(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211037164.2 (22)申请日 2022.08.26 (71)申请人 东南大学 地址 210096 江苏省南京市玄武区四牌楼 2 号 (72)发明人 杨明　宋炳辰　顾晓丹　邢琳　 (74)专利代理 机构 南京众联专利代理有限公司 32206 专利代理师 许小莉 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于主动电路异常的隐藏服务Guard节点识 别方法 (57)摘要 本发明公开一种基于主动电路异常的隐藏 服务Guard节点识别方法， 该方法具体包括： (1) 构造特制的RPO包， 将隐藏服务与对应通信电路 关联起来， 避免了本地的大量存储开销， 并能够 规避隐藏服务可能进行的异常检测。 (2)在RPO 处 主动构造电路异常， 迫使隐藏服务不断建立新的 电路进行通信， 以提高特制的Middle节点被选中 的概率。 (3)通过节点日志信息的对比分析对隐 藏服务的Guard节点进行识别， 获取Guard节点具 体信息。 该方法能够实现对Tor暗网中部署 的隐 藏服务所使用的Guard节点的识别， 从而有利于 对隐藏服务进行进一 步的分析监管。 权利要求书1页 说明书4页 附图1页 CN 115412340 A 2022.11.29 CN 115412340 A 1.一种基于主动电路异常的隐藏服务Guard节点识别方法， 其特征在于， 该方法包括如 下步骤： (1)RPO数据包生成算法： 在客户端生成RP O数据包， 其 内容与隐藏服务域名具有对应关 系， 以保证在RPO处能够对应到相关的域名； (2)基于主动电路异常的Middle节点筛选： 通过对应RPO主动构建电路异常的方式， 迫 使HS不断重新选择电路， 并更 换电路中的Mid dle节点， 直至 选择到部署的Mid dle节点； (3)隐藏服务Guard节点识别： 通过在部署的Middle节点处对主动构造的电路异常进行 识别， 进而通过Middle节点日志和RPO节点日志对比分析， 从而确定隐藏服务对应的Guard 节点。 2.根据权利要求1所述的基于主动电路异常的隐藏服务Guard节点识别方法， ， 其特征 在于： 步骤(1)所述RPO数据包生成算法具体包括： (11)利用Rend ‑cookie与隐藏服务域名进行关联： 在RPO通信过程中， 其Rend ‑cookie始 终保持不变， 因此使用该变量存 储隐藏服务域名信息； (12)隐藏服务异常检测规避： 由于Rend ‑cookie的大小为20字节， 且其正常的生成通过 随机产生， 部分部署在Tor暗网上的隐藏服务会检测这些生成 的Rend‑cookie值， 并主动断 开可能主动构 造生成、 异常的RPO连接； 因此通过指定其中4个字节的取值， 其余 16字节仍随 机生成的方式。 3.根据权利要求1所述的基于主动电路异常的隐藏服务Guard节点识别方法， 其特征在 于： 步骤(2)所述基于主动电路异常的Mid dle节点筛 选， 具体包括： (21)部署多个节点， 等待被HS选择为Mid dle节点， 以暴露其Guard节点信息； (22)通过配置部署的节点的torrc文件、 及其带宽和运行状况， 提高其被选择为Middle 节点的概 率； (23)RPO节点解析所有 Rend‑cookie值， 如 果发现其为主动构造的Rend ‑cookie， 则记录 此时间戳和上一跳IP地址， 添加主动延迟并断开HS ‑RPO电路。 4.根据权利要求1所述的基于主动电路异常的隐藏服务Guard节点识别方法， 其特征在 于： 步骤(3)所述隐藏 服务Guard节点识别具体包括： (31)Middle节点监听并记录每一个电路异常情况， 记录存在特定顺序特征的命令包电 路， 并记录 接收到的每 个命令包的时间； (32)将Middle节点日志和RPO节点日志进行对比分析， 对构造 的主动电路异常进行识 别， 主动电路异常的特征包括： (1)Mi ddle节点的下一跳IP地址与RPO节点的上一跳IP地址 相同； (2)RPO接收数据包的时间戳、 Mid dle节点接收数据包的时间戳分布存在偏移； (33)基于对比分析的识别结果， 对发现的主动电路异常， 根据 其Rend‑cookie包含的隐 藏服务域名信息， 以及Mi ddle节点日志记录的上一跳Guard节点信息， 对隐藏服务的Guard 节点进行识别。权　利　要　求　书 1/1 页 2 CN 115412340 A 2基于主动电路异常的隐藏服务Gu ard节点识别方 法 技术领域 [0001]本发明属于匿名网络(Anonymity  Network)技术领域， 具体涉及一种基于主动电 路异常的隐藏 服务Guard节点识别方法。 背景技术 [0002]为了保护使用者的隐私， Tor匿名通信系统通过洋葱路由的方式保证了高匿名性。 因此， 急需对Tor隐藏服务进 行监管。 经研究发现， Guard节 点是与隐藏服务直接通信的中继 节点， 对隐藏服务去匿名化的效果有着直接的影响， 一旦知晓Guard节点的具体信息， 就会 使得对隐藏服务进 行去匿名化的流量分析等攻击变得更加容易。 此外， Guard节 点也会暴露 隐藏服务之间的关系， 例如， 当多个隐藏服务绑定同一个Tor进程时， 这些隐藏服务会选定 同一个Guard节点， 从而暴露了其从属关系。 Tor出于安全等角度的考虑， 隐藏服务的Guard 节点在较长的一段时间内不会发生变化， 因此， 对Guard节点进行识别具有较高的实际价 值。 发明内容 [0003]发明目的： Tor暗网中存在着大量的隐藏服务， 亟待加强监管。 本发明提出基于主 动电路异常的隐藏服务Guard节点识别方法， 该方法通过主动 构造节点可识别的异常， 不断 筛选 Middle节点， 进 而通过日志信息的对比分析对隐藏 服务的Guard节点进行识别。 [0004]技术方案： 本 发明提出基于主动电路异常的隐藏服务Guard节点识别方法。 解决方 案分为三个部分， 分别是特制RPO生成、 基于主动电路异常的Middle节点筛选、 隐藏服务 Guard 节点识别， 具体如下： [0005](1)RPO数据 包生成算法： 在客户端生成RPO数据包， 其内容与隐藏服务域名具有对 应关系， 以保证在RPO处能够对应到相关的域名； [0006](2)基于主动电路异常的Middle节点筛选： 通过对应RPO主动构建电路异常的方 式， 迫使HS不断重新选择电路， 并更换电路中的Middle节点， 直至选择到部署的Middle节 点； [0007](3)隐藏服务Guard节点识别： 通过在 部署的Middle节点处对主动构造的电路异常 进行识别， 进而通过Middle节点日志和RPO节点日志对比分析， 从而确定 隐藏服务对应的 Guard 节点。 [0008]进一步地， 步骤(1)所述RPO数据包生成算法具体包括： [0009](11)利用Rend ‑cookie与隐藏服务域名进行关联： 在RPO通信过程中， 其Rend ‑ cookie 始终保持不变， 因此使用该变量存 储隐藏服务域名信息； [0010](12)隐藏服务异常检测规避： 由于Rend ‑cookie的大小为20字节， 且其正常的生成 通过随机产生， 部分部署在Tor暗网上的隐藏服务会检测这些生成的Rend ‑cookie值， 并主 动断开可能主动 构造生成、 异常的RPO连接； 因此通过指 定其中4个字节的取值， 其余 16字节 仍随机生 成的方式， 确保了Rend ‑cookie的随机性， 规避了隐藏服务的异常检测， 同时， 确保  说　明　书 1/4 页 3 CN 115412340 A 3