技術(shù)領(lǐng)域

本發(fā)明涉及通信網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及改進(jìn)Tor的安全匿名網(wǎng)絡(luò)通信系統(tǒng)及方法。

背景技術(shù)

隨著Internet網(wǎng)絡(luò)的發(fā)展，Internet已經(jīng)涉及到大多數(shù)人的生活中，人們對(duì)于Internet網(wǎng)絡(luò)的依賴程度也越來(lái)越大，同時(shí)對(duì)網(wǎng)絡(luò)通信安全也提出更高的要求，主要表現(xiàn)為，人們?cè)陉P(guān)注如何保護(hù)信息安全的基礎(chǔ)上，越來(lái)越關(guān)注如何保護(hù)通信雙方用戶的身份信息。為了保護(hù)通信雙方用戶的身份信息，研究者提出了匿名通信網(wǎng)絡(luò)系統(tǒng)，目前Internet中最為成功的匿名通信系統(tǒng)非Tor莫屬。

Tor網(wǎng)絡(luò)用戶在本地系統(tǒng)中運(yùn)行Onion?Proxy（OP）程序，該程序先訪問(wèn)Tor網(wǎng)絡(luò)中的目錄服務(wù)器，從目錄服務(wù)器上獲取Tor網(wǎng)絡(luò)中中繼節(jié)點(diǎn)（Relay）的信息:包括IP地址、網(wǎng)絡(luò)端口、公鑰、出口策略、帶寬和在線信息等。然后利用Relay來(lái)建立匿名通信通道，用于傳輸應(yīng)用程序的TCP數(shù)據(jù)流。由于Tor不對(duì)用戶進(jìn)行合法性驗(yàn)證，而且Tor中繼節(jié)點(diǎn)與目錄服務(wù)器和權(quán)威目錄服務(wù)器處于實(shí)時(shí)長(zhǎng)連接狀態(tài)，所有程序都能與Tor的目錄服務(wù)器和權(quán)威目錄服務(wù)器直接連通來(lái)獲取到Tor網(wǎng)絡(luò)的中繼節(jié)點(diǎn)信息，訪問(wèn)目錄服務(wù)器就能獲取到中繼節(jié)點(diǎn)信息，因此惡意用戶和惡意中繼節(jié)點(diǎn)通過(guò)直連目錄服務(wù)器，獲取Tor網(wǎng)絡(luò)中的中繼節(jié)點(diǎn)信息，從而可對(duì)Tor進(jìn)行低代價(jià)傳輸攻擊，該攻擊的原理是通過(guò)主動(dòng)攻擊和被動(dòng)觀測(cè)，推斷出哪些Tor節(jié)點(diǎn)是所觀測(cè)通道的中繼節(jié)點(diǎn)。從而掌握了整個(gè)網(wǎng)絡(luò)部署架構(gòu)，并對(duì)Tor網(wǎng)絡(luò)進(jìn)行破壞攻擊。

發(fā)明內(nèi)容

解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種改進(jìn)Tor的安全匿名網(wǎng)絡(luò)通信系統(tǒng)，通過(guò)引入一個(gè)控制中心服務(wù)器，替代現(xiàn)有系統(tǒng)中的權(quán)威目錄服務(wù)器，對(duì)匿名網(wǎng)絡(luò)用戶進(jìn)行合法性認(rèn)證，并且在認(rèn)證通過(guò)后，本地OP程序獲取用于創(chuàng)建當(dāng)前匿名通道的中繼節(jié)點(diǎn)，建立匿名通道，匿名網(wǎng)絡(luò)用戶的本地網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)接入至匿名通道，實(shí)現(xiàn)數(shù)據(jù)的匿名傳輸。引入一個(gè)可移動(dòng)的維護(hù)服務(wù)器，替代現(xiàn)有系統(tǒng)中的目錄服務(wù)器，由控制中心服務(wù)器頒發(fā)授權(quán)認(rèn)證信息和證書信息，由可移動(dòng)的維護(hù)服務(wù)器進(jìn)行合法性認(rèn)證，認(rèn)證通過(guò)后方可對(duì)中繼節(jié)點(diǎn)進(jìn)行狀態(tài)和證書信息的維護(hù)更新。并引入“第三方中轉(zhuǎn)服務(wù)器”來(lái)中轉(zhuǎn)傳輸“匿名網(wǎng)絡(luò)用戶”、“可移動(dòng)維護(hù)服務(wù)器”與“控制中心服務(wù)器”的通信數(shù)據(jù)，中轉(zhuǎn)數(shù)據(jù)經(jīng)過(guò)非對(duì)稱加密，能有效的防止惡意用戶對(duì)網(wǎng)絡(luò)進(jìn)行探測(cè)和低代價(jià)傳輸攻擊。

本發(fā)明還提供了一種改進(jìn)Tor的安全匿名網(wǎng)絡(luò)通信方法，通過(guò)對(duì)匿名網(wǎng)絡(luò)用戶進(jìn)行合法性認(rèn)證，并在認(rèn)證通過(guò)后，本地OP程序獲取用于創(chuàng)建當(dāng)前匿名通道的中繼節(jié)點(diǎn)，建立匿名通道，匿名網(wǎng)絡(luò)用戶的本地網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)接入至匿名通道，實(shí)現(xiàn)數(shù)據(jù)的匿名傳輸。對(duì)中繼點(diǎn)維護(hù)更新的狀態(tài)和證書信息進(jìn)行合法性認(rèn)證，認(rèn)證通過(guò)后，才對(duì)中繼節(jié)點(diǎn)進(jìn)行狀態(tài)和證書信息的維護(hù)更新。通過(guò)第三方對(duì)通信數(shù)據(jù)進(jìn)行非對(duì)稱加密中轉(zhuǎn)傳輸，有效的防止惡意用戶對(duì)網(wǎng)絡(luò)進(jìn)行探測(cè)和低代價(jià)傳輸攻擊。

為了達(dá)到上述目的，本發(fā)明所采用的技術(shù)方案是，一種改進(jìn)Tor的安全匿名網(wǎng)絡(luò)通信系統(tǒng)，包括匿名網(wǎng)絡(luò)用戶、控制中心服務(wù)器、中繼節(jié)點(diǎn)、第三方中轉(zhuǎn)服務(wù)器和目的服務(wù)器，匿名網(wǎng)絡(luò)用戶通過(guò)第三方中轉(zhuǎn)服務(wù)器與控制中心服務(wù)器雙向數(shù)據(jù)通信，

所述匿名網(wǎng)絡(luò)用戶運(yùn)行本地的OP程序，將匿名用戶授權(quán)信息和證書信息通過(guò)第三方中轉(zhuǎn)服務(wù)器提交至控制中心服務(wù)器數(shù)據(jù)通信，

所述控制中心服務(wù)器接收到匿名用戶授權(quán)信息和證書信息后，對(duì)授權(quán)信息和證書信息進(jìn)行合法性認(rèn)證，對(duì)于認(rèn)證合法的匿名網(wǎng)絡(luò)用戶，控制中心服務(wù)器通過(guò)第三方中轉(zhuǎn)服務(wù)器向匿名網(wǎng)絡(luò)用戶發(fā)送建立匿名通道所需的中繼節(jié)點(diǎn)信息，對(duì)于認(rèn)證不合法的匿名網(wǎng)絡(luò)用戶，則不予處理。

所述匿名網(wǎng)絡(luò)用戶接收到上述建立匿名通道所需的中繼節(jié)點(diǎn)信息后，建立匿名通道，匿名網(wǎng)絡(luò)用戶的本地網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)接入至匿名通道，實(shí)現(xiàn)數(shù)據(jù)的匿名傳輸。

由于控制中心服務(wù)器掌握著用戶和中繼節(jié)點(diǎn)的所有信息，可以對(duì)其進(jìn)行禁用、激活、拉黑、注銷等操作，動(dòng)態(tài)靈活的控制整個(gè)匿名網(wǎng)絡(luò)。同時(shí)鏈路的規(guī)劃是由控制中心服務(wù)器操控的，它掌握著鏈路對(duì)中繼節(jié)點(diǎn)的使用頻率、次數(shù)和時(shí)間等信息，因此在規(guī)劃新鏈路時(shí)通過(guò)負(fù)載均衡、使用頻率、最后使用時(shí)間和中繼節(jié)點(diǎn)帶寬等方面的因素考慮，實(shí)現(xiàn)合理有效利用中繼節(jié)點(diǎn)資源。