趙睿斌，張道德，楊紹亮，江偉玉

1.國家信息中心，北京 100045

2.華為技術(shù)有限公司，北京 100095

引 言

近年來，隱私的關(guān)注度持續(xù)在上升。根據(jù)Global Web Index的調(diào)查結(jié)果顯示，在2018年全球有大約四分之一的網(wǎng)民使用VPN技術(shù)來保護自己的上網(wǎng)隱私[1]。 除此之外，匿名P2P、Tor、Freenet技術(shù)使用需求也在逐年上升。 特別是隨著歐盟的《通用數(shù)據(jù)保護條例》[2]（General Data Protection Regulation，GDPR）、美國的《加利福尼亞州消費者隱私法》[3]和我國的《中華人民共和國網(wǎng)絡(luò)安全法》的發(fā)布，個人信息隱私保護越來越受到重視。歐盟的GDPR，美國的消費者隱私法，中國的網(wǎng)絡(luò)安全法都關(guān)注個人隱私，違反個人隱私保護的數(shù)據(jù)控制者和處理者將面臨巨額罰款。例如，2019年1月Google被法國開出5000萬美元的罰款[4]。

基于IP協(xié)議的網(wǎng)絡(luò)作為數(shù)據(jù)世界的管道，在構(gòu)建萬物互聯(lián)的世界中扮演重要角色。在IP協(xié)議中，IP地址作為一種網(wǎng)絡(luò)主機標識符，常常跟主機綁定（比如，IPV4地址中的主機號以及IPV6地址中接口標識符）而主機常常和用戶進行綁定，從而IP地址蘊含著用戶的身份隱私。IP地址不僅攜帶了用戶的身份隱私，即在同一時間段內(nèi)可以在全網(wǎng)唯一標識一臺主機，而且還攜帶位置信息，比如IPV4地址的網(wǎng)絡(luò)號以及IPV6地址的前綴信息都蘊含著主機所在的網(wǎng)絡(luò)位置。除此之外，出于路由尋址目的不得不隨包攜帶IP地址，造成鏈路上所有途徑的網(wǎng)絡(luò)設(shè)備、鏈路竊聽者以及目的網(wǎng)站都可以輕而易舉地獲得該標識符。

由于IP地址的易獲取性以及IP地址蘊含著大量的隱私信息，鏈路上的非法監(jiān)聽者以及不可信的目標網(wǎng)站很容易獲取該信息并加以利用從而來分析用戶隱私。 常見的隱私分析方式有以下幾種：（1）位置隱私分析。比如，用戶Alice某日登錄了某款應(yīng)用程序APP_B,并且使用IP地址IP1填寫了家庭住址。此時如果應(yīng)用程序APP_B是惡意的話，它很容易可以得出IP1屬于XX鎮(zhèn)或者XX校區(qū)，IP1的地理范圍跟Alice的家庭住址范圍一致。如果用戶Alice用IP地址IP1訪問應(yīng)用程序APP_B時，說明用戶Alice在家。除此之外，當Alice在日常生活中不經(jīng)意地在不同地點使用不同的IP地址訪問APP_B時，應(yīng)用程序APP_B可以很容易地刻畫出Alice的生活軌跡。（2）身份隱私分析。比如，用戶沒有使用用戶賬號訪問某網(wǎng)站時，用戶依然可能會被網(wǎng)站識別，網(wǎng)站可以根據(jù)IP地址將用戶過去的網(wǎng)絡(luò)活動和當前的網(wǎng)絡(luò)活動進行關(guān)聯(lián)，分析用戶隱私，向用戶定向推送垃圾廣告或者不良信息，或者根據(jù)IP地址可以關(guān)聯(lián)該用戶在其他網(wǎng)站的注冊信息。 再比如，目前在瀏覽器訪問的網(wǎng)頁中，通常除了訪問的主網(wǎng)頁以外，還嵌入了多個第三方鏈接，多個服務(wù)器可以根據(jù)數(shù)據(jù)包中提取的IP地址進行關(guān)聯(lián)分析。用戶A手機在某段時刻使用IP地址訪問W1網(wǎng)站，并且在同一時間段使用相同IP地址訪問W2網(wǎng)站，如果W1和W2屬于同一母公司或者W1和W2的提供商是共享數(shù)據(jù)的合作方，那么用戶在W1和W2中的行為就可以被關(guān)聯(lián)。如果用戶在W1中注冊了實名身份信息，那么W2根據(jù)IP地址就可以關(guān)聯(lián)出用戶的真實身份信息，從而帶來隱私泄露問題。

IP地址作為個人信息的一部分，其隱私保護技術(shù)在工業(yè)界和學(xué)術(shù)界得到了普遍的關(guān)注。盡管網(wǎng)絡(luò)隱私保護被研究了多年，并提出了眾多的IP地址隱私保護技術(shù)，但是依然存在諸多不足。例如，Passport[5]和ISP[6]隱私方案能夠提供源 IP 地址的隱私，但是不能隱藏發(fā)送者ISP的位置信息。Mailbox[7]通過提供多個代理位置來為多個IP地址接收數(shù)據(jù)分組，可以隱藏接收者的真實IP地址，但是并沒有提供發(fā)送者的隱私保護。為應(yīng)對IPv4地址空間不足而生的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)NAT雖然也提供了一定的隱私保護特性，但是NAT技術(shù)需要維護逐流的狀態(tài)，開銷比較大。另外NAT技術(shù)沒有提供前綴隱私，攻擊者依然可以根據(jù)IP包中的IP地址獲得主機的位置信息，而且NAT沒辦法處理外部網(wǎng)絡(luò)主機主動發(fā)起的流量?；谘笫[路由的Tor[8]匿名網(wǎng)絡(luò)對數(shù)據(jù)包的源和目的地址進行了隱藏，洋蔥網(wǎng)絡(luò)的每一個節(jié)點只知道傳輸數(shù)據(jù)包的上一個節(jié)點和數(shù)據(jù)包將被轉(zhuǎn)發(fā)的下一個節(jié)點，從而提供了很好的IP隱私保護。但是洋蔥網(wǎng)絡(luò)需要源主機提前規(guī)劃好洋蔥路由的路徑，并且層層加密的方式開銷較大，經(jīng)過的洋蔥路由節(jié)點越多，帶來的延遲就會越大。另外，其加密的地址需要放在應(yīng)用層數(shù)據(jù)中，而洋蔥路由不能根據(jù)直接網(wǎng)絡(luò)層IP地址進行轉(zhuǎn)發(fā)，上層協(xié)議的解密同樣也會帶來延遲。對于出口節(jié)點，同樣需要維護狀態(tài)。IETF也有多項針對IPV6地址隱私保護的工作，但是大部分工作（如臨時地址[9,11-13]、基于公鑰的密碼方案CGA[14]、無狀態(tài)接口方案[10,15]等）聚焦在后64位的接口標識符隱私，沒有考慮前綴隱私，并且其方案無法做到逐流的隱私保護。即，在同一段時間內(nèi)，鏈路竊聽者以及目標網(wǎng)站依然可以根據(jù)IP地址關(guān)聯(lián)用戶在不同網(wǎng)站的活動、以及在不同時間的網(wǎng)絡(luò)活動。而實際上，5G網(wǎng)絡(luò)的IPV6 PDU Session使用唯一的前綴作為發(fā)送者的標識符，并且在共用同一IPV6前綴的用戶比較少的情況下，前綴隱私同樣需要提供保護。

綜上所述，暴露在數(shù)據(jù)包頭部中的源IP地址存在身份隱私泄露和位置隱私泄露的雙重安全威脅。為了解決上述問題，在本文中提出了一種終端設(shè)備與網(wǎng)絡(luò)設(shè)備協(xié)同的IP隱私保護技術(shù)方案。在該方案中，網(wǎng)絡(luò)設(shè)備對IP地址等隱私信息進行實時混淆，能夠達到逐包級的IP隱私保護，防止隱私好奇者通過竊聽或收集IP報文來實施隱私攻擊。該技術(shù)在同時兼顧隱私保護、路由高效尋址、審計追蹤等需求的情況下，不但消除當前IP地址耦合身份和位置雙重語義的障礙，而且還對身份標識符和位置標識符分別進行加密保護。

（1）對于身份標識符的加密保護。對于源主機身份ID的加密保護，主要由接入設(shè)備和邊界網(wǎng)絡(luò)設(shè)備（如邊界路由器，核心交換機等）來執(zhí)行實時的加密混淆。該技術(shù)對源ID實現(xiàn)完全隱私保護，源ID被加密保護，發(fā)往不同目的地的相同來源的源ID不可關(guān)聯(lián)，被加密的ID僅可以被源域少數(shù)執(zhí)行安全功能的網(wǎng)絡(luò)節(jié)點（接入設(shè)備，審計設(shè)備，邊界路由器等）解密出真實ID，而鏈路上的竊聽者、目的接收者無法根據(jù)IP報文頭部的源ID信息推斷源端主機的身份信息。

（2）對于位置標識符的加密保護。 對于locator實現(xiàn)層次化加密保護，為了兼顧路由尋址，數(shù)據(jù)包不完全暴露完整位置信息，僅暴露部分用于路由尋址的前綴信息，由邊界設(shè)備執(zhí)行實時的加密混淆，使得隱私分析者無法根據(jù)IP報文頭部暴露的位置信息推斷出真實的小范圍位置信息，也無法推斷出兩個數(shù)據(jù)包是否來自相同局域網(wǎng)。該技術(shù)可以做到同一個主機在不同時間發(fā)往不同目的地的IP地址是不一樣的，從而防止攻擊者根據(jù)IP地址來獲得用戶具體的位置信息，并且防止攻擊者推斷出同一局域網(wǎng)的兩個IP報文屬于相同的地理位置，從而很好的保護了用戶的位置隱私。

除此之外，將技術(shù)方案可以應(yīng)用到兩種源IP地址隱私需要保護的場景中，一個場景是面向運營商的用戶IPV6地址隱私保護場景，另一個是面向云服務(wù)的租戶IP隱私保護場景，并針對此兩個場景給出具體的詳細的方案介紹。

文章組織結(jié)構(gòu)如下：在第1章節(jié)中，主要介紹IP地址隱私保護技術(shù)的系統(tǒng)方案設(shè)計；在第2章節(jié)中，會將IP地址隱私保護技術(shù)應(yīng)用到兩個使用場景中，一個場景是IPV6地址的隱私保護場景，另一個是面向云服務(wù)的租戶IP地址隱私保護場景；最后，第3章節(jié)是對全文的總結(jié)。

1 系統(tǒng)方案設(shè)計

本文主要解決的是IP頭部隱私泄露問題，即：解決如何讓目標網(wǎng)站不能根據(jù)IP地址分析源主機的身份隱私和位置隱私。 涉及源終端主機、終端側(cè)路由器、邊界路由器（或靠近目的端路由器）以及目的端主機（一般為服務(wù)器）等設(shè)備。源終端主機在發(fā)送IP數(shù)據(jù)包到目的服務(wù)器的過程中，其源IP地址會經(jīng)過路由器無狀態(tài)轉(zhuǎn)換，主要包括兩個轉(zhuǎn)換操作：（1）終端側(cè)路由器對主機標識符進行加密混淆，使得同一主機發(fā)往不同的目的服務(wù)器的源IP地址中的主機標識符不一樣。（2）邊界路由器（或靠近目的端的路由器）對含有位置信息的內(nèi)部定位符進行加密混淆，并使用自身的定位符作為新的外部可見定位符，從而可以防止不可信目的端設(shè)備分析得到源主機的位置隱私。

1.1 技術(shù)概覽

本方案的主要目的是保護源IP地址的隱私，防止不可信網(wǎng)絡(luò)設(shè)備或者竊聽者分析出終端主機隱私。終端主機、路由器、服務(wù)器三類設(shè)備（見圖1）相互合作來達到保護源IP地址隱私的目的，具體工作如下：

圖1 技術(shù)方案涉及的設(shè)備Fig.1 The devices involved in the solution

（1）源主機與終端側(cè)路由器建立安全連接，加密傳輸數(shù)據(jù)包，如采用二層加密，數(shù)據(jù)包的IP地址被隱藏，從而可以防止源終端主機到終端側(cè)路由器這段鏈路的竊聽者分析終端隱私。

（2）終端側(cè)路由器在收到數(shù)據(jù)包時，對源主機的主機標識符進行混淆，從而能夠防止終端側(cè)路由器到邊界路由器之間的鏈路竊聽者識別終端并進行關(guān)聯(lián)。

（3）邊界路由器在收到數(shù)據(jù)包時，對源定位符和主機標識符同時進行加密隱藏，從而能夠防止邊界路由器到達目的服務(wù)器鏈路上的竊聽者以及目的服務(wù)器識別主機、獲取終端主機的位置信息，對主機網(wǎng)絡(luò)活動進行關(guān)聯(lián)。

1.2 具體方案

本文中的核心設(shè)備為主要是路由器，但是不限于路由器，也可以使具備數(shù)據(jù)包轉(zhuǎn)發(fā)功能的交換機、接入網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備。核心裝置需要增加支持常用的密碼算法，能夠使用密碼算法對IP地址進行處理。

接下來以核心設(shè)備是路由器為例，來具體介紹的。流程主要體現(xiàn)在IP數(shù)據(jù)包的轉(zhuǎn)發(fā)過程中。方案中將數(shù)據(jù)包的主機標識分成定位符和主機標識符，定位符和主機標識符可以作為數(shù)據(jù)面的主機標識。數(shù)據(jù)面的數(shù)據(jù)包頭部字段包括源定位符SrcLoc和源主機標識符SrcID、目的定位符DstLoc和目的主機標識符DstID。

對于終端主機發(fā)出的數(shù)據(jù)包，由數(shù)據(jù)包途徑的源域的網(wǎng)絡(luò)設(shè)備對IP數(shù)據(jù)包頭部進行處理，大致分為三個部分：主機構(gòu)造數(shù)據(jù)包發(fā)送數(shù)據(jù)包給終端側(cè)路由器Router1，終端側(cè)路由器轉(zhuǎn)發(fā)數(shù)據(jù)包給邊界路由器Router2，以及邊界路由器轉(zhuǎn)發(fā)數(shù)據(jù)包。具體流程請參考圖2。

圖2 數(shù)據(jù)包轉(zhuǎn)發(fā)流程Fig.2 Packets transferring process

（1）終端主機構(gòu)造數(shù)據(jù)包，其中IP數(shù)據(jù)包頭頭部含四個字段，即，SrcLoc、SrcID、DstLoc以及DstID。其中，源定位符SrcLoc=LocE，長度為x位，可以根據(jù)SrcLoc找到連接終端主機的路由器。SrcID=HIDE是主機標識符，長度為y位，可以由靠近主機的終端側(cè)路由器根據(jù)該標識符確定對應(yīng)的主機。DstLoc=LocS是目的主機的定位符，DstID=HIDS是目的主機的標識符，DstLoc和DstID連接起來可以是目的主句的IP地址（即，LocS||HIDS）。終端設(shè)備發(fā)送構(gòu)造的數(shù)據(jù)包給終端側(cè)路由器Router1。

（2）當終端側(cè)路由器Router1收到終端設(shè)備發(fā)送的數(shù)據(jù)包時，終端側(cè)路由器Router1會對出向流量中數(shù)據(jù)包的處理如下：終端側(cè)路由器Router1收到數(shù)據(jù)包后，提取出IP包頭中的源主機標識符SrcID=HIDE，利用秘密參數(shù)SK1以及DstLoc和DstID對SrcID進行混淆從而得到混淆后的主機標識符EHID， EHID的長度也是y位。使用EHID替換掉數(shù)據(jù)包中的SrcID字段的數(shù)值。轉(zhuǎn)發(fā)數(shù)據(jù)包。

（3）當邊界路由器Router2收到Router1轉(zhuǎn)發(fā)的終端設(shè)備發(fā)送的數(shù)據(jù)包時，邊界路由器Router2會對出向流量中數(shù)據(jù)包的處理如下：邊界路由器Router2在收到數(shù)據(jù)包后，提取出數(shù)據(jù)包中的源定位符SrcLoc和源主機標識符SrcID（即EHID），利用其秘密參數(shù)SK2對SrcLoc||SrcID進行混淆從而得到EIP，其中EIP的長度為x+y位。 添加外部定位符OutLoc，從而構(gòu)造新的源標識符=OutLoc||EIP，將OutLoc和EIP作為新的源標識符（定位符和主機標識符）放在數(shù)據(jù)包頭部對應(yīng)的字段。轉(zhuǎn)發(fā)數(shù)據(jù)包。

對于目的服務(wù)器返回給終端主機的數(shù)據(jù)包，主要包括兩個部分：邊界路由器Router2轉(zhuǎn)發(fā)數(shù)據(jù)包給終端側(cè)路由器，終端側(cè)路由器Router1轉(zhuǎn)發(fā)數(shù)據(jù)包給終端主機。

（1）邊界路由器Router2在收到數(shù)據(jù)包后，提取目的主機標識字段的EIP，使用SK2對EIP進行解混淆，得到解混淆后的消息，并從中提取出x位數(shù)值作為目的定位符DstLoc=LocE，提取出目的主機標識符DstID=EHID，將DstLoc和DstID分別放在數(shù)據(jù)包頭部的目的定位符和目的主機標識字段中組成目的地址innerLoc=LocE||EHID，根據(jù)innerLoc標識轉(zhuǎn)發(fā)數(shù)據(jù)給終端側(cè)路由器Router1。

（2）終端路由器Router1在收到數(shù)據(jù)包后，從數(shù)據(jù)包中提取源主機標識字段SrcLoc=LocS和SrcID=HIDS，以及目的主機標識字段DstID=EHID。接著利用秘密參數(shù)SK1以及輔助輸入LocS和HIDS對DstID進行解混淆從而可以得到新的DstID=HIDE。將數(shù)據(jù)包中目的主機標識字段的更新為計算得到的HIDE。轉(zhuǎn)發(fā)數(shù)據(jù)包。

1.3 與現(xiàn)有技術(shù)對比

截止目前有眾多的IP地址隱私保護方案，我們的方案與這些方案的不同之處如下所述：

（1）Mailbox代理方案：Mailbox通過提供多個代理地址來為多個 IP 地址接收數(shù)據(jù)，從而隱藏接收者的真實IP地址。而我們的方案中，不需要維護多個代理地址。

（2）NAT技術(shù)：NAT對所有流經(jīng)NAT設(shè)備的出向流量進行處理，將數(shù)據(jù)包源地址字段的地址（內(nèi)網(wǎng)地址）替換成公網(wǎng)可路由的外部地址，并分配一個源端口號、替換掉數(shù)據(jù)包的源端口號。NAT需要維護逐流的狀態(tài)，即需要維護轉(zhuǎn)換前內(nèi)網(wǎng)地址、端口號以及轉(zhuǎn)換后的外網(wǎng)地址及端口號的映射關(guān)系，以便在收到返回數(shù)據(jù)包時，能夠正確轉(zhuǎn)換。而我們的技術(shù)不需要維護映射關(guān)系表，而是維護一個秘密參數(shù)，分別對數(shù)據(jù)中的數(shù)據(jù)進行混淆。

（3）ISP隱私方案[6]：與NAT技術(shù)類似，不再贅述。

（4）洋蔥路由的Tor匿名網(wǎng)絡(luò)：洋蔥網(wǎng)絡(luò)對數(shù)據(jù)包的源和目的地址進行了隱藏，洋蔥網(wǎng)絡(luò)的每一個節(jié)點只知道傳輸數(shù)據(jù)包的上一個節(jié)點和數(shù)據(jù)包將被轉(zhuǎn)發(fā)的下一個節(jié)點。僅洋蔥網(wǎng)絡(luò)的入口節(jié)點知道源主機的IP，但是不知道目的IP。僅出口節(jié)點知道數(shù)據(jù)包的目的IP，但是不知道源IP。洋蔥路由依賴于洋蔥網(wǎng)絡(luò)的節(jié)點對數(shù)據(jù)包進行層層加密和解密。而我們的方案中，我們只需要對源地址中的部分字段進行加密，而對數(shù)據(jù)不加密。

（5）IPV6地址隱私[16-17]保護的工作：工作聚焦在后64位的接口標識符隱私，沒有考慮前綴隱私。而我們的技術(shù)對接口標識符隱私和前綴隱私都進行了保護。

2 應(yīng)用案例分析

本文介紹的技術(shù)方案可以應(yīng)用到多種IP地址隱私需要保護的場景，在此章節(jié)中介紹兩個場景：一個場景是IPV6地址的隱私保護場景，另一個是面向云服務(wù)的IP隱私保護場景，并針對此兩個場景給出具體的技術(shù)方案。

2.1 IPV6地址的隱私保護

本技術(shù)方案可以應(yīng)用在IPv6地址的隱私保護方面，源主機所在運營商網(wǎng)絡(luò)的路由設(shè)備負責(zé)對IPv6地址進行轉(zhuǎn)換，從而提供隱私保護能力。其中，終端側(cè)路由器可以是第一跳路由器或者接入網(wǎng)關(guān)設(shè)備，邊界路由器可以是邊界路由器或者域內(nèi)靠近目的主機的路由器。將128bit的IPv6地址分成四個部分：外部定位符位（x bit）、內(nèi)部定位符位（y1 bit）、主機標識符位（y2 bit）、標記位（z bit）。

當運營商網(wǎng)絡(luò)的路由設(shè)備接收到終端主機發(fā)出的出向流量的數(shù)據(jù)包時，運營商網(wǎng)絡(luò)的路由設(shè)備進行如下處理（見圖3）：

圖3 終端發(fā)送IPV6數(shù)據(jù)包時各設(shè)備處理流程Fig.3 Process of each device when the terminal sends IPV6 packet

（1）主機在發(fā)送數(shù)據(jù)包時，在源IP地址中設(shè)置標記位Flag，用于指示網(wǎng)絡(luò)設(shè)備該流量的源IP地址是一個動態(tài)隱私IP。假設(shè)終端主機標識符為HIDE。主機發(fā)送的數(shù)據(jù)包的源IPv6地址字段中外部定位符可以使用padding進行填充，內(nèi)部定位符為SrcLoc=LocE，主機標識符SrcID=HIDE。目的地址為DstIP=IPS。轉(zhuǎn)發(fā)數(shù)據(jù)包。

（2）終端側(cè)路由器在收到數(shù)據(jù)包后，對數(shù)據(jù)包的源IP地址進行處理：提取出源地址字段和目的地址字段，如果源IP地址中的標記位Flag被設(shè)置，并且Flag指示為需要對源IP地址加密，則提取出源主機標識符SrcID=HIDE，進行混淆計算分為兩步：C=E(SK1, DstIP)=E(SK1, IPS)， EHID=截取C的y2位數(shù)值⊕HIDE，其中E (·,·)是一個基于密碼學(xué)的混淆算法，可以完全隱藏IPS， 其中SK1是終端側(cè)路由器的密鑰， DstIP=IPS是數(shù)據(jù)包中的目的IP地址，⊕是異或算法。將數(shù)據(jù)包中的源主機標識符SrcID值設(shè)置為EHID。轉(zhuǎn)發(fā)數(shù)據(jù)包。

（3）邊界路由器或者域內(nèi)靠近目的主機的路由器對源IP地址進行處理：如果標記位Flag被設(shè)置為隱私地址，則對源定位符SrcLoc=LocE和源主機標識符SrcID=HIDE進行處理，計算得到EIP=F(SK2,SrcLoc||EHID)，其中F(·, ·)是一個基于密碼學(xué)的混淆算法，可以完全隱藏SrcLoc||EHID。其中，SK2是邊界路由器的秘密參數(shù)。使用EIP替換數(shù)據(jù)包源IP地址的內(nèi)部定位符和主機標識符的數(shù)值，使用該路由器的定位符OutLoc作為數(shù)據(jù)包源IP地址的外部標識符。轉(zhuǎn)發(fā)數(shù)據(jù)包。

當運營商網(wǎng)絡(luò)的路由設(shè)備接收到返回給終端主機的入向流量的數(shù)據(jù)包時，運營商網(wǎng)絡(luò)的路由設(shè)備會進行處理：

（1）邊界路由器或者域內(nèi)靠近目的主機的路由器對數(shù)據(jù)包的目的IP地址進行處理：如果目的地址字段中的標記位Flag被設(shè)置為隱私地址，則提取內(nèi)部定位符和內(nèi)部主機標識符的混淆字段EIP，使用SK2對EIP進行解混淆，得到P= F-1(SK2, EIP)=SrcLoc||EHID，F(xiàn)-1為F的逆運算，將數(shù)據(jù)包目的IP地址中EIP字段替換成明文P=SrcLoc||EHID、將外部定位符字段設(shè)置成填充值，即，padding。轉(zhuǎn)發(fā)數(shù)據(jù)包。

（2）終端側(cè)路由器在收到數(shù)據(jù)包時，對目的IP地址進行處理：如果目的地址字段中的標記位Flag被設(shè)置為隱私地址，則提取出目的地址字段中的主機標識符EHID。使用SK1對EHID進行解混淆，C=E(SK1, SrcIP)=E(SK1, IPS)，HIDE=截取C的y2位數(shù)值⊕EHID。將數(shù)據(jù)包目的主機標識符字段的數(shù)據(jù)EHID變?yōu)镠IDE。轉(zhuǎn)發(fā)數(shù)據(jù)包。

在IPv6地址的隱私保護方面，該技術(shù)方案具有以下優(yōu)點：（1）提供IP地址隱私保護功能，對終端主機的IP數(shù)據(jù)包，不僅能夠提供位置隱私保護能力，還可以提供身份隱私保護能力。不同的目的主機看到的同一源主機的地址是不一樣的，不能通過合謀關(guān)聯(lián)分析出同一源主機訪問不同目的主機的流量。方案對定位符進行了隱藏，非法攻擊者（如，目的端主機、外部鏈路竊聽者等）無法根據(jù)IP地址分析出源終端主機的位置信息。除此之外，來自同一局域網(wǎng)的主機（相同明文定位符）即使擁有相同的內(nèi)部定位符，得到的內(nèi)部定位符密文是不一樣的。目的端或外部鏈路竊聽者無法通過同一局域網(wǎng)淪陷的主機位置信息及IP地址分析出兩臺主機來自同一局域網(wǎng)。（2）相比于傳統(tǒng)的IPv4 NAT翻譯技術(shù)，該技術(shù)方案無需維護逐流狀態(tài)，無需維護逐主機狀態(tài)。（3）相比于IPv6 前綴翻譯技術(shù)，該技術(shù)方案可以抵抗關(guān)聯(lián)分析，A和B屬于同一局域網(wǎng)，但是目標服務(wù)器不能根據(jù)A的位置獲得B的位置。

2.2 云服務(wù)的租戶IP隱私保護

本文提出的技術(shù)方案可以應(yīng)用在云環(huán)境中，部署了大量邊緣節(jié)點的云服務(wù)提供商可以為其用戶提供IP隱私保護能力。即在運營商不提供隱私保護能力的情況下，用戶可以選擇提供IPv6地址的隱私保護能力的云服務(wù)為其轉(zhuǎn)發(fā)數(shù)據(jù)流量、并提供數(shù)據(jù)流量的IP地址隱私保護功能。如圖4所示，云服務(wù)提供商部署了大量的邊緣節(jié)點，有些邊緣節(jié)點靠近終端用戶，稱為近源端節(jié)點，有些邊緣節(jié)點靠近網(wǎng)站服務(wù)器，稱為近目的端節(jié)點。終端用戶設(shè)備（IPUE）在發(fā)送數(shù)據(jù)到目標網(wǎng)站（IPS1）時，可以選擇云服務(wù)提供商的邊緣節(jié)點為其提供服務(wù)，主要包括以下步驟：

圖4 云服務(wù)的租戶IP隱私保護原理圖Fig.4 IP privacy protection scheme for cloud service

（1）終端用戶設(shè)備使用離其最近的節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)包（近源端節(jié)點IP地址為IPHW0），與該節(jié)點建立安全通道（如IPsec通道），將其所有外發(fā)的數(shù)據(jù)包通過該IPsec通道發(fā)送給近源端節(jié)點。其中，IP包內(nèi)層IP頭部的源地址字段包含隱私標識位Flag以及終端標識符HIDUE、目的地址字段為目標網(wǎng)站IP地址IPs1，IP包外層IP頭部的源地址為終端用戶設(shè)備的地址IPUE、目標地址為IPHW0。

（2）近源端節(jié)點在收到數(shù)據(jù)包時，先解封裝IPsec數(shù)據(jù)包，獲得內(nèi)層IP頭部的目的地址IPs1，根據(jù)目的地址IPs1選擇離該目標網(wǎng)站最近的云服務(wù)提供商節(jié)點，即近目的端節(jié)點（IP地址為IPHW1），對內(nèi)層的數(shù)據(jù)包進行IPsec封裝，得到新的數(shù)據(jù)包：外層IP頭部的源IP地址為IPHW0、目的地址為IPHW1，IP包內(nèi)層IP頭部不變，其源地址字段為終端標識符HIDUE、目的地址字段為目標網(wǎng)站IP地址IPs1。封裝完成后轉(zhuǎn)發(fā)數(shù)據(jù)包。

（3）近目的端節(jié)點在收到數(shù)據(jù)包時，先解封裝IPsec數(shù)據(jù)包，得到內(nèi)層IP數(shù)據(jù)包，并對內(nèi)層IP包的源IP地址進行加密保護：①將對HIDUE進行混淆計算，計算分為兩步：C=E(SK1, IPs1)， EHID=截取C的y位數(shù)據(jù)⊕HIDUE，其中E(·, ·)是一個基于密碼學(xué)的混淆算法，可以完全隱藏IPs1，⊕是異或算法，sk1是近目的端節(jié)點的秘密參數(shù)。最終得到混淆后的源主機標識符EHID。②查詢定位符索引映射表，獲得IPHW0對應(yīng)的索引index0。對EHID||index0進行混淆運算，計算得到EIP=F(SK2, EHID||index0)，其中F(·, ·)是一個基于密碼學(xué)的混淆算法，可以完全隱藏EHID||index0。其中，||是連接符，SK2是近目的端節(jié)點的秘密參數(shù)。使用EIP替換數(shù)據(jù)包的源IP地址的后y1+y2位。并使用可以定位到近目的端節(jié)點的定位符替換掉源IP的前綴，即前x位。轉(zhuǎn)發(fā)數(shù)據(jù)包。內(nèi)層源IP地址的轉(zhuǎn)換前后如圖4所示。

當目標網(wǎng)站受到數(shù)據(jù)包后，會發(fā)送返回包給近目的端節(jié)點，近目的端節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)包給近源端節(jié)點，近源端節(jié)點最后會將數(shù)據(jù)包正確轉(zhuǎn)發(fā)給終端用戶設(shè)備。近目的端節(jié)點的處理流程主要有以下四個步驟：（1）近目的端節(jié)點提取出數(shù)據(jù)包中的目的IP地址字段，使用SK2解混淆目的IP地址的后y1+y2位（即EIP），F(xiàn)-1(SK2, EIP)= EHID||index0。接下來利用SK1以及源地址SrcIP= IPs1進行運算C=E(SK1,IPs1)以及HIDUE=截取C的y位數(shù)據(jù)⊕EHID。從而可以得到HIDUE。（2）根據(jù)Index0，查詢定位符索引映射表，獲得索引index0對應(yīng)的近源端節(jié)點的地址IPHW0。（3）將HIDUE||padding替換掉目的IP地址的后y1+y2位，將前x位替換成約定的填充位。設(shè)置Flag為隱私地址標識位。（4）采用IPsec封裝目的地址轉(zhuǎn)換后的數(shù)據(jù)包，發(fā)送給近源端節(jié)點。

在云服務(wù)的IP隱私保護方面，該技術(shù)方案具有以下優(yōu)點：（1）可部署性強。該技術(shù)結(jié)合現(xiàn)有的IPSec技術(shù)，將IP地址隱私保護作為一種安全服務(wù)，由云服務(wù)提供商對終端主機的流量中的源IP地址進行加密隱藏。（2）提供了終端主機的位置隱私。目的主機看到的流量都是來自最靠近目的主機的云服務(wù)提供商的邊緣節(jié)點，而無法得到終端主機的位置，具備非常好的位置隱私保護能力。（3）該技術(shù)保護終端主機的身份隱私，能夠防止關(guān)聯(lián)分析。每個目的端看到的同一終端主機標識符都是不一樣的，無法將同一主機的不同網(wǎng)絡(luò)行為進行關(guān)聯(lián)。

3 結(jié)束語

在本文中，針對暴露在數(shù)據(jù)包頭部中的源IP地址存在身份隱私泄露和位置隱私泄露的問題，提出了一種保護源IP地址隱私的方法。該方法可以防止不可信網(wǎng)絡(luò)設(shè)備或者竊聽者分析出終端主機隱私，包括終端主機IP地址包含的用戶身份隱私以及位置隱私?；谏矸荩↖D）與位置（locator）分離技術(shù)，設(shè)計了標識符加密混淆技術(shù)。該技術(shù)在同時兼顧隱私保護、路由高效尋址、審計追蹤等需求的情況下，不但消除當前IP地址耦合身份和位置雙重語義的障礙，而且還對身份標識符和位置標識符分別進行加密保護。除此之外，將技術(shù)可以應(yīng)用到兩種源IP地址隱私需要保護的場景中，一個場景是IPV6地址的隱私保護場景，另一個是面向云服務(wù)的租戶IP隱私保護場景，并針對此兩個場景給出具體的詳細的介紹。

利益沖突聲明

所有作者聲明不存在利益沖突關(guān)系。