一種包混淆方法包括：接收數據包，該數據包具有路由頭部部分和有效載荷部分；對路由頭部部分執行第一混淆以生成混淆的路由頭部部分；對至少有效載荷部分執行第二混淆以生成混淆的有效載荷部分；以及將混淆的路由頭部部分與混淆的有效載荷部分進行組合以形成混淆的包。一種包轉發方法包括：使用包混淆函數來混淆路由信息；根據所混淆的路由信息來生成多個轉發規則條目；將多個轉發規則條目發送給網絡中的至少一個網絡節點；將包混淆函數發送給網絡中的至少一個網絡節點；以及將去混淆函數發送給網絡中的至少一個網絡節點。

交叉引用

本申請要求于2015年2月27日提交的題為“Packet Obfuscation and PacketForwarding(包混淆和包轉發)”的美國專利申請序列號14/633,299的優先權，該申請的全部內容通過引用并入本文中。

背景技術

在網絡中，網絡節點容易受到攻擊和/或后門(backdoor)，這使攻擊者能夠遠程控制網絡節點和/或從網絡節點竊取數據業務，從而導致數據和隱私丟失。例如，攻擊者可能使用轉發網絡節點以利用通過網絡發送的轉接業務。轉接業務是指通過轉發網絡節點傳遞而不在轉發網絡節點終止的數據業務。非轉接業務是指在轉發網絡節點終止的數據業務。可以從轉發網絡節點獲取數據包，并且將其拷貝或發送至另一目的地。例如，攻擊者可能會篡改現有包頭部(例如，修改網際協議(Internet Protocol，IP)地址)，或者使用新的包頭部(例如，使用IP尋址時的IP)對數據包進行封裝。

為了增加安全性，網絡運營商可以使用逐跳加密，逐跳加密提供在網絡鏈路上的包保密性，但不提供在網絡節點內的包保密性。替選地，網絡運營商可以使用站對站加密，站對站加密提供在網絡鏈路上和轉接路由器內的保密性。然而，站對站加密不對包頭部信息進行加密，從而不防止受保護的業務被竊取以作進一步的分析，例如離線解密。業務所有者可以使用端對端加密以提供有效載荷的保密性。然而，端對端加密不對包頭部或業務元數據提供保密性，從而不防止加密業務被竊取以作進一步分析。

發明內容

在一種實施方式中，本公開內容包括一種包混淆方法，該包混淆方法包括：接收數據包，該數據包具有路由頭部部分和有效載荷部分；對路由頭部部分執行第一混淆以生成混淆的路由頭部部分；對至少有效載荷部分執行第二混淆以生成混淆的有效載荷部分；以及將混淆的路由頭部部分與混淆的有效載荷部分進行組合以形成混淆的包。

在另一實施方式中，本公開內容包括一種包轉發方法，該包轉發方法包括：接收混淆的數據包，該混淆的數據包包括混淆的路由信息；從多個轉發規則條目中識別與混淆的路由信息對應的轉發規則條目；以及根據該轉發規則條目來發送混淆的數據包。

在又一實施方式中，本公開內容包括一種設備，該設備包括：發送器；處理器，該處理器耦接至存儲器和發送器，其中，存儲器包括計算機可執行指令，所述計算機可執行指令存儲在非暫態計算機可讀介質中使得計算機可執行指令當由處理器執行時使處理器：使用包混淆函數來混淆路由信息；根據所混淆的路由信息來生成多個轉發規則條目；將多個轉發規則條目發送給網絡中的至少一個網絡節點；將包混淆函數發送給網絡中的至少一個網絡節點；以及將去混淆函數發送給網絡中的至少一個網絡節點。

在再一實施方式中，本公開內容包括一種包轉發方法，該包轉發方法包括：使用包混淆函數來混淆路由信息；根據所混淆的路由信息來生成多個轉發規則條目；將多個轉發規則條目發送給網絡中的至少一個網絡節點；將包混淆函數發送給網絡中的至少一個網絡節點；以及將去混淆函數發送給網絡中的至少一個網絡節點。

根據以下結合附圖和權利要求書作出的詳細描述將更清楚地理解這些特征和其他特征。

附圖說明

為了更完整地理解本公開內容，現在參考以下結合附圖和詳細描述而作出的簡要描述，其中相同的附圖標記表示相同的部件。

圖1是一種實施方式的用于實現包混淆的系統的示意圖。