洋葱路由
洋葱路由 是什么?
洋葱路由一种匿名通信技术,将消息包裹在多层嵌套加密中,每个中继剥除一层,直到载荷到达目的地。
洋葱路由(Onion Routing)是 Tor 等混合网络背后的密码学设计。客户端选定一条由若干中继组成的路径,与每个中继分别协商对称密钥,然后由内向外对消息层层加密。数据包在电路上传输时,每个中继只解密对应自己的那一层,且只能看到上一跳和下一跳,无法同时知道两端。这样,网络层的观察者、ISP 或任意单一中继都无法把源与目的关联起来。洋葱路由同样支撑隐藏服务:客户端与服务器各自构建半路径,在网络内部某个 rendezvous point 汇合。常见局限包括流量分析攻击、对明文流量危险的恶意出口节点,以及额外的延迟;缓解措施有 guard 中继绑定、端到端 TLS 和恒速覆盖流量。
● 示例
- 01
Tor 由 guard、middle、exit 三跳构成的电路,每一跳剥除一层 AES 加密。
- 02
Onion 服务的 introduction point 与 rendezvous point 握手,隐藏客户端与服务器地址。
● 常见问题
洋葱路由 是什么?
一种匿名通信技术,将消息包裹在多层嵌套加密中,每个中继剥除一层,直到载荷到达目的地。 它属于网络安全的 攻击与威胁 分类。
洋葱路由 是什么意思?
一种匿名通信技术,将消息包裹在多层嵌套加密中,每个中继剥除一层,直到载荷到达目的地。
洋葱路由 是如何工作的?
洋葱路由(Onion Routing)是 Tor 等混合网络背后的密码学设计。客户端选定一条由若干中继组成的路径,与每个中继分别协商对称密钥,然后由内向外对消息层层加密。数据包在电路上传输时,每个中继只解密对应自己的那一层,且只能看到上一跳和下一跳,无法同时知道两端。这样,网络层的观察者、ISP 或任意单一中继都无法把源与目的关联起来。洋葱路由同样支撑隐藏服务:客户端与服务器各自构建半路径,在网络内部某个 rendezvous point 汇合。常见局限包括流量分析攻击、对明文流量危险的恶意出口节点,以及额外的延迟;缓解措施有 guard 中继绑定、端到端 TLS 和恒速覆盖流量。
如何防御 洋葱路由?
针对 洋葱路由 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
- attacks№ 1165
Tor / Tor 浏览器
基于 Firefox 的强化浏览器与匿名网络;通过三跳 onion 路由中继转发流量,以隐藏用户身份与访问目标。
- attacks№ 503
I2P
Invisible Internet Project,匿名 P2P 网络:所有节点都同时是路由节点,使用单向隧道和 garlic 路由。
- attacks№ 271
暗网
需要 Tor、I2P 等专用软件才能访问的互联网子集,设计上同时隐藏访客与服务器的身份。
- attacks№ 296
深网
所有未被公共搜索引擎索引的网络内容,例如私有数据库、内网与需登录的门户;与暗网不同。
- privacy№ 274
数据匿名化
对个人数据进行不可逆的处理,使其在与其他可用信息结合时也无法直接或间接识别到任何个人。
- network-security№ 1212
VPN(虚拟专用网络)
在公共网络之上建立加密且经过认证的隧道,使流量看起来像是通过专用网络传输的技术。