王良民，倪曉鈴，趙蕙

網絡層匿名通信協議綜述

王良民，倪曉鈴，趙蕙

（江蘇大學計算機科學與通信工程學院，江蘇 鎮(zhèn)江 212013）

匿名通信系統是一種建立在應用層之上結合利用數據轉發(fā)、內容加密、流量混淆等多種隱私保護技術來隱藏通信實體關系和內容的覆蓋網絡。然而，作為覆蓋網絡運行的匿名通信系統，在性能和安全保障上的平衡問題上存在不足。未來互聯網架構的出現使構建基于基礎設施的匿名通信系統成為可能。此類匿名通信系統將匿名設計為網絡基礎設施服務，通過為路由器配備加密操作，可解決匿名網絡的可拓展性和性能限制的部分問題，因此也可稱它們?yōu)榫W絡層匿名通信協議。對現有的網絡層匿名通信協議（LAP、Dovetail、Hornet、PHI和Taranet）進行了研究，介紹了網絡層匿名通信協議的分類標準，簡述其創(chuàng)新點和具體加密思想，并對它們如何在安全性和性能二者之間的權衡進行分析，也指出了這幾種網絡匿名通信協議的優(yōu)勢和不足，最后提出在匿名通信系統發(fā)展的過程中所面臨的挑戰(zhàn)和需要深入研究的問題。

匿名通信；協議；網絡層；綜述

1 引言

互聯網作為通信與信息傳播的途徑在快速發(fā)展的同時，隱私保護成為當今互聯網發(fā)展過程中一個至關重要的問題。國內外一些調查機構的研究結果表明：用戶越來越關注自身的隱私是否被泄露。隨著加密技術的深入研究，用戶通信數據的安全性得到了加強，但傳統加密技術很難對通信參與者身份、行為、網絡地址等隱私信息進行強有力的保護。同時在一些特殊的應用領域，如電子醫(yī)療、電子投票等系統，用戶身份、行為和網絡地址等隱私信息的保護程度是評估整個系統安全性能的重要因素之一[1]。為了解決上述問題，研究者們提出了保護用戶隱私的匿名技術。

匿名是指將用戶的身份、行為和網絡地址等隱私信息隱藏在特定的匿名集合之中，令網絡竊聽者和攻擊者無法識別通信行為的具體發(fā)起者，通信雙方的身份以及具體的網絡地址信息。匿名技術主要是通過對通信參與者身份和數據的匿名化，以及網絡地址的匿名化來保護個人隱私信息[2-3]的安全性。匿名通信系統是指采用匿名技術來保護通信雙方身份、行為和網絡地址等隱私信息的通信系統[4]，而有關如何保護用戶匿名身份的研究也成為公鑰密碼學的一個重要分支[5]。

目前，匿名通信技術的發(fā)展已具有一定的研究基礎。其中，安全性較高的匿名通信方案是混合網絡[6-9]，它們可以提供高延遲的異步消息傳遞。另一種則是洋蔥路由網絡（如Tor，the second-generation onion router[10]）。洋蔥路由采用密碼學相關技術實現了在計算機網絡上進行匿名通信的目標。在洋蔥路由的網絡中，消息被一層一層地加密包裝成像洋蔥結構一樣的數據包，并經由一系列被稱作洋蔥路由的網絡節(jié)點進行轉發(fā)，每經過一個洋蔥路由就可以將數據包的最外層解密，以此類推，當數據包到達目的地時將最后一層解密，目的地就能獲得原始消息。因為經過這一系列的加密包裝，每一個網絡節(jié)點（包括目的地）都只能知道其相鄰節(jié)點，但無法知道整個發(fā)送路徑，從而達成了匿名通信的目的。Tor可以在安全性和性能之間提供平衡，實現典型的互聯網活動（如網頁瀏覽、即時消息傳遞等）的低延遲匿名通信。但研究人員也發(fā)現由于洋蔥路由網絡易受各種流量分析攻擊[11-15]，所以洋蔥路由網絡提供的匿名等級不足。同時基于覆蓋網絡的設計也為Tor帶來性能和拓展性方面的問題：在性能方面，覆蓋網絡的設計——使用每跳可靠的傳輸，增加了傳播和排隊延遲；在拓展性方面，Tor的設計要求中間節(jié)點維持每個鏈接狀態(tài)，從而限制了可以同時發(fā)生的并發(fā)匿名鏈接總數。此外，傳統的匿名通信系統是基于應用層從而實現匿名通信的目的。研究者們認為匿名通信應該成為互聯網的內置服務，以保證個人言論自由，進行隱私保護，而不是僅通過可選的應用層服務提供匿名性[16]。

近年來，研究人員發(fā)現網絡層匿名通信系統[17-21]，即通過在網絡層中構建匿名通信協議可部分地解決匿名網絡的可拓展性和性能限制問題。在當今的互聯網中，IP是基本的3層協議。而IP地址存在于每個數據包中，攻擊者通過記錄用戶的IP地址可以唯一地識別它，將該身份和用戶的在線活動聯系起來，關聯到不同的服務，并部分地揭示它的地理和網絡位置。所以網絡層匿名通信協議在不泄露用戶的第3層身份標識（IP地址）的前提下進行匿名通信，同時也不像Tor一樣產生大量的延遲和包頭開銷。網絡層匿名通信系統將匿名通信作為互聯網和下一代網絡架構中的網絡基礎設施的服務。和基于覆蓋網絡的現有匿名系統相比，網絡層匿名通信協議具有3個優(yōu)點：首先，網絡層匿名通信協議只涉及傳輸層之下的層，消除了覆蓋網絡中上層的處理和過多的排隊延遲；其次，此類協議可以使用源與目的地之間的較短路徑（而不是覆蓋網絡中重定向所建立的長路徑），從而減少傳播延遲；最后，路由器可以提供比現有自愿貢獻的服務器更高的吞吐量，并可增加匿名通信的吞吐量。現有的網絡層匿名通信協議有以下5個：LAP（lightweight anonymity and privacy）[17]、Dovetail（stronger anonymity in next-generation internet routing）[18]、PHI（path-hidden lightweight anonymity protocol at network layer）[19]、Hornet（high-speed onion routing at the network layer）[20]、Taranet（traffic-analysis resistant anonymity at the network layer）[21]。根據它們在計算量和數據包包頭開銷方面的不同需求以及是否對數據包負載提供完整性保護的特性，可將它們劃分為兩類：網絡層輕量級匿名通信協議（包括LAP、Dovetail和PHI）和網絡層洋蔥路由匿名通信協議（包括Hornet和Taranet）。

2 基于覆蓋網絡的匿名通信協議

2.1 基于覆蓋的應用層匿名通信系統

匿名通信的相關研究開始于David關于Mix網絡的提議[22]：通過Mix的轉接作用和對傳送數據重新排序、延時和填充等淆亂手段隔斷網絡通信雙方（或第三方）的邏輯聯系，使信宿方（或第三方）獲得只是信源身份的數據及Mix身份[23]。自此，研究者們提出并部署了基于消息的Mix系統[7-8,24-25]。這些系統通過使用昂貴的不對稱原語、消息批處理和混合等技術可以承受主動攻擊者和大部分的變節(jié)中繼節(jié)點帶來的威脅。由于它們會產生大量的計算開銷并帶來高延遲，適合于支持延遲容忍的應用如電子郵件等。但隨著科技的進步，高延遲匿名系統并不能滿足人們的更高要求。此后又提出了低延遲洋蔥路由系統[9,26-28]來有效地支持交互式流量。洋蔥路由系統是由志愿服務器組成的，它們自愿為其他服務器轉發(fā)流量。它的思想是用戶選擇一組服務器來匿名地轉發(fā)流量。在數據包轉發(fā)的過程中，每個服務器可以獨立地進行加/解密，防止攻擊者通過觀察關聯出/入口流量。此外，低延遲洋蔥路由系統在數據包轉發(fā)期間僅需要對稱加密操作，并且避免使用導致延遲的批處理和混合技術。然而，低延遲洋蔥路由系統容易受到端到端的確認攻擊，如時序攻擊等，因此與Mix網絡相比，它的匿名性保證較弱。為了實現強大的匿名性和良好的性能，研究者們繼而提出了比原始洋蔥路由網絡具有更高的抗流量分析能力和性能更高的協議[9]。綜上所述，從基于覆蓋的匿名系統的功能上來看，可分為低延遲洋蔥路由系統和抵制流量分析的高延遲匿名系統。其中低延遲洋蔥路由系統包括I2P[29]，JonDO[30]，Freedom[26]，Tor[9]。而抵制流量分析的匿名系統也可分為兩類：Mix網絡[31-34]和DC（dining cryptographer）網絡[35-38]。雖然二者的思想和采用的抵制流量分析的方式不同，但其本質都是為了抵制流量分析并提供更高性能。

2.2 基于覆蓋網絡的匿名系統的主要問題（以Tor為例）

Tor是目前最流行的基于覆蓋網絡的低延遲洋蔥路由匿名系統之一。它是一種基于電路的低延遲匿名通信服務，Tor網絡的客戶端基于加權隨機的路由選擇算法隨機選取的中繼節(jié)點構成了加密的通信鏈路，并引入完美的前向安全、擁塞控制、共享虛電路、分布式目錄服務、端到端的完整性檢測和可以配置的出口策略等機制，此外還加入了接收者匿名的實用設計，提高了Tor的匿名性和傳輸性能。Tor網絡可以直接運行在現有的互聯網架構上，運行時不需要特殊的權限，幾乎不需要節(jié)點之間的同步或協調，并在匿名性、可用性和效率之間提供了合理的權衡。但其作為覆蓋網絡的設計存在性能和拓展性方面的問題。這樣的覆蓋系統試圖使用通過間接路由傳輸的分層加密數據包來達成匿名通信的目的。但是，由于較長的端到端路徑長度和間接通過3個Tor中繼節(jié)點的加密操作都會使運行速度變慢，從而帶來額外的延遲。Tor網絡要求中間節(jié)點保持每個匿名連接的狀態(tài)從而受到可拓展性限制的影響。除此以外，Tor也容易受到流量分析的影響[39-42]。簡言之，當前傳統的匿名技術難以保障系統的絕對安全性，尤其是在低延遲匿名通信系統（如Tor）中，其難以抵抗在具有強攻擊性的攻擊者進行全局攻擊時的外部攻擊，而且在系統的通信過程中存在網絡開銷較大的缺陷，還不能保證為用戶提供可靠并且高性能的匿名通信服務。目前已有研究者們關注如何提高Tor的性能，主要從以下兩點展開：電路路徑選擇[43-45]和Tor的擁塞控制[46]。

為了提高匿名通信系統的性能，研究者們認為基于覆蓋網絡設計的匿名系統在拓展性和性能方面存在的問題可以通過在網絡層構建匿名協議來解決：網絡層匿名協議利用下一代互聯網架構設計實現高度可拓展的設計目標。網絡層匿名通信路由協議也可被稱作下一代匿名網絡，它們的基本假設是自治系統中的設備（如路由器等）在轉發(fā)數據包時可以進行有效的加密操作，以便為終端主機提供匿名性。此處理一般在（軟件）路由器上完成。該網絡可提供匿名功能，并將該功能作為其默認路由架構中的一部分。通過利用源選擇的路由體系結構，可以實現高度可拓展并且高效的端到端的匿名路由，無須在路由器上保持每個流的狀態(tài)。換句話說，在網絡層匿名通信協議中，節(jié)點轉發(fā)數據包所需要的狀態(tài)一般由數據包攜帶，會話狀態(tài)卸載至終端主機，這里的會話狀態(tài)可以是路由信息、節(jié)點的密鑰信息等[47]。

3 網絡層匿名通信協議

3.1 網絡層匿名協議的基本思想和與基于應用層的匿名通信協議的比較

網絡層匿名通信協議將匿名通信作為互聯網和下一代網絡架構中的網絡基礎設施服務。除了實現匿名以外，該類協議的基本設計目標是高拓展性和高性能。當然，網絡層匿名通信協議的實現離不開新興的路由技術如pathlet routing[48]/segment routing（SR）[47,49]等。本文以segment routing技術為例來詳細介紹支持網絡層匿名通信協議中關鍵技術的主要思想。segment routing是由IETF（國際互聯網過程任務組）推動的支持軟件定義網絡（SDN，software defined network）架構的新型路由轉發(fā)協議。在未來的SDN網絡架構中，SR將為網絡提供和上層應用快速交互的能力。SR技術基于源路由[50-51]，節(jié)點（通常為路由器、主機或設備）選擇路徑，并且引導數據包沿著該路徑通過網絡，其做法是在數據包包頭中插入帶順序的段（segment）列表，以指示接收到這些數據包的節(jié)點怎么去處理和轉發(fā)這些數據包。段可以表示任何類型的指令：與拓撲相關的、基于服務的、基于上下文的等。因為指令被編碼在數據包包頭中，所以網絡節(jié)點在接收數據包時只需要執(zhí)行這些指令。轉發(fā)路徑上的節(jié)點不必為所有可能經過它們的流維持需要的狀態(tài)信息，也就是所謂的“狀態(tài)在數據包中”。而在網絡層匿名通信協議中主要是對數據包包頭中添加路徑段信息來表示路由，為了實現匿名，這些協議針對每個路徑段進行加密從而隱藏路徑。

圖1 segment routing工作流程示例

Figure 1 The example of segment routing workflow

SR技術用節(jié)點段標識（Node-SID，node- segment identifier）表示網絡中的節(jié)點，而用鄰接段標識（Adj-SID，adjacency-segment identifier）表示網絡中的鏈路。數據的轉發(fā)路徑則是由一條段標識（SID，segment identifiers）序列表示。數據轉發(fā)時，中間節(jié)點只需依據包頭最外部的段標識對數據包實施操作。

segment routing工作流程如圖1所示，假設流量要從A到達F。

1) 網絡中運行內部網關協議（IGP，interior gateway protocol）或者邊界網關協議（BGP，border gateway protocol），保證全網路由可達。

2) 為網絡中的每個節(jié)點配置Node-SID（Node-SID可以單獨表示一臺設備，而且全局有效并唯一），并且通過IGP或者BGP進行擴散,保證Node ID全網唯一，且Node ID全網可達。

3) 生成Adj-SID（Adj-SID則是本地有效，本地唯一標識一條鏈路），Adj-SID可以通過手動配置生成，也可以通過控制器進行分配。

4) 控制器向設備收集全網的拓撲和標簽信息，這些信息可以通過IGP或者BGP上報給控制器。

5) 如某應用向控制器請求，要求網絡提供一條帶寬不低于20 Mbit/s，時延不高于10 ms的鏈路?？刂破魇盏秸埱蠛髮⒏嬖VA收到一條流量，這條流量從A到F要求帶寬20 Mbit/s，時延10 ms等。

6) A向控制器請求路徑計算，由于控制器已經掌握了全網的拓撲和標簽信息，于是計算得知，C到F的路徑擁塞，最優(yōu)路徑應該是A-C-E-F。

7) 控制器給A下發(fā)標簽棧，標簽棧為（16001，30002，16002）。

8) A收到標簽棧后，發(fā)現第一跳標簽是16001，則根據路由將報文同時發(fā)往B和D，B和D收到后，發(fā)現標簽為16001，于是根據路由，將報文發(fā)往C。

9) C收到報文后，發(fā)現第一個標簽是自身的標簽，則將標簽彈出，發(fā)現內層標簽是30002，是自身的Adj-SID，于是將30002彈出，并將報文發(fā)往30002對應的鏈路。

10) 當E收到該報文之后，根據標簽16002將報文發(fā)往F，這樣整個流的轉發(fā)完成。

同時下一代互聯網架構，如NEBULA[52]、Mobility First[53]、XIA[54]、SCION[55-56]等網絡架構的出現也使網絡層匿名通信協議的實現成為可能。NEBULA提供符合策略的路徑，并使每個路由器能夠驗證所攜帶數據的來源。MobilityFirst專注于適應動態(tài)主機，并實現可拓展的網絡移動性。XIA旨在提供靈活、可拓展的網絡架構，集成了內容，服務或用戶等備用一流主機的豐富尋址。SCION提供隔離、路徑控制、可拓展性以及可獲得性等特性。本文以SCION為例進行詳細闡述。2019年開始開發(fā)的SCION是一種路徑感知網絡架構，Hornet、PHI、Taranet這幾個項目都可以在SCION上首先獲取到路徑信息。多項新興技術的出現，如segment routing可支持采用路徑感知架構作為互聯網部署的可行性。它與傳統的互聯網架構之間的區(qū)別在于：當前的網絡架構是假設數據包將被發(fā)送到預期的目的地，傳輸層的一些協議的目的也是保證傳輸的可靠性，但新型的網絡架構是將路徑感知加入到網絡架構中，這樣的網絡體系結構使端點可以獲得有關路徑及其屬性的信息。然后，這些端點可以使用該信息來選擇給定目的地、流甚至數據包的路徑。如當源S和目的地D要進行通信的時候，首先源會獲取到此過程中源到目的地的所有路徑信息段，如果需要進行匿名的通信，就需要對這些路徑信息段進行不同的加密操作等。和SDN相比，SDN中的大多數工作主要適用于域內通信，而SCION主要涉及改進域間通信，使每個域內的網絡變化最小。SCION可以利用SDN提供域內通信，因此，這兩種方法相互補充。雖然一些新興的SDN項目試圖在現有的互聯網架構中提供域間屬性，如顯式多路徑支持，但它們缺乏SCION提供的安全性和拓展性等屬性。

與軟件定義網絡類似，SCION也存在控制平面和數據平面?？刂破矫嬗脕硖剿骱蛡鞑タ蛇_性信息，數據平面的功能是如何轉發(fā)數據包。現有的網絡層匿名通信協議可以在SCION架構上獲取到路徑信息后，再進行匿名的會話通信。網絡層匿名通信協議也可以稱作基于網絡基礎設施（如路由器）的匿名協議。與基于覆蓋網絡的現有匿名系統相比，基于基礎設施的匿名系統有3個優(yōu)點：首先，使用源和目的地之間的較短路徑，可以減少傳播延遲；其次，僅涉及網絡模型中傳輸層下方的層；最后，路由器可以提供比現在自愿提供資源服務器更高的吞吐量，并且也致力于增加匿名通信中的吞吐量。對兩類匿名通信協議的比較如表1所示。

3.2 網絡層匿名通信協議的簡介

根據現有的網絡層匿名通信協議對計算量和包頭開銷的不同要求，將它們劃分為輕量級匿名協議和洋蔥路由匿名協議。網絡層輕量級匿名協議（如LAP、Dovetail和PHI）只需要網絡設備來解密和驗證路徑段，而這個路徑段是包含了轉發(fā)數據包所需的基本信息，并使用端到端的數據包加密來提供保密性。相比之下，洋蔥路由匿名協議（如Hornet、Taranet）需要路徑上的網絡設備進行昂貴的加密作來建立流，并對每個數據包使用每跳認證加密。每個路徑上的節(jié)點還需要在其路徑段內存儲必要的密鑰，這使數據包包頭開銷增大。除此以外，輕量級匿名協議之所以輕量也在于這類匿名協議沒有對數據包的負載進行加密操作。

表1 基于覆蓋網絡的匿名通信協議和網絡層匿名通信協議的比較

網絡層匿名通信協議所期望達到的隱私和性能屬性根據每個協議的設計而有所不同。本文根據現有的期望屬性可對協議進行評估和分析。

隱私屬性如下。

1) 發(fā)送者/接收者匿名。匿名是指將用戶的身份、行為和網絡地址等隱私信息隱藏在特定的匿名集合中，令網絡竊聽者和攻擊者無法識別通信行為具體是由哪一個體發(fā)起，識別通信雙方的身份以及具體的網絡地址信息。發(fā)送者/接收者匿名是指攻擊者無法通過捕獲到的數據包鏈接發(fā)送者/接收者。

2) 會話不可鏈接性。會話不可鏈接性則是確保如果給定來自兩個不同會話的兩個數據包，攻擊者無法確定這些數據包是否和同一個發(fā)送者（或接收者）相關聯。

3) 地理位置隱私。當用戶隱藏他的地理位置時，攻擊者無法追蹤用戶的位置。

4) 路徑信息機密性/真實性。攻擊者根據路徑上的變節(jié)節(jié)點無法揭示路徑上的節(jié)點總數或其余任一端的終端主機的距離。除此以外，攻擊者也無法修改現有路徑或偽造新路徑。

5) 數據包有效負載保密和端到端的完整性。在終端主機不變節(jié)的情況下，攻擊者無法從數據包負載中學習到任何信息，除了數據包序列之間的長度和時間。

6) 抵制流量分析。流量分析是指通過元數據（如流量模式、時序等），來識別通信端點。而根據攻擊者是否操縱流量，可以將流量分析技術分為主動和被動。而為了提高匿名性，抵制流量分析攻擊具有重大意義。

性能屬性如下。

1) 低性能開銷。為了達到低帶寬開銷和低延遲的目標，在加密方面操作一般僅使用對稱加密。

2) 可拓展性。為了避免狀態(tài)爆炸問題，保持最小或者無每流狀態(tài)來減少攻擊面積，提高可拓展性。

3) 低路徑延伸。由于等待時間隨著路徑上中間跳數（中間節(jié)點）的增加而增加，所以盡量保持低路徑延伸。

4) 高吞吐量。吞吐量是指對網絡、設備、端口、虛電路或其他設施，單位時間內成功地傳送數據的數量（以比特、字節(jié)、數據包等測量）。而網絡層匿名通信協議則希望達成高吞吐量的目標來滿足用戶的需求。

3.2.1 網絡層輕量級匿名協議

一般地，輕量級匿名協議有以下3點特征：首先，這類協議可以提供高速的數據包轉發(fā)，速度可達到100 Gbit/s；其次，此類協議通過不需要在每個中間節(jié)點上維持流狀態(tài)從而實現高拓展性；最后，它們可以融入不同的網絡架構中。目前存在的輕量級匿名協議有LAP、Dovetail以及PHI。

(1) LAP

Hsiao等[17]提出的LAP協議是一種可以實現實時雙向匿名通信的輕量級協議，有兩個基本屬性：低延伸匿名和寬松的攻擊者模型。低延伸匿名是指用于匿名和私人通信的數據包應該經過幾乎最佳的路由。而寬松的攻擊者模型（如終端服務器攻擊）則是區(qū)別于現有匿名系統所考慮的強攻擊者模型（如全球或政府級攻擊者）。

本文將對LAP進行概述，并解釋終端主機如何建立加密路徑以及自治域（AS，autonomous system）如何沿著加密路徑轉發(fā)數據包以實現中等級別的匿名性。如用戶（或發(fā)送者）想要和目的地（或接收者）進行匿名會話，假設所使用的拓撲結構如圖2所示，LAP協議的目的則是隱藏發(fā)起的路徑并到達目的地，換句話來說LAP協議是通過模糊終端主機的拓撲位置來加強匿名性。而其中的關鍵點在于每個數據包都包含加密的數據包包頭，包頭中包含路由信息。為了實現匿名性，每個AS在數據包包頭內只能了解到關于其本身的信息。

圖2 LAP網絡拓撲模型

Figure 2 The model of LAP network topology

當想要和進行通信時，首先發(fā)送空的數據包用于與目的地建立連接。在圖3中展示了該協議對于數據包包頭的具體加密過程。LAP協議中有這樣的定義：該數據包中已經事先包含了目的地的地址，所以每個AS均可以獨立地決定如何轉發(fā)數據包。比如AS3在了解到目的地的地址的情況下知道它需要轉發(fā)數據包給AS1。LAP協議假設每一個AS都有一個本地密鑰。首先，AS6使用自己的本地密鑰K6對轉發(fā)信息（即AS的路由決策）進行加密，比如AS6中的就是AS6的出口接口。隨后AS6將加密后的路徑信息添加入數據包包頭的路徑段中。對于其他AS也進行類似的操作，直至AS9也完成此操作之后，此時的數據包包頭中就包含了所有的加密的轉發(fā)信息。而這樣的數據包包頭可以添加進所有的數據包中，每一個AS只需用自己的密鑰進行解密便可得到轉發(fā)信息來轉發(fā)數據包。

在LAP協議中，segment的具體構造如下：

LAP數據包包頭格式

LAP屬于網絡層的路由協議，并且主要是對數據包的包頭格式進行了修改。圖4展示了LAP數據包的包頭格式。LAP協議的數據包有兩種類型：會話請求過程中的請求數據包和用來回復信息的回復數據包。從圖4中可以看出，請求數據包表示的是打算與匿名通信。為了發(fā)起請求，在32位目的地址中指定的地址。在請求數據包經過多個自治域并到達的過程中，每個中間AS域將自己的加密路徑段添加入“加密路徑”字段中。而回復數據包的包頭中不包含IP地址，這是因為可以從相應的請求數據包中直接復制雙向的加密路徑來轉發(fā)回復數據包。此外，包頭中還包括一個“長度”字段來指示數據包的大小。加密路徑中則包含的是一組段，每一個段的大小默認為128 bits。如圖中所示，每個段都包含一個入口端口、一個出口端口、段的大小，用來存放其他信息的保留位以及消息鑒別碼（MAC，message authentication code）。

圖3 包頭中加密路徑的形成過程

Figure 3 Formation of E-PATH in the packet header

LAP實現發(fā)送者匿名和對地理位置的保護。為了實現接收者匿名，可以采用約會節(jié)點的方式，參考Tor中的機制，該協議可以和當前IP網絡相適應，也可以與未來網絡架構SCION等相融合。LAP是網絡層匿名通信領域的首創(chuàng)之舉，為之后該領域的研究提供了很多的靈感。但對于LAP協議也存在一個明顯的問題：AS6作為第一跳，同時知道了源和目的地的地址，那么此時就必須信任第一跳，否則將會破壞匿名性。為了改進這一缺陷，Sankey等[18]在Dovetail協議中采用一種間接的思想進行改進。

(2) Dovetail

圖4 LAP數據包包頭格式和segment的格式

Figure 4 Formats of packet headers and a path segment of LAP

通過對以上兩個協議的比較，可以發(fā)現LAP協議的缺點是需要信任第一跳，而優(yōu)點則是可以適用于沒有源控制的網絡架構；而在Dovetail協議中，其優(yōu)點是沒有AS能夠同時知道源和目的地的地址，但缺點就在于它需要源控制的網絡架構。除此以外，兩者的數據包格式都存在一個共同的問題：AS位置的泄露。如當攻擊者攻擊了圖5(c)的AS9之后，它可以分析并學習到在其本身之前還存在5個段，那么攻擊者就可以了解到自己處于第6跳的位置，并且它知道了目的地的地址，從而會損壞匿名性。因此對于輕量級匿名協議的更嚴格的要求也就應運而生。對于一個新的匿名協議，希望可以達到以下3點要求：第一，AS的位置不被泄露；第二，沒有AS同時知道源和目的地的位置；第三，可以適應于沒有源控制的轉發(fā)路徑。而2017年Chen等[19]提出的新路由協議PHI則達到了以上3個要求。

圖5 Dovetail連接的構造過程

Figure 5 Construction of a Dovetail connection

(3) PHI

在網絡層隱藏路徑的輕量級匿名協議簡稱PHI。PHI不僅解決了在LAP和Dovetail中存在的問題，同時也保持了與LAP和Dovetail相同的效率水平。PHI提出了一種隱藏路徑信息的有效包頭格式和一種新的可與當前及未來網絡架構兼容的后退路徑建立方法。實驗分析表明PHI將LAP和Dovetail的匿名集擴展了30多倍，并在商用軟件路由器上達到120 Gbit/s的轉發(fā)速度。

為了使AS的位置不被泄露，PHI中采用段位置隨機化的思想。當要插入一個段到數據包的包頭時，以密鑰鍵入的偽隨機函數來計算出偽隨機位置，隨后進行插入操作。如圖6所示，比如AS6計算出的位置號是3，則將6插入到數據包包頭中的確定位置。對于其他AS也進行相同的操作。這種方法可以防止攻擊者捕捉到包頭中段位置之間的關聯。

圖6 PHI中段位置隨機化的過程

Figure 6 The process of randomizing path-segment positions in PHI

在PHI中隱藏路徑信息的核心思想是在數據包包頭中隨機化每個節(jié)點的段的位置。具體的隨機化過程如下。首先，節(jié)點會使用偽隨機函數（PRF，pseudo-random function）來計算其段在包頭中的位置。函數的輸入是該節(jié)點的本地密鑰（kpos）和會話id（sid），輸出則是計算出的該節(jié)點要插入的位置（pos）。表示為

然后，每個節(jié)點生成自己的段，段的構造公式如式(4)~式(6)所示。

最后，節(jié)點將自己的段插入計算好的位置中。但這種操作會帶來一個沖突問題：當兩個AS計算的位置號相同時，就會產生沖突。如AS6計算出的位置號是3，AS1的位置號也是3，那么后者將把前者覆蓋掉。針對這種沖突問題，研究者們提出兩種解決方案。第一種方案是進行多次試驗，同時發(fā)送多個會話建立請求數據包。第二種方案是采用更大的包頭空間。如對于4跳的路徑，需要12個段的空間。

而在PHI中為了與當前的互聯網架構兼容，即在沒有源控制轉發(fā)路徑的情況下工作，采用的方案是建立后退路徑。首先，源是建立一條到達輔助節(jié)點的路徑，這部分路徑的構建過程與Dovetail類似。而與Dovetail的不同之處在于，Dovetail中需要輔助節(jié)點來拓展一條不同的路徑，而PHI是由輔助節(jié)點沿著前向的路徑的相反方向發(fā)出請求，從而尋找中間節(jié)點。每一個在路徑上的AS都可以獨立地檢查其本身是否可以轉發(fā)數據包給目的地。當一個節(jié)點成為中間節(jié)點之后，如圖6中的AS1，則可以創(chuàng)建一個新路徑段，并且將出口端口的字段更改為朝向目的地，同時在自己的段中設立“中間”標志。最后AS1便可以建立到達D的路徑。

PHI數據包包頭格式

PHI的數據包共有兩種類型：會話請求過程中請求數據包和回復/數據傳輸數據包。PHI的請求數據包中包括以下幾個部分：數據包類型、數據包長度、前一跳的位置、計算出的段位置號、加密段形成的路徑、S的DH公鑰以及地址位。而回復數據包中也有相同的部分：數據包類型、數據包長度、前一跳的位置、計算出的段位置號以及加密段形成的路徑。具體數據包格式如圖7所示。

和Dovetail中建立路徑的過程相比，在PHI的后退路徑建立的過程中，每一個AS都可以獨立地決策自己是否要成為中間節(jié)點，而AS也不需要去控制哪個節(jié)點去成為Tail節(jié)點，因此不需要源去控制整條轉發(fā)路徑。最后Chen等[19]的實驗結果也表明了PHI的匿名集的規(guī)模比LAP和Dovetail的匿名集大30多倍，從而也抵抗了基于拓撲的攻擊。

3.2.2 網絡層洋蔥路由匿名協議

和網絡層輕量級匿名協議相比，網絡層洋蔥路由匿名協議就顯得復雜些。雖然前者在下一代網絡架構上提供網絡層低延遲匿名通信，但這3種方案的高性能導致安全性保障嚴重下降，同時對數據包有效負載的保護依賴于上層協議，這也就增加了整體復雜性。而網絡層洋蔥路由協議針對這些缺陷進行了改進。此類協議默認提供數據包有效負載的保護，也可以抵御利用多個網絡觀察點的攻擊。換言之，該類協議有以下3點的顯著特征：首先，和輕量級匿名協議一樣，為了實現高拓展性，節(jié)點轉發(fā)數據包所需要的狀態(tài)一般由數據包攜帶，會話狀態(tài)卸載至終端主機，這樣中間節(jié)點也可以快速轉發(fā)流量；其次，為了實現高效的數據包處理，中間節(jié)點在數據傳輸階段僅采用對稱加密的方式處理數據包；最后，在會話建立成功之后，在數據傳輸過程中，數據有效負載使用洋蔥加密的方式進行加密保護。

圖7 PHI數據包包頭格式和pathsegment的格式

Figure 7 Formats of packet headers and a pathsegment of PHI

(1) Hornet

Chen等[20]提出的Hornet協議的基本目標是實現可拓展性和高效性。為了實現因特網規(guī)模的匿名通信，Hornet中間節(jié)點必須避免保持每一會話狀態(tài)（如加密密鑰和路由信息等）。會話狀態(tài)被卸載至終端主機，終端主機將該狀態(tài)嵌入到數據包中，使每個中間節(jié)點可以在數據包轉發(fā)過程中提取自己的狀態(tài)。

卸載會話狀態(tài)會帶來兩個問題。第一，節(jié)點需要防止它們的卸載狀態(tài)泄露信息（如會話的加密密鑰）。為了解決這個問題，每個Hornet節(jié)點都通過使用一個本地密鑰來加密被卸載的每個會話狀態(tài)，并將此加密后的狀態(tài)稱為轉發(fā)段（FS，forwarding segment）。FS允許構建它的節(jié)點來檢索嵌入信息（即下一跳、共享密鑰、會話到期時間等），同時對于未授權的第三方，該信息不可見。以上操作實現了Hornet流量的位模式不可鏈接性和數據包路徑信息的機密性，并且Hornet協議可以防御基于數據包內容匹配數據包的被動對手。然而，該協議容易受到更復雜的主動攻擊。

FS作為Hornet協議中重要的轉發(fā)單位。與LAP和PHI的段類似，有其特殊的定義方式，表示為

其中，表示只有創(chuàng)建出該FS的節(jié)點所知道的秘密值（secret value），表示節(jié)點與源共享的密鑰，表示路由信息，EXP表示會話到期時間，而節(jié)點通過FS_CREATE和 FS_OPEN兩個功能相反的函數來加解密出節(jié)點轉發(fā)數據包時所需的轉發(fā)狀態(tài)。

Hornet數據包格式

Hornet數據包分為兩種格式：會話建立時期的數據包和數據傳輸過程的數據包。具體格式如圖8所示。

Hornet的數據包包頭重用于會話中的所有數據包，并且有效載荷不受完整性保護，因此Hornet無法防止數據包重放。攻擊者可以任意更改有效載荷，使數據包看起來與處理節(jié)點合法的新數據包無法區(qū)分。這種重放攻擊可以和流量分析結合使用，將可識別的指紋插入流中，有助于對通信端點進行去匿名化?；诖?，為了可以抵制流量分析，在Hornet的基礎上進行改進，Chen等[21]在2018年提出了新的匿名協議——Taranet。

圖8 Hornet數據包格式

Figure 8 Hornet packet formats

(2) Taranet

一方面，現代低延遲匿名通信系統無論是構建為覆蓋網絡還是在網絡層實現，在抵制流量分析的安全保障方面的能力都很有限；另一方面，高延遲匿名系統以計算開銷和長延遲為代價提供強大的安全保證，但這對于交互式應用來說代價太大。為了在網絡層實現抵制流量分析的保護，并控制發(fā)生的延遲和開銷，Chen等[21]提出了Taranet。在Taranet的會話建立階段使用混洗[50]來抵制流量分析[22]；在數據傳輸階段，終端主機和AS協調使用數據包分割技術將流量整形為恒定速率傳輸。而Chen等[21]人的實驗表明Taranet可以以超過50 Git/s的速度轉發(fā)匿名流量。

圖9和圖10表示的是Taranet協議在會話建立階段和數據傳輸階段的流程。

圖9 Taranet會話建立階段

Figure 9 Setup phase of Taranet

與先前描述的網絡層匿名通信協議類似，Taranet協議也分為兩個階段：會話建立階段和數據傳輸階段。在會話建立階段，每個Taranet節(jié)點處理會話建立消息時使用混洗。在中間節(jié)點處理會話建立消息之后，節(jié)點將消息在本地組合成大小為的批次中。一旦有足夠多的消息就可形成批處理，節(jié)點首先在每個批處理中隨機化消息順序，然后發(fā)出批處理。通過批處理和命令隨機化，Taranet節(jié)點便可以模糊消息的時間和順序。通過觀察非受損節(jié)點的輸入和輸出數據包的對手無法將輸出數據包與批處理中相應的輸入數據包進行匹配，從而抵制了流量分析。但因為建立消息需要等到累積到足夠多的消息，所以這種批處理技術也會帶來額外的延遲，但鑒于網絡中大量的同時鏈接，所以引入的延遲非常低。

圖10 Taranet數據傳輸階段設計流程

Figure 10 Data transmission phase of Taranet

在數據傳輸階段免受流量分析的基本思想是將流量整形為恒定速率傳輸。Flowlet是基本傳輸單元，終端主機以恒定的速率和最大生命周期來傳輸數據包。在Flowlet的生命周期內，終端主機始終以速率來傳輸數據包，必要時添加垃圾包。Flowlet的關鍵屬性是不僅在終端主機上而且在所有遍歷的鏈路上保持恒定的傳輸速率，Flowlet依賴于端到端填充而非鏈路填充。為了實現恒定速率的傳輸，理想情況下每個Flowlet應在每個節(jié)點以速率到達和離開。然而抖動、丟棄可能導致速率變化，但數據包分裂技術可以使一個數據包在特定中間節(jié)點處分裂成兩個數據包，所得的數據包和其他不可分離的數據包無法區(qū)分，生成的數據包仍經過相同的路徑并且到達接收者的終端主機。

Taranet數據包格式

Taranet數據包包含數據包包頭和數據包負載。其中包頭包括初始向量（IV，initial vector），轉發(fā)段、消息鑒別碼、控制位（CTRL BIT，control bits）、會話到期時間（EXP，expiration time）和不透明頭部信息（opaque header information）。除此以外，在數據包包頭和數據包負載之間的區(qū)域為填充位區(qū)域，用于將數據包包頭拓展到相同的大小，防止不同的數據包因規(guī)格不同而容易被區(qū)分。具體格式如圖11所示。

盡管Taranet在Hornet的基礎進行了改進，但Taranet依舊存在局限性，如Taranet本身無法抵制來自底層的路由攻擊等。Taranet依賴于底層網絡架構來轉發(fā)數據包，攻擊者可以攻擊底層網絡架構，將自己置于架構之中從而進行流量分析攻擊。這種攻擊不在Taranet的防御范圍內，但新興網絡架構等可以針對此類攻擊進行強大的保護。

3.3 網絡層匿名通信協議的整體分析

本文闡述的第一類網絡層匿名通信系統是輕量級匿名系統，其目的是通過隱藏數據包包頭內的轉發(fā)信息來打敗單個惡意服務提供商。與Tor之類的洋蔥路由方案相比，輕量級匿名系統避免了對數據包有效載荷進行加密操作，從而提高了效率。

Hsiao等[17]的開創(chuàng)性工作LAP首先討論了如何設計一個高效且可拓展的網絡層匿名系統，該系統的數據包包頭隱藏了網絡位置信息。為了實現可拓展性，LAP轉發(fā)節(jié)點不需要維持每個流轉發(fā)狀態(tài)，相反，由每個LAP數據包攜帶轉發(fā)狀態(tài)。每個節(jié)點維護一個本地密鑰，并通過使用該密鑰解密數據包攜帶狀態(tài)從而檢索轉發(fā)狀態(tài)。由于LAP在建立數據包包頭時會顯示目的地的地址，因此LAP總是假設第一跳節(jié)點是良性節(jié)點，這就給攻擊者帶來了破壞匿名性的機會。

圖11 Taranet數據包格式

Figure 11 Taranet packet formats

Sankey等[18]提出的Dovetail是在數據包包頭建立時引入了輔助節(jié)點從而消除了LAP中需要信任第一跳節(jié)點的假設。發(fā)送方使用輔助節(jié)點的公鑰加密目的地地址，并建立到輔助節(jié)點的一半路徑。輔助節(jié)點解密目的地地址并創(chuàng)建到目的地的后半路徑。為了減小路徑伸展因子，發(fā)送方確保前半路徑和后半路徑在Dovetail節(jié)點處相交。發(fā)送方通過移除Dovetail節(jié)點和輔助節(jié)點之間的節(jié)點從而組合這兩個半路徑。

但是，LAP和Dovetail數據包包頭格式都會泄露有關發(fā)送方和接收方之間總跳數以及發(fā)送方/接收方與轉發(fā)節(jié)點之間跳數的信息。路徑上的敵手節(jié)點可以通過結合相關的網絡拓撲的知識，使用泄露的信息來減少發(fā)送方（或接收方）的匿名集。針對LAP和Dovetail的局限性，Chen等[19]提出PHI，它可以通過段位置隨機化和后退機制來達到更好的性能。另外，PHI除了可以防范基于拓撲的攻擊以外，還可以抵御觀察數據包負載和會話鏈接等類型的被動攻擊以及會話劫持攻擊、數據包包頭修改、重放攻擊和預計算攻擊等類型的主動攻擊。PHI可以說是提供了一種高效的可以隱藏路徑信息的數據包包頭格式。

而另一類網絡匿名通信協議是由Chen等[20-21]定義的網絡層洋蔥路由匿名協議。該類協議針對網絡層輕量級匿名通信協議進行改進。在輕量級匿名協議中，終端節(jié)點容易受到不局限于單個網絡位置的攻擊，并且對數據包負載的保護依賴于上層協議，這樣就增加了復雜性。

Hornet的基本設計目標是可拓展性和高效性，除此以外也提供了對數據包負載的保護。該協議提出一種由數據包攜帶加密狀態(tài)的洋蔥路由數據包格式。它采取了將會話狀態(tài)卸載至終端主機，并將它們自己的狀態(tài)嵌入數據包以便中間節(jié)點在數據包轉發(fā)過程中可以提取出自己的狀態(tài)進行轉發(fā)操作。Hornet的協議過程一般存在兩個步驟：會話建立（收集源和目的地之間的所有節(jié)點的會話狀態(tài)）和數據轉發(fā)（按照數據包中各自節(jié)點的會話狀態(tài)進行轉發(fā)數據包、傳輸數據）。但Hornet并不能抵制流量分析，這是它的一大缺陷。而Taranet除了可以達到Hornet的設計目標以外，還能夠解決流量分析。為了達到此目標，Taranet在會話建立階段進行消息的混淆，而在數據傳輸階段則提倡端到端的恒定速率傳輸，通過采用數據包分裂技術來適應網絡抖動和數據包的丟失。但與Hornet相比，Taranet也犧牲了部分吞吐量。

網絡層匿名通信協議實則是基于基礎設施（如路由器）的匿名網絡協議。此類型的匿名通信協議尋求可以在可拓展性、安全保證和性能之間達到權衡。表2是對網絡層匿名通信協議從匿名性和性能方面的總體分析[15]。其中包括8個指標：吞吐量、是否信任第一跳節(jié)點、是否隱藏拓撲信息、是否需要源控制路徑、是否達到低延遲目標、可拓展性、位模式不可連接性以及是否抵制流量分析。

表2 網絡層匿名通信協議的性能分析

4 結束語

匿名通信技術作為網絡安全領域的一項關鍵技術，自出現以來一直是學術界研究的熱點課題。在當前的互聯網大環(huán)境下，匿名作為社會群眾的一項基本權利，面臨著來自私人公司和政府監(jiān)督計劃的挑戰(zhàn)。在匿名通信系統的性能越來越好，提供的匿名等級越來越高的同時，匿名技術也存在被不法分子所利用從而進行破壞性活動的風險。頻頻爆發(fā)的涉及用戶隱私的安全事件使匿名通信受到了極大的關注。當前基于覆蓋的應用層匿名通信解決方案無法同時提供強大的匿名性和高性能。隨著對未來互聯網架構的深入研究，研究者們提出了將匿名通信設計為網絡架構的核心服務，并且支持在路由器上進行加密操作以及控制路徑。本文闡述了網絡層匿名通信協議的基本思想，給出了對網絡層匿名通信協議進行分類的標準，并介紹了現有的網絡層匿名通信協議的基本工作原理。此外，未來互聯網架構可以提供當前互聯網設計中所缺乏的理想屬性，如故障隔離、路徑控制和可信度等。目前已經出現的網絡層匿名通信協議也表明了新興互聯網架構的可行性和優(yōu)勢。研究結果表明網絡層匿名通信系統可以比當前最先進的基于覆蓋的匿名通信系統達到更高的吞吐量，同時在面對攻擊時也能夠保證一定的匿名性。

但對于網絡層匿名通信協議的設計中依然存在亟待解決的問題，并且也有值得深入研究的創(chuàng)新點。首先是匿名拓撲信息服務，拓撲信息服務可以將拓撲信息發(fā)給終端主機。對比Tor的權威目錄服務器，其可存儲管理所有中繼節(jié)點的描述信息，所以在網絡層的匿名通信系統中也應該有類似的服務。雖然存在多種解決方案來傳播拓撲信息，但如何在新興的互聯網架構中以匿名、高效和可拓展的方式設計這樣的服務器還需要深入的研究。其次，網絡層匿名通信協議的實現也為在軟件定義網絡中如何實現匿名通信提供了寶貴的經驗。新型網絡架構的出現（如SCION等）使網絡層匿名通信協議的實現成為可能。以往的匿名通信方案（如Tor等）憑借自身的特性在各個應用領域內發(fā)揮著各自的作用，SDN所擁有的集中控制和掌握全局視圖的新特性為匿名通信領域的創(chuàng)新帶來了新的機會，也值得做進一步的思考和研究。

[1] DANEZIS G, DIAZ C, SYVERSON P. Systems for anonymous communication[J]. Handbook of Financial Cryptography and Security, Cryptography and Network Security Series, 2009: 341-389.

[2] DIAZ C. Anonymity and privacy in electronic services[D]. Heverlee: Katholieke Universiteit Leuven, 2005.

[3] 劉湘雯, 王良民. 數據發(fā)布匿名技術進展[J]. 江蘇大學學報(自然科學版), 2016, 37(5): 562-571.

LIU X W, WANG L M. Advancement of anonymity technique for data publishing[J]. Journal of Jiangsu University(Natural Science Edition), 2016, 37(5): 562-571.

[4] 趙福祥. 網絡匿名連接中的安全可靠性技術研究[D]. 西安: 西安電子科技大學, 2001.

ZHAO F X. Research on security and authentication techniques of anonymous network connection[D]. Xian: Xidian University, 2001.

[5] 楊云, 李凌燕, 魏慶征. 匿名網絡Tor與I2P的比較研究[J]. 網絡與信息安全學報, 2019, 5(1): 70-81.

YANG Y, LI L Y, WEI Q Z. Comparative study of anonymous network Tor and I2P[J]. Chinese Journal of Network and Information Security, 2019, 5(1):70-81.

[6] GüLCüC, TSUDIK G. Mixing email with BABEL[C]//1996 Symposium on Network and Distributed System Security. 1996.

[7] LE BLOND S, CHOFFNES D, ZHOU W, et al. Towards efficient traffic-analysis resistant anonymity networks[J]. ACM SIGCOMM Computer Communication Review, 2013, 43(4): 303-314.

[8] DANEZIS G, DINGLEDINE R, MATHEWSON N. Mixminion: design of a type III anonymous remailer protocol[C]//IEEE S&P, 2003I/O (SNAPI'03). 2003.

[9] DANEZIS G, GOLDBERG I. Sphinx: a compact and provably secure mix format[C]//IEEE Symposium on Security & Privacy.2009.

[10] DINGLEDINE R, MATHEWSON N, SYVERSON P. Tor: the second-generation onion router[C]//The 13th USENIX Security Symposium. 2004.

[11] ZHU Y, FU X W, GRAHAM B, et al. On flow correlation attacks and countermeasures in mix networks[C]//The Privacy Enhancing Technologies Symposium (PETS). 2004: 207-225.

[12] MURDOCH S J, DANEZIS G. Low-cost traffic analysis of Tor[C]//The IEEE Symposium on Security and Privacy (Oakland). 2005: 183-195.

[13] MITTAL P, KHURSHID A, JUEN J, et al. Stealthy traffic analysis of low-latency anonymous communication using throughput fingerprinting[C]//The ACM Conference on Computer and Communications Security (CCS). 2011.

[14] B N LEVINE, M K REITER, C X WANG, et al. Timing attacks in low-latency mix-based systems[C]//The International Conference on Financial Cryptography (FC). 2004.

[15] GILAD Y, HERZBERG A. Spying in the dark: TCP and Tor traffic analysis[C]//12th Privacy Enhancing Technologies Symposium (PETS 2012). 2012: 100-119.

[16] CHEN C. Infrastructure-based anonymous communication protocols in future internet architectures[D]. Pittsburgh: Carnegie Mellon University, 2018.

[17] HSIAO H C, KIM T J, PERRIG A, et al. LAP: lightweight anonymity and privacy. IEEE Security & Privacy, 2012, 19: 506-520.

[18] SANKEY J, WRIGHT M. Dovetail: stronger anonymity in next-generation internet routing[M]//Lecture Notes in Computer Science. 2014.

[19] CHEN C, PERRIG A. PHI：path-hidden lightweight anonymity protocol at network layer[J]. Nephron Clinical Practice 2017, 2017(1): 100-117.

[20] CHEN C, ASONI D E, BARRERA D, et al. HORNET: high-speed onion routing at the network layer[J]. arXiv: 1507.05724, 2015.

[21] CHEN C, ASONI D E, PERRIG A, et al. TARANET: traffic-analysis resistant anonymity at the network layer[J]. EuroS&P, 2018: 137-152.

[22] CHAUM D L. Untraceable electronic mail, return addresses, and digital pseudonyms[J]. Communications of the ACM, 1981, 24(2).

[23] 王繼林, 伍前紅, 陳德人, 等. 匿名技術的研究進展[J]. 通信學報, 2005, 26(2): 112-118.

WANG J L, WU J H, CHEN D R, et al. A survey on the technology of anonymity[J]. Journal on Communications, 2005, 26(2): 112-118.

[24] GüLCü C, TSUDIK G. Mixing email with Babel[C]//The Network and Distributed System Security Symposium (NDSS). 1996.

[25] M?LLER U, COTTRELL L, PALFRADER P, et al. Mixmaster protocol version 2[S]. Draft, 2003, 154: 28.

[26] SHOSTACK A, GOLDBERG I. Freedom systems 1.0 security issues and analysis[Z]. White Paper, Zero Knowledge Systems, 2001, 10.

[27] BROWN Z. Cebolla: pragmatic IP anonymity[C]//The Ottawa Linux Symposium. 2002.

[28] REED M G, SYVERSON P F, GOLDSCHLAG D M. Anonymous connections and onion routing[J]. IEEE Journal on Selected Areas in Communications, 1998, 16(4): 482-494.

[29] ALI A, KHAN M, SADDIQUE M, et al. Tor vs I2P: a comparative study[C]// 2016 IEEE International Conference on Industrial Technology (ICIT). 2016.

[30] REITER M K, RUBIN A D. Crowds: anonymity for web transactions[J]. ACM Transactions on Information and System Security, 1997, 1(1): 66-92.

[31] FREEDMAN M J, MORRIS R. Tarzan: a peer-to-peer anonym zing network layer[C]//The ACM Conference on Computer and Communications Security (CCS). 2002: 121-129.

[32] BLOND S L, CHOFFNES D, CALDWELL W, et al. Herd: a scalable, traffic analysis resistant anonymity network for VoIP systems[C]//The ACM Conference of the Special Interest Group on Data Communication (SIGCOMM). 2015.

[33] BLOND S L, CHOFFNES D, ZHOU W X, et al. Towards efficient traffic-analysis resistant anonymity networks[C]//ACM SIGCOMM. 2013

[34] SHERWOOD R, BHATTACHARJEE B, SRINIVASAN A. P5: a protocol for scalable anonymous communication[C]//The IEEE Symposium on Security and Privacy (Oakland). 2002.

[35] CHAUM D. The dining cryptographers problem: unconditional sender and recipient untraceability[J]. Journal of Cryptology, 1988, 1(1): 65-75.

[36] GOLLE P, JUELS A. Dining cryptographers revisited[C]//The International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT). 2004: 456-473.

[37] WOLINSKY D I, CORRIGAN-GIBBS H, FORD B, et al. Dissent in numbers: making strong anonymity scale[C]//The USENIX Symposium on Operating Systems Design and Implementation (OSDI). 2012.

[38] CORRIGAN-GIBBS H, BONEH D, MAZIèRES D. Riposte: an anonymous messaging system handling millions of users[C]//The IEEE Symposium on Security and Privacy (Oakland). 2015: 321-338.

[39] MURDOCH S J, DANEZIS G. Low-cost traffic analysis of Tor[C]//IEEE Symposium on Scrubby and Privacy. 2005: 193-195.

[40] SYVERSON P, TSUDIK G, REED M, et al. Towards an analysis of onion routing security[M]//Designing Privacy Enhancing Technologies. 2001: 96-144.

[41] MURDOCH S J, ZIELINSKI P. Sampled traffic analysis by internet-exchange-level adversaries[C]//The 2007 Privacy Enhancing Technologies Workshop. 2007.

[42] SYVERSON P, TSUDIK G, REED M, et al. Towards an analysis of onion routing security[M]//Designing Privacy Enhancing Technologies. 2001.

[43] SNADER R, BORISOV N. EigenSpeed: secure peer-to-peer bandwidth evaluation[C]//The International Workshop on Peer-to-Peer Systems (IPTPS). 2009: 9.

[44] SHERR M, BLAZE M, LOO B T. Scalable link-based relay selection for anonymous routing[C]//The Privacy Enhancing Technologies Symposium (PETS). 2009: 73-93.

[45] SHERR M, MAO A, MARCZAK W R, et al. A3: an extensible platform for application-aware anonymity[C]//The Network and Distributed System Security Symposium (NDSS). 2010.

[46] TSCHORSCH F, SCHEUERMANN B. Mind the gap: towards a backpressure-based transport protocol for the Tor network[C]//The USENIX Symposium on Networked Systems Design and Implementation (NSDI). 2016.

[47] PREVIDI S, SH R, HOMEFFER M, et al. SPRING problem statement and requirements[J]. Der Orthop?de, 2016, 36(4): 360-364.

[48] FILSFILS C, NAINAR N K, PIGNATARO C, et al. The segment routing architecture[C]//2015 IEEE Global Communications Conference. 2015.

[49] FILSFILS C, MICHIELSEN K, TALAULIKAR K. Segment Routing詳解（第一卷）[M]. 北京: 人民郵電出版社, 2017. FILSFILS C, MICHIELSEN K, TALAULIKAR K. Segment Routing part I[M]. Beijing: Posts & Telecom Press Co LTD, 2017.

[50] YANG X, WETHERALL D. Source selectable path diversity via routing deflections. ACM SIGCOMM Computer Communication Review, 2006(36): 159-170.

[51] ZHANG X, HSIAO H C, HASKER G, et al. SCION: scalability, control, and isolation on next-generation networks[C]//2011 IEEE Symposium on Security and Privacy. 2011: 212-227.

[52] ANDERSON T, BIRMAN K, BROBERG R, et al. The NEBULA future internet architecture[J]. The Future Internet, 2013: 16-26.

[53] D RAYCHAUDHURI, K NAGARAJA, VENKATARAMANI A. MobilityFirst: a robust and trust worthy mobility-centric architecture for the future internet[J]. ACM SIGMOBILE Mobile Computing and Communications Review, 2012, 16(3): 2-13.

[54] ANAND A, DOGAR F, HAN D, et al. XIA: an architecture for an evolvable and trust worthy internet[C]//The ACM Workshop on Hot Topics in Networks (HotNets). 2011.

[55] ZHANG X, C HSIAO H, HASKER G, et al. SCION: Scalability, control, and isolation on next-generation networks[C]//The IEEE Symposium on Security and Privacy (Oakland). 2011.

[56] PERRIG A, SZALACHOWSKI P, M REISCHUK R, et al. SCION: a secure internet architecture[M]. Springer International Publishing AG, 2017.

Survey of network-layer anonymous communication protocols

WANG Liangmin, NI Xiaoling, ZHAO Hui

School of Computer Science and Communication Engineering, Jiangsu University, Zhenjiang 212013, China

An anonymous communication system is an overlay network built on the application layer and combining various privacy protection technologies such as data forwarding, content encryption, and traffic obfuscation to hide communication relationships between entities and forwarded contents. However, there is a deficiency in the balance between performance and security as an anonymous communication system operating over an overlay network. With the advance of the future internet architectures, it is possible to build an infrastructure-based anonymous communication system. Such anonymous communication systems design anonymity as network infrastructure services and provide encryption operations for routers, which can solve the part problem of scalability and performance limitations of anonymous network. They can also be called network-layer anonymous communication protocols. The existing network-layer anonymous communication protocols (LAP, Dovetail, Hornet, PHI and Taranet) were studied. The classification standard of network-layer anonymous communication protocols were introduced. Its innovation point and specific encryption ideas were briefly described, and how to keep balance between security and performance was analyzed. The shortcomings and advantages of these kinds of network anonymous communication protocols were also pointed out. Finally, the challenges faced in the development of anonymous communication systems and the problems that need to be studied in depth were proposed.

anonymous communication, protocol, network-layer, survey

The National Natural Science Foundation of China (No.U1736216)

TP393

A

10.11959/j.issn.2096?109x.2020006

王良民（1977? ），男，安徽潛山人，博士，江蘇大學教授、博士生導師，主要研究方向為密碼學與安全協議、物聯網安全、大數據安全。

倪曉鈴（1996? ），女，江蘇南通人，江蘇大學碩士生，主要研究方向為網絡安全。

趙蕙（1979? ），女，江蘇鎮(zhèn)江人，江蘇大學博士生，主要研究方向為網絡安全、隱私保護。

2019?07?01；

2019?09?02

王良民，wanglm@ujs.edu.cn

國家自然科學基金資助項目（No.U1736216）

論文引用格式：王良民, 倪曉鈴, 趙蕙. 網絡層匿名通信協議綜述[J]. 網絡與信息安全學報, 2020, 6(1): 11-26.

WANG L M, NI X L, ZHAO H. Survey of network-layer anonymous communication protocols[J]. Chinese Journal of Network and Information Security, 2020, 6(1): 11-26.