如何实现匿名浏览-网络通信匿名性

接上一章，小白想利用浏览器的隐私模式实现网络浏览行为的匿名化，结果发现浏览器只能实现浏览信息的本地自动化删除。

那怎么样才能实现不让路由器和运营商收集自己的访问记录呢？这就是我们今天的主题 - 如何实现网络通信的机密性和匿名化。

上图中的信封封装机制能实现网络访问内容的加密，它使用的是TLS(传输层安全协议)。通过TLS和HTTP协议的组合，我们发送给网站服务器的内容是加密的，只有网站服务器才有密钥可以解密，路由器和运营商无法获取到明文消息。感谢几大的浏览器厂商的强推，现在正规网站都是默认使用HTTPS(HTTP + TLS)，无需担心访问内容泄密。

但我们所访问网站的地址，是无法通过HTTPS来保密的，理由很明显，要让路由器和运营商帮助完成网络通信，必须告诉他们目的地。这时候我们需要其他的手段。

第一个是VPN，它的机制是再进行一层封装，也就是说把用户浏览器发出的信息再套一个信封，上面的目的地址是VPN服务器的地址。等VPN服务器收到后，拆掉外层信封继续发送。如下图所示。用户的路由器和运营商A看到的是用户在给VPN服务器发送消息。而运营商C看到的是VPN服务器B在给网站服务器D发送消息。使用VPN，运营商网络和路由器就无法正确地掌握用户的访问历史行为。

使用VPN最大的隐患是，小白的访问行为都被VPN服务器掌握了，还是有隐私泄露的风险。

第二个方案是TOR-洋葱浏览器，它使用的是一种混合网络的技术。TOR网络中有超过6000个资源转发节点。当消息从用户浏览器发出时，会从中选择3个节点，利用这三个节点的私钥对消息加密三层。换个直观的说法，该消息发出时套了三个信封。每个节点收到消息后解密一层(去除一层信封)，然后按照下一个信封上的地址发往下一个节点。第三个节点负责最后的一步，将消息发往目的网站服务器。

通过这个方式，节点A只知道用户在浏览网站，但不知道是具体是哪个网站。节点B不知道任何用户信息。节点C只知道有人要访问网站服务器D，但不知道是谁。对网站服务器来说，它看到的是来自C的访问，也不掌握用户的访问行为。路由器与三个转发节点间的通信都会经过运营商网络，但因为信封封装，运营商无法了解整个传递的路径以及用户的参与情况。

这个方案听起来很复杂，其实就是地下党传递消息的方式，网络中每个人都只知道自己的上下线，并不知道消息的来源和目的地。TOR能提供良好的网络匿名性，但三层加密和转发带来的是通信效率的低下。

最后，TOR和VPN虽然能隐藏用户的IP地址，但网站服务器有百般武器来识别和跟踪用户。要帮助小白实现匿名访问，我们还有更多挑战，请见下一章。