一种基于Tor协议时序特性的隐藏服务追踪系统

一种基于tor协议时序特性的隐藏服务追踪系统
技术领域
1.本发明涉及tor匿名网络中的追踪与溯源领域，尤其涉及一种基于tor协议时序特性的隐藏服务追踪系统。


背景技术：

2.随着互联网全面地深入到人们的生活之中，隐私与安全逐渐成为关注的焦点。传统密码学技术能够保证在网络上传输的用户数据完整性和机密性，但无法隐藏用户的身份信息。为了保护用户的隐私，匿名通信技术由此而生，它使用中继节点在用户与服务器之间转发数据来掩盖用户身份，达到匿名通信的效果。
3.tor(the onion router，洋葱路由)匿名网络是最流行的匿名通信技术之一，它提供了一种隐藏服务机制能使服务提供者在不暴露自身真实ip地址的情况下向外界提供服务。隐藏服务的本质是随机选择多个中继节点在tor客户端与tor服务端之间建立电路，tor客户端与tor服务端之间交互的数据均由这些中继节点转发。在此通信过程中，交互数据均被加密，电路上的各个中继节点并不知道传输内容，同时tor客户端与tor服务端相互不知道对方身份。隐藏服务拥有较好的匿名性，常被不法人员利用实施违法犯罪活动，这给网络执法部门带来了极大的阻碍。
4.对于隐藏服务追踪，学术界提出了多个追踪方法，这些方法的核心思想是建立一条通向tor服务端的电路，并在这条电路上发送特殊信号，提示电路上的中继节点它们的邻居节点可能运行了隐藏服务。如果受追踪者控制的中继节点恰巧被选为电路上的节点，并且与服务端直接相连，接收到信号的它就能够确认其邻居节点就是运行了隐藏服务的tor服务端，从而完成隐藏服务追踪任务。
5.已有的隐藏服务追踪方法存在一些缺陷，包括信号携带信息量较少、信号易受外界因素干扰、发送信号的方法过于复杂等。这使得追踪者误将节点识别为tor服务端的几率较高，且无法同时追踪多个tor服务端，最终导致追踪效率不高。现有方法中还没有一种准确率高、鲁棒性强以及能够同时追踪多个tor服务端的追踪方法。
6.因此，本领域的技术人员致力于开发一种基于tor协议时序特性的隐藏服务追踪系统，能够准确、稳定且高效地追踪多个隐藏服务。


技术实现要素：

7.有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是如何实现准确率高、稳定性强且支持多目标追踪的隐藏服务追踪系统。
8.为实现上述目的，本发明提供了一种基于tor协议时序特性的隐藏服务追踪系统，包括信号发送模块、信号检测模块、任务发布模块、记录接收模块、记录匹配模块；
9.所述信号发送模块，接收所述任务发布模块下达的信号发送任务，建立通向隐藏服务端的电路，在电路中发送一系列特殊数据包代表一个信号，上报信号发送记录至所述记录接收模块；
10.所述信号检测模块，提前部署至tor匿名网络的中继节点，在经过自身的电路中不断检测特殊信号，倘若电路中存在信号，则记录邻居节点相关信息，向所述记录接收模块上报信号检测记录；
11.所述任务发布模块，接收包含待追踪的隐藏服务列表，不断地向所述信号发送模块下达任务，要求所述信号发送模块循环地向待追踪隐藏服务发送特殊信号；
12.所述记录接收模块，持续地接受来自所述信号发送模块与所述信号检测模块上报的记录，并将两种记录保存至相应的数据库中；
13.所述记录匹配模块，从数据库中提取信号发送记录与信号检测记录，对两种记录中保存的信号进行匹配，将匹配成功的记录输出给用户。
14.进一步地，包括以下步骤：
15.步骤1、追踪者将包含了待追踪隐藏服务的列表输入至任务发布模块；
16.步骤2、任务发布模块为每个待追踪隐藏服务生成信号发送任务，并把任务下发给信号发送模块；
17.步骤3、对于每个信号发送任务，信号发送模块建立通向相应隐藏服务的电路，在电路上发送信号，将发送的信号以及对应的隐藏服务封装在信号发送记录中，上传信号发送记录至记录接收模块；
18.步骤4、记录接收模块收到信号发送记录，把记录保存至发送记录数据库之中；
19.步骤5、信号检测模块持续地检测电路中的信号，倘若电路中存在信号，则把信号以及电路中的邻居节点封装至信号检测记录之中，并将信号检测记录上报记录接收模块；
20.步骤6、记录接收模块收到信号检测记录，把记录保存至检测记录数据库之中；
21.步骤7、记录匹配模块依次处理检测记录数据库中的每个检测记录，对于检测记录，它从发送记录数据库中寻找拥有相同信号的发送记录，并将匹配的发送记录和检测记录呈现给用户，完成隐藏服务追踪任务。
22.进一步地，所述步骤3包括以下步骤：
23.步骤3.1、信号发送模块控制tor客户端建立通向运行了隐藏服务tor客户端的空闲电路；
24.步骤3.2、信号发送模块随机生成信号，信号拥有32个信号单元，包括信号单元0和信号单元1；
25.步骤3.3、信号发送模块依次发送信号中的每个信号单元，直至所有信号单元都发送完毕；为了发送信号单元0，它控制tor客户端发送一个relay_begin_noport数据包，并等待接收一个relay_end数据包；为了发送信号单元1，它控制tor客户端连续发送两个relay_begin_noport数据包，并等待接收两个relay_end数据包；
26.步骤3.4、信号发送模块将成功发送的信号以及对应的隐藏服务保存在信号发送记录中，并将信号发送记录上传至记录接收模块。
27.进一步地，所述任务发布模块要求信号发送模块循环地对追踪列表中的隐藏服务发送信号。
28.进一步地，所述任务发布模块为每个信号发送模块分配编号，信号的前8个信号单元与编号的二进制值一致，信号的后24个信号单元则是0与1的随机组合。
29.进一步地，所述信号发送模块信号发送完毕后，断开电路并生成信号发送记录。
30.进一步地，所述信号发送记录包括隐藏服务标识符、发送的信号、发送开始时间、发送结束时间。
31.进一步地，所述信号检测模块在启动之后先判断中继节点是否在运行，如果中继节点已退出，那么做清理工作并结束。
32.进一步地，所述中继节点每当接收到来自其他节点的数据包时，都会把数据包四元组发送给信号检测模块。
33.进一步地，所述数据包四元组包括数据包所属电路标识符、数据包类型、到达时间、传输方向。
34.在本发明的较佳实施方式中，本发明提供了一种基于tor协议时序特性的隐藏服务追踪系统，该系统能够准确、稳定且高效地追踪多个隐藏服务。
35.本发明提供了一种基于tor协议时序特征的隐藏服务追踪系统，包括：
36.信号发送模块，接收任务发布模块下达的信号发送任务，建立通向隐藏服务端的电路，在电路中发送一系列特殊数据包代表一个信号，上报信号发送记录至记录接收模块。
37.信号检测模块，提前部署至tor匿名网络的中继节点，在经过自身的电路中不断检测特殊信号，倘若电路中存在信号，则记录邻居节点相关信息，向记录接收模块上报信号检测记录。
38.任务发布模块，接收一个包含若干待追踪的隐藏服务列表，不断地向信号发送模块下达任务，要求信号发送模块循环地向待追踪隐藏服务发送特殊信号。
39.记录接收模块，持续地接受来自信号发送模块与信号检测模块上报的记录，并将两种记录保存至相应的数据库中。
40.记录匹配模块，从数据库中提取信号发送记录与信号检测记录，对两种记录中保存的信号进行匹配，将匹配成功的记录输出给用户。
41.在追踪系统中，本发明设计了一套信号发送、检测与匹配算法。该算法的实现过程包括如下步骤：
42.步骤101、追踪者将一个包含了若干待追踪隐藏服务的列表输入至任务发布模块；
43.步骤102、任务发布模块为每一个待追踪隐藏服务生成一个信号发送任务，并把任务下发给信号发送模块；
44.步骤103、对于每一个信号发送任务，信号发送模块建立一条通向相应隐藏服务的电路，在电路上发送一个信号，将发送的信号以及对应的隐藏服务封装在信号发送记录中，上传信号发送记录至记录接收模块；
45.步骤104、记录接收模块收到信号发送记录，把该记录保存至发送记录数据库之中；
46.步骤105、信号检测模块持续地检测电路中的信号，倘若电路中存在信号，则把信号以及电路中的邻居节点封装至信号检测记录之中，并将信号检测记录上报记录接收模块；
47.步骤106、记录接收模块收到信号检测记录，把该记录保存至检测记录数据库之中；
48.步骤107、记录匹配模块依次处理检测记录数据库中的每一个检测记录，对于一个检测记录，它从发送记录数据库中寻找拥有相同信号的发送记录，并将匹配的发送记录和
检测记录呈现给用户，完成隐藏服务追踪任务。
49.在上述步骤中，信号发送模块借助tor协议的时序特性实施了信号发送算法，这一算法的具体实施包括以下步骤：
50.步骤103-1、信号发送模块控制tor客户端建立一条通向运行了隐藏服务tor客户端的空闲电路；
51.步骤103-2、信号发送模块随机生成一个信号，该信号拥有32个信号单元，包括信号单元0和信号单元1；
52.步骤103-3、信号发送模块依次发送信号中的每一个信号单元，直至所有信号单元都发送完毕；为了发送信号单元0，它控制tor客户端发送一个relay_begin_noport数据包，并等待接收一个relay_end数据包；为了发送信号单元1，它控制tor客户端连续发送两个relay_begin_noport数据包，并等待接收两个relay_end数据包；
53.步骤103-4、信号发送模块将成功发送的信号以及对应的隐藏服务保存在信号发送记录中，并将信号发送记录上传至信号接收模块。
54.本发明与现有技术相比较，具有如下显而易见的实质性特点和显著优点：
55.1.本发明提供的基于tor协议时序特性的隐藏服务追踪系统，借助tor协议的时序特性在通向隐藏服务的电路中发送信号，该信号能够携带充足的信息，使得追踪者能够更加准确地追踪运行了隐藏服务的tor客户端。
56.2.本发明隐藏服务追踪系统鲁棒性强，能够有效抵抗网络传输延迟抖动以及网络拥塞带来的影响。
57.3.本发明隐藏服务追踪系统的结构划分明确，易于实现，能够快速部署至tor匿名网络中并产生效果；
58.4.本发明隐藏服务追踪系统支持同时对多个隐藏服务的追踪，不同的追踪任务之前不会相互干扰，同时追踪任务也不会受到其他tor用户的影响。
59.5.本发明提供的基于tor协议时序特性的隐藏服务追踪系统能够准确、稳定且高效地追踪多个隐藏服务。
60.以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明，以充分地了解本发明的目的、特征和效果。
附图说明
61.图1是本发明的一个较佳实施例的隐藏服务追踪系统总体结构示意图；
62.图2是本发明的一个较佳实施例的任务发布模块运行流程示意图；
63.图3是本发明的一个较佳实施例的信号发送模块运行流程示意图；
64.图4是本发明的一个较佳实施例的信号检测模块运行流程示意图；
65.图5是本发明的一个较佳实施例的记录接收模块运行流程示意图；
66.图6是本发明的一个较佳实施例的记录匹配模块运行流程示意图。
具体实施方式
67.以下参考说明书附图介绍本发明的多个优选实施例，使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现，本发明的保护范围并非仅限
于文中提到的实施例。
68.在附图中，结构相同的部件以相同数字标号表示，各处结构或功能相似的组件以相似数字标号表示。附图所示的每一组件的尺寸和厚度是任意示出的，本发明并没有限定每个组件的尺寸和厚度。为了使图示更清晰，附图中有些地方适当夸大了部件的厚度。
69.本发明提供了一种基于tor协议时序特性的隐藏服务追踪系统，它由任务发布模块、信号发送模块、信号检测模块、记录接收模块和记录匹配模块组成。其中，信号检测模块需要搭配中继节点运行，它与中继节点由追踪者提前部署至tor匿名网络中，以便它们能被运行隐藏服务的tor服务端选为电路上的节点，从而使信号检测模块可以检测到信号。
70.隐藏服务系统的总体结构如图1所示：
71.追踪者准备一个包含了若干待追踪隐藏服务的列表，并将追踪列表输入至任务发布模块。任务发布模块循环地处理追踪列表中的隐藏服务，它为每一个隐藏服务生成一个信号发送任务，随后把任务分配给一个可用的信号发送模块。
72.信号发送模块收到包含隐藏服务的任务后，建立一条通向该隐藏服务的电路，生成一个信号并通过之前建立的电路把信号发送给隐藏服务。信号发送完毕后，信号发送模块关闭电路，随后向记录接收模块报告发送的信号以及其他一些相关信息。
73.信号检测模块与中继节点绑定，由追踪者提前部署在tor匿名网络中，追踪者可以尽可能多的部署信号检测模块和中继节点，以便提升追踪成功概率。信号检测模块的主要任务是在经过自己的电路中检测信号，如果有信号被检测出来，它会把检测到的信号以及相关信息上报给记录接收模块。
74.最后，记录匹配模块根据信号发送模块和信号检测模块上报的数据进行信号匹配。如果它发现上报的发送信号和检测信号一致，那么就可能定位到暗网网站的真实ip地址，从而将追踪结果呈现给追踪者。
75.图2展示了任务发布模块的工作流程：在启动之后，任务发布模块进入一个循环，循环的首部会判断用户是否选择退出，如果是则结束模块，否则进入循环的主体。在循环主体中，任务发布模块从追踪者输入的隐藏服务追踪列表中取出一个隐藏服务(取出后列表指针自动指向下一个隐藏服务)，并寻找一个空闲可用的信号发送模块。接下来任务发布模块生成一个信号发送任务，要求信号发送模块向隐藏服务发送一个信号。任务发布完成后，任务发布模块判断是否已经到达了追踪列表的末尾，如果到达了末尾则转回列表首项，并转到循环的首部，继续发布下一轮的信号发送任务。在上述过程中，任务发布模块要求信号发送模块循环地对追踪列表中的隐藏服务发送信号。这是因为，单次向隐藏服务发送信号时，信号检测模块并不一定被tor服务端选为电路上的中继节点，因此信号无法检测出来。多次向隐藏服务发送信号，信号检测模块在某一次信号发送任务执行时可能被选为电路上的节点，从而可以检测出信号并定位到tor服务端，完成追踪任务。
76.信号发送模块的工作流程如图3所示：它在启动之后会等待接收指令，并根据接收到的退出指令和信号发送任务指令做出相应的动作。当信号发送模块收到信号发送任务指令时，它首先生成一个信号，其长度固定为32(亦可设置为其他值)，即一个信号由32个信号单元(信号单元0或信号单元1)组成。每一个信号发送模块均被任务发布模块分配一个唯一的编号，信号的前8个信号单元与编号的二进制值一致，信号的后24个信号单元则是0与1的随机组合。因此，不同的信号发送模块生成的信号不会发生冲突，并且同一个信号发送模块
多次生成的信号也会有所不同。
77.接下来，信号发送模块建立一条通向隐藏服务的电路，依次从生成的信号中取出一个信号单元，发送相应数量的relay_begin_noport数据包并等待接收同样数量的relay_end数据包，它重复上述操作直至所有信号单元被发送。其中，信号单元0对应1个relay_begin_noport数据包和1个relay_end数据包；信号单元1对应2个relay_begin_noport数据包和2个relay_end数据包。以relay_end数据包响应relay_begin_noport数据包是一种tor协议的时序特性。
78.信号发送完毕后，信号发送模块断开电路并生成一个信号发送记录：《隐藏服务标识符,发送的信号,发送开始时间,发送结束时间》，并将发送记录上传至记录接收模块。最后，信号发送模块进入接收指令状态，等待下一次的指令。
79.图4描绘了信号检测模块的运行流程：它在启动之后会先判断中继节点是否仍然在运行，如果中继节点已退出，那么它会做清理工作并结束；否则，它会等待接收中继节点发来的一个数据包。中继节点经过改造，每当它接收到来自其他节点的数据包时，都会把《数据包所属电路标识符,数据包类型,到达时间,传输方向》这四元组(代表了一个数据包)发送给信号检测模块。信号检测模块对每一个电路都维持了一个电路记录，其中包含了电路上所有传输数据包的四元组。在收到中继节点发来的数据包后，信号检测模块将其添加至对应的电路记录中。
80.接下来，信号检测模块循环处理各个电路记录，它通过电路记录中是否存在destroy数据包来判断电路是否处于关闭状态。如果电路已关闭，那么它尝试从电路中检测信号。一旦信号被检测出，信号检测模块向记录接收模块报告一个检测记录：《上一个节点ip地址,检测到的信号,信号开始时间,信号结束时间》并删除对应的电路记录。上一个节点指的是向中继节点发起电路建立请求的节点。信号检测模块处理完所有的电路记录之后，回到等待接收数据包状态，继续进行下一批次的处理。
81.记录接收模块的工作流程较为简单，如图5所示：它在收到来自信号发送模块上报的信号发送记录时，将记录存入发送记录数据库；在收到信号检测模块上报的信号检测记录时，将记录存入检测记录数据库。
82.图6展示了记录匹配模块的工作流程，它负责对发送记录与检测记录进行匹配。记录匹配模块拥有一个参数δ，代表了电路的一侧传输数据包至另一侧所花费的时间上限，该参数的值被设置为3秒。在启动之后，记录匹配模块进入循环，监控检测记录数据库中是否有新的记录出现。每当有新的检测记录到达，记录匹配模块提取信号开始时间为ts、信号结束时间为te、检测到的信号为sig。随后，它在发送记录数据库中搜索满足信号发送开始时间位于(t
s-δ,ts)、信号发送结束时间位于(t
e-δ,te)且发送的信号等于sig这三个条件的发送记录。如果存在满足上述条件的发送记录，且检测记录中保存的上一节点ip地址不属于任何已知的中继节点，那么就能确定发送记录中的隐藏服务的真实ip地址就是检测记录中的ip地址，记录匹配模块最后将结果输出给追踪者。
83.以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。