專利名稱：被動模式下的隱藏文件傳輸服務(wù)定位方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)安全特別是匿名通信領(lǐng)域，具體來說是ー種匿名通信的監(jiān)管技術(shù)，利用FTP協(xié)議的特點(diǎn)對隱藏服務(wù)進(jìn)行定位，以追蹤并取締非法的FTP服務(wù)。
背景技術(shù)：
首先對本發(fā)明中用到的縮寫進(jìn)行定義OP (Onion Proxy):洋蔥代理；OR (Onion Router):洋蔥路由器；HS (Hidden Service):隱藏服務(wù)；HSA (Hidden Service Authority):隱藏服務(wù)權(quán)威；RP (Rendezvous Point):匯聚點(diǎn)；InP (Introduction Point):服務(wù)導(dǎo)入點(diǎn)；AES (Advanced Encryption Standard):高級加密標(biāo)準(zhǔn)；AES-CTR (AES in counter mode) AES 計(jì)數(shù)器模式；FTP (File Transfer Protocol):文件傳輸協(xié)議；Tor是ー種根據(jù)MIX原理設(shè)計(jì)的基于傳輸層TCP的匿名通信系統(tǒng)，能夠有效地保護(hù)網(wǎng)絡(luò)用戶的身份隱私。一個完整的Tor網(wǎng)絡(luò)由客戶端、目錄服務(wù)器、洋蔥路由器以及應(yīng)用服務(wù)器組成。客戶端是運(yùn)行在用戶主機(jī)上的本地程序，稱之為洋蔥代理(Onion Proxy, OP),負(fù)責(zé)為用戶構(gòu)建匿名路徑并將數(shù)據(jù)封裝成長度的數(shù)據(jù)單元(Cell)進(jìn)行傳遞；目錄服務(wù)器主要存儲洋蔥路由的節(jié)點(diǎn)信息，包括節(jié)點(diǎn)描述符、公開密鑰等；洋蔥路由器(Onion Router,OR)負(fù)責(zé)組成匿名電路對用戶數(shù)據(jù)進(jìn)行重路由，Tor默認(rèn)一條匿名路徑由3個OR組成，分別為入口節(jié)點(diǎn)(Entry Node)、中間節(jié)點(diǎn)(Middle Node)和出口節(jié)點(diǎn)(Exit Node);應(yīng)用服務(wù)器則提供具體的TCP應(yīng)用服務(wù)，如FTP等。除對普通用戶提供匿名服務(wù)外，Tor還對網(wǎng)絡(luò)服務(wù)提供者的匿名性進(jìn)行保護(hù)，稱之為隱藏服務(wù)(Hidden Service, HS)，它包括五個組成部分，分別為用戶、隱藏服務(wù)權(quán)威(Hidden Service Authority,HSA)、隱藏服務(wù)器、匯聚點(diǎn)(Rendezvous Point, RP)和服務(wù)導(dǎo)入點(diǎn)(Introduction Point, InP)。隱藏服務(wù)器在服務(wù)導(dǎo)入點(diǎn)注冊■服務(wù)信息,用戶從隱藏服務(wù)權(quán)威獲得隱藏秋服務(wù)器的服務(wù)導(dǎo)入點(diǎn)的信息，而后和匯聚點(diǎn)建立連接，同時通過導(dǎo)入點(diǎn)向隱藏服務(wù)器發(fā)起請求，服務(wù)器建立與匯聚點(diǎn)的匿名信道。這樣，用戶、匯聚點(diǎn)以及隱藏服務(wù)器間將建立一條匿名連接，通過此連接提供服務(wù)將不會暴露服務(wù)提供者的真實(shí)身份與位置。為抵御流量分析攻擊，Tor將應(yīng)用層數(shù)據(jù)封裝成長度相等的數(shù)據(jù)單元(Cell)進(jìn)行傳輸，并且一些控制與管理命令也被填充成同樣長度，以提高整個系統(tǒng)的安全性。Tor的數(shù)據(jù)單元分控制單元(Control Cell)和中繼單元(Relay Cell)兩種,長度均固定為512字節(jié)，分為頭部與載荷兩部分。其中，頭部包含ー個2字節(jié)的電路標(biāo)識(CircID)字段和ー個I字節(jié)的命令(CMD)字段，頭部在傳輸過程中不會被加密，因此中繼的OR節(jié)點(diǎn)都可以查看頭部信息。由于不同通信雙方的數(shù)據(jù)單元有可能在同一 TLS連接中進(jìn)行傳輸，電路標(biāo)識用于記錄該數(shù)據(jù)單元所屬的匿名電路(Circuit),同一 OP-OR或OR-OR間的匿名電路標(biāo)識各不相同，OR節(jié)點(diǎn)利用電路標(biāo)識建立路由表并據(jù)此對數(shù)據(jù)單元進(jìn)行轉(zhuǎn)發(fā)。根據(jù)命令字段可將數(shù)據(jù)単元分為控制単元和中繼單元，其中控制單元負(fù)責(zé)傳遞管理信息，如匿名電路的創(chuàng)建與維護(hù)等，由接收到該數(shù)據(jù)單元的OP或OR節(jié)點(diǎn)進(jìn)行處理；中繼單元則負(fù)責(zé)傳遞端到端的通信數(shù)據(jù)，其載荷部分由建立匿名電路過程中協(xié)商的對稱密鑰層層加密，只有出口節(jié)點(diǎn)才能完全解密數(shù)據(jù)獲得信息明文。對于中繼單元，除標(biāo)準(zhǔn)的頭部外，在載荷部分還有ー個額外的頭部，用于記錄端到端數(shù)據(jù)的相關(guān)信息。整個載荷部分采用AES計(jì)數(shù)器模式(AES in countermode, AES-CTR)進(jìn)行加解密，在出ロ節(jié)點(diǎn)處將明文數(shù)據(jù)傳遞給最終的接收者。

發(fā)明內(nèi)容
本發(fā)明的目的是為了克服隱藏服務(wù)在保證了服務(wù)提供者隱私的同時也給非法服務(wù)帶來了可乘之機(jī)，提出了一種被動模式下的隱藏文件傳輸服務(wù)定位方法，解決了在隱藏FTP服務(wù)的定位問題，以對非法FTP服務(wù)進(jìn)行審查和取締，為網(wǎng)絡(luò)犯罪的監(jiān)管提供必要的技術(shù)手段。本發(fā)明米用的技術(shù)方案是一種被動模式下的隱藏文件傳輸服務(wù)定位方法，包括以下步驟I)配置適當(dāng)數(shù)量的洋蔥路由器或Bridge節(jié)點(diǎn)由于匿名電路的入口節(jié)點(diǎn)直接與隱藏服務(wù)器(Hidden Server，HS)相連接，因此其能夠獲得HS的IP地址，若監(jiān)管者能夠控制該入口節(jié)點(diǎn)，則可以很方便地完成對隱藏服務(wù)的定位。由于Tor的OR節(jié)點(diǎn)是志愿提供的，任何人均可配置其運(yùn)行的Tor軟件使其成為OR節(jié)點(diǎn)，因此監(jiān)管者可以利用這ー特性在Tor網(wǎng)絡(luò)中插入若干受其控制的OR節(jié)點(diǎn)。在構(gòu)建匿名電路吋，Tor采用帶寬加權(quán)方法選擇OR節(jié)點(diǎn)，但帶寬信息僅由各節(jié)點(diǎn)上報而并不進(jìn)行驗(yàn)證，因此監(jiān)管者OR節(jié)點(diǎn)可謊報其具有Tor所允許的最大帶寬50MB/s，從而比正常OR節(jié)點(diǎn)獲得更大概率被選為構(gòu)建匿名電路的節(jié)點(diǎn)。此外，還可利用Tor的抗阻塞機(jī)制，通過提供Bridge的方式完成對匿名電路入口節(jié)點(diǎn)的占據(jù)。在占據(jù)入口節(jié)點(diǎn)后，監(jiān)管者首先假設(shè)其前ー跳節(jié)點(diǎn)均為隱藏服務(wù)器，隨后通過以下步驟對其進(jìn)行驗(yàn)證并排除誤報；2)監(jiān)管者啟動Tor客戶端并連入Tor網(wǎng)絡(luò)，利用FTP客戶端以特定的方式訪問隱藏FTP服務(wù)監(jiān)管者在本地主機(jī)上運(yùn)行Tor客戶端并連入Tor網(wǎng)絡(luò)，配置FTP客戶端利用Tor訪問隱藏服務(wù)。監(jiān)管者訪問隱藏服務(wù)的目的除獲取其內(nèi)容外，還要通過特殊的訪問方式引發(fā)匿名電路中特定的流量波動，以供監(jiān)管者控制的節(jié)點(diǎn)進(jìn)行檢測。Tor將所有的數(shù)據(jù)封裝在Cell中傳輸，中間節(jié)點(diǎn)無法獲知其中的具體內(nèi)容，唯一可利用的便是統(tǒng)計(jì)傳遞Cell的數(shù)量。FTP協(xié)議有主動和被動兩種方式,如圖I所不,但由于Tor本質(zhì)上是ー個傳輸層的代理，因此不可能按照主動方式打開端口供FTP服務(wù)器連接，因此通過Tor訪問FTP只能采用被動方式。為在被動下引發(fā)可檢測的流量特征，本發(fā)明設(shè)計(jì)了以下兩種方法 21)在FTP客戶端與服務(wù)器建立TCP連接后，通過該連接發(fā)送一系列命令以進(jìn)行相應(yīng)的文件操作，如更改當(dāng)前目錄、建立新目錄、刪除文件等，可通過命令的數(shù)目檢測流量。由于Tor中的數(shù)據(jù)是加密傳遞的，OR只能通過Cell的數(shù)量識別流量，為使不同的命令不被封裝在同一個Cell中，發(fā)送命令時需留出相應(yīng)的間隔；22)在首次下載某一文件吋，需利用Tor的OP記錄傳輸該文件所需的Cell數(shù)量，當(dāng)傳輸完成后再次下載同一文件，并通過檢測Cell數(shù)量的方式檢測流量波動；3)在監(jiān)管者所控制的洋蔥路由器或Bridge上檢測特定的流量特征，根據(jù)步驟2)，所需檢測的特征為一定時間窗ロ內(nèi)傳向同一方向的Cell數(shù)量,若其個數(shù)與發(fā)出的命令數(shù)量或下載文件的大小相一致(依據(jù)不同的訪問模式)，則可判定檢測到特定流量，記錄下相應(yīng)的IP地址和時間；
4)多次重復(fù)步驟2)和3)，將檢測到特定流量特征的時間與訪問隱藏FTP服務(wù)的時間進(jìn)行關(guān)聯(lián)，可供選擇的關(guān)聯(lián)參數(shù)包括相關(guān)性系數(shù)等；5)對于關(guān)聯(lián)結(jié)果大于設(shè)定閾值的對象，判斷其是否為洋蔥路由器或Bridge節(jié)點(diǎn)，若都不符合，則可判定其為隱藏服務(wù)器由于整個隱藏服務(wù)的匿名電路中的所有節(jié)點(diǎn)的流量特征相同，因此需確定檢測到特定流量的節(jié)點(diǎn)的準(zhǔn)確位置。由于Tor的電路長度默認(rèn)為3跳，因此若檢測到相關(guān)流量的OR直接與匯聚點(diǎn)(Rendezvous Point, RP)相連,則可判定其為出ロ節(jié)點(diǎn)，前一跳不可能是隱藏服務(wù)器，此時需切斷匿名電路，并在隱藏服務(wù)器重新建立電路后繼續(xù)檢測；否則，查看目錄服務(wù)器以判斷當(dāng)前OR節(jié)點(diǎn)的前一跳節(jié)點(diǎn)是否為公開的OR節(jié)點(diǎn)，若不是，則建立一個ー跳的電路連接前ー跳節(jié)點(diǎn)，若不能連上，則其為隱藏服務(wù)器。有益效果本發(fā)明利用FTP協(xié)議的特點(diǎn)，通過制造可識別的流量波動并進(jìn)行檢測，實(shí)現(xiàn)了在被動模式下對隱藏FTP服務(wù)的定位，為非法服務(wù)的監(jiān)管提供了必要的技術(shù)手段。


圖I為本發(fā)明所述的FTP協(xié)議兩種方式的對比圖。
具體實(shí)施例方式下面結(jié)合具體實(shí)施方式
對本發(fā)明作進(jìn)ー步說明I.配置適當(dāng)數(shù)量的洋蔥路由器或Bridge節(jié)點(diǎn)，以占據(jù)匿名電路的入口節(jié)點(diǎn)由于匿名電路的入口節(jié)點(diǎn)直接與隱藏服務(wù)器(Hidden Server，HS)相連接，因此其能夠獲得HS的IP地址，若監(jiān)管者能夠控制該入口節(jié)點(diǎn)，則可以很方便地完成對隱藏服務(wù)的定位。由于Tor的OR節(jié)點(diǎn)是志愿提供的，任何人均可配置其運(yùn)行的Tor軟件使其成為OR節(jié)點(diǎn)，因此監(jiān)管者可以利用這ー特性在Tor網(wǎng)絡(luò)中插入若干受其控制的OR節(jié)點(diǎn)。在構(gòu)建匿名電路吋，Tor采用帶寬加權(quán)方法選擇OR節(jié)點(diǎn)，但帶寬信息僅由各節(jié)點(diǎn)上報而并不進(jìn)行驗(yàn)證，因此監(jiān)管者OR節(jié)點(diǎn)可謊報其具有Tor所允許的最大帶寬50MB/s，從而比正常OR節(jié)點(diǎn)獲得更大概率被選為構(gòu)建匿名電路的節(jié)點(diǎn)。此外，還可利用Tor的抗阻塞機(jī)制，通過提供Bridge的方式完成對匿名電路入ロ節(jié)點(diǎn)的占據(jù)。根據(jù)相關(guān)文獻(xiàn)，占據(jù)入口節(jié)點(diǎn)的概率除與帶寬密切相關(guān)外，還與監(jiān)控節(jié)點(diǎn)的規(guī)模有關(guān)，在資源允許的情況下，還可通過增加監(jiān)控節(jié)點(diǎn)的數(shù)量占據(jù)更多的入口節(jié)點(diǎn)。在占據(jù)入ロ節(jié)點(diǎn)后，監(jiān)管者首先假設(shè)其前一跳節(jié)點(diǎn)均為隱藏服務(wù)器，隨后通過以下步驟對其進(jìn)行驗(yàn)證；2.訪問隱藏服務(wù)，生成特定流量并檢測關(guān)聯(lián)
a)根據(jù)發(fā)送的FTP命令數(shù)量進(jìn)行關(guān)聯(lián)(I)建立FTP連接并獲取文件列表。在監(jiān)管者Tor客戶端與隱藏服務(wù)器建立匿名路徑后，為訪問FTP，F(xiàn)TP客戶端發(fā)出TCP連接請求。因此，客戶端OP將發(fā)送ー個RELAY_BEGIN中繼單元，隱藏服務(wù)器則返回ー個RELAY_CONNECTED中繼單元表示TCP連接建立完成，隨后客戶端OP通過ー個RELAY_DATA中繼單元發(fā)送命令獲取文件列表。在此過程中，匿名電路上的OR節(jié)點(diǎn)不知道中繼單元的具體命令，但可檢測到向隱藏服務(wù)器方向發(fā)送了兩個中繼單元，在兩個中繼單元之間，相反方向返回了ー個中繼單元。(2)發(fā)送FTP命令。在獲取當(dāng)前目錄列表后，F(xiàn)TP客戶端可繼續(xù)發(fā)送命令進(jìn)行各種文件操作，如切換當(dāng)前目錄、建立新目錄、刪除文件等，直至發(fā)送下載文件的命令。監(jiān)管者控制發(fā)出命令的時間間隔，以使對于每個命令，客戶端OP均會向隱藏服務(wù)器方向發(fā)送ー個單獨(dú)RELAY_DATA中繼單元。監(jiān)管者記錄下發(fā)出的命令個數(shù)以及發(fā)出的具體時間。
(3)檢測流量模式。匿名電路上的OR節(jié)點(diǎn)無法獲知中繼單元的具體命令，但可以區(qū)分?jǐn)?shù)據(jù)單元是中繼単元還是命令単元，并且知道數(shù)據(jù)單元所屬的電路標(biāo)識。如果將“向隱藏服務(wù)器發(fā)送ー個中繼単元一隱藏服務(wù)器返回一個中繼単元一向隱藏服務(wù)器發(fā)送ー個中繼單元”視為ー個流量特征組件(Characteristic Component),假設(shè)獲取目錄列表后一共發(fā)出m個命令，則在整個過程中匿名電路上將產(chǎn)生I個流量特征組件并在其后跟隨m個發(fā)往隱藏服務(wù)器方向的中繼單元，直至下載文件時為建立新的TCP連接再次發(fā)送ー個特征組件。在監(jiān)管者訪問隱藏服務(wù)的過程中，其控制的OR節(jié)點(diǎn)記錄每條匿名電路上的數(shù)據(jù)單元，若恰好在這些數(shù)據(jù)單元中檢測到上述m+2模式，則認(rèn)為檢測到訪問隱藏服務(wù)所產(chǎn)生的特定流量。監(jiān)管者記錄檢測到特定流量的時間以及相應(yīng)匿名電路前一跳節(jié)點(diǎn)的IP地址。(4)通信流量關(guān)聯(lián)。監(jiān)管者重復(fù)步驟1-3，通過多次訪問隱藏FTP服務(wù)并下載文件，分別檢測其產(chǎn)生的流量特征。對于記錄有相同IP地址的檢測結(jié)果，計(jì)算隱藏服務(wù)訪問與通信流量波動之間的關(guān)聯(lián)性。本發(fā)明采用相關(guān)系數(shù)(correlation coefficient)表示關(guān)
聯(lián)性，其計(jì)算方法為
權(quán)利要求
1.一種被動模式下的隱藏文件傳輸服務(wù)定位方法，其特征在于包括以下步驟 1)配置適當(dāng)數(shù)量的洋蔥路由器或Bridge節(jié)點(diǎn) 由于匿名電路的入口節(jié)點(diǎn)直接與隱藏服務(wù)器HS相連接，因此其能夠獲得HS的網(wǎng)絡(luò)IP地址，監(jiān)管者控制該入口節(jié)點(diǎn)，即很方便地完成對隱藏服務(wù)的定位；第二代洋蔥路由系統(tǒng)Tor在選擇入口節(jié)點(diǎn)時根據(jù)的是帶寬加權(quán)算法，即帶寬越高的洋蔥路由器OR成為匿名電路入口節(jié)點(diǎn)的概率越大，監(jiān)管者配置若干OR節(jié)點(diǎn)并上報其所允許的最大帶寬50MB/S，則有很大的可能性占據(jù)匿名電路的入口節(jié)點(diǎn)；此外，還利用Tor的抗阻塞機(jī)制，通過提供Bridge的方式完成對匿名電路入口節(jié)點(diǎn)的占據(jù)； 2)連入Tor網(wǎng)絡(luò)，利用FTP客戶端訪問隱藏FTP服務(wù)，F(xiàn)TP客戶端為生成和記錄特定流量采取特殊的訪問行為及方式 監(jiān)管者在本地主機(jī)上運(yùn)行Tor客戶端并連入Tor網(wǎng)絡(luò)，配置FTP客戶端利用Tor訪問隱藏服務(wù)；由于每條FTP命令均需ー個數(shù)據(jù)單元進(jìn)行傳遞，另外所下載的文件大小也不盡相同，因此通過控制發(fā)送命令的數(shù)目或傳遞的文件，在隱藏FTP服務(wù)器和Tor網(wǎng)絡(luò)中生成特定的流量； 3)在監(jiān)管者所控制的洋蔥路由器或Bridge上檢測特定的流量特征，即FTP命令數(shù)目和文件大小，其在匿名電路上形成不同的數(shù)據(jù)單元數(shù)目； 4)將檢測到特定流量特征的時間與訪問隱藏FTP服務(wù)的時間進(jìn)行關(guān)聯(lián)； 5)對于關(guān)聯(lián)結(jié)果大于設(shè)定閾值的對象，進(jìn)行確認(rèn)工作，判斷其是否為洋蔥路由器或Bridge節(jié)點(diǎn)，若都不符合，則可判定其為隱藏服務(wù)器 由于整個隱藏服務(wù)的匿名電路中的所有節(jié)點(diǎn)的流量特征相同，因此需確定檢測到特定流量的節(jié)點(diǎn)的準(zhǔn)確位置，具體可根據(jù)該節(jié)點(diǎn)是否與匯聚點(diǎn)RP相連及其前一跳節(jié)點(diǎn)是否為公開OR節(jié)點(diǎn)或Bridge進(jìn)行判斷。
2.根據(jù)權(quán)利要求I所述的被動模式下的隱藏文件傳輸服務(wù)定位方法，其特征在于所述步驟2)中，F(xiàn)TP客戶端為生成和記錄特定流量采取的特殊訪問行為及方式 DFTP客戶端連接隱藏的FTP服務(wù)器，并每隔一定時間發(fā)送一條FTP命令，如切換工作目錄、顯示遠(yuǎn)程目錄文件和子目錄列表，通過對命令的發(fā)送時間加以控制，以使其分散到不同的數(shù)據(jù)單元中，以便對其進(jìn)行檢測； 2)Tor客戶端記錄FTP客戶端下載某一文件所需的數(shù)據(jù)單元Cell數(shù)量，在一定時間間隔后重新下載該文件。
3.根據(jù)權(quán)利要求I所述被動模式下的隱藏文件傳輸服務(wù)定位方法，其特征在于所述步驟3)中，在監(jiān)管者所控制的洋蔥路由器或Bridge上檢測特定的流量特征的方法 1)由于FTP客戶端每隔一定時間發(fā)送ー個FTP命令，每個命令均通過ー個數(shù)據(jù)單元傳遞，節(jié)點(diǎn)根據(jù)轉(zhuǎn)發(fā)的指向隱藏服務(wù)器方向的數(shù)據(jù)單元的數(shù)量檢測特定流量并記錄時間； 2)由于下載文件的大小是固定的，節(jié)點(diǎn)根據(jù)從隱藏服務(wù)器端返回?cái)?shù)據(jù)的數(shù)據(jù)單元的數(shù)量檢測是否是下載某文件所產(chǎn)生的特定流量。
4.根據(jù)權(quán)利要求I所述被動模式下的隱藏文件傳輸服務(wù)定位方法，其特征在于所述步驟5)中，對于關(guān)聯(lián)結(jié)果大于設(shè)定閾值的對象，進(jìn)行確認(rèn)工作，具體方法為若節(jié)點(diǎn)與RP相連接，則前ー跳不可能是隱藏服務(wù)器，否則，查看Tor的目錄服務(wù)器，判斷前一跳節(jié)點(diǎn)是否為公開的OR節(jié)點(diǎn)，或建立單跳匿名電路判斷前一跳節(jié)點(diǎn)是否為Bridge，若均不成立，則前一跳必然為隱藏服務(wù) 器。
全文摘要
本發(fā)明公開了一種被動模式下的隱藏文件傳輸服務(wù)定位方法，主要解決在被動訪問模式下對匿名通信系統(tǒng)Tor所提供的隱藏FTP服務(wù)進(jìn)行定位的問題，以對非法FTP服務(wù)進(jìn)行審查和取締，為網(wǎng)絡(luò)犯罪的監(jiān)管提供必要的技術(shù)手段。該方法首先假設(shè)占據(jù)了可疑匿名電路的入口節(jié)點(diǎn)，通過FTP客戶端的特殊訪問模式，利用FTP協(xié)議的特點(diǎn)引發(fā)匿名電路中的特定流量特征，然后將訪問隱藏服務(wù)的時間與檢測到特定流量特征的時間進(jìn)行關(guān)聯(lián)，若關(guān)聯(lián)結(jié)果大于設(shè)定的閾值且檢測到流量特征的節(jié)點(diǎn)的前一跳不為Tor的洋蔥路由節(jié)點(diǎn)，則該節(jié)點(diǎn)的前一跳節(jié)點(diǎn)為隱藏服務(wù)器，從而完成了對隱藏FTP服務(wù)的定位。
文檔編號H04L29/08GK102664904SQ201210152929
公開日2012年9月12日 申請日期2012年5月16日 優(yōu)先權(quán)日2012年5月16日
發(fā)明者何高峰, 劉波, 張璐, 楊明, 羅軍舟 申請人:東南大學(xué)