CN108848050B - 一种隐匿服务的链路建立方法 - Google Patents
一种隐匿服务的链路建立方法 Download PDFInfo
- Publication number
- CN108848050B CN108848050B CN201810381138.9A CN201810381138A CN108848050B CN 108848050 B CN108848050 B CN 108848050B CN 201810381138 A CN201810381138 A CN 201810381138A CN 108848050 B CN108848050 B CN 108848050B
- Authority
- CN
- China
- Prior art keywords
- node
- server
- client
- link
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 17
- 241000234282 Allium Species 0.000 claims description 10
- 235000002732 Allium cepa var. cepa Nutrition 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 abstract description 12
- 230000004044 response Effects 0.000 abstract description 4
- 238000004891 communication Methods 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 241001620634 Roger Species 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种隐匿服务的链路建立方法,建立后的链路的长度仅为原来的一半,更短的链路可以降低传输时延,同时让加解密的次数减少,减轻了客户端和服务器的负担。另外,将原有的单个出口节点改为多个出口节点,客户端发送的数据到达中继节点后,中继节点将数据发送给随机选择的出口节点,然后该出口节点将数据发送给服务器。同时,客户端和服务器都不知道完整的链路信息,可以提高链路的安全性。再之,出口节点改为一组多个节点的集合,多个出口节点分担流量,平均每个节点需要传输的数据更少,大大降低了拥塞的可能性,加快了数据传输的速率和链路的响应时间。
Description
技术领域
本发明涉及洋葱路由系统研究领域,为了提高链路的传输速率,更好地保护通信双方的匿名性,提出一种隐匿服务的链路建立方法,更短的链路提高了传输速率,链路建立时间也更短,更少的转发路由也让加解密的次数减少,同时多重路径降低了流量分析的可能性,具有更高的安全性。。
背景技术
深网(刘伟,孟小峰,孟卫一.Deep Web数据集成研究综述[J].计算机学报,2007(09):1475-1489)是指网上不能被标准搜索引擎搜到的页面,蕴含的信息量巨大,目前在深网中应用最广的匿名通信系统是洋葱路由系统Tor(The onion router)(Dingledine R,Mathewson N,Syverson P.Tor:The second-generation onion router[R].Washington,DC:Navel Research Lab,2004.)。Tor系统将用户的信息消息进行多层加密后,通过几个洋葱路由而不是直接的连接发送给接收者,以提供双向、低延时的匿名通信(RogerDingledine,Nick Mathewson.Tor Protocol Specification[EB/OL].https://gitweb.torproject.org/torspec.git/tree/tor-spec.txt,2018-01-03)。
一般的Tor链路保障客户端的匿名性,为了同时保证服务器的匿名性,Tor提供了隐匿服务(Hidden Service)(Müller,K.Past,Present and Future of Tor HiddenServices.
i
rapportserie 01/2015,January 2015.URL:http://hdl.handle.net/11250/274863.)。Tor允许隐匿服务提供方提供TCP服务而不暴露服务器的位置,这样可以保护服务器不受DDoS攻击。虽然Tor的隐匿服务发布已超过十年,但它的协议基本没有改变,正因为这样,它仍有很多缺点需要改进。隐匿服务的通信链路长度比Tor网络内普通的通信链路都要多出一倍,6跳的链路使得通信双方的通信时延大大增加。而且在选择节点时,若一个节点的选择不当,便可能使低带宽的节点成为链路瓶颈,极大影响了链路通信效率。随着网络流量增长,隐匿服务的问题日益突出(鲍凯.基于Tor的暗网脆弱性分析研究[D].电子科技大学,2016)。
黄诚强(黄诚强.基于Tor的反向匿名信道建立技术研究[D].西安电子科技大学,2014)提出了一种通过Tor的隐匿服务链路建立的匿名信道的技术,该技术可以提高链路的传输效率,提高双方的匿名性。但相比起原有的链路,它更容易受到流量分析攻击。
Yang L等人(Yang L,Li F.Enhancing Traffic Analysis Resistance for TorHidden Services with Multipath Routing[J].2015)提出了一种通过多重路径提高Tor隐匿服务的抗流量分析性(陈美玲.基于流量分析的Tor内容分类研究[D].北京交通大学,2017)的方法。该方法比原来的隐匿服务更能抵抗流量分析,提高了通信的安全度,但链路结构较为复杂,通信效率没有明显的提升。
发明内容
本发明的目的在于克服现有技术的不足,提供一种隐匿服务的链路建立方法,在保护客户端和服务器的匿名性的前提下,提高链路的数据传输效率,同时减少了加解密操作,加快了数据传输的速率和链路的响应时间。
为实现上述目的,本发明所提供的技术方案为:
包括隐匿服务部署以及链路建立;
其中,链路建立的具体步骤如下:
S1-1、客户端通过带外的方式获得该服务对应的洋葱地址,然后通过洋葱地址计算出描述符id,再之从隐匿服务目录服务器下载隐匿服务描述符;客户端得到介绍节点列表及其公钥;
S1-2、客户端在向介绍节点发送数据前选择一个节点作为入口节点,并与其建立连接;
S1-3、服务器选择中继节点后通过介绍节点给客户端发送拓展链路指令,客户端收到指令包后不对指令包内容进行修改,修改包头的链路ID后转发给入口节点,将链路拓展到中继节点;
S1-4、服务器通过介绍节点给客户端发送数据包,指示中继节点建立到出口节点的链路;
S1-5、服务器以与步骤S1-4同样的方式指示中继节点建立到m-1个出口节点的链路;
S1-6、链路建立完成后,服务器发送关闭连接的指令,让介绍节点断开与客户端的连接;
S1-7、客户端得知其与介绍节点的连接后,说明与服务器间链路建立成功,开始通过新链路向服务器请求服务。
进一步地,所述隐匿服务部署的具体步骤如下:
S2-1、服务器为隐匿服务生成一对密钥;
S2-2、选择多个节点作为介绍节点;
S2-3、服务器与介绍节点建立连接,并给每个节点发送中继建立指令;
S2-4、介绍节点校验成功后发送对应的指令到服务器;
S2-5、服务器为隐匿服务生成一个隐匿服务描述符,包括隐匿服务对应的公钥、秘密id部分、发布时间、协议版本、介绍节点列表和隐匿服务描述符的签名;
S2-6、服务器再生成两个隐匿服务描述符的副本,并上传到隐匿服务目录服务器以供用户查找。
进一步地,客户端和服务器连通后,当客户端给服务器发送数据时,数据经过入口节点、中继节点和出口节点后到达服务器;该过程中,客户端发送的数据到达中继节点后,中继节点将数据发送给随机选择的出口节点,然后该出口节点将数据发送给服务器;而服务器给客户端发送数据的过程中,将数据发送给随机选择的出口节点,然后数据沿着链路传到客户端。
现有技术,以及与现有技术相比,本方案的原理和优点如下:
1.在原有的隐匿服务链路中,数据要经过6跳洋葱路由的转发才能到达目的地,这比一般的3跳链路要慢得多。当链路中有一个节点的速度较慢时,这个节点会成为链路的瓶颈,大大地降低了链路的传输速率。本方案中,链路的长度仅为原来的一半,更短的链路可以降低传输时延,同时让加解密的次数减少,减轻了客户端和服务器的负担。
2.Tor提供的隐匿服务的安全性是有限的,攻击者能够同时对通信双方进行有效观察的话,有发现双方身份的可能性(蔡沂,郑郁林.TOR端对端计时攻击的一种防御机制——TOR的多流链路复用技术研究[J].计算机安全,2010(06):11-12+26)。在本方案中,原有的单个出口节点改为多个出口节点,客户端发送的数据到达中继节点后,中继节点将数据发送给随机选择的出口节点,然后该出口节点将数据发送给服务器。同时,客户端和服务器都不知道完整的链路信息,可以提高链路的安全性。
3.在本方案中,出口节点改为一组多个节点的集合,多个出口节点分担流量,平均每个节点需要传输的数据更少,大大降低了拥塞的可能性,加快了数据传输的速率和链路的响应时间。
附图说明
图1为建立成功的链路网络拓扑图。
具体实施方式
下面结合具体实施例对本发明作进一步说明:
本实施例所述的一种隐匿服务的链路建立方法:包括隐匿服务部署以及链路建立,从而连通客户端和服务器;
其中,隐匿服务部署的具体步骤如下:
SA-1、服务器为隐匿服务生成一对密钥;
SA-2、选择3个节点作为介绍节点;
SA-3、服务器与介绍节点建立连接,并给每个节点发送中继建立指令;
SA-4、介绍节点校验成功后发送对应的指令到服务器;
SA-5、服务器为隐匿服务生成一个隐匿服务描述符,包括隐匿服务对应的公钥、秘密id部分、发布时间、协议版本、介绍节点列表和隐匿服务描述符的签名;
SA-6、服务器再生成两个隐匿服务描述符的副本,并上传到隐匿服务目录服务器以供用户查找。
链路建立的具体步骤如下:
SB-1、客户端通过带外的方式获得该服务对应的洋葱地址,然后通过洋葱地址计算出描述符id,再之从隐匿服务目录服务器下载隐匿服务描述符;客户端得到介绍节点列表及其公钥;
SB-2、客户端在向介绍节点发送数据前选择一个节点作为入口节点,并与其建立连接;
SB-3、服务器选择中继节点后通过介绍节点给客户端发送拓展链路指令,客户端收到指令包后不对指令包内容进行修改,修改包头的链路ID后转发给入口节点,将链路拓展到中继节点;
SB-4、服务器通过介绍节点给客户端发送数据包,指示中继节点建立到出口节点的链路;
SB-5、服务器以与步骤S1-4同样的方式指示中继节点建立到m-1个出口节点的链路(m由服务器自定义);
SB-6、链路建立完成后,服务器发送关闭连接的指令,让介绍节点断开与客户端的连接;
SB-7、客户端得知其与介绍节点的连接后,说明与服务器间链路建立成功,开始通过新链路向服务器请求服务。
数据传输过程如下:
客户端和服务器连通后,当客户端给服务器发送数据时,数据经过入口节点、中继节点和出口节点后到达服务器,就像普通的洋葱链路。不一样的是,客户端和服务器都不知道完整的链路信息。客户端发送的数据到达中继节点后,中继节点将数据发送给随机选择的出口节点,然后该出口节点将数据发送给服务器。服务器给客户端发送数据的过程也类似,将数据发送给随机选择的出口节点,然后数据沿着链路传到客户端。
本实施例与现有技术相比,具有如下优点:
1.链路的长度仅为原来的一半,更短的链路可以降低传输时延,同时让加解密的次数减少,减轻了客户端和服务器的负担。
2.将原有的单个出口节点改为多个出口节点,客户端发送的数据到达中继节点后,中继节点将数据发送给随机选择的出口节点,然后该出口节点将数据发送给服务器。同时,客户端和服务器都不知道完整的链路信息,可以提高链路的安全性。
3.出口节点改为一组多个节点的集合,多个出口节点分担流量,平均每个节点需要传输的数据更少,大大降低了拥塞的可能性,加快了数据传输的速率和链路的响应时间。
以上所述之实施例子只为本发明之较佳实施例,并非以此限制本发明的实施范围,故凡依本发明之形状、原理所作的变化,均应涵盖在本发明的保护范围内。
Claims (3)
1.一种隐匿服务的链路建立方法,其特征在于,包括隐匿服务部署以及链路建立,从而连通客户端和服务器;
其中,链路建立的具体步骤如下:
S1-1、客户端通过带外的方式获得该服务对应的洋葱地址,然后通过洋葱地址计算出描述符id,再之从隐匿服务目录服务器下载隐匿服务描述符;隐匿服务描述符包括隐匿服务对应的公钥、秘密id部分、发布时间、协议版本、介绍节点列表和隐匿服务描述符的签名;客户端得到介绍节点列表及其公钥;
S1-2、客户端在向介绍节点发送数据前选择一个节点作为入口节点,并与其建立连接;
S1-3、服务器选择中继节点后通过介绍节点给客户端发送拓展链路指令,客户端收到指令包后不对指令包内容进行修改,修改包头的链路ID后转发给入口节点,将链路拓展到中继节点;
S1-4、服务器通过介绍节点给客户端发送数据包,指示中继节点建立到随机选择的出口节点的链路;
S1-5、服务器以与步骤S1-4同样的方式指示中继节点建立到m-1个出口节点的链路;
S1-6、链路建立完成后,服务器发送关闭连接的指令,让介绍节点断开与客户端的连接;
S1-7、客户端得知其与介绍节点的连接断开后,说明与服务器间链路建立成功,开始通过新链路向服务器请求服务。
2.根据权利要求1所述的一种隐匿服务的链路建立方法,其特征在于,所述隐匿服务部署的具体步骤如下:
S2-1、服务器为隐匿服务生成一对密钥;
S2-2、选择多个节点作为介绍节点;
S2-3、服务器与介绍节点建立连接,并给每个介绍节点发送中继建立指令;
S2-4、介绍节点校验成功后发送对应的指令到服务器;
S2-5、服务器为隐匿服务生成一个隐匿服务描述符;
S2-6、服务器再生成两个隐匿服务描述符的副本,并上传到隐匿服务目录服务器以供用户查找。
3.根据权利要求1所述的一种隐匿服务的链路建立方法,其特征在于,客户端和服务器连通后,当客户端给服务器发送数据时,数据经过入口节点、中继节点和出口节点后到达服务器;该过程中,客户端发送的数据到达中继节点后,中继节点将数据发送给随机选择的出口节点,然后该出口节点将数据发送给服务器;而服务器给客户端发送数据的过程中,将数据发送给所述随机选择的出口节点,然后数据沿着链路传到客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810381138.9A CN108848050B (zh) | 2018-04-25 | 2018-04-25 | 一种隐匿服务的链路建立方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810381138.9A CN108848050B (zh) | 2018-04-25 | 2018-04-25 | 一种隐匿服务的链路建立方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108848050A CN108848050A (zh) | 2018-11-20 |
| CN108848050B true CN108848050B (zh) | 2021-02-12 |
Family
ID=64212315
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810381138.9A Expired - Fee Related CN108848050B (zh) | 2018-04-25 | 2018-04-25 | 一种隐匿服务的链路建立方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108848050B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112511513A (zh) * | 2020-11-19 | 2021-03-16 | 西安电子科技大学 | 基于Tor网络业务的威胁情报接入工具箱 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852165A (zh) * | 2006-01-14 | 2006-10-25 | 华为技术有限公司 | 一种客户层链路自动发现方法及装置 |
| CN102664881A (zh) * | 2012-04-13 | 2012-09-12 | 东南大学 | 超文本传输协议1.1下的隐藏服务定位方法 |
| CN103281178A (zh) * | 2013-06-08 | 2013-09-04 | 深圳大学 | 一种隐匿通信方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9680798B2 (en) * | 2014-04-11 | 2017-06-13 | Nant Holdings Ip, Llc | Fabric-based anonymity management, systems and methods |
-
2018
- 2018-04-25 CN CN201810381138.9A patent/CN108848050B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852165A (zh) * | 2006-01-14 | 2006-10-25 | 华为技术有限公司 | 一种客户层链路自动发现方法及装置 |
| CN102664881A (zh) * | 2012-04-13 | 2012-09-12 | 东南大学 | 超文本传输协议1.1下的隐藏服务定位方法 |
| CN103281178A (zh) * | 2013-06-08 | 2013-09-04 | 深圳大学 | 一种隐匿通信方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| Tor匿名通信系统路由技术研究;韩越;《中国优秀硕士学位论文全文数据库 信息科技辑》;20180415(第4期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108848050A (zh) | 2018-11-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7042875B2 (ja) | セキュア動的通信ネットワーク及びプロトコル | |
| US8966270B2 (en) | Methods and systems for providing controlled access to the internet | |
| Snoeren et al. | Single-packet IP traceback | |
| Lou et al. | A multipath routing approach for secure data delivery | |
| Song et al. | Expander graphs for digital stream authentication and robust overlay networks | |
| CN106209897B (zh) | 一种基于代理的软件定义网络分布式多粒度控制器安全通信方法 | |
| TW201633742A (zh) | 基於可信中繼的量子密鑰分發系統、方法及裝置 | |
| Aad et al. | Packet coding for strong anonymity in ad hoc networks | |
| Ellard et al. | Rebound: Decoy routing on asymmetric routes via error messages | |
| CN114448730B (zh) | 基于区块链网络的报文转发方法及装置、交易处理方法 | |
| CN111194541B (zh) | 用于数据传输的装置和方法 | |
| CN109510832A (zh) | 一种基于动态黑名单机制的通信方法 | |
| CN108848050B (zh) | 一种隐匿服务的链路建立方法 | |
| US20070287422A1 (en) | Communication System and Method for Providing a Mobile Communications Service | |
| CN111181938A (zh) | 一种基于分片传输的边缘计算分布式数据加密传输方法 | |
| Kaur et al. | Countermeasures for covert channel-internal control protocols | |
| Liyanage et al. | Secure hierarchical virtual private LAN services for provider provisioned networks | |
| CN111327628B (zh) | 一种基于sdn的匿名通信系统 | |
| CN116489638B (zh) | 一种用于移动自组网匿名通信的跳跃式路由方法 | |
| CN115426116B (zh) | 一种基于动态密钥的加密哈希跳变方法 | |
| Hong et al. | Secure and Efficient Authentication using Linkage for permissionless Bitcoin network | |
| Simsek | On-Demand Blind Packet Forwarding | |
| Butani et al. | Providing Efficient Security in Multicast Routing for Adhoc Networks | |
| Rathod et al. | Efficient Message Transmission Using Hybrid Cryptography | |
| Alzahrani et al. | Proactive detection of DDOS attacks in Publish-Subscribe networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20210212 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |