鄭獻(xiàn)春，李 暉，王 瑞，閆皓楠，戴 睿，蕭明熾

(西安電子科技大學(xué) 網(wǎng)絡(luò)與信息安全學(xué)院，陜西 西安 710071)

匿名技術(shù)可以隱蔽真實(shí)身份。隨著人們對(duì)于保護(hù)個(gè)人隱私和隱藏現(xiàn)實(shí)身份需求的提高，匿名技術(shù)在人類的生產(chǎn)生活中扮演著越來越重要的角色。對(duì)于隱匿身份的訴求積極地促進(jìn)著匿名技術(shù)的進(jìn)步。運(yùn)用了匿名技術(shù)的廠商可以進(jìn)行服務(wù)的匿名化部署，利用了匿名技術(shù)的社交平臺(tái)使得用戶的交際范圍從熟人擴(kuò)大到陌生人。但網(wǎng)際互聯(lián)能力的提高也導(dǎo)致了大量網(wǎng)絡(luò)詐騙、信息泄露、滲透攻擊等危險(xiǎn)的出現(xiàn)。犯罪分子在提高自身侵害性的同時(shí)，為了逃避審查、追捕，經(jīng)常依靠網(wǎng)絡(luò)匿名技術(shù)來增強(qiáng)身份的隱匿性。依托于匿名技術(shù)的惡意行為將給網(wǎng)絡(luò)安全造成極大的威脅。匿名網(wǎng)絡(luò)的發(fā)展致使網(wǎng)絡(luò)的深度遠(yuǎn)遠(yuǎn)超出普通用戶的想象，我們所使用的互聯(lián)網(wǎng)僅僅是冰山一角，廣闊的網(wǎng)絡(luò)空間中暗藏著更多的匿名與危險(xiǎn)[1]。

匿名網(wǎng)絡(luò)的研究具有重要的理論和應(yīng)用價(jià)值。伴隨著網(wǎng)絡(luò)用戶規(guī)模的擴(kuò)大，網(wǎng)絡(luò)社交方式的創(chuàng)新，隱私保護(hù)需求的提高，匿名網(wǎng)絡(luò)的研究和發(fā)展受到了越來越多的關(guān)注。匿名網(wǎng)絡(luò)為數(shù)據(jù)傳輸?shù)睦碚撛O(shè)計(jì)提供了新思路，匿名通信系統(tǒng)的實(shí)際應(yīng)用也被更多網(wǎng)民了解和使用，針對(duì)匿名網(wǎng)絡(luò)的研究進(jìn)入了新的歷史發(fā)展時(shí)期。

匿名網(wǎng)絡(luò)能夠同時(shí)保障訪問者和服務(wù)提供者的匿名性。用戶在匿名網(wǎng)絡(luò)中傳輸?shù)募用軘?shù)據(jù)無法被破解，用戶的網(wǎng)絡(luò)畫像不會(huì)被鎖定為真實(shí)存在的身份，即匿名網(wǎng)絡(luò)保護(hù)了用戶通信的私密性與身份的不可溯源性；服務(wù)提供商在匿名網(wǎng)絡(luò)中可以隱藏服務(wù)器的真實(shí)地址，所部署的對(duì)外服務(wù)無法被追蹤反查，即匿名網(wǎng)絡(luò)保證了服務(wù)商的匿名。借助匿名性的特點(diǎn)，匿名網(wǎng)絡(luò)可被用于合法的網(wǎng)絡(luò)社交、網(wǎng)頁(yè)瀏覽、郵件往來、虛擬貨幣交易等活動(dòng)，使用戶享受著匿名化帶來的數(shù)據(jù)加密、信息收發(fā)雙方無法被鎖定和關(guān)聯(lián)等保護(hù)隱私的體驗(yàn)。

但匿名性也是一把雙刃劍，許多不法分子借助著隱蔽行蹤的特點(diǎn)將非法活動(dòng)轉(zhuǎn)移到匿名網(wǎng)絡(luò)中，且違法行為多集中在經(jīng)濟(jì)犯罪和軍事情報(bào)等領(lǐng)域，如在基于Tor等[2]技術(shù)的暗網(wǎng)網(wǎng)絡(luò)中充斥著相當(dāng)數(shù)量的槍支買賣、金融欺詐、毒品交易、數(shù)據(jù)泄露、公民個(gè)人信息倒賣等違法行為[3]。由于作案成本低、打擊難度大、危害范圍廣，匿名網(wǎng)絡(luò)犯罪極大地威脅著國(guó)家和社會(huì)的安全，也給人民群眾的財(cái)產(chǎn)帶來了損失。為此，只有不斷深化技術(shù)創(chuàng)新，才能提高對(duì)于匿名網(wǎng)絡(luò)的認(rèn)識(shí)程度和控制力度[4]。

在匿名網(wǎng)絡(luò)、匿名通信、匿名理論與應(yīng)用等領(lǐng)域，研究人員提出了一些綜合性總結(jié)，文獻(xiàn)[5]對(duì)匿名網(wǎng)絡(luò)的各種攻擊方式、原理和優(yōu)勢(shì)進(jìn)行了歸納，文獻(xiàn)[6]對(duì)匿名通信和匿名通信系統(tǒng)進(jìn)行了總結(jié)，文獻(xiàn)[7]圍繞匿名通信和暗網(wǎng)的關(guān)系、工作原理和關(guān)鍵技術(shù)、通信攻擊和防御技術(shù)進(jìn)行了綜述。文中內(nèi)容在包含匿名網(wǎng)絡(luò)基本概念、典型匿名網(wǎng)絡(luò)Tor發(fā)展歷史和原理、匿名網(wǎng)絡(luò)應(yīng)用、監(jiān)管的研究以外，特別關(guān)注了目前針對(duì)匿名網(wǎng)絡(luò)仿真平臺(tái)的研究現(xiàn)狀和成果，對(duì)匿名網(wǎng)絡(luò)的相關(guān)安全性研究和5種匿名網(wǎng)絡(luò)仿真平臺(tái)進(jìn)行了歸納概述。

1 匿名網(wǎng)絡(luò)

1.1 匿名網(wǎng)絡(luò)的基本概念

網(wǎng)絡(luò)的匿名可通過數(shù)據(jù)加密、通信中轉(zhuǎn)、流量混淆等技術(shù)手段實(shí)現(xiàn)，以達(dá)到隱藏傳輸內(nèi)容、隱匿真實(shí)身份等效果。為保護(hù)匿名性，通常采用更復(fù)雜的加密算法，增加中轉(zhuǎn)節(jié)點(diǎn)跳數(shù)，提升流量混淆度，使用第三方匿名服務(wù)等方式提高匿名性。在以上提及的方法中，多跳中轉(zhuǎn)是相對(duì)核心的方案。通用做法是在原來直接通信的路徑中增加中轉(zhuǎn)節(jié)點(diǎn)，這些中轉(zhuǎn)節(jié)點(diǎn)及其承載的網(wǎng)絡(luò)流量共同組成了匿名網(wǎng)絡(luò)。

1.2 匿名網(wǎng)絡(luò)與暗網(wǎng)的關(guān)系

網(wǎng)絡(luò)根據(jù)不同層次可分為明網(wǎng)、深網(wǎng)和暗網(wǎng)[8]。網(wǎng)絡(luò)中能夠被搜索引擎檢索到的內(nèi)容稱為明網(wǎng)，其他無法被索引到的或無法通過超鏈接直接訪問的內(nèi)容統(tǒng)稱為深網(wǎng)。深網(wǎng)并沒有被完全隱藏起來，只是很難通過普通搜索引擎查詢到其中的內(nèi)容。例如網(wǎng)絡(luò)社交信息即可被歸類到深網(wǎng)當(dāng)中，因?yàn)橛脩魺o法在搜索引擎中直接檢索到相關(guān)信息，但可通過登陸社交平臺(tái)的方式查看對(duì)應(yīng)內(nèi)容。深網(wǎng)中存在著一部分特殊的匿名網(wǎng)絡(luò)，這些匿名網(wǎng)絡(luò)常與“信息泄露”“勒索”“黑市”等字眼相伴，因而被稱為暗網(wǎng)。

暗網(wǎng)屬于匿名網(wǎng)絡(luò)的范疇，廣義的暗網(wǎng)指的是采用非明網(wǎng)常用的通信協(xié)議和端口，且僅能夠通過特殊軟件、特殊配置或授權(quán)才能訪問的秘密網(wǎng)絡(luò)。狹義的暗網(wǎng)則是特指運(yùn)行在“洋蔥路由”(The onion router，Tor)等匿名網(wǎng)絡(luò)項(xiàng)目之上的網(wǎng)絡(luò)整體。這些被人為隱蔽起來的匿名網(wǎng)絡(luò)只是深網(wǎng)中很小的一個(gè)子集[9]，且進(jìn)入匿名網(wǎng)絡(luò)需要特殊的設(shè)置，因此對(duì)于不具備專業(yè)互聯(lián)網(wǎng)知識(shí)的用戶而言，它們被先天地隔絕在暗網(wǎng)體系之外[10]。

1.3 典型匿名網(wǎng)絡(luò)——Tor

Tor是第二代基于洋蔥路由算法的匿名通信系統(tǒng)，目前組成網(wǎng)絡(luò)的中繼節(jié)點(diǎn)以志愿的方式廣泛地部署在全球各地，提供著匿名通信服務(wù)。網(wǎng)絡(luò)的每個(gè)節(jié)點(diǎn)都對(duì)其盲目傳遞的信息進(jìn)行加密，既不登記流量的來源，也不刻意記錄其流向，從而不允許任何跟蹤。Tor網(wǎng)絡(luò)不僅允許匿名瀏覽(顯示的IP地址僅是最后一個(gè)節(jié)點(diǎn)的地址)，而且能夠規(guī)避審查。

1.3.1 Tor的發(fā)展歷史

Tor是目前規(guī)模最大的匿名通信網(wǎng)絡(luò)[11]，其前身是美國(guó)海軍實(shí)驗(yàn)室在1995年開始實(shí)施的匿名網(wǎng)絡(luò)計(jì)劃，2004年從美國(guó)軍方流入民間，后被非營(yíng)利組織Tor項(xiàng)目組運(yùn)營(yíng)。對(duì)于暗網(wǎng)整體信息的最新研究表明，截止到2019年5月，暗網(wǎng)公開節(jié)點(diǎn)總數(shù)是8 557個(gè)，網(wǎng)橋數(shù)量1 639個(gè)，運(yùn)行中的節(jié)點(diǎn)數(shù)量有7 523個(gè)，運(yùn)行中的網(wǎng)橋數(shù)量是991個(gè)；Tor節(jié)點(diǎn)的整體分布主要集中在互聯(lián)網(wǎng)發(fā)達(dá)的西方國(guó)家，絕對(duì)數(shù)量上美國(guó)和德國(guó)居前列，但是考慮到地域大小等因素，可以說Tor節(jié)點(diǎn)在歐洲地區(qū)尤其集中。值得注意的是，在2015年，Tor估計(jì)大約有30 000個(gè)隱藏的服務(wù)“宣布”自己每天會(huì)到達(dá)Tor網(wǎng)絡(luò)。從2016年3月至2017年3月的數(shù)據(jù)顯示，每天通常有5萬到6萬個(gè)隱藏服務(wù)或獨(dú)特的隱藏服務(wù)地址存在[12]，而根據(jù)Tor官方的統(tǒng)計(jì)，暗網(wǎng)隱藏服務(wù)的數(shù)量在2018年基本維持在10萬左右?？梢灶A(yù)見的是，隨著Tor網(wǎng)絡(luò)的不斷更新?lián)Q代，以及大眾對(duì)Tor網(wǎng)絡(luò)的了解越來越多，未來將會(huì)有更多的人接觸并使用Tor網(wǎng)絡(luò)。

1.3.2 Tor原理

在沒有代理、VPN或其他隱私服務(wù)的前提下直接訪問互聯(lián)網(wǎng)，即使對(duì)傳輸數(shù)據(jù)進(jìn)行加密，互聯(lián)網(wǎng)服務(wù)提供商(Internet Service Provider，ISP)也能夠知曉通信者的位置信息，這對(duì)于不想被窺探網(wǎng)絡(luò)消息和身份的用戶來說無疑是危險(xiǎn)的。Tor建立的目的之一正是防止用戶信息被偷窺和鎖定。雖然Tor網(wǎng)絡(luò)不能完全繞過ISP的監(jiān)控，但它利用了混淆流量的獨(dú)特方法，使用其志愿節(jié)點(diǎn)請(qǐng)求網(wǎng)頁(yè)或其他數(shù)據(jù)，這種方案使得通信鏈路中的絕大部分節(jié)點(diǎn)既不能僅憑自身的密鑰獲得原始數(shù)據(jù)，也不知道通信的起點(diǎn)和終點(diǎn)。

通常來講，用戶使用Tor網(wǎng)絡(luò)有兩種原因：一種是通過出口節(jié)點(diǎn)訪問外部互聯(lián)網(wǎng)，另一種是通過完整的鏈接訪問隱藏服務(wù)(Hidden Service)。鏈路建立情況如圖1所示，其中，①為客戶端通過Tor網(wǎng)絡(luò)訪問Internet服務(wù)端的鏈路建立情況，②、③、④為客戶端通過Tor網(wǎng)絡(luò)訪問Tor服務(wù)端的鏈路建立情況。以下將簡(jiǎn)單分析這兩種情況的連接建立模式。

圖1 Tor網(wǎng)絡(luò)的鏈路建立示意圖

模式1通過Tor訪問Internet。

(1) 啟動(dòng)Tor客戶端，客戶端與云端的目錄服務(wù)器進(jìn)行通信，并從目錄服務(wù)器中獲得一份覆蓋所有中繼節(jié)點(diǎn)的匯總信息。信息中包含這些中繼節(jié)點(diǎn)本身的IP地址、所運(yùn)行的出口策略、所能承載的帶寬流量和已不間斷服務(wù)的在線時(shí)間等屬性。

(2) 客戶端選擇3個(gè)Tor中繼節(jié)點(diǎn)建立一條完整的鏈路。這3個(gè)節(jié)點(diǎn)分別被稱作入口節(jié)點(diǎn)、中間節(jié)點(diǎn)和出口節(jié)點(diǎn)。客戶端只從所有可選擇的節(jié)點(diǎn)里選擇入口節(jié)點(diǎn)，且鏈路中知曉客戶端真實(shí)IP的只有入口節(jié)點(diǎn)，然后由入口節(jié)點(diǎn)選擇中間節(jié)點(diǎn)，由中間節(jié)點(diǎn)選擇出口節(jié)點(diǎn)?？梢钥闯觯?個(gè)節(jié)點(diǎn)并非一次性被全部選出，也不是全部由客戶端選擇，而是網(wǎng)絡(luò)中上一跳節(jié)點(diǎn)選擇出鄰近的下一跳節(jié)點(diǎn)，Tor鏈路使用這種策略來保證鏈路最大化的隨機(jī)性。

(3) 由出口節(jié)點(diǎn)作為代理與外部Internet網(wǎng)絡(luò)建立連接并進(jìn)行通信。

模式2通過Tor訪問隱藏服務(wù)。

常規(guī)訪問明網(wǎng)網(wǎng)站的方式是使用基于URL和域名系統(tǒng)(Domain Name System，DNS)服務(wù)來獲取目標(biāo)網(wǎng)站在明網(wǎng)的IP地址，進(jìn)而建立連接。但訪問Tor中的隱藏服務(wù)與之不同，因?yàn)門or網(wǎng)絡(luò)中服務(wù)器的真實(shí)IP地址不能暴露，所以Tor將進(jìn)行額外的操作以使訪問可達(dá)。

(1) Tor網(wǎng)絡(luò)中有一個(gè)類似DNS功能的分布式散列表(Distributed Hash Table，DHT)，散列表里存儲(chǔ)著隱藏服務(wù)站點(diǎn)的有關(guān)標(biāo)識(shí)，標(biāo)識(shí)相當(dāng)于一種隱藏服務(wù)的指導(dǎo)信息。客戶端與暗網(wǎng)中的隱藏服務(wù)建立鏈路之前，應(yīng)先計(jì)算并找到負(fù)責(zé)存儲(chǔ)該地址的隱藏服務(wù)目錄服務(wù)器(Hidden Service Directory，HSDir)，分布式散列表分布在被標(biāo)記為HSDir的節(jié)點(diǎn)上，這個(gè)簡(jiǎn)單的DHT按其節(jié)點(diǎn)指紋排序以供使用者查找。目前全球大約有3 500個(gè)節(jié)點(diǎn)被用作HSDir。

(2) 隱藏服務(wù)提供者啟動(dòng)業(yè)務(wù)系統(tǒng)，隨機(jī)地選擇幾個(gè)Tor節(jié)點(diǎn)作為介紹節(jié)點(diǎn)(Introduction Point)，然后在業(yè)務(wù)系統(tǒng)服務(wù)器和介紹節(jié)點(diǎn)之間，建立“入口節(jié)點(diǎn)-中間節(jié)點(diǎn)-出口節(jié)點(diǎn)”的三跳Tor鏈路，因而介紹節(jié)點(diǎn)也無法知曉隱藏服務(wù)提供者的真實(shí)IP。緊接著，服務(wù)器將生成一個(gè)隱藏服務(wù)描述符，包括了服務(wù)器公鑰以及每個(gè)介紹節(jié)點(diǎn)的摘要信息。服務(wù)器使用本身所持有的私鑰對(duì)隱藏服務(wù)描述符簽名，最后將描述符上傳至分布式散列表中，暗網(wǎng)網(wǎng)站的指導(dǎo)信息即建立完成。

(3) 當(dāng)客戶端想要連接隱藏服務(wù)時(shí)，首先會(huì)從分布式散列表中獲取隱藏服務(wù)器的信息，接著客戶端會(huì)生成一個(gè)隨機(jī)的一次性Cookie值并選擇一個(gè)節(jié)點(diǎn)作為匯合節(jié)點(diǎn)(Rendezvous Point)，匯合節(jié)點(diǎn)也是Tor網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)?？蛻舳耸褂秒[藏服務(wù)的公鑰對(duì)匯合節(jié)點(diǎn)的IP地址和所生成的Cookie進(jìn)行非對(duì)稱加密，然后將已經(jīng)加密的信息發(fā)送給隱藏服務(wù)所選擇的介紹節(jié)點(diǎn)。

(4) 介紹節(jié)點(diǎn)是由其所對(duì)應(yīng)的隱藏服務(wù)選出，所以它首先將通過Tor鏈路把客戶端的加密信息發(fā)回給服務(wù)器；接著服務(wù)器使用本身持有的私鑰進(jìn)行解密，解密后將獲得客戶端所選擇的匯合節(jié)點(diǎn)的IP地址和用于驗(yàn)證身份的Cookie值；最后隱藏服務(wù)器通過Tor鏈路與匯合節(jié)點(diǎn)建立連接并發(fā)送Cookie值。在核對(duì)Cookie值的一致性之后，客戶端即在匯合節(jié)點(diǎn)與隱藏服務(wù)的服務(wù)器建立了連接。

經(jīng)由以上幾個(gè)步驟，用戶和隱藏服務(wù)通過Tor節(jié)點(diǎn)組成的鏈路建立了雙匿名通訊，雙方的隱私都得到了保證。

作為最具代表性的網(wǎng)絡(luò)用戶身份匿名通信系統(tǒng)，Tor從網(wǎng)絡(luò)協(xié)議底層進(jìn)行改進(jìn)以實(shí)現(xiàn)更加安全的通信，利用IP地址動(dòng)態(tài)化技術(shù)來避免同一個(gè)節(jié)點(diǎn)的長(zhǎng)時(shí)間連接，對(duì)用戶內(nèi)容信息進(jìn)行多層加密以防止傳輸過程中被單個(gè)節(jié)點(diǎn)破解，使用多跳電路的復(fù)雜網(wǎng)絡(luò)拓?fù)湟栽黾幼粉欕y度。值得注意的是，在構(gòu)建鏈路時(shí)，每個(gè)中繼節(jié)點(diǎn)都將和用戶協(xié)商用于對(duì)稱加密的密鑰，密鑰只有中繼節(jié)點(diǎn)本身和用戶知道，其他中繼節(jié)點(diǎn)并不知曉，因此也無法對(duì)流量進(jìn)行解密。用戶通過已創(chuàng)建的鏈路傳輸被加密了的信息，鏈路途中的中繼節(jié)點(diǎn)只使用本身和用戶協(xié)商的密鑰對(duì)所傳輸?shù)男畔⑦M(jìn)行一次解密，而后繼續(xù)將信息發(fā)送給鏈路中的下一個(gè)節(jié)點(diǎn)。因此，中繼節(jié)點(diǎn)只能知道前后兩個(gè)節(jié)點(diǎn)的信息，無法知曉用戶的來源和目的，即只能夠作為信息的中轉(zhuǎn)樞紐存在。除此之外，客戶端還將每過10 min重新進(jìn)行節(jié)點(diǎn)的選擇，定時(shí)切換線路。在Tor的設(shè)計(jì)中，鏈路中沒有節(jié)點(diǎn)知道完整的信息，由此實(shí)現(xiàn)通信的匿名性。

2 匿名網(wǎng)絡(luò)系統(tǒng)與監(jiān)管研究現(xiàn)狀

近年來匿名網(wǎng)絡(luò)的發(fā)展受到了廣泛的關(guān)注，本節(jié)內(nèi)容將從匿名網(wǎng)絡(luò)的應(yīng)用系統(tǒng)和監(jiān)管研究?jī)蓚€(gè)方面對(duì)匿名相關(guān)技術(shù)進(jìn)行討論。

2.1 匿名網(wǎng)絡(luò)系統(tǒng)研究

匿名技術(shù)可應(yīng)用于移動(dòng)通信與計(jì)算、Internet網(wǎng)絡(luò)和匿名移動(dòng)代理等方面[13]，能夠保護(hù)用戶和服務(wù)提供者的數(shù)據(jù)及身份等隱私信息[14]。匿名網(wǎng)絡(luò)的應(yīng)用主要集中在匿名通信系統(tǒng)，且匿名通信系統(tǒng)的發(fā)展是一個(gè)不斷改進(jìn)技術(shù)的過程。

2.1.1 基本匿名通信系統(tǒng)

關(guān)于匿名通信的研究最早可追溯到1981年CHAUM的開創(chuàng)性成果[15]，論文中提出的MIX系統(tǒng)被認(rèn)為是解決Internet中匿名通信的方法，許多被廣泛使用的系統(tǒng)都是基于MIX系統(tǒng)的概念建成的，例如對(duì)延遲不敏感系統(tǒng)的代表——Mixmaster[16]匿名電子郵件系統(tǒng)，以及對(duì)延遲敏感系統(tǒng)的代表——Tor等?；贛IX的系統(tǒng)具有強(qiáng)加密的優(yōu)點(diǎn)，卻也存在帶寬浪費(fèi)、可被流量分析等缺點(diǎn)[17]。

基于廣播/多播的匿名通信系統(tǒng)可以在一定程度上解決通信時(shí)的匿名問題[18]，但這種系統(tǒng)存在信道沖突、網(wǎng)絡(luò)效率和健壯性不足、密鑰不便管理等缺點(diǎn)，影響系統(tǒng)工作效率。隨后，研究人員提出了基于單代理技術(shù)的匿名通信系統(tǒng)。這種結(jié)合了代理技術(shù)的系統(tǒng)具有簡(jiǎn)單易用的優(yōu)勢(shì)，然而因?yàn)榇矸?wù)器掌握著所有通信，導(dǎo)致系統(tǒng)存在信息過于集中的弱點(diǎn)，當(dāng)代理服務(wù)器被攻陷后，所有數(shù)據(jù)都將暴露。

2.1.2 匿名通信的改進(jìn)技術(shù)

P2P網(wǎng)絡(luò)具有無中心的特點(diǎn)，通過構(gòu)建P2P網(wǎng)絡(luò)可以在一定程度上幫助實(shí)現(xiàn)通信的匿名。文獻(xiàn)[19]提出了P2P網(wǎng)絡(luò)結(jié)構(gòu)的匿名通信系統(tǒng)——Freedom。該系統(tǒng)通過使用身份標(biāo)識(shí)代替網(wǎng)絡(luò)地址和加密傳輸數(shù)據(jù)的方式提供匿名特性。但基于P2P網(wǎng)絡(luò)的節(jié)點(diǎn)之間存在不可信問題，文獻(xiàn)[20]認(rèn)為基于P2P的匿名網(wǎng)絡(luò)雖然能夠利用去中心化的特點(diǎn)降低被單點(diǎn)攻擊的可能性，但是整個(gè)網(wǎng)絡(luò)存在匿名節(jié)點(diǎn)不可信的現(xiàn)象。為解決這個(gè)問題，作者參考可信計(jì)算原理，提出了基于可信計(jì)算的P2P匿名通信系統(tǒng)。該系統(tǒng)通過實(shí)現(xiàn)可信計(jì)算理論、增加匿名節(jié)點(diǎn)可信性認(rèn)證和監(jiān)測(cè)環(huán)節(jié)等方式，增強(qiáng)了基于P2P的匿名通信系統(tǒng)的安全性和全面性。但由于系統(tǒng)使用了大量的零知識(shí)證明和指數(shù)運(yùn)算，致使計(jì)算開銷急劇增加，因此并不適合實(shí)際使用。

文獻(xiàn)[21]將可信計(jì)算高效地引入了匿名通信系統(tǒng)，增強(qiáng)了系統(tǒng)整體的可信性能。改進(jìn)之后，系統(tǒng)中參與通信的各節(jié)點(diǎn)使用可信計(jì)算直接進(jìn)行匿名身份認(rèn)證。通信過程中，鏈路的擴(kuò)展把節(jié)點(diǎn)可信度作為參考依據(jù)，從一方逐漸伸展，進(jìn)而步步延長(zhǎng)，直至與通信目標(biāo)建立連接。鏈路中節(jié)點(diǎn)與節(jié)點(diǎn)間進(jìn)行數(shù)據(jù)傳輸時(shí)使用簽密技術(shù)以防消息篡改和泄露，系統(tǒng)引入惡意行為評(píng)估機(jī)制以偵測(cè)由惡意用戶發(fā)起的攻擊行為。分析表明，改進(jìn)后的系統(tǒng)在保持了匿名性的同時(shí)，增強(qiáng)了可信性和安全性，且計(jì)算開銷對(duì)系統(tǒng)的延時(shí)影響很小。

將秘密共享的思想引入匿名通信系統(tǒng)可以提高通信的可靠性與安全性。文獻(xiàn)[22]借助這種思路設(shè)計(jì)了一種抗攻擊秘密共享匿名通信系統(tǒng)。在匿名通信進(jìn)行之前，通信雙方將會(huì)依據(jù)實(shí)際網(wǎng)絡(luò)情況建立多條鏈路；在通信時(shí)，信息將被秘密共享算法分成多個(gè)份額并分別在不同的鏈路中進(jìn)行傳輸；當(dāng)某條鏈路發(fā)現(xiàn)攻擊者時(shí)，則斷開此條鏈路的連接。因此只要通信雙方之間有多條可通信鏈路，數(shù)據(jù)傳輸就不會(huì)終止。研究認(rèn)為，該系統(tǒng)可以在網(wǎng)絡(luò)條件較為惡劣的情況下使用，但整體的效率并不高。

安全多方計(jì)算(secure Multi-Party Computation，MPC)能夠安全地分發(fā)和計(jì)算任何功能，盡管它通常被認(rèn)為對(duì)于擁有大量參與者的場(chǎng)景并不是特別有效，但最近的研究表明，將安全多方計(jì)算引入匿名通信是可行的。ALEXOPOULOS等人[23]利用安全多方計(jì)算在Sharemind系統(tǒng)[24]中實(shí)現(xiàn)了第一個(gè)匿名消息傳遞服務(wù)——MCMix，該服務(wù)能夠在一組明確指定的假設(shè)下提供基于模擬的安全性，并且可以擴(kuò)展到成千上萬的用戶。MCMix系統(tǒng)提出了兩個(gè)操作——撥號(hào)與對(duì)話，呼叫者可通過“撥號(hào)”操作尋呼另一客戶端或者確認(rèn)是否有其他人在呼叫，當(dāng)被呼叫者接受本次呼叫時(shí)，雙方將獲得相同的隨機(jī)標(biāo)簽，隨后雙方可通過該標(biāo)簽進(jìn)行“對(duì)話”操作，即交換信息。

匿名通信系統(tǒng)引入基于行為信任的監(jiān)控機(jī)制可對(duì)用戶的惡意匿名行為進(jìn)行控制。依據(jù)這種思想，文獻(xiàn)[25]提出了一種基于節(jié)點(diǎn)區(qū)域管理策略的可控匿名通信系統(tǒng)(DC-ACS)，該系統(tǒng)在匿名通信的建立過程中，將根據(jù)用戶需求選擇相應(yīng)區(qū)域的節(jié)點(diǎn)建立通信鏈路，實(shí)現(xiàn)了可控的匿名通信。

文獻(xiàn)[26]認(rèn)為僅以MIX網(wǎng)絡(luò)為基礎(chǔ)和僅以消息為基礎(chǔ)構(gòu)建的匿名通信系統(tǒng)存在延遲和無法容納實(shí)時(shí)通信的缺點(diǎn)，針對(duì)這些問題他們?cè)O(shè)計(jì)了Loopix系統(tǒng)。該系統(tǒng)采用被命名為Poisson-Mix的混合策略，并引入了Cover Traffic[27]技術(shù)以提供匿名。系統(tǒng)在消息中引入不到1.5 ms的延遲提供安全性，可保證低延時(shí)下的匿名，且可以在隱藏通信關(guān)系的同時(shí)不影響雙方的識(shí)別，擁有能夠抵抗全球網(wǎng)絡(luò)對(duì)手流量分析的能力。

文獻(xiàn)[28]認(rèn)為，現(xiàn)代的低延遲匿名系統(tǒng)只能提供有限的安全保證，不能抵抗流量分析，且高延遲匿名系統(tǒng)的安全保證是以計(jì)算開銷和長(zhǎng)延遲為代價(jià)的，這些開銷和延遲對(duì)于交互式應(yīng)用來說是笨重多余的。文獻(xiàn)[28]提出了一種名為TARANET的匿名系統(tǒng)，該系統(tǒng)在網(wǎng)絡(luò)層實(shí)現(xiàn)了對(duì)抗流量分析的保護(hù)措施并降低了延遲和開銷，實(shí)現(xiàn)了匿名通信技術(shù)的改進(jìn)。

2.1.3 未來的匿名通信系統(tǒng)架構(gòu)

伴隨著未來互聯(lián)網(wǎng)架構(gòu)的研究發(fā)展，文獻(xiàn)[29]提出了網(wǎng)絡(luò)層匿名通信系統(tǒng)。該系統(tǒng)借助分段路由等關(guān)鍵技術(shù)，將路由器等網(wǎng)絡(luò)基礎(chǔ)設(shè)施也納入匿名網(wǎng)絡(luò)通信建立和傳輸?shù)捏w系。傳統(tǒng)的匿名網(wǎng)絡(luò)中基礎(chǔ)設(shè)施僅采用無差別的方式傳輸數(shù)據(jù)包，與之相比，新系統(tǒng)中的路由器直接參與通信不僅能夠提供隱藏包頭的效果，而且擁有更高的傳輸速率和擴(kuò)展性。但網(wǎng)絡(luò)的高吞吐量是以使用低安全性加密算法為代價(jià)的，目前的網(wǎng)絡(luò)架構(gòu)還不能大面積適應(yīng)網(wǎng)絡(luò)層匿名通信系統(tǒng)，導(dǎo)致其向著實(shí)際大規(guī)模應(yīng)用場(chǎng)景的方向上還有很長(zhǎng)的一段路要走。

2.2 匿名網(wǎng)絡(luò)監(jiān)管研究

快速發(fā)展的匿名網(wǎng)絡(luò)為大量危險(xiǎn)與濫用的流量提供了保護(hù)傘。面對(duì)著匿名網(wǎng)絡(luò)帶來的負(fù)面影響，應(yīng)該從Tor等典型匿名網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)信息和匿名網(wǎng)絡(luò)服務(wù)等方面的監(jiān)管與合理利用對(duì)使用者加以引導(dǎo)。

2.2.1 對(duì)Tor網(wǎng)絡(luò)結(jié)構(gòu)的監(jiān)管

現(xiàn)有的對(duì)于匿名網(wǎng)絡(luò)的研究樣本很多直接來自于真實(shí)的網(wǎng)絡(luò)，因而如何在盡可能保護(hù)用戶隱私的前提下快速高效且影響小地采集信息，成為了一些研究的重點(diǎn)。

JANSEN等人[30]設(shè)計(jì)了一種新穎的方法用于Tor服務(wù)使用情況的檢測(cè)。該方法使用來自中繼節(jié)點(diǎn)的電路和網(wǎng)站指紋等信息檢測(cè)Tor服務(wù)的使用情況；研究發(fā)現(xiàn)，相較于其他位置而言，鏈路的中間位置擁有可進(jìn)行大規(guī)模監(jiān)視和測(cè)量的優(yōu)勢(shì)。WAILS等人[31]介紹了一種通用的、可保護(hù)隱私的測(cè)量系統(tǒng)——Stormy，該系統(tǒng)引入安全多方計(jì)算來計(jì)算Tor中繼節(jié)點(diǎn)進(jìn)行的函數(shù)以供分析。

2.2.2 對(duì)Tor網(wǎng)絡(luò)信息的監(jiān)管

為從Tor網(wǎng)絡(luò)中安全地搜集信息而不引發(fā)隱私泄露問題，一些隱私保護(hù)模型被引入到新設(shè)計(jì)的網(wǎng)絡(luò)測(cè)量系統(tǒng)中。

MANI等人[32]提出了一種基于差分隱私的隱私保護(hù)統(tǒng)計(jì)收集方案——HisTorε，該方案可抵御對(duì)抗性操作且無需大量帶寬和處理開銷。ELAHI等人[33]提出了一種基于分布式差分隱私和安全多方計(jì)算的統(tǒng)計(jì)數(shù)據(jù)收集系統(tǒng)——PrivEx，能夠安全且不泄露隱私地收集來自匿名通信網(wǎng)絡(luò)的出口流量信息。JANSEN等人[34]對(duì)PrivEx進(jìn)行了擴(kuò)展，設(shè)計(jì)出以保護(hù)用戶隱私為主要目標(biāo)的PrivCount系統(tǒng)，該系統(tǒng)減少了對(duì)于Tor網(wǎng)絡(luò)的干擾，可安全地匯總Tor節(jié)點(diǎn)的測(cè)量結(jié)果，并隨著時(shí)間的流逝產(chǎn)生差分專用輸出。2018年JANSEN等人繼續(xù)對(duì)PrivCount進(jìn)行改進(jìn)[35]，改進(jìn)后的系統(tǒng)支持對(duì)隱馬爾可夫模型的測(cè)量和處理，可對(duì)Tor網(wǎng)絡(luò)進(jìn)行更深入的測(cè)量。

為改善近期Tor網(wǎng)絡(luò)中隱藏服務(wù)的負(fù)載，Tor項(xiàng)目需要對(duì)網(wǎng)絡(luò)使用情況進(jìn)行監(jiān)視。但PrivEx等隱私友好的統(tǒng)計(jì)方法不能滿足要求。為了解決這個(gè)問題，MELIS等人[36]提出一種新穎的機(jī)制，用于在Tor匿名網(wǎng)絡(luò)的上下文中私下收集統(tǒng)計(jì)數(shù)據(jù)，從多個(gè)隱藏服務(wù)目錄服務(wù)器中提取有關(guān)隱藏服務(wù)描述符數(shù)量的匯總統(tǒng)計(jì)信息。

2.2.3 對(duì)匿名網(wǎng)絡(luò)服務(wù)的監(jiān)管

匿名通信的日漸發(fā)展使得更多人接觸到匿名網(wǎng)絡(luò)，也降低了不法分子的進(jìn)入門檻，因而應(yīng)該在匿名網(wǎng)絡(luò)服務(wù)的監(jiān)管方面加強(qiáng)力度。

裘玥[14]從網(wǎng)絡(luò)安全監(jiān)管的形勢(shì)、現(xiàn)狀以及實(shí)際需要出發(fā)，分析了匿名網(wǎng)絡(luò)的技術(shù)內(nèi)涵，指出了可能的安全監(jiān)管隱患，并對(duì)未來的匿名網(wǎng)絡(luò)信息發(fā)現(xiàn)、應(yīng)用技術(shù)的發(fā)展進(jìn)行了初步的討論。部分匿名網(wǎng)絡(luò)服務(wù)提供商會(huì)對(duì)來自Tor網(wǎng)絡(luò)的流量采取與正常流量不同的處理方式。KHATTAK等人[37]研究發(fā)現(xiàn)，一些網(wǎng)站會(huì)針對(duì)來自Tor的網(wǎng)絡(luò)請(qǐng)求提供被降低了等級(jí)的服務(wù)。SINGH等人[38]的研究表明，面對(duì)著來自Tor匿名網(wǎng)絡(luò)的濫用流量，一些在線服務(wù)提供商會(huì)限制甚至拒絕匿名網(wǎng)絡(luò)用戶的訪問。

YANG等人[39]提出了一種網(wǎng)絡(luò)威脅情報(bào)分析框架。該框架主要用于識(shí)別暗網(wǎng)市場(chǎng)的賣方，并確定哪一位賣家對(duì)市場(chǎng)影響最大。李超等人[40]在對(duì)國(guó)內(nèi)外暗網(wǎng)反恐情報(bào)分析相關(guān)研究進(jìn)行梳理的基礎(chǔ)上，提出暗網(wǎng)反恐情報(bào)分析的5個(gè)環(huán)節(jié)——恐怖組織特征識(shí)別、數(shù)據(jù)獲取與信息過濾、機(jī)器學(xué)習(xí)與智能分析、人工分析與情報(bào)研判、情報(bào)生成與成果傳遞，并設(shè)計(jì)了暗網(wǎng)反恐情報(bào)分析平臺(tái)架構(gòu)；同時(shí)作者也指出，目前沒有針對(duì)公民網(wǎng)絡(luò)隱私權(quán)保護(hù)的法律規(guī)定或方案。對(duì)于匿名網(wǎng)絡(luò)尤其是暗網(wǎng)的治理不能僅依靠傳統(tǒng)刑事司法手段，如今的網(wǎng)絡(luò)尤其是匿名網(wǎng)絡(luò)呈現(xiàn)出前所未有的復(fù)雜性與多元性。陳璐[41]提出必須建立專門的暗網(wǎng)犯罪監(jiān)測(cè)部門以及“產(chǎn)-官-學(xué)”協(xié)同合作機(jī)制以面對(duì)新的挑戰(zhàn)。

3 典型匿名網(wǎng)絡(luò)安全性研究

自匿名網(wǎng)絡(luò)誕生以來，針對(duì)其安全性的研究就從未停止，且隨著應(yīng)用范圍的擴(kuò)大而越來越活躍。本節(jié)內(nèi)容將重點(diǎn)關(guān)注典型匿名網(wǎng)絡(luò)——Tor，對(duì)其安全性研究進(jìn)行介紹，重點(diǎn)展現(xiàn)匿名網(wǎng)絡(luò)可能存在的漏洞、弱點(diǎn)及防御改進(jìn)措施，從針對(duì)Tor的鏈路攻擊以及流量分析、網(wǎng)站指紋攻擊、其他攻擊以及針對(duì)貨幣交易業(yè)務(wù)的攻擊與針對(duì)實(shí)際網(wǎng)絡(luò)的保護(hù)性研究等方面進(jìn)行總結(jié)，統(tǒng)計(jì)結(jié)果見表1。

表1 針對(duì)Tor網(wǎng)絡(luò)安全性研究的統(tǒng)計(jì)結(jié)果

3.1 鏈路攻擊

3.1.1 攻擊原理

Tor擁有上千多個(gè)節(jié)點(diǎn)，承載著數(shù)太字節(jié)(TB)的流量，每天為百萬用戶提供服務(wù)，這也使其成為易被攻擊的目標(biāo)。盡管Tor網(wǎng)絡(luò)在路徑選擇算法上采取了一定程度的隨機(jī)選取、定時(shí)更換節(jié)點(diǎn)等防御鏈路攻擊的措施，但客戶端與入口節(jié)點(diǎn)之間、出口節(jié)點(diǎn)與服務(wù)端之間、Tor節(jié)點(diǎn)之間連通的鏈路都存在可能被利用的弱點(diǎn)。圖2為一種鏈路攻擊的示意圖，圖中客戶端對(duì)服務(wù)端發(fā)起請(qǐng)求，數(shù)據(jù)包在進(jìn)入暗網(wǎng)和退出暗網(wǎng)網(wǎng)絡(luò)時(shí)可能遭受AS-3節(jié)點(diǎn)的審查。AS-3節(jié)點(diǎn)在數(shù)據(jù)包之間引入可檢測(cè)的微小“擾動(dòng)”，當(dāng)再次觀測(cè)到“擾動(dòng)”時(shí)，AS-3可進(jìn)行流量關(guān)聯(lián)，進(jìn)而暴露出客戶端的地址，完成針對(duì)客戶端的去匿名化攻擊。

圖2 客戶端可能因AS-3發(fā)起的網(wǎng)絡(luò)審查而遭受去匿名化攻擊

弱點(diǎn)1：大型的具有路由能力(例如國(guó)家級(jí)別)的對(duì)手具備網(wǎng)絡(luò)審查能力[42]，能夠?qū)υ竭^邊界的連接發(fā)起強(qiáng)大的攻擊或者阻斷通信，這表明攻擊者可以觀察到一些Tor節(jié)點(diǎn)或網(wǎng)絡(luò)的某些部分，進(jìn)而對(duì)網(wǎng)絡(luò)進(jìn)行審查，致使Tor用戶容易受到去匿名化的攻擊。

弱點(diǎn)2：Tor網(wǎng)絡(luò)也有可能遭到邊界網(wǎng)關(guān)協(xié)議(Border Gateway Protocol，BGP)劫持的危險(xiǎn)，被攻擊的網(wǎng)絡(luò)會(huì)被攻擊者惡意地路由流量。SUN等人[43]依照上述攻擊思路，提出了名為Raptor的針對(duì)Tor的新型BGP路由攻擊，該種方式可由自治系統(tǒng)(Autonomous System，AS)發(fā)起，實(shí)施觀察、劫持、攔截流量等攻擊來破壞用戶匿名性。

3.1.2 鏈路防御和改進(jìn)

針對(duì)Tor可能受到的鏈路審查、BGP劫持等攻擊方式和潛在的性能問題，研究人員在Tor鏈路的建立和節(jié)點(diǎn)的選擇過程中嘗試給出防御以及性能改進(jìn)的方案。

LI等人[44]針對(duì)Tor網(wǎng)絡(luò)可能遭受的鏈路審查問題提出了DeTor系統(tǒng)。該系統(tǒng)無需修改Tor協(xié)議和Internet拓?fù)鋱D，能夠避免審查以及基于時(shí)間的去匿名攻擊，并可證明Tor鏈路何時(shí)避開了用戶指定的地理區(qū)域。但KOHLS等人[45]認(rèn)為DeTor系統(tǒng)存在一些設(shè)計(jì)缺陷，并指出該系統(tǒng)沒有考慮Tor和基礎(chǔ)網(wǎng)絡(luò)多樣化的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，這將會(huì)導(dǎo)致系統(tǒng)對(duì)可用的地面真實(shí)信息做出錯(cuò)誤的假設(shè)，且DeTor存在對(duì)實(shí)際部署過程考慮不全的問題，這將導(dǎo)致系統(tǒng)的部署受到限制。面對(duì)以上問題，KOHLS等人提出了一種新的基于時(shí)序的回避系統(tǒng)，能夠應(yīng)對(duì)已有系統(tǒng)存在的網(wǎng)絡(luò)多樣性、地面信息以及部署等多方面的挑戰(zhàn)。

針對(duì)Tor網(wǎng)絡(luò)中的BGP劫持攻擊，SUN等人[46]認(rèn)為，具有高Tor帶寬的自治系統(tǒng)對(duì)攻擊的抵御能力更弱。2017年他們提出了一種新的Tor守衛(wèi)節(jié)點(diǎn)選擇算法來主動(dòng)緩解此類攻擊。其研究表明，該算法成功地將Tor客戶端的安全性平均提高了36%(某些客戶端達(dá)到了166%)。

針對(duì)Tor網(wǎng)絡(luò)可能遭受的路徑選擇攻擊，JOHNSON等人[47]指出，以往為解決網(wǎng)絡(luò)審查而提出的網(wǎng)絡(luò)感知Tor路徑選擇算法容易受到跨多個(gè)Tor連接的攻擊，因此他們提出了一種名為TAPS的路徑選擇算法。該算法不會(huì)受到此類攻擊的影響，并使客戶端能夠利用其在網(wǎng)絡(luò)元素中的信任來避免流量相關(guān)攻擊。Tor網(wǎng)絡(luò)中的守衛(wèi)節(jié)點(diǎn)知曉用戶的真實(shí)IP，因而這些節(jié)點(diǎn)在維護(hù)用戶匿名性方面起著至關(guān)重要的作用，Singh描述了一種選擇守衛(wèi)節(jié)點(diǎn)的方法[48]。該方法可以減少向守衛(wèi)節(jié)點(diǎn)泄露敏感信息的數(shù)量，同時(shí)能夠以不低的效率使用守衛(wèi)節(jié)點(diǎn)的資源。Tor使用網(wǎng)橋進(jìn)行規(guī)避審查，但這種機(jī)制是基于臨時(shí)啟發(fā)式的，且會(huì)面臨內(nèi)部攻擊問題。MATIC等人[49]利用公共數(shù)據(jù)源和Tor本身存在的問題，對(duì)Tor網(wǎng)橋基礎(chǔ)結(jié)構(gòu)的安全性進(jìn)行了首次系統(tǒng)研究。研究發(fā)現(xiàn)，目前的一些網(wǎng)橋存在易被識(shí)別、安全性低、易受攻擊性封鎖等問題。博弈論可以推導(dǎo)各方的最優(yōu)策略，嘗試將其引入Tor網(wǎng)橋的分配可在優(yōu)化策略時(shí)給出解決方案。NASR等人[50]通過建立博弈論的框架，將代理分配問題建模為規(guī)避系統(tǒng)運(yùn)營(yíng)商與檢查員之間的博弈，系統(tǒng)地解決了規(guī)避系統(tǒng)中的代理分配問題。

為了提高Tor的性能，BARTON等人[51]通過引入隨機(jī)森林算法，提出了一種名為PredicTor的路徑選擇技術(shù)。該技術(shù)使用隨機(jī)森林分類器來預(yù)測(cè)Tor網(wǎng)絡(luò)路徑的性能，可以將路徑預(yù)測(cè)結(jié)果為快速的節(jié)點(diǎn)并用于電路的構(gòu)建，以此提升網(wǎng)絡(luò)性能。

3.2 流量分析

流量分析是從通信中截獲和檢查消息并推斷信息的過程，即使消息被加密，也可通過流量分析獲得有用信息。依據(jù)上述思路，在明網(wǎng)中起作用的流量分析攻擊手段(例如中間人攻擊、DNS關(guān)聯(lián)、流量關(guān)聯(lián)等)均可被用于匿名網(wǎng)絡(luò)。流量分析攻擊過程如圖3所示，攻擊者能夠監(jiān)聽與分析進(jìn)出客戶端的流量并破壞匿名性。

呂博等人[5]介紹了對(duì)于Tor網(wǎng)絡(luò)的基于流量分析的主動(dòng)攻擊和被動(dòng)攻擊，基于Tor通信協(xié)議弱點(diǎn)的網(wǎng)橋發(fā)現(xiàn)攻擊、重放攻擊和中間人攻擊等方法，對(duì)各種攻擊技術(shù)的原理及優(yōu)勢(shì)進(jìn)行了總結(jié)，并對(duì)未來匿名網(wǎng)絡(luò)的發(fā)展趨勢(shì)進(jìn)行了展望。

GRESCHBACH等人[52]認(rèn)為，Tor網(wǎng)絡(luò)中流量的發(fā)送者和接收者相關(guān)聯(lián)的攻擊(可簡(jiǎn)稱為關(guān)聯(lián)攻擊)通常依賴于分析TCP流量，但典型客戶端應(yīng)用程序的TCP連接通常伴隨DNS請(qǐng)求和響應(yīng)；這種額外的流量可以為關(guān)聯(lián)攻擊提供更多機(jī)會(huì)，于是他們開發(fā)了可用于識(shí)別Tor出口節(jié)點(diǎn)的DNS解析器以及一組新的關(guān)聯(lián)攻擊——DefecTor攻擊。研究指出了這些新型攻擊對(duì)Tor用戶的影響并評(píng)估了關(guān)聯(lián)攻擊的改進(jìn)方法。

NASR等人[53]認(rèn)為針對(duì)Tor的多種去匿名攻擊中流相關(guān)性是核心技術(shù)之一。因此他們?cè)O(shè)計(jì)了DeepCorr系統(tǒng)。該系統(tǒng)使用深度學(xué)習(xí)技術(shù)進(jìn)行流量關(guān)聯(lián)。NITHYANAND等人[54]的研究發(fā)現(xiàn)，由Tor創(chuàng)建的所有電路中，其中至少40%容易受到來自自治系統(tǒng)級(jí)對(duì)手、共謀自治系統(tǒng)級(jí)對(duì)手、省級(jí)對(duì)手等流量相關(guān)性攻擊。為了減輕此類攻擊的威脅，他們開發(fā)了Astoria。這是一種具有自治系統(tǒng)感知能力的Tor客戶端。該客戶端可利用網(wǎng)絡(luò)測(cè)量的最新發(fā)展來進(jìn)行路徑預(yù)測(cè)和智能中繼選擇，以減少不同級(jí)別敵手的攻擊。

圖3 攻擊者對(duì)客戶端發(fā)送與接收的流量進(jìn)行分析

3.3 網(wǎng)站指紋

Tor對(duì)所有用戶的網(wǎng)絡(luò)流量進(jìn)行加密，防止外部觀察者識(shí)別特定用戶的流量。但過去的研究文獻(xiàn)[55-58]表明，加密流量不足以保護(hù)用戶的隱私，被加密的流量元數(shù)據(jù)會(huì)被攻擊者監(jiān)聽，從而能夠推斷客戶端正在通過加密或匿名網(wǎng)絡(luò)瀏覽哪個(gè)網(wǎng)頁(yè)。

3.3.1 基于網(wǎng)站特征的指紋攻擊

實(shí)質(zhì)上，基于網(wǎng)站特征的指紋攻擊利用了以下事實(shí)：每個(gè)網(wǎng)站的網(wǎng)絡(luò)流量都有其獨(dú)特的模式，并且這些模式可以通過機(jī)器學(xué)習(xí)分類器來學(xué)習(xí)和識(shí)別。

2016年，HAYES等人[59]提出了一種基于隨機(jī)決策森林的新型網(wǎng)站指紋識(shí)別技術(shù)。該技術(shù)能夠評(píng)估標(biāo)準(zhǔn)網(wǎng)頁(yè)以及Tor隱藏服務(wù)，可以從100 000個(gè)不受監(jiān)控的網(wǎng)頁(yè)上正確地識(shí)別客戶端訪問的30個(gè)受監(jiān)控的隱藏服務(wù)。PANCHENKO等人[60]基于從軌跡的累積表示中采樣特征的想法，提出了一種新型針對(duì)Tor的網(wǎng)站指紋的攻擊。同當(dāng)時(shí)的最新研究相比，該攻擊方式在計(jì)算效率上高出幾個(gè)數(shù)量級(jí)。

2017年，WANG等人[61]提出了一種針對(duì)網(wǎng)站指紋攻擊的防御方法——Walkie-Talkie。該方法通過修改瀏覽器的方式，使其以半雙工模式而不是通常的全雙工模式進(jìn)行通信，達(dá)到了以較少的額外開銷將更少的信息泄露給對(duì)手的效果。2018年，SIRINAM等人[62]提出了一種針對(duì)Tor利用卷積神經(jīng)網(wǎng)絡(luò)(Convolutional Neural Network，CNN)的新型網(wǎng)站指紋攻擊，在面對(duì)有Walkie-Talkie的防御時(shí)，攻擊有49.7%的準(zhǔn)確性，而在沒有防御網(wǎng)站指紋攻擊的措施時(shí)，該攻擊方法的準(zhǔn)確度有99%。OVERDORF等人[63]分析了不同網(wǎng)站指紋方法所利用的功能，討論了Tor服務(wù)站點(diǎn)在流量跟蹤以及網(wǎng)頁(yè)設(shè)計(jì)方面易于識(shí)別的原因，并從錯(cuò)誤分類入手，研究了如何重新設(shè)計(jì)服務(wù)站點(diǎn)以盡可能減少網(wǎng)站指紋攻擊的影響。

盡管諸如深度指紋之類的網(wǎng)站指紋攻擊已達(dá)到了98%的準(zhǔn)確性，但深度指紋攻擊需要大量的訓(xùn)練數(shù)據(jù)，且這些數(shù)據(jù)需要定期更新。因此對(duì)于較弱的攻擊者模型而言，深度指紋攻擊并不實(shí)用。2019年，SIRINAM等人[64]又提出了一種新的攻擊方式——三重指紋(TF)。在該種攻擊模式下，每個(gè)網(wǎng)站僅使用20個(gè)示例即可達(dá)到95%的分類準(zhǔn)確性。上述新型攻擊方式使得攻擊者利用較低的計(jì)算資源和有限的時(shí)間即可完成網(wǎng)站指紋攻擊，進(jìn)一步表明了網(wǎng)站指紋攻擊能夠嚴(yán)重破壞Tor的匿名性。

前述的幾種網(wǎng)站指紋攻擊方式都依賴于選取特征，這一步是基于直覺和專家知識(shí)的手動(dòng)過程，因而該類型的攻擊可能會(huì)被防御措施中新引入的功能所干擾，導(dǎo)致最終攻擊效果受到所選特征的限制。2018年，RIMMER等人[65]提出了一種基于深度學(xué)習(xí)的新型自動(dòng)網(wǎng)站指紋攻擊，攻擊能夠自動(dòng)學(xué)習(xí)特征，不會(huì)受到特定特征集的限制。

3.3.2 基于網(wǎng)站緩存的指紋攻擊

2019年，SHUSTERMAN等人[66]的研究表明，JavaScript中的緩存網(wǎng)站指紋識(shí)別攻擊是可行的，與基于網(wǎng)絡(luò)的指紋識(shí)別相比，這種基于緩存的攻擊實(shí)現(xiàn)了更高的指紋識(shí)別精度，且對(duì)于引入基于網(wǎng)絡(luò)側(cè)信道(Side-Channel Attack)防御對(duì)策的現(xiàn)代瀏覽器來說，攻擊也表現(xiàn)出較好的適應(yīng)性。

3.3.3 網(wǎng)站指紋攻擊評(píng)估

為了評(píng)估網(wǎng)站指紋攻擊的攻擊力度，一種流行的評(píng)估依據(jù)是分類器的分類精度。如果精度足夠低，則認(rèn)為防御安全且信息泄露少。但LI等人[67]的研究表明，即使網(wǎng)站指紋攻擊所使用的分類器無法準(zhǔn)確識(shí)別正確的頁(yè)面，網(wǎng)站指紋數(shù)據(jù)也可能包含有關(guān)網(wǎng)頁(yè)的大量信息，即分類器的準(zhǔn)確性低并不一定意味著信息泄露也少。因而在設(shè)法防御網(wǎng)站指紋攻擊時(shí)，不能低估防御中信息泄露的可能性和危害。

3.4 其他攻擊

針對(duì)匿名網(wǎng)絡(luò)，研究人員也發(fā)現(xiàn)了一些其他攻擊方式的可能性。例如，側(cè)信道攻擊、拒絕服務(wù)攻擊(Denial-of-Service，DoS)、信息泄露等攻擊方案，都可被應(yīng)用到匿名網(wǎng)絡(luò)的攻擊當(dāng)中。

3.4.1 側(cè)信道攻擊

側(cè)信道攻擊又稱旁路攻擊，可以通過時(shí)間間隔、緩存攻擊、差別錯(cuò)誤分析等方式，達(dá)到破壞密碼算法甚至能夠讀取任意存儲(chǔ)器內(nèi)容的目的，攻擊流程如圖4所示。借助于側(cè)信道攻擊，攻擊者可破壞Tor用戶的匿名特性。SCHWARZ等人[68]提出了一種完全自動(dòng)化的方法來查找由環(huán)境引起的瀏覽器引擎的細(xì)微差別；并且他們提出了兩種側(cè)信道攻擊來檢測(cè)指令集體系結(jié)構(gòu)和使用的內(nèi)存分配器；利用這些攻擊，攻擊者可以依據(jù)獲得的差異進(jìn)行一系列推斷，暴露出使用者相關(guān)的系統(tǒng)軟硬件參數(shù)甚至其他敏感資源。研究人員最終在Chrome、Firefox、Tor瀏覽器中成功實(shí)現(xiàn)了上述攻擊。ARP等人[69]設(shè)計(jì)了一種針對(duì)Tor的新型去匿名攻擊方法——Torben。該方法利用了技術(shù)的相互作用，使得攻擊者可以濫用此相互作用來設(shè)計(jì)Tor通訊中的側(cè)信道，從而允許傳輸短網(wǎng)頁(yè)標(biāo)記，暴露用戶通過Tor訪問的網(wǎng)頁(yè)。

圖4 側(cè)信道攻擊的流程

近期的研究表明，TCP和網(wǎng)絡(luò)堆棧會(huì)通過側(cè)通道將各種類型的信息泄露給TCP路徑以外的攻擊者[70-71]。CAO等人[72]發(fā)現(xiàn)了一種更強(qiáng)大的路徑外攻擊，可以快速實(shí)現(xiàn)以下兩種攻擊效果：① 測(cè)試Internet上是否有任意兩個(gè)主機(jī)正在使用一個(gè)或多個(gè)TCP連接進(jìn)行通信(并發(fā)現(xiàn)與此類連接相關(guān)的端口號(hào))；② 執(zhí)行TCP序列號(hào)推斷，使攻擊者可以隨后強(qiáng)行終止連接或向連接中注入惡意有效載荷。將該攻擊方式應(yīng)用到Tor網(wǎng)絡(luò)后，可以破壞或降低匿名網(wǎng)絡(luò)的隱私保證，并進(jìn)行連接的劫持。

3.4.2 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是一種耗盡目標(biāo)系統(tǒng)和網(wǎng)絡(luò)資源的攻擊方式。此攻擊能夠使服務(wù)被暫時(shí)停止，導(dǎo)致正常用戶無法訪問。圖5為一種針對(duì)Tor網(wǎng)橋的拒絕服務(wù)攻擊示意圖，攻擊者通過控制多臺(tái)設(shè)備對(duì)網(wǎng)橋進(jìn)行攻擊以占用資源，致使網(wǎng)橋無法為客戶端提供服務(wù)。JANSEN等人[73]認(rèn)為拒絕服務(wù)攻擊對(duì)于Tor網(wǎng)絡(luò)是相對(duì)被低估的威脅，于是將研究重點(diǎn)放在了針對(duì)Tor的拒絕服務(wù)攻擊。他們認(rèn)為，對(duì)帶寬的拒絕服務(wù)攻擊可以顯著降低Tor網(wǎng)絡(luò)性能和可靠性。研究表明，對(duì)于Tor網(wǎng)橋、帶寬測(cè)量系統(tǒng)、節(jié)點(diǎn)的攻擊都會(huì)對(duì)Tor網(wǎng)絡(luò)產(chǎn)生影響。

3.4.3 信息泄露攻擊

目前許多主要網(wǎng)站仍使用未加密的連接傳輸內(nèi)容，這會(huì)將用戶的cookie暴露給監(jiān)聽流量的攻擊者。SIVAKORN等人[74]發(fā)現(xiàn)來自一個(gè)新出口節(jié)點(diǎn)的外發(fā)連接中有75%是通過HTTP進(jìn)行的，暴露的cookie不僅能夠被用來訪問私有的和敏感的用戶信息，而且還能夠被用來規(guī)避身份驗(yàn)證，甚至獲得受保護(hù)賬戶功能的訪問權(quán)限。這意味著泄露了cookie的Tor用戶可能會(huì)受到HTTP Cookie劫持攻擊并遭受去匿名化的危險(xiǎn)。

MATIC等人[75]介紹了一種不依賴Tor協(xié)議缺陷的隱藏服務(wù)發(fā)現(xiàn)工具——Caronte。該工具能夠首先在隱藏服務(wù)的內(nèi)容中查找惟一的字符串；然后檢查隱藏服務(wù)的證書鏈以提取可以托管隱藏服務(wù)的候選節(jié)點(diǎn)；接著，工具通過連接到候選者來驗(yàn)證它們，可以在一定概率上自動(dòng)識(shí)別隱藏服務(wù)中的信息泄露，即隱藏服務(wù)的敏感信息或其服務(wù)器IP地址的配置。

圖5 網(wǎng)橋遭受拒絕服務(wù)攻擊而無法為客戶端提供服務(wù)

3.5 針對(duì)貨幣交易業(yè)務(wù)的攻擊

許多用戶因?yàn)槟涿远x擇在匿名網(wǎng)絡(luò)中進(jìn)行大量的貨幣交易。LOE等人[76]調(diào)查了數(shù)十種加密貨幣，發(fā)現(xiàn)許多加密貨幣都容易受到審查，他們將其中一些能夠在Tor網(wǎng)絡(luò)中使用的貨幣種類挑選出來單獨(dú)部署。研究表明，盡管通過Tor網(wǎng)絡(luò)可以減輕審查的風(fēng)險(xiǎn)，但可能無法提供所需的匿名級(jí)別，且使用者必須接受Tor自身延遲較大、帶寬較低的限制條件。BIRYUKOV等人[77]的研究發(fā)現(xiàn)，在Tor網(wǎng)絡(luò)中使用比特幣時(shí)所能獲得的匿名程度是有限的，且容易遭受中間人攻擊。WINTER等人[78]開發(fā)并使用sybilhunter系統(tǒng)分析了9年的Tor網(wǎng)絡(luò)存檔數(shù)據(jù)，發(fā)現(xiàn)了各種Sybils攻擊[79]以及劫持比特幣交易的Tor節(jié)點(diǎn)，并且研究認(rèn)為，現(xiàn)有的Sybils防御措施不適用于Tor。

4 匿名網(wǎng)絡(luò)仿真平臺(tái)研究現(xiàn)狀

面對(duì)著匿名網(wǎng)絡(luò)技術(shù)的逐漸更新以及新功能的不斷出現(xiàn)，研究者們需要以具有一定規(guī)模的仿真平臺(tái)作為技術(shù)支撐。例如，可以搭建大型匿名網(wǎng)絡(luò)爬蟲環(huán)境進(jìn)行網(wǎng)頁(yè)爬取、信息收集、數(shù)據(jù)分析、內(nèi)容監(jiān)管等行為[80]。然而，目前針對(duì)匿名網(wǎng)絡(luò)仿真平臺(tái)的相關(guān)研究較少，大多集中于在已有仿真平臺(tái)上進(jìn)行改進(jìn)，鮮有創(chuàng)新性，這限制了匿名網(wǎng)絡(luò)研究的進(jìn)一步發(fā)展。僅有的能夠進(jìn)行匿名網(wǎng)絡(luò)實(shí)驗(yàn)的途徑大致分為以下幾種，每種實(shí)驗(yàn)平臺(tái)的優(yōu)缺點(diǎn)如表2所述。

表2 五種實(shí)驗(yàn)平臺(tái)的優(yōu)缺點(diǎn)對(duì)比

真實(shí)網(wǎng)絡(luò)中實(shí)驗(yàn)：使用真實(shí)的網(wǎng)絡(luò)環(huán)境不需要額外的工作，可以直接在真實(shí)運(yùn)行的匿名網(wǎng)絡(luò)中進(jìn)行實(shí)驗(yàn)。如楊溢[81]在基于Tor的匿名網(wǎng)絡(luò)空間中嘗試進(jìn)行資源探測(cè)；楊云等人[82]在實(shí)際的Tor網(wǎng)絡(luò)與I2P網(wǎng)絡(luò)進(jìn)行性能與匿名性方面的對(duì)比。使用真實(shí)網(wǎng)絡(luò)的優(yōu)點(diǎn)是開展小規(guī)模實(shí)驗(yàn)的門檻較低，且因?yàn)樘幱谀涿W(wǎng)絡(luò)的生產(chǎn)環(huán)境中，實(shí)驗(yàn)的真實(shí)度相對(duì)較高。但這種方式的缺點(diǎn)也很明顯，真實(shí)的網(wǎng)絡(luò)場(chǎng)景并不是實(shí)驗(yàn)人員可以控制的，只能提供局部的測(cè)試結(jié)果、觀測(cè)視角和控制手段，無法布置全局性的實(shí)驗(yàn)場(chǎng)景；在需要具有相當(dāng)規(guī)模和數(shù)量的節(jié)點(diǎn)參與實(shí)驗(yàn)時(shí)，成本會(huì)大幅度上升；當(dāng)需要進(jìn)行一些具有破壞性的攻擊實(shí)驗(yàn)時(shí)，無法預(yù)計(jì)和掌握波及范圍，可能會(huì)對(duì)其他不參與實(shí)驗(yàn)的正常用戶產(chǎn)生影響。

使用大型網(wǎng)絡(luò)測(cè)試床進(jìn)行實(shí)驗(yàn)：PlanetLab[83]是大型網(wǎng)絡(luò)測(cè)試床的典型代表。該項(xiàng)目開始于2003年，由分布在全球的一千多臺(tái)服務(wù)器組成，實(shí)驗(yàn)者可以向PlanetLab申請(qǐng)若干服務(wù)器組成一個(gè)網(wǎng)絡(luò)分片，并以分片作為平臺(tái)部署實(shí)驗(yàn)軟件。這種使用大型網(wǎng)絡(luò)測(cè)試床的實(shí)驗(yàn)手段提供了一定程度的全局視角，但損失了一定的真實(shí)度，例如申請(qǐng)者申請(qǐng)到的資源是服務(wù)器，也就存在無法控制實(shí)驗(yàn)帶寬和服務(wù)復(fù)雜度的問題，且使用PlanetLab的服務(wù)器在操作性上仍然受到較大限制，只能在有限的時(shí)間范圍和規(guī)模下開展實(shí)驗(yàn)[84]。

模擬實(shí)驗(yàn)：以ExperamenTor[85]為代表的模擬測(cè)試床。其原理是利用虛擬機(jī)和網(wǎng)絡(luò)模擬來搭建所需的實(shí)驗(yàn)環(huán)境，以此達(dá)到較高的全局控制度，也能夠以較低的成本迅速拉起多個(gè)并行的實(shí)驗(yàn)環(huán)境實(shí)例。ExperamenTor采用較為古老的ModelNet[86]作為網(wǎng)絡(luò)模擬工具。ModelNet是一種網(wǎng)絡(luò)模擬器，旨在用于對(duì)真實(shí)網(wǎng)絡(luò)系統(tǒng)進(jìn)行可重復(fù)的大規(guī)模實(shí)驗(yàn)，其運(yùn)行在一臺(tái)獨(dú)立的機(jī)器上。盡管使用ModelNet在效率上有部分的提高，但終究存在性能上限，對(duì)于可能改變的網(wǎng)絡(luò)和設(shè)備規(guī)模而言，無法達(dá)到線性擴(kuò)展的效果。并且因?yàn)槟甏眠h(yuǎn)且沒有開發(fā)人員繼續(xù)進(jìn)行維護(hù)工作，目前網(wǎng)絡(luò)中已經(jīng)無法下載到ExperamenTor的可用版本了。

仿真試驗(yàn)：以TorPs[87]為代表。TorPs仿真了Tor網(wǎng)絡(luò)選擇節(jié)點(diǎn)建立鏈路的過程，即仿真了將Tor合約文件以及對(duì)應(yīng)的服務(wù)器描述符文件轉(zhuǎn)為網(wǎng)絡(luò)狀態(tài)所需的中間文件并輸入給TorPs的過程，以及模擬了客戶端選擇節(jié)點(diǎn)建立鏈路的過程。TorPs的整個(gè)行為過程結(jié)束后，將給出最終建立鏈路所選擇的3跳中繼節(jié)點(diǎn)的IP。通過TorPs的實(shí)際代碼邏輯和實(shí)現(xiàn)過程可以看出，TorPs并沒有模擬出完整的Tor網(wǎng)絡(luò)，僅包含轉(zhuǎn)換文件、客戶端請(qǐng)求連接等過程，因此TorPs只適用于提高或者改變鏈路選擇算法的相關(guān)實(shí)驗(yàn)，并不適用于實(shí)際通信過程中的相關(guān)流量分析等，也無法滿足匿名網(wǎng)絡(luò)的安全性測(cè)試等要求。

半仿真半模擬：以Shadow[88]為代表。Shadow是一個(gè)獨(dú)特的離散事件網(wǎng)絡(luò)模擬器，它可以運(yùn)行Tor和Bitcoin等實(shí)際應(yīng)用程序，以及在一臺(tái)計(jì)算機(jī)上包含數(shù)個(gè)節(jié)點(diǎn)的分布式系統(tǒng)，實(shí)現(xiàn)了一個(gè)網(wǎng)絡(luò)層仿真、應(yīng)用層模擬的測(cè)試環(huán)境，經(jīng)過修改的匿名網(wǎng)絡(luò)軟件通過調(diào)用Shadow提供的Kernel API運(yùn)行在操作系統(tǒng)上。Shadow接管了底層網(wǎng)絡(luò)的實(shí)現(xiàn)并仿真出一個(gè)復(fù)雜的實(shí)驗(yàn)網(wǎng)絡(luò)，達(dá)到在“一個(gè)盒子里運(yùn)行整個(gè)匿名網(wǎng)絡(luò)”的效果。Shadow在模擬和仿真之間作了平衡，在全局性、真實(shí)性方面表現(xiàn)都不錯(cuò)。但是Shadow的缺點(diǎn)也很明顯，進(jìn)行實(shí)驗(yàn)需要額外對(duì)實(shí)現(xiàn)軟件進(jìn)行修改。因此對(duì)于新的匿名網(wǎng)絡(luò)軟件來說，使用Shadow作為研究實(shí)驗(yàn)平臺(tái)需要一定的改造成本，改造的情況也會(huì)直接影響實(shí)驗(yàn)效率、實(shí)驗(yàn)結(jié)果的準(zhǔn)確性和直觀性。

通過以上對(duì)于現(xiàn)有平臺(tái)的分析可以看出，以平臺(tái)為靶場(chǎng)可以嘗試和驗(yàn)證匿名網(wǎng)絡(luò)相關(guān)的各種攻擊手段，也可以借助平臺(tái)構(gòu)造小型匿名網(wǎng)絡(luò)環(huán)境并通過實(shí)驗(yàn)探索以改進(jìn)現(xiàn)有技術(shù)漏洞，但不同的實(shí)驗(yàn)環(huán)境在真實(shí)度、擴(kuò)展性、全局控制度、可操作性、成本等方面進(jìn)行了不同的取舍，無法全面且細(xì)致地從多方面對(duì)匿名網(wǎng)絡(luò)展開研究。

5 匿名網(wǎng)絡(luò)研究發(fā)展趨勢(shì)

近年來，匿名網(wǎng)絡(luò)應(yīng)用的研究進(jìn)入了快速發(fā)展的時(shí)期。為了進(jìn)一步保證通信的隱蔽性以及隱私信息的保密性，研究者們或者設(shè)計(jì)新的匿名網(wǎng)絡(luò)通信協(xié)議，或者在已有的匿名網(wǎng)絡(luò)通信協(xié)議基礎(chǔ)上進(jìn)行改造，以尋求更好的通信傳輸效率和更高的安全等級(jí)。對(duì)于流行的匿名網(wǎng)絡(luò)應(yīng)用則分別在協(xié)議設(shè)計(jì)、代碼實(shí)現(xiàn)、配置搭建和業(yè)務(wù)應(yīng)用等層面展開全面且不同的研究，以尋找其中可能存在的安全威脅并進(jìn)行修復(fù)改進(jìn)。以上工作都離不開大量的測(cè)試結(jié)果和驗(yàn)證數(shù)據(jù)集，甚至需要進(jìn)行橫向?qū)Ρ葘?shí)驗(yàn)和基準(zhǔn)測(cè)試。

對(duì)于匿名網(wǎng)絡(luò)仿真平臺(tái)的研究，目前典型的實(shí)驗(yàn)方式是由一組研究人員控制實(shí)驗(yàn)環(huán)境并實(shí)施實(shí)驗(yàn)。隨著圍繞匿名網(wǎng)絡(luò)的攻防對(duì)抗日趨激烈，也衍生出了多組人員在同一個(gè)實(shí)驗(yàn)環(huán)境中進(jìn)行競(jìng)爭(zhēng)性探索的場(chǎng)景。與此同時(shí)，摩爾定律繼續(xù)發(fā)揮作用，硬件成本持續(xù)下降，研究機(jī)構(gòu)對(duì)于匿名網(wǎng)絡(luò)的投入也越來越多，使得建設(shè)仿真平臺(tái)的成本限制相對(duì)放松，硬件性能和實(shí)驗(yàn)規(guī)模逐步不再成為客觀限制條件。

虛擬化和SDN技術(shù)在近幾年取得了突飛猛進(jìn)的發(fā)展，產(chǎn)業(yè)標(biāo)準(zhǔn)也得到了業(yè)界廣泛的支持。虛擬化技術(shù)在運(yùn)行性能和動(dòng)態(tài)遷移方面有了更好的表現(xiàn)，SDN技術(shù)將網(wǎng)絡(luò)部署的實(shí)現(xiàn)提到了一個(gè)更快更方便的層次，這些基礎(chǔ)技術(shù)的進(jìn)步使得仿真平臺(tái)上實(shí)現(xiàn)靈活組網(wǎng)的手段變得更加豐富。以上這些都對(duì)匿名網(wǎng)絡(luò)仿真平臺(tái)的需求產(chǎn)生了新的變化，同時(shí)仿真平臺(tái)也有了位列前沿的技術(shù)支撐和實(shí)現(xiàn)基礎(chǔ)，新型匿名網(wǎng)絡(luò)仿真平臺(tái)將擁有更好的前景。

對(duì)于匿名網(wǎng)絡(luò)應(yīng)用安全性方面的研究，國(guó)外要領(lǐng)先國(guó)內(nèi)很多，特別是匿名網(wǎng)絡(luò)安全業(yè)務(wù)的研究在國(guó)內(nèi)仍是空白。Tor等典型匿名網(wǎng)絡(luò)自身的通信協(xié)議設(shè)計(jì)在逐步升級(jí)和完善，想要發(fā)現(xiàn)協(xié)議本身的攻擊難度將越來越大，這成為了國(guó)內(nèi)外科研領(lǐng)域的熱點(diǎn)研究?jī)?nèi)容。也有很多學(xué)者在Tor瀏覽器中尋找可被利用的漏洞，嘗試在協(xié)議的實(shí)現(xiàn)過程中發(fā)現(xiàn)去匿名化攻擊的可能。此外，如果能夠針對(duì)匿名網(wǎng)絡(luò)服務(wù)的網(wǎng)站內(nèi)容進(jìn)行安全性的研究，將對(duì)輿情分析、威脅信息報(bào)警等各方面有很大的幫助；該領(lǐng)域的研究成果可促進(jìn)今后匿名網(wǎng)絡(luò)中網(wǎng)絡(luò)安全犯罪感知、監(jiān)控與處理的一整套體系的完善。隨著人工智能、大數(shù)據(jù)分析時(shí)代的到來，匿名網(wǎng)絡(luò)中難以遏制且越發(fā)猖狂的網(wǎng)絡(luò)安全犯罪將越來越需要強(qiáng)有力的監(jiān)管手段，因而，重視該領(lǐng)域的研究可加強(qiáng)網(wǎng)絡(luò)安全的監(jiān)管力度，為國(guó)家網(wǎng)絡(luò)安全工作的治理做出貢獻(xiàn)。

6 結(jié)束語

如今網(wǎng)絡(luò)已成為聯(lián)通世界各地的一個(gè)自由開放的新世界。人們對(duì)于匿名聊天交流、匿名商業(yè)溝通的需求促進(jìn)著匿名網(wǎng)絡(luò)的發(fā)展。但匿名網(wǎng)絡(luò)的兩面性也使之成為了滋生犯罪的溫床，嚴(yán)重威脅著網(wǎng)絡(luò)空間的安全，應(yīng)引起更多的重視。筆者首先介紹了匿名網(wǎng)絡(luò)的基本概念、匿名網(wǎng)絡(luò)與暗網(wǎng)的關(guān)系以及典型匿名網(wǎng)絡(luò)Tor的原理，又介紹了匿名網(wǎng)絡(luò)系統(tǒng)與匿名網(wǎng)絡(luò)監(jiān)管研究現(xiàn)狀。然后重點(diǎn)對(duì)現(xiàn)有的匿名網(wǎng)絡(luò)和匿名通信技術(shù)應(yīng)用的安全性研究做了分類歸納，針對(duì)鏈路攻擊、流量分析、網(wǎng)站指紋攻擊和其它類型的攻擊分別總結(jié)了攻擊方式與防御方案。接著著重從多維角度分析了目前5種不同類型匿名網(wǎng)絡(luò)仿真平臺(tái)的優(yōu)劣勢(shì)，并發(fā)現(xiàn)目前缺乏創(chuàng)新性仿真平臺(tái)的研究限制了匿名網(wǎng)絡(luò)的發(fā)展和應(yīng)用。最后，筆者還結(jié)合目前引起廣泛關(guān)注的虛擬化、SDN、人工智能、大數(shù)據(jù)分析等新技術(shù)，展望了未來可能的匿名網(wǎng)絡(luò)仿真平臺(tái)研究、應(yīng)用安全性研究、網(wǎng)絡(luò)安全業(yè)務(wù)研究的方向。