(中国信息通信研究院安全研究所,北京100191)
0 引言
匿名通信技术是指利用加密传输、点对点网络、多点中继混淆等技术,为用户提供匿名的互联网信息访问的一类技术手段[1]。普通用户无法通过常规手段访问匿名通信网络或系统,需要使用特定的软件、配置或者授权等才能登录。匿名通信技术具有隐蔽性、匿名性和加密性等特点[1],其目的就是隐蔽通信双方的身份或通信关系,由于其隐匿性强、动态变化、不可追溯性等特点,匿名通信技术已成为网络攻击、个人信息贩卖和网络诈骗的主要底层依赖技术,给网络安全监管带来极大挑战。在此背景下,加强匿名通信技术监管治理已成为全球化命题。
1 匿名通信技术的发展历程
1.1 匿名通信技术的发展历程与核心技术
1995年,美国海军研究办公室(United States Naval Research Laboratory,NRL)和国防部高级研究项目署(Defense Advanced Research Projects Agency,DARPA)共同启动了一项“洋葱路由”(The Onion Router,TOR)技术的研发,旨在利用P2P网络随机转发网络流量,以掩盖源地址等通信信息,保障通信的匿名性,目的是让情报人员的网上活动不被敌对国进行监测。该技术采用面向连接的传输技术,在请求站点的代理服务器与目标主机之间进行匿名连接,数据流经过若干中间代理(TOR)后抵达目的站点,形成一条隐藏路径[2]。通信双方用洋葱包代替通常的TCP/IP数据包,每个洋葱路由器利用公钥对IP包从后向前进行加密,并对接收到的数据包进行最外层解密以得到下一跳地址。每个洋葱路由器仅知道其前后相邻的两个节点地址,从而实现源地址与目的地址的隔断。2004年,第二代洋葱路由对公众发布,该技术消除了初代洋葱路由技术存在的系统设计机制问题,实现了低延迟匿名,并增加了前向安全、拥塞控制、可变的出口策略、端到端的完整性校验等功能。TOR网络由志愿者贡献的PC/服务器组成,客户端随机在各网络节点中选取入口、中间节点、出口等3个节点,形成一个私有网络路径以传输加密的流量。
1.2 国内外匿名通信技术非法活动规模与案例
随着匿名通信技术的发展,其隐蔽性、匿名性和加密性特点为不法分子和网络犯罪提供了温床,以黑市为代表的各类违法交易平台迅速利用匿名通信技术形成了完整的黑色产业链[3]。2010年,以比特币为代表的虚拟数字货币兴起,数字货币天然的匿名特性补齐了匿名通信技术交易的短板。2011年,一个综合性匿名通信交易平台“丝绸之路”被建立,这标志着匿名通信技术在黑市开始应用平台化,随后大批的黑市交易平台开始涌现。几乎所有违法的东西都可以在匿名通信网络中购买,如枪支、毒品、个人信息、甚至人体器官等[3]。基于匿名通信技术的黑市交易量也在不断刷新,2011年1月至2013年9月期间,丝绸之路的销售额估计约为12 亿美元。“阿尔法湾”匿名通信网络平台成立3年累计非法销售额约10 亿美元。仅在2017年上半年,“阿尔法湾”就销售超过了500 万个被盗的信用卡号码,平均日交易额大约为80万美元。
我国内地未发现有匿名通信网络节点,仅在中国香港地区存在少量匿名通信网络节点,总数不超过40个,这与我国针对匿名通信技术采用协议封禁导致在境内无法接入匿名通信网络有关。尽管当前匿名通信网络节点较少,但由于匿名通信技术不断发展,匿名集和匿名程度节节攀升,我国仍需加紧对匿名通信技术的监管控制。
在2020年4月公安部公布的2019年以来侦破的10起侵犯公民个人信息违法犯罪典型案件中, 有4起为涉及到匿名通信技术的非法活动,其内容分别为“匿名通信网络”售卖银行开户、手机注册信息;“匿名通信网络”售卖社保数据;“匿名通信网络”黑客售卖客户信息和“匿名通信网络”售卖银行用户信息。
2 国外对匿名通信技术监管的主要做法和成效
当前匿名通信网络节点和用户绝大部分分布在国外,其中美国和俄罗斯就分别占全球匿名通信网络用户数的21%和15%。随着匿名通信技术犯罪日趋严重,俄、美政府近年来出台了一系列严格的管控措施,强化对本国匿名通信技术平台和用户的监管。
2.1 强化行政执法
通过强化行政执法可以从源头上禁止匿名通信技术使用。俄罗斯政府通过立法,强制要求日均访问量超过3 000 人次的网站向政府备案,并禁止使用隐匿通信、匿名交易等匿名通信技术,从源头禁止匿名通信技术平台的使用。针对已存在的匿名通信技术平台,俄罗斯政府采取行政执法的方式进行强制关停,并明确禁止国内用户访问匿名通信技术平台。
2.2 加大技术研究
通过加大技术研究力度实现针对匿名通信技术的管控。俄罗斯政府通过启动科研专项、政府公开招标等方式,向社会公开征集破解洋葱路由、匿名通信技术去匿名化等技术方案。同步借助区块链、生物特征识别等新一代信息技术,识别匿名通信技术用户身份或特征,协助开展匿名通信技术监管治理。美国国防部高级研究计划局以威胁情报挖掘为导向,开发了匿名通信技术空间搜索引擎Memex[4],对匿名通信技术空间进行主动嗅探,实现对匿名通信技术交易数据、网络结构和数据资源的掌握。
2.3 加强政企协同
通过政企协同、合力监管治理匿名通信技术空间。俄罗斯政府自2021年起要求国内运营商配合网络安全监管部门,通过禁用IP、流量过滤、关停网站等方式,阻断匿名通信技术平台的访问。美国政府自2007年起推进政府监听合法化,扩大窃听范围,要求互联网业务运营企业放开通话、短信和电子邮件等加密通信的访问权限,提升监管部门对匿名通信技术活动的监测追踪能力。
3 我国匿名通信技术监管现状
我国已发现的匿名通信技术平台和用户数量远低于国外,但在网络安全全球化的趋势下,近几年国内利用匿名通信技术开展网络诈骗、网络攻击、非法外联境外通信等非法活动的数量明显增多,引起国家监管部门的高度重视,并已采取相关应对举措。
3.1 出台法律法规
已出台的法律法规明确了匿名通信技术在我国的违法性质。《中华人民共和国网络安全法》第二十四条规定,所有用户都需实名上网,用户不提供真实身份信息的,网络运营者不得为其提供相关服务,这从法律层面明确了匿名通信技术在我国的违法性。2017年1月,工业和信息化部出台了《关于清理规范互联网网络接入服务市场的通知》,规范的对象主要是未经电信主管部门批准、无国际通信业务经营资质的企业和个人,不得租用国际专线或者VPN违规开展跨境电信业务经营活动,这对监管匿名网络、开展匿名通信技术监管具有重要意义。
3.2 行业开展技术研究工作
国内已有多家专业机构、安全企业和高校,在匿名通信技术空间搜索、隐匿通信检测、匿名通信技术威胁情报等方面开展了大量技术研究工作,重点加强暗网中匿名违法信息的拦截与破获研究,在保护个人匿名信息合法性的同时,力争做到点对点精准发现信息,形成了一批匿名通信技术监管相关的解决方案、科研论文、原型系统和数据模型等,为我国匿名通信技术监管提供了可期的技术途径[5]。
4 下一步建议
借鉴国外对匿名通信技术监管和治理的经验,结合我国匿名通信技术监管现状,建议下一步应重点加强匿名通信技术监管技术手段建设,提升匿名通信技术监管治理支撑能力。
4.1 建设基于流量分析的匿名通信技术监测手段
与明文流量的识别技术不同,对于加密流量来说无法提取加密流量内部有效荷载的特征,因此给流量识别带来了更大的难度。为了识别加密流量,必须对使用了同一种加密协议的不同应用的流量进行区分。例如,TOR使用了TLS加密技术对其流量进行加密,因此要对TOR流量进行识别,就要对TOR和非TOR的TLS流量进行分类。为了提高识别率,针对不同的加密应用应设计不同的识别算法。由于针对TOR匿名通信流量识别采用了TLS加密以及规避审查技术,因此采用基于端口号或者深层包检测等技术不能对其流量进行有效的检测。
针对匿名通信技术的监测手段以基于行为特征的流量识别方法最为适用,主要是依据传输层的主机行为模式对网络中不同应用的流量进行分类的方法。通过观察流量在传输层中如何连接、如何进行数据交互来判断其属于哪种应用,基于统计特征的流量识别方法,通过建立数据流特征的模型,并分析数据流的统计特征,比如流中数据包的平均大小,数据包到达时间以及数据包的时间间隔等,之后依据这些特征对不同的协议进行区分。对于数据流统计特征的建模、分析,和对数据流的分类,可以采用机器学习的方法,利用数据流的统计特征建立机器学习分类模型,然后选择恰当的机器学习算法来对流量进行分类。
4.2 建设匿名通信技术空间探测和关联分析手段
依托主流网络空间资产探测手段,研究针对TOR路由、Onion域名等匿名通信技术资产和服务的主动探测能力。并在关键节点与路径分析方面,结合第三方威胁情报构建网络测绘威胁情报数据库,基于多维特征提取与匹配,结合网络可信拓扑探测认证,挖掘分析匿名通信技术空间与公共互联网的关联关系,找出为匿名通信技术提供资源或服务的公共互联网资源,如路由器、服务器、终端、端口等,实现对匿名通信技术空间探测和关联分析,并通过对相关网络资源的探测分析,实现对匿名通信技术网络空间的持续监测能力。
获取匿名通信技术空间网络目标的地理和社会属性是十分重要的。在海量的互联网数据网络空间汇中存在着大量与匿名通信网络目标相关的地理和社会身份信息。虽然这些数据有的可通过网络测量得到,有的甚至可开源获取,如WHOIS数据、DNS数据、网页、发帖内容、社交关系等,但是匿名通信技术空间中绝大多数数据是难以探测和关联分析的,根据这些数据推断出匿名通信网络空间实体资源在地理和社会身份信息,对其进行探测和关联分析是十分有必要的。但是对这些数据实施高强度的干扰不仅很容易被测绘者发现,甚至可能影响网络的正常运行。因此,如何以低代价对匿名通信技术空间中的这些数据进行干扰,以有效进行探测和关联分析亟待研究。
4.3 推进匿名通信技术试验验证与全要素仿真
结合数字孪生、大数据和人工智能等技术,构建基于洋葱路由、隐匿通信技术的匿名通信技术仿真试验环境,模拟匿名通信技术平台运行、用户访问、虚拟货币交易等典型匿名通信技术业务场景,实现匿名通信技术空间的全要素仿真能力,为匿名通信技术安全人才培养、隐匿流量监测技术攻关、匿名通信技术监管技术手段验证等提供基础试验验证环境。
5 结束语
在网络安全全球化的背景下,利用匿名通信技术实行的非法活动明显增多。本文对匿名通信技术的发展历史和关键技术进行了阐述。概括了国外对匿名通信技术采用的监管措施,并结合出台的法律法规和其他监管手段对国内匿名通信技术的监管现状进行说明。最后,对国内未来的匿名通信技术监管提出对策建议,包括建设基于流量分析的匿名通信技术监测手段、建设匿名通信技术空间探测和关联分析手段、推进匿名通信技术试验验证与全要素仿真三个方面。