CN115242515A

CN115242515A - 一种基于水印的Tor匿名通信双方身份关联系统

Info

Publication number: CN115242515A
Application number: CN202210876834.3A
Authority: CN
Inventors: 吴越; 秦怡; 邹福泰; 周纸墨
Original assignee: Shanghai Jiaotong University
Current assignee: Shanghai Jiaotong University
Priority date: 2022-07-25
Filing date: 2022-07-25
Publication date: 2022-10-25
Anticipated expiration: 2042-07-25
Also published as: CN115242515B

Abstract

本发明公开了一种基于水印的Tor匿名通信双方身份关联系统，涉及Tor匿名网络中的追踪与溯源领域，包括水印嵌入与检测模块、水印接收模块、水印匹配模块三个部分，所述水印嵌入与检测模块用来判断洋葱路由在电路中的位置，根据识别出来的位置执行水印嵌入或者水印检测操作；所述水印接收模块接收所述水印嵌入与检测模块上传的入境记录或者出境记录，并保存到数据库中；所述水印匹配模块用来从入境记录数据库和出境记录数据库中寻找拥有相同水印的记录，并根据记录中保存的相关信息关联产生了通信行为的洋葱代理和服务端。本发明能够携带充足的信息，使得系统能够更加准确地关联，抗干扰能力强，结构简单，容易实现。

Description

一种基于水印的Tor匿名通信双方身份关联系统

技术领域

本发明涉及Tor匿名网络中的追踪与溯源领域，尤其涉及一种基于水印的Tor匿名通信双方身份关联系统。

背景技术

互联网的飞速发展极大地改变了人们的生活方式，人们可以通过互联网轻松获取多种服务，例如电子商务、社交网络、网上银行等。上述网络服务均会使用到用户的隐私信息，使得用户隐私信息面临着泄露的风险。匿名通信技术由此诞生，它借助代理技术和密码学技术来隐藏网络通信双方的身份信息以及保证网络数据的机密性，从而保护用户隐私信息。

Tor(The Onion Router，洋葱路由)匿名网络是最受人们欢迎的匿名通信技术之一，它拥有分布全球的数千个代理节点供用户使用，这些代理节点能够有效地抵御网络追踪，掩盖用户身份。Tor匿名网络拥有三种基本类型的节点，分别是目录服务器、洋葱路由和洋葱代理。目录服务器是Tor匿名网络的中心服务器，它保存了所有洋葱路由的信息；洋葱路由也称为代理节点，它负责将数据转发至其他洋葱路由或者目标服务端；洋葱代理由用户在本地运行，它会开放Socks代理服务，用于将其他应用程序的数据转发至洋葱路由。

洋葱代理使用电路和流与服务端匿名地通信，电路是由若干洋葱路由组成的虚拟隧道，流则是在隧道中建立的匿名TCP连接。为了创建一条电路，洋葱代理随机选择3个洋葱路由，分别记为入口节点、中间节点和出口节点。随后，洋葱代理建立一条通向入口节点的电路，控制入口节点将电路延伸至中间节点，再控制中间节点延伸电路至出口节点，完成3跳电路创建。接下来，洋葱代理请求出口节点建立一条流，出口节点收到请求后与目标服务端建立一条TCP连接，完成流的创建。在此之后，洋葱代理发送给目标服务端的数据都会经过电路传送到出口节点，由出口节点把数据交付给目标服务端，目标服务端的响应数据会沿着同样的路径反方向传送给洋葱代理。

在上述通信过程中，入口节点知道洋葱代理的身份(IP地址)，却不知道目标服务端的身份；出口节点知道服务端的身份，但不知道洋葱代理的身份；服务端则认为与它通信的对方是出口节点，它完全不知道洋葱代理的存在。Tor匿名网络这种良好的匿名性使得它常被不法分子利用实施网络犯罪活动，这给执法部门打击网络犯罪带来了巨大的障碍。

为了关联Tor匿名通信双方的身份，即确认某个洋葱代理访问了某个服务端，学术界提出了多个关联方法。这些方法的核心思想是由入口节点往电路中嵌入一个水印，再由出口节点检测出该水印，入口节点与出口节点根据水印进行共谋，从而确定洋葱代理和服务端的匿名通信关系。

已有的Tor匿名通信双方身份关联方法存在一些缺陷，包括水印携带的有效信息少、水印易受网络因素影响等。这使得洋葱代理可能被误认为与服务端通信，最终导致关联准确率不高。

因此，本领域的技术人员致力于开发一种准确率高、抗干扰能力强的的Tor匿名通信双方身份关联方法。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是实现一个准确率高、抗干扰能力强的的Tor匿名通信双方身份关联系统。

为实现上述目的，本发明提供了一种基于水印的Tor匿名通信双方身份关联系统，其特征在于，包括水印嵌入与检测模块、水印接收模块、水印匹配模块三个部分，所述水印嵌入与检测模块用来判断洋葱路由器在电路中的位置，根据识别出来的位置执行水印嵌入或者水印检测操作；所述水印接收模块接收所述水印嵌入与检测模块上传的入境记录或者出境记录，并保存到数据库中；所述水印匹配模块用来从入境记录数据库和出境记录数据库中寻找拥有相同水印的记录，并根据记录中保存的相关信息关联产生了通信行为的洋葱代理和服务端。

进一步地，在所述水印嵌入与检测模块中，对于嵌入的水印，生成所述入境记录；对于检出的水印，生成所述出境记录，两种记录均会被上传至所述水印接收模块。

进一步地，在所述水印嵌入与检测模块中，水印嵌入是通过修改数据包类型进行的。

进一步地，所述水印嵌入的方法主要包括以下步骤：

步骤101、判断所述洋葱路由在电路中的位置，如果电路中上一个节点的IP地址不属于任何所述洋葱路由，那么所述洋葱路由是电路中的入口节点，继续进行步骤102；否则所述洋葱路由并非入口节点，停止水印嵌入；

步骤102、放行洋葱代理发送的前三个数据包，不对它们做特殊处理；

步骤103、将洋葱代理发送的第四至第九个数据包的类型修改为RELAY；

步骤104、生成一个水印，水印是一个定长的数组，数组中的元素是RELAY或者RELAY_EARLY；

步骤105、将洋葱代理后续发送的数据包类型修改为水印数组中的各个元素。

进一步地，所述步骤104中，水印生成方案主要包括以下三种：

方案一、水印数组的长度为85，其中包括了78个RELAY和7个RELAY_EARLY，这种方案生成的水印一共有

种组合，能够覆盖所有IPv4地址；

方案二、水印数组的长度为20，其中包括了13个RELAY和7个RELAY_EARLY，这种方案生成的水印一共有

种组合，能够覆盖IPv4地址的低16比特；

方案三、水印数组的长度为50，其中包括了43个RELAY和7个RELAY_EARLY，这种方案生成的水印一共有

种组合。

进一步地，在所述水印嵌入与检测模块中，水印检测的方法主要包括以下步骤：

步骤201、判断洋葱路由器在电路中的位置，如果当前节点收到了流创建请求，则本节点是电路中的出口节点，继续进行步骤202；否则，本节点并非出口节点，结束水印检测；

步骤202、判断本节点收到的前八个数据包中RELAY_EARLY类型数据包的数量，如果数量等于0，代表电路中存在水印，继续进行步骤203；否则，电路中不存在水印，结束水印检测；

步骤203、从本节点收到的第九个数据包开始，记录每一个数据包的类型，得到一个定长的数组，该数组即为水印。

进一步地，所述水印嵌入与检测模块与所述洋葱路由绑定运行，它们要提前被部署至Tor匿名网络中，以便能够关联借助Tor电路进行通信的洋葱代理和服务端。

进一步地，在所述水印匹配模块中有一个参数Δt，代表了数据包从洋葱代理传输至服务端所耗费的时间，该参数的值被设置为1.5秒。

进一步地，在所述水印匹配模块在启动之后，所述水印匹配模块进入循环，持续地监控数据库中是否新增了所述入境记录和所述出境记录。

进一步地，每当有新的所述出境记录到达，所述水印匹配模块提取水印的开始检测时间为t_s、完成检测时间为t_e、检测到的水印为watermark；随后，它在所述入境记录数据库中搜索满足：水印开始嵌入时间位于(t_s-Δt,t_s)、水印完成嵌入时间位于(t_e-Δt,t_e)且嵌入的水印等于watermark这三个条件的入境记录；如果存在满足上述条件的入境记录，那么就能确定所述入境记录中的洋葱代理与所述出境记录中的服务端产生了通信行为，完成Tor匿名通信双方身份的关联任务基于水印的Tor匿名通信双方身份关联系统，该系统能够精确、高效且稳定地关联匿名通信双方的身份。

本发明提供的基于水印的Tor匿名通信双方身份关联系统，通过修改数据包的类型在电路中嵌入水印，该水印能够携带充足的信息，使得系统能够更加准确地关联使用Tor电路进行通信的双方身份；水印嵌入方法拥有极强的鲁棒性，能够有效抵抗外界因素对水印产生的干扰；同时，关联系统的结构简单，容易实现，可快速部署至Tor匿名网络中并达到关联效果。

以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明，以充分地了解本发明的目的、特征和效果。

附图说明

图1为本发明的一个较佳实施例的Tor匿名通信双方身份关联系统的总体结构示意图；

图2为本发明的一个较佳实施例的水印嵌入与检测模块运行流程示意图；

图3为本发明的一个较佳实施例的水印接收模块运行流程示意图；

图4为本发明的一个较佳实施例的水印匹配模块运行流程示意图。

具体实施方式

以下参考说明书附图介绍本发明的多个优选实施例，使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现，本发明的保护范围并非仅限于文中提到的实施例。

在附图中，结构相同的部件以相同数字标号表示，各处结构或功能相似的组件以相似数字标号表示。附图所示的每一组件的尺寸和厚度是任意示出的，本发明并没有限定每个组件的尺寸和厚度。为了使图示更清晰，附图中有些地方适当夸大了部件的厚度。

本发明提供了一种基于水印的Tor匿名通信双方身份关联系统，它由水印嵌入与检测模块、水印接收模块、水印匹配模块组成。其中，水印嵌入与检测模块与洋葱路由绑定运行，它们要提前被部署至Tor匿名网络中，以便能够关联借助Tor电路进行通信的洋葱代理和服务端。

Tor匿名通信双方身份关联系统的总体结构如图1所示：

系统包含了若干洋葱路由，这些洋葱路由加入Tor匿名网络，并且运行了水印嵌入与检测模块。因此，Tor匿名网络中既包含运行了水印嵌入与检测模块的洋葱路由(记为关联系统洋葱路由)，也包含了没有运行该模块的洋葱路由(记为普通洋葱路由)。

洋葱代理在建立电路之前会随机选择洋葱路由，假设它从关联系统洋葱路由之中选择了两个节点作为入口节点和出口节点，从普通洋葱路由中选择了一个节点作为中间节点，随后使用这三个节点创立了一条电路，并在电路中建立一条流通向服务端。

当入口节点收到来自洋葱代理的电路创建请求时，它激活水印嵌入与检测模块，后者随即开始水印嵌入工作。待水印成功嵌入电路后，入口节点的水印嵌入与检测模块向水印接收模块发送一个入境记录，其中包括了嵌入的水印以及洋葱代理的相关信息。水印接收模块则会将该条记录保存至入境记录数据库中，代表了洋葱代理进入了Tor匿名网络之中。

当出口节点收到来自中间节点的电路延伸请求时，它同样激活水印嵌入与检测模块，该模块尝试从电路中检测水印。倘若电路中存在水印，出口节点的水印嵌入与检测模块向水印接收模块上报一个出境记录，其中包括了检出的水印以及服务端的信息。水印接收模块则会将记录保存至出境记录数据库中，代表了洋葱代理通过Tor匿名网络访问了互联网上的服务端。

水印匹配模块会持续地监测入境记录数据库和出境记录数据库，并对这两个数据库中保存的记录进行匹配，如果存在拥有一致水印的入境记录和出境记录，那么就能确定入境记录中记载的洋葱代理与出境记录中的服务端产生了通信行为，从而关联了匿名通信双方的身份。

图2展示了水印嵌入与检测模块的工作流程，每当洋葱路由收到电路创建请求之后，该模块就会被激活并开始工作。模块启动之后会检测当前洋葱路由在电路中的位置，如果发送电路请求节点的IP地址不属于任何一个洋葱路由，那么当前节点为入口节点，否则为中间节点或者出口节点。为了进一步推测是中间节点还是出口节点，水印嵌入与检测模块会检测当前洋葱路由是否收到了流创建请求，如果收到了请求则表示当前节点为出口节点，否则为中间节点。

完成电路位置推断之后，水印嵌入与检测模块执行相应的后续流程。对于入口节点，模块放行洋葱代理发送过来的前三个数据包，这三个数据包用于创建电路以及延伸电路，修改这三个数据包会导致电路创建失败。随后，模块会将洋葱代理发送的第四个至第九个数据包从RELAY_EARLY类型改为RELAY类型，由于这些数据包并不是用来创建或延伸电路，修改它们的类型不会造成任何影响。接下来，模块会选择一种水印生成方法来创建一个水印，水印是一个定长的数组，其中的元素为RELAY_EARLY或者RELAY。在生成水印之后，模块会根据水印中的元素依次修改洋葱代理发送过来的数据包的类型，从而进行水印嵌入。待水印完整地嵌入电路后，模块向水印接收模块上报一个入境记录：<洋葱代理的IP地址,嵌入的水印,开始嵌入时间,完成嵌入时间>，完成工作。

由于中间节点既不了解洋葱代理的信息，也不知道服务端的信息。当关联系统洋葱路由被选为中间节点时，水印嵌入与检测模块不会执行任何操作。对于出口节点，水印嵌入与检测模块根据它收到的前八个数据包中是否包含RELAY_EARLY类型的数据包来推测电路中是否存在水印。如果不存在水印，模块结束工作；否则，模块从它收到的第九个数据包开始记录每一个数据包的类型，得到一个定长数组，代表了水印。最后，该模块向水印接收模块上报一个出境记录：<服务端的IP地址,检出的水印,开始检测时间,完成检测时间>。

水印接收模块的工作较为简单，如图3所示：它在启动之后会持续地等待水印嵌入与检测模块上传的入境记录和出境记录，并将这两种记录存入对应的数据库中。

图4展示了水印匹配模块的工作流程，它负责匹配入境记录和出境记录。水印匹配模块拥有一个参数Δt，代表了数据包从洋葱代理传输至服务端所耗费的时间，该参数的值被设置为1.5秒。在启动之后，水印匹配模块进入循环，持续地监控数据库中是否新增了入境记录和出境记录。每当有新的出境记录到达，水印匹配模块提取水印的开始检测时间为t_s、完成检测时间为t_e、检测到的水印为watermark。随后，它在入境记录数据库中搜索满足：水印开始嵌入时间位于(t_s-Δt,t_s)、水印完成嵌入时间位于(t_e-Δt,t_e)且嵌入的水印等于watermark这三个条件的入境记录。如果存在满足上述条件的入境记录，那么就能确定入境记录中的洋葱代理与出境记录中的服务端产生了通信行为，完成Tor匿名通信双方身份的关联任务。

以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。

Claims

1.一种基于水印的Tor匿名通信双方身份关联系统，其特征在于，包括水印嵌入与检测模块、水印接收模块、水印匹配模块三个部分，所述水印嵌入与检测模块用来判断洋葱路由器在电路中的位置，根据识别出来的位置执行水印嵌入或者水印检测操作；所述水印接收模块接收所述水印嵌入与检测模块上传的入境记录或者出境记录，并保存到数据库中；所述水印匹配模块用来从入境记录数据库和出境记录数据库中寻找拥有相同水印的记录，并根据记录中保存的相关信息关联产生了通信行为的洋葱代理和服务端。

2.如权利要求1所述的一种基于水印的Tor匿名通信双方身份关联系统，其特征在于，在所述水印嵌入与检测模块中，对于嵌入的水印，生成所述入境记录；对于检出的水印，生成所述出境记录，两种记录均会被上传至所述水印接收模块。

3.如权利要求2所述的一种基于水印的Tor匿名通信双方身份关联系统，其特征在于，在所述水印嵌入与检测模块中，水印嵌入是通过修改数据包类型进行的。

4.如权利要求3所述的一种基于水印的Tor匿名通信双方身份关联系统，其特征在于，所述水印嵌入的方法主要包括以下步骤：

5.如权利要求4所述的一种基于水印的Tor匿名通信双方身份关联系统，其特征在于，所述步骤104中，水印生成方案主要包括以下三种：

种组合，能够覆盖所有IPv4地址；

种组合，能够覆盖IPv4地址的低16比特；

种组合。

6.如权利要求5所述的一种基于水印的Tor匿名通信双方身份关联系统，其特征在于，在所述水印嵌入与检测模块中，水印检测的方法主要包括以下步骤：

7.如权利要求6所述的一种基于水印的Tor匿名通信双方身份关联系统，其特征在于，所述水印嵌入与检测模块与所述洋葱路由绑定运行，它们要提前被部署至Tor匿名网络中，以便能够关联借助Tor电路进行通信的洋葱代理和服务端。

8.如权利要求7所述的一种基于水印的Tor匿名通信双方身份关联系统，其特征在于，在所述水印匹配模块中有一个参数Δt，代表了数据包从洋葱代理传输至服务端所耗费的时间，该参数的值被设置为1.5秒。

9.如权利要求8所述的一种基于水印的Tor匿名通信双方身份关联系统，其特征在于，在所述水印匹配模块在启动之后，所述水印匹配模块进入循环，持续地监控数据库中是否新增了所述入境记录和所述出境记录。

10.如权利要求9所述的一种基于水印的Tor匿名通信双方身份关联系统，其特征在于，每当有新的所述出境记录到达，所述水印匹配模块提取水印的开始检测时间为t_s、完成检测时间为t_e、检测到的水印为watermark；随后，它在所述入境记录数据库中搜索满足：水印开始嵌入时间位于(t_s-Δt,t_s)、水印完成嵌入时间位于(t_e-Δt,t_e)且嵌入的水印等于watermark这三个条件的入境记录；如果存在满足上述条件的入境记录，那么就能确定所述入境记录中的洋葱代理与所述出境记录中的服务端产生了通信行为，完成Tor匿名通信双方身份的关联任务。