本发明专利技术涉及一种隐匿服务的链路建立方法,建立后的链路的长度仅为原来的一半,更短的链路可以降低传输时延,同时让加解密的次数减少,减轻了客户端和服务器的负担。另外,将原有的单个出口节点改为多个出口节点,客户端发送的数据到达中继节点后,中继节点将数据发送给随机选择的出口节点,然后该出口节点将数据发送给服务器。同时,客户端和服务器都不知道完整的链路信息,可以提高链路的安全性。再之,出口节点改为一组多个节点的集合,多个出口节点分担流量,平均每个节点需要传输的数据更少,大大降低了拥塞的可能性,加快了数据传输的速率和链路的响应时间。
【技术实现步骤摘要】
一种隐匿服务的链路建立方法
本专利技术涉及洋葱路由系统研究领域,为了提高链路的传输速率,更好地保护通信双方的匿名性,提出一种隐匿服务的链路建立方法,更短的链路提高了传输速率,链路建立时间也更短,更少的转发路由也让加解密的次数减少,同时多重路径降低了流量分析的可能性,具有更高的安全性。。
技术介绍
深网(刘伟,孟小峰,孟卫一.DeepWeb数据集成研究综述[J].计算机学报,2007(09):1475-1489)是指网上不能被标准搜索引擎搜到的页面,蕴含的信息量巨大,目前在深网中应用最广的匿名通信系统是洋葱路由系统Tor(Theonionrouter)(DingledineR,MathewsonN,SyversonP.Tor:Thesecond-generationonionrouter[R].Washington,DC:NavelResearchLab,2004.)。Tor系统将用户的信息消息进行多层加密后,通过几个洋葱路由而不是直接的连接发送给接收者,以提供双向、低延时的匿名通信(RogerDingledine,NickMathewson.TorProtocolSpecification[EB/OL].https://gitweb.torproject.org/torspec.git/tree/tor-spec.txt,2018-01-03)。一般的Tor链路保障客户端的匿名性,为了同时保证服务器的匿名性,Tor提供了隐匿服务(HiddenService)(Müller,K.Past,PresentandFutureofTorHiddenServices.irapportserie01/2015,January2015.URL:http://hdl.handle.net/11250/274863.)。Tor允许隐匿服务提供方提供TCP服务而不暴露服务器的位置,这样可以保护服务器不受DDoS攻击。虽然Tor的隐匿服务发布已超过十年,但它的协议基本没有改变,正因为这样,它仍有很多缺点需要改进。隐匿服务的通信链路长度比Tor网络内普通的通信链路都要多出一倍,6跳的链路使得通信双方的通信时延大大增加。而且在选择节点时,若一个节点的选择不当,便可能使低带宽的节点成为链路瓶颈,极大影响了链路通信效率。随着网络流量增长,隐匿服务的问题日益突出(鲍凯.基于Tor的暗网脆弱性分析研究[D].电子科技大学,2016)。黄诚强(黄诚强.基于Tor的反向匿名信道建立技术研究[D].西安电子科技大学,2014)提出了一种通过Tor的隐匿服务链路建立的匿名信道的技术,该技术可以提高链路的传输效率,提高双方的匿名性。但相比起原有的链路,它更容易受到流量分析攻击。YangL等人(YangL,LiF.EnhancingTrafficAnalysisResistanceforTorHiddenServiceswithMultipathRouting[J].2015)提出了一种通过多重路径提高Tor隐匿服务的抗流量分析性(陈美玲.基于流量分析的Tor内容分类研究[D].北京交通大学,2017)的方法。该方法比原来的隐匿服务更能抵抗流量分析,提高了通信的安全度,但链路结构较为复杂,通信效率没有明显的提升。
技术实现思路
本专利技术的目的在于克服现有技术的不足,提供一种隐匿服务的链路建立方法,在保护客户端和服务器的匿名性的前提下,提高链路的数据传输效率,同时减少了加解密操作,加快了数据传输的速率和链路的响应时间。为实现上述目的,本专利技术所提供的技术方案为:包括隐匿服务部署以及链路建立;其中,链路建立的具体步骤如下:S1-1、客户端通过带外的方式获得该服务对应的洋葱地址,然后通过洋葱地址计算出描述符id,再之从隐匿服务目录服务器下载隐匿服务描述符;客户端得到介绍节点列表及其公钥;S1-2、客户端在向介绍节点发送数据前选择一个节点作为入口节点,并与其建立连接;S1-3、服务器选择中继节点后通过介绍节点给客户端发送拓展链路指令,客户端收到指令包后不对指令包内容进行修改,修改包头的链路ID后转发给入口节点,将链路拓展到中继节点;S1-4、服务器通过介绍节点给客户端发送数据包,指示中继节点建立到出口节点的链路;S1-5、服务器以与步骤S1-4同样的方式指示中继节点建立到m-1个出口节点的链路;S1-6、链路建立完成后,服务器发送关闭连接的指令,让介绍节点断开与客户端的连接;S1-7、客户端得知其与介绍节点的连接后,说明与服务器间链路建立成功,开始通过新链路向服务器请求服务。进一步地,所述隐匿服务部署的具体步骤如下:S2-1、服务器为隐匿服务生成一对密钥;S2-2、选择多个节点作为介绍节点;S2-3、服务器与介绍节点建立连接,并给每个节点发送中继建立指令;S2-4、介绍节点校验成功后发送对应的指令到服务器;S2-5、服务器为隐匿服务生成一个隐匿服务描述符,包括隐匿服务对应的公钥、秘密id部分、发布时间、协议版本、介绍节点列表和隐匿服务描述符的签名;S2-6、服务器再生成两个隐匿服务描述符的副本,并上传到隐匿服务目录服务器以供用户查找。进一步地,客户端和服务器连通后,当客户端给服务器发送数据时,数据经过入口节点、中继节点和出口节点后到达服务器;该过程中,客户端发送的数据到达中继节点后,中继节点将数据发送给随机选择的出口节点,然后该出口节点将数据发送给服务器;而服务器给客户端发送数据的过程中,将数据发送给随机选择的出口节点,然后数据沿着链路传到客户端。现有技术,以及与现有技术相比,本方案的原理和优点如下:1.在原有的隐匿服务链路中,数据要经过6跳洋葱路由的转发才能到达目的地,这比一般的3跳链路要慢得多。当链路中有一个节点的速度较慢时,这个节点会成为链路的瓶颈,大大地降低了链路的传输速率。本方案中,链路的长度仅为原来的一半,更短的链路可以降低传输时延,同时让加解密的次数减少,减轻了客户端和服务器的负担。2.Tor提供的隐匿服务的安全性是有限的,攻击者能够同时对通信双方进行有效观察的话,有发现双方身份的可能性(蔡沂,郑郁林.TOR端对端计时攻击的一种防御机制——TOR的多流链路复用技术研究[J].计算机安全,2010(06):11-12+26)。在本方案中,原有的单个出口节点改为多个出口节点,客户端发送的数据到达中继节点后,中继节点将数据发送给随机选择的出口节点,然后该出口节点将数据发送给服务器。同时,客户端和服务器都不知道完整的链路信息,可以提高链路的安全性。3.在本方案中,出口节点改为一组多个节点的集合,多个出口节点分担流量,平均每个节点需要传输的数据更少,大大降低了拥塞的可能性,加快了数据传输的速率和链路的响应时间。附图说明图1为建立成功的链路网络拓扑图。具体实施方式下面结合具体实施例对本专利技术作进一步说明:本实施例所述的一种隐匿服务的链路建立方法:包括隐匿服务部署以及链路建立,从而连通客户端和服务器;其中,隐匿服务部署的具体步骤如下:SA-1、服务器为隐匿服务生成一对密钥;SA-2、选择3个节点作为介绍节点;SA-3、服务器与介绍节点建立连接,并给每个节点发送中继建立指令;SA-4、介绍节点校验成功后发送对应的指令到服务器;SA-5、服务器为隐匿服务生成本文档来自技高网...
【技术保护点】
1.一种隐匿服务的链路建立方法,其特征在于,包括隐匿服务部署以及链路建立,从而连通客户端和服务器;其中,链路建立的具体步骤如下:S1‑1、客户端通过带外的方式获得该服务对应的洋葱地址,然后通过洋葱地址计算出描述符id,再之从隐匿服务目录服务器下载隐匿服务描述符;客户端得到介绍节点列表及其公钥;S1‑2、客户端在向介绍节点发送数据前选择一个节点作为入口节点,并与其建立连接;S1‑3、服务器选择中继节点后通过介绍节点给客户端发送拓展链路指令,客户端收到指令包后不对指令包内容进行修改,修改包头的链路ID后转发给入口节点,将链路拓展到中继节点;S1‑4、服务器通过介绍节点给客户端发送数据包,指示中继节点建立到出口节点的链路;S1‑5、服务器以与步骤S1‑4同样的方式指示中继节点建立到m‑1个出口节点的链路;S1‑6、链路建立完成后,服务器发送关闭连接的指令,让介绍节点断开与客户端的连接;S1‑7、客户端得知其与介绍节点的连接后,说明与服务器间链路建立成功,开始通过新链路向服务器请求服务。
【技术特征摘要】
1.一种隐匿服务的链路建立方法,其特征在于,包括隐匿服务部署以及链路建立,从而连通客户端和服务器;其中,链路建立的具体步骤如下:S1-1、客户端通过带外的方式获得该服务对应的洋葱地址,然后通过洋葱地址计算出描述符id,再之从隐匿服务目录服务器下载隐匿服务描述符;客户端得到介绍节点列表及其公钥;S1-2、客户端在向介绍节点发送数据前选择一个节点作为入口节点,并与其建立连接;S1-3、服务器选择中继节点后通过介绍节点给客户端发送拓展链路指令,客户端收到指令包后不对指令包内容进行修改,修改包头的链路ID后转发给入口节点,将链路拓展到中继节点;S1-4、服务器通过介绍节点给客户端发送数据包,指示中继节点建立到出口节点的链路;S1-5、服务器以与步骤S1-4同样的方式指示中继节点建立到m-1个出口节点的链路;S1-6、链路建立完成后,服务器发送关闭连接的指令,让介绍节点断开与客户端的连接;S1-7、客户端得知其与介绍节点的连接后,说明与服务器间链路建立成功,开始通过新链路向服务器请求服务。2...
【专利技术属性】
技术研发人员:柳毅,梁嘉伟,凌捷,
申请(专利权)人:广东工业大学,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。