專利名稱:超文本傳輸協(xié)議1.1下的隱藏服務(wù)定位方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全特別是匿名通信領(lǐng)域����,具體來說是ー種匿名通信的監(jiān)管技術(shù)����,利用HTTP1. I協(xié)議的特點(diǎn)對隱藏服務(wù)進(jìn)行定位�����,以追蹤并取締非法的Web服務(wù)���。
背景技術(shù):
首先對本發(fā)明中用到的縮寫進(jìn)行定義OP (Onion Proxy):洋蔥代理����;
OR (Onion Router):洋蔥路由器���;
HS (Hidden Service):隱藏服務(wù)�����;
HSA (Hidden Service Authority):隱藏服務(wù)權(quán)威���;
RP (Rendezvous Point):匯聚點(diǎn)�;
InP (Introduction Point):服務(wù)導(dǎo)入點(diǎn)����;
AES (Advanced Encryption Standard):高級加密標(biāo)準(zhǔn);
AES-CTR (AES in counter mode) :AES 計(jì)數(shù)器模式���;
HTTP (Hyper Text Transfer Protocol):超文本傳輸協(xié)議�;
HTML (HyperText Markup Language):超文本標(biāo)記語言����;
Tor是ー種根據(jù)MIX原理設(shè)計(jì)的基于傳輸層TCP的匿名通信系統(tǒng),能夠有效地保護(hù)網(wǎng)絡(luò)用戶的身份隱私��。一個(gè)完整的Tor網(wǎng)絡(luò)如圖I所示�,由客戶端、目錄服務(wù)器����、洋蔥路由器以及應(yīng)用服務(wù)器組成��?�?蛻舳耸沁\(yùn)行在用戶主機(jī)上的本地程序���,稱之為洋蔥代理(Onion Proxy,0P),負(fù)責(zé)為用戶構(gòu)建匿名路徑并將數(shù)據(jù)封裝成長度的數(shù)據(jù)單元(Cell)進(jìn)行傳遞���;目錄服務(wù)器主要存儲洋蔥路由的節(jié)點(diǎn)信息�,包括節(jié)點(diǎn)描述符�、公開密鑰等;洋蔥路由器(OnionRouter�,OR)負(fù)責(zé)組成匿名電路對用戶數(shù)據(jù)進(jìn)行重路由�����,Tor默認(rèn)一條匿名路徑由3個(gè)OR組成�,分別為入口節(jié)點(diǎn)(Entry Node)、中間節(jié)點(diǎn)(Middle Node)和出口節(jié)點(diǎn)(Exit Node);應(yīng)用服務(wù)器則提供具體的TCP應(yīng)用服務(wù)�,如Web等。除對普通用戶提供匿名服務(wù)外�����,Tor還對網(wǎng)絡(luò)服務(wù)提供者的匿名性進(jìn)行保護(hù),稱之為隱藏服務(wù)(Hidden Service�,HS),如圖2所示����,它包括五個(gè)組成部分,分別為用戶���、隱藏服務(wù)權(quán)威(Hidden Service Authority,HSA)�、隱藏服務(wù)器����、匯聚點(diǎn)(Rendezvous Point, RP)和服務(wù)導(dǎo)入點(diǎn)(IntiOduction Point,InP)�����。隱藏服務(wù)器在服務(wù)導(dǎo)入點(diǎn)注冊服務(wù)信息����,用戶從隱藏服務(wù)權(quán)威獲得隱藏秋服務(wù)器的服務(wù)導(dǎo)入點(diǎn)的信息,而后和匯聚點(diǎn)建立連接,同時(shí)通過導(dǎo)入點(diǎn)向隱藏服務(wù)器發(fā)起請求�,服務(wù)器建立與匯聚點(diǎn)的匿名信道。這樣��,用戶���、匯聚點(diǎn)以及隱藏服務(wù)器間將建立一條匿名連接��,通過此連接提供服務(wù)將不會暴露服務(wù)提供者的真實(shí)身份與位置��。為抵御流量分析攻擊�����,Tor將應(yīng)用層數(shù)據(jù)封裝成長度相等的數(shù)據(jù)單元進(jìn)行傳輸�,并且ー些控制與管理命令也被填充成同樣長度����,以提高整個(gè)系統(tǒng)的安全性。Tor的數(shù)據(jù)單元分控制單元(Control Cell)和中繼單元(Relay Cell)兩種,其組成結(jié)構(gòu)如圖3所示,兩種數(shù)據(jù)單元長度均固定為512字節(jié)�����,分為頭部與載荷兩部分��。其中���,頭部包含ー個(gè)2字節(jié)的電路標(biāo)識(CircID)字段和ー個(gè)I字節(jié)的命令(CMD)字段��,頭部在傳輸過程中不會被加密����,因此中繼的OR節(jié)點(diǎn)都可以查看頭部信息���。由于不同通信雙方的數(shù)據(jù)單元有可能在同一 TLS連接中進(jìn)行傳輸����,電路標(biāo)識用于記錄該數(shù)據(jù)単元所屬的匿名電路(Circuit)��,同一 OP OR或OR OR間的匿名電路標(biāo)識各不相同�,OR節(jié)點(diǎn)利用電路標(biāo)識建立路由表并據(jù)此對數(shù)據(jù)單元進(jìn)行轉(zhuǎn)發(fā)。根據(jù)命令字段可將數(shù)據(jù)単元分為控制単元和中繼單元�����,其中控制單元負(fù)責(zé)傳遞管理信息�����,如匿名電路的創(chuàng)建與維護(hù)等,由接收到該數(shù)據(jù)單元的OP或OR節(jié)點(diǎn)進(jìn)行處理��;中繼單元則負(fù)責(zé)傳遞端到端的通信數(shù)據(jù)�,其載荷部分由建立匿名電路過程中協(xié)商的對稱密鑰層層加密,只有出口節(jié)點(diǎn)才能完全解密數(shù)據(jù)獲得信息明文�����。對于中繼單元�����,除標(biāo)準(zhǔn)的頭部外�,在載荷部分還有ー個(gè)額外的頭部,用于記錄端到端數(shù)據(jù)的相關(guān)信息��。整個(gè)載荷部分采用AES計(jì)數(shù)器模式(AES in counter mode, AES-CTR)進(jìn)行加解密����,在出口節(jié)點(diǎn)處將明文數(shù)據(jù)傳遞給最終的接收者。
發(fā)明內(nèi)容
技術(shù)問題隱藏服務(wù)在保證了服務(wù)提供者隱私的同時(shí)也給非法服務(wù)帶來了可乘之機(jī)�,本發(fā)明提供了ー種超文本傳輸協(xié)議1.1下的隱藏服務(wù)定位方法,主要解決在目前主流的Web訪問協(xié)議HTTP1. I版本下���,對匿名通信系統(tǒng)Tor所提供的隱藏服務(wù)進(jìn)行定位的問題���,以對非法Web服務(wù)進(jìn)行審查和取締,為網(wǎng)絡(luò)犯罪的監(jiān)管提供必要的技術(shù)手段��。技術(shù)方案本發(fā)明的超文本傳輸協(xié)議I. I下的隱藏服務(wù)定位方法包括以下步驟 O配置洋蔥路由器或橋節(jié)點(diǎn)Bridge
由于匿名電路的入口節(jié)點(diǎn)直接與隱藏服務(wù)器HS (Hidden Server�����,)相連接��,因此其能夠獲得HS的網(wǎng)絡(luò)IP地址���,若監(jiān)管者能夠控制該入口節(jié)點(diǎn)��,則可以很方便地完成對隱藏服務(wù)的定位����;第二代洋蔥路由系統(tǒng)Tor在選擇入口節(jié)點(diǎn)時(shí)根據(jù)的是帶寬加權(quán)算法�����,即帶寬越高的洋蔥路由器OR (Onion Router����,)成為匿名電路入口節(jié)點(diǎn)的概率越大���,因此,監(jiān)管者可配置若干OR節(jié)點(diǎn)并上報(bào)其所允許的最大帶寬50MB/S�����,則有很大的可能性占據(jù)匿名電路的入ロ節(jié)點(diǎn)���;此外�,還可利用Tor的抗阻塞機(jī)制��,通過提供Bridge的方式完成對匿名電路入口節(jié)點(diǎn)的占據(jù)����;
2)連入Tor網(wǎng)絡(luò),利用瀏覽器訪問隱藏Web服務(wù)�����,瀏覽器為生成和記錄特定流量采取特殊的訪問行為及方式
監(jiān)管者在本地主機(jī)上運(yùn)行Tor客戶端并連入Tor網(wǎng)絡(luò)���,配置瀏覽器利用Tor訪問隱藏服務(wù)���;由于Web頁面包含多個(gè)對象且每個(gè)對象的大小不盡相同��,因此依據(jù)此特征����,通過控制瀏覽頁面的行為����,在隱藏Web服務(wù)器和Tor網(wǎng)絡(luò)中生成特定的流量����;
3)在監(jiān)管者所控制的洋蔥路由器或Bridge上檢測特定的流量特征,即對象個(gè)數(shù)和大小��,其在匿名電路上形成不同的數(shù)據(jù)單元Cell數(shù)目����;
4)將檢測到特定流量特征的時(shí)間與訪問隱藏Web服務(wù)的時(shí)間進(jìn)行關(guān)聯(lián);
5)對于關(guān)聯(lián)結(jié)果大于設(shè)定閾值的對象�����,進(jìn)行確認(rèn)工作�,判斷其是否為洋蔥路由器或Bridge節(jié)點(diǎn),若都不符合���,則可判定其為隱藏服務(wù)器 由于整個(gè)隱藏服務(wù)的匿名電路中的所有節(jié)點(diǎn)的流量特征相同��,因此需確定檢測到特定流量的節(jié)點(diǎn)的準(zhǔn)確位置����,具體根據(jù)該節(jié)點(diǎn)是否與匯聚點(diǎn)RP (Rendezvous Point,)相連及其前一跳節(jié)點(diǎn)是否為公開OR節(jié)點(diǎn)或Bridge。
其中
所述步驟2)中�,瀏覽器為生成和記錄特定流量所采取的訪問行為及方式
1)瀏覽器記錄每個(gè)頁面所包含的對象數(shù)和訪問時(shí)間,并每隔一定時(shí)間訪問該隱藏服務(wù)的某一其它頁面���;由于HTTP1. I的持久連接和流水線技術(shù)���,瀏覽器需控制對象請求HTTPGET的發(fā)送時(shí)間,以使其分散到不同的Cell中�����,以便對其進(jìn)行檢測��;
2)Tor客戶端記錄瀏覽器獲取頁面中每個(gè)對象所需的數(shù)據(jù)單元數(shù)量����,瀏覽器每隔一定時(shí)間選擇當(dāng)前頁面中的某個(gè)對象進(jìn)行刷新,由于HTTP1. I下所有對象通過同一條傳輸控制協(xié)議TCP連接傳輸����,因此需刷新選定對象兩次����,第一次得出傳遞此對象需要的Cell數(shù)量����,第二次引發(fā)流量波動以供檢測�。所述步驟3)中,監(jiān)管者所控制的洋蔥路由器或Bridge上檢測特定流量特征的方 法
O由于瀏覽器每隔一定時(shí)間訪問隱藏服務(wù)的ー個(gè)頁面����,頁面中獲取每個(gè)對象的請求HTTP GET均通過ー個(gè)Cell傳遞,節(jié)點(diǎn)根據(jù)轉(zhuǎn)發(fā)的指向隱藏服務(wù)器方向的Cell的數(shù)量檢測特定流量并記錄時(shí)間�;
2)由于頁面中每個(gè)對象的內(nèi)容在短時(shí)間內(nèi)是不變的,節(jié)點(diǎn)根據(jù)從隱藏服務(wù)器端返回?cái)?shù)據(jù)的Cell數(shù)量檢測特定流量�����。所述步驟5)中��,對于關(guān)聯(lián)結(jié)果大于設(shè)定閾值的對象���,進(jìn)行確認(rèn)工作�;具體方法為若節(jié)點(diǎn)與RP相連接,則前ー跳不可能是隱藏服務(wù)器�,否則,查看Tor的目錄服務(wù)器��,判斷前一跳節(jié)點(diǎn)是否為公開的OR節(jié)點(diǎn)��,或建立單跳匿名電路判斷前一跳節(jié)點(diǎn)是否為Bridge��,若均不成立��,則前ー跳必然為隱藏服務(wù)器���。有益效果本發(fā)明避免了持久連接和流水線技術(shù)對Tor中統(tǒng)計(jì)頁面對象個(gè)數(shù)和大小的影響����,實(shí)現(xiàn)了在HTTP1. I下對隱藏Web服務(wù)的定位�,為非法服務(wù)的監(jiān)管提供了必要的技術(shù)手段。
圖I為本發(fā)明所述的Tor體系結(jié)構(gòu) 圖2為本發(fā)明所述的隱藏服務(wù)的建立與訪問 圖3為本發(fā)明所述的Tor的數(shù)據(jù)單元結(jié)構(gòu) 圖4為本發(fā)明所述的HTTP協(xié)議版本對比圖�����。
具體實(shí)施例方式下面對本發(fā)明再作進(jìn)ー步詳細(xì)的說明�����。I)配置適當(dāng)數(shù)量的洋蔥路由器或Bridge節(jié)點(diǎn),以占據(jù)匿名電路的入口節(jié)點(diǎn)
由于匿名電路的入口節(jié)點(diǎn)直接與隱藏服務(wù)器(Hidden Server, HS)相連接�,因此其能
夠獲得HS的IP地址,若監(jiān)管者能夠控制該入口節(jié)點(diǎn)�����,則可以很方便地完成對隱藏服務(wù)的定位�。由于Tor的OR節(jié)點(diǎn)是志愿提供的,任何人均可配置其運(yùn)行的Tor軟件使其成為OR節(jié)點(diǎn)�,因此監(jiān)管者可以利用這ー特性在Tor網(wǎng)絡(luò)中插入若干受其控制的OR節(jié)點(diǎn)。在構(gòu)建匿名電路吋���,Tor采用帶寬加權(quán)方法選擇OR節(jié)點(diǎn),但帶寬信息僅由各節(jié)點(diǎn)上報(bào)而并不進(jìn)行驗(yàn)證����,因此監(jiān)管者OR節(jié)點(diǎn)可謊報(bào)其具有Tor所允許的最大帶寬50MB/s,從而比正常OR節(jié)點(diǎn)獲得更大概率被選為構(gòu)建匿名電路的節(jié)點(diǎn)�����。此外�,還可利用Tor的抗阻塞機(jī)制,通過提供Bridge的方式完成對匿名電路入ロ節(jié)點(diǎn)的占據(jù)。在占據(jù)入ロ節(jié)點(diǎn)后����,監(jiān)管者首先假設(shè)其前ー跳節(jié)點(diǎn)均為隱藏服務(wù)器,隨后通過以下步驟對其進(jìn)行驗(yàn)證并排除誤報(bào)�����;
2)監(jiān)管者啟動Tor客戶端并連入Tor網(wǎng)絡(luò)�����,利用瀏覽器以特定的方式訪問隱藏Web服
務(wù)
監(jiān)管者在本地主機(jī)上運(yùn)行Tor客戶端并連入Tor網(wǎng)絡(luò)����,配置瀏覽器利用Tor訪問隱藏服務(wù)。監(jiān)管者訪問隱藏服務(wù)的目的除獲取其內(nèi)容外�����,還要通過特殊的訪問方式引發(fā)匿名 電路中特定的流量波動��,以供監(jiān)管者控制的節(jié)點(diǎn)進(jìn)行檢測��。Tor將所有的數(shù)據(jù)封裝在Cell中傳輸����,中間節(jié)點(diǎn)無法獲知其中的具體內(nèi)容��,唯一可利用的便是統(tǒng)計(jì)傳遞Cell的數(shù)量���。HTTP I. O為頁面中的每個(gè)對象建立單獨(dú)的TCP連接,已有技術(shù)可在Tor的中間節(jié)點(diǎn)識別建立連接的流量特征�����,但HTTP1. I使用持久連接和流水線技術(shù)����,如圖4所示,所有對象均在同ー個(gè)TCP連接中獲取�����,因此通過統(tǒng)計(jì)TCP連接推測對象個(gè)數(shù)的方法不再可行�����,基于同樣的原因���,統(tǒng)計(jì)某TCP連接內(nèi)的Cell數(shù)量以推測對象大小的方法也將失效。因此,要在HTTP1. I下引發(fā)可檢測的流量特征���,本發(fā)明設(shè)計(jì)了以下兩種訪問方法
21)雖然訪問頁面只建立ー個(gè)TCP連接���,但獲取頁面中的每個(gè)對象仍需發(fā)送獨(dú)立的HTTP GET請求獲取,可通過檢測此類請求的數(shù)量推測對象個(gè)數(shù)��。由于Tor中的數(shù)據(jù)是加密傳遞的�����,OR只能通過Cell的數(shù)量識別流量��,為使不同對象的HTTP GET請求不被封裝在同ー個(gè)Cell中����,瀏覽器需在發(fā)送HTTP GET請求時(shí)加入一定的時(shí)間間隔;
22)由于多個(gè)對象均有同一條TCP連接傳輸���,在首次訪問頁面時(shí)�����,無法準(zhǔn)確統(tǒng)計(jì)出傳輸每個(gè)對象所需的Cell數(shù)量����,因此只能在頁面獲取完畢后,刷新選定的對象��,此時(shí)連接中僅有一個(gè)對象在傳輸���,因此可獲得其所需的Cell數(shù)量��,隨后再次刷新同一対象�,并通過檢測Cell數(shù)量的方式檢測流量波動�����;
3)在監(jiān)管者所控制的洋蔥路由器或Bridge上檢測特定的流量特征�,根據(jù)步驟2),所需檢測的特征為一定時(shí)間窗ロ內(nèi)傳向同一方向的Cell數(shù)量,若其個(gè)數(shù)與所訪問頁面的對象數(shù)量或刷新對象的大小相一致(依據(jù)不同的訪問模式)���,則可判定檢測到特定流量����,記錄下相應(yīng)的IP地址和時(shí)間�;
4)多次重復(fù)步驟2)和3)�����,將檢測到特定流量特征的時(shí)間與訪問隱藏Web服務(wù)的時(shí)間進(jìn)行關(guān)聯(lián),可供選擇的關(guān)聯(lián)參數(shù)包括相關(guān)性系數(shù)等�����;
5)對于關(guān)聯(lián)結(jié)果大于設(shè)定閾值的對象�����,判斷其是否為洋蔥路由器或Bridge節(jié)點(diǎn)���,若都不符合����,則可判定其為隱藏服務(wù)器
由于整個(gè)隱藏服務(wù)的匿名電路中的所有節(jié)點(diǎn)的流量特征相同�����,因此需確定檢測到特定流量的節(jié)點(diǎn)的準(zhǔn)確位置�。由于Tor的電路長度默認(rèn)為3跳,因此若檢測到相關(guān)流量的OR直接與匯聚點(diǎn)(Rendezvous Point, RP)相連,則可判定其為出ロ節(jié)點(diǎn)��,前一跳不可能是隱藏服務(wù)器���,此時(shí)需切斷匿名電路�����,并在隱藏服務(wù)器重新建立電路后繼續(xù)檢測�;否則,查看目錄服務(wù)器以判斷當(dāng)前OR節(jié)點(diǎn)的前ー跳節(jié)點(diǎn)是否為公開的OR節(jié)點(diǎn)���,若不是�����,則建立一個(gè)ー跳的電路連接前ー跳節(jié)點(diǎn)���,若不能連上,則其為隱藏服務(wù)器���。 具體實(shí)例如下
I.配置適當(dāng)數(shù)量的洋蔥路由器或Bridge節(jié)點(diǎn)��,以占據(jù)匿名電路的入口節(jié)點(diǎn)
由于匿名電路的入口節(jié)點(diǎn)直接與隱藏服務(wù)器(Hidden Server, HS)相連接�����,因此其能夠獲得HS的IP地址��,若監(jiān)管者能夠控制該入口節(jié)點(diǎn)�����,則可以很方便地完成對隱藏服務(wù)的定位�。由于Tor的OR節(jié)點(diǎn)是志愿提供的���,任何人均可配置其運(yùn)行的Tor軟件使其成為OR節(jié)點(diǎn)���,因此監(jiān)管者可以利用這ー特性在Tor網(wǎng)絡(luò)中插入若干受其控制的OR節(jié)點(diǎn)。在構(gòu)建匿名電路吋�����,Tor采用帶寬加權(quán)方法選擇OR節(jié)點(diǎn)�,但帶寬信息僅由各節(jié)點(diǎn)上報(bào)而并不進(jìn)行驗(yàn)證,因此監(jiān)管者OR節(jié)點(diǎn)可謊報(bào)其具有Tor所允許的最大帶寬50MB/s��,從而比正常OR節(jié)點(diǎn)獲得更大概率被選為構(gòu)建匿名電路的節(jié)點(diǎn)����。此外,還可利用Tor的抗阻塞機(jī)制���,通過提供Bridge的方式完成對匿名電路入ロ節(jié)點(diǎn)的占據(jù)���。根據(jù)相關(guān)文獻(xiàn)�����,占據(jù)入口節(jié)點(diǎn)的概率除與帶寬密切相關(guān)外�����,還與監(jiān)控節(jié)點(diǎn)的規(guī)模有關(guān)�,在資源允許的情況下��,還可通過增加監(jiān)控節(jié)點(diǎn)的數(shù)量占據(jù)更多的入口節(jié)點(diǎn)�����。在占據(jù)入ロ節(jié)點(diǎn)后�,監(jiān)管者首先假設(shè)其前一跳節(jié)點(diǎn)均為隱藏服務(wù)器,隨后通過以下步驟對其進(jìn)行驗(yàn)證�;
2.訪問隱藏服務(wù),生成特定流量并檢測關(guān)聯(lián) a) 根據(jù)Web頁面中包含的對象個(gè)數(shù)進(jìn)行關(guān)聯(lián)
(I)發(fā)送頁面請求�。在監(jiān)管者客戶端與隱藏服務(wù)器建立匿名路徑后,為獲取想要訪問的頁面,瀏覽器發(fā)出TCP連接請求����。因此,客戶端OP將發(fā)送ー個(gè)RELAY_BEGIN中繼單元��,隱藏服務(wù)器則返回ー個(gè)RELAY_CONNECTED中繼單元表示TCP連接建立完成����,隨后客戶端OP通過ー個(gè)RELAY_DATA中繼單元將HTTP GET請求發(fā)出以獲取相應(yīng)的Web頁面�����。在此過程中��,匿名電路上的OR節(jié)點(diǎn)不知道中繼單元的具體命令����,但可檢測到向隱藏服務(wù)器方向發(fā)送了兩個(gè)中繼單元,在兩個(gè)中繼單元之間��,相反方向返回了ー個(gè)中繼單元�。(2)獲取完整頁面。隱藏服務(wù)器收到HTTP GET請求后將相應(yīng)的HTML頁面返回給監(jiān)管者�;瀏覽器解析該頁面,為其中的每個(gè)對象發(fā)送HTTP GET請求以獲得完整的Web頁面。瀏覽器控制這些請求間的時(shí)間間隔���,以使對于每個(gè)HTTP GET請求����,客戶端OP均會向隱藏服務(wù)器方向發(fā)送ー個(gè)單獨(dú)RELAY_DATA中繼單元���。監(jiān)管者記錄下Web頁面所包含的對象個(gè)數(shù)以及獲得完整頁面的具體時(shí)間���。(3)檢測流量模式。匿名電路上的OR節(jié)點(diǎn)無法獲知中繼單元的具體命令�,但可以區(qū)分?jǐn)?shù)據(jù)單元是中繼単元還是命令単元,并且知道數(shù)據(jù)單元所屬的電路標(biāo)識�����。如果將“向隱藏服務(wù)器發(fā)送ー個(gè)中繼単元一隱藏服務(wù)器返回一個(gè)中繼単元一向隱藏服務(wù)器發(fā)送ー個(gè)中繼單元”視為ー個(gè)流量特征組件(Characteristic Component),假設(shè)ー個(gè)頁面中含有m個(gè)對象�����,則在獲取整個(gè)Web頁面的過程中其匿名電路上將產(chǎn)生I個(gè)流量特征組件并在其后跟隨《個(gè)發(fā)往隱藏服務(wù)器方向的中繼單元���。在監(jiān)管者訪問隱藏服務(wù)的過程中���,其控制的OR節(jié)點(diǎn)記錄每條匿名電路上的數(shù)據(jù)單元��,若恰好在這些數(shù)據(jù)單元中檢測到上述 + I模式����,則認(rèn)為檢測到訪問隱藏服務(wù)所產(chǎn)生的特定流量����。監(jiān)管者記錄檢測到特定流量的時(shí)間以及相應(yīng)匿名電路前一跳節(jié)點(diǎn)的IP地址。(4)通信流量關(guān)聯(lián)����。監(jiān)管者重復(fù)步驟I 3�,通過訪問多個(gè)隱藏服務(wù)頁面,分別檢測其產(chǎn)生的流量特征����。對于記錄有相同IP地址的檢測結(jié)果,計(jì)算隱藏服務(wù)訪問與通信流量波動之間的關(guān)聯(lián)性�。本發(fā)明采用相關(guān)系數(shù)(correlation coefficient)表示關(guān)聯(lián)性,其計(jì)算方法為
權(quán)利要求
1.ー種超文本傳輸協(xié)議1.1下的隱藏服務(wù)定位方法,其特征是該服務(wù)定位方法包括以下步驟 O配置洋蔥路由器或橋節(jié)點(diǎn)Bridge 由于匿名電路的入口節(jié)點(diǎn)直接與隱藏服務(wù)器HS相連接����,因此其能夠獲得HS的網(wǎng)絡(luò)IP地址���,若監(jiān)管者能夠控制該入口節(jié)點(diǎn),則可以很方便地完成對隱藏服務(wù)的定位�;第二代洋蔥路由系統(tǒng)Tor在選擇入口節(jié)點(diǎn)時(shí)根據(jù)的是帶寬加權(quán)算法,即帶寬越高的洋蔥路由器OR成為匿名電路入口節(jié)點(diǎn)的概率越大���,因此����,監(jiān)管者配置若干OR節(jié)點(diǎn)并上報(bào)其所允許的最大帶寬.50MB/s�����,則有很大的可能性占據(jù)匿名電路的入口節(jié)點(diǎn)���;此外��,還利用Tor的抗阻塞機(jī)制����,通過提供Bridge的方式完成對匿名電路入口節(jié)點(diǎn)的占據(jù)����; .2)連入Tor網(wǎng)絡(luò)��,利用瀏覽器訪問隱藏Web服務(wù)���,瀏覽器為生成和記錄特定流量采取特殊的訪問行為及方式 監(jiān)管者在本地主機(jī)上運(yùn)行Tor客戶端并連入Tor網(wǎng)絡(luò),配置瀏覽器利用Tor訪問隱藏服務(wù)����;由于Web頁面包含多個(gè)對象且每個(gè)對象的大小不盡相同,因此依據(jù)此特征���,通過控制瀏覽頁面的行為�����,在隱藏Web服務(wù)器和Tor網(wǎng)絡(luò)中生成特定的流量; .3)在監(jiān)管者所控制的洋蔥路由器或Bridge上檢測特定的流量特征���,即對象個(gè)數(shù)和大小���,其在匿名電路上形成不同的數(shù)據(jù)單元Cell數(shù)目; .4)將檢測到特定流量特征的時(shí)間與訪問隱藏Web服務(wù)的時(shí)間進(jìn)行關(guān)聯(lián)�; .5)對于關(guān)聯(lián)結(jié)果大于設(shè)定閾值的對象,進(jìn)行確認(rèn)工作���,判斷其是否為洋蔥路由器或Bridge節(jié)點(diǎn)���,若都不符合���,則可判定其為隱藏服務(wù)器 由于整個(gè)隱藏服務(wù)的匿名電路中的所有節(jié)點(diǎn)的流量特征相同,因此需確定檢測到特定流量的節(jié)點(diǎn)的準(zhǔn)確位置���,具體根據(jù)該節(jié)點(diǎn)是否與匯聚點(diǎn)RP相連及其前一跳節(jié)點(diǎn)是否為公開OR節(jié)點(diǎn)或Bridge����。
2.根據(jù)權(quán)利要求I所述的超文本傳輸協(xié)議I.I下的隱藏服務(wù)定位方法��,其特征在于所述步驟2)中���,瀏覽器為生成和記錄特定流量所采取的訪問行為及方式 .1)瀏覽器記錄每個(gè)頁面所包含的對象數(shù)和訪問時(shí)間��,并每隔一定時(shí)間訪問該隱藏服務(wù)的某一其它頁面�����;由于HTTP1. I的持久連接和流水線技術(shù)�,瀏覽器需控制對象請求HTTPGET的發(fā)送時(shí)間����,以使其分散到不同的Cell中����,以便對其進(jìn)行檢測���; .2)Tor客戶端記錄瀏覽器獲取頁面中每個(gè)對象所需的數(shù)據(jù)單元數(shù)量���,瀏覽器每隔一定時(shí)間選擇當(dāng)前頁面中的某個(gè)對象進(jìn)行刷新,由于HTTP1. I下所有對象通過同一條傳輸控制協(xié)議TCP連接傳輸�,因此需刷新選定對象兩次,第一次得出傳遞此對象需要的Cell數(shù)量�,第二次引發(fā)流量波動以供檢測。
3.根據(jù)權(quán)利要求I所述的超文本傳輸協(xié)議I.I下的隱藏服務(wù)定位方法��,其特征在于所述步驟3)中���,監(jiān)管者所控制的洋蔥路由器或Bridge上檢測特定流量特征的方法 O由于瀏覽器每隔一定時(shí)間訪問隱藏服務(wù)的ー個(gè)頁面,頁面中獲取每個(gè)對象的請求HTTP GET均通過ー個(gè)Cell傳遞����,節(jié)點(diǎn)根據(jù)轉(zhuǎn)發(fā)的指向隱藏服務(wù)器方向的Cell的數(shù)量檢測特定流量并記錄時(shí)間; . 2)由于頁面中每個(gè)對象的內(nèi)容在短時(shí)間內(nèi)是不變的�,節(jié)點(diǎn)根據(jù)從隱藏服務(wù)器端返回?cái)?shù)據(jù)的Cell數(shù)量檢測特定流量�����。
4.根據(jù)權(quán)利要求I所述的超文本傳輸協(xié)議I.I下的隱藏服務(wù)定位方法����,其特征在于所述步驟5)中����,對于關(guān)聯(lián)結(jié)果大于設(shè)定閾值的對象,進(jìn)行確認(rèn)工作��;具體方法為若節(jié)點(diǎn)與RP相連接���,則前ー跳不可能是隱藏服務(wù)器�,否則���,查看Tor的目錄服務(wù)器�����,判斷前一跳節(jié)點(diǎn)是否為公開的OR節(jié)點(diǎn)��,或建立單跳匿名電路判斷前一跳節(jié)點(diǎn)是否為Bridge��,若均不成立�����,則前一跳必然為隱藏服務(wù)器
全文摘要
超文本傳輸協(xié)議1.1下的隱藏服務(wù)定位方法����,主要解決在目前主流的Web訪問協(xié)議HTTP1.1版本下對匿名通信系統(tǒng)Tor所提供的隱藏服務(wù)進(jìn)行定位的問題,以對非法Web服務(wù)進(jìn)行審查和取締��,為網(wǎng)絡(luò)犯罪的監(jiān)管提供必要的技術(shù)手段���。該方法涉及到匿名電路入口節(jié)點(diǎn)的占領(lǐng)��、隱秘流量的生成以及流量特征的檢測與關(guān)聯(lián)等相關(guān)技術(shù)�����。該方法首先假設(shè)占據(jù)了可疑匿名電路的入口節(jié)點(diǎn)����,通過客戶端瀏覽器的特殊訪問模式�����,利用HTTP1.1協(xié)議的特點(diǎn)引發(fā)匿名電路中的特定流量特征����,然后將訪問隱藏服務(wù)的時(shí)間與檢測到特定流量特征的時(shí)間進(jìn)行關(guān)聯(lián),若關(guān)聯(lián)結(jié)果大于設(shè)定的閾值且檢測到流量特征的節(jié)點(diǎn)的前一跳不為Tor的洋蔥路由節(jié)點(diǎn)�,則該節(jié)點(diǎn)的前一跳節(jié)點(diǎn)為隱藏服務(wù)器,從而完成了對隱藏Web服務(wù)的定位����。
文檔編號H04L29/08GK102664881SQ20121010831
公開日2012年9月12日 申請日期2012年4月13日 優(yōu)先權(quán)日2012年4月13日
發(fā)明者何高峰, 劉波, 張璐, 楊明, 羅軍舟 申請人:東南大學(xué)