Practical and Privacy-Preserving Deep Packet Inspection admin 102346文章 87评论 2022年3月1日11:59:17评论62 views字数 1264阅读4分12秒阅读模式 点击上方 蓝字 关注我们 1. Introduction P2DPI加密系统由四个部分组成,Rule generator (RG), Middlebox (MB), Sender (S) and Receiver (R) RG:向MB提供检测规则,并对外进行规则的保密,RG可以为MB提供可靠的检测规则,但也有可能被恶意方利用损害用户的隐私 MB:接收从RG传送的检测规则,用于检查从S向R传送的加密流量 S/R:通过专用通道进行彼此通信的双方,如果一方被破坏,通过检测规则,恶意参与者可能会逃避检测系统。 如图所示,发送方(S)和接收方(R)之间的P2DPI协议是通过与MB交换检测规则来启动的。MB和S/R成功共享检测规则后,MB将根据模糊规则计算会话规则,该规则仅用于检查此会话。S将对话内容进行加密,使用会话规则中的加密处理token,并将它们发送到R。因此,在经过MB时不仅可以通过验证规则,又起到了加密保密的效果。到达R时必须验证token是否与通过加密通道交付的数据真正匹配。 作者在设计P2DPI系统是在S和R之间设计了一条类似于TLS的会话通道,在对于P2DPI的攻击角度上,我们将忽略TLS,只考虑两者与MB之间的联系通道。 2. Encryption notations :RG共享给MB的密钥,用于隐藏检测规则 :S与R共享的密钥,用于混淆他们的会话 :RG生成的检测规则(文本形式) :RG生成的模糊检测规则,由通过key-homomorphic PRF进行混淆生成 :使用RG的私钥生成的的签名,可用RG的公钥进行验证 :临时中间混淆规则 :模糊会话规则 :用于混淆的随机函数 :用于混淆的随机函数 :检测规则的数量 Rule Setup 1.RG选取,是一个p阶的有效循环群,选取随机密钥,对于每一个都进行如下计算得到 接着使用私钥计算的签名,并将每组发送给MB 2.S和R与MB建立连接请求 3.MB向S和R发送 4.S和R使用RG的公钥进行的验证,如果验证成功则选取并彼此共享,如果验证失败则退出 5.S和R计算临时中间混淆规则,再发送给MB 6.MB对进行检测,如果比对不一致则断开与S和R的连接,如果一致则MB计算 transforming tokens 1.token格式设定要求,作者使用了b=8的token分割方式 2.R与S设定token为,并选择一个随机数c,,并将其发送给R与MB 3.R对每个进行验证,如果不匹配则通知MB 4.MB使用(j为检测规则的个数)与进行对比 vulnerability 是一个阶为p的有限循环群,假设由生成,其中,那么成立 the attack1 1.RG向S/R发送混淆规则和其签名 2.S/R验证签名,并计算中间混淆规则发送给MB 3.RG计算 4.利用生成元计算 5.利用这些参数构造得到 这就意味着RG现在可以在不知道的情况下加密任何消息 6.遍历爆破比对 the attack2 1.RG像S/R发送两个混淆规则 以及他们的签名 2.S/R验证签名后计算发送给MB 3.RG计算 4.有和后,RG可以任意伪造信息 5.同attack1进行遍历爆破。 点个在看你最好看 点赞 http://cn-sec.com/archives/808786.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论