基于SDN 節點淆亂機制的接收方不可追蹤的混合匿名通道

趙蕙，王良民

（江蘇大學計算機科學與通信工程學院，江蘇 鎮江 212013）

1 引言

開放的互聯網中隱藏著大量的網絡活動、用戶身份、區域位置等敏感信息。斯諾登事件、Facebook用戶數據信息泄露事件等，讓互聯網用戶意識到在使用網絡的過程中，需要保護自己的隱私信息[1]，這種隱私保護可以通過保護信息的內容實現，也可以通過保護信息發布或接收者的身份實現。匿名通信技術通過隱藏通信實體的身份信息，使網絡的攻擊者不知道誰發送了數據和接收了數據，無法關聯發送方和接收方之間的數據傳輸，吸引了廣大研究者和網絡用戶的興趣。廣泛使用的匿名系統有Tor[2]、Anonymizer[3]、I2P[4]、JAP[5]、Freenet[6]等。這些匿名系統中，Tor 的影響最大，諾威治大學的一份暗網交易分析報告顯示，每年有超過1 億美元的網絡交易是利用Tor 等工具在暗網完成的。

然而，這些匿名技術在保護了匿名者隱私的同時，也隱藏了違法者的交易[7]。因此，一些針對匿名系統的監控方法也得到了廣泛的研究，如被動和主動流量分析[8]、基于機器學習進行網站指紋分析[9]、攻擊Tor 節點上運行的其他服務[10]等。這些監控技術大大降低了匿名性，雖然增加中繼節點、延長匿名轉發路由的措施可以降低匿名通道被發現的可能性，但是，由于通過中繼節點進行層層加密的間接消息傳輸會導致較長的端到端路徑，明顯加劇匿名網絡的訪問速度，帶來較大的時延和下載時間，如Tor 匿名網絡中，每增加一個中繼節點，網絡服務的時延會增加到原來的1～2 倍，這對原本就服務體驗不佳的匿名系統會帶來災難性的影響。

本文主要集中在匿名通道的出口節點，借力當前新興的SDN[11]的特性，將出口節點隱藏在一個SDN 域內，雖然有限地增加了匿名通道長度，但可大大降低通道被捕獲的概率。

本文工作主要體現在以下幾點。

1)在匿名通道出口節點所在區域，利用SDN在域內構建淆亂，降低匿名通道出口的發現概率和匿名路徑的可追蹤率。

2)SDN 域內淆亂路徑和原有匿名通道結合的混合通道，同時提供發送方和接收方匿名，SDN 域內接收方的匿名性不依賴于（或者說獨立于）發送方做出的選擇。混合通道的匿名性隨SDN 域所選的參與淆亂結構的節點規模的增長而增強，而網絡代價上遠遠低于在原有通道上增加一倍中繼節點帶來的時延。

2 相關工作

與本文相關的研究工作包括現有匿名系統的通道構建方法、SDN 域的基本知識，以及在SDN域內構建匿名通道的方法。

2.1 匿名的常見方法

匿名領域的開創性工作最初源于 1981 年Chaum[12]提出的Mix-net 方法，該方法是大部分匿名協議的基礎。匿名通信系統可以根據時延性能、網絡類型、路由方案、密碼學機制等不同屬性進行分類[13-14]。當前傳統互聯網中典型的匿名系統可以稱為Overlay覆蓋層匿名系統。這類系統建立在TCP傳輸層的基礎之上，選擇采用混淆、多層加密、多次轉發的方法，達到間接隱藏分組頭信息，并抵制流量分析的目的，其中比較有影響的典型系統有Tor[2]、Anonymizer[3]、I2P[4]、JAP[5]、Freenet[6]等。較新的研究，如Riffle[15]、Aqua[16]、Herd[17]等面向匿名文件分享和IP 語音的應用，被認為是現有匿名系統的應用補充，并能更好地對抗流量分析。

隨著未來互聯網架構的研究發展，出現了Network-layer 網絡層匿名通信系統[18]，主要借助新的互聯網架構中分段路由等關鍵技術，使路由器等網絡基礎設施參與建立匿名通信通道，并協助轉發匿名流量。與覆蓋層匿名系統間接隱藏分組頭的匿名通信方法不同，這種匿名技術在網絡層直接隱藏分組頭，在理論上被認為有更快的傳輸速度和更高的可擴展性。目前，比較有代表性的有Dovetail[19]、HORNET[20]、PHI[21]、TARANET[22]等。相比Overlay 結構下的匿名系統Tor 和I2P 約100 Mbit/s 的吞吐量，網絡層匿名系統HORNET 等可達到約100 Gbit/s 的吞吐量[18]。但是不足之處在于，在安全性方面，輕量級加密技術使該類系統匿名性稍弱。此外，目前網絡路由結構還不能全面支持網絡層匿名系統，該系統走向具體應用還有相當長的時間。因此，目前實用的系統中主要還是使用Tor 等傳輸速度較慢的Overlay 結構的匿名技術構建的通道，覆蓋網絡匿名通信協議和網絡層匿名通信協議在可拓展性、時延、吞吐量、安全和匿名性以及部署規模等方面的對比如表1 所示。

2.2 針對Tor 匿名的攻擊方法

Tor 是目前使用最廣泛的低時延匿名系統[23]，也是最具有代表性的第二代洋蔥路由匿名系統，其使用洋蔥路由方法對消息進行多層加密和多次轉發，使消息看起來好像來自它的最后一個中繼，而不是用戶。其結構包含洋蔥代理、洋蔥節點和目錄服務器，這些功能都集成在Tor 的軟件包中，用戶可以下載公開源碼的軟件包，通過修改軟件的配置文件實現Tor 的具體功能。

從匿名性方面考慮，如果Tor 用戶隨機選擇路徑長度來抵抗攻擊者對路徑中節點位置的學習，同時選擇更多Tor 節點參加消息中繼，可以獲得更高的系統匿名性。但是，中繼節點的數量與系統的傳輸速度成反比，考慮到提供交互服務的實時體驗，當前默認的方法中，Tor 總是選擇3 個與自己和目的地無關的洋蔥路由節點來構建一條匿名傳輸路徑，并在概率上傾向于選擇具有高帶寬能力的節點以平衡負載、降低時延，并且不對流量做批處理、填充或整形[24]，這些以傳輸性能為出發點的設計都降低了Tor 匿名性。

表1 覆蓋網絡匿名通信協議和網絡層匿名通信協議

針對Tor 匿名性的攻擊，最具代表性、危害最大的是流量分析[25]。攻擊者可以通過控制入口/出口節點對及統計相關性方法關聯通信的實體、識別Tor 用戶身份，如圖1 所示。文獻[26]利用Cisco 的NetFlow 監測工具檢測服務器端和客戶端信息的相關性，對實驗室和現實網絡中Tor 用戶的正確識別率分別達到100%和81.6%。文獻[27]顯示控制9%的Tor 節點就可以關聯46.46%～60.58%的匿名路徑，并且Tor 網絡出口節點到接收方的明文連接會使接收方完全暴露在網絡中，盡管可以通過隱藏服務提高接收方匿名，但基于網站指紋研究的攻擊者可以識別出與隱藏服務有關的電路和其在隱藏服務中的角色的情況下，發起網站指紋攻擊，破解用戶所訪問的隱藏服務[28]。政府級別的強制監管可以在管轄權范圍內與企業合作，要求ISP（Internet service provider）在傳輸過程中復制用戶的流量動態并通過安全通道將其轉發；可以將監控設備架設在主干網等特權位置，保證更快的應對速度，再利用數據分析工具篩選流量，識別Tor 用戶。

圖1 Tor 流量分析示意

這些針對Tor 的流量分析，大大降低了Tor 的匿名性。雖然可以通過增加中間節點數目（目前典型的Tor 網絡是3 個中繼節點）增強匿名性，但是這種方法一方面顯著降低了匿名服務的效率，另一方面如果出口節點被攻擊者控制，則增加節點來抵抗流量分析并沒有顯著的效果。因此，本文嘗試通過SDN 域內淆亂的方法，隱藏出口節點，提高匿名通道的匿名性。

2.3 SDN 匿名

SDN 是一種新興網絡架構，它采用中央集中控制機制，將控制邏輯從路由器和交換機中分離出來，以軟件方式由SDN 控制器集中規劃，SDN 控制器可以俯瞰整個網絡，可以對網絡內的交換機快速編程，具有高效的控制管理和可編程特性。

不同文獻的研究關注點在隨機改變IP 地址和端口[29]、需要修改主機[30,31]、伸縮性部署[32]、特定應用和協議限制[33]、數據分組應用加密[34]、多路徑路由選擇[35]等方面各有差別。其中比較典型的方法是利用SDN 控制器對網絡拓撲進行的全局視角和集中式可編程管理，由控制器分配域內地址空間，計算傳輸路由，向交換機安裝流規則，通過SDN交換機節點重寫或移除數據分組原始分組頭，改變消息中真實的IP 地址、MAC 地址、端口等信息，從而達到隱藏通信雙方身份的目的。

為提高匿名通道的傳輸效率，一些研究者提出在SDN 域內建立匿名通道的方法。文獻[29]面向數據中心網絡高帶寬低時延的應用需要，提出C/S 結構的mimic 匿名通道，通道中的消息流經若干臺由控制器指定的交換機節點，這些交換機節點相當于輕量級的匿名中繼，它們不能進行加解密等計算密集型操作，只可以根據控制器下發的流表執行分組頭信息的修改，從而獲得匿名，控制器是mimic 通道內所有路由的計算和管理者。文獻[29]考慮了路由沖突避免機制、流量分析抵制機制，以及部署時如何與入侵檢測、防火墻等系統共存。文獻[30]提出可部分部署的網絡層匿名系統iTAP（in-network traffic analysis prevention），通過在SDN 的邊緣交換機節點重寫分組頭，隨機改變IP 地址，從而隱藏真實身份，使網絡內實際地址和通信主機的數量都不能被識別。iTAP 最少需要2 臺SDN 交換機設備就可以部署，系統可伸縮性強，匿名性隨SDN 設備的數量線性增長。

SDN 內的匿名傳輸通道與Tor 相比，有更短的路由建立時間、更短的傳輸時延、更大的網絡吞吐量，并且因為在底層網絡傳輸，匿名路徑長度的增加對時延的影響明顯小于路徑長度增加對Tor 的影響。但是，控制器節點成為系統唯一脆弱點，存在單點失效問題，即控制器了解整個通道的節點及流量。

3 網絡結構和威脅模型

考慮當前典型的混合結構的互聯網模型，面向接收方不可追蹤的匿名系統的發送方（Alice）和接收方（Bob）可以利用公開的匿名系統建立匿名通信渠道，但是對其匿名性存在擔憂，尤其是接收方很可能被攻擊者發現，如Tor 系統中，出口節點到接收方的明文連接會使接收方完全暴露在網絡中，使用Tor 隱藏服務建立的匿名通道也可能被指紋攻擊破解[28]。

在混合網絡模型中，Bob 可能位于一個與Alice不同的網絡域，因此無法直接使用基于SDN 構建的匿名通道，如mimic[29]、PHEAR（packet header randomization）[34]等。因此，在模型中，Alice 利用公開的匿名系統，同時為保證處于可信SDN 自治域內的Bob 的通信身份不被泄露，設置淆亂節點Bobo 作為接收方Bob 的影子節點，代理往來Bob的消息，Bobo 同時連接2 段不同的匿名通道，形成混合匿名通道。具體結構如圖2 所示。

圖2 混合匿名通道示意

圖2 所示網絡存在3 類不同屬性的域：1)發送方所在的域；2)接收方所在的域；3)不同于發送方和接收方的第三方的多個網絡域。網絡的威脅模型主要來自第三方域。根據Delve-yao 安全模型假設，在本文的威脅模型中，除發送方和接收方所在域外，都被匿名系統的分析者完全掌握，經過第三方域的流量、明文傳輸的信息內容都為分析者所知曉。同樣，根據Delve-yao 安全模型假設，攻擊者不能破壞密碼原語，一切的安全性和匿名性源于發送者和接收者對于所持有密鑰的機密性。

本文使用的符號及其定義如表2 所示。

表2 本文使用的符號及其定義

4 基于Tor 的跨域混合通道結構

Internet 由多個復雜異構管理域構成，本節提出的混合匿名通道構建方法，主要考慮跨域匿名通信，通過對出口節點的淆亂，進而提高整個通道的匿名性。基于一般性匿名系統中通道構建的基本規范，本節從淆亂節點選擇、端到端通信建立、淆亂路徑計算和淆亂節點更新這4 個方面構建跨網絡域的混合通道。

4.1 淆亂節點選擇

淆亂節點（obfuscated node）是具有計算能力的主機節點。Bob 從所在的SDN 域內選擇淆亂節點作為自己的影子節點，記為Bobo，參與通道的構建。淆亂節點Bobo 需要同時滿足以下3 個方面的屬性。

1)隨機性。Bobo 的選擇是隨機性產生，不能和Bob 具有明顯關聯。

2)多路徑關聯。Bobo 可以通過多條路徑到達Bob，不能僅有一條或者太少的容易被跟蹤的路徑。

3)高效率路由。Bobo 和Bob 之間的數據傳輸可以滿足匿名訪問的數據傳輸需求。

需要獲得接收方匿名服務的Bob 向SC 請求匿名服務注冊后，得到SC 分配的虛擬地址。Bob在淆亂節點集合中隨機選出λ個節點（λ≥1）作為自己的淆亂節點Bobo，向SC 請求建立與 Bobo之間的匿名通道。SC 存儲消息的源和目的地址，根據Bob 請求中速度優先還是匿名優先等服務質量（QoS,quality of service）信息，利用對域內網絡拓撲的掌握，計算匿名傳遞消息的路由通道，完成真實地址和虛擬地址之間的映射。這是一條由SDN 交換機組成的底層網絡匿名路徑，入口交換機地址、轉發交換機地址都是由 SDN 控制器計算分配的域內虛擬地址。在這條生成的匿名路徑中，只有入口交換機知道發送方的真實地址，只有出口交換機知道接收方的真實地址，SDN 控制器將沿著匿名路徑，給交換機安裝重寫分組頭和轉發規則的流表，交換機將收到的數據分組和流表匹配，執行分組頭重寫和向前轉發。因此，路徑中的每一臺交換機只會收到將數據分組轉發到下一跳的必要指令，像洋蔥路由一樣，每臺交換機只知道通信鏈路中的上一跳和下一跳，獲得入口交換機和出口交換機的不可關聯性。Bob 通過這條匿名路徑建立向Bobo 的連接，請求Bobo作為自己的淆亂節點，得到Bobo 的響應后。Bob向SC 請求建立與TDS 之間的匿名通道，通過該通道將自己的公鑰和 Bobo 的連接信息發布到TDS，這樣，任何一個發送方要給Bob 發送信息時，查詢TDS 得到的是Bobo 的地址信息，從而達到了以淆亂節點保護真實接收方的目的。圖3描述了協議的執行過程。

圖3 混合通道協議選擇和建立淆亂節點

協議中第3)步和第4)步由算法1 給出描述。

算法1淆亂節點的選擇和匿名路徑生成

輸入混合通道淆亂節點集合SBobo{ }，參數λ表示被選出的淆亂節點個數，消息的源和目的地址

輸出淆亂節點Bobo1,Bobo2,…,Boboλ，SDN匿名通道路由和虛擬地址。

4.2 混合通道端到端通信建立

需要與Bob 通信的發送方客戶端Alice，使用公開匿名協議，建立一條到達TDS 的匿名電路。以Tor 為例，Alice 從Tor 的洋蔥目錄中下載共識文件，獲取洋蔥路由信息，創建一個到達TDS 的洋蔥。根據帶外獲得的Bob 的服務別名，Alice 向TDS 查詢并獲得Bob 節點公鑰和其淆亂節點Bobo 的地址。

通過Bobo 中繼Alice 和Bob 之間的信息，需要建立Alice 和Bob 之間的會話密鑰，該會話密鑰的建立采用Diffie-Hellman 握手機制，具體算法如算法2所示，描述淆亂節點對接Alice 和Bob 之間會話密鑰建立機制。

算法2Bob 與Alice 協商會話密鑰

輸入Bob 和Alice 的私鑰SKB和SKA

輸出KAB和H(KAB)

Alice 獲得Bob 的連接信息后，通過公開匿名協議向Bobo 建立一條匿名電路，以Tor 為例，Alice創建一個到達Bobo 的洋蔥，用這個洋蔥打包自己對Bob 的訪問請求以及DH 握手的前半部分，Bobo 收到Alice 的消息后，通過Bob 利用算法1 向自己建立的匿名路徑，把消息發送給Bob，Bob 收到消息后如果接收Alice 的訪問請求，則生成會話密鑰KAB，并將會話密鑰的散列H(KAB)以及DH 握手的另一半，通過Bobo 發送給Alice。Alice接收后，生成會話密鑰和該密鑰的散列，與來自Bobo 消息中的密鑰散列值比較確認，完成混合通道端到端通信建立。上述過程的具體描述如圖4 所示。其中，Bobo 連接2 條匿名通道形成混合通道，Alice與Bob 之間的加密消息通過淆亂節點Bobo中繼轉發。Alice 與Bobo 之間的連接、Bob 和Bobo之間的連接都是匿名的，Bobo 既不知道消息發送方Alice 的真實地址，也不知道消息接收方Bob 的真實地址。

圖4 混合通道端到端通信建立

4.3 淆亂路徑計算

混合通道的SDN 域內采用的淆亂機制包括淆亂路徑的計算，由SDN 控制器計算生成多條用于傳輸消息的SDN 交換機節點的有序序列，如算法3所示。相比最短路徑等固定路徑的方法，利用這種機制可以防止攻擊者捕獲Bob 與Bobo 之間的整個通信流。

算法3淆亂多路徑生成

輸入消息的源和目的地址，參數η用于指定期望的最小跳數，參數k用于指定生成路徑數

輸出路徑集合path{path1,path2,…,pathk}，其中每一條路徑pathi={Vs,V1,V2,…,Vη,Vd}

算法1 中第11)行為SDN 控制器對域內路由計算，是在使用鏈路層發現協議LLDP 獲得域內網絡拓撲和經典最短路徑算法（Yen’s algorithm）的基礎上，使用隨機化閾值，結合考慮網絡中測得的帶寬等網絡運行狀態，計算出前p條最優路徑。計算出的這p條路由作為一組規則安裝到路徑中的交換機上，使用一張有序表保存，每個規則表示一條路由，最優的路由排在表的頂端，當前時刻只有一條規則是活躍的。用超時標記來表示現存這組規則的生存期，當位于列表頂部的路由超時過期時，交換機將使用列表中的下一條路由，直到這組路由全部超時。若一條路由超時，交換機發送一條消息通知控制器；若所有條目都超時，控制器將推送新的規則組。新組中的路由的超時時間和路由在表中的順序可能不同，以此增強混淆。當可用路由變化不大時，則不需要由控制器不斷地重發規則，一組路由安裝后，可使用隨機邏輯或定時時間隨機變化的計時器，輪詢可用路由規則，保證域內網絡的動態性。

4.4 淆亂節點更新

混合通道的出口淆亂機制依賴于淆亂節點的存在，有必要根據接收方Bob 的需要，隨機選擇λ(λ≥1)個淆亂節點，并在使用一段時間后更換淆亂節點，從而實現和維護淆亂機制的穩健性，也可以更大程度地對SDN 控制器隱藏其直接的聯系，從而降低控制器單點失效可能帶來的影響。淆亂節點的更新可以通過重新啟動算法1～算法3 實現，也可以在算法1 的基礎上，由Bob 直接選擇，通過秘密通道告訴Alice，從而實現對SDN 控制器的匿名性。

5 跨域混合匿名通道的安全分析

經過算法1～算法3，Alice 和Bob 之間構建了一條秘密通道CH，其加密的密鑰由算法2 的會話密鑰建立方法獲得。假設構建完成的混合通道是一個封閉的系統，包含2 個部分，如圖5 所示。一部分是Alice到Bobo 的傳統意義上的，由一組Tor 洋蔥節點組成的匿名通道，另一部分是從Bob到Bobo的SDN域內交換機網絡構成的多路徑匿名通道，該多路徑是在算法3 的支持下獲得的。

圖5 混合通道結構圖

淆亂節點vo連接2 條匿名通道。

本節從被攻陷概率和可追蹤率2 個方面，分析混合匿名通道的安全性。

5.1 混合通道被攻陷概率分析

混合通道的安全目標是在利用Tor 實現發送方匿名的基礎上，采用SDN 內部淆亂方法，使對手無法區分可能的通信事件。Alice 可能正在通過混合通道與Bob 通信，Alice 可能已連接混合通道但未與其他用戶交換消息，Alice 可能正與Bobo 交換信息。對于上述情況，攻擊者無法區分。混合通道提供的不可區分性，使攻擊者對混合通道進行的觀察只能在一定的邊界內（例如ε）改善對通道內懷疑事件的確定性，對任何事件僅獲得大致相等的概率。

假設匿名網絡中的節點是被選取的概率相等的隨機樣本。在有攻擊者掌握節點的情況下，用戶可能會選中攻擊者節點參與匿名路徑建立，對一條匿名路徑來說，在規模為N的網絡中，攻擊者控制了網絡中的B個節點，在這種情況下選擇r個節點構成一條傳輸路徑時，恰好選中c個攻擊者控制的節點的概率如式(1)所示。以n=100，B=10，r=3 為例計算，p(3,1)=0.247 7，p(3,2)=0.025 0。

更具體地，根據Tor 的路由選擇，洋蔥路由被分為4 類[36]：入口節點、出口節點、既可做入口節點也可做出口節點、既不能做入口節點也不能做出口節點。用G表示被控制的入口節點個數，用E表示被控制的出口節點個數，如果Tor 用戶建立電路時，入口節點和出口節點恰好都選中攻擊者控制的節點，那么攻擊者可以分析兩端數據的統計信息，則稱這條Tor 通道被攻陷。出現這種情況的概率如式(2)所示。以N=100，G=5，E=5，r=3 為例計算，P(3,5,5)=0.013 9。

根據Tor 的路由選擇算法[24]，Tor 對節點的選擇分為選取入口節點和選取非入口節點2 個部分。入口節點的選擇會傾向于帶寬最高以及運行時間最長的節點，考慮到Tor 網絡中的所有節點在某種程度上都應該得到使用，非入口節點則未必是帶寬和運行時長最優的節點，所以真實Tor 網絡中節點被選取的概率并不相同，以僅考慮帶寬權重為例，Tor 網絡中所有節點的帶寬標記為｛b1,…,bi,…,bN}，具有帶寬bi的Tor 節點權重如式(3)所示。

如果以Tor 通道被攻陷的概率p為參照基準，理論上使用2 條Tor 電路疊加的匿名通道被攻陷概率為p2。對于混合通道，淆亂節點連接了2 條匿名通道，使出口節點隱藏SDN 域內，假設SDN 匿名通道內有m個節點，那么匿名通道將獲得的不可區分性，從而使整個匿名混合通道的被攻陷概率降低為，3 種匿名通道被攻陷的概率如圖6 所示。

圖6 電路被攻陷概率

表3 不同攻擊情境下Tor 和混合通道匿名屬性比較

5.2 混合通道可追蹤率分析

文獻[37]提出用式(4)刻畫系統的可追蹤率，文獻[38]利用幾何分布刻畫了其中的(Cseg,i)，并對式(4)進行了計算，計算結果主要受系統的中繼節點數量和攻擊者攻陷節點百分比的影響。本文所提混合通道出口淆亂的方法將使系統可追蹤率降低。

圖7 顯示了當系統中被攻陷節點百分比從0 增加到50%，路徑中節點數分別為3、5、10 時的可追蹤率變化。由圖7 可知，隨著被攻陷節點的百分比增加，可追蹤率升高；在相同百分比情況下，路徑中節點數量越多，可追蹤率越低，這是因為隨著節點數量的增加，式(4)分母2η的增大相對較快。圖8顯示了當系統中中繼節點數量從1 增加到10，被攻陷節點百分比分別為10%、20%、30%時的可追蹤率變化。由圖8 可知，路徑中節點數越多，可追蹤率越低，相同節點數的條件下，被攻陷節點百分比越低，可追蹤率越低。

式(4)中η表示進行通信的2 個節點（vs和vd）之間的跳數，例如當vs和vd建立的路徑為vs→v2→v3→v4→vd時，則η=4。當一個節點被攻陷，則這個節點與下一跳的路徑段將會被攻擊者追蹤，即如果x個連續節點被攻陷，那么可能有x跳的路由段被追蹤。Cseg表示被攻陷的路徑段的數量，Cseg,i表示在被攻陷的第i段路徑中包含的跳數。例如在路徑vs→v2→v3→v4→vd中，如果vs、v2、v4這3 個節點被攻陷，那么攻擊者將可以追蹤到路徑段vs→v2→v3，以及路徑段v4→vd，此時，Cseg=2，Cseg,1=2，Cseg,2=1，在所有節點都被攻陷的情況下，Cseg=1，Cseg,1=4，

圖7 不同被攻陷節點百分比下可追蹤率

圖8 不同中繼節點數量下可追蹤率

可追蹤率的結果除了與中繼節點數量和被攻陷的節點數量有關，還有一個關鍵因素是攻擊者獲得的路徑是否連續。如果攻擊者攻陷的節點比較多，但因為被攻陷的節點不連續，也將難以關聯掌握的路徑段進行持續的路徑追蹤。如果攻擊者攻陷3 個節點vs、v2、v4，泄露給攻擊者的2 段路徑分別是vs→v2→v3和v4→vd，盡管v3前后2 個路徑段都已經被攻陷，但是只要v3節點安全，攻擊者就無法判斷獲得的這2 個路徑段是否屬于同一條路徑。如果攻擊者攻陷節點v2、v3、v4，同樣是 3 個節點，泄露給攻擊者的路徑為v2→v3→v4→vd，

根據混合通道的定義，消息在混合通道中傳輸的路徑為R1→R2→…→Rr→vo→S1→S2→…→Sl。因此，如果混合匿名通道的淆亂節點vo是安全的，而前后2段匿名路徑均泄露給攻擊者，混合通道的可追蹤率在r=l時有最小值50%。

6 混合通道效率與仿真

本文從SDN 域內時延和與Tor 隱藏服務的比較2個方面開展對混合通道的效率評估。

6.1 混合通道效率分析

混合通道構建的過程與Tor 隱藏服務的實現流程部分相似，不同的是，混合通道連接的是2 段不同匿名協議下的發送方匿名通道，并用淆亂節點代替隱藏服務中引入節點和匯聚節點的功能，對比文獻[36,39]中對Tor 隱藏服務流程的描述。圖9 給出混合通道（左側）與Tor 隱藏服務（右側）關鍵流程比較，其中混合通道在a1、c1、e1、f1階段花費的時間低于對應的Tor 隱藏服務在a2、c2、e2、f2階段花費的時間。

圖9 混合匿名通道和Tor 隱藏服務流程關鍵步驟比較

表4 針對圖9 中的步驟給出解釋和說明。

表4 圖9 各步驟說明

圖9 和表4 比較本文提出的混合匿名通道協議和Tor 隱藏服務協議的流程，分析影響時延和計算開銷的關鍵路徑，體現出以下優點。

1)混合通道協議使用淆亂節點代替隱藏服務中匯聚點的功能，從而減少了Alice 和Bob 分別向匯聚點建立匿名路徑帶來的時延和開銷，對應圖9中的c1、c2步驟。

2)SDN 域內的匿名路徑擁有較短的端到端距離，交換機只做轉發動作，在數據傳輸階段體現出顯著的速度優勢，對應圖9 中a1、e1、f1步驟。

3)混合協議增加了一層加密封裝操作，開銷體現在Alice（加密）和Bob（解密）客戶端，但Bob和Bobo 之間的匿名路徑計算和建立由計算能力強的控制器完成，減小了客戶端主機的開銷。

6.2 仿真結果

根據對混合通道效率理想的估計，如果以Tor電路端到端傳輸時延t為基準，使用2 條Tor 電路疊加的傳輸時延將線性增長為2t，混合匿名通道傳輸時延增長為t+t′，SDN 域內匿名通道的建立過程主要取決于控制器性能，通信過程主要取決于底層交換機設備轉發速度，因此t′應遠小于t，即t′＜＜t。

第一部分的實驗設置，通過采集將一個數據分組從交換機發送到控制器，在控制器上做出決策并將數據分組返回到交換機的時間，獲取混合通道在匿名服務和匿名路徑請求、淆亂節點選擇、淆亂路徑計算階段、Bob 與Bobo 建立起匿名會話等的控制器計算時延。仿真實驗采用集成在Ubuntu 14.04環境下的Mininet version 2.2.1 模擬器，連接Ryu 控制器組成SDN 仿真網絡，所有虛擬軟件SDN 交換機均由Open vSwitch 構建，Iperf 作為性能測試工具獲取消息的時間相關度量。混合通道的原型包括基于客戶端的連接組件和基于SDN 控制器的匿名應用組件，圖10 描繪了在Ryu 控制器基礎上，使用Python 腳本為匿名通道設計的應用組件。

圖10 基于SDN 控制器的匿名應用流程圖

第二部分的實驗設置，通過測量Tor 隱藏服務的時延和本文方案進行比較。一方面，為了采集Tor建立三跳電路和建立隱藏服務時各個階段的時延，實驗部署了由30 個洋蔥節點組成的局域網私有Tor環境，包含2 臺目錄服務器和2 臺隱藏目錄服務器，可提供 Tor 服務和 Tor 隱藏服務。Tor 版本Tor-0.2.9.15，配置一臺HTTP 服務器作為提供文件下載服務的匿名接收方，分配100 MB/s 帶寬以盡量避免服務器容量成為實驗下載的瓶頸。另一方面，為了獲得互聯網隱藏服務時延數據，配置代理網絡后，將該HTTP 服務器發布為隱藏服務，域名以及端口為vh3g64sdpbmj6uls.onion:9046，客戶端分別使用普通域名和隱藏服務域名2 種訪問方式，采集500 KB 大小文件的下載時間。

混合通道的下載時間使用兩部分實驗的疊加結果，盡管沒有部署真實的SDN 環境，但是單SDN域內的地理位置跨度較小，匿名路由產生的時延主要來自控制器算法開銷，仿真結果有參考價值。實驗的結果分別如圖11 和圖12 所示。

圖11 3 種匿名通道的路由建立時延比較

圖11 描繪了匿名電路建立階段時延隨中繼節點個數變化產生的結果，數據來自mininet 仿真和局域網Tor。由于混合匿名通道內路徑建立由控制器完成，因此在匿名路徑建立階段，時延性優于Tor和Tor 隱藏服務。由于Tor 的匿名通道建立需要與每一跳洋蔥節點協商密鑰，因此通道建立時間隨著中繼數量的增加有明顯增加，但在混合通道內增加較為緩和，因為盡管發送方連接到淆亂節點的路徑建立時間也隨之增加，但SDN 域內匿名通道建立的時延不會受到影響。

由于SND 匿名通道具有更少的加密操作和更短的傳輸路徑，相比Tor 隱藏服務，混合通道實現了更低的時延，結合仿真結果，下載時間相較普通Tor 電路僅增加15%～20%，如圖12 所示。

圖12 3 種匿名通道的文件下載時延比較

7 結束語

本文介紹了一種混合匿名通道機制，降低攻擊者對匿名網絡的追蹤率，適用于對接收方匿名要求較高的匿名應用。混合通道匿名機制的有效性在于組合了傳統互聯網絡匿名通道與SDN 匿名通道，SDN 域內淆亂機制的應用實現了通道出口節點的隱藏。使用部署廣、用戶多的公開匿名系統作為信息匿名傳輸的一環，滿足了匿名應用對地域廣泛性的需要；SDN 自治域內匿名通道傳輸時延低、帶寬高，網絡狀態的動態淆亂有利于抵制攻擊者攻擊。與Tor 相比，混合通道獲得了更高的匿名度和更低的可追蹤率，增加的時延非常有限。有跡象表明，更多的國家可能尋求建立國家云和Web 服務提供商，以及獨立的互聯網線路，這些線路會盡可能少地跨越其他國家或大洲，因此，SDN 自治域內匿名路由和出口淆亂方法有其應用價值。下一步的工作將增加跨SDN 子網和SDN 域的設計，隨著未來SDN 域的數量和域間距離的增加，性能優勢會更加明顯，混合匿名通道可以在更廣的范圍內，提供低時延、帶寬密集應用的匿名傳輸。