一种网络传输的隐私保护方法及系统技术方案

技术编号：42491422 阅读：13 留言：0更新日期：2024-08-21 13:08

本发明专利技术公开了一种网络传输的隐私保护方法，包括：主机获取网络传输中的原始明文；采用对称加密算法对原始明文进行加密，得到加密后的数据包；在数据包上增加载荷得到的数据包包括加密密文、认证标签、随机向量和数据标签；跟踪与统计经过主机的所有数据包，并修改数据包的协议报头，得到修改后的数据包并经过网络传输到对端主机；对端主机接收修改后的数据包，解密修改后的数据包并查找数据包对应进程，根据进程判断数据包是否可以接收，若不可以接收，则丢弃数据包，若可以接收，则解密数据包并修改协议报头和交给上层协议栈处理。方法可对网络通信进行额外保护，满足进程即使在网络中发送接收数据也不会存在进程向安全域外泄露数据。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及软件工程，具体涉及一种网络传输的隐私保护方法及系统。

技术介绍

1、申请号202311241074 .x《一种数据可控使用方法》提供了一种隐私计算的新范式，即数据使用方的存储/计算节点中的存储逻辑分区被划分成数据提供方控制的安全域，保证隐私数据只能在安全域中进行处理，不能流出安全域。这保证了数据提供方的隐私数据虽然对数据使用方可见，但防止了数据使用方以各种方式将隐私数据拷贝出安全域从而进行二次贩卖。该方案能够在单机情况下妥善运行，保证任何进程不能违反限制非法拷贝数据，但是不能适用于联邦学习等分布式集群中。因此为了满足此类需求需要将上述文件限制拓展至分布式系统中。在一些情况下，一个集群中只会存在一个安全域，这是因为对于一个数据提供方会分配一个独立的集群。因此在这种情况下不存在多个安全域之间的数据交换的情况，如何实现不同主机间通过socket通信后不泄露安全域内的信息是需要解决的问题。

技术实现思路

1、针对现有技术中的缺陷，本专利技术提供的一种网络传输的隐私保护方法及系统，可对网络通信进行额外保护，满足进程即使在网络中发送接收数据也不会存在进程向安全域外泄露数据。

2、第一方面，本专利技术实施例提供的一种网络传输的隐私保护方法，包括：

3、主机获取网络传输中的原始明文；

4、采用对称加密算法对原始明文进行加密，得到加密后的数据包，所述数据包包括加密密文、认证标签和随机向量；

5、在数据包上增加载荷得到的数据包包括加密密文

6、跟踪与统计经过主机的所有数据包，并修改数据包的协议报头，得到修改后的数据包并把修改后的数据包经过网络传输到对端主机；

7、对端主机接收修改后的数据包，解密修改后的数据包并查找数据包对应进程，根据进程判断数据包是否可以接收，若不可以接收，则丢弃数据包，若可以接收，则解密数据包并修改协议报头和交给上层协议栈处理。

8、第二方面，本专利技术实施例提供的一种网络传输的隐私保护系统，包括主机和对端主机，主机包括获取模块、加密模块、增加载荷模块和更新协议报头模块，所述对端主机包括接收处理模块，

9、所述获取模块用于主机获取网络传输中的原始明文；

10、所述加密模块用于采用对称加密算法对原始明文进行加密，得到加密后的数据包，所述数据包包括加密密文、认证标签和随机向量；

11、所述增加载荷模块用于在数据包上增加载荷得到的数据包包括加密密文、认证标签、随机向量和数据标签，所述数据标签用于标识数据包是否经过加密处理；

12、所述更新协议报头模块用于跟踪与统计经过主机的所有数据包，并修改数据包的协议报头，得到修改后的数据包并把修改后的数据包经过网络传输到对端主机；

13、所述接收处理模块对端主机接收修改后的数据包，解密修改后的数据包并查找数据包对应进程，根据进程判断数据包是否可以接收，若不可以接收，则丢弃数据包，若可以接收，则解密数据包并修改协议报头和交给上层协议栈处理。

14、本专利技术的有益效果：

15、本专利技术实施例提供的一种网络传输的隐私保护方法及系统，通过对传输中的数据包进行加密，并对加密后的数据包添加载荷，即打上一个标识位（数据标签）来标识数据包是否可能含有隐私数据，在socket连接对端内核就可以知道所有加密了的数据包是可能包含隐私数据的，那么内核就会对接收此数据包的进程做权限校验，判断其是否可以接收此数据包，如果可以接收，那么内核会将其解密并交给应用层，如果不可以接收，那么此包将会被直接丢弃。为网络通信提供了额外的保护，满足进程即使在网络中发送接收数据也不会存在进程向安全域外泄漏数据，达到数据可控的要求，同时还具有高通用性、高兼容性。

本文档来自技高网...

【技术保护点】

1.一种网络传输的隐私保护方法，其特征在于，包括：

2.如权利要求1所述的方法，其特征在于，所述解密修改后的数据包并查找数据包对应进程具体包括：

3.如权利要求1所述的方法，其特征在于，所述对称加密算法采用AES-GCM算法。

4.如权利要求1所述的方法，其特征在于，所述协议报头包括TCP的seq序号、ack序号、TCP的校验和字段IP的校验和字段以及数据包总长度字段。

5.一种网络传输的隐私保护系统，包括主机和对端主机，其特征在于，所述主机包括获取模块、加密模块、增加载荷模块和更新协议报头模块，所述对端主机包括接收处理模块，

6.如权利要求5所述的系统，其特征在于，所述接收处理模块包括进程查找单元，所述进程查找单元用于解密数据包得到加密密文、认证标签、随机向量和数据标签，根据数据标签判断数据包是否为加密数据包，若是未加密的数据包，则直接通过，若是加密的数据包，则获取数据包对应进程序号。

7.如权利要求5所述的系统，其特征在于，所述对称加密算法采用AES-GCM算法。

8.如权利要求5所述的系统，

...

【技术特征摘要】

1.一种网络传输的隐私保护方法，其特征在于，包括：

2.如权利要求1所述的方法，其特征在于，所述解密修改后的数据包并查找数据包对应进程具体包括：

3.如权利要求1所述的方法，其特征在于，所述对称加密算法采用aes-gcm算法。

4.如权利要求1所述的方法，其特征在于，所述协议报头包括tcp的seq序号、ack序号、tcp的校验和字段ip的校验和字段以及数据包总长度字段。

5.一种网络传输的隐私保护系统，包括主机和对端主机，其特征在于，所述主机包括获取模块、加密模块、增加载荷模块和更新协议报头模块，所述对...

【专利技术属性】
技术研发人员：王宸敏，曾驭龙，张金波，范学鹏，汤载阳，
申请(专利权)人：北京熠智科技有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人