一种隐私保护下的数据包过滤方法技术

本发明专利技术属于信息技术、互联网技术领域，公开了一种隐私保护下的数据包过滤方法，包括：在数据包加密之前，提出数据包包头数据，获取关键数据的二进制码；IP地址则根据协议约定的前缀长度，获取二进制码的前缀表达式成员；采用提出的加密函数使用密钥t对上一步产生的前缀成员以及端口号、协议号进行按位加密，并将密文数据以及密钥传输给中间件；中间件按照前缀长度约定、以及加密函数处理规则数据，并且此处理在不替换规则、不替换约定长度的前提下，只需处理一次；匹配数据端发送的数据以及中间件处理后的数据。本发明专利技术采用可授权伪随机函数对数据包包头，以及过滤规则进行加密，并采用布鲁姆过滤器提高数据包过滤速度。

Data packet filtering method under privacy protection

The invention belongs to the field of information technology, Internet technology, and discloses a packet filtering method, privacy protection data includes: before the data packet encryption, the data packet header data, obtaining key data in binary code; IP address prefix length according to the agreement, to obtain binary code prefix expression by members; the encryption function is proposed by using t to generate a key step of the prefix members and port number, protocol number by bit encryption and encrypted data transmission and the key to the middleware middleware; in accordance with the agreement, and the prefix length of the encryption function and data processing rules, this processing without replacing the premise without replacement rule length agreed and only once; matching data sends data and processed data middleware. The invention uses an authorized pseudo-random function to encrypt the data packet header and the filter rule, and uses the Bloom filter to improve the data packet filtering speed.

【技术实现步骤摘要】
一种隐私保护下的数据包过滤方法
本专利技术属于信息技术、互联网
，尤其涉及一种隐私保护下的数据包过滤方法。
技术介绍
计算机网络技术在日益飞速发展，伴随着网络技术的发展，各类新型的网络攻击，以及网络危害层出不穷。为了满足对日益复杂的网络变化进行检测，数据包过滤器成为研究的热点，数据包过滤器对所有通过它进出的数据包进行检查，并阻止那些不符合既定规则数据包的传输，最常见的数据包过滤方法是基于规则的，这种方法通常通过检测数据包的IP地址根据事先准备好的规则集作为过滤依据，来实现对网上传输的信息流进行过滤。然而，当在密文环境中(如HTTPS和VPN)传输数据时，数据包使用加密技术(SSL、IPsec)进行加密，该类数据包具有隐私或者安全属性，这时需要将数据包进行解密，才能进行过滤工作，又由于原加密数据包具有安全或隐私属性，如果为了进行过滤工作而进行数据包解密工作的话，会导致隐私泄露等风险。因此本专利技术面临一个两难的选择题，即保护隐私或解密数据包进行数据匹配。现有解决此类问题的技术，经过我们的调研有BlindBox[文献1]，此方法是进行的深度数据包过滤，即根据将整个数据包所有的内容进行加密，然后通过关键字(keyword)匹配过滤规则。但是此种方法仅仅只能进行关键字的过滤。并且在建立连接阶段消耗的时长比较多。DPF-ET[文献2]在SDNs(Software-DefiendNetworks)中提出了一种低成本的基于隐私保护的深度数据包过滤协议(privacy-preservingDPFprotocol)，该协议使用一种茫然传输加密协议(Oblivioustransferprotocol)来保护了数据隐私，使用该文献中的方法，也可以保证隐私保护下的数据包过滤，但是该种方法是基于软件定义网路(SDN)，并没有在非SDN网络架构中使用。综上所述，现有技术存在的问题是：没有一种针对传统网络架构中，对加密数据包有效过滤的方法。由于原加密数据包具有一定的隐私属性，如果为了进行过滤工作而进行数据包解密工作的话，会导致隐私泄露等风险。为了有效的解决上述问题，本专利技术提出一种针对加密数据流进行数据包检测的方法，能在不解密数据包的前提下，执行数据包检测过滤。参考文献[1]SherryJ,LanC,PopaRA,etal.BlindBox:DeepPacketInspectionoverEncryptedTraffic[J].AcmSigcommComputerCommunicationReview,2015,45(4):213-226.[2]LinYH,ShenSH,YangMH,etal.Privacy-preservingdeeppacketfilteringoverencryptedtrafficinsoftware-definednetworks[C]//ICC2016-2016IEEEInternationalConferenceonCommunications.IEEE,2016:1-7.
技术实现思路
针对现有技术存在的问题，本专利技术提供了一种隐私保护下的数据包过滤方法。本专利技术是这样实现的，一种隐私保护下的数据包过滤方法，所述隐私保护下的数据包过滤方法包括以下步骤：步骤一，在数据包加密之前，提出数据包包头数据，获取关键数据的二进制码；步骤二，IP地址则根据协议约定的前缀长度，获取二进制码的前缀表达式成员；步骤三，采用提出的加密函数使用密钥t对上一步产生的前缀成员以及端口号、协议号进行按位加密，并将密文数据以及密钥传输给中间件；步骤四，中间件按照前缀长度约定、以及加密函数处理规则数据，并且此处理在不替换规则、不替换约定长度的前提下，只需处理一次；步骤五，匹配数据端发送的数据以及中间件处理后的数据，如果匹配成功则拦截数据包，如果不成功，则中间件对数据包不做任何处理。进一步，数据包加密采用可授权伪随机函数对数据包包头的各个域进行加密，过滤规则也采用可授权伪随机函数进行加密；在可授权伪随机函数中有两个单向哈喜函数：G0和G1，且这两个单向函数G0和G1是公开的，加密方法是用数据对加密的密钥进行加密。3、如权利要求1所述的隐私保护下的数据包过滤方法，其特征在于，IP地址前缀长度约定将IP地址前缀成员函数计算出来，根据约定，前缀成员函数记为：F(x)＝{b1b2b3b4b5,b1b2b3**,b1b2***}，然后使用可授权伪随机函数进行加密可得到：进一步，在中间件中，首先需要进行过滤规则的预处理，每一条规则，进行如下处理：步骤一，与数据发送端处理数据规则类似，将IP、端口号、协议三种数据做不同的处理；其中端口和协议，直接按照加密方式即可授权伪随机函数进行加密；得到该条规则对应的端口号以及协议的密文数据EncK(sourceport)、Enck(destport)、Enck(protocol)；步骤二，将IP地址根据协议约定的长度进行加密。步骤三，生成该条过滤规则的EncK(F(sourceIP))、EncK(F(destIP))密文IP字段集合。进一步，数据包采用双层布鲁姆过滤器；所述布鲁姆过滤器采用长度为m的比特数组V以及k个相互独立的哈喜函数h1、h2、…、hk；当需要将元素s存储到布鲁姆过滤器时，分别计算设置h1(s)、h2(s)、…、hk(s)的值，并将V中对应位置的比特值置为‘1’；当需要判断元素u是否在布鲁姆过滤器中时，检查V中第h1(u)、h2(u)、…、hk(u)位置的比特值是否全为1，如果全为1，则元素u以较大概率在S中，如果不全为1，则u一定不在布鲁姆过滤器中。本专利技术的另一目的在于提供一种所述隐私保护下的数据包过滤方法的隐私保护下的数据包过滤系统，所述隐私保护下的数据包过滤系统包括：数据发送端、中间件、数据接收端；在数据发送端，需要根据约定的协议，将数据包头进行加密，并且将数据传输给中间件；中间件，需要根据约定的协议加密第三方输入的过滤规则，然后处理后的结果保存到布鲁姆过滤器中，最后判断发送端发送过来的密文数据是否匹配处理后的过滤规则，如匹配，则拦截该数据包，反之，则将数据包发送至数据接收端。本专利技术的另一目的在于提供一种应用所述隐私保护下的数据包过滤方法的数据包过滤器。本专利技术的优点及积极效果为：在不解密数据包内容的前提下，实现判断数据包是否应该被过滤的方法；为了达到这个目的本专利技术采用可授权伪随机函数对数据包包头，以及过滤规则进行加密，并采用布鲁姆过滤器提高数据包过滤速度。附图说明图1是本专利技术实施例提供的隐私保护下的数据包过滤方法流程图。图2是本专利技术实施例提供的系统架构示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。下面结合附图对本专利技术的应用原理作详细的描述。如图1所示，本专利技术实施例提供的隐私保护下的数据包过滤方法包括以下步骤：S101：在数据包加密之前，提出数据包包头数据，获取关键数据的二进制码；S102：IP地址则根据协议约定的前缀长度，获取二进制码的前缀表达式成员；S103：采用本专利技术提出的加密函数使用密钥t对上一步产生的前缀成员以及端口号、协议号进行按位加密，本文档来自技高网...

【技术保护点】
一种隐私保护下的数据包过滤方法，其特征在于，所述隐私保护下的数据包过滤方法包括以下步骤：步骤一，在数据包加密之前，提出数据包包头数据，获取关键数据的二进制码；步骤二，IP地址则根据协议约定的前缀长度，获取二进制码的前缀表达式成员；步骤三，采用提出的加密函数使用密钥t对上一步产生的前缀成员以及端口号、协议号进行按位加密，并将密文数据以及密钥传输给中间件；步骤四，中间件按照前缀长度约定、以及加密函数处理规则数据，并且此处理在不替换规则、不替换约定长度的前提下，只需处理一次；步骤五，匹配数据端发送的数据以及中间件处理后的数据，如果匹配成功则拦截数据包，如果不成功，则中间件对数据包不做任何处理。

【技术特征摘要】
1.一种隐私保护下的数据包过滤方法，其特征在于，所述隐私保护下的数据包过滤方法包括以下步骤：步骤一，在数据包加密之前，提出数据包包头数据，获取关键数据的二进制码；步骤二，IP地址则根据协议约定的前缀长度，获取二进制码的前缀表达式成员；步骤三，采用提出的加密函数使用密钥t对上一步产生的前缀成员以及端口号、协议号进行按位加密，并将密文数据以及密钥传输给中间件；步骤四，中间件按照前缀长度约定、以及加密函数处理规则数据，并且此处理在不替换规则、不替换约定长度的前提下，只需处理一次；步骤五，匹配数据端发送的数据以及中间件处理后的数据，如果匹配成功则拦截数据包，如果不成功，则中间件对数据包不做任何处理。2.如权利要求1所述的隐私保护下的数据包过滤方法，其特征在于，数据包加密采用可授权伪随机函数对数据包包头的各个域进行加密，过滤规则也采用可授权伪随机函数进行加密；在可授权伪随机函数中有两个单向哈喜函数：G0和G1，且这两个单向函数G0和G1是公开的，加密方法是用数据对加密的密钥进行加密。3.如权利要求1所述的隐私保护下的数据包过滤方法，其特征在于，IP地址前缀长度约定将IP地址前缀成员函数计算出来，根据约定，前缀成员函数记为：F(x)＝{b1b2b3b4b5,b1b2b3**,b1b2***}，然后使用可授权伪随机函数进行加密可得到：4.如权利要求1所述的隐私保护下的数据包过滤方法，其特征在于，在中间件中，首先需要进行过滤规则的预处理，每...

【专利技术属性】
技术研发人员：李睿，
申请(专利权)人：东莞理工学院，
类型：发明
国别省市：广东,44