（计算机应用技术专业论文）基于tor的匿名通信系统研究.pdf

摘要 摘要 随着网络技术在世界范围内得到迅猛发展，i n t e m e t 在给人类社会带来巨大 进步的同时，也潜在的带来了计算机信息系统的安全问题。尤其是网络隐私和用 户身份的保护问题越来越受到人们的关注，于是匿名通信技术应运而生。 以t o r 为代表的重路由匿名通信技术，利用中间节点转发数据包，能有效隐 藏通信的发起者、接收者和通信关系。本文提出把重路由匿名通信系统的实现分 成两个部分：路由协议和目录协议。路由协议负责连接的建立和数据包的传递， 目录协议则负责拓扑的形成和节点对网络状态的学习。 路由协议和目录协议都能直接影响匿名系统的匿名性能和服务效率。t o r 是 一个低延时的匿名通信系统，但是t o r 的路由协议对于基于延时测量的通信流攻 击模式非常脆弱。本文提出一种基于t o r 的改进模型，它将t o r 和c r o w d s 匿名 系统有效组合，充分发挥它们的优势，排除了t o r 存在的安全问题，是一种高效、 可靠的匿名通信路由方案。 t o r 的目录协议具有开放性的特征，因此提升了t o r 中的节点对网络状态的 学习效率。t o r 本身属于一种半分布式p 2 p 网络，目录管理器、洋葱路由器和普 通节点构成了三级结构，本文提出了对半分布式p 2 p 网络的测量规律，即以信息 文件的处理周期为依据，对主导节点进行测量。本文提出了获取信息文件的三种 方式，分为第三方搜索式、本地文件缺失式以及伪协议交互式，并针对t o r 以目 录信息文件分发为核心的目录协议，基于伪协议交互式文件获取方式，提出了一 种对t o r 覆盖网络进行主动测量的方案并实现。实验结果表明，此测量方案能有 效获取到t o r 网络中各类节点的服务参数和性能参数。 本论文的研究工作得到国家2 4 2 信息安全计划课题的资助，目前该课题己完 成并通过验收。 关键词匿名通信；重路由；t o t ；目录协议；主动测量 a b s t r a c t a b s t r a c t w i t ht h er a p i d l yd e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g yi nt h ew h o l ew o r l d ， i n t e r n e t b r i n g sm a n ya d v a n t a g e s t oh u m a ns o c i e t ya sw e l la st h e p r o b l e mo f i n f o r m a t i o ns e c u r i t y m o r ea n dm o r ep e o p l ec o n c e mt h es a f e t yo ft h e i rr e a li d e n t i t y a n dp r i v a c y , t h e nt h ea n o n y m o u sc o m m u n i c a t i o nt e c h n o l o g yd e v e l o p sa st h et i m e s r e q u i r e t o r , a st h er e p r e s e n t a t i v e o ft h e r e - r o u t i n ga n o n y m o u s c o m m u n i c a t i o n s t e c h n o l o g i e s ，c a nm a k eu s eo fi n t e r m e d i a t en o d e st or e l a yp a c k e t st oe f f e c t i v e l yh i d e t h ei n i t i a t o r , t h er e c e i v e ra n dr e l a t i o n s h i pb e t w e e nt h et w o t h i st h e s i sp r o p o s e s d i v i d i n gt o rp r o t o c o li n t ot w ol a y e r s ：r o u t i n gp r o t o c o la n dd i r e c t o r yp r o t o c 0 1 r o u t i n g p r o t o c o ls e tu pt h ec i r c u i ta n dr e l a yt h ep a c k e t s ，d i r e c t o r yp r o t o c o lc o n f i g u r e sh o wt h e o v e r l a yt o p o l o g ys h a p e su pa n dh o wn o d e sl e a r nt h ek n o w l e d g eo ft h et o rn e t w o r k t h er o u t i n gp r o t o c o la n dd i r e c t o r yp r o t o c o lc a nb o t hi n f l u e n c ea n o n y m i t ya n d p e r f o r m a n c eo ft o r t o ri sal o w l a t e n c ya n o n y m o u sc o m m u n i c a t i o ns e r v i c e ，b u ti t s r o u t i n gp r o t o c o li sw e a ka g a i n s tt h el a t e n c y - m e a s u r e m e n tb a s e da t t a c k t h i st h e s i s p r o p o s e sam i x e dt o ra n o n y m o u sc o m m u n i c a t i o ns c h e m e ，i te f f e c t i v e l ym i x e st o r w i t hc r o w d sa n o n y m o u sc o m m u n i c a t i o ns y s t e m ，m a k e su s eo fe a c he x c e l l e n c e s u f f i c i e n t l y , a n do b v i a t e st h es e c u r i t yp r o b l e m s ，t h u si t i sa ne f f i c i e n ta n ds a f e a n o n y m o u sc o m m u n i c a t i o ns c h e m e t h ed i r e c t o r yp r o t o c o li ss oo p e nt h a tn o d e sc a nl e a r nt h es t a t u so fn e t w o r k e f f i c i e n t l y t o ri sas e m i d i s t r i b u t e dp 2 pn e t w o r k d i r e c t o r ys e r v e r , o n i o nr o u t e r , a n d c o m m o nu s e rc o m p o s eat h r e e l e v e ls t r u c t u r e t h i st h e s i sa i m sa tt h ed i r e c t o r y p r o t o c o lw h i c hf o c u s e so nt h ed i s t r i b u t i o no fd i r e c t o r yi n f o r m a t i o nf i l e s ，p r o p o s e sa n a c t i v em e a s u r e m e n ts c h e m ef o rt o ro v e r l a yn e t w o r k t h er e s u l to fo u re x p e r i m e n t s h o w st h a tt h es c h e m ec a ne f f e c t i v e l ya c h i e v et h es t a t u so fn o d e so ft o ro v e r l a y n e t w o r k t h i st h e s i ss t u d i e sb yt h en a t i o n a l2 4 2i n f o r m a t i o ns e c u r i t yp l a nf u n d i n gi s s u e s ， t h es u b j e c th a sb e e nc o m p l e t e da n d p a s s e da c c e p t a n c e k e y w o r d sa n o n y m o u sc o m m u n i c a t i o n ；r e r o u t i n g ；t o r ；d i r e c t o r yp r o t o c o l ；a c t i v e m e a s u r e m e n t - i i i - 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特i i i i 以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 签名：1 阻日期：鱼叫。、 关于论文使用授权的说明 本人完全了解j l 京, t 业大学有关保留、使用学位论文的规定，l l p ：学校有权 保留送交论文的复e l i 件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名：牡导师签名：毒蛳日期：龀 第l 章绪论 1 1 研究背景 第1 章绪论 随着因特网的迅速增长，网络被普遍用作通信和信息发布的工具，计算机和 通信网络的安全同渐受到人们的关注和重视。通常，计算机和通信网络的安全主 要是保证信息的私密。 生( c o n t i d e n t i a l i t y ) 、完整。l 生( i n t e g r i t y ) 和可用性( a v a i l a b i l i t y ) ； 除了实现上述目的的相关安全技术之外，人们正在研究一些实现通信的隐蔽性和 减少各个通信团体之间信道阻塞、通信信息被截获或定位的技术，匿名通信 1 ( a n o n y m o u s c o m m u n i c a t i o n s ) 技术就是其中之一。 对于许多在线因特网应用而言，匿名已成为了基本的需求，尤其是网络隐私 的保护问题【2 j 越来越受到人们的重视。例如在网上选举系统( e v o t i n g ) 中，选民投 票要求是匿名的，选民与选票之间以及选民与选票内容之间应该是不可关联的； 在电子银行( e b a n k i n g ) 币l l 电子商务( e c o m m e r c e ) q b ，要求支付与支取关系保持匿 名，从而使得被支付方无法获取支付方的身份；电子拍卖系统饵a u c t i o n s ) 中要 求竞拍者保持匿名；其他有匿名要求的应用还包括网上心理咨询、匿名网络浏览、 匿名电子邮件等。在这些应用中，应用者希望在获得网络服务的同时，能够隐藏 自己的身份或者是i p 地址。 从目前网络应用现状来看，当| j 的i n t e m e t 网络协议并不支持对通信端点的 隐藏。窃听者可以通过监视因特网上的路由器，轻易地判断出哪个i p 地址在使 用哪些服务。同时可以通过在i s p 上安装的跟踪软件将i p 地址映射到个人网络 使用者。因此网络管理者和网络服务提供者可以在技术上轻而易举地获取使用者 的信息，例如某个用户经常浏览什么网站、发邮件到哪些邮件服务器等，并且在 网络管理目的的掩护下这种跟踪是合理合法的，政府或大型企业可以利用网络来 监控跟踪和检查网络用户的个人通信行为，这种情况带来了网络服务是否应该保 障个人隐私的争议。 除了网络管理者，一些非法窃听者也可以通过多种窃听手段获取网络上的数 据包，例如通过搭线窃听、无线截取等，然后通过对数据包的统计和分析，可以 推断出网络上的通信关系，从而推断出一些感兴趣的信息。例如通过长时间地跟 踪某一感兴趣对象的通信行为，可以间接地推断出该对象的网络行为特征，包括 爱好和通信对象等。 综上所述，随着网络日益深人地应用于人们的生活，人们对个人隐私以及信 息安全性提出了越来越多的要求，研究通信系统中的匿名通信技术以及匿名技术 在大规模互联网上的应用非常有必要。 北京t 业人学t 学硕l ：学位论史 1 2 研究现状 国外在i n t e m e t 匿名通信技术研究方面起步较早。早在1 9 8 1 年，d a v i dc h a u m 就提出了电子邮件的不可追踪问题和m i x 解决办法，通过m i x 的转接作用和对 传送数据重新排序、延时和填充等手段隔断网络通信双方( 或第三方) 的联系， 使信宿方( 或第三方) 获得只是信源身份的数据及m 身份【3 1 。1 9 8 8 年，c h a u m 提出了以叠加发送的d c 链为基础的网络匿名方案【4 1 。1 9 9 3 年c p a r k 等提出了 用e l g a m a l 公钥体制加密实现m i x e sn e t 的方法，使得密文c i 的为固定长度与 m i x e s 服务器的个数无关1 5 】。同年，有了第一个提供匿名业务的商业化网站 a n o n p i p e n e t f i 蹲j 。1 9 9 6 年，g o l d s c h l a g 、s y v e r s o n 和r e e d 共同提出了洋葱路由 ( o n i o nr o u t i n g ) 网络匿名连接方案1 7 , 8 , 9 j ，美国政府于2 0 0 1 年7 月2 4r 给o r 授 予了专利。r u b i n 等人提出了基于组群的c r o w d s 机制【l 叭。在这些匿名机制研究 的基础上，学者们提出了相关的匿名通信协议和匿名通信原型系统，这些协议和 原型系统能够在一定程度上抵御基于业务流分析的攻击，并且在一定程度上保证 了匿名连接。 匿名通信系统( a n o n y m o u sc o m m u n i c a t i o ns y s t e m ) 的研究成果包括不可跟踪 的邮件服务、匿名w e b 浏览，以及匿名连接服务的内在机制的研究。这些系统 按实现技术来分基本包括三种类型：基于重路由技术】的匿名系统，基于d c n e t 的匿名系统和基于组播广播技术的匿名系统。 重路由技术( 又称源重写技术) 的系统是目前研究最多的一类。这类系统在 发送者和接收者之间经过了一个或多个转发部件( 在不同的系统实现中有不同的 名称) ，该部件实现了重写数据包和转发数据包的功能。数据包在经过这类转发 部件时，入出的一些关联信息( 如地址信息、时间信息、信息长度以及信息编码 等) 被移去或重写，从而能隐藏数据包入出的对应关系。攻击者无法根据窃听到 的消息关联数据包的入出关系，在一定程度上起到了匿名作用。 基于重路由技术的匿名通信系统按重写部件的类型又可以分为三种： ( 1 ) 基于简单代理( s i m p l e p r o x y ) 的系统。特点是在发送者和接收者中间只经 过了一个中心转发代理。a n o n y m i z e r 1 2 j ，p r o x y m a t e t o m ( l u c e n tp e r s o n a lw 曲 a s s i s t a n t ，b e l ll a b s ) 1 3 j ，p i p e n e t 6 1 就属于这一类，这种实现代理必须是可信任的， 因为中心代理知道请求和客户的映射关系，具有系统中所有通信属性信息。事实 上，若一个用户的请求经过匿名代理进行w e b 浏览，代理就能清楚地知道该用 户的浏览习惯。当中心代理被攻占时，匿名性能就被破坏。例如在1 9 9 6 年，迫 于法律的压力，系统管理员j o h a nh e l s i n g i u s 公开了假名表中的用户地址，最终 h e l s i n g i u s 被迫关闭了这个曾盛行的r e m a i l e r 系统【1 4 】。 ( 2 ) 基于串行代理结构的系统，特点是在发送者和接收者中间经过若干个串 第l 章绪论 行的源重写部件。d a v i dc h a u m 的无法跟踪电子邮件系统【3 j 、洋葱路由( o n i o n r o u t i n g p 8 ，9 ，1 5 ，1 6 1 、t o r ( t h es e c o n do n i o nr o u t i n g ) 17 1 、f r e e d o m 1 8 ，1 9 ，2 0 1 、w 曲 m i x e s 2 1 】和h o r d e s 【2 2 】等就是这一类系统中有代表性的原型实现。这类系统的实 现，借助于串行代理的重写、转发、排序和填充包技术，隐藏了代理输入输出之 间的关系。利用串行多代理的结构克服了简单代理系统中若单个代理被攻占，匿 名性能就被破坏的缺点。若系统中含有n 个代理，只要保证不全被攻占，就能 保证匿名性能。 ( 3 ) 基于p 2 p 系统的思想。这种系统与第二种实现的不同之处在于系统中的 转发部件由用户来担当。即由多个用户形成一个组群，每个加人系统的用户在使 用匿名服务的同时，必须成为系统中的转发代理。系统中的用户都处于等同的地 位，当要传输数据包时，代理在组内的代理中任选一个将数据包传给它，转发路 径上的代理依次进行转发，通过这种转发关系达到隐藏发送者的目的。c r o w d s 1 2 1 系统就是其中有代表性的实现。 基于d c n e t 的匿名机制则是借助于d i n i n gc r y p t o g r a p h e r 加密技术实现了发 送者匿名。d c n e t 可以获得很强的匿名性能，但是系统中必须有机制保证任何 时刻只能有一个用户发送，否则就会发生冲突。因此这种机制下的匿名系统管理 机制复杂，传输效率较低。 基于广播和组播技术的匿名机制，借助于广播和组播的多用户特性，形成了 匿名集。例如用多个接收者来隐藏真实接收者，可以用于实现接收者匿名。但这 种技术会带来发送代价的提高，因为为了隐藏接收者的身份，必须要将信息发给 多个其它用户，增加了网络的信息传输量，降低了系统效率。 国内关于匿名技术的网络安全研究起步较晚。中科院、西安电子科技大学等 单位正在积极跟踪和研究匿名通信技术2 3 一, 2 5 1 ，而在网络协议、q o s 、密码学、 网络安全方面，国内已经达到一定水平。另外，湖南大学、中南大学在匿名通信 中的网络伪装理论以及攻击模型研究方面也有了很大突破 2 6 , 2 7 , 2 8 】。文献【2 9 】提出了 一种新的重路由策略，这为匿名系统的扩展性研究提供了一定的基础。 1 3 主要研究内容 以t o r 为代表的重路由匿名通信系统是当前应用最广泛的匿名通信技术，本 文以t o r 为研究对象，根据协议实现过程中的承担的功能的不同，把重路由匿名 通信协议分成两个互相关联的组成协议：路由协议和目录协议，并分别对这两个 组成协议进行了分析和研究。 路由协议属于主协议，用于在t o r 覆盖网络之中实现匿名通信的连接。包括 虚电路的建立，服务节点的通信，对数据包的存储、处理和转发，完成数据流在 北京t q k 人学t 学硕i j 学位论文 系统中的流转周期。 目录协议属于辅助协议，用于覆盖网络拓扑结构的形成过程和虚电路连接建 立之前网络状态的学习。负责系统中的节点加入、退出机制，实现节点的寻址和 密钥管理等。 本文的主要研究内容包括以下几个方面： 1 研究匿名通信的研究现状和发展趋势，对现有重匿名通信协议和系统进 行分析和归类，指出重匿名通信的威胁模型和可能的攻击方式。 2 研究基于t o r 的重路由匿名通信系统的路由协议，并结合经典的c r o w d s 系统提出一种基于t o r 的新的重路由匿名通信模型，以更好地提高匿名 性和抗攻击性。 3 研究基于t o r 的重路由匿名通信系统的目录协议，并依据t o r 目录协议 设计t o r 覆盖网络主动测量方案并实现，获得t o r 覆盖网络中的服务器 的各种数据。 1 4 论文的结构 本文共分5 章。首先综述了匿名通信系统的研究现状，分析了各类匿名通信 协议的特点和存在的问题，然后研究了匿名通信系统的常用实现技术和连接机 制，接着基于t o r 的路由协议提出了一种重路由匿名通信方案，最后是基于t o r 的目录协议提出了一种匿名通信的主动测量方案。 第一章为绪论，介绍了匿名通信研究的背景和意义，对匿名通信的发展和应 用做了综述。 第二章分析了匿名通信的实现技术，对匿名通信的特性、匿名通信密码体系、 数据包处理技术以及重路由匿名通信的常见攻击方式作了定性的分析。 第三章对t o r 的路由协议进行了解析，进行了性能的分析，并结合经典的 c r o w d 协议提出一种新的重路由匿名模型，并通过理论证明，改进模型提高了 t o r 系统的匿名度。 第四章对t o r 的目录协议进行了解析，讨论了以t o r 为代表的半分布式匿名 通信网络的主动测量方案，根据t o r 软件的行为特征和t o r 目录协议的细则制定 出对t o r 的测量目标和测量步骤，并实现了一个主动测量系统，给出了对t o r 主 动测量的实验数据。 最后是全文总结。对本文所完成的研究工作和创新点就行了总结，并阐述了 下一步的研究方向和内容。 第2 章匿名通信技术分析 第2 章匿名通信技术分析 本章综述了匿名通信技术的研究现状和相关理论。首先介绍了匿名通信系统 中的基本概念和定义，接着对匿名实现技术进行了分类，然后总结归纳了主要的 匿名机制和其他与匿名相关的技术，介绍了当前主要的匿名通信原型系统及应 用。最后研究了匿名攻击方式及对策。 2 1 匿名通信中的基本概念 匿名( a n o n y m i t y ) 是指通信实体的一种状态，即该实体无法从一个实体集 合中被识别出来【3 0 1 。例如一组对象都可能是某信息的发送者，如果无法定出谁是 信息的真实发送者，就称该对象是发送匿名的。 要实现一个实体的匿名，需要一个由多个具有相同属性的实体组成的集合， 即匿名集。匿名集( a n o n y m i t ys e t ) 是指有可能导致某一行为的所有主体组成的集 合。在开放环境中，一个用户只要他发出行为的可能不为零，他就是匿名集中的 成员。例如在通信系统中，某一信息的发送者可能是s 1 ，s 2 ，s 3 ，s n ，那 么s = s 1 ，s 2 ，s 3 ，s n 就是该信息发送者的匿名集。 2 i i 匿名特性 匿名性包含有两个特性：不可关联性和不可观察性【3 。 不可关联。i 生( u n l i n k a b i l i t y ) ，可以适用于系统中任何对象( 实体、信息、事件、 行为) 。两个或多个对象是不可关联的，意味着在系统中，观察者对这些对象相 关性的判断和他们拥有先验知识时的判断一样多。假设攻击者对两个对象关联度 的判断的后验概率较先验概率有所增加或减少，我们就认为攻击是成功的，则对 象之间不具备不可关联特性。例如在通信系统中，攻击者通过长期的观察或信息 窃取后，认为是某一对象实施某一行为的概率增加或者减小，则该对象和行为之 间是可关联的。 系统中不仅是对象的相关性需要保护，对象的不相关性也需要保护，即无论 对象间事实上是否相关，不可关联性要求对相关性判断的后验概率与先验概率一 样。不可关联性在一些系统中有具体要求，例如：在电子支付系统中，用户与回 单必须具有不可关联性。攻击者通过被动或主动攻击手段之后，对用户与回单之 间相关性的判断与攻击前的判断应是一样的，攻击获得的“知识不能增加攻击 者的判断能力，即既不能增加某一用户和某一回单是相关的判断，也不能增加不 北京t 业人学t 学硕l j 学位论文 相关的判断。 不可关联性是匿名性的充分条件，但不是必要条件，即由不可关联性可以推 出匿名性。不可关联性的破坏不一定会使匿名性受到破坏，甚至有些情况下匿名 程度都不会受影响。例如，在一些情况下可以跟踪到谁发送了什么信息，同时可 以跟踪到谁接收了什么信息，但可以保证发送者和接收者之间的通信关系是不知 道的。 不可观察性的一般定义是信息与“随机噪声 是不可辨别的。在通信系统中， 发送者的不可观察性，表示无法判断不可观察集合中的用户是否发送了信息。接 收者不可观察性表示无法观察到不可观察集合中用户是否接收了信息。通信关系 的不可观察性表示无法注意到是否有信息从一些可能的发送者发向一些可能的 接收者。 不可观察性也是匿名的充分条件，但不是必要条件，即由不可观察性可以得 到匿名性。例如发送者是不可观察的意味着发送者肯定是匿名的，因为该发送者 是否发送了信息都没法注意到，肯定就无法与任何信息关联。但不可观察性的破 坏不一定导致匿名关系的破坏，例如可以观察到谁在发送信息，谁在接收信息， 但无法确定发送者与接收者之间的关系。 2 1 2 匿名类型 目前的匿名通信系统通过重路由和填充等机制提供以下三种形式的匿名保 护【3 1 】： ( 1 ) 发送者匿名( s e n d e ra n o n y m i t y ) 匿名通信协议首先要提供发送者匿名保护，发送者的身份信息以及发送的端 点地址应该向攻击者隐藏起来，即攻击者通过各种攻击手段，不能或者很难获得 表明发送者身份的信息和发送时的位置信息。 ( 2 ) 接收者匿名( r e c e i v e ra n o n y m i t y ) 匿名通信协议还应该提供接收者匿名保护，接收者的身份信息以及接收端点 地址应该向攻击者隐藏起来，即攻击者通过各种攻击手段，不能获得表明接收者 身份的信息和接收时的位置信息。 ( 3 ) 通信关系匿名( r e l a t i o n s h i pa n o n y m i t y ) 某个确定的通信的发起者和发送者身份不能同时确定。即观察到有消息发 送，但不能确定接收者是谁。或者观察到有消息被接收，但不能确定发送者是谁。 此外，在一个完整的匿名系统中，还存在着节点匿名和代理匿名。节点匿名 指组成通信信道的服务器的匿名性，即信息流所经过线路上的服务器的身份不可 识别。代理匿名是指某一节点不能确定为是发送者和接收者之间的消息载体。节 第2 章匿名通信技术分析 点匿名要求第三方不能确定某个节点是否与任何通信连接相关，而代理匿名则要 求某节点不能确定与某一具体通信连接相关，故代理匿名的隐匿程度较节点匿名 低。 2 1 3 匿名度 匿名通信系统可以保证用户在通信时可以获得一定程度的匿名保护。用户的 匿名度就是指他能从系统获得的匿名保护的程度。目前，国际上一般将匿名度分 为六个等级i l ，分别为a b s o l u t ep r i v a c y 、b e y o n ds u s p i c i o n 、p r o b a b l ei n n o c e n c e 、 p o s s i b l ei n n o c e n c e 、e x p o s e d 、p r o v a b l ye x p o s e d ；匿名度按照先后顺序逐渐降低， a b s o l u t ep r i v a c y 的匿名度最高，p r o v a b l ye x p o s e d 匿名度最低。 ( 1 ) a b s o l u t ep r i v a c y ：指通信内容、通信双方身份和通信动作完全保密； ( 2 ) b e y o n ds u s p i c i o n ：是指攻击者根据发送的数据包的信息，无法从系统中 潜在的发送者集合中识别出真正的发送者； ( 3 ) p r o b a b l ei n n o c e n c e ：是指攻击者根据发送的数据包信息，能够发现真实的 发送者比系统中其他节点具有更大的可能成为发送者，但是这种可能性与它不是 真实发送者的可能性相等； ( 4 ) p o s s i b l ei n n o c e n c e ：是指攻击者根据发送的数据包信息，能够发现系统内 某个节点成为真实发送者的可能大于它不是发送者的可能，但是仍有可能真正的 消息发送者是其他节点； ( 5 ) e x p o s e d ：是指攻击者能够发现系统内的某节点是消息发起者的可能性大 于它不是发送者的可能，但是不能够证明它就是消息发起者。 ( 6 ) p r o v a b l ye x p o s e d ：攻击者能够证明消息的发起者。 也有人将其中的p o s s i b l ei n n o c e n c e 去掉，将匿名度分为五个等级。a b s o l u t e p r i v a c y 和p r o v a b l ye x p o s e d 作为两种极限情况，只是为匿名度作为限定，并不 作为主要的研究目标。 2 2 匿名通信密码体系 由于h t t p 、f t p 等开放式协议所需的报文头部信息很难通过加密算法来隐 藏，单纯对数据包进行加密并不能实现通信的匿名性，但匿名性的实现则不可避 免地需要用到密码体系。匿名通信在于隐藏通信双方的信息，一方面要扩大匿名 集的范围，另一方面要提高数据包的分析难度。前者可以通过消息通信者混淆的 算法来实现，而后者则不可避免地对通信连接提出了加密的要求，即通过匿名通 信密码体系，保持数据流的外在不可见性，以进一步达到更好的匿名效果。本文 用到的匿名通信的密码体系包括公钥密码体制、密钥协商技术和重路由匿名通信 北京t 业人学t 学硕f 学位论文 常用的t l s 安全协议。 2 2 1 公钥密码体制 1 9 7 6 年d i f f i e 和h e l l m a n 发表了著名的“密码学的新方向”，提出了“公钥 密码系统( p u b l i ck e yc r y p t o s y s t e m ) ”的概念【32 | ，为信息安全提供了新的理论和技 术基础，开始了密码学的一个新时代在此之前的密码系统通常称为单钥密码系统 ( o n e k e yc r y p t o s y s t e m ) 或对称密码系统( s y m m e t r i cc r y p t o s y s t e m ) ，其特点是系统 只有一个密钥，a n 解密都用这一密钥来进行，因此a n 解密双方须事先以安全的方 式交换这一密钥 与单钥密码系统不同，公钥密码系统的a n 解密能力是分开的，它有一对密钥， 其中一个是公丌的，称为公钥( p u b l i ck e y ) ，另一个是保密的，称为私钥( p r i v a t ek e y ) ， 通信双方无需事先交换密钥就可进行保密通信公钥密码系统具有这样的性质：基 于所有公开的信息要计算出保密的私钥是不可行的 公钥密码系统可以有两种用法：一是用公钥进行加密，密文只有私钥持有者才 能解密，这可实现多对一的保密通信；另一个是用私钥进行加密，所有持有公钥的 人都可以解密，并有理由相信消息发自该公钥对应私钥的持有人，这可实现一对多 的认证通信后一种用法是公钥密码系统的一个非常重要的新特点，即能提供认证 性。 由于公钥算法进行加密的速度比较慢，所以它一般用于密钥交换。 2 2 2d i m e h e l l m a n 密钥协商协议 1 9 7 6 年，d i m e h e l l m a 提出了这个两个通信方之间的密钥协商协议【j3 | ，是 最早利用公钥密码体制建立的密钥信道的方法，是近代密码学发展的革命化成 果。 设g 是一个阶为大素数q 的有限乘法群，g 为群g 的生产元。假设实体a 和实体b 想要建立一个密钥协商的会话钥巧b 。他们进行如下的操作： ( 1 ) 用户a 选择一个随机数口z q ，计算l 2 9 4 并发送l 给b 。 ( 2 ) 用户b 选择一个随机数6 乙，计算乃2g h 并发送乙给a 。 用户a 计算k 彳= t b 口，而用户b 计算k 口2l 6 。用户a 计算n 彳一，而用户计算a 口一“。 ( 3 ) 如果用户a 和b 诚实执行以上操作，那么他们就将得到共同的密钥 k 爿口= k 爿= k b = g 口6 。接下来a 和b 就可以用协商一致的密钥髟b 来 第2 章匿名通信技术分析 加密他们之前的通信内容了。 经过d i f f i e h e l l m a n 密钥协商后的对称加密是信道加密的主要方式。 2 2 3s s l t l s 协议 s s l ( s e c u r es o c k e tl a y e r ) 是n e t s c a p e 公司设计的世界上部署最为广泛的 安全协议，每种商业浏览器和服务器都在其内部使用s s l 来支持安全的w e b 交易。 i e t f 将s s l 作了标准化，即r f c 2 2 4 6 ，并将其称为t l s ( t r a n s p o r tl a y e r s e c u r i t y ) 。 t l s 的主要目标是在两个通信应用程序之间提供保密性和数据完整性1 34 。该 协议由两层组成：t l s 记录协议( t l sr e c o r d ) 和t l s 握手协议 ( t l sh a n d s h a k e ) 。较低的层为t l s 记录协议，位于某个可靠的传输协议( 例 如t c p ) 上面。t l s 记录协议用于封装各种高层协议。t l s 记录协议提供了具有 两个基本特性的连接安全性： ( 1 ) 私有性。对称加密系统被用来数据加密。用于连接的对称加密术密钥是 唯一产生的，并且基于由另一个协议( 如握手协议) 协商的密钥。记录协议也可 以不加密使用。 ( 2 ) 可靠性。信息传输包括使用密钥进行信息完整性检查。可靠的功能被用 于估算。记录协议在没有的情况下也能操作，但一般只能用于这样的模式情形， 即有另一个协议正在使用记录协议传输协商安全参数。 t l s 握手协议允许服务器与客户机彼此之间相互认证，并且在应用程序协议 传输和接收其第一个数据字节前，协商加密算法和加密密钥。握手协议提供了具 有三个基本特性的连接安全性： ( 1 ) 可以使用非对称的，或公共密钥的密码术来认证对等方的身份。该认证 是可选的，但至少需要一个对等方。 ( 2 ) 共享密钥的协商是安全的。对偷窃者来说协商密钥是难以获得的。此外 没经过认证过的连接不能获得密钥，即使是进入连接中间的攻击者也不能。 ( 3 ) 协商是可靠的。没有经过通信成员的检测，任何攻击者都不能修改通信 协商。 t l s 的一大优势在于t l s 是独立的应用协议。高层协议可以分布在t l s 协议上面。同时t l s 标准把如何添加t l s 协议安全性、如何启动t l s 握手 协议以及如何解释认证证明的决定权留给在运行在t l s 上的协议的设计者和 实施者来判断。 北京t 业人学t 学硕f j 学位论文 2 3 匿名通信的连接实现机制 2 3 1 组播、广播技术 i n t e m e t 上的组播和广播通信完成了网上主机之间的一对多的通信，组播和 广播地址代表组主机，而非特定的主机。利用广播或组播技术发送数据时，可 以使接收者隐藏在组播或广播成员中，达到接收者匿名的目的。 利用组播通信来达到匿名有以下的优点，首先单一实体是不知道组播成员 的，只有在组播树上的所有路由器将信息合在一起才能确定接收者的集合，而攻 击者要想获取不同域中组播树上所有路由器的合作是非常困难的。即使某个特定 的组播成员确定了，成员在组中仍然是不可区分的，组成员越多，匿名性越好。 h o r d e s 利用组播通信技术作为匿名通信的返回，从而隐藏了发送者身份。 广播技术也可以用在匿名通信中【3 5 j ，考虑到效率问题，一般用于小区域的数 据传送中。与组播技术不同的是，广播成员是知道的，即全网段所有的主机，广 播可以依靠成员数目来隐藏接收者或发送者的身份。 2 3 2 重路由机制 重路由机制是目前匿名系统实现中使用最多的一种技术，它是一种应用层路 由机制，一般用于实现发送者匿名和通信关系的匿名。该机制为用户提供间接通 信：包含在一次通信中的多个主机在应用层存储转发数据，从而形成一条多个安 全信道组成的虚拟路径，称为重路由路径( r e r o u t i n gp a t h ) 。外部攻击者无法获得 从安全信道上传送的i p 数据包首部的真实发送者或接收者的i p 地址信息。因而， 通信实体的身份信息被有效隐藏。基于重路由的匿名通信系统通常提供发送者匿 名和通信关系匿名服务。 重路由算法通常包含两步1 3 6 j ：确定重路由的长度，所采用的策略称为路长控 制策略( ( 1 e n g t hc o n t r o ls t r a t e g y ) ；选定路径上中继节点序列，所采用的策略称为成 员选择策略( m e m b e rs e l e c t i o ns t r a t e g y ) 。 路长控制策略有两种：定长策略( f i x e dl e n g t hs t r a t e g y ) 与变长策略 ( v a r i a b l e l e n g t hs t r a t e g y ) 。在定长策略下，产生的重路由的长度恒定。在变长策略 下，路径长度服从某一概率的离散随机变量。 用于重路由成员选择的成员选择策略也可以分为两种：随机策略 ( r a n d o m i z e d s t r a t e g y ) 与非随机策略( n o n - r a n d o m i z e ds t r a t e g y ) 。随机策略比较简单， 从系统n 个成员( 包括发送者自身) 随机选取作为重路由路径上的中继节点，这样 产生的重路由路径有可能出现环。非随机策略则根据己有负载、可信任程度或运 第2 幸匿名通信技术分析 行可靠性等参数选取符合给定条件的节点。 以t o r 协议为代表的洋葱路由是典型的重路由机制。洋葱是指一种层次化 的数据结构，这个数据结构定义了在数据包传递路径上经过的每一个路由器的连 接性质，例如加密的控制信息，包括各种对称加密算法，以及在数据传送阶段所 要用到的密钥等。最罩面的一层洋葱包含了目的接收者的身份以及传送的数据。 图2 1t 0 r 通信过程 f i g u r e 2 - 1c o m m u n i c a t i n gp r o c e s so f t o r 如图2 1 示，t o r 中的发起者把数据包传递给接收者经过了n 个中间节点， 在实际的运用中，n 的值通常为3 或4 ，因此属于定长路由策略。而t o r 在路径 中的节点的选取中，采取非随机和随机策略相结合的方式，在可靠度高、运行稳 定的节点中随机选取3 到4 个节点作为其中间节点。发起者在数据包发送之前就 确定了中间节点的个数，并挨个与之协商密钥和加密算法即洋葱。发起者把n 层 洋葱包交给中间节点，中间节点再挨个解密和投递，实现了数据包的重路由。 2 3 3 封包技术 数据包通过密码体系在匿名通信系统中节点之间的传递，主要用于以洋葱路 由为代表的重路由机制，如t o r 使用的多重加密的方式，对于数据包传递前的封 装有很高的要求，以使得路径中的节点能够验证数据包的完整性，保持节点的匿 名度和数据的下一步流向。 洋葱路由线路实际上是洋葱包所经过的i p 地址序列【3 8 】，当一个需要发送数 据的请求站点把数据发送给洋葱代理( o p ) 时，o p 根据一定的算法选择一条路径， 如r = i p ( c 。) l i 咖( c 2 ) i i l 驴( c ) | | i p ( c ，) l ii p ( c 川) i i l i 驴( c ，) ，其中i p ( c 。) 表示需 经过的第i 个洋葱路由器( o r ) 的i p 地址，符号“i i ，表示连接。假设存在一个安 全的公钥应用环境，包括公钥的产生、验证和分发，并且假定每个结点所获取的 公钥信息都是可信的。由于加密可以避免明文外泄，签名验证数据包的真伪，则 采用用加密和签名相结合，分层和嵌套相结合的方法，有四种封装洋葱数据包的 方案。 ( 1 ) 分层加密和签名 在洋葱代理w 上保留有发出请求主机的i p 信息，用i p ( h ) 表示，其中公钥 加密算法用e 表示，e i 表示洋葱路由器i 的公钥，s 表示群签名算法，h 表示洋 葱代理w 的公钥，在w 上把需保护的沿途路由信息分别进行加密和签名，以线 北京t 业大学t 学硕l ：学位论文 性表的方式进行组织，为了便于区分，用“i f ，作为连接分隔符，按照前驱和后 继的顺序把加密好的各层路由信息排列成如下形式： ，= e e l 勿( c 2 ) ，s ( i p ( h ) ，i p ( q ) ，i p ( c 2 ) ，f ) 】f | 入 e e 一l 【驴( c 。) ，最( i p ( c 。一2 ) ，i p ( c 川) ，i p ( c 。) ，f ) 川 e e e o r ，邑( 印( c 川) ，i p ( c 。) ，e o r ，f ) 】i | ( 2 ) 分层加密与嵌套签名 对洋葱包进行分层加密与嵌套签名的思想是以第一种方案为基础，增加计算 的复杂性为代价，具体的封装算法如公式： ，= e e l ( c 2 ) ，氐( i p ( h ) ，i p ( c 1 ) ，i p ( c 2 ) ，