[论文解读] HORNET: High-speed Onion Routing at the Network Layer
HORNET 是一种高速、网络层洋葱路由系统,通过在中间路由器中消除每流状态,并使用对称加密算法将状态信息存储在数据包头部,实现了低延迟、可扩展的匿名通信。它在通用硬件上实现了超过 93 Gb/s 的吞吐量,提供了强大的安全性,性能与最先进的网络级匿名系统相当,同时支持发送方匿名和发送方-接收方匿名。
We present HORNET, a system that enables high-speed end-to-end anonymous channels by leveraging next generation network architectures. HORNET is designed as a low-latency onion routing system that operates at the network layer thus enabling a wide range of applications. Our system uses only symmetric cryptography for data forwarding yet requires no per-flow state on intermediate nodes. This design enables HORNET nodes to process anonymous traffic at over 93 Gb/s. HORNET can also scale as required, adding minimal processing overhead per additional anonymous channel. We discuss design and implementation details, as well as a performance and security evaluation.
研究动机与目标
- 设计一种可扩展、高性能的匿名系统,运行于网络层,以抵御大规模监控。
- 在保持强匿名性保证的同时,消除中间路由器中的每流状态。
- 通过高效、对称的加密算法,实现发送方匿名和发送方-接收方匿名。
- 评估下一代互联网架构中网络层匿名通信的性能与安全权衡。
- 探索将匿名性作为网络内服务集成的可行性,且不降低常规流量性能。
提出的方法
- HORNET 使用源选择路径,并在端点与路由器之间共享密钥,以实现在网络层的洋葱路由。
- 它将连接状态(包括解密密钥)直接嵌入数据包头部,从而消除中继节点对每流状态的需求。
- 该系统采用对称加密算法进行数据转发,确保中间节点计算开销极低。
- HORNET 支持非对称路径,并允许首跳自治系统被攻破,从而提升灵活性与弹性。
- 它利用底层网络架构中的短直连路径,减少传播延迟,提升性能。
- 设计将匿名功能集成到路由器中,即使在对抗性条件下,也不会影响常规流量处理。
实验结果
研究问题
- RQ1如何设计一种高速匿名系统,使其在不依赖中间路由器每流状态的前提下,运行于网络层?
- RQ2将连接状态存储在数据包头部与在中继节点维护状态相比,会带来哪些性能与安全权衡?
- RQ3与基于叠加网络的系统相比,网络层匿名是否能为拥有多个观测点的攻击者提供更强的防护?
- RQ4将匿名服务集成到网络基础设施中,对整体吞吐量和可扩展性有何影响?
- RQ5实现大规模高性能、安全的匿名通信,所需的最小架构支持是什么?
主要发现
- HORNET 在通用硬件上实现了超过 93 Gb/s 的数据处理速度,接近线速的 80%。
- 该系统维持了强安全保证,可抵御被动攻击以及某些主动攻击,包括利用多个网络观测点的攻击。
- 通过将连接状态嵌入数据包头部,HORNET 消除了中继节点的每流状态,实现了高可扩展性与低延迟转发。
- HORNET 同时支持发送方匿名和发送方-接收方匿名,路径信息在数据包头部完全隐藏。
- 尽管通过端到端洋葱加密增强了更强的负载保护,HORNET 的性能仍与 LAP 和 Dovetail 相当。
- 数据包头部尺寸的微小增加即可带来显著的安全收益,例如路径混淆和抵抗流量相关性攻击。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。