(中國信息通信研究院安全研究所，北京100191)

0 引言

匿名通信技術(shù)是指利用加密傳輸、點(diǎn)對點(diǎn)網(wǎng)絡(luò)、多點(diǎn)中繼混淆等技術(shù)，為用戶提供匿名的互聯(lián)網(wǎng)信息訪問的一類技術(shù)手段[1]。普通用戶無法通過常規(guī)手段訪問匿名通信網(wǎng)絡(luò)或系統(tǒng)，需要使用特定的軟件、配置或者授權(quán)等才能登錄。匿名通信技術(shù)具有隱蔽性、匿名性和加密性等特點(diǎn)[1]，其目的就是隱蔽通信雙方的身份或通信關(guān)系，由于其隱匿性強(qiáng)、動態(tài)變化、不可追溯性等特點(diǎn)，匿名通信技術(shù)已成為網(wǎng)絡(luò)攻擊、個人信息販賣和網(wǎng)絡(luò)詐騙的主要底層依賴技術(shù)，給網(wǎng)絡(luò)安全監(jiān)管帶來極大挑戰(zhàn)。在此背景下，加強(qiáng)匿名通信技術(shù)監(jiān)管治理已成為全球化命題。

1 匿名通信技術(shù)的發(fā)展歷程

1.1 匿名通信技術(shù)的發(fā)展歷程與核心技術(shù)

1995年，美國海軍研究辦公室(United States Naval Research Laboratory，NRL)和國防部高級研究項(xiàng)目署(Defense Advanced Research Projects Agency，DARPA)共同啟動了一項(xiàng)“洋蔥路由”(The Onion Router，TOR)技術(shù)的研發(fā)，旨在利用P2P網(wǎng)絡(luò)隨機(jī)轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量，以掩蓋源地址等通信信息，保障通信的匿名性，目的是讓情報(bào)人員的網(wǎng)上活動不被敵對國進(jìn)行監(jiān)測。該技術(shù)采用面向連接的傳輸技術(shù)，在請求站點(diǎn)的代理服務(wù)器與目標(biāo)主機(jī)之間進(jìn)行匿名連接，數(shù)據(jù)流經(jīng)過若干中間代理(TOR)后抵達(dá)目的站點(diǎn)，形成一條隱藏路徑[2]。通信雙方用洋蔥包代替通常的TCP/IP數(shù)據(jù)包，每個洋蔥路由器利用公鑰對IP包從后向前進(jìn)行加密，并對接收到的數(shù)據(jù)包進(jìn)行最外層解密以得到下一跳地址。每個洋蔥路由器僅知道其前后相鄰的兩個節(jié)點(diǎn)地址，從而實(shí)現(xiàn)源地址與目的地址的隔斷。2004年，第二代洋蔥路由對公眾發(fā)布，該技術(shù)消除了初代洋蔥路由技術(shù)存在的系統(tǒng)設(shè)計(jì)機(jī)制問題，實(shí)現(xiàn)了低延遲匿名，并增加了前向安全、擁塞控制、可變的出口策略、端到端的完整性校驗(yàn)等功能。TOR網(wǎng)絡(luò)由志愿者貢獻(xiàn)的PC/服務(wù)器組成，客戶端隨機(jī)在各網(wǎng)絡(luò)節(jié)點(diǎn)中選取入口、中間節(jié)點(diǎn)、出口等3個節(jié)點(diǎn)，形成一個私有網(wǎng)絡(luò)路徑以傳輸加密的流量。

1.2 國內(nèi)外匿名通信技術(shù)非法活動規(guī)模與案例

隨著匿名通信技術(shù)的發(fā)展，其隱蔽性、匿名性和加密性特點(diǎn)為不法分子和網(wǎng)絡(luò)犯罪提供了溫床，以黑市為代表的各類違法交易平臺迅速利用匿名通信技術(shù)形成了完整的黑色產(chǎn)業(yè)鏈[3]。2010年，以比特幣為代表的虛擬數(shù)字貨幣興起，數(shù)字貨幣天然的匿名特性補(bǔ)齊了匿名通信技術(shù)交易的短板。2011年，一個綜合性匿名通信交易平臺“絲綢之路”被建立，這標(biāo)志著匿名通信技術(shù)在黑市開始應(yīng)用平臺化，隨后大批的黑市交易平臺開始涌現(xiàn)。幾乎所有違法的東西都可以在匿名通信網(wǎng)絡(luò)中購買，如槍支、毒品、個人信息、甚至人體器官等[3]。基于匿名通信技術(shù)的黑市交易量也在不斷刷新，2011年1月至2013年9月期間，絲綢之路的銷售額估計(jì)約為12 億美元。“阿爾法灣”匿名通信網(wǎng)絡(luò)平臺成立3年累計(jì)非法銷售額約10 億美元。僅在2017年上半年，“阿爾法灣”就銷售超過了500 萬個被盜的信用卡號碼，平均日交易額大約為80萬美元。

我國內(nèi)地未發(fā)現(xiàn)有匿名通信網(wǎng)絡(luò)節(jié)點(diǎn)，僅在中國香港地區(qū)存在少量匿名通信網(wǎng)絡(luò)節(jié)點(diǎn)，總數(shù)不超過40個，這與我國針對匿名通信技術(shù)采用協(xié)議封禁導(dǎo)致在境內(nèi)無法接入匿名通信網(wǎng)絡(luò)有關(guān)。盡管當(dāng)前匿名通信網(wǎng)絡(luò)節(jié)點(diǎn)較少，但由于匿名通信技術(shù)不斷發(fā)展，匿名集和匿名程度節(jié)節(jié)攀升，我國仍需加緊對匿名通信技術(shù)的監(jiān)管控制。

在2020年4月公安部公布的2019年以來偵破的10起侵犯公民個人信息違法犯罪典型案件中, 有4起為涉及到匿名通信技術(shù)的非法活動，其內(nèi)容分別為“匿名通信網(wǎng)絡(luò)”售賣銀行開戶、手機(jī)注冊信息；“匿名通信網(wǎng)絡(luò)”售賣社保數(shù)據(jù)；“匿名通信網(wǎng)絡(luò)”黑客售賣客戶信息和“匿名通信網(wǎng)絡(luò)”售賣銀行用戶信息。

2 國外對匿名通信技術(shù)監(jiān)管的主要做法和成效

當(dāng)前匿名通信網(wǎng)絡(luò)節(jié)點(diǎn)和用戶絕大部分分布在國外，其中美國和俄羅斯就分別占全球匿名通信網(wǎng)絡(luò)用戶數(shù)的21%和15%。隨著匿名通信技術(shù)犯罪日趨嚴(yán)重，俄、美政府近年來出臺了一系列嚴(yán)格的管控措施，強(qiáng)化對本國匿名通信技術(shù)平臺和用戶的監(jiān)管。

2.1 強(qiáng)化行政執(zhí)法

通過強(qiáng)化行政執(zhí)法可以從源頭上禁止匿名通信技術(shù)使用。俄羅斯政府通過立法，強(qiáng)制要求日均訪問量超過3 000 人次的網(wǎng)站向政府備案，并禁止使用隱匿通信、匿名交易等匿名通信技術(shù)，從源頭禁止匿名通信技術(shù)平臺的使用。針對已存在的匿名通信技術(shù)平臺，俄羅斯政府采取行政執(zhí)法的方式進(jìn)行強(qiáng)制關(guān)停，并明確禁止國內(nèi)用戶訪問匿名通信技術(shù)平臺。

2.2 加大技術(shù)研究

通過加大技術(shù)研究力度實(shí)現(xiàn)針對匿名通信技術(shù)的管控。俄羅斯政府通過啟動科研專項(xiàng)、政府公開招標(biāo)等方式，向社會公開征集破解洋蔥路由、匿名通信技術(shù)去匿名化等技術(shù)方案。同步借助區(qū)塊鏈、生物特征識別等新一代信息技術(shù)，識別匿名通信技術(shù)用戶身份或特征，協(xié)助開展匿名通信技術(shù)監(jiān)管治理。美國國防部高級研究計(jì)劃局以威脅情報(bào)挖掘?yàn)閷?dǎo)向，開發(fā)了匿名通信技術(shù)空間搜索引擎Memex[4]，對匿名通信技術(shù)空間進(jìn)行主動嗅探，實(shí)現(xiàn)對匿名通信技術(shù)交易數(shù)據(jù)、網(wǎng)絡(luò)結(jié)構(gòu)和數(shù)據(jù)資源的掌握。

2.3 加強(qiáng)政企協(xié)同

通過政企協(xié)同、合力監(jiān)管治理匿名通信技術(shù)空間。俄羅斯政府自2021年起要求國內(nèi)運(yùn)營商配合網(wǎng)絡(luò)安全監(jiān)管部門，通過禁用IP、流量過濾、關(guān)停網(wǎng)站等方式，阻斷匿名通信技術(shù)平臺的訪問。美國政府自2007年起推進(jìn)政府監(jiān)聽合法化，擴(kuò)大竊聽范圍，要求互聯(lián)網(wǎng)業(yè)務(wù)運(yùn)營企業(yè)放開通話、短信和電子郵件等加密通信的訪問權(quán)限，提升監(jiān)管部門對匿名通信技術(shù)活動的監(jiān)測追蹤能力。

3 我國匿名通信技術(shù)監(jiān)管現(xiàn)狀

我國已發(fā)現(xiàn)的匿名通信技術(shù)平臺和用戶數(shù)量遠(yuǎn)低于國外，但在網(wǎng)絡(luò)安全全球化的趨勢下，近幾年國內(nèi)利用匿名通信技術(shù)開展網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)攻擊、非法外聯(lián)境外通信等非法活動的數(shù)量明顯增多，引起國家監(jiān)管部門的高度重視，并已采取相關(guān)應(yīng)對舉措。

3.1 出臺法律法規(guī)

已出臺的法律法規(guī)明確了匿名通信技術(shù)在我國的違法性質(zhì)?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第二十四條規(guī)定，所有用戶都需實(shí)名上網(wǎng)，用戶不提供真實(shí)身份信息的，網(wǎng)絡(luò)運(yùn)營者不得為其提供相關(guān)服務(wù)，這從法律層面明確了匿名通信技術(shù)在我國的違法性。2017年1月，工業(yè)和信息化部出臺了《關(guān)于清理規(guī)范互聯(lián)網(wǎng)網(wǎng)絡(luò)接入服務(wù)市場的通知》，規(guī)范的對象主要是未經(jīng)電信主管部門批準(zhǔn)、無國際通信業(yè)務(wù)經(jīng)營資質(zhì)的企業(yè)和個人，不得租用國際專線或者VPN違規(guī)開展跨境電信業(yè)務(wù)經(jīng)營活動，這對監(jiān)管匿名網(wǎng)絡(luò)、開展匿名通信技術(shù)監(jiān)管具有重要意義。

3.2 行業(yè)開展技術(shù)研究工作

國內(nèi)已有多家專業(yè)機(jī)構(gòu)、安全企業(yè)和高校，在匿名通信技術(shù)空間搜索、隱匿通信檢測、匿名通信技術(shù)威脅情報(bào)等方面開展了大量技術(shù)研究工作，重點(diǎn)加強(qiáng)暗網(wǎng)中匿名違法信息的攔截與破獲研究，在保護(hù)個人匿名信息合法性的同時，力爭做到點(diǎn)對點(diǎn)精準(zhǔn)發(fā)現(xiàn)信息，形成了一批匿名通信技術(shù)監(jiān)管相關(guān)的解決方案、科研論文、原型系統(tǒng)和數(shù)據(jù)模型等，為我國匿名通信技術(shù)監(jiān)管提供了可期的技術(shù)途徑[5]。

4 下一步建議

借鑒國外對匿名通信技術(shù)監(jiān)管和治理的經(jīng)驗(yàn)，結(jié)合我國匿名通信技術(shù)監(jiān)管現(xiàn)狀，建議下一步應(yīng)重點(diǎn)加強(qiáng)匿名通信技術(shù)監(jiān)管技術(shù)手段建設(shè)，提升匿名通信技術(shù)監(jiān)管治理支撐能力。

4.1 建設(shè)基于流量分析的匿名通信技術(shù)監(jiān)測手段

與明文流量的識別技術(shù)不同，對于加密流量來說無法提取加密流量內(nèi)部有效荷載的特征，因此給流量識別帶來了更大的難度。為了識別加密流量，必須對使用了同一種加密協(xié)議的不同應(yīng)用的流量進(jìn)行區(qū)分。例如，TOR使用了TLS加密技術(shù)對其流量進(jìn)行加密，因此要對TOR流量進(jìn)行識別，就要對TOR和非TOR的TLS流量進(jìn)行分類。為了提高識別率，針對不同的加密應(yīng)用應(yīng)設(shè)計(jì)不同的識別算法。由于針對TOR匿名通信流量識別采用了TLS加密以及規(guī)避審查技術(shù)，因此采用基于端口號或者深層包檢測等技術(shù)不能對其流量進(jìn)行有效的檢測。

針對匿名通信技術(shù)的監(jiān)測手段以基于行為特征的流量識別方法最為適用，主要是依據(jù)傳輸層的主機(jī)行為模式對網(wǎng)絡(luò)中不同應(yīng)用的流量進(jìn)行分類的方法。通過觀察流量在傳輸層中如何連接、如何進(jìn)行數(shù)據(jù)交互來判斷其屬于哪種應(yīng)用，基于統(tǒng)計(jì)特征的流量識別方法，通過建立數(shù)據(jù)流特征的模型，并分析數(shù)據(jù)流的統(tǒng)計(jì)特征，比如流中數(shù)據(jù)包的平均大小，數(shù)據(jù)包到達(dá)時間以及數(shù)據(jù)包的時間間隔等，之后依據(jù)這些特征對不同的協(xié)議進(jìn)行區(qū)分。對于數(shù)據(jù)流統(tǒng)計(jì)特征的建模、分析，和對數(shù)據(jù)流的分類，可以采用機(jī)器學(xué)習(xí)的方法，利用數(shù)據(jù)流的統(tǒng)計(jì)特征建立機(jī)器學(xué)習(xí)分類模型，然后選擇恰當(dāng)?shù)臋C(jī)器學(xué)習(xí)算法來對流量進(jìn)行分類。

4.2 建設(shè)匿名通信技術(shù)空間探測和關(guān)聯(lián)分析手段

依托主流網(wǎng)絡(luò)空間資產(chǎn)探測手段，研究針對TOR路由、Onion域名等匿名通信技術(shù)資產(chǎn)和服務(wù)的主動探測能力。并在關(guān)鍵節(jié)點(diǎn)與路徑分析方面，結(jié)合第三方威脅情報(bào)構(gòu)建網(wǎng)絡(luò)測繪威脅情報(bào)數(shù)據(jù)庫，基于多維特征提取與匹配，結(jié)合網(wǎng)絡(luò)可信拓?fù)涮綔y認(rèn)證，挖掘分析匿名通信技術(shù)空間與公共互聯(lián)網(wǎng)的關(guān)聯(lián)關(guān)系，找出為匿名通信技術(shù)提供資源或服務(wù)的公共互聯(lián)網(wǎng)資源，如路由器、服務(wù)器、終端、端口等，實(shí)現(xiàn)對匿名通信技術(shù)空間探測和關(guān)聯(lián)分析，并通過對相關(guān)網(wǎng)絡(luò)資源的探測分析，實(shí)現(xiàn)對匿名通信技術(shù)網(wǎng)絡(luò)空間的持續(xù)監(jiān)測能力。

獲取匿名通信技術(shù)空間網(wǎng)絡(luò)目標(biāo)的地理和社會屬性是十分重要的。在海量的互聯(lián)網(wǎng)數(shù)據(jù)網(wǎng)絡(luò)空間匯中存在著大量與匿名通信網(wǎng)絡(luò)目標(biāo)相關(guān)的地理和社會身份信息。雖然這些數(shù)據(jù)有的可通過網(wǎng)絡(luò)測量得到，有的甚至可開源獲取，如WHOIS數(shù)據(jù)、DNS數(shù)據(jù)、網(wǎng)頁、發(fā)帖內(nèi)容、社交關(guān)系等，但是匿名通信技術(shù)空間中絕大多數(shù)數(shù)據(jù)是難以探測和關(guān)聯(lián)分析的，根據(jù)這些數(shù)據(jù)推斷出匿名通信網(wǎng)絡(luò)空間實(shí)體資源在地理和社會身份信息，對其進(jìn)行探測和關(guān)聯(lián)分析是十分有必要的。但是對這些數(shù)據(jù)實(shí)施高強(qiáng)度的干擾不僅很容易被測繪者發(fā)現(xiàn)，甚至可能影響網(wǎng)絡(luò)的正常運(yùn)行。因此，如何以低代價(jià)對匿名通信技術(shù)空間中的這些數(shù)據(jù)進(jìn)行干擾，以有效進(jìn)行探測和關(guān)聯(lián)分析亟待研究。

4.3 推進(jìn)匿名通信技術(shù)試驗(yàn)驗(yàn)證與全要素仿真

結(jié)合數(shù)字孿生、大數(shù)據(jù)和人工智能等技術(shù)，構(gòu)建基于洋蔥路由、隱匿通信技術(shù)的匿名通信技術(shù)仿真試驗(yàn)環(huán)境，模擬匿名通信技術(shù)平臺運(yùn)行、用戶訪問、虛擬貨幣交易等典型匿名通信技術(shù)業(yè)務(wù)場景，實(shí)現(xiàn)匿名通信技術(shù)空間的全要素仿真能力，為匿名通信技術(shù)安全人才培養(yǎng)、隱匿流量監(jiān)測技術(shù)攻關(guān)、匿名通信技術(shù)監(jiān)管技術(shù)手段驗(yàn)證等提供基礎(chǔ)試驗(yàn)驗(yàn)證環(huán)境。

5 結(jié)束語

在網(wǎng)絡(luò)安全全球化的背景下，利用匿名通信技術(shù)實(shí)行的非法活動明顯增多。本文對匿名通信技術(shù)的發(fā)展歷史和關(guān)鍵技術(shù)進(jìn)行了闡述。概括了國外對匿名通信技術(shù)采用的監(jiān)管措施，并結(jié)合出臺的法律法規(guī)和其他監(jiān)管手段對國內(nèi)匿名通信技術(shù)的監(jiān)管現(xiàn)狀進(jìn)行說明。最后，對國內(nèi)未來的匿名通信技術(shù)監(jiān)管提出對策建議，包括建設(shè)基于流量分析的匿名通信技術(shù)監(jiān)測手段、建設(shè)匿名通信技術(shù)空間探測和關(guān)聯(lián)分析手段、推進(jìn)匿名通信技術(shù)試驗(yàn)驗(yàn)證與全要素仿真三個方面。