APP下载

浅析洋葱加密技术

2016-03-13

网络安全和信息化 2016年11期
关键词:加密技术洋葱路由器

引言:网络洋葱加密技术是一种新型的加密技术,“洋葱”这个名字指的是洋葱路由器,利用Tor匿名技术实现。通过Tor网络执行指定匿名的隐藏服务,最后可达到数据传输的目的地。使用这样一个系统的目的是使信息提供者和访问信息的人更难以跟踪,无论是通过一个中间的网络主机,或由一个局外人来做。

洋葱加密技术是一种新型的加密技术,“洋葱”指的是洋葱路由器,利用Tor匿名技术实现。通过Tor网络执行指定匿名的隐藏服务,最后可达到数据传输的目的地。洋葱加密的地址并非实际的域名服务器名称,洋葱TLD也不是互联网的根域名,但通过适当地安装代理软件,通过Tor网络服务器发送请求,网络程序如Web浏览器可以访问网站。使用这样一个系统的目的是使信息提供者和访问信息的人更难以跟踪。

密码格式

在洋葱TLD中的地址通常是不透明且不易记忆的,它把由16个字符组成的字母和6个十进制数字通过哈希算法,利用公共密钥的生成方法自动生成,从而配置隐藏服务。其哈希值可由任何字母、从2到7的十进制的数字构成,表示一个80比特的值。利用洋葱加密技术来生成大量的密钥对,通过计算找到理想的URL。

洋葱网关

洋葱路由器进入像“tor2web”的Tor网络后,允许从非Tor浏览器和使用Tor网络未知的搜索引擎访问隐藏的服务。通过使用一个网关,用户放弃自己的匿名性且信任网关提供正确的内容。网关和隐藏服务都可以对浏览器进行指纹识别并访问用户的IP地址数据。一些使用洋葱路由器的服务器,其缓存技术可提供比官方版的Tor浏览器更好的页面加载。

创建和发送方法

为创建一个洋葱路由器并使其发送信息,发送人从一个“目录节点”提供的列表中选择一组节点。所选择的节点被联成一条路径,称为“链”或“电路”,通过它发送消息。为保持发送者的匿名性,“链”中无法判断节点是否是最早的发送消息的人,或中间节点本身。同样,在“链”中没有节点能够识别在“链”中还有多少其他节点,只有最后的节点在退出节点时能够确定自己在链中的位置。发送人利用非对称密钥加密,从目录节点获得一个公共密钥,然后发送一个加密的消息到第一个(“入口”)节点,建立一个连接和一个共享的密钥(“会话密钥”)。利用已建立的加密链接到入口节点,发送人可以利用加密通过第一个节点传递一个消息到链中的第二个节点,只有第二个节点可以解密。当第二个节点接收到消息时就与第一个节点建立了一个连接。虽然发送人从这扩展了加密的链接,但第二个节点不能确定第一个节点是否是发送人,或只是在链中的另一个节点。发起人可以通过第一节点到第二节点,然后发送一个消息到第三个节点,只有第三个节点能够解密它。第三个节点与第二个节点建立连接,只有通过第二个节点,发送人与第三个节点建立链接。这个过程可以重复建立更长的链,但通常是有限的,以保持性能。当所有的链接建立完成,发送人可以在互联网上匿名发送数据。

弊端

典型的互联网连接不是匿名的原因之一是互联网服务提供商提供跟踪和记录计算机之间的连接的功能。例如,当一个人访问一个特定的网站,数据本身可能是通过密码,电子邮件等连接如HTTPS之类,同时有一个连接记录。洋葱路由的创建掩盖了两台电脑的明显的直接连接,从而无法看到一个连接路径,但仍然存在电脑之间连接的记录。流量分析者搜索发送人的连接的记录,并通过试图匹配时间和数据传输来判断一个潜在的发送者和接收者。例如,一个分析者可能会看到花了三秒的时间,有51字节的数据传送到一个未知的计算机,之前已有不同的未知计算机传送转移51字节的数据到一个特定的网站。当发生链周期性重建时,通过分析包括节点失效或离开网络的时间和妥协节点即可跟踪会话。

一个经洋葱加密技术处理过的服务器对被动攻击是有效的,它只能观察网络流量。但它对付主动攻击将会遇到困难,因为它们可以利用自己的代码进入到它们想要进入的服务器。这对匿名网络来说并非不可能。例如,一个黑客已经利用主动攻击得到的路由器的最终目的地的一个特定的消息,它完全可以去掉其他接收的信息直接到达目的地,且不按照原来洋葱加密设定的路线。

对洋葱加密技术的改进

今年七月,研究人员提出一个新的匿名网络机制,提供强大的安全保障且比以前的匿名网络的带宽使用更有效。像许多其他匿名系统,该系统也采用一种称为洋葱加密的技术。该系统的核心是一个系列的称为Mixnet的服务器。每个服务器收到信息后会对按时间顺序进入该服务器信息的顺序进行修改,然后,再把它们传递到下一个。例如,按时间顺序进入第一个服务器信息的顺序是A、B、C,服务器将给它们的顺序改变,例如改成C、B、A的顺序,然后再把它们发送给第二服务器,如法炮制,第二个服务器会这样将它们发送到第三个服务器,以此类推。这样,直到黑客跟踪到最后一个服务器,黑客都不知道跟踪的消息是哪一个。为了阻止消息被篡改,该系统使用的技术称为可验证的改变顺序。在利用洋葱加密技术的同时,它采用认证加密的方式以保证发送方和接收方是正确的,但它要求发送者和接收者共享一个私有密钥。因此可验证的改变顺序会建立安全连接,让每个用户和每个Mixnet服务器使用同一个密钥,然后对使用通信会话的其余部分的进行身份认证加密。而且这种系统的速度快。在实验中,研究人员设计的系统只需要十分之一的时间即能完成现有系统来传输匿名用户所需的一个大文件。

猜你喜欢

加密技术洋葱路由器
买千兆路由器看接口参数
海洋水文信息加密技术方案设计与测试
运用数据加密技术维护网络安全的可靠性研究
维持生命
路由器每天都要关
路由器每天都要关
数据加密技术在计算机网络通信安全中的应用
切洋葱
在计算机网络安全中数据加密技术的应用
剥开心的洋葱