The invention belongs to the field of information technology, Internet technology, and discloses a packet filtering method, privacy protection data includes: before the data packet encryption, the data packet header data, obtaining key data in binary code; IP address prefix length according to the agreement, to obtain binary code prefix expression by members; the encryption function is proposed by using t to generate a key step of the prefix members and port number, protocol number by bit encryption and encrypted data transmission and the key to the middleware middleware; in accordance with the agreement, and the prefix length of the encryption function and data processing rules, this processing without replacing the premise without replacement rule length agreed and only once; matching data sends data and processed data middleware. The invention uses an authorized pseudo-random function to encrypt the data packet header and the filter rule, and uses the Bloom filter to improve the data packet filtering speed.
【技术实现步骤摘要】
一种隐私保护下的数据包过滤方法
本专利技术属于信息技术、互联网
,尤其涉及一种隐私保护下的数据包过滤方法。
技术介绍
计算机网络技术在日益飞速发展,伴随着网络技术的发展,各类新型的网络攻击,以及网络危害层出不穷。为了满足对日益复杂的网络变化进行检测,数据包过滤器成为研究的热点,数据包过滤器对所有通过它进出的数据包进行检查,并阻止那些不符合既定规则数据包的传输,最常见的数据包过滤方法是基于规则的,这种方法通常通过检测数据包的IP地址根据事先准备好的规则集作为过滤依据,来实现对网上传输的信息流进行过滤。然而,当在密文环境中(如HTTPS和VPN)传输数据时,数据包使用加密技术(SSL、IPsec)进行加密,该类数据包具有隐私或者安全属性,这时需要将数据包进行解密,才能进行过滤工作,又由于原加密数据包具有安全或隐私属性,如果为了进行过滤工作而进行数据包解密工作的话,会导致隐私泄露等风险。因此本专利技术面临一个两难的选择题,即保护隐私或解密数据包进行数据匹配。现有解决此类问题的技术,经过我们的调研有BlindBox[文献1],此方法是进行的深度数据包过滤,即根据将整个数据包所有的内容进行加密,然后通过关键字(keyword)匹配过滤规则。但是此种方法仅仅只能进行关键字的过滤。并且在建立连接阶段消耗的时长比较多。DPF-ET[文献2]在SDNs(Software-DefiendNetworks)中提出了一种低成本的基于隐私保护的深度数据包过滤协议(privacy-preservingDPFprotocol),该协议使用一种茫然传输加密协议(Oblivioust ...
【技术保护点】
一种隐私保护下的数据包过滤方法,其特征在于,所述隐私保护下的数据包过滤方法包括以下步骤:步骤一,在数据包加密之前,提出数据包包头数据,获取关键数据的二进制码;步骤二,IP地址则根据协议约定的前缀长度,获取二进制码的前缀表达式成员;步骤三,采用提出的加密函数使用密钥t对上一步产生的前缀成员以及端口号、协议号进行按位加密,并将密文数据以及密钥传输给中间件;步骤四,中间件按照前缀长度约定、以及加密函数处理规则数据,并且此处理在不替换规则、不替换约定长度的前提下,只需处理一次;步骤五,匹配数据端发送的数据以及中间件处理后的数据,如果匹配成功则拦截数据包,如果不成功,则中间件对数据包不做任何处理。
【技术特征摘要】
1.一种隐私保护下的数据包过滤方法,其特征在于,所述隐私保护下的数据包过滤方法包括以下步骤:步骤一,在数据包加密之前,提出数据包包头数据,获取关键数据的二进制码;步骤二,IP地址则根据协议约定的前缀长度,获取二进制码的前缀表达式成员;步骤三,采用提出的加密函数使用密钥t对上一步产生的前缀成员以及端口号、协议号进行按位加密,并将密文数据以及密钥传输给中间件;步骤四,中间件按照前缀长度约定、以及加密函数处理规则数据,并且此处理在不替换规则、不替换约定长度的前提下,只需处理一次;步骤五,匹配数据端发送的数据以及中间件处理后的数据,如果匹配成功则拦截数据包,如果不成功,则中间件对数据包不做任何处理。2.如权利要求1所述的隐私保护下的数据包过滤方法,其特征在于,数据包加密采用可授权伪随机函数对数据包包头的各个域进行加密,过滤规则也采用可授权伪随机函数进行加密;在可授权伪随机函数中有两个单向哈喜函数:G0和G1,且这两个单向函数G0和G1是公开的,加密方法是用数据对加密的密钥进行加密。3.如权利要求1所述的隐私保护下的数据包过滤方法,其特征在于,IP地址前缀长度约定将IP地址前缀成员函数计算出来,根据约定,前缀成员函数记为:F(x)={b1b2b3b4b5,b1b2b3**,b1b2***},然后使用可授权伪随机函数进行加密可得到:4.如权利要求1所述的隐私保护下的数据包过滤方法,其特征在于,在中间件中,首先需要进行过滤规则的预处理,每...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。