CN116015943B - 一种基于多级隧道混淆的隐私保护方法 - Google Patents

一种基于多级隧道混淆的隐私保护方法 Download PDF

Info

Publication number
CN116015943B
CN116015943B CN202211732983.9A CN202211732983A CN116015943B CN 116015943 B CN116015943 B CN 116015943B CN 202211732983 A CN202211732983 A CN 202211732983A CN 116015943 B CN116015943 B CN 116015943B
Authority
CN
China
Prior art keywords
data
node
transmission
slicing
tunnel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211732983.9A
Other languages
English (en)
Other versions
CN116015943A (zh
Inventor
朱宇坤
王楷
张小松
陈瑞东
张小路
龙伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Electronic Science and Technology of China
Original Assignee
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Electronic Science and Technology of China filed Critical University of Electronic Science and Technology of China
Priority to CN202211732983.9A priority Critical patent/CN116015943B/zh
Publication of CN116015943A publication Critical patent/CN116015943A/zh
Application granted granted Critical
Publication of CN116015943B publication Critical patent/CN116015943B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于多级隧道混淆的隐私保护方法,属于网络安全技术领域。本发明根据网络节点资源构建由入口节点、中继节点和出口节点组成的多级传输链路,多条传输链路共同构成一个隐私保护网络;通过代理工具库将发送端和接收端接入隐私保护网络进行隐私保护传输。本发明提出基于时间和长度混合的数据分片策略,使隐私数据分片通过不同的传输链路分片发送,提高了隐私数据保护能力;采用心跳机制对链路状态进行感知,并对链路和节点进行动态切换,提高了数据的传输效率;采用重传机制对丢失的分片数据进行重传,提高了数据传输的可靠性。本发明用于隐私数据传输保护,能够有效抵御基于网络节点的攻击及监听,实现对隐私数据传输的保护。

Description

一种基于多级隧道混淆的隐私保护方法
技术领域
本发明属于网络安全技术领域,具体涉及一种基于多级隧道混淆的隐私保护方法
背景技术
近年来,大型的隐私信息泄露事件时有发生,隐私信息传输安全问题在网络安全领域至关重要。由于互联网传输存在被窃听、被分析、被攻击、被溯源的风险,越来越多的通信传输采用匿名通信技术来保护隐私信息。目前国内外研究的匿名通信技术主要是基于匿名通信网络的要素开展,其中包括:网络结构、路由策略、流量混淆、延迟和转发混合等。在这些匿名通信技术的研究中,关于流量混淆的研究是一个核心点,相关论文将流量混淆分为随机化、拟态和隧道,其中随机化是依靠加密、转换、填充等随机化方法来隐藏指纹信息、长度分布等特征,但是难以抵御基于熵测试和启发式检测的组合攻击;拟态是通过流量整形使非正常流量具备普通流量的指纹、格式等特征,审查者仍可通过统计分析报文中的URL熵值或长度特征识别拟态混淆流量,并且流量拟态的难度很大;隧道是直接将非正常数据加密封装进普通协议报文中以达到规避审查的目的,隧道流量混淆效率较高、手段较多,是流量混淆研究的热点和重点。目前,对混淆流量的主要检测手段是利用基于协议字段、报文长度和时间间隔等进行深度包检测和机器学习流量识别,能够对数据进行识别和追踪。
发明内容
针对现有技术对混淆流量的识别和追踪问题,本发明的目的在于提供一种基于多级隧道混淆的隐私保护方法及网络,以解决现有技术利用协议字段、报文长度等作为特征对隐私信息进行识别和追踪的问题,从而隐藏用户真实IP,保护隐私数据不被监听窃取。
为达到上述目的,本发明采用如下的技术方案:
一种基于多级隧道混淆的隐私保护方法,该方法包括如下步骤:
步骤1、数据发送端和接收端获取网络中的所有节点的网络性能指标,在每一级中挑选多个节点建立连接,建立多条隐私保护传输隧道,即所有的隐私保护传输隧道构成了整个网络的核心部分,以完成传输网络部分的建立,构成多级隐私保护传输隧道,并开始等待发送端和接收端的接入;
步骤2、数据发送端建立与传输网络入口节点的流量代理连接,数据接收端建立与传输网络出口节点的流量代理连接,构成完整的多级隐私保护传输隧道,完成整个隐私保护传输隧道的构建,并等待发送端和接收端的传输数据;
步骤3、在多级隐私保护传输隧道中,发送终端利用流量代理客户端将要发送的数据经过加密处理后传输到传输网络中的入口节点,然后在入口节点进行流量分片和打包,再经已经构建好的多条多级隐私保护传输隧道传输至目标出口节点,最后在出口节点将分片重组为原始流量,并发送至目标接收终端进行流量解密,接收端得到发送端传输的数据,整个隐私保护传输流程结束。
进一步的,所述步骤3的具体过程为:
步骤3.1、发送终端发送消息至代理工具的指定地址,代理工具根据建立连接时协商的加密算法对消息进行加密并转发至入口节点;入口节点接收到消息后对数据包进行分片处理,得到数据包分片数据,并将数据包分片数据通过不同的隧道发送至中继节点;
步骤3.2、根据网络节点的心跳机制判断多级传输隧道的实时状态,入口节点通过预置的选路算法(给定一组路由器以及连接路由器的链路,选路算法要找到一条从源路由器到目的路由器的最好路径)判断多级传输隧道的可用性,然后将同一个数据包的分片数据通过不同的隐私保护传输隧道转发至出口节点;
步骤3.3、出口节点收到分片数据后,会先将数据缓存至节点本地缓存中,然后出口节点会根据隧道号和分片序号对数据包进行重组,并将数据包转发至接收端代理工具的指定地址;
步骤3.4、根据隐私保护传输隧道的数据包重传机制,在出口节点进行数据包重组时判断同一消息的分片数据是否有丢失,并通过重传请求让入口节点重发分片数据,以保证消息传输的可靠性,最后将重组的完整数据包发送到接收端代理工具,代理工具对消息进行解密再转给接收终端,整个过程结束。
进一步地,所述步骤1中,多级传输隧道包含三层(即三级),第一层的多个入口节点I1,I2,...,Ii,第二层的多个中继节点M1,M2,...,Mj,第三层的多个出口节点O1,O2,...,Ok,以及N个备选节点A1,A2,...,AN
进一步地,所述步骤2中的数据接收端和出口节点、数据发送端和入口节点建立流量代理的过程进行了一系列的隐私保护方式协商,包括代理方式、加密算法、分片时间、分片长度和重组超时时间。
进一步地,所述代理方式包括Socks5代理、Shadowsocks代理、HTTP代理,都支持TCP传输,其中Socks5代理和Shadowsocks代理还支持UDP传输;所述加密方式包括AES-256算法的密码分组链模式、AES-256算法的密码反馈模式、ChaCha20-Poly1305算法和SM4算法的计数器模式;所述分片时间是指每次分片会取一个分片时间接收到的所有数据流进行分片;所述分片长度是指当一个分片数据的最大长度;所述重组超时时间是指出口节点进行分片合流时,超过此时间都还没有收到指定序号的分片,就会向入口节点发送一个超时重传请求。
进一步地,所述步骤3.1中的数据分片是结合按固定时间分片和按固定长度分片的进行合并优化分片方式,当在分片时间内收到的数据量不超过分片长度,则收到的数据就作为一个分片数据,当在一个分片时间内收到的数据量过大时,按照分片长度将数据流进行分片。
进一步地,所述步骤3.2中的心跳机制是由入口节点和出口节点产生心跳报文,然后转发至中继节点并获取响应,以此来感知多级隧道的传输状态,根据心跳响应报文中的负载数据来维护一个由每个节点的负载数据构成的小顶堆,每次选择由堆顶数据对应的节点进行下一个分片数据的传输,从而利用负载均衡策略将传输数据动态调整到不同的传输链路进行数据传输,采用的节点负载均衡计算方法为公式(1):
其中,LD表示Load Balancing,即负载均衡参考值,值越小表明具有更好的隐私保护传输性能;ST表示Send Time,即发送心跳报文的时间;RT表示Receive Time,即接收到心跳响应报文的时间;TTime表示Task Time,即有数据传输任务的时间;ATime表示All Time,即有任务和无任务的时间总和;TP表示Throughput,即节点吞吐量,由带宽和节点网络额定传输速率共同决定;D(P||Q)表示信息熵,用于度量节点的隐私性,采用的熵计算方法为公式(2):
其中,P=p1,p2,p3,...,pn},表示当前最近的n个分片的分布序列;Q={q1,q2,q3,...,qn},表示P之前的n个分片的分布序列;D的值越小表明当前时段分片数据与前一段分片数据的分布序列约相似,即值越小说明分布序列越相似,表明隐私性越好,越不容易因为特殊分布而被发现。
进一步地,所述步骤3.3中的数据包重组会在每个隧道的出口节点进行缓存,然后在缓存中读取每个分片数据的数据头部解析出分片序号,再按照分片序号依次取分片数据进行重组,同时删除缓存中已取分片数据。
进一步地,所述步骤3.4中的数据包重传机制是在所有出口节点缓存中获取不到连续的分片编号数据包,就会将缺失的分片数据包的隧道标识、数据包编号、分片编号生成重传报文发送至入口节点,入口节点接收到重传请求后,在本地分片缓存中找到对应的数据包,并将其分片后的各分片数据包(例如10个分片数据包)一起再重一次,以优化由于网络拥塞导致的连续多个数据包缺失。
进一步地,所述隧道标识能唯一够确定入口节点和出口节点所在的多级隧道;所述分片序号能够唯一确定入口节点分片数据缓存中的分片数据。
本发明提供的技术方案至少带来如下有益效果:
(1)本发明在传输网络部分采用基于时间和长度混合的数据分片策略。在入口节点分片保证了在网络部分抓取到的任何数据都只是一个数据片段而不是一个拥有完整信息的数据,从而进一步保证了数据传输的隐私性;
(2)本发明采用心跳机制做隐私数据传输控制和网络状态控制。出口节点和入口节点可以感知相互之间的存活状态,并且根据不同多级链路传输心跳数据来感知多级链路的状态,从而可以掌握整个多级隧道传输网络的运行状态,并可以基于心跳报文发送和接收时间差来对多级链路做动态负载均衡,从而进一步保证了高效的数据传输;
(3)本发明采用重传机制来保证隐私数据传输的可靠性。当中继节点突然下线或由于网络拥塞导致出口节点缺失某一分片数据而不能完全复原原始数据流时,出口节点会在发现缺失后向入口节点发送分片数据重发报文,已实现分段数据重传,从而进一步保证了隐私信息传输的可靠性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明实施例的基于多级隧道混淆的隐私保护网络模型图;
图2是本发明实施例的隐私保护网络模块组成关系图;
图3是本发明实施例的数据传输流程图;
图4是本发明实施例的隐私保护操作的一个具体示例图,其中Pkg Num是packagenumber的简写,表示包序号,是每一个数据包的唯一标识;Seq是segment sequence的简写,表示分片序号,是每个分片的标识;其中Pkg Num加Seq可以唯一确定一个数据包的一个分片;
图5是本发明实施例的心跳报文格式图;
图6是本发明实施例的重传报文格式图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了避免深度包检测和机器学习流量识别手段对隐私数据进行识别、追踪和数据解析,从而达到保护隐私数据的目的,本发明提供了一种隐私数据传输方法。本发明根据网络节点资源构建由入口节点、中继节点和出口节点组成的多级传输链路,多条传输链路共同构成一个隐私保护网络;通过代理工具库将发送端和接收端接入隐私保护网络进行隐私保护传输。本发明提出基于时间和长度混合的数据分片策略,使隐私数据分片通过不同的传输链路分片发送,提高了隐私数据保护能力;采用心跳机制对链路状态进行感知,并对链路和节点进行动态切换,提高了数据的传输效率;采用重传机制对丢失的分片数据进行重传,提高了数据传输的可靠性。本发明用于隐私数据传输保护,能够有效抵御基于网络节点的攻击及监听,实现对隐私数据传输的保护。
本发明实施例提供的一种基于多级隧道混淆的隐私保护方法,包括如下步骤:
步骤1、获取节点网络性能指标,挑选多个节点构成隐私保护传输隧道核心部分;以建立多条隐私保护传输隧道,完成传输网络部分的建立;
步骤2、数据接收端建立与出口和接收终端的流量代理,数据发送端建立与入口和发送终端的流量代理,构成完整多级隐私保护传输隧道;
步骤3、在多级隐私保护传输隧道中,发送终端到接收终端进行隐私保护传输。
本发明首先搭建一个多级传输网络,其中分为入口节点层、中继节点层和出口节点层,用于隐私数据在公网的传输;然后在接收端本地代理和出口节点之间协商接收端本地IP地址、端口和通信暗号等建立本地代理和出口节点的连接,同时也在发送端建立本地代理和入口节点的连接,并且在发送端和接收端需要人工配置相同的加密算法和密码,以保证对隐私数据的加解密能够正确进行;最后发送端将消息经本地流量代理工具加密并发转发至入口节点,入口节点基于时间和长度混合分片算法对数据流进行分片,然后根据路由算法选择合适的链路将分片数据传输至出口节点,出口节点对数据流进行合并后再将完整加密数据转发至接收端流量代理地址,接收端流量代理工具对数据进行解密后得到原始隐私数据并转到本地接收地址,本方法可保证隐私数据在公共网络部分的安全传输。
作为一种可能的实现方式,本实施例提供的一种基于多级隧道混淆的隐私保护方法,首先建立一个多级隧道混淆的隐私保护传输网络,如图1所示。该网络由一个入口节点层,一个中继节点层和一个出口节点层组成,其中存在不同层之间节点构成的多条传输链路。每一个入口节点连接着多个中继节点,每一个出口节点也连接着多个中继节点,入口节点每一次分发时都可能走不同的链路进行传输。然后在接收端开启流量代理,选择一个流量代理工具,指定加密算法并设置代理验证密码以进行身份验证。最后在发送端开启流量代理,指定与接收端相同的加密算法并设置身份验证密码,整个隐私保护传输网络构建完成。即本发明实施例中,多级传输隧道包含三层:入口节点层、中继节点层和出口节点层,其中,入口节点层包括多个入口节点分别记录标记为I1,I2,...,Ii,下标i表示入口节点数量;中继节点层包括多个中继节点分别标记为M1,M2,...,Mj,下标j表示中继节点数量;出口节点层包括多个出口节点分别标记为O1,O2,...,Ok,下标k表示中继节点数量;入口节点层的每个入口节点分别与中继节点层的多个中继节点建立隐私保护传输隧道,中继节点层的每个中继节点分别与出口节点层的多个出口节点建立隐私保护传输隧道,且每一层还设置有N个备选节点,分别标记为A1,A2,...,AN
如图2所示,基于多级隧道混淆的隐私保护网络被分为控制模块和传输模块。在进行隐私消息保护传输之前,首先由数据发送端利用其控制流的节点感知模块获取隐私保护网络中可用于传输的节点信息,然后通过配置节点中的IP地址、端口号和传输协议开启节点的监听服务,最后根据入口层、中继层和出口层的分层架构从入口层节点开始对中继层节点进行拨号连接,再由中继节点向出口节点拨号连接,从而完成传输网络中的多级传输链路建立。之后,数据发送端和接收端分别利用其控制模块在发送端和接收端对多级传输链路进行拨号连接,接入传输网络完成整个多级通信链路的建立。在完成整个链路建立后,节点感知模块会通过心跳机制感知节点和链路的实时状态,如果发生故障或节点下线等情况,隧道控制模块会及时改变链路中的节点,保证链路畅通,并重发前一个丢失节点发送的分片数据。传输模块在链路建立完成后开启数据传输,传输模块的核心是在传输网络中利用传输数据流对网络中的信息进行隐私保护和可靠性保证。
如图3所示,本发明的数据传输流程中保证数据隐私的核心在传输网络中,传输网络由控制模块的传输控制流和传输模块的传输数据流来保证数据隐私和传输的可靠性。传输控制流作为支撑是因为进行传输之前需要首先建立好传输链路,链路的通信效率由控制模块进行感知,并且提前建立好的传输隧道能够进行高效的数据传输。
从发送终端到接收终端的整个数据传输流程中,发送终端到发送端代理工具和接收终端到接收代理工具之间是明文传输,因为这两个过程都是在其本地完成的,没有网络端的通信,仅有本地端口之间的消息转发,因此不需要进行加密,其余所有流程中都是加密传输。
当数据转发至发送端代理工具后,代理工具和入口节点进行代理协商,首先会进行代理身份验证,如选择使用socks5代理会验证配置的用户名和密码,当双方配置的信息匹配才能够建立代理通信,保证了数据传输的安全性。然后代理工具会按照配置中选定的加密算法对所有消息进行加密并转发至指定的入口节点。
入口节点接收到数据后,以配置的分片时间为单位接收数据并做大小判断,如果在一个分片时间内接收到的数据大于指定的分片长度,则按照分片长度将数据进行切分并添加类似TCP数据包的包头,对包序号、分片序号进行标记,并将加密数据分片添加至包的数据段,然后作为一个完整的数据包发送至中继节点层,如图4所示;如果在一个分片时间内接收到的数据小于分片长度,则不需要分片,同样做上述类似操作将接收到的数据添加到一个新的数据包的数据段中转发至下一层。
中继节点不做包的处理,它仅做数据转发,但是多个中继节点构成了同一入口节点和出口节点之间的多条传输链路,假如攻击者截取了中间某一条链路的数据,它拿到的数据也只是完整数据中的一小部分,因为多个入口节点和多个中继节点保证了链路的多样性,仅从单一节点入手是不能进行完整信息获取的,同时多个中继节点保证了链路的可靠性,如果某一个中继节点故障或延迟过高,入口节点能够通过心跳机制感知到它的实时状态,就会立即切换一个中继节点并重发之前链路的分片数据包,从而保证了数据的安全性和稳定性。
本发明实施例中,所采用的心跳报文的数据帧格式如图5所示,包括的字段有:心跳包标识(占用8个字节)、节点类型(占用8个字节)、节点编号(占用8个字节)和隧道标识号(占用8个字节)、数据头长度(占用16个字节)、头部校验和(占用16个字节),以及保留字段(占用32个字节)。
当出口节点收到消息后,所有的出口节点在其本地都有一个缓存队列,消息分片都先进入缓存,然后由一个重组进程按照数据包序号从所有的缓存中依次取出数据进行重组,若某一序号数据包不存在,则等待配置的超时时间后出口节点向入口节点发送一个重传数据包,数据包中包含不存在的数据包序号等标识,入口节点收到重传数据包后会重发对应序号数据包,从而保证了消息传输的可靠性,如图4所示。出口节点层重组数据完成后会将重组的加密数据转发至代理地址,接收端代理和出口节点也需提前做上述发送端和入口节点之间类似的代理协商,并建立好连接。
本发明实施例中,所采用的重传报文数据帧格式如图6所示,包括的字段有:重传包标识(占用8个字节)、节点类型(占用8个字节)、节点编号(占用8个字节)和隧道标识号(占用8个字节)、数据头长度(占用16个字节)、头部校验和(占用16个字节)、包序号(占用16个字节)、分片序号(占用16个字节),以及保留字段(占用32个字节)。
接收端代理工具接收到加密数据后,按照配置的指定加密算法进行解密,消息解密有一个初始向量,此初始向量为发送端代理工具在加密时随机生成,保证了攻击者在知道密钥的条件下也不能完全解密消息,因为必须要知道随机向量,并且随机向量在每次加密器生成时会不同,从而确保了消息的隐私性。解密后的消息转发至本地终端,完成了整个传输流量。
本发明通过在传输过程中引入代理验证、多种算法加密、随机链路选择、数据分片和隧道混淆,从而避免了检查者或攻击者对隐私数据的检测和获取,能有效保护隐私数据在公共网络中的传输。该方法在传输网络部分使用心跳控制机制从而对节点和链路实时状态的控制,并能够快速切换问题节点构成新的传输链路,保证了传输的效率;使用数据重传机制,能够保证隐私数据的完整性和可靠性。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
以上仅是本发明众多具体应用范围中的代表性实施例,对本发明的保护范围不构成任何限制。凡采用变换或是等效替换而形成的技术方案,均落在本发明权利保护范围之内。

Claims (8)

1.一种基于多级隧道混淆的隐私保护方法,其特征在于,包括如下步骤:
步骤1、数据发送端和接收端获取网络中的所有节点的网络性能指标,并在每一级网络中挑选多个节点建立连接,建立多条隐私保护传输隧道,构成多级隐私保护传输隧道,并等待发送端和接收端的接入;
步骤2、数据发送端建立与传输网络入口节点的流量代理连接,数据接收端建立与传输网络出口节点的流量代理连接,并等待数据发送端和数据接收端的传输数据;
步骤3、在多级隐私保护传输隧道中,数据发送端利用流量代理客户端将待发送的数据经过加密处理后传输到传输网络中的入口节点,并在入口节点进行流量分片和打包,再经构建好的多条多级隐私保护传输隧道传输至目标出口节点;
出口节点将分片重组为原始流量,并发送至目标接收端进行流量解密,以使得数据接收端得到数据发送端传输的数据;
其中,步骤3包括:
步骤3.1、发送端发送消息至代理客户端的代理工具的指定地址,代理工具根据建立连接时协商的加密算法对消息进行加密并转发至入口节点;入口节点接收到加密消息后对数据包进行分片处理,得到数据包分片数据,并将数据包分片数据通过不同的隧道发送至中继节点;
步骤3.2、根据网络节点的心跳机制判断多级传输隧道的实时状态,入口节点通过预置的选路算法判断多级传输隧道的可用性,再将同一个数据包的分片数据通过不同的隐私保护传输隧道转发至出口节点;
步骤3.3、出口节点收到分片数据后,将分片数据缓存至节点本地缓存中;
出口节点根据隐私保护传输隧道的道隧道号和数据包的分片序号对数据包进行重组,并将数据包转发至接收端代理工具的指定地址;
步骤3.4、根据隐私保护传输隧道的数据包重传机制,在出口节点进行数据包重组时判断同一消息的分片数据是否有丢失,对丢失的分片数据通过重传请求让入口节点重发分片数据,最后将重组的完整数据包发送到接收端代理工具,接收端代理工具对消息进行解密再转给接收端。
2.如权利要求1所述的方法,其特征在于,所述步骤1中,多级传输隧道包含三层:入口节点层、中继节点层和出口节点层,其中,入口节点层包括多个入口节点分别记录标记为I1,I2,...,Ii,下标i表示入口节点数量;中继节点层包括多个中继节点分别标记为M1,M2,...,Mj,下标j表示中继节点数量;出口节点层包括多个出口节点分别标记为O1,O2,...,Ok,下标k表示中继节点数量;入口节点层的每个入口节点分别与中继节点层的多个中继节点建立隐私保护传输隧道,中继节点层的每个中继节点分别与出口节点层的多个出口节点建立隐私保护传输隧道,且每一层还设置有N个备选节点,分别标记为A1,A2,...,AN
3.如权利要求1所述的方法,其特征在于,所述步骤2中,数据接收端和出口节点、数据发送端和入口节点建立流量代理的过程的隐私保护方式协商包括:代理方式、加密算法、分片时间、分片长度和重组超时时间。
4.如权利要求1所述的方法,其特征在于,所述步骤3.1中,数据分片采用结合按固定时间分片和按固定长度分片的合并优化分片方式:当在一个分片时间内收到的数据量不超过分片长度时,则将收到的数据作为一个分片数据;当在一个分片时间内收到的数据量超过分片长度时,按照分片长度对收到的数据包进行分片。
5.如权利要求1所述的方法,其特征在于,所述步骤3.2中,心跳机制是指:由入口节点和出口节点产生心跳报文,再转发至中继节点并获取心跳响应报文;
根据心跳响应报文中的负载数据来维护一个由每个节点的负载数据构成的顶堆,每次选择顶堆的堆顶数据对应的节点进行下一个分片数据的传输;
其中,采用的节点负载均衡计算方式为:
其中,LD表示负载均衡参考值,即负载数据,ST表示发送心跳报文的时间;RT表示接收到心跳响应报文的时间;TTime表示有数据传输任务的时间;ATime表示有任务和无任务的时间总和;TP表示节点吞吐量,D(P||Q)表示信息熵,用于度量节点的隐私性,其计算方式为:
其中,P={p1,p2,p3,...,pn},表示当前最近的n个分片p1~pn的分布序列;Q={q1,q2,q3,...,qn},表示分布序列P之前的n个分片q1~qn的分布序列。
6.如权利要求1所述的方法,其特征在于,所述步骤3.3中,出口节点根据隐私保护传输隧道的道隧道号和数据包的分片序号对数据包进行重组具体为:
在每条隐私保护传输隧道的出口节点对分片数据进行缓存;
当前出口节点在节点本地缓存中读取每个分片数据的数据头部解析出分片序号,再按照分片序号依次取分片数据进行重组,同时删除缓存中已取分片数据。
7.如权利要求1所述的方法,其特征在于,所述步骤3.4中,数据包重传机制具体为:
当在所有出口节点的节点本地缓存中获取不到连续的分片编号的数据包分片数据时,基于缺失的分片数据的隧道标识、数据包编号、分片编号生成重传报文发送至入口节点,入口节点接收到重传报文后,在本地分片缓存中找到对应的数据包,并将其分片后的各分片数据包一起再重一次。
8.如权利要求1至7任一所述的方法,其特征在于,所述隧道标识能够唯一确定入口节点和出口节点所在的多级隧道;所述分片序号能够唯一确定入口节点分片数据缓存中的分片数据。
CN202211732983.9A 2022-12-30 2022-12-30 一种基于多级隧道混淆的隐私保护方法 Active CN116015943B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211732983.9A CN116015943B (zh) 2022-12-30 2022-12-30 一种基于多级隧道混淆的隐私保护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211732983.9A CN116015943B (zh) 2022-12-30 2022-12-30 一种基于多级隧道混淆的隐私保护方法

Publications (2)

Publication Number Publication Date
CN116015943A CN116015943A (zh) 2023-04-25
CN116015943B true CN116015943B (zh) 2024-03-12

Family

ID=86019166

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211732983.9A Active CN116015943B (zh) 2022-12-30 2022-12-30 一种基于多级隧道混淆的隐私保护方法

Country Status (1)

Country Link
CN (1) CN116015943B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117077150B (zh) * 2023-10-13 2024-01-26 青岛酒店管理职业技术学院 分布式学校资源的信息安全调度预警系统及方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1536820A (zh) * 2003-04-09 2004-10-13 华为技术有限公司 提高网络拥塞时数据传输性能的方法
CN1716943A (zh) * 2004-06-28 2006-01-04 杭州华为三康技术有限公司 获取隧道网关环境中路径最大传输长度的方法及系统
KR20080051576A (ko) * 2006-12-06 2008-06-11 (주)액텔라 다중 터널을 지원하는 왠 가속 최적화 장치 및 그 방법
CN109660945A (zh) * 2019-02-18 2019-04-19 河海大学常州校区 WSN中基于多sink的动态多路由源节点位置隐私保护方法
CN110752979A (zh) * 2019-10-30 2020-02-04 迈普通信技术股份有限公司 报文的隧道传输方法、装置及网络设备
CN112492588A (zh) * 2020-12-03 2021-03-12 桂林电子科技大学 一种基于动态令牌的多路径源节点位置隐私保护路由方法
CN113660197A (zh) * 2021-07-02 2021-11-16 西安电子科技大学广州研究院 混淆数据聚合隐私保护方法、系统、设备、介质、终端

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1536820A (zh) * 2003-04-09 2004-10-13 华为技术有限公司 提高网络拥塞时数据传输性能的方法
CN1716943A (zh) * 2004-06-28 2006-01-04 杭州华为三康技术有限公司 获取隧道网关环境中路径最大传输长度的方法及系统
KR20080051576A (ko) * 2006-12-06 2008-06-11 (주)액텔라 다중 터널을 지원하는 왠 가속 최적화 장치 및 그 방법
CN109660945A (zh) * 2019-02-18 2019-04-19 河海大学常州校区 WSN中基于多sink的动态多路由源节点位置隐私保护方法
CN110752979A (zh) * 2019-10-30 2020-02-04 迈普通信技术股份有限公司 报文的隧道传输方法、装置及网络设备
CN112492588A (zh) * 2020-12-03 2021-03-12 桂林电子科技大学 一种基于动态令牌的多路径源节点位置隐私保护路由方法
CN113660197A (zh) * 2021-07-02 2021-11-16 西安电子科技大学广州研究院 混淆数据聚合隐私保护方法、系统、设备、介质、终端

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
6to4隧道分片重组技术及仿真实验;毛晴;胡曦明;马苗;李鹏;;现代计算机(专业版);20180525(15);全文 *
张小松等.Website Fingerprinting Attack on Anonymity Networks Based on Profile Hidden Markov Model.2017,全文. *
网络隐蔽隧道关键检测技术研究;朱宇坤;中国优秀硕士论文集;20211216;全文 *
面向区块链系统安全测评技术研究;王崇宇,朱宇坤等;Radio Communication Technology;20210331;全文 *

Also Published As

Publication number Publication date
CN116015943A (zh) 2023-04-25

Similar Documents

Publication Publication Date Title
US7353380B2 (en) Method and apparatus for providing secure streaming data transmission facilities using unreliable protocols
US10356054B2 (en) Method for establishing a secure private interconnection over a multipath network
US9742806B1 (en) Accessing SSL connection data by a third-party
US5161193A (en) Pipelined cryptography processor and method for its use in communication networks
US5086469A (en) Encryption with selective disclosure of protocol identifiers
US5235644A (en) Probabilistic cryptographic processing method
US5594869A (en) Method and apparatus for end-to-end encryption of a data packet in a computer network
US8379638B2 (en) Security encapsulation of ethernet frames
CN102130768B (zh) 一种具有链路层加解密能力的终端设备及其数据处理方法
KR101485231B1 (ko) 노드 간 보안 통신 방법 및 시스템
US5099517A (en) Frame status encoding for communication networks
CN107104977B (zh) 一种基于sctp协议的区块链数据安全传输方法
WO2016070538A1 (zh) 安全外壳ssh2协议数据的采集方法和装置
CN108134672A (zh) 基于量子加密交换机装置的数据传输系统及其传输方法
Liu et al. Softwarized IoT network immunity against eavesdropping with programmable data planes
CN116015943B (zh) 一种基于多级隧道混淆的隐私保护方法
Furukawa et al. Highly secure communication service architecture using SDN switch
Hohendorf et al. Secure End-to-End Transport Over SCTP.
CN207869118U (zh) 基于量子加密交换机装置的数据传输系统
EP0464565A2 (en) Cryptography processor and method with optional status encoding
Horvat et al. STFTP: Secure TFTP protocol for embedded multi-agent systems communication
Hohendorf et al. Secure end-to-end transport over sctp
CN117201200B (zh) 基于协议栈的数据安全传输方法
Linlin et al. The implementation of a secure RTP transmission method based on dtls
Mahboob et al. Transport Layer Security (TLS)–A Network Security Protocol for E-commerce

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant