VPN 和混合网络：终于结合了

2024年1月12日1 分钟读完

直到最近，传统的 VPN 还是集中式单跳代理服务。为了掩盖客户端流量，VPN 通过自己的服务器重新路由用户数据，用 VPN 自己的 IP 地址取代用户 IP 地址。问题就在这里：用户流量的元数据日志很可能存储在这些目标服务器上。只要我们的数据被集中起来，就会面临数据泄露、网络攻击和政府监控的风险，所有这些都可能泄露我们的上网历史。

混合网络（mixnet），对大多数 VPN 用户来说可能是个新词。但它通过在 VPN 服务的引擎盖下提供另一种路由架构来解决这一关键风险。加密的用户数据不是通过一个中央服务器路由，而是在到达最终目的地之前，通过多个连续的服务器或节点与其他流量混合在一起。有了混合网络，不仅不存在泄露元数据的单点故障，而且流量分析也明显受阻。

对混合网络技术的研究实际上早在 20 世纪 70 年代就开始了，首先是戴维-乔姆（David Chaum）的学术研究。但直到最近才在实践中得到商业应用。随着人工智能监控技术的兴起，以及对我们的元数据和在线模式的系统分析，基于混合网络技术的 VPN 已经迫在眉睫。

值得庆幸的是，新推出的 NymVPN 是首个在这种混合网络上运行的商用 VPN。在分析 NymVPN 的新颖隐私功能之前，我们先来了解一下元数据泄露对隐私造成的问题，以及混合网络是如何解决这个问题的。

元数据：VPN 隐私泄露

VPN 是一种数字隐私保护工具，但大多数 VPN 无法保证我们在网上所做的一切不会泄露隐私。部分问题出在架构上：它们只是让你的流量通过它们的服务器，但不对你的通信模式提供保护。由于在线通信通常要经过两次加密 — 一次是 HTTPS 网络服务，另一次是我们的设备和 VPN 服务器之间的加密 — 到底会泄露什么呢？元数据：网络隐私斗争中最突出的问题。

那么元数据到底是什么呢？字面意思就是关于数据的数据。这可能包括时间戳（您何时连接到某一在线内容）、频率（连接的频率）、持续时间（连接的长度）和信息大小（传输了多少数据）。如果您在网上所做或所说的内容本身不可见，这些可能看起来只是一组无关紧要的量化细节。不幸的是，事实恰恰相反：它实际上可能比内容更能揭示你的信息。

元数据可在流量分析中进行组合和使用，以追踪从 A 点到 B 点的信息，了解谁在与谁通话、交易发送到哪里、访问了哪些网站或阅读了哪些文章。你的 IP 地址本身就是一个元数据，可以识别你的设备、地理位置、ISP 等。当所有这些信息汇集在一起时，就可以用来预测人们的生活习惯、政治偏好、社会关系、购买行为以及私人生活和心理状态的其他隐私细节。

此外，元数据不像个人数据那样受到法律保护。任何掌握技术诀窍和适当工具的人都可以通过数字指纹识别用户，从而获取或监视元数据。因此，网络攻击者、政府、数据经纪人、公司和在线服务都可以大肆采集和利用元数据。许多表面上 “免费 “的 VPN 服务都有一个隐藏的成本：如果没有客户收入和奉献精神，它们只是 VPN 公司收集用户数据并批发给数据经纪商的手段。

然而，即使有更可靠的 VPN 服务提供用户隐私承诺，它们的物理基础设施和潜在的日志记录做法也会使我们的所有元数据容易遭到破坏。这可能会从互联网服务提供商（ISP）那里掩盖你的活动，或从网站上掩盖你的 IP 地址，但这并不能防止 VPN 数据库出现一次成功的安全故障，使其落入想要追溯你所有数字步骤的人手中。

传统 VPN、代理服务器和加密信息服务等工具都有助于保护用户隐私。但是，即使是 Tor 这样最强大的现有隐私技术，也无法解决元数据泄露和追踪问题。

混合网络

在过去的几年里，Nym 的顶尖隐私学者、研究人员和密码专家团队（来自麻省理工学院、伦敦大学洛杉矶分校、鲁汶大学和洛桑联邦理工学院）为解决网络隐私的这一重大问题付出了不懈的努力。从某种程度上说，这个问题源于互联网本身的核心协议：它们暴露了通信模式。

正如我们将要看到的，Nym mixnet和即将在其上运行的NymVPN为用户提供了一系列突破性的隐私保护。但首先，让我们来看看混合网络是如何工作的，以及这个想法的来源。

混合网如何工作？

有句老话说“一副扑克牌的排列方式，比地球上的原子还要多”，混合网络就是利用了这一原理，将通信数据包像扑克牌一样洗牌。信息不是从 A 点发送到 B 点，而是在通过一系列被称为 “混合节点” 的服务器发送之前，被分割成外观相同的加密数据包。为了让事情变得更加复杂，甚至可以在网络中引入假数据包，以进一步掩盖整个网络中发生的情况（即所谓的 “掩护流量”）。

混合网络结构使得流量分析几乎成为不可能完成的任务。此外，正如我们将在实践中看到的 Nym VPN，它解决了核心互联网协议元数据泄露的问题。

混合网络的历史

长期以来，学术界和研究人员一直试图解决元数据隐私问题。20 世纪 70 年代，密码学先驱 David Chaum 高瞻远瞩，首次提出了混合网络的概念，以保护传输中的数据模式。Chaum 提出了一种分散的中继网络，旨在隐藏互联网通信中的元数据，使其无法与用户联系起来。

按照 Chaum 的设想，传统的混合网络将服务器（或节点）排列成 “固定级联”，每个数据包按顺序分批路由（见下图）。

每个数据包都经过层层加密 — — 类似于 Tor 的 “洋葱加密” — — 使用公钥加密。加密后的数据包会在混合数据包的多个节点之间进行中继。每个节点都会调整数据包的顺序（混合），并移除一层加密，以获得下一步发送到哪里的指令。这就使发送方与接收方脱钩，因为每跳只能看到下一跳，而不是原始源头或目的地。这也防止了任何观察网络的人通过数据包的二进制代码顺序（组成所有数据的 1 和 0）来追踪数据包。

有人曾试图构建这种设计，但由于种种原因而未能成功。最主要的问题是该模型的扩展性很差。每个客户端和混合节点都必须执行公钥加密，这非常耗时。延迟成为一个真正的问题。

多年来，基层团体、互联网研究人员和学者都曾尝试创建可行的混合网络。其中一些确实成功了，尽管也有局限性。然而，直到 NymVPN 的出现，经过实战检验的工作混合网络才能同时提供匿名性和规模。

更重要的是，所谓的 “匿名集” 仅限于单个 “批次” 混合数据中的数据包数量。但什么是 “匿名集”，它是如何改进的？

匿名设置说明

匿名设置本质上意味着人数上的安全。想象一下，你被人跟踪，你想甩掉追捕者。如果只有你一个人在外面，你很容易被发现。但如果进入一大群人中，就很难识别和跟踪你了。这就是匿名集的原理：网络中的数据越多，对每个数据进行去匿名化的难度就越大。可以说，你会 “迷失在人群中”。

要创建一个有效的混合网络，一个主要困难是既要保持匿名性，又要考虑规模。Chaumian 混合网络使用单一级联和 “批处理-重排序” 技术，其中批处理的数据总量是匿名集的最大大小。可以说，这将人群的规模限制在一个较小的最高阈值内。然而，Nym mixnet VPN 采用分层拓扑结构。这提供了更大的匿名集，因为网络是为规模而设计的。让我们将分层模型与其他混合网络设计进行直观比较：

资料来源: Messari/Understanding Nym report

NymVPN 混合网络的实践

Nym mixnet 是目前市场上唯一能够解决元数据泄露问题的技术，很快就可以通过 NymVPN 一键使用。Nym mixnet 不仅确保您的内容受到保护，还确保您的元数据和通信模式受到保护。这是其他现有 VPN 提供商或隐私技术无法提供的。下面是它的工作原理。

加密

NymVPN 混合网络模式使用一种名为 Sphinx 的多层洋葱加密技术对用户流量进行加密。Sphinx 是专为多跳路由设计的，所有重要的路由信息都包含在数据包中，因此无需进行其他计算。与最初的 mixnet 设计相比，这是一项至关重要的功能，因为最初的 mixnet 设计要求每个节点都添加自己的加密，从而导致传输延迟。有了 Nym mixnet，数据包处理只需数百纳秒，因此延迟开销极小，网络性能高效。

多跳路由

在混合网络 VPN 模式下，用户流量会经过 5 个跳转点：一个入口网关、三个混合节点和一个出口网关。大小相同的 Sphinx 数据包在 5 跳路径上传输时，会与伪造的、难以区分的覆盖流量混合在一起，进一步迷惑网络观察者。5 跳路径中的内部三个节点会对数据包进行高级洗码，以确保无法根据时间将数据包关联回用户。

Nym 分层拓扑的混合节点跳数有三层节点。数据包路由时，从每一层随机挑选一个混合节点。随着网络需求的增加，各层可以简单地横向扩展，确保任何使用水平都有最佳的匿名设置。这个系统的美妙之处在于，网络的设计既可以向上扩展，也可以向下扩展。如果使用量较小，各层将减少节点数量并增加虚拟流量，从而使匿名集保持强大。如果需求增加，就会激活更多节点。这种相互链接的设计使 mixnet 可以横向扩展，这意味着可以通过增加更多服务器来提高网络容量。

Nym 隐私功能

利用新颖的多层 Sphinx 加密技术加密数据
保护传输中的数据和元数据
是一个去中心化网络，提供不可链接性
由激励网络提供动力，旨在扩大规模
具有覆盖流量，可确保大量匿名集，提供强大的隐私保护
为收发敏感电子邮件、信息和加密交易等高隐私使用案例提供无与伦比的保护

NymVPN：让混合网络焕发生机

经过多年的研究，Nym 团队创建了一个有效的混合网络，它不仅可以扩展，而且随着混合网络的扩展，匿名性实际上也在提高。建立一个经过实战检验的、具有完全去中心化架构的混合网络是一项令人难以置信的壮举。混合网络为未来的去中心化互联网提供了一个愿景，人们可以真正控制自己的数据和元数据如何被使用和管理，而不会成为间谍和监控的受害者。

正如我们所看到的，混合网很容易出现延迟问题，导致数据传输延迟。我们还清楚地看到，并非所有的在线流量对用户来说都具有相同的隐私优先权。为此，NymVPN的设计宗旨是让用户两全其美：既能获得快速的速度和隐私，又能在最需要的时候获得强大的隐私保护。因此，NymVPN在一个应用程序中提供了两种模式：