號以及加密段形成的路徑。具體數(shù)據(jù)包格式如圖7所示。

和Dovetail中建立路徑的過程相比，在PHI的后退路徑建立的過程中，每一個(gè)AS都可以獨(dú)立地決策自己是否要成為中間節(jié)點(diǎn)，而AS也不需要去控制哪個(gè)節(jié)點(diǎn)去成為Tail節(jié)點(diǎn)，因此不需要源去控制整條轉(zhuǎn)發(fā)路徑。最后Chen等[19]的實(shí)驗(yàn)結(jié)果也表明了PHI的匿名集的規(guī)模比LAP和Dovetail的匿名集大30多倍，從而也抵抗了基于拓?fù)涞墓簟?/p>

3.2.2 網(wǎng)絡(luò)層洋蔥路由匿名協(xié)議

和網(wǎng)絡(luò)層輕量級匿名協(xié)議相比，網(wǎng)絡(luò)層洋蔥路由匿名協(xié)議就顯得復(fù)雜些。雖然前者在下一代網(wǎng)絡(luò)架構(gòu)上提供網(wǎng)絡(luò)層低延遲匿名通信，但這3種方案的高性能導(dǎo)致安全性保障嚴(yán)重下降，同時(shí)對數(shù)據(jù)包有效負(fù)載的保護(hù)依賴于上層協(xié)議，這也就增加了整體復(fù)雜性。而網(wǎng)絡(luò)層洋蔥路由協(xié)議針對這些缺陷進(jìn)行了改進(jìn)。此類協(xié)議默認(rèn)提供數(shù)據(jù)包有效負(fù)載的保護(hù)，也可以抵御利用多個(gè)網(wǎng)絡(luò)觀察點(diǎn)的攻擊。換言之，該類協(xié)議有以下3點(diǎn)的顯著特征：首先，和輕量級匿名協(xié)議一樣，為了實(shí)現(xiàn)高拓展性，節(jié)點(diǎn)轉(zhuǎn)發(fā)數(shù)據(jù)包所需要的狀態(tài)一般由數(shù)據(jù)包攜帶，會話狀態(tài)卸載至終端主機(jī)，這樣中間節(jié)點(diǎn)也可以快速轉(zhuǎn)發(fā)流量；其次，為了實(shí)現(xiàn)高效的數(shù)據(jù)包處理，中間節(jié)點(diǎn)在數(shù)據(jù)傳輸階段僅采用對稱加密的方式處理數(shù)據(jù)包；最后，在會話建立成功之后，在數(shù)據(jù)傳輸過程中，數(shù)據(jù)有效負(fù)載使用洋蔥加密的方式進(jìn)行加密保護(hù)。

圖7 PHI數(shù)據(jù)包包頭格式和pathsegment的格式

Figure 7 Formats of packet headers and a pathsegment of PHI

(1) Hornet

Chen等[20]提出的Hornet協(xié)議的基本目標(biāo)是實(shí)現(xiàn)可拓展性和高效性。為了實(shí)現(xiàn)因特網(wǎng)規(guī)模的匿名通信，Hornet中間節(jié)點(diǎn)必須避免保持每一會話狀態(tài)（如加密密鑰和路由信息等）。會話狀態(tài)被卸載至終端主機(jī)，終端主機(jī)將該狀態(tài)嵌入到數(shù)據(jù)包中，使每個(gè)中間節(jié)點(diǎn)可以在數(shù)據(jù)包轉(zhuǎn)發(fā)過程中提取自己的狀態(tài)。

卸載會話狀態(tài)會帶來兩個(gè)問題。第一，節(jié)點(diǎn)需要防止它們的卸載狀態(tài)泄露信息（如會話的加密密鑰）。為了解決這個(gè)問題，每個(gè)Hornet節(jié)點(diǎn)都通過使用一個(gè)本地密鑰來加密被卸載的每個(gè)會話狀態(tài)，并將此加密后的狀態(tài)稱為轉(zhuǎn)發(fā)段（FS，forwarding segment）。FS允許構(gòu)建它的節(jié)點(diǎn)來檢索嵌入信息（即下一跳、共享密鑰、會話到期時(shí)間等），同時(shí)對于未授權(quán)的第三方，該信息不可見。以上操作實(shí)現(xiàn)了Hornet流量的位模式不可鏈接性和數(shù)據(jù)包路徑信息的機(jī)密性，并且Hornet協(xié)議可以防御基于數(shù)據(jù)包內(nèi)容匹配數(shù)據(jù)包的被動對手。然而，該協(xié)議容易受到更復(fù)雜的主動攻擊。

FS作為Hornet協(xié)議中重要的轉(zhuǎn)發(fā)單位。與LAP和PHI的段類似，有其特殊的定義方式，表示為

其中，表示只有創(chuàng)建出該FS的節(jié)點(diǎn)所知道的秘密值（secret value），表示節(jié)點(diǎn)與源共享的密鑰，表示路由信息，EXP表示會話到期時(shí)間，而節(jié)點(diǎn)通過FS_CREATE和 FS_OPEN兩個(gè)功能相反的函數(shù)來加解密出節(jié)點(diǎn)轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)所需的轉(zhuǎn)發(fā)狀態(tài)。

Hornet數(shù)據(jù)包格式

Hornet數(shù)據(jù)包分為兩種格式：會話建立時(shí)期的數(shù)據(jù)包和數(shù)據(jù)傳輸過程的數(shù)據(jù)包。具體格式如圖8所示。

Hornet的數(shù)據(jù)包包頭重用于會話中的所有數(shù)據(jù)包，并且有效載荷不受完整性保護(hù)，因此Hornet無法防止數(shù)據(jù)包重放。攻擊者可以任意更改有效載荷，使數(shù)據(jù)包看起來與處理節(jié)點(diǎn)合法的新數(shù)據(jù)包無法區(qū)分。這種重放攻擊可以和流量分析結(jié)合使用，將可識別的指紋插入流中，有助于對通信端點(diǎn)進(jìn)行去匿名化?；诖耍瑸榱丝梢缘种屏髁糠治?，在Hornet的基礎(chǔ)上進(jìn)行改進(jìn)，Chen等[21]在2018年提出了新的匿名協(xié)議——Taranet。

圖8 Hornet數(shù)據(jù)包格式

Figure 8 Hornet packet formats

(2) Taranet

一方面，現(xiàn)代低延遲匿名通信系統(tǒng)無論是構(gòu)建為覆蓋網(wǎng)絡(luò)還是在網(wǎng)絡(luò)層實(shí)現(xiàn)，在抵制流量分析的安全保障方面的能力都很有限；另一方面，高延遲匿名系統(tǒng)以計(jì)算開銷和長延遲為代價(jià)提供強(qiáng)大的安全保證，但這對于交互式應(yīng)用來說代價(jià)太大。為了在網(wǎng)絡(luò)層實(shí)現(xiàn)抵制流量分析的保護(hù)，并控制發(fā)生的延遲和開銷，Chen等[21]提出了Taranet。在Taranet的會話建立階段使用混洗[50]來抵制流量分析[22]；在數(shù)據(jù)傳輸階段，終端主機(jī)和AS協(xié)調(diào)使用數(shù)據(jù)包分割技術(shù)將流量整形為恒定速率傳輸。而Chen等[21]人的實(shí)驗(yàn)表明Taranet可以以超過50 Git/s的速度轉(zhuǎn)發(fā)匿名流量。

圖9和圖10表示的是Taranet協(xié)議在會話建立階段和數(shù)據(jù)傳輸階段的流程。

圖9 Taranet會話建立階段

Figure 9 Setup phase of Taranet

與先前描述的網(wǎng)絡(luò)層匿名通信協(xié)議類似，Taranet協(xié)議也分為兩個(gè)階段：會話建立階段和數(shù)據(jù)傳輸階段。在會話建立階段，每個(gè)Taranet節(jié)點(diǎn)處理會話建立消息時(shí)使用混洗。在中間節(jié)點(diǎn)處理會話建立消息之后，節(jié)點(diǎn)將消息在本地組合成大小為的批次中。一旦有足夠多的消息就可形成批處理，節(jié)點(diǎn)首先在每個(gè)批處理中隨機(jī)化消息順序，然后發(fā)出批處理。通過批處理和命令隨機(jī)化，Taranet節(jié)點(diǎn)便可以模糊消息的時(shí)間和順序。通過觀察非受損節(jié)點(diǎn)的輸入和輸出數(shù)據(jù)包的對手無法將輸出數(shù)據(jù)包與批處理中相應(yīng)的輸入數(shù)據(jù)包進(jìn)行匹配，從而抵制了流量分析。但因?yàn)榻⑾⑿枰鹊嚼鄯e到足夠多的消息，所以這種批處理技術(shù)也會帶來額外的延遲，但鑒于網(wǎng)絡(luò)中大量的同時(shí)鏈接，所以引入的延遲非常低。

圖10 Taranet數(shù)據(jù)傳輸階段設(shè)計(jì)流程

Figure 10 Data transmission phase of Taranet

在數(shù)據(jù)傳輸階段免受流量分析的基本思想是將流量整形為恒定速率傳輸。Flowlet是基本傳輸單元，終端主機(jī)以恒定的速率和最大生命周期來傳輸數(shù)據(jù)包。在Flowlet的生命周期內(nèi)，終端主機(jī)始終以速率來傳輸數(shù)據(jù)包，必要時(shí)添加垃圾包。Flowlet的關(guān)鍵屬性是不僅在終端主機(jī)上而且在所有遍歷的鏈路上保持恒定的傳輸速率，F(xiàn)lowlet依賴于端到端填充而非鏈路填充。為了實(shí)現(xiàn)恒定速率的傳輸，理想情況下每個(gè)Flowlet應(yīng)在每個(gè)節(jié)點(diǎn)以速率到達(dá)和離開。然而抖動、丟棄可能導(dǎo)致速率變化，但數(shù)據(jù)包分裂技術(shù)可以使一個(gè)數(shù)據(jù)包在特定中間節(jié)點(diǎn)處分裂成兩個(gè)數(shù)據(jù)包，所得的數(shù)據(jù)包和其他不可分離的數(shù)據(jù)包無法區(qū)分，生成的數(shù)據(jù)包仍經(jīng)過相同的路徑并且到達(dá)接收者的終端主機(jī)。

Taranet數(shù)據(jù)包格式

Taranet數(shù)據(jù)包包含數(shù)據(jù)包包頭和數(shù)據(jù)包負(fù)載。其中包頭包括初始向量（IV，initial vector），轉(zhuǎn)發(fā)段、消息鑒別碼、控制位（CTRL BIT，control bits）、會話到期時(shí)間（EXP，expiration time）和不透明頭部信息（opaque header information）。除此以外，在數(shù)據(jù)包包頭和數(shù)據(jù)包負(fù)載之間的區(qū)域?yàn)樘畛湮粎^(qū)域，用于將數(shù)據(jù)包包頭拓展到相同的大小，防止不同的數(shù)據(jù)包因規(guī)格不同而容易被區(qū)分。具體格式如圖11所示。

盡管Taranet在Hornet的基礎(chǔ)進(jìn)行了改進(jìn)，但Taranet依舊存在局限性，如Taranet本身無法抵制來自底層的路由攻擊等。Taranet依賴于底層網(wǎng)絡(luò)架構(gòu)來轉(zhuǎn)發(fā)數(shù)據(jù)包，攻擊者可以攻擊底層網(wǎng)絡(luò)架構(gòu)，將自己置于架構(gòu)之中從而進(jìn)行流量分析攻擊。這種攻擊不在Taranet的防御范圍內(nèi)，但新興網(wǎng)絡(luò)架構(gòu)等可以針對此類攻擊進(jìn)行強(qiáng)大的保護(hù)。

3.3 網(wǎng)絡(luò)層匿名通信協(xié)議的整體分析

本文闡述的第一類網(wǎng)絡(luò)層匿名通信系統(tǒng)是輕量級匿名系統(tǒng)，其目的是通過隱藏?cái)?shù)據(jù)包包頭內(nèi)的轉(zhuǎn)發(fā)信息來打敗單個(gè)惡意服務(wù)提供商。與Tor之類的洋蔥路由方案相比，輕量級匿名系統(tǒng)避免了對數(shù)據(jù)包有效載荷進(jìn)行加密操作，從而提高了效率。

Hsiao等[17]的開創(chuàng)性工作LAP首先討論了如何設(shè)計(jì)一個(gè)高效且可拓展的網(wǎng)絡(luò)層匿名系統(tǒng)，該系統(tǒng)的數(shù)據(jù)包包頭隱藏了網(wǎng)絡(luò)位置信息。為了實(shí)現(xiàn)可拓展性，LAP轉(zhuǎn)發(fā)節(jié)點(diǎn)不需要維持每個(gè)流轉(zhuǎn)發(fā)狀態(tài)，相反，由每個(gè)LAP數(shù)據(jù)包攜帶轉(zhuǎn)發(fā)狀態(tài)。每個(gè)節(jié)點(diǎn)維護(hù)一個(gè)本地密鑰，并通過使用該密鑰解密數(shù)據(jù)包攜帶狀態(tài)從而檢索轉(zhuǎn)發(fā)狀態(tài)。由于LAP在建立數(shù)據(jù)包包頭時(shí)會顯示目的地的地址，因此LAP總是假設(shè)第一跳節(jié)點(diǎn)是良性節(jié)點(diǎn)，這就給攻擊者帶來了破壞匿名性的機(jī)會。

圖11 Taranet數(shù)據(jù)包格式

Figure 11 Taranet packet formats

Sankey等[18]提出的Dovetail是在數(shù)據(jù)包包頭建立時(shí)引入了輔助節(jié)點(diǎn)從而消除了LAP中需要信任第一跳節(jié)點(diǎn)的假設(shè)。發(fā)送方使用輔助節(jié)點(diǎn)的公鑰加密目的地地址，并建立到輔助節(jié)點(diǎn)的一半路徑。輔助節(jié)點(diǎn)解密目的地地址并創(chuàng)建到目的地的后半路徑。為了減小路徑伸展因子，發(fā)送方確保前半路徑和后半路徑在Dovetail節(jié)點(diǎn)處相交。發(fā)送方通過移除Dovetail節(jié)點(diǎn)和輔助節(jié)點(diǎn)之間的節(jié)點(diǎn)從而組合這兩個(gè)半路徑。

但是，LAP和Dovetail數(shù)據(jù)包包頭格式都會泄露有關(guān)發(fā)送方和接收方之間總跳數(shù)以及發(fā)送方/接收方與轉(zhuǎn)發(fā)節(jié)點(diǎn)之間跳數(shù)的信息。路徑上的敵手節(jié)點(diǎn)可以通過結(jié)合相關(guān)的網(wǎng)絡(luò)拓?fù)涞闹R，使用泄露的信息來減少發(fā)送方（或接收方）的匿名集。針對LAP和Dovetail的局限性，Chen等[19]提出PHI，它可以通過段位置隨機(jī)化和后退機(jī)制來達(dá)到更好的性能。另外，PHI除了可以防范基于拓?fù)涞墓粢酝猓€可以抵御觀察數(shù)據(jù)包負(fù)載和會話鏈接等類型的被動攻擊以及會話劫持攻擊、數(shù)據(jù)包包頭修改、重放攻擊和預(yù)計(jì)算攻擊等類型的主動攻擊。PHI可以說是提供了一種高效的可以隱藏路徑信息的數(shù)據(jù)包包頭格式。

而另一類網(wǎng)絡(luò)匿名通信協(xié)議是由Chen等[20-21]定義的網(wǎng)絡(luò)層洋蔥路由匿名協(xié)議。該類協(xié)議針對網(wǎng)絡(luò)層輕量級匿名通信協(xié)議進(jìn)行改進(jìn)。在輕量級匿名協(xié)議中，終端節(jié)點(diǎn)容易受到不局限于單個(gè)網(wǎng)絡(luò)位置的攻擊，并且對數(shù)據(jù)包負(fù)載的保護(hù)依賴于上層協(xié)議，這樣就增加了復(fù)雜性。

Hornet的基本設(shè)計(jì)目標(biāo)是可拓展性和高效性，除此以外也提供了對數(shù)據(jù)包負(fù)載的保護(hù)。該協(xié)議提出一種由數(shù)據(jù)包攜帶加密狀態(tài)的洋蔥路由數(shù)據(jù)包格式。它采取了將會話狀態(tài)卸載至終端主機(jī)，并將它們自己的狀態(tài)嵌入數(shù)據(jù)包以便中間節(jié)點(diǎn)在數(shù)據(jù)包轉(zhuǎn)發(fā)過程中可以提取出自己的狀態(tài)進(jìn)行轉(zhuǎn)發(fā)操作。Hornet的協(xié)議過程一般存在兩個(gè)步驟：會話建立（收集源和目的地之間的所有節(jié)點(diǎn)的會話狀態(tài)）和數(shù)據(jù)轉(zhuǎn)發(fā)（按照數(shù)據(jù)包中各自節(jié)點(diǎn)的會話狀態(tài)進(jìn)行轉(zhuǎn)發(fā)數(shù)據(jù)包、傳輸數(shù)據(jù)）。但Hornet并不能抵制流量分析，這是它的一大缺陷。而Taranet除了可以達(dá)到Hornet的設(shè)計(jì)目標(biāo)以外，還能夠解決流量分析。為了達(dá)到此目標(biāo)，Taranet在會話建立階段進(jìn)行消息的混淆，而在數(shù)據(jù)傳輸階段則提倡端到端的恒定速率傳輸，通過采用數(shù)據(jù)包分裂技術(shù)來適應(yīng)網(wǎng)絡(luò)抖動和數(shù)據(jù)包的丟失。但與Hornet相比，Taranet也犧牲了部分吞吐量。

網(wǎng)絡(luò)層匿名通信協(xié)議實(shí)則是基于基礎(chǔ)設(shè)施（如路由器）的匿名網(wǎng)絡(luò)協(xié)議。此類型的匿名通信協(xié)議尋求可以在可拓展性、安全保證和性能之間達(dá)到權(quán)衡。表2是對網(wǎng)絡(luò)層匿名通信協(xié)議從匿名性和性能方面的總體分析[15]。其中包括8個(gè)指標(biāo)：吞吐量、是否信任第一跳節(jié)點(diǎn)、是否隱藏拓?fù)湫畔?、是否需要源控制路徑、是否達(dá)到低延遲目標(biāo)、可拓展性、位模式不可連接性以及是否抵制流量分析。

表2 網(wǎng)絡(luò)層匿名通信協(xié)議的性能分析

4 結(jié)束語

匿名通信技術(shù)作為網(wǎng)絡(luò)安全領(lǐng)域的一項(xiàng)關(guān)鍵技術(shù)，自出現(xiàn)以來一直是學(xué)術(shù)界研究的熱點(diǎn)課題。在當(dāng)前的互聯(lián)網(wǎng)大環(huán)境下，匿名作為社會群眾的一項(xiàng)基本權(quán)利，面臨著來自私人公司和政府監(jiān)督計(jì)劃的挑戰(zhàn)。在匿名通信系統(tǒng)的性能越來越好，提供的匿名等級越來越高的同時(shí)，匿名技術(shù)也存在被不法分子所利用從而進(jìn)行破壞性活動的風(fēng)險(xiǎn)。頻頻爆發(fā)的涉及用戶隱私的安全事件使匿名通信受到了極大的關(guān)注。當(dāng)前基于覆蓋的應(yīng)用層匿名通信解決方案無法同時(shí)提供強(qiáng)大的匿名性和高性能。隨著對未來互聯(lián)網(wǎng)架構(gòu)的深入研究，研究者們提出了將匿名通信設(shè)計(jì)為網(wǎng)絡(luò)架構(gòu)的核心服務(wù)，并且支持在路由器上進(jìn)行加密操作以及控制路徑。本文闡述了網(wǎng)絡(luò)層匿名通信協(xié)議的基本思想，給出了對網(wǎng)絡(luò)層匿名通信協(xié)議進(jìn)行分類的標(biāo)準(zhǔn)，并介紹了現(xiàn)有的網(wǎng)絡(luò)層匿名通信協(xié)議的基本工作原理。此外，未來互聯(lián)網(wǎng)架構(gòu)可以提供當(dāng)前互聯(lián)網(wǎng)設(shè)計(jì)中所缺乏的理想屬性，如故障隔離、路徑控制和可信度等。目前已經(jīng)出現(xiàn)的網(wǎng)絡(luò)層匿名通信協(xié)議也表明了新興互聯(lián)網(wǎng)架構(gòu)的可行性和優(yōu)勢。研究結(jié)果表明網(wǎng)絡(luò)層匿名通信系統(tǒng)可以比當(dāng)前最先進(jìn)的基于覆蓋的匿名通信系統(tǒng)達(dá)到更高的吞吐量，同時(shí)在面對攻擊時(shí)也能夠保證一定的匿名性。

但對于網(wǎng)絡(luò)層匿名通信協(xié)議的設(shè)計(jì)中依然存在亟待解決的問題，并且也有值得深入研究的創(chuàng)新點(diǎn)。首先是匿名拓?fù)湫畔⒎?wù)，拓?fù)湫畔⒎?wù)可以將拓?fù)湫畔l(fā)給終端主機(jī)。對比Tor的權(quán)威目錄服務(wù)器，其可存儲管理所有中繼節(jié)點(diǎn)的描述信息，所以在網(wǎng)絡(luò)層的匿名通信系統(tǒng)中也應(yīng)該有類似的服務(wù)。雖然存在多種解決方案來傳播拓?fù)湫畔ⅲ绾卧谛屡d的互聯(lián)網(wǎng)架構(gòu)中以匿名、高效和可拓展的方式設(shè)計(jì)這樣的服務(wù)器還需要深入的研究。其次，網(wǎng)絡(luò)層匿名通信協(xié)議的實(shí)現(xiàn)也為在軟件定義網(wǎng)絡(luò)中如何實(shí)現(xiàn)匿名通信提供了寶貴的經(jīng)驗(yàn)。新型網(wǎng)絡(luò)架構(gòu)的出現(xiàn)（如SCION等）使網(wǎng)絡(luò)層匿名通信協(xié)議的實(shí)現(xiàn)成為可能。以往的匿名通信方案（如Tor等）憑借自身的特性在各個(gè)應(yīng)用領(lǐng)域內(nèi)發(fā)揮著各自的作用，SDN所擁有的集中控制和掌握全局視圖的新特性為匿名通信領(lǐng)域的創(chuàng)新帶來了新的機(jī)會，也值得做進(jìn)一步的思考和研究。

[1] DANEZIS G, DIAZ C, SYVERSON P. Systems for anonymous communication[J]. Handbook of Financial Cryptography and Security, Cryptography and Network Security Series, 2009: 341-389.

[2] DIAZ C. Anonymity and privacy in electronic services[D]. Heverlee: Katholieke Universiteit Leuven, 2005.

[3] 劉湘雯, 王良民. 數(shù)據(jù)發(fā)布匿名技術(shù)進(jìn)展[J]. 江蘇大學(xué)學(xué)報(bào)(自然科學(xué)版), 2016, 37(5): 562-571.

LIU X W, WANG L M. Advancement of anonymity technique for data publishing[J]. Journal of Jiangsu University(Natural Science Edition), 2016, 37(5): 562-571.

[4] 趙福祥. 網(wǎng)絡(luò)匿名連接中的安全可靠性技術(shù)研究[D]. 西安: 西安電子科技大學(xué), 2001.

ZHAO F X. Research on security and authentication techniques of anonymous network connection[D]. Xian: Xidian University, 2001.

[5] 楊云, 李凌燕, 魏慶征. 匿名網(wǎng)絡(luò)Tor與I2P的比較研究[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2019, 5(1): 70-81.

YANG Y, LI L Y, WEI Q Z. Comparative study of anonymous network Tor and I2P[J]. Chinese Journal of Network and Information Security, 2019, 5(1):70-81.

[6] GüLCüC, TSUDIK G. Mixing email with BABEL[C]//1996 Symposium on Network and Distributed System Security. 1996.

[7] LE BLOND S, CHOFFNES D, ZHOU W, et al. Towards efficient traffic-analysis resistant anonymity networks[J]. ACM SIGCOMM Computer Communication Review, 2013, 43(4): 303-314.

[8] DANEZIS G, DINGLEDINE R, MATHEWSON N. Mixminion: design of a type III anonymous remailer protocol[C]//IEEE S&P, 2003I/O (SNAPI'03). 2003.

[9] DANEZIS G, GOLDBERG I. Sphinx: a compact and provably secure mix format[C]//IEEE Symposium on Security & Privacy.2009.

[10] DINGLEDINE R, MATHEWSON N, SYVERSON P. Tor: the second-generation onion router[C]//The 13th USENIX Security Symposium. 2004.

[11] ZHU Y, FU X W, GRAHAM B, et al. On flow correlation attacks and countermeasures in mix networks[C]//The Privacy Enhancing Technologies Symposium (PETS). 2004: 207-225.

[12] MURDOCH S J, DANEZIS G. Low-cost traffic analysis of Tor[C]//The IEEE Symposium on Security and Privacy (Oakland). 2005: 183-195.

[13] MITTAL P, KHURSHID A, JUEN J, et al. Stealthy traffic analysis of low-latency anonymous communication using throughput fingerprinting[C]//The ACM Conference on Computer and Communications Security (CCS). 2011.

[14] B N LEVINE, M K REITER, C X WANG, et al. Timing attacks in low-latency mix-based systems[C]//The International Conference on Financial Cryptography (FC). 2004.

[15] GILAD Y, HERZBERG A. Spying in the dark: TCP and Tor traffic analysis[C]//12th Privacy Enhancing Technologies Symposium (PETS 2012). 2012: 100-119.

[16] CHEN C. Infrastructure-based anonymous communication protocols in future internet architectures[D]. Pittsburgh: Carnegie Mellon University, 2018.

[17] HSIAO H C, KIM T J, PERRIG A, et al. LAP: lightweight anonymity and privacy. IEEE Security & Privacy, 2012, 19: 506-520.

[18] SANKEY J, WRIGHT M. Dovetail: stronger anonymity in next-generation internet routing[M]//Lecture Notes in Computer Science. 2014.

[19] CHEN C, PERRIG A. PHI：path-hidden lightweight anonymity protocol at network layer[J]. Nephron Clinical Practice 2017, 2017(1): 100-117.

[20] CHEN C, ASONI D E, BARRERA D, et al. HORNET: high-speed onion routing at the network layer[J]. arXiv: 1507.05724, 2015.

[21] CHEN C, ASONI D E, PERRIG A, et al. TARANET: traffic-analysis resistant anonymity at the network layer[J]. EuroS&P, 2018: 137-152.

[22] CHAUM D L. Untraceable electronic mail, return addresses, and digital pseudonyms[J]. Communications of the ACM, 1981, 24(2).

[23] 王繼林, 伍前紅, 陳德人, 等. 匿名技術(shù)的研究進(jìn)展[J]. 通信學(xué)報(bào), 2005, 26(2): 112-118.

WANG J L, WU J H, CHEN D R, et al. A survey on the technology of anonymity[J]. Journal on Communications, 2005, 26(2): 112-118.

[24] GüLCü C, TSUDIK G. Mixing email with Babel[C]//The Network and Distributed System Security Symposium (NDSS). 1996.

[25] M?LLER U, COTTRELL L, PALFRADER P, et al. Mixmaster protocol version 2[S]. Draft, 2003, 154: 28.

[26] SHOSTACK A, GOLDBERG I. Freedom systems 1.0 security issues and analysis[Z]. White Paper, Zero Knowledge Systems, 2001, 10.

[27] BROWN Z. Cebolla: pragmatic IP anonymity[C]//The Ottawa Linux Symposium. 2002.

[28] REED M G, SYVERSON P F, GOLDSCHLAG D M. Anonymous connections and onion routing[J]. IEEE Journal on Selected Areas in Communications, 1998, 16(4): 482-494.

[29] ALI A, KHAN M, SADDIQUE M, et al. Tor vs I2P: a comparative study[C]// 2016 IEEE International Conference on Industrial Technology (ICIT). 2016.

[30] REITER M K, RUBIN A D. Crowds: anonymity for web transactions[J]. ACM Transactions on Information and System Security, 1997, 1(1): 66-92.

[31] FREEDMAN M J, MORRIS R. Tarzan: a peer-to-peer anonym zing network layer[C]//The ACM Conference on Computer and Communications Security (CCS). 2002: 121-129.

[32] BLOND S L, CHOFFNES D, CALDWELL W, et al. Herd: a scalable, traffic analysis resistant anonymity network for VoIP systems[C]//The ACM Conference of the Special Interest Group on Data Communication (SIGCOMM). 2015.

[33] BLOND S L, CHOFFNES D, ZHOU W X, et al. Towards efficient traffic-analysis resistant anonymity networks[C]//ACM SIGCOMM. 2013

[34] SHERWOOD R, BHATTACHARJEE B, SRINIVASAN A. P5: a protocol for scalable anonymous communication[C]//The IEEE Symposium on Security and Privacy (Oakland). 2002.

[35] CHAUM D. The dining cryptographers problem: unconditional sender and recipient untraceability[J]. Journal of Cryptology, 1988, 1(1): 65-75.

[36] GOLLE P, JUELS A. Dining cryptographers revisited[C]//The International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT). 2004: 456-473.

[37] WOLINSKY D I, CORRIGAN-GIBBS H, FORD B, et al. Dissent in numbers: making strong anonymity scale[C]//The USENIX Symposium on Operating Systems Design and Implementation (OSDI). 2012.

[38] CORRIGAN-GIBBS H, BONEH D, MAZIèRES D. Riposte: an anonymous messaging system handling millions of users[C]//The IEEE Symposium on Security and Privacy (Oakland). 2015: 321-338.

[39] MURDOCH S J, DANEZIS G. Low-cost traffic analysis of Tor[C]//IEEE Symposium on Scrubby and Privacy. 2005: 193-195.

[40] SYVERSON P, TSUDIK G, REED M, et al. Towards an analysis of onion routing security[M]//Designing Privacy Enhancing Technologies. 2001: 96-144.

[41] MURDOCH S J, ZIELINSKI P. Sampled traffic analysis by internet-exchange-level adversaries[C]//The 2007 Privacy Enhancing Technologies Workshop. 2007.

[42] SYVERSON P, TSUDIK G, REED M, et al. Towards an analysis of onion routing security[M]//Designing Privacy Enhancing Technologies. 2001.

[43] SNADER R, BORISOV N. EigenSpeed: secure peer-to-peer bandwidth evaluation[C]//The International Workshop on Peer-to-Peer Systems (IPTPS). 2009: 9.

[44] SHERR M, BLAZE M, LOO B T. Scalable link-based relay selection for anonymous routing[C]//The Privacy Enhancing Technologies Symposium (PETS). 2009: 73-93.

[45] SHERR M, MAO A, MARCZAK W R, et al. A3: an extensible platform for application-aware anonymity[C]//The Network and Distributed System Security Symposium (NDSS). 2010.

[46] TSCHORSCH F, SCHEUERMANN B. Mind the gap: towards a backpressure-based transport protocol for the Tor network[C]//The USENIX Symposium on Networked Systems Design and Implementation (NSDI). 2016.

[47] PREVIDI S, SH R, HOMEFFER M, et al. SPRING problem statement and requirements[J]. Der Orthop?de, 2016, 36(4): 360-364.

[48] FILSFILS C, NAINAR N K, PIGNATARO C, et al. The segment routing architecture[C]//2015 IEEE Global Communications Conference. 2015.

[49] FILSFILS C, MICHIELSEN K, TALAULIKAR K. Segment Routing詳解（第一卷）[M]. 北京: 人民郵電出版社, 2017. FILSFILS C, MICHIELSEN K, TALAULIKAR K. Segment Routing part I[M]. Beijing: Posts & Telecom Press Co LTD, 2017.

[50] YANG X, WETHERALL D. Source selectable path diversity via routing deflections. ACM SIGCOMM Computer Communication Review, 2006(36): 159-170.

[51] ZHANG X, HSIAO H C, HASKER G, et al. SCION: scalability, control, and isolation on next-generation networks[C]//2011 IEEE Symposium on Security and Privacy. 2011: 212-227.

[52] ANDERSON T, BIRMAN K, BROBERG R, et al. The NEBULA future internet architecture[J]. The Future Internet, 2013: 16-26.

[53] D RAYCHAUDHURI, K NAGARAJA, VENKATARAMANI A. MobilityFirst: a robust and trust worthy mobility-centric architecture for the future internet[J]. ACM SIGMOBILE Mobile Computing and Communications Review, 2012, 16(3): 2-13.

[54] ANAND A, DOGAR F, HAN D, et al. XIA: an architecture for an evolvable and trust worthy internet[C]//The ACM Workshop on Hot Topics in Networks (HotNets). 2011.

[55] ZHANG X, C HSIAO H, HASKER G, et al. SCION: Scalability, control, and isolation on next-generation networks[C]//The IEEE Symposium on Security and Privacy (Oakland). 2011.

[56] PERRIG A, SZALACHOWSKI P, M REISCHUK R, et al. SCION: a secure internet architecture[M]. Springer International Publishing AG, 2017.

Survey of network-layer anonymous communication protocols

WANG Liangmin, NI Xiaoling, ZHAO Hui

School of Computer Science and Communication Engineering, Jiangsu University, Zhenjiang 212013, China

An anonymous communication system is an overlay network built on the application layer and combining various privacy protection technologies such as data forwarding, content encryption, and traffic obfuscation to hide communication relationships between entities and forwarded contents. However, there is a deficiency in the balance between performance and security as an anonymous communication system operating over an overlay network. With the advance of the future internet architectures, it is possible to build an infrastructure-based anonymous communication system. Such anonymous communication systems design anonymity as network infrastructure services and provide encryption operations for routers, which can solve the part problem of scalability and performance limitations of anonymous network. They can also be called network-layer anonymous communication protocols. The existing network-layer anonymous communication protocols (LAP, Dovetail, Hornet, PHI and Taranet) were studied. The classification standard of network-layer anonymous communication protocols were introduced. Its innovation point and specific encryption ideas were briefly described, and how to keep balance between security and performance was analyzed. The shortcomings and advantages of these kinds of network anonymous communication protocols were also pointed out. Finally, the challenges faced in the development of anonymous communication systems and the problems that need to be studied in depth were proposed.

anonymous communication, protocol, network-layer, survey

The National Natural Science Foundation of China (No.U1736216)

TP393

A

10.11959/j.issn.2096?109x.2020006

王良民（1977? ），男，安徽潛山人，博士，江蘇大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)槊艽a學(xué)與安全協(xié)議、物聯(lián)網(wǎng)安全、大數(shù)據(jù)安全。

倪曉鈴（1996? ），女，江蘇南通人，江蘇大學(xué)碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全。

趙蕙（1979? ），女，江蘇鎮(zhèn)江人，江蘇大學(xué)博士生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、隱私保護(hù)。

2019?07?01；

2019?09?02

王良民，wanglm@ujs.edu.cn

國家自然科學(xué)基金資助項(xiàng)目（No.U1736216）

論文引用格式：王良民, 倪曉鈴, 趙蕙. 網(wǎng)絡(luò)層匿名通信協(xié)議綜述[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2020, 6(1): 11-26.

WANG L M, NI X L, ZHAO H. Survey of network-layer anonymous communication protocols[J]. Chinese Journal of Network and Information Security, 2020, 6(1): 11-26.