基于群公钥加密等值测试的防火墙过滤方法

本发明属于防火墙过滤，具体是基于群公钥加密等值测试的防火墙过滤方法。

背景技术：

1、当前防火墙的数据包过滤技术，根据数据包中包头信息对数据实施有选择的通过或阻断，将不符合的数据包过滤掉。如基于tcp/ip协议的数据报文进出通道，通过检查数据流中每个数据包头部，根据数据包的源地址、目的地址、tcp/udp源端口号、tcp/udp目的端口号以及数据包头中的各种标志位等因素来确定数据报文是否通过。

2、当前的数据在信道传输是都是以明文的信息发送，因为在公开的信道中会存在数据安全性的风险，所以为了保护用户的隐私，需要对发送的报文进行加密处理。

3、现有加密技术中，例如中国专利，公布号为cn112733176a的专利公开了基于全域哈希的标识密码加密方法，包括密钥生成机构pkg生成初始化参数、系统主密钥和主公钥，形成并发布系统公共参数；密钥生成机构pkg给用户生成身份私钥；加密方根据随机数和公开参数以及解密方身份标识进行计算得到c1，根据k1对明文m进行加密得到c2，根据k2和c2进行得到c3，根据c1，c2，c3得到c；解密方利用与自己身份信息相对应的私钥对c进行解密，得到明文。

4、该专利利用全域哈希运算结合用户身份进行明文加密，但是由于密钥结构的改变，数据加密后会失去原本的特点与结构，使得防火墙难以对加密的数据包进行过滤，无法有效过滤掉有害信息，因此，我们提出了基于群公钥加密等值测试的防火墙过滤方法

技术实现思路

1、为了解决现有加密技术对数据加密后，由于密钥结构的改变，数据会失去原本的特点与结构，使得防火墙难以对加密的数据包进行过滤，无法有效过滤掉有害信息的问题，本发明的目的是提供基于群公钥加密等值测试的防火墙过滤方法。

2、为了实现上述目的，本发明的技术方案如下：基于群公钥加密等值测试的防火墙过滤方法，包括如下步骤：

3、s1、发送方向群管理员提出群公钥申请，申请通过后，密钥生成机构基于安全参数λ，生成系统参数{pp、g、h1、h2、h3}和发送方私钥skj；

4、s2、密钥生成机构基于输入的系统参数pp，生成一个接收方的公私钥对(pki,ski)和一个群私钥gsk；

5、s3、密钥生成机构基于输入的群私钥gsk和公钥pki，生成一个群公钥gpki；

6、s4、发送方从通信网络中获取数据报文，通过加密算法处理后发送至防火墙进行等值测试：

7、若测试显示加密报文存在有害信息，则防火墙拦截；

8、若测试显示加密报文不存在有害信息，则防火墙将加密报文发送至接收方；

9、s5、接收方接收到加密报文后，使用接收方的私钥ski进行解密。

10、进一步，所述s4中发送方与接收方采用非对称方式加密，具体如下：发送方通过发送方私钥skj、接收方公钥pki和群公钥gpki对报文进行加密，接收方使用接收方的私钥ski进行解密。

11、进一步，所述s4中加密报文按元组划分，元组包括四元组、五元组或七元组。

12、进一步，四元组包括源ip地址、目的ip地址、源端口和目的端口四元信息。

13、进一步，五元组包括源ip地址、目的ip地址、协议号、源端口和目的端口五元信息。

14、进一步，七元组包括七元组采用源ip地址、目的ip地址、协议号、源端口、目的端口、服务类型和接口索引七元信息。

15、进一步，当发送方选择五元组对报文m加密时，加密步骤具体如下：

16、s41、基于发送方私钥pkj、接收方公钥pki和群公钥gpki，计算第一密文c1、第二密文c2、第三密文c3和第四密文c4，其中其中，r1和r2是用户zp整数集合中选取的两个随机、s2是群管理员ga在zp整数集合中的秘密值，xi是用户zp整数集合中选取的私钥；

17、s42、基于第一密文c1、第二密文c2、第三密文c3和第四密文c4，计算得到第五密文c5，其中c5＝h4(c1||c2||c3||c4||m||r1)。

18、进一步，所述s4中防火墙采用发送方与接收方约定的过滤规则对元组进行等值测试。

19、采用上述方案后实现了以下有益效果：

20、本方案基于群公钥加密对加密报文进行等值测试，发送方按元组划分报文，通过发送方私钥skj、接收方公钥pki和群公钥gpki对报文进行加密，加密后的报文不会失去原本的特点与结构，防火墙作为检测方，在收到群管理员的授权后，按约定好的过滤规则，对加密的数据包进行等值测试，若数据包中存在有害报文信息就会被拦截；若不存在有害信息则发送至接收方；当接收方收到加密报文后，使用自己的私钥ski，来解密从而获得数据，既保护了用户数据的隐私，也提高了防火墙过滤报文的安全性。

技术特征：

1.基于群公钥加密等值测试的防火墙过滤方法，其特征在于：包括如下步骤：

2.根据权利要求1所述的基于群公钥加密等值测试的防火墙过滤方法，其特征在于：所述s4中发送方与接收方采用非对称方式加密，具体如下：发送方通过发送方私钥skj、接收方公钥pki和群公钥gpki对报文进行加密，接收方使用接收方的私钥ski进行解密。

3.根据权利要求1所述的基于群公钥加密等值测试的防火墙过滤方法，其特征在于：所述s4中加密报文按元组划分，元组包括四元组、五元组或七元组。

4.根据权利要求3所述的基于群公钥加密等值测试的防火墙过滤方法，其特征在于：四元组包括源ip地址、目的ip地址、源端口和目的端口四元信息。

5.根据权利要求3所述的基于群公钥加密等值测试的防火墙过滤方法，其特征在于：五元组包括源ip地址、目的ip地址、协议号、源端口和目的端口五元信息。

6.根据权利要求3所述的基于群公钥加密等值测试的防火墙过滤方法，其特征在于：七元组包括七元组采用源ip地址、目的ip地址、协议号、源端口、目的端口、服务类型和接口索引七元信息。

7.根据权利要求5所述的基于群公钥加密等值测试的防火墙过滤方法，其特征在于：当发送方选择五元组对报文m加密时，加密步骤具体如下：

8.根据权利要求1所述的基于群公钥加密等值测试的防火墙过滤方法，其特征在于：所述s4中防火墙采用发送方与接收方约定的过滤规则对元组进行等值测试。

技术总结
本发明公开了防火墙过滤技术领域的基于群公钥加密等值测试的防火墙过滤方法，包括如下步骤：发送方向群管理员提出群公钥申请，申请通过后，基于安全参数λ，依次生成系统参数pp、发送方私钥sk<subgt;j</subgt;、接收方的公私钥对(pk<subgt;i</subgt;,sk<subgt;i</subgt;)、群私钥gsk和群公钥gpk<subgt;i</subgt;；发送方从通信网络中获取数据报文，通过加密算法处理后发送至防火墙进行等值测试；接收方接收到加密报文后，使用接收方的私钥sk<subgt;i</subgt;进行解密。发送方按元组划分报文，基于群公钥对报文进行加密，再按照过滤规则对加密报文进行等值测试，若数据包中存在有害报文信息就会被拦截；若不存在有害信息则发送至接收方；当接收方收到加密报文后，使用自己的私钥sk<subgt;i</subgt;解密获得数据，保护了用户数据的隐私，提高了防火墙过滤报文的安全性。

技术研发人员：曾晟珂,赵志良,李毅涵,程帅,冯雅雯,肖吉祥
受保护的技术使用者：西华大学
技术研发日：
技术公布日：2024/2/8