匿名通信網(wǎng)絡(luò)Tor的實現(xiàn)原理及攻擊技術(shù)研究

◆徐俊杰

匿名通信網(wǎng)絡(luò)Tor的實現(xiàn)原理及攻擊技術(shù)研究

◆徐俊杰

（江蘇理工學(xué)院 江蘇 213000）

Tor是目前使用最廣泛的匿名通信系統(tǒng)之一，是對洋蔥路由技術(shù)層層加密和多跳代理的一種增強(qiáng)實現(xiàn)。匿名通信網(wǎng)絡(luò)可以保護(hù)用戶的身份信息、地址等隱私不被泄露，但是由于隱私增強(qiáng)技術(shù)被廣泛應(yīng)用于人們的日常生活，如網(wǎng)頁瀏覽、即時通信等，也使得針對匿名網(wǎng)絡(luò)通信系統(tǒng)的攻擊技術(shù)的研究不斷深入。本文以典型的匿名通信網(wǎng)絡(luò)Tor為例，概述了它的發(fā)展歷程，解釋了其實現(xiàn)的基本原理，介紹了目前針對匿名網(wǎng)絡(luò)的主流攻擊技術(shù)，供相關(guān)讀者參考。

匿名通信網(wǎng)絡(luò)；Tor；匿名性攻擊；水印技術(shù)；重放

匿名通信的概念最初由Chaum[1]在1981年提出，他也最早提出了Mix網(wǎng)絡(luò)技術(shù)，在該網(wǎng)絡(luò)中，Mix節(jié)點將接收到的來自發(fā)送者的信息通過加密、延遲、填充等方式進(jìn)行混合處理后再傳輸給下一個節(jié)點，以此來隱藏通信雙方的身份信息，實現(xiàn)高匿名性，是一種犧牲了性能的高時延匿名通信技術(shù)。1996年，Goldschlag[2]等美國海軍研究實驗室的員工提出了第一代洋蔥路由技術(shù)，洋蔥路由網(wǎng)絡(luò)首先在通信雙方之間建立一條虛電路，傳輸路徑中的任一路由節(jié)點只知道前一個節(jié)點和后一個節(jié)點的身份信息，為建立連接的雙方提供實時的雙向匿名服務(wù)，因而它是一種低時延的匿名通信技術(shù)。2004年，Dingledine[3]等提出了第二代洋蔥路由技術(shù)，即實現(xiàn)Tor的主要技術(shù)，在第一代的基礎(chǔ)之上進(jìn)一步提高了安全性，如將加密算法由公鑰加密變?yōu)榱薉iffie-Hellman密鑰交換算法。

1 Tor匿名網(wǎng)絡(luò)的基本原理

1.1 匿名的定義

本文中匿名的定義是基于Pfittzmann等在PET 2000上提出的匿名與隱私研究的術(shù)語提案，“匿名”是“一個主體在一組集合（即匿名集合，AnonymitySet）中不可識別的狀態(tài)”。匿名集合指的是“所有可能的主體構(gòu)成的集合”。根據(jù)匿名集合的大小可以判斷匿名系統(tǒng)的匿名性強(qiáng)弱，可以理解為匿名集合越大，匿名集合中的每個對象被攻擊者關(guān)注的概率越低，則匿名性越強(qiáng)；根據(jù)匿名集合的變化可以衡量攻擊者對匿名系統(tǒng)的攻擊效果[4]。

對通信系統(tǒng)匿名性定性、定量的定義一般都采用基于信息熵的定義[5]，具體形式如下：

為匿名集合中對象的數(shù)量，P為集合中的對象被攻擊的概率。由于該匿名性定義將匿名集合中的對象數(shù)量、集合中每一個對象被攻擊的概率等因素都考慮到，因此可以使用它來定量的描述和判斷一個通信系統(tǒng)的匿名性。

匿名可以分為三種類型：發(fā)送者匿名（sender anonymity）、接受者匿名（receiver anonymity）和通信關(guān)系匿名（relationship anonymity），這三種類型分別保護(hù)了發(fā)送者的身份信息不被泄漏、接受者的身份信息不被泄漏、雙方是否在進(jìn)行通信的狀態(tài)不被泄漏。

1.2 Tor系統(tǒng)組成概述

Tor網(wǎng)絡(luò)是由分散在全球的志愿者提供運行的路由節(jié)點構(gòu)成的一個分布式的覆蓋網(wǎng)絡(luò)，其主要由以下5個基本節(jié)點構(gòu)成：

（1）權(quán)威目錄服務(wù)器（Authoritative Directory）：Tor網(wǎng)絡(luò)的核心，負(fù)責(zé)整個網(wǎng)絡(luò)中節(jié)點信息的維護(hù)，并以節(jié)點快照和描述符的形式提高給Tor客戶端代理。

（2）路由節(jié)點：也稱為中繼節(jié)點，是Tor網(wǎng)絡(luò)的基礎(chǔ)，兩個路由節(jié)點之間采用傳輸層協(xié)議TLS進(jìn)行加密傳輸，在通信過程中，一般選擇3個節(jié)點建立匿名鏈路。

（3）洋蔥代理（Onion Proxy）：Tor的客戶端，為客戶端提供本地的SOCKS代理，負(fù)責(zé)建立匿名鏈路。由于其使用SOCKS代理，因此Tor只能通過TCP傳輸消息。

（4）網(wǎng)橋節(jié)點（Bridge）：網(wǎng)橋是一類特殊的中繼節(jié)點，屬于未公開的資源，Tor用戶只能通過Https或E-mail請求的方式獲取Tor網(wǎng)橋。網(wǎng)橋可以作為匿名鏈路中的第一跳，即入口節(jié)點，來對抗節(jié)點的枚舉攻擊。

（5）隱藏服務(wù)器：運行隱藏服務(wù)的服務(wù)器可以在為用戶提供網(wǎng)絡(luò)服務(wù)的同時，隱藏自身的IP地址。

1.3 Tor匿名通信的主要過程

（1）用戶首先通過Tor客戶端代理從目錄服務(wù)器獲得Tor路由節(jié)點的快照及描述。Tor代理會周期性地從目錄服務(wù)器中下載Tor網(wǎng)絡(luò)中節(jié)點的信息，如IP地址等，用于選擇建立匿名鏈路的路由節(jié)點。

（2）Tor代理基于Tor匿名鏈路建立算法選擇3個路由節(jié)點建立匿名鏈路，如圖1所示，分別是入口（Entry）節(jié)點，中間（Middle）節(jié)點，出口（Exit）節(jié)點。在鏈路的建立過程中，Tor代理分別與入口、中間、出口節(jié)點通過Diffie-Hellman密鑰協(xié)商生成共享密鑰K1，K2，K3，用于在接下來的通信過程中加密轉(zhuǎn)發(fā)數(shù)據(jù)。

圖1 Tor匿名網(wǎng)絡(luò)通信的基本結(jié)構(gòu)

（3）在通信過程中，客戶端依次使用第二步中生成的密鑰K3，K2，K1對將要傳輸?shù)南⑦M(jìn)行AES加密，當(dāng)入口節(jié)點接收到來自客戶端的消息后，使用K1對其解密后轉(zhuǎn)發(fā)給中間節(jié)點；中間節(jié)點使用K2對接收到的消息進(jìn)行解密后轉(zhuǎn)發(fā)給出口節(jié)點；出口節(jié)點使用K3對收到的消息進(jìn)行解密，還原出客戶端發(fā)送的原始消息，最后發(fā)送給通信目標(biāo)。當(dāng)通信目標(biāo)接收到來自客戶端的消息后，其會向客戶端返回相應(yīng)的數(shù)據(jù)，通信過程與上述過程相同，不同的是由出口節(jié)點處開始，因此，針對每一個來自入口節(jié)點的數(shù)據(jù)，客戶端都會依次使用K1，K2，K3對其進(jìn)行解密，以此來還原出通信目標(biāo)所返回的數(shù)據(jù)。

客戶端代理除了選擇3個路由節(jié)點來建立匿名鏈路之外，也可以選擇Tor網(wǎng)橋節(jié)點來作為匿名鏈路的入口節(jié)點。由于Tor網(wǎng)橋節(jié)點并不是公開的資源，而是由Https，E-mail等方式發(fā)布，因此可以避免用戶和攻擊者通過枚舉方式得到所有的網(wǎng)橋節(jié)點，增加了網(wǎng)絡(luò)的匿名性。

2 針對Tor匿名網(wǎng)絡(luò)的攻擊技術(shù)

根據(jù)攻擊方法的不同，將匿名性攻擊技術(shù)分為被動攻擊和主動攻擊兩類。

2.1 被動攻擊技術(shù)

被動攻擊是攻擊者通過監(jiān)視和記錄進(jìn)入和離開匿名網(wǎng)絡(luò)的流量來進(jìn)行分析，得出一定的特征后再進(jìn)行攻擊。它的優(yōu)點是隱蔽性好，只需要監(jiān)聽網(wǎng)絡(luò)流量目前主流的被動攻擊技術(shù)即基于網(wǎng)站指紋的匿名性攻擊。

2.1.1基于網(wǎng)站指紋的匿名性攻擊

指紋攻擊技術(shù)主要通過監(jiān)視匿名網(wǎng)絡(luò)通信的一端，如用戶端的流量，再利用觀察到的特定網(wǎng)站經(jīng)匿名網(wǎng)絡(luò)返回的數(shù)據(jù)包進(jìn)行特征分析，得出相應(yīng)的網(wǎng)站指紋。

Panchenko[6]等提出了一種通過提取Tor客戶端用戶訪問特定網(wǎng)站的流量的大小、時間和方向特征來得出指紋，以此來識別匿名通信的目標(biāo)服務(wù)器，如圖2所示。

圖2 基于指紋特征的匿名性攻擊

首先通過匿名網(wǎng)絡(luò)訪問特定的網(wǎng)站，通過提取網(wǎng)站流量的特征來構(gòu)造向量機(jī)模型，再通過嗅探用戶的網(wǎng)絡(luò)流量，利用訓(xùn)練好的模型進(jìn)行分類和識別，最終推斷出用戶訪問的網(wǎng)站或者目標(biāo)服務(wù)器。

隨著對機(jī)器學(xué)習(xí)研究不斷深入，為匿名網(wǎng)絡(luò)的指紋攻擊技術(shù)提供了技術(shù)支持，目前指紋攻擊方法使用的機(jī)器學(xué)習(xí)算法通常包括支持向量機(jī)（SVM）、k近鄰算法以及深度神經(jīng)網(wǎng)絡(luò)等，通過這些算法訓(xùn)練出的模型對指紋的識別會更準(zhǔn)確，從而破壞匿名通信網(wǎng)絡(luò)的匿名性。

2.2 主動攻擊技術(shù)

被動攻擊需要對通信網(wǎng)絡(luò)的一端進(jìn)行長時間的監(jiān)視和記錄大量的流量數(shù)據(jù)，雖然具有很高的隱蔽性，但是攻擊效率不高。與被動攻擊相比，主動攻擊技術(shù)具有高效率和較高的實時性。常見的匿名性主動攻擊方法有惡意節(jié)點攻擊、水印攻擊、單元計數(shù)攻擊、重放攻擊等。本文主要介紹基于流量確認(rèn)或者流量分析的匿名性攻擊技術(shù)：水印攻擊、單元計數(shù)攻擊和重放攻擊。

2.2.1水印攻擊和單元計數(shù)攻擊

水印攻擊技術(shù)屬于一種流關(guān)聯(lián)技術(shù)，即攻擊者在匿名通信鏈路的一端主動植入水印，在可能的鏈路另一端進(jìn)行流量監(jiān)測，如果能夠在鏈路的另一端檢測到水印，則說明兩者之間存在通信關(guān)系，也就是發(fā)送者和接受者的通信關(guān)系不再是匿名，如圖3所示。水印攻擊方式兼具高隱蔽性、高效率和實時性的特點，是網(wǎng)絡(luò)層最主要的流量攻擊方式之一。

圖3 基于流量確認(rèn)的水印攻擊

水印載體可分為包載荷、流速率、包時間3種類型，基于這3種類型，流水印攻擊技術(shù)的研究方向也多種多樣，如基于流速率特征的水印攻擊、基于流時間時隙分割特征的水印攻擊等。

單元計數(shù)攻擊的原理類似于水印攻擊，但與水印攻擊通過修改水印載體的特征不同的是，單元計數(shù)攻擊主要針對通信過程中的傳輸單元特征，在單元之間插入特殊信號，攻擊者在已經(jīng)被控制的惡意節(jié)點處進(jìn)行檢測。

2.2.2重放攻擊

重放攻擊技術(shù)最初是由Pries[7]等提出的一種匿名網(wǎng)絡(luò)追蹤技術(shù)，其屬于流量確認(rèn)攻擊。由于Tor在通信過程中采用計數(shù)模式的AES加密算法（AES-CTR），因此只要改變中途的計數(shù)器數(shù)量，導(dǎo)致后續(xù)的出口節(jié)點解密失敗，就可以使匿名通信過程受到干擾失敗。

Fu[8]等基于Tor的AES計數(shù)器加密模式的協(xié)議缺陷，提出了一種主動的流量確認(rèn)攻擊方法。首先，假設(shè)攻擊者已經(jīng)控制了匿名鏈路的入口節(jié)點，則攻擊者就可以在該入口節(jié)點處對要發(fā)送的數(shù)據(jù)包進(jìn)行復(fù)制，然后沿著相同的匿名路徑發(fā)送給出口節(jié)點，由于重放的數(shù)據(jù)包擾亂了AES計數(shù)器的結(jié)果，在出口節(jié)點處無法正確解密重放的數(shù)據(jù)包，導(dǎo)致此匿名鏈路通信失敗，如圖4所示。

圖4 重放攻擊完整過程

重放攻擊是一種效率極高的攻擊方式，并且需要的資源也很少，通過控制Tor匿名網(wǎng)絡(luò)中的小部分節(jié)點，即可使大部分的匿名通信鏈路中斷，降低整個網(wǎng)絡(luò)的匿名性。

3 結(jié)語

本文首先概述了匿名網(wǎng)絡(luò)Tor的發(fā)展歷程，從最初的Mix網(wǎng)絡(luò)技術(shù)直到第二代洋蔥路由技術(shù)，Tor網(wǎng)絡(luò)是基于第二代洋蔥路由技術(shù)的匿名網(wǎng)絡(luò)。匿名性是對于一個匿名通信系統(tǒng)的重要衡量標(biāo)準(zhǔn)，是通信系統(tǒng)安全的核心問題，采用基于信息熵的匿名度定義可以較為準(zhǔn)確評價一個系統(tǒng)的匿名性。匿名通信網(wǎng)絡(luò)可以使得用戶在進(jìn)行網(wǎng)絡(luò)行為時自身的隱私不被泄露，但是匿名網(wǎng)絡(luò)的快速發(fā)展以及用戶的不斷增加，導(dǎo)致針對匿名通信的攻擊技術(shù)也在不斷迭代更新。

匿名性攻擊分為被動攻擊和主動攻擊，被動攻擊技術(shù)以耗費大量時間和資源對流量進(jìn)行監(jiān)測和記錄分析為主，如基于指紋推斷的攻擊技術(shù)，盡管通過機(jī)器學(xué)習(xí)算法如支持向量機(jī)等技術(shù)可以幫助攻擊者建立更為準(zhǔn)確的模型，但是隨著網(wǎng)絡(luò)的發(fā)展和網(wǎng)站的不斷更新，并且由于用戶訪問網(wǎng)站的時間是隨機(jī)的，導(dǎo)致攻擊者想要及時更新指紋庫和嗅探流量都很困難，因此，在現(xiàn)實生活中，這種攻擊方式是不可取的。與被動攻擊技術(shù)相比，主動攻擊技術(shù)具有更高的效率和實時性。水印技術(shù)通過在發(fā)送者要發(fā)送的數(shù)據(jù)包中植入標(biāo)記特征或者信號，然后在出口節(jié)點處進(jìn)行流量的監(jiān)測，如果發(fā)現(xiàn)標(biāo)記匹配，則可以確定發(fā)送者和接受者的通信關(guān)系。重放攻擊是一種以較低的資源來獲得較高的攻擊效果的方式，具有高效率。假設(shè)攻擊者控制了入口節(jié)點，通過在入口節(jié)點處復(fù)制要傳輸?shù)臄?shù)據(jù)包，然后沿著相同的路徑經(jīng)過中間節(jié)點，發(fā)送給出口節(jié)點。由于中途計數(shù)器受到了重放的干擾，導(dǎo)致出口節(jié)點不能夠正常的解密數(shù)據(jù)包，因此通信過程被迫中斷，從而降低了系統(tǒng)的匿名性。

隨著互聯(lián)網(wǎng)安全的不斷發(fā)展，匿名通信已經(jīng)成為其不可分割的一部分。匿名通信網(wǎng)絡(luò)最初的目的是保護(hù)通信雙方的隱私不被泄露，但是如今匿名攻擊技術(shù)層出不窮，未來希望Tor匿名網(wǎng)絡(luò)可以在保護(hù)用戶隱私的同時也能夠監(jiān)測惡意流量并屏蔽惡意行為。

[1]CHAUM D.Untraceableelectronicmail，returnaddre-sses， and digitalpseudonyms[J].CommunicationsoftheAC-M，1981，24（2）：84-90.

[2]GOLDSCHLAG R，MATHEWSON N，SYVERSON P F. Hiding routing information[C]//First International Worksh-op on Information Hiding. 1996：137-150.

[3]DINELEGINE R，MATHEWSON N，SYVERSON P. Tor：the second-generation onion router[C]//Proceedings of th-e 13thUSENIX Security Symposium. 2004：303-320.

[4]PFITZMANN A，KHNTOPP M. Anonymity，unobserv-ability，and pseudonymity：a proposal for terminology[C]//Pr-oceedings of Workshop on Design Issues in Anonymity and Unobservability. 2000：10-29.

[5]Díaz C，Seys S，Claessens J，et al. Towards measuri-ng anonymity. Privacy Enhancing Technologies，2482：54-68.

[6]PANCHENKO A，NIESSEN L，ZINNEN A，et al. W-ebsite fingerprinting in onion routing based anonymization n-etworks[C]//Proceedings of the 10thannual ACM workshop on Privacy in the electronic society. 2011：103-114.

[7]Pries R，Yu W，F(xiàn)u Xinwen，et al. A new replay atta-ck against anonymous communication networks. //Proc of th-e IEEE Int Conf on Communications（ICC）. Piscataway，NJ：IEEE， 2008.

[8]FU X，LING Z，LUO J，et al. One cell is enough t-o break Tor’s anonymity[J]. Proc. Black Hat DC，2009.