一种基于多级隧道混淆的隐私保护方法技术

本发明专利技术公开了一种基于多级隧道混淆的隐私保护方法，属于网络安全技术领域。本发明专利技术根据网络节点资源构建由入口节点、中继节点和出口节点组成的多级传输链路，多条传输链路共同构成一个隐私保护网络；通过代理工具库将发送端和接收端接入隐私保护网络进行隐私保护传输。本发明专利技术提出基于时间和长度混合的数据分片策略，使隐私数据分片通过不同的传输链路分片发送，提高了隐私数据保护能力；采用心跳机制对链路状态进行感知，并对链路和节点进行动态切换，提高了数据的传输效率；采用重传机制对丢失的分片数据进行重传，提高了数据传输的可靠性。本发明专利技术用于隐私数据传输保护，能够有效抵御基于网络节点的攻击及监听，实现对隐私数据传输的保护。据传输的保护。据传输的保护。

【技术实现步骤摘要】
一种基于多级隧道混淆的隐私保护方法


[0001]本专利技术属于网络安全
，具体涉及一种基于多级隧道混淆的隐私保护方法

技术介绍

[0002]近年来，大型的隐私信息泄露事件时有发生，隐私信息传输安全问题在网络安全领域至关重要。由于互联网传输存在被窃听、被分析、被攻击、被溯源的风险，越来越多的通信传输采用匿名通信技术来保护隐私信息。目前国内外研究的匿名通信技术主要是基于匿名通信网络的要素开展，其中包括：网络结构、路由策略、流量混淆、延迟和转发混合等。在这些匿名通信技术的研究中，关于流量混淆的研究是一个核心点，相关论文将流量混淆分为随机化、拟态和隧道，其中随机化是依靠加密、转换、填充等随机化方法来隐藏指纹信息、长度分布等特征，但是难以抵御基于熵测试和启发式检测的组合攻击；拟态是通过流量整形使非正常流量具备普通流量的指纹、格式等特征，审查者仍可通过统计分析报文中的URL熵值或长度特征识别拟态混淆流量，并且流量拟态的难度很大；隧道是直接将非正常数据加密封装进普通协议报文中以达到规避审查的目的，隧道流量混淆效率较高、手段较多，是流量混淆研究的热点和重点。目前，对混淆流量的主要检测手段是利用基于协议字段、报文长度和时间间隔等进行深度包检测和机器学习流量识别，能够对数据进行识别和追踪。

技术实现思路

[0003]针对现有技术对混淆流量的识别和追踪问题，本专利技术的目的在于提供一种基于多级隧道混淆的隐私保护方法及网络，以解决现有技术利用协议字段、报文长度等作为特征对隐私信息进行识别和追踪的问题，从而隐藏用户真实IP，保护隐私数据不被监听窃取。
[0004]为达到上述目的，本专利技术采用如下的技术方案：
[0005]一种基于多级隧道混淆的隐私保护方法，该方法包括如下步骤：
[0006]步骤1、数据发送端和接收端获取网络中的所有节点的网络性能指标，在每一级中挑选多个节点建立连接，建立多条隐私保护传输隧道，即所有的隐私保护传输隧道构成了整个网络的核心部分，以完成传输网络部分的建立，构成多级隐私保护传输隧道，并开始等待发送端和接收端的接入；
[0007]步骤2、数据发送端建立与传输网络入口节点的流量代理连接，数据接收端建立与传输网络出口节点的流量代理连接，构成完整的多级隐私保护传输隧道，完成整个隐私保护传输隧道的构建，并等待发送端和接收端的传输数据；
[0008]步骤3、在多级隐私保护传输隧道中，发送终端利用流量代理客户端将要发送的数据经过加密处理后传输到传输网络中的入口节点，然后在入口节点进行流量分片和打包，再经已经构建好的多条多级隐私保护传输隧道传输至目标出口节点，最后在出口节点将分片重组为原始流量，并发送至目标接收终端进行流量解密，接收端得到发送端传输的数据，整个隐私保护传输流程结束。
[0009]进一步的，所述步骤3的具体过程为：
[0010]步骤3.1、发送终端发送消息至代理工具的指定地址，代理工具根据建立连接时协商的加密算法对消息进行加密并转发至入口节点；入口节点接收到消息后对数据包进行分片处理，得到数据包分片数据，并将数据包分片数据通过不同的隧道发送至中继节点；
[0011]步骤3.2、根据网络节点的心跳机制判断多级传输隧道的实时状态，入口节点通过预置的选路算法(给定一组路由器以及连接路由器的链路,选路算法要找到一条从源路由器到目的路由器的最好路径)判断多级传输隧道的可用性，然后将同一个数据包的分片数据通过不同的隐私保护传输隧道转发至出口节点；
[0012]步骤3.3、出口节点收到分片数据后，会先将数据缓存至节点本地缓存中，然后出口节点会根据隧道号和分片序号对数据包进行重组，并将数据包转发至接收端代理工具的指定地址；
[0013]步骤3.4、根据隐私保护传输隧道的数据包重传机制，在出口节点进行数据包重组时判断同一消息的分片数据是否有丢失，并通过重传请求让入口节点重发分片数据，以保证消息传输的可靠性，最后将重组的完整数据包发送到接收端代理工具，代理工具对消息进行解密再转给接收终端，整个过程结束。
[0014]进一步地，所述步骤1中，多级传输隧道包含三层(即三级)，第一层的多个入口节点I1，I2，...，I
i
，第二层的多个中继节点M1，M2，...，M
j
，第三层的多个出口节点O1,O2,...,O
k
，以及N个备选节点A1，A2，...，A
N
。
[0015]进一步地，所述步骤2中的数据接收端和出口节点、数据发送端和入口节点建立流量代理的过程进行了一系列的隐私保护方式协商，包括代理方式、加密算法、分片时间、分片长度和重组超时时间。
[0016]进一步地，所述代理方式包括Socks5代理、Shadowsocks代理、HTTP代理，都支持TCP传输，其中Socks5代理和Shadowsocks代理还支持UDP传输；所述加密方式包括AES
‑
256算法的密码分组链模式、AES
‑
256算法的密码反馈模式、ChaCha20
‑
Poly1305算法和SM4算法的计数器模式；所述分片时间是指每次分片会取一个分片时间接收到的所有数据流进行分片；所述分片长度是指当一个分片数据的最大长度；所述重组超时时间是指出口节点进行分片合流时，超过此时间都还没有收到指定序号的分片，就会向入口节点发送一个超时重传请求。
[0017]进一步地，所述步骤3.1中的数据分片是结合按固定时间分片和按固定长度分片的进行合并优化分片方式，当在分片时间内收到的数据量不超过分片长度，则收到的数据就作为一个分片数据，当在一个分片时间内收到的数据量过大时，按照分片长度将数据流进行分片。
[0018]进一步地，所述步骤3.2中的心跳机制是由入口节点和出口节点产生心跳报文，然后转发至中继节点并获取响应，以此来感知多级隧道的传输状态，根据心跳响应报文中的负载数据来维护一个由每个节点的负载数据构成的小顶堆，每次选择由堆顶数据对应的节点进行下一个分片数据的传输，从而利用负载均衡策略将传输数据动态调整到不同的传输链路进行数据传输，采用的节点负载均衡计算方法为公式(1)：
[0019][0020]其中，LD表示Load Balancing，即负载均衡参考值，值越小表明具有更好的隐私保
护传输性能；ST表示Send Time，即发送心跳报文的时间；RT表示Receive Time，即接收到心跳响应报文的时间；TTime表示Task Time，即有数据传输任务的时间；ATime表示All Time，即有任务和无任务的时间总和；TP表示Throughput，即节点吞吐量，由带宽和节点网络额定传输速率共同决定；D(P||Q)表示信息熵，用于度量节点的隐私性，采用的熵计算方法为公式(2)：
[0021][0022]其中，P＝p1,p2,p3,...,p
n
}，表示当前最近的n个分片的分布序列；Q＝{q1,q2,q3,...,q
n...

【技术保护点】

【技术特征摘要】
1.一种基于多级隧道混淆的隐私保护方法，其特征在于，包括如下步骤：步骤1、数据发送端和接收端获取网络中的所有节点的网络性能指标，并在每一级网络中挑选多个节点建立连接，建立多条隐私保护传输隧道，构成多级隐私保护传输隧道，并等待发送端和接收端的接入；步骤2、数据发送端建立与传输网络入口节点的流量代理连接，数据接收端建立与传输网络出口节点的流量代理连接，并等待数据发送端和数据接收端的传输数据；步骤3、在多级隐私保护传输隧道中，数据发送端利用流量代理客户端将待发送的数据经过加密处理后传输到传输网络中的入口节点，并在入口节点进行流量分片和打包，再经构建好的多条多级隐私保护传输隧道传输至目标出口节点；出口节点将分片重组为原始流量，并发送至目标接收端进行流量解密，以使得数据接收端得到数据发送端传输的数据。2.如权利要求1所述的方法，其特征在于，所述步骤1中，多级传输隧道包含三层：入口节点层、中继节点层和出口节点层，其中，入口节点层包括多个入口节点分别记录标记为I1，I2，...，I
i
，下标i表示入口节点数量；中继节点层包括多个中继节点分别标记为M1，M2，...，M
j
，下标j表示中继节点数量；出口节点层包括多个出口节点分别标记为O1,O2,...,O
k
，下标k表示中继节点数量；入口节点层的每个入口节点分别与中继节点层的多个中继节点建立隐私保护传输隧道，中继节点层的每个中继节点分别与出口节点层的多个出口节点建立隐私保护传输隧道，且每一层还设置有N个备选节点，分别标记为A1，A2，...，A
N
。3.如权利要求1所述的方法，其特征在于，所述步骤2中，数据接收端和出口节点、数据发送端和入口节点建立流量代理的过程的隐私保护方式协商包括：代理方式、加密算法、分片时间、分片长度和重组超时时间。4.如权利要求1所述的方法，其特征在于，所述步骤3包括：步骤3.1、发送端发送消息至代理客户端的代理工具的指定地址，代理工具根据建立连接时协商的加密算法对消息进行加密并转发至入口节点；入口节点接收到加密消息后对数据包进行分片处理，得到数据包分片数据，并将数据包分片数据通过不同的隧道发送至中继节点；步骤3.2、根据网络节点的心跳机制判断多级传输隧道的实时状态，入口节点通过预置的选路算法判断多级传输隧道的可用性，再将同一个数据包的分片数据通过不同的隐私保护传输隧道转发至出口节点；步骤3.3、出口节点收到分片数据后，将分片数据缓存至节点本地缓存中；出口节点根据隐私保护传输隧道的道隧道号和数据包的分片序号对数据包进行重组，并将数据包转发至接收端代理工...

【专利技术属性】
技术研发人员：朱宇坤，王楷，张小松，陈瑞东，张小路，龙伟，
申请(专利权)人：电子科技大学，
类型：发明
国别省市：