本發明屬于信息技術、互聯網技術領域，公開了一種隱私保護下的數據包過濾方法，包括：在數據包加密之前，提出數據包包頭數據，獲取關鍵數據的二進制碼；IP地址則根據協議約定的前綴長度，獲取二進制碼的前綴表達式成員；采用提出的加密函數使用密鑰t對上一步產生的前綴成員以及端口號、協議號進行按位加密，并將密文數據以及密鑰傳輸給中間件；中間件按照前綴長度約定、以及加密函數處理規則數據，并且此處理在不替換規則、不替換約定長度的前提下，只需處理一次；匹配數據端發送的數據以及中間件處理后的數據。本發明采用可授權偽隨機函數對數據包包頭，以及過濾規則進行加密，并采用布魯姆過濾器提高數據包過濾速度。

技術領域

本發明屬于信息技術、互聯網技術領域，尤其涉及一種隱私保護下的數據包過濾方法。

背景技術

計算機網絡技術在日益飛速發展，伴隨著網絡技術的發展，各類新型的網絡攻擊，以及網絡危害層出不窮。為了滿足對日益復雜的網絡變化進行檢測，數據包過濾器成為研究的熱點，數據包過濾器對所有通過它進出的數據包進行檢查，并阻止那些不符合既定規則數據包的傳輸，最常見的數據包過濾方法是基于規則的，這種方法通常通過檢測數據包的IP地址根據事先準備好的規則集作為過濾依據，來實現對網上傳輸的信息流進行過濾。然而，當在密文環境中(如 HTTPS和VPN)傳輸數據時，數據包使用加密技術(SSL、IPsec)進行加密，該類數據包具有隱私或者安全屬性，這時需要將數據包進行解密，才能進行過濾工作，又由于原加密數據包具有安全或隱私屬性，如果為了進行過濾工作而進行數據包解密工作的話，會導致隱私泄露等風險。因此本發明面臨一個兩難的選擇題，即保護隱私或解密數據包進行數據匹配。

現有解決此類問題的技術，經過我們的調研有BlindBox[文獻1]，此方法是進行的深度數據包過濾，即根據將整個數據包所有的內容進行加密，然后通過關鍵字(keyword)匹配過濾規則。但是此種方法僅僅只能進行關鍵字的過濾。并且在建立連接階段消耗的時長比較多。DPF-ET[文獻2]在SDNs(Software-Defiend Networks)中提出了一種低成本的基于隱私保護的深度數據包過濾協議 (privacy-preserving DPF protocol)，該協議使用一種茫然傳輸加密協議(Oblivious transfer protocol)來保護了數據隱私，使用該文獻中的方法，也可以保證隱私保護下的數據包過濾，但是該種方法是基于軟件定義網路(SDN)，并沒有在非 SDN網絡架構中使用。

綜上所述，現有技術存在的問題是：沒有一種針對傳統網絡架構中，對加密數據包有效過濾的方法。由于原加密數據包具有一定的隱私屬性，如果為了進行過濾工作而進行數據包解密工作的話，會導致隱私泄露等風險。

為了有效的解決上述問題，本發明提出一種針對加密數據流進行數據包檢測的方法，能在不解密數據包的前提下，執行數據包檢測過濾。

參考文獻

[1]Sherry J,Lan C,Popa R A,et al.BlindBox:Deep Packet Inspection overEncrypted Traffic[J].Acm Sigcomm Computer Communication Review,2015, 45(4):213-226.

[2]Lin Y H,Shen S H,Yang M H,et al.Privacy-preserving deep packetfiltering over encrypted traffic in software-defined networks[C]//ICC 2016-2016IEEE International Conference on Communications.IEEE,2016:1-7.

發明內容

針對現有技術存在的問題，本發明提供了一種隱私保護下的數據包過濾方法。