（计算机应用技术专业论文）基于p2p网络的匿名通讯技术研究与实现.pdf

原创性声明 本人声明：所呈交的论文是本人在导师指导下进行的研究工作。 除了文中特别加以标注和致谢的地方外，论文中4 i 包含其他人己发表 或撰写过的研究成果。参与同一工作的其他同志对本研究所做的任何 贡献均己在论文中作了明确的说明并表示了谢意。 签名：日期 本论文使用授权说明 本人完全了解上海大学有关保留、使用学位论文的规定，即：学 校有权保留论文及送交论文复印件，允许论文被查阅和借阅；学校可 以公布论文的全部或部分内容。 ( 保密的论文在解密后应遵守此规定) 签名导师签知日期：铆厂多，。 l 海大学顾士学位论文 摘要 匿名通讯是指通过一定的方法将业务流中的通讯关系加以隐藏，使窃听者无 法直接获知或推知通汛双方的通讯关系或通讯的某一方，从而实现对网络用户个 人通讯隐私的更好的保护。目前，有关网络匿名通讯技术的研究已经逐渐引起网 络安全研究人员的重视，并且成为网络安全研究领域的重要研究课题之一。 p 2 p ( p e e r - t o p e e r ) 是对等网技术的缩写。区别于c s ( 客户机服务器) 结 构的网络，p 2 p 网络中节点的关系是甲等的，它们同时担当客户机和服务器的角 色，各节点具有相同的责任与能力并协同完成任务。p 2 p 的出现适应了宽带互联 网和更稳定、更高性能的个人电脑的现状，大大提高了网络资源的利用率。 将p 2 p 应用于匿名通讯能解决很多传统匿名通讯难以解决的问题，从而为匿 名通讯技术带来了新的发展。但同时，p 2 p 网络自身的特点又给匿名通讯系统提 出了新的问题，比如系统稳定性难以保证等等。本文就是在对现有的匿名通讯和 p 2 p 技术进行分析的基础了，提出一种称为t r e e m i x 的新的基于p 2 p 平台的匿名 通讯系统。 本文在设计和实现t r e e m i x 系统的过程中具体做了如下几个方面的：【，作： 1 采用基于非结构化的p 2 p 网络拓扑结构，提高匿名系统网络规模的可扩展性。 2 采用基于信誉度的i p 前缀节点选择算法，提高匿名系统的可靠性。 3 采用中继组方式建立匿名通道，提高匿名通道的稳定性。 4 采用j a v a 编程实现，增强系统可移植性。 本研究得到了上海市科委发展基金项目的资助( 项目编号为 7 a 0 5 7 2 2 ) 。 关键词：非结构化；p 2 p 网络；匿名通讯系统；匿名通道；中继组 海大学颂l 学位论文 a b s t r a c t t h ea n o n y m o u sc o m m u n i c a t i o ni st oh i d et h ec o m m u n i c a t i o nr e l a t i o n s h i pw i t h i n t h et r a f f i cf l o wb ys o m em e t h o da n dp r e v e n tt h ee a v e s d r o p p e rf r o mi d e n t i f y i n ge i t h e r t h ei d e n t i t yo fc o m m u n i c a t o r so rt h ec o m m u n i c a t i o nr e l a t i o n s h i pd i r e c t l yo ri n d i r e c t l y t h e r e f o r er e a l i z i n gt h ep r o t e c t i o no ft h ec o m m u n i c a t i o np r i v a c yo fu s e r si nt h e n e t w o r k a tp r e s e n t ，t h er e s e a r c ha b o u ta n o n y m o u sc o m m u n i c a t i o n si nt h en e t w o r k h a sb e e np a i dg r e a ta t t e n t i o nt oa n db e c a m eo n eo ft h em o s ti m p o r t a n tr e s e a r c ht a s k s i nt h es e c u r i t ya r e ao fn e t w o r k t h ep 2 pw h i c hi sa b b r e v i a t i o no ft h e p e e rt op e e r i sd i f f e r e n tf r o mc s ( c l i e n t s e r v e r ) a r c h i t e c t u r e t h er e l a t i o n s h i pa m o n ga l ln o d e sw h i c h a r eo f t e nc a l l e d p e e r si np 2 pn e t w o r ki se q u a l t h e ya r eb o t ht h ec l i e n ta n dt h es e r v e rs ot h e yh a v e s a m ed u t ya n da b i l i t ya n dc o o p e r a t et of i n i s ht h ej o b t h ep 2 pt e c h n o l o g ym e e t st h e b r o a d b a n di n t e r n e ta n dm o r es t e a d y ，m o r eh i g h p e r f o r m a n c ep ca n dm a k e sg o o du s e o ft h en e t w o r kr e s o u r c e i tw o u l db eg r e a th e l p f u li fw ep u tt h ep 2 pn e t w o r ki n t ot h ea n o n y m o u s c o m m u n i c a t i o na n db r i n gn e wd e v e l o p m e n tt ot h ea n o n y m o u sc o m m u n i c a t i o n h o w e v e r ，t h ep 2 pn e t w o r ka l s ob r i n g sa b o u ts o m en e wp r o b l e mt ot h ea n o n y m o u s c o m m u n i c a t i o nb e c a u s et h ec h a r a c t e r i s t i co fi t f o re x a m p l et h es t a b i l i t yo ft h e s y s t e m i sh a r dt ob eg u a r a n t e e d t h i sp a p e rb r i n g sf o r w a r dan e wk i n d o fp 2 p a n o n y m o u sc o m m u n i c a t i o n c a l l e dt r e e m i xa f t e r m a k i n g a n a n a l y s i s o ft h e a n o n y m o u sc o m m u n i c a t i o nt e c h n o l o g ya n dp 2 pt e c l m o l o g ya tp r e s e n t i nt h ec o u r s eo fd e s i g n i n ga n di m p l e m e n t i n gt r e e m i xs y s t e m ，f o l l o ww o r k sh a v e b e e nd o w n ： 2 u s et h eu n s t r u c t u r e dp 2 pn e t w o r ka n di m p r o v et h ee x p a n s i b i l i t yo t a n o n y m o u sc o m m u n i c a t i o ns y s t e m p u tf o r w a r dt h ei pp r e f i xn o d es e l e c t i o nb a s e do nr e p u t a t i o na n di m p r o v e 4 上海人学坝= - 学位论文 t h er e l i a b i l i t yo fa n o n y m o u sc o m m u n i c a t i o ns y s t e m p u tf o r w a r db u i l d i n gt h ea n o n y m o u sc h a n n e lb yr e l a yg r o u p sa n di m p r o v e t h es t a b i l i t yo ft h ea n o n y m o u sc o m m u n i c a t i o ns y s t e m r e a l i z et h e s y s t e mb yj a v ap r o g r a m m i n gl a n g u a g e a n di m p r o v el h e c o m p a t i b i l i t yo f t h ea n o n y m o u sc o m m u n i c a t i o ns y s t e m k e yw o r d s ：u n s t r u c t u r e d ；p 2 pn e t w o r k ；a n o n y m o u s c o m m u n i c a t i o n s y s t e m a n o n y m o u sc h a n n e l ；r e l a yg r o u p l 海大学顺_ ：学位论义 i i 背景 第一章绪论 在信息时代，随着计算机的广泛应用和网络技术的快速发展，网络安全性 问题显得越来越重要，人们也越来越关心在i n t e r n e t 环境下如何更加有效地保 护计算机使用者的隐私和安全。现有的大多数网络安全性技术主要关注于防i r 信 息被篡改、窃听，采用的技术主要是对信息本身进行加密，并且已经有相对成熟 的保护信息的数据加密算法。这些算法可以分为两大类：一类是对称加密，即加 密和解密均采用刊一把加密密钥，而且通讯双方都必须获得这把密钥，并保持密 钥的安全，d e s 算法是其有代表性的实现。另一类则是公开密钥算法，与前一类 小同是用作加密的密钥与解密使用的密钥是两把，而且解密密钥不能根据加密密 钥计算出来。 经过加密以后的信息仍然需要传输，而传输的数据包中仍然包括了发送者的 信息例如源地址和目的地址、端口信息等等，这些信息仍然可以被迫踪，从而暴 露出通讯双方。例如攻击者可以通过监视i n t e r n e t 上的路由器从而判断哪个地 址在使用哪些服务，同时可以通过一些跟踪软件，根据i p 地址跟踪到个人网络 的使用者。或者，一些非法窃听者呵以通过多种窃听手段获取网络t 的数据包， 然后通过剥数据包的统计和分析，从而推断出网络上的通讯关系或者其它感兴趣 的信息。这种攻击不需要对数据报本身的内容进行解密，只对通讯链路中信息的 特征例如时问、速率、源及目的地址进行分析，就可以推断出信息的来源、去向、 数据量和一些隐含的意义。对于许多i n t e in e t 应用程序而言，匿名己成为基本 的需求。例如网上选举系统，要求选民匿名投票，选民和选票之间以及选民和选 票内容之间应该是不可关联的；电子银行和电子商务中，要求支付与支取关系保 持匿名，从而使得被支付方无法获取支付方的身份；一些特殊部门，例如军事、 国防、政府部门需要交流一些内部资料，同时又不能暴露出实体信息。这些应用 都对网络个人隐私要求较高，因此迫切需要一种能够对用户隐私提供保护的更安 全的网络。 匿名通讯是指通过一定的方法将业务流中的通讯关系加以隐藏，使窃听者无 法直接获知或推知通讯双发的通讯关系或通讯的某一方，从而实现对网络用户个 人通讯隐私的更好的保护。目前，有关网络匿名通讯技术的研究已经逐渐引起网 络安全研究人员的重视，成为网络安全研究领域的研究课题之。因此，本课题 无论从理论上还是从实践上都具有很强的研究意义。 1 2 问题的提出和研究 1 9 8 1 年m i x 网络u j 概念提出，为匿名通讯系统的实现提供了一个可行的解决 方案，随之出现了很多匿名通讯系统，例如a n o n y m i z e r 2 1 、o n i o nr o u t i n g f 3 , 4 1 、 c r o w d s f ”、h o r d e s 6 1 等等。近年来，随着对等网计算模型p 2 p 研究热点的兴起， p 2 p 网络以其网络规模可扩展性强等优点，为匿名通讯技术的发展带米了新曙 光，随之出现了基于p 2 p 网络的匿名通讯系统，例如t a r z a n ”、m o r p h m i x 8 等。 p 2 p 9 在匿名通讯系统中的广泛应用在弥补匿名通讯技术缺点的同时，也为 其带来一些了新的问题。p 2 p 节点在网络中，同时扮演着客户机和服务器两种角 色，节点具有高度动态性，可以随时上线下线。这种高度动态性给予匿名通讯系 统网络规模可扩展性高的特点，但是同时也给匿名系统带来了性能稳定性低，易 遭受攻击，通讯延迟较高等缺点。因此在应用p 2 p 技术优势的同时，尽量克服 或者减少由于p 2 p 技术本身的特点所带来的不利因素，是目前的匿名通讯技术 所要研究的重要内容。 本文首先剥现有的匿名通讯系统技术进行分析总结，然后对现有的匿名通 讯系统中的通道策略进行改进，并最终设计实现了个更加实用的基于p 2 p 平 台的匿名通讯系统。 1 3 论文安排 第一章，即木章，介绍匿名通讯系统的意义和基于p 2 p 的匿名通讯系统存 在的问题；第二章介绍现有的匿名通讯系统的基本概念和原理；第三章介绍 t r e e m i x 系统框架；第四章详细介绍t r e e m i x 系统的匿名通道策略；第五章编程 实现基于p 2 p 的匿名通讯系统n e e m i x ；最后一章对论文做出总结，并提出 r 今后应用和进一步研究的方向。 r 海大学预l j 学位论文 第二章匿名通讯和p 2 p 技术概述 本章主要介绍匿名通讯系统以及对等网p 2 p 技术的基本概念和原理。本章 的结构如f ：第、一小节从匿名通讯系统基本概念和理论入手，进行简要的介绍； 第二小节介绍p 2 p 技术的基本概念和理论；第三小节对基于p 2 p 平台的匿名通 讯系统的特点进行介绍和简要分析；第四小节为本章内容的总结。 2 1 匿名通讯技术概述 随着计算机安全技术的发展，人们研究了很多具有保密性、权威性以及整合 性的方法来为需要安全通讯的各个机构服务。这些研究使得我们已经拥有很多高 效、易于理解的协议。然而，这些协议却忽视了保护通讯双方的身份问题。实际 上，这是个不容忽略的重要问题。i n t e r n e t 用户在使用一些公司提供的服务的 同时，不希单自己的隐私被别人记录( 例如上网习惯，浏览过的网页内容) 。但 是随着通信流分析攻击威胁的增加以及手段的多样化，匿名通讯系统的研究也在 逐步深入。本文所介绍的匿名通讯系统能够有效地隐藏通讯双方的身份。 网络中通讯的实体分为发送者和接受者，通讯的内容称为消息。传统意义上 我们一般研究的是通讯内容即消息的保密性和完整性。而匿名考虑的是发送者和 接受者两者之间的关系。匿名系统的攻击者( a t t a c k e r ) 通过各种各样的手段例 如端口监听、流量分析等等对通讯进行窃听分析，从而推断出参与通讯的双方， 甚至控制或破坏通讯过程。一个行为所对应的实体是匿名的，是指对应该行为的 实体在特定的、具有一定相同特性的实体集中所表现的不确定性，这个集合称为 匿名集。 匿名通讯主要保护网络应用中通讯实体的身份标识，如通讯者的i p 地址 等，使其无法为外部观察者获知。现有的匿名通讯系统提供了三种形式的匿名保 护：发送者匿名，接受者匿名，收发双方无关联。发送者匿名是指无论接受者还 是攻击者都无法从通讯流的内容或者形式上，判断出谁是通讯流真正的发起方。 接受者匿名与发送者匿名正好相反，是指即使接受者已经获知发送者的身份，发 送者也无法确定某个特定的通讯流被哪个接受方所接受。收发双方无关联是指即 使攻击者已经获知若干发送者组成的发送者集合和若干接受者组成的接受者集 上海大学碗土学位论文 合，却仍然无法获知发送者集合中具体是哪个发送者发送给接受者集合中的哪个 接受者。例如发送者集合s l ，s 2 ，s 3 ，接受者集合r l ，r 2 ，r 3 ，当s 与r l 进 行通讯的时候，攻击者无法判断s 1 是跟r l 进行通讯还是在跟r 2 进行通讯。 2 1 1 匿名通讯系统的重路由技术 1 9 8 1 年d a v i dc h a u m 提出了m i x 网络的理论，并将m i x 网络应用于匿名 邮件系统中，整个m i xp 司络由多个m i x 节点组成，每个m i x 节点都是一台处理 邮件的计算机。m i x 网络的基本思想就是采用多层嵌套的方式加密数据包，然后 4 , 哿j j h 密后的数据包沿着一条由m i x 节点组成的虚拟路径传递，路径上的节点接 收数据以后，采用加解密、延迟、重组等手段对消息包进行处理，m i x 网络的理 硷为匿名通讯系统提供了一种可能的实现，即重路由机制。 重路由机制是目前匿名系统实现中使用较多的一种技术，它是一种应用层路 由机制，一般用于实现发送者匿名和收发双方无关联匿名。该机制为用户提供间 接通讯：包含在一次通讯中的多个主机在应用层存储转发数据，从而形成一条多 个安全信道组成的虚拟路径，称为重路由路径。外部攻击者无法获得从安全信道 上传送的i p 数据包首部的真实发送者或接受者的i p 地址信息。因而，通讯实体 的身份信息得到有效隐藏。 基于重路由的匿名通讯技术按重路由部件的不同主要分为三种：第一种是基 于源路由的重路由技术，即成员选择策略由通讯发送者执行，通讯发送者从匿名 网络中选取成员，通过密钥协商机制确定与各成员的会话密钥，进而建立重路由 路径。第二种是基丁二组群思想的重路由技术。在基于组群思想的匿名通讯系统中， 每个通讯发送者将接受者地址及数据发送给下一转发成员，由每个转发成员根据 概率再决定是继续转发还是直接提交给接受者。最后一种重路由技术是将源路由 与组群思想结合起来。 a 基于源路由的重路由技术 基于源路由的重路由系统中，发送者从网络中随机选取一些成员形成中继序 列，使用各中继节点的公钥对各中继节点的地址等信息进行嵌套加密( n e s t e d e n c r y p tj 。n ) ，构成一个嵌套加密的报文。中继节点解密所收到的报文，获取下 个中继节点地址以及加解密密钥，直到路径上最后一个中继节点收到消息解密 二海人学坝卜学位论文 获得数据，将该数据直接提交给最终接受者。由于采用嵌套加密的机制，路径上 除最后一个中继节点外都无法获知最终接受者地址以及传输数据内容，因而针对 系统中的合谋成员也能提供较强的匪名保护。发送的嵌套报文的加密形式如下： t i m e o u t ， ， t i m e o u t ， ， d a t a ，p a y l o a d p k 2 ，p a y l o a d p k i 其中f i m e o u t 为报文的生存期， 为下一个中继节点的地址， d a t a 是 需要传送的数据，p a y l o a d 为消息填充包，用来改变消息报文的长度。p k l ，p k 2 分 别为两个中继节点的公钥。 源路由方式采用嵌套加密机制封装各节点的地址和数据，使得该方式具有较 强的抗匿名攻击能力。o n i o n 4 1 和f o r 1 ”( 第二代o n i o n ) 系统就是典型的采用此种 方式的系统。如图2 卜1 所示，当发送方s 需要与d 进行匿名通讯，首先选择节 点g ，d ，b ，f ，然后构建匿名通道s g 一 d 一 b 一 f 一 d 图2 卜l 源路由方式 b 基于组群思想的重路由技术 基于组群思想的重路由系统能够以较灵活的方式建立重路由路径。系统中每 个成员用户在使用其他节点服务的同时电为其他节点提供服务，发送者从其邻居 节点集合中任意选取一个节点，将包含接受者地址的请求发送给它。该节点接受 到请求后，以概率p 将请求继续转发，否则将请求直接提交给服务器。从而，由 系统中的部分成员组成了重路由路径。在一定的时间周期内，该路径将被用于转 发发送者与接受者之问的所有通讯。在这种方式下，发送者无需获耿系统中所有 成员的相关信息。c r o w d s 5 1 是典型的采用此技术的系统，如图2 卜2 所示，左边 为c r o w d 系统，右边蔗j w e b n 务器( w e bs e r v e r s ) ，n c r o w d 系统中的节点1 需要与 l 海大学坝十学位论文 服务器进行通讯时，首先从邻居节点中任选一个节点，比如节点5 ，将包含某个 1 服务器地址的请求发送给5 ，节点5 根据概率p 决定是再次选择节点转发，还是 直接与w e b 服务器进行通讯，这里节点5 选择直接与w e b 服务器进行通讯，从而形 成路径l 一 5 s e r v e f 图中还有另外五条重路由传输路径： 2 一 6 2 s e r v e r ，3 - 1 6 s e r v e r ，4 4 一 s e r v e r ，5 - 4 一 6 一 s e r v e r ，6 3 一 s e r v p r w e bs e r v e r s 圈 田 曰 图2 1 2 基于组群思想的重路由方式 c 源路由与组群思想结合的重路由技术 w o n g o e 1 是国内某研究所设计的- 9 基于源路由和组群思想的匿名通讯协 议。如图2 卜3 所示当发送者s 需要与d 进行匿名通讯，s 首先选择中继节点d 和f ，然后开始构建匿名通道s 一 d 一 f d 。当消息发送到节点d ，节点d 根据某 概率决定是否与下一个中继f 通讯，若选择不通讯，则将消息转发到一个随机节 点b 。节点b 接受到消息仍然需要判断是否直接与下一个中继f 通讯，若仍然选 择不通讯，则将消息继续转发到c 。节点c 决定与f 通讯，最后f 与d 通讯，至 此建立通道s 一 d 一 b 一 c 一 f 一 d 。采用w o n g o o 匿名通讯协议进行匿名通讯在延长 匿名路径的同时，减少了消息头部丌销。 r 海大学蛳士学位论文 蚓2 卜0w o n g o o 匿名通讯协议 综上所述，重路由机制是一种比较实用的匿名通讯实现技术，它将原来的单 q 源- b 目的之间的直接连接变成了多个主机之间的转接，从而使得通讯双方的通 讯关系得以隐藏或者发送方接受方的身份得以隐藏。但是现有的重路由机制中也 存在些不足，无论采用源路由还是组群思想构建匿名通道，都会存在这样的问 题：若路径上一个节点失效，则整条匿名通道就会断裂，必须重组通道，增加了 通讯延迟；若网络中的节点频繁上下线，可能会造成匿名路径中多个节点同时失 效或者先后失效，则通道频繁断裂，匿名通讯系统的通讯延迟和不稳定性大大增 加。 2 1 2 匿名通讯系统的攻击手段 匿名通讯系统中所有的安全防御技术都是针对具体的攻击提出的。对匿名通 讯系统中的攻击手段进行分析，找出攻击特点，以便能更好的根据这些特点来防 范攻击，可以促进匿名通讯安全策略方案的改善。同时，攻击分类在开发新系统 和评价现有的系统都是有用的。通过比较目标系统的细节情况与可能的攻击类 型，可以确定一种方法来判断系统可能承受潜在的安全攻击。 对匿名系统的攻击主要是为了破坏系统的匿名性能，研究人员针对各种攻击 模式下的系统匿名性展开了许多研究。按照网络攻击的攻击方式，可以将攻击者 的攻击分为被动攻击和主动攻击。被动攻击是指这样一类攻击，攻击者只窃听获 取系统的相关信息，不对系统的信息进行修改或干扰系统的运行。主动攻击则是 攻击者主动介入系统的运行，在系统中加入信息或者对系统中的数据包进行修改 l 海大学砸二l ：学位论文 或者丢弃。按攻击者的身份的不同又可以分为系统内攻击和系统外攻击，前者是 指攻击者为系统内的组成成员，后者是指攻击者仅仅是个窃听者，不是系统中的 成员。如果按攻击能力所涉及的范围又| l _ 以分为局部攻击和全局攻击。局部攻击 指攻击者的攻击能力只能在系统的局部发挥作用，例如只能进行局部链路的窃 听。而全局攻击往往是指攻击者可以在整个系统范围内进行攻击。具体攻击手段 主要包括：流量分析攻击f 1 ( t r a f f c a n a l y s i s a t t a c k ) ，前驱攻击 2 0 1 ( p r e d e c e s s o t a t t a c k ) 和分布式拒绝服务攻击【” ( d i s t r i b u t e dd e n i a jo f s e r v i c e ) 。 a 流量分析攻击 流量分析攻击的基本思想十分简单：跟踪每个报文可能采取的路径( 被动的 外部对手) 。若系统节点的重路由机制与通讯流填充机制没有很好地设计，并且 这个攻击者又极其走运，那么它可以将发送者和接受者联系起来。然而在大多数 情况下，攻击者只能列出一个可能的接受者清单。 流量分析攻击是对通讯方式的研究，研究对象不是报文内容本身，而是它们 的端1 3 。谁与谁通讯过，什么时间，报文的氏度多少，在多短的时间内答复，答 复有多长，这些都是信息量分析的问题，其答案可以揭示出大量的信息。典型的 防止这类攻击的措施是通过填充包技术来减少数据包长度特征，例如使得发送数 据包长度一致。但是引入通讯流填充机制的同时会给系统带来额外的开销，因此 要确保填充报文有较好的安全性与花费比。 b 前驱攻击 前驱攻击是一种最为典型的针对匿名通讯系统的被动攻击，它由系统中的合 谋成员施行。由于匿名系统开放的成员加入策略，任何主机均可加入成为系统的 成员。因而列手能够控制系统中一部分成员，收集并共享信息以推断通讯实体身 份。这一部分被对手所控制的成员被称为合谋成员。攻击者让这些合谋成员所知 道的系统信息泄漏给自己，再从这些信息推断出匿名隐藏关系。 这种攻击在合谋成员充当转发代理的系统中更具破坏性。需要防止攻击者控 制多个主机作为参与者加入系统，从而使得系统中相当比例成员成为共谋者，破 坏匿名性能。 c 分布式拒绝服务攻击 拒绝服务攻击在i n t e r n e t 上种很常见的攻击方式，它利用合理的服务请 求来占用过多的服务资源，致使服务超载，无法响应其他的请求。这些服务资源 包括网络带宽，文件系统空间容量，开放的进程或者内部连接等。 图2 卜3 拒绝服务攻击方式 个d d o s 攻击体系分成四大部分：攻击者，主控机，代理机，受害者。如 图2 13 ，攻击者为攻击的组织者和发起者，控制机只发布命令而不参与实际的 攻击，主控机只发布命令而不参与实际的攻击，d d o s 的实际攻击包是从代理机 上发出的，通常，攻击者对主控机和代理机有控制权或者是部分的控制权，并把 相应的d d o s 程序上传到这些平台上，当攻击者连接到这些系统上并发h j 指令的 时候，代理机就向目标受害者发出攻击报文。 匿名通讯系统中的d d o s 攻击与i n t e r n e t 中的d d o g 攻击极为相似，即系统 内某些怀有恶意的成员联合向其他成员发送大量数据包，其造成的结果是系统内 的成员无法响应正常的转发请求，最终导致匿名系统性能下降甚至崩溃。然而， 在匿名系统中防御d d o s 攻击的难度则远远大于防御普通的d d o s 攻击。因为，匿 名系统中的攻击者通常利用系统本身的身份隐藏机制作为掩护，使得受害者即使 收到攻击包仍无法找出真正的攻击源头。 2 2 p 2 p 网络概述 p 2 p ( p e e rt op e e r ) 是刘等网技术的缩写，区别与c s ( c 1 l e n t s e r v e r ) 结构，p 2 p 网络中节点的关系是平等的，它们同时担当客户机和服务器的角色， 各节点具有相同的责任与能力并协同完成任务。p 2 p 的出现将互联网的存储模式 由以前的“内容位于中心”模式转变为“内容位于边缘”模式，适应了宽带互联 l 海大学坝| j 学位论文 网和更稳定、更高性能的个人电脑的现状，使得个人电脑重新焕发活力，大大提 高了网络资源的利用率引。目前p 2 p 在文件共享、协同工作、对等计算等等方面 的应用越来越广泛，并显示了良好的应用前景。 2 2 1p 2 p 的定义 对于p 2 p 对等互连技术，尚无统一的定义，一般比较认同的观点是口6 1 ：整个 网络是由许多权利平等、自治并且相互协作的节点共同组成，网络资源分布于各 个节点。现代典型的p 2 p 系统通常的特征有：节点知晓其他节点：节点创建了虚 拟网络，它对互联点的复杂性进行了抽象，而不考虑防火墙、子网和特定网络服 务的缺乏；每个点都既是客户端，又是服务器。随着更多的节点在线，p 2 p 应用 程序的性能往往会提高，这一点与传统的客户端服务器环境相反，在这种环境 中，更多的客户端会导致性能降低。 2 2 2p 2 p 的网络结构 如图2 , 2 1 传统的网络模型是静态的，整个网络由捌有固定i p 地址的主机构 成，其他用户连接在这个静态网络的边缘，这些边缘用户的机器不能长时问联网， 而且一般没有固定的i p 地址，但这些用户的数量巨大。在这种结构中，网络边 缘用户只能得到静态网络中服务器上的资源。用户若想共享自己的资源必须将数 掘上传至某个服务器。这种网络结构的数据其享程度低，存在许多闲散资源，同 时使得服务器性能成为网络性能的瓶颈。 2 2 - 1 传统网络模型结构图 i 辫大学i ! “卜学位沦文 鬃- 式 图2 2 - 2p 2 7 网络模型结构图 分敞式 与传统的网络模型相反，p 2 p 是动态的，它主要采用以下几种网络结构，如 图2 2 2 所示。集中式： _ | j 有索引服务器，不保存具体的资源，而是保存资源 列表和拥有这些资源的节点信息，用户连接到服务器上获取资源列表和节点信 息，再与其它节点进行交互。这种方式的p 2 p 网络模型与传统的网络模式有些 相似，最典型的应用是n a p s t e r 口。纯分散式：严格按照p 2 p 的定义，取消了 中央服务器的存在，如g n u t e l l a i 川、f r e e n e t l l8 1 等系统，这些系统之间的数掘流动 部是在对等实体之问进行的。用户可以自己设定规则和刚络环境，在多种网络环 境下均可以正常工作，但是由于巧i 再借助于传统的中心服务器，凶此，对网络中 节点的管理能力较弱。混和结构。将分散结构和其他基本网络结构相结合，如 环形结构、分层结构等，这样既保持网络的分散性，同时也使网络具备一定的结 构，从而更易于管理，提高网络搜索效率。其中集中式和混和结构合起来称为结 构化p 2 p 网络，而严格按照p 2 p 定义的纯分散式又称为非结构化的p 2 p 网络。 2 3基于p 2 p 平台的匿名通讯系统 2 3 i 基于c s 结构的匿名通讯系统 传统的基于c s 结构的系统，例如o n i o nr o u t i n g ，w e bmjx e s 2 ”，它们在 上海大学琐二1 。学位论文 用途、规模上各有差异，但具有一个相同的特征一一系统中节点由相对固定的、 由特定组织经营的知名站点组成。优点可以归纳为可用性、易认证和可靠性三个 方面：在可用性方面，由于使用公开的站点作为m i x 节点，且这些站点通常2 4 小时在线，用户可以很容易地获得全部节点列表，并在其中选择几个，架没匿名 通道并通讯；在认证方面，因为每个m i x 节点都有确定的域名，用户可以通过 数宁签名技术对其进行认证：在可靠性方面，由于中继节点是基本固定不变的， 可以在它们之间协商以达到一定的负载平衡。当然它们的缺点同样不可忽视：第 一，缺乏规模可扩展性。它们的规模局限于经营者拥有的站点数目，这种规模很 难让i n t e r n e t 中普通用户更广泛地使用匿名通讯。第二，既然传统的m i x 系统 中的m i x 节点是公开的站点，那么攻击者同样能够很容易找到它们，并对其进 行攻击。第三，系统内部攻击。传统m i x 系统在特定组织控制之下，若攻击者 出现在经营者之中则对于用户来晚就毫无匿名性可言。 2 3 2 基于p 2 p 的匿名通讯系统 p 2 p 网络具有很强的动态性。网络中的节点唰时充当了客户机和服务器两种 角色，并且网络中的节点可以任意的加入或者退出。p 2 p 网络的应用可以很好的 解决m i x 网络中节点易受攻击，缺乏可扩展性等问题。 下面对现有的基于p 2 p 网络的匿名通讯系统进行简要介绍。 1 1c r o w d s 与a p 3 i t 2 1 c r o w d s 系统与a p 3 系统类似，都是在p 2 p 网络环境下采用组群思想的重路 由机制构建的匪名通讯系统，它们利用概率随机转发进行匿名通讯，但是由于没 有解决发送者与各中继之间的密钥分配问题，导致在重路由路径中数掘和接受者 地址( 例如w e b 服务器地址) 以明文传输，路径上的中继节点均能获知传输数 据的内容以及接受者地址。文献分析指出基于组群思想的c r o w d s 系统所提供 的匿名性略低于基于源路由方式的匿名通讯系统。 2 ) m o r p h m i x l 8 】与t a r z a n 7 m o r p h m i x 与t a r z a n 系统类似，都是在非结构化p 2 p 网络环境下采用源路由机 制构建的匿名通讯系统。它们使用多层加密、转发机制实现匿名通讯，源节点选 择一组中继构建虚拟路径，将经过循环加密的数据包沿着该路径传播。 】诲人学坝： 一学位论文 与基于c s 结构的匿名通讯系统有所不同，基于p 2 p 网络的匿名通讯系统不仅 由少量知名站点组成，它的每个用户在使用匿名服务的同时也在为其他用户提供 匿名服务。因此只要加入到匿名网络中的节点达到一定的数目，就能保证每个用 户有足够的候选节点可选择。而且对于每个节点访问是随机和分散的，不会出现 瓶颈，也不会导致整个匿名系统崩溃。 但是随着p 2 p 网络在匿名系统中应用，义给匿名系统带来了新的问题。现有 的匿名通讯系统大多采用重路由机制实现，本文2 】1 节分析表明无论采用群组思 想的重路由机制还是源路由的重路由机制，都存在匿名通道断裂问题，特别是在 p 2 p 网络中，节点动态上下线特性在大大提高了网络规模可扩展性的同时也大大 影响了匿名通道的性能，因此如何提高匿名通讯系统中通道构建的稳定性是我们 需要研究的重要问题。 2 4 小节 本节主要介绍匿名的基本概念以及现有的匿名通讯技术，阐述了匿名系统 可能遭受的攻击手段，最后对匿名通讯系统结构的发展进行了分析，指出现有匿 名通讯系统结构的优点与不足。 卜海大学硼l 学位论文 第三章t r e e m i x 的系统框架 3 1 设计思想和改进策略 基于p 2 p 的匿名通讯系统正逐步成为匿名通讯技术发展的新趋势，并且已 经出现了一些基于p 2 p 平台的匿名通讯系统，例如t a r z a n ，m o r p h m i x 等， 但是同时这些系统中也存在一些问题。本文在研究并分析了现有的匿名通讯技术 的基础上，提出了一种称为t r e e m i x 的基于p 2 p 平台的匿名通讯系统。t r e e m i x 的目标是，为需要系统稳定性较高的服务提供一个基于p 2 p 的解决方案，为了 达到这个最终目标，t r e e m i x 主要在以下几个方面做出了尝试和改进： 1 采用基于非结构化的p 2 p 网络拓扑结构，提高匿名系统网络规模的可扩 展性。本文介绍的匿名通讯系统是基于p 2 p 网络的，因此选择何种网络拓扑埘 于匿名通讯系统有很大影响。现有的p 2 p 网络根据网络拓扑不同，可以分为结 构化网络和非结构网络。在结构化网络中，数据存放以及网络拓扑结构都加以 限定，要求节点承担的责任较高，所以，结构化的网络更适合运行于企业网。 而非结构化的网络由于没有规定数据的存储位置，网络的拓扑连接，给予节点 充分的自主性，因此得到更加广泛的应用。 t r e e m i x 系统减少了加入网络节点的限制，节点加入更加方便，因此可以让 更多的用户加入网络，从而提高了匿名系统的节点规模的可扩展性。但是非结构 化的p 2 p 网络相对丁j 结构化p 2 p 网络，资源搜索效率较低，因此在t r e e m i x 系 统中，引入了索引节点，不同于一般p 2 p 网络的中心节点，索引节点的存在只 是为了提高节点发现的效率，并且该索引节点可以由网络中的节点动态生成。 2 采用基于信誉度的i p 前缀节点选择算法，提高了匿名系统的可靠性。可 靠的服务是匿名系统能够长期生存的保证。基于p 2 p 系统的可靠性依赖于各个 节点的可靠性。但是在p 2 p 环境中，节点具有高度动态性，行为难以控制。t r e e m i x 通过基于信誉度的t pi j 仃缀节点选择算法提高了节点的可信度和通道的稳定性。 3 采用中继组方式建立通道，提高匿名通道的稳定性。现有的匿名通讯系 统中往往采用单中继的方式建立匿名通道，但是由于p 2 p 网络中节点的高度动 态性的特点，单中继的方式建立匿名通道在p 2 p 网络中变得不太稳定，为了提 高建立通道的稳定性，进而提高匿名通讯系统的抗毁性，r r e e m i x 系统中采用中 继组的方式建立通道，从而显著提高了通道传输的稳定性。 4 采用j a v a 编程实现，提高系统可移植性：一个大规模的匿名网络需要考 虑多个平台的用户，这里的平台包括操作系统平台和p 2 p 平台。t r e e m i x 基于j a v a 技术实现，可以在不同的操作系统平台运行。此外，t r e e m i x 和p 2 p 平台之间的 耦合是松散的，可以很容易的从一个p 2 p 平台移植到另一个p 2 p 平台上。所以， t r e e m i x 能够具有良好的可移植性的。 3 2 总体结构 匿名服务接口 安全认证 l 匿名通道 i 网络层接口 p 2 p 网络层 图32 1t r e e m i x 总体结构 如图32 1 所示是t r e e m i x 系统总体结构，总共分成三大部分：第部分是 最底层的p 2 p 网络层，该层负责将加入到网络中的各个节点组合并搭建起p 2 p 的网络环境，并为上层服务提供各种必要的接口；第二部分是整个系统最关键的 部分，主要实现匿名机制，并为使用者提供了安全认证机制，通过网络层接口与 p 2 p 网络层衔接；第三部分是图中最上面一层，主要为匿名服务的使用者提供一 组接口，使用者通过这组接口可以方便快速地将匿名服务融合在自己的系统中。 型型塑塑塑竺! ! ! ； 3 3 网络结构 图3 3 - i t r e e m i x 的网络结构 这部分我们主要介绍t r e e m i x 系统的网络结构。t r e e m i x 采用非结构化p 2 p 网络，t r e e m i x 网络由许多节点组成，节点之间足纯对等关系，节点可在任意时 刻上线和下线。如图3 3 - 1 ，左边为现有网络中的网络拓扑连接，右边的节点a 为? 恪要加入的网络节点。网络中的每个节点都有自己的i p 地址，节点加入网络 以后获得一对公钥私钥，这对密钥是节点第一次上线后在本地产生的。t r e e m i x 网络中的节点分为普通节点和索引节点，索引节点与普通节点同样都可以充当中 继，同利索引节点还有一个用途是帮助其他节j _ 获得嘲络拓扑信息。网络拓扑信 息中黑色的节点代表索引节点，白色节点为普通节点，普通节 ：i 经过内部认证以 后可以升级为索引节点，因此在网络实际运行中，除了若干个固定布置的索引节 t i 外，还有若干动态产生的索引节点，这些索引节点可以相互直接通讯，它们通 过定期交换路由信息柬更新其本地路由表。 3 4 节点发现机制 需要建立匿名通道的客户节点首先必须获取一个网络路由信息表，获取的方 海人学坝1 学位论义 式根据匿名通讯系统所采用的网络构建各异，例如t o r 1 3 1 中所采用的是由目录服 务器将其已知的当前所有的节点信息发送给客户节点。在p 2 p 网络中，如果网 络中含有中心节点，那么发现节点的效率会相对比较高，新加入的节点通过与中 心节点通讯可以获得当前网络的拓扑信息。而在非结构化的p 2 p 网络中，不包 含中心节点，节点一般通过广播或者组播的形式发现节点，与包含中心节点的网 络相比发现节点的效率较低，特别是当网络中的节点规模较大时，此方式的效率 会更低。 采用源发端建立通道的匿名通讯系统，发送节点获得的邻居节t i 数目越多， ! | j 供选择的中继节点集合就越大，被攻击者成功判断下一步通讯对象的概率就越 低，匿名系统的安全性就越强。因此t r e e m i x 系统中的节点必须获知网络中其它 各节，电信息，初始情况下它们只知道自己周围很少一部分节点信息。不同于纯粹 泛洪的发现机制【1 7 , 18 ，t r e e m i x 系统中除采用广播和组播发现资源外，还通过交 换路由信息来发现更多节点。当任意节点a 加入到网络中，它会随机寻找一个邻 居节点，将它的路由表信息加入到本地路由表中。为了进一步提高节点发现的效 率，网络中又加入索引节点，这些节点除了具有普通节点作用以外还经常跟其他 的索引节点交换路由信息，这种与索引节点交换路由信息的方法较之泛洪路由， 消耗的网络带宽更少。 节点发现机制可以用有向图的形式来表示，顶点代表一个