【技術(shù)實現(xiàn)步驟摘要】
本專利技術(shù)涉及軟件工程,具體涉及一種網(wǎng)絡(luò)傳輸?shù)碾[私保護方法及系統(tǒng)。
技術(shù)介紹
1、申請?zhí)?02311241074?.x《一種數(shù)據(jù)可控使用方法》提供了一種隱私計算的新范式,?即數(shù)據(jù)使用方的存儲/計算節(jié)點中的存儲邏輯分區(qū)被劃分成數(shù)據(jù)提供方控制的安全域,保證隱私數(shù)據(jù)只能在安全域中進行處理,不能流出安全域。這保證了數(shù)據(jù)提供方的隱私數(shù)據(jù)雖然對數(shù)據(jù)使用方可見,但防止了數(shù)據(jù)使用方以各種方式將隱私數(shù)據(jù)拷貝出安全域從而進行二次販賣。該方案能夠在單機情況下妥善運行,保證任何進程不能違反限制非法拷貝數(shù)據(jù),但是不能適用于聯(lián)邦學(xué)習(xí)等分布式集群中。因此為了滿足此類需求需要將上述文件限制拓展至分布式系統(tǒng)中。在一些情況下,一個集群中只會存在一個安全域,這是因為對于一個數(shù)據(jù)提供方會分配一個獨立的集群。因此在這種情況下不存在多個安全域之間的數(shù)據(jù)交換的情況,如何實現(xiàn)不同主機間通過socket通信后不泄露安全域內(nèi)的信息是需要解決的問題。
技術(shù)實現(xiàn)思路
1、針對現(xiàn)有技術(shù)中的缺陷,本專利技術(shù)提供的一種網(wǎng)絡(luò)傳輸?shù)碾[私保護方法及系統(tǒng),可對網(wǎng)絡(luò)通信進行額外保護,滿足進程即使在網(wǎng)絡(luò)中發(fā)送接收數(shù)據(jù)也不會存在進程向安全域外泄露數(shù)據(jù)。
2、第一方面,本專利技術(shù)實施例提供的一種網(wǎng)絡(luò)傳輸?shù)碾[私保護方法,包括:
3、主機獲取網(wǎng)絡(luò)傳輸中的原始明文;
4、采用對稱加密算法對原始明文進行加密,得到加密后的數(shù)據(jù)包,所述數(shù)據(jù)包包括加密密文、認證標(biāo)簽和隨機向量;
5、在數(shù)據(jù)包上增加載荷得到的數(shù)據(jù)包包括加密密文
6、跟蹤與統(tǒng)計經(jīng)過主機的所有數(shù)據(jù)包,并修改數(shù)據(jù)包的協(xié)議報頭,得到修改后的數(shù)據(jù)包并把修改后的數(shù)據(jù)包經(jīng)過網(wǎng)絡(luò)傳輸?shù)綄Χ酥鳈C;
7、對端主機接收修改后的數(shù)據(jù)包,解密修改后的數(shù)據(jù)包并查找數(shù)據(jù)包對應(yīng)進程,根據(jù)進程判斷數(shù)據(jù)包是否可以接收,若不可以接收,則丟棄數(shù)據(jù)包,若可以接收,則解密數(shù)據(jù)包并修改協(xié)議報頭和交給上層協(xié)議棧處理。
8、第二方面,本專利技術(shù)實施例提供的一種網(wǎng)絡(luò)傳輸?shù)碾[私保護系統(tǒng),包括主機和對端主機,主機包括獲取模塊、加密模塊、增加載荷模塊和更新協(xié)議報頭模塊,所述對端主機包括接收處理模塊,
9、所述獲取模塊用于主機獲取網(wǎng)絡(luò)傳輸中的原始明文;
10、所述加密模塊用于采用對稱加密算法對原始明文進行加密,得到加密后的數(shù)據(jù)包,所述數(shù)據(jù)包包括加密密文、認證標(biāo)簽和隨機向量;
11、所述增加載荷模塊用于在數(shù)據(jù)包上增加載荷得到的數(shù)據(jù)包包括加密密文、認證標(biāo)簽、隨機向量和數(shù)據(jù)標(biāo)簽,所述數(shù)據(jù)標(biāo)簽用于標(biāo)識數(shù)據(jù)包是否經(jīng)過加密處理;
12、所述更新協(xié)議報頭模塊用于跟蹤與統(tǒng)計經(jīng)過主機的所有數(shù)據(jù)包,并修改數(shù)據(jù)包的協(xié)議報頭,得到修改后的數(shù)據(jù)包并把修改后的數(shù)據(jù)包經(jīng)過網(wǎng)絡(luò)傳輸?shù)綄Χ酥鳈C;
13、所述接收處理模塊對端主機接收修改后的數(shù)據(jù)包,解密修改后的數(shù)據(jù)包并查找數(shù)據(jù)包對應(yīng)進程,根據(jù)進程判斷數(shù)據(jù)包是否可以接收,若不可以接收,則丟棄數(shù)據(jù)包,若可以接收,則解密數(shù)據(jù)包并修改協(xié)議報頭和交給上層協(xié)議棧處理。
14、本專利技術(shù)的有益效果:
15、本專利技術(shù)實施例提供的一種網(wǎng)絡(luò)傳輸?shù)碾[私保護方法及系統(tǒng),通過對傳輸中的數(shù)據(jù)包進行加密,并對加密后的數(shù)據(jù)包添加載荷,即打上一個標(biāo)識位(數(shù)據(jù)標(biāo)簽)來標(biāo)識數(shù)據(jù)包是否可能含有隱私數(shù)據(jù),在socket連接對端內(nèi)核就可以知道所有加密了的數(shù)據(jù)包是可能包含隱私數(shù)據(jù)的,那么內(nèi)核就會對接收此數(shù)據(jù)包的進程做權(quán)限校驗,判斷其是否可以接收此數(shù)據(jù)包,如果可以接收,那么內(nèi)核會將其解密并交給應(yīng)用層,如果不可以接收,那么此包將會被直接丟棄。為網(wǎng)絡(luò)通信提供了額外的保護,滿足進程即使在網(wǎng)絡(luò)中發(fā)送接收數(shù)據(jù)也不會存在進程向安全域外泄漏數(shù)據(jù),達到數(shù)據(jù)可控的要求,同時還具有高通用性、高兼容性。
本文檔來自技高網(wǎng)...【技術(shù)保護點】
1.一種網(wǎng)絡(luò)傳輸?shù)碾[私保護方法,其特征在于,包括:
2.如權(quán)利要求1所述的方法,其特征在于,所述解密修改后的數(shù)據(jù)包并查找數(shù)據(jù)包對應(yīng)進程具體包括:
3.如權(quán)利要求1所述的方法,其特征在于,所述對稱加密算法采用AES-GCM算法。
4.如權(quán)利要求1所述的方法,其特征在于,所述協(xié)議報頭包括TCP的seq序號、ack序號、TCP的校驗和字段IP的校驗和字段以及數(shù)據(jù)包總長度字段。
5.一種網(wǎng)絡(luò)傳輸?shù)碾[私保護系統(tǒng),包括主機和對端主機,其特征在于,所述主機包括獲取模塊、加密模塊、增加載荷模塊和更新協(xié)議報頭模塊,所述對端主機包括接收處理模塊,
6.如權(quán)利要求5所述的系統(tǒng),其特征在于,所述接收處理模塊包括進程查找單元,所述進程查找單元用于解密數(shù)據(jù)包得到加密密文、認證標(biāo)簽、隨機向量和數(shù)據(jù)標(biāo)簽,根據(jù)數(shù)據(jù)標(biāo)簽判斷數(shù)據(jù)包是否為加密數(shù)據(jù)包,若是未加密的數(shù)據(jù)包,則直接通過,若是加密的數(shù)據(jù)包,則獲取數(shù)據(jù)包對應(yīng)進程序號。
7.如權(quán)利要求5所述的系統(tǒng),其特征在于,所述對稱加密算法采用AES-GCM算法。
8.如權(quán)利要求5所述的系統(tǒng),
...【技術(shù)特征摘要】
1.一種網(wǎng)絡(luò)傳輸?shù)碾[私保護方法,其特征在于,包括:
2.如權(quán)利要求1所述的方法,其特征在于,所述解密修改后的數(shù)據(jù)包并查找數(shù)據(jù)包對應(yīng)進程具體包括:
3.如權(quán)利要求1所述的方法,其特征在于,所述對稱加密算法采用aes-gcm算法。
4.如權(quán)利要求1所述的方法,其特征在于,所述協(xié)議報頭包括tcp的seq序號、ack序號、tcp的校驗和字段ip的校驗和字段以及數(shù)據(jù)包總長度字段。
5.一種網(wǎng)絡(luò)傳輸?shù)碾[私保護系統(tǒng),包括主機和對端主機,其特征在于,所述主機包括獲取模塊、加密模塊、增加載荷模塊和更新協(xié)議報頭模塊,所述對...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:王宸敏,曾馭龍,張金波,范學(xué)鵬,湯載陽,
申請(專利權(quán))人:北京熠智科技有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。