一种基于编码的流数据传输防泄密方法及系统

技术领域

本发明涉及流数据安全传输领域，特别是涉及一种基于编码的流数据传输防泄密方法及系统。

背景技术

随着通信技术和多媒体技术的发展，人们越来越不满足于文本和语音的交流，以视频会议为主的网络多媒体应用变得越来越广泛。同时，第五代通信技术的大规模普及，也促使视频会议系统更加智能、高效、方便、快捷，不仅全面提升各行业的信息化水平，而且还能做到各方零距离交流。视频会议是一种在远程、多点之间提供实时音频和视频传输的会议业务，多方时刻传输并接受流数据形式的视频信息、语音信息和文字信息等。但是，由于流数据的特性：体量巨大、价值高等，使视频会议的过程更容易遭受空口无线信号干扰和协议攻击。目前，视频会议的数据使用第五代移动通信技术传输，即数据传输的过程中仍使用SSL/TLS协议对流量进行加密，但是使用此种方式保护的流数据不能避免攻击者的特征分析，即攻击者从捕获的海量流数据包中分析得到其中的统计特征信息，比如帧字节的长度统分布矩阵、包字节的长度分布矩阵等。而这些信息经过特定的组合、筛选和分析之后，将能从侧面反映出参与方的行为、表现和会议进程等信息。因此，目前的流数据传输的安全性仍有待提高。

发明内容

基于此，有必要提供一种基于编码的流数据传输防泄密方法及系统，通过对传输的流数据再编码，隐匿在数据传输中某些引起数据泄露问题的传输特征，以避免攻击者在网络层级上对流数据帧统计、分类以得出用户私密信息，从而保护用户操作的隐秘性和服务的安全性。

为实现上述目的，本发明提供了如下方案：

一种基于编码的流数据传输防泄密方法，包括：

获取历史网络流数据文件，并统计所述历史网络流数据文件中各数据帧的数据域长度，得到帧长分布序列；

由所述帧长分布序列确定预设分级参数得到分级阈值列表，并对所述分级阈值列表进行规格化处理，得到规格化后的分级阈值列表；

获取待处理数据帧的数据域长度，基于所述待处理数据帧的数据域长度和所述规格化后的分级阈值列表生成填充比特数据；

基于空值填充比特和所述填充比特数据对所述待处理数据帧进行空值填充和矩阵底部填充，得到行填充后的矩阵并混淆；

采用哈希函数对混淆后的矩阵进行哈希填充，得到加密数据帧并传输；

当接收端接收到所述加密数据帧后，将所述加密数据帧分割为比特数据部矩阵和哈希值部矩阵，并基于所述哈希值部矩阵进行哈希值验证，基于由验证结果生成的验证标记序列对所述比特数据部矩阵进行过滤，再去除过滤后的矩阵中矩阵底部填充的数据帧后得到原始数据帧。

可选的，所述获取历史网络流数据文件，并统计所述历史网络流数据文件中各数据帧的数据域长度，得到帧长分布序列，具体包括：

获取历史网络流数据文件以及设备物理地址；

对所述历史网络流数据文件解析，得到以数据帧为单位的解析字符；

基于所述设备物理地址删除所述解析字符中的噪声数据帧，得到历史数据；

统计所述历史数据中各数据帧的数据域长度，得到帧长分布序列。

可选的，所述由所述帧长分布序列确定预设分级参数得到分级阈值列表，并对所述分级阈值列表进行规格化处理，得到规格化后的分级阈值列表，具体包括：

由所述帧长分布序列确定预设分级参数，基于所述历史数据中数据帧的总个数和所述预设分级参数，从所述历史数据的所有数据域长度中选取目标数据域长度作为分级阈值，得到分级阈值列表；

对所述分级阈值列表进行规格化处理，得到规格化后的分级阈值列表；其中，

可选的，所述获取待处理数据帧的数据域长度，基于所述待处理数据帧的数据域长度和所述规格化后的分级阈值列表生成填充比特数据，具体包括：

获取待处理数据帧的数据域长度，并查询所述规格化后的分级阈值列表，确定所述待处理数据帧的填充长度阈值；所述填充长度阈值为

随机生成长度为所述填充长度阈值的填充比特数据。

可选的，所述基于空值填充比特和所述填充比特数据对所述待处理数据帧进行空值填充和矩阵底部填充，得到行填充后的矩阵并混淆，具体包括：

将所述待处理数据帧的数据域进行矩阵转换，得到待处理矩阵；所述待处理矩阵的大小为(

采用空值填充比特填充所述待处理矩阵中的空值，得到空值填充后的矩阵；所述空值填充比特的长度为(

从所述填充比特数据中选取行填充数据；其中，

由所述空值填充后的矩阵确定扩增矩阵；所述扩增矩阵的大小为

将所述行填充数据填充所述扩增矩阵的底部，得到行填充后的矩阵；

生成长度为

将所述标记后的矩阵的第

可选的，所述采用哈希函数对混淆后的矩阵进行哈希填充，得到加密数据帧并传输，具体包括：

采用哈希函数计算所述混淆后的矩阵中各行比特数据的哈希值，得到长度为

删除所述哈希填充后的矩阵中的标记序列，得到扩增后矩阵，并将所述扩增后矩阵展平为一维序列，得到加密数据帧并传输。

可选的，所述当接收端接收到所述加密数据帧后，将所述加密数据帧分割为比特数据部矩阵和哈希值部矩阵，并基于所述哈希值部矩阵进行哈希值验证，基于由验证结果生成的验证标记序列对所述比特数据部矩阵进行过滤，再去除过滤后的矩阵中矩阵底部填充的数据帧后得到原始数据帧，具体包括：

当接收端接收到所述加密数据帧后，对所述加密数据帧进行矩阵转换，并将转换后的矩阵按列分割为比特数据部矩阵和哈希值部矩阵；

基于所述哈希值部矩阵进行哈希值验证，由验证结果生成验证标记序列，并删除所述比特数据部矩阵中所述验证标记序列为0对应的行比特数据，得到过滤后的矩阵；

读取所述过滤后的矩阵中最后一行比特数据以及所述最后一行比特数据按照小端序存储时第一个出现1的位置，并根据

将所述更新后的矩阵展平为一维序列，得到原始数据帧。

可选的，所述基于所述设备物理地址删除所述解析字符中的噪声数据帧，得到历史数据，具体包括：

检测所述解析字符中各数据帧的源地址和目的地址；

将所述解析字符中源地址不等于所述设备物理地址且目的地址不等于所述设备物理地址的数据帧确定为噪声数据帧；

将所述噪声数据帧从所述解析字符中删除，得到历史数据。

可选的，所述基于所述历史数据中数据帧的总个数和所述预设分级参数，从所述历史数据的所有数据域长度中选取目标数据域长度作为分级阈值，得到分级阈值列表，具体包括：

对所述历史数据的所有数据域长度进行增序排序，得到长度序列；

从所述长度序列中选取

本发明还提供了一种基于编码的流数据传输防泄密系统，包括：

数据帧长度分析模块，用于获取历史网络流数据文件，并统计所述历史网络流数据文件中各数据帧的数据域长度，得到帧长分布序列；由所述帧长分布序列确定预设分级参数得到分级阈值列表，并对所述分级阈值列表进行规格化处理，得到规格化后的分级阈值列表；

数据帧帧长填充混淆模块，用于获取待处理数据帧的数据域长度，基于所述待处理数据帧的数据域长度和所述规格化后的分级阈值列表生成填充比特数据；基于空值填充比特和所述填充比特数据对所述待处理数据帧进行空值填充和矩阵底部填充，得到行填充后的矩阵并混淆；采用哈希函数对混淆后的矩阵进行哈希填充，得到加密数据帧并传输；

数据帧识别模块，用于当接收端接收到所述加密数据帧后，将所述加密数据帧分割为比特数据部矩阵和哈希值部矩阵，并基于所述哈希值部矩阵进行哈希值验证，基于由验证结果生成的验证标记序列对所述比特数据部矩阵进行过滤，再去除过滤后的矩阵中矩阵底部填充的数据帧后得到原始数据帧。

与现有技术相比，本发明的有益效果是：

本发明提出了一种基于编码的流数据传输防泄密方法及系统，通过统计历史网络流数据文件中各数据帧的数据域长度得到的帧长分布序列生成分级阈值列表，以便后续进行数据帧帧长分级填充；通过对视频会议传输时产生的流数据帧数据部（待处理数据帧的数据域）进行帧长填充处理，避免了因数据帧长变化暴露数据传输特征，以致影响用户隐私安全问题的发生；通过哈希值验证、过滤和去除矩阵底部填充的数据帧，保证填充后的数据帧能够被接收端正确的还原，以便正常通信。本发明通过对传输的流数据再编码，隐匿在数据传输中某些引起数据泄露问题的传输特征，避免了攻击者在网络层级上对流数据帧统计、分类以得出用户私密信息，从而保护了用户操作的隐秘性和服务的安全性，相比现有流数据传输防泄密方法，安全性更高、抗干扰能力更强。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的基于编码的流数据传输防泄密方法的流程图；

图2为本发明实施例提供的基于编码的流数据传输防泄密系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1为本发明实施例提供的基于编码的流数据传输防泄密方法的流程图。

本实施例以视频会议场景下的流数据为例，本实施例的基于编码的流数据传输防泄密方法整体分为三个过程：

数据帧长度分析过程：

通过统计视频会议场景中传输的历史流数据帧长度分布情况生成相关的分段阈值，以便后续分级填充。首先，通过Scapy嗅探工具解析历史视频网络流数据，并过滤无关的噪音数据。Scapy嗅探工具可以将码流解析为以数据帧为单位的解析字符并记录相应的时间戳、传输源端和目的端，通过检测数据帧源端和目的端过滤与本次视频会议无关的数据帧；其次，统计数据帧的帧长分布序列：依次记录每个数据帧长度，并以帧长分布序列形式保存；最后，根据数据帧的帧长分布情况，确定填充阈值。该过程通过输入历史视频会议流数据，输出填充阈值向量。

数据帧帧长填充混淆过程：

通过对视频会议传输时产生的流数据帧数据部进行帧长填充处理，以便避免因数据帧长变化暴露数据传输特征，影响用户隐私安全。首先，分析数据帧分级填充长度。为了避免单一数据帧填充长度所造成网络传输负载增加，以致影响数据帧传输效率情况的发生，根据数据帧长度分析过程生成的填充阈值向量对不同数据帧采用不同级别填充长度；其次，随机生成填充比特数据，并按照一定规则填充数据帧的数据域，其中，比特数据的填充应遵循一定混淆行，使攻击者无法通过清洗得出原始的数据；最后，利用HASH函数标识填充数据域，使填充比特在接收端能被高效地分离。该过程通过输入原始数据帧，输出被填充混淆后的数据帧。

数据帧识别过程：

保证填充后的数据帧能够被接收端正确的还原，以便不影响视频会议正常通信。首先，读取数据帧的数据域，并将其恢复为矩阵形式，这将有助于后续索引哈希值与实际比特数据；其次，验证哈希值：验证矩阵每行哈希值，据此过滤填充数据帧；之后，去除额外填充数据帧，即删除矩阵尾部填充的数据帧；最后，数据域恢复：将矩阵恢复为原始数据域，保证数据的可用性。该过程通过输入被填充混淆后的数据帧，输出原始数据帧。

本实施例的基于编码的流数据传输防泄密方法，具体包括：

步骤101：获取历史网络流数据文件，并统计所述历史网络流数据文件中各数据帧的数据域长度，得到帧长分布序列。所述历史网络流数据文件为视频会议场景下传输的网络流数据文件。

所述步骤101，具体包括：

1）读取历史流数据与相关参数。具体为：读取历史网络流数据文件

2）解析并过滤无关的噪音数据帧。具体为：对所述历史网络流数据文件解析，得到以数据帧为单位的解析字符；基于所述设备物理地址删除所述解析字符中的噪声数据帧，得到历史数据，具体为：依次检测所述解析字符中第

3）建立统计序列，依次记录每个数据帧长度。若首次执行步骤3），则将索引范围为[

31）：读取数据帧。若首次执行步骤31），则赋予

32）：分析数据帧长度，并更新统计序列

33）：更新变量

步骤102：由所述帧长分布序列确定预设分级参数得到分级阈值列表，并对所述分级阈值列表进行规格化处理，得到规格化后的分级阈值列表。

所述步骤102，具体包括：

首先，由所述帧长分布序列和安全要求确定预设分级参数

然后，基于所述历史数据中数据帧的总个数

最后，对所述分级阈值列表进行规格化处理，得到规格化后的分级阈值列表

步骤103：获取待处理数据帧的数据域长度，基于所述待处理数据帧的数据域长度和所述规格化后的分级阈值列表生成填充比特数据。

所述步骤103，具体包括：

首先，读取待处理数据帧

步骤104：基于空值填充比特和所述填充比特数据对所述待处理数据帧进行空值填充和矩阵底部填充，得到行填充后的矩阵并混淆。该步骤首先将待处理数据帧

所述步骤104，具体包括：

数据帧转换矩阵。将所述待处理数据帧的数据域

填充矩阵空值。采用空值填充比特填充所述待处理矩阵中的空值，得到空值填充后的矩阵；所述空值填充比特的长度（空值个数）为(

比特数据填充。首先，从所述填充比特数据中选取行填充数据；其中，

混淆行数据。首先，生成长度为

步骤105：采用哈希函数对混淆后的矩阵进行哈希填充，得到加密数据帧并传输。

所述步骤105，具体包括：

哈希函数标识填充数据域。采用哈希（

规格化数据帧。将所述扩增后矩阵展平为一维序列，替换

步骤106：当接收端接收到所述加密数据帧后，将所述加密数据帧分割为比特数据部矩阵和哈希值部矩阵，并基于所述哈希值部矩阵进行哈希值验证，基于由验证结果生成的验证标记序列对所述比特数据部矩阵进行过滤，再去除过滤后的矩阵中矩阵底部填充的数据帧后得到原始数据帧。

所述步骤106，具体包括：

规格化数据帧的数据域。当接收端接收到所述加密数据帧

分离实际比特数据与哈希值。将矩阵

验证哈希值。依次读取矩阵

过滤填充数据帧。依次读取矩阵

去除额外填充数据帧。读取矩阵

数据域恢复。将更新后的矩阵展平为一维序列，并替换

本实施例针对网络视频会议场景下由流数据特征暴露引发的会议用户安全隐私泄露的问题，首先分析当前视频会议流数据中数据帧长度分布情况与数据安全等级，确定合理的分段阈值。以此为基础提出数据帧分级填充策略，通过抹平数据帧长度特征，在阻止视频会议流数据特征泄露隐私的同时，具有不易被攻击者识别、清洗的特点。

本发明还提供了一种基于编码的流数据传输防泄密系统，图2为本发明实施例提供的基于编码的流数据传输防泄密系统的结构示意图。参见图2，本实施例的基于编码的流数据传输防泄密系统包括：

数据帧长度分析模块201，用于获取历史网络流数据文件，并统计所述历史网络流数据文件中各数据帧的数据域长度，得到帧长分布序列；由所述帧长分布序列确定预设分级参数得到分级阈值列表，并对所述分级阈值列表进行规格化处理，得到规格化后的分级阈值列表。

数据帧帧长填充混淆模块202，用于获取待处理数据帧的数据域长度，基于所述待处理数据帧的数据域长度和所述规格化后的分级阈值列表生成填充比特数据；基于空值填充比特和所述填充比特数据对所述待处理数据帧进行空值填充和矩阵底部填充，得到行填充后的矩阵并混淆；采用哈希函数对混淆后的矩阵进行哈希填充，得到加密数据帧并传输。

数据帧识别模块203，用于当接收端接收到所述加密数据帧后，将所述加密数据帧分割为比特数据部矩阵和哈希值部矩阵，并基于所述哈希值部矩阵进行哈希值验证，基于由验证结果生成的验证标记序列对所述比特数据部矩阵进行过滤，再去除过滤后的矩阵中矩阵底部填充的数据帧后得到原始数据帧。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。