[发明专利]一种基于对称密钥体制的加密数据异常检测方法与系统

权利要求书

1.一种基于对称密钥体制的加密数据异常检测方法，其特征在于，包括以下步骤：

步骤S1，令牌生成：客户端根据分隔符来对完整明文进行划分处理，得到明文块集；客户端使用带密钥的哈希函数对明文块进行哈希；客户端利用伪随机函数与明文块哈希值生成密钥；客户端通过使用伪随机发生器以及种子密钥集合，生成数目与明文块数目相对应的伪随机值集合，用于隐藏密文信息；客户端将每一个伪随机值以及与其对应的明文块哈希生成的密钥构成的一个二元元组存入记录表中，该表用于增强版检测方案；客户端将明文块哈希值与经过处理的伪随机值进行异或，得到关于每一明文块的令牌；客户端对完整明文进行TLS加密获得TLS加密流量，之后将TLS密文流、记录表与令牌集一同发送给中间件以执行检测操作；

步骤S2，模糊规则生成：规则生成器利用包含恶意关键字的规则集、带密钥的哈希函数，生成模糊规则集和密钥集，发送给中间件；

步骤S3，令牌检测：中间件收到来自客户端和规则生成器的数据后，利用检测算法对令牌集进行异常检测，如果存在令牌与某一模糊规则匹配，则判定流量中含有恶意关键字；

步骤S4，一致性验证：当令牌集经中间件检查并确认安全后，TLS加密流量与令牌集由中间件送至服务器，服务器解密获得明文流，并对明文流执行与所述步骤S1相同的令牌化操作，用于判别客户端是否存在欺骗行为，若有欺骗行为存在，则服务器将情况告知中间件，再由中间件传达至规则生成器以解决纠纷；

步骤S5，纠纷解决：客户端可能会否认服务器的验证结果而与之产生纠纷，规则生成器将作为可信第三方进行证据收集，并对双方行为做出判断。

2.根据权利要求1所述的一种基于对称密钥体制的加密数据异常检测方法，其特征在于：所述步骤S1开展之前所需的准备工作包括，客户端和服务器协商得到本方案所需的全部密钥；中间件生成一个随机值，将其分别发送给客户端和服务器，得到经过TLS密钥加密处理的随机值的密文，将随机值及其密文作为数字取证进行存储，用以解决纠纷；客户端和服务器将协商得到的部分密钥经处理发送给规则生成器。

3.根据权利要求1所述的一种基于对称密钥体制的加密数据异常检测方法，其特征在于：所述步骤S2的具体实现包括，规则生成器生成包含恶意关键字的规则集，并使用带密钥的哈希函数对规则集中每一个规则进行哈希，得到模糊规则；规则生成器将上述的一系列模糊规则作为种子，使用伪随机函数生成对应的密钥，即每一个密钥都与一个特定规则相对应；规则生成器将模糊规则集和密钥集一并发送给中间件。

4.根据权利要求1所述的一种基于对称密钥体制的加密数据异常检测方法，其特征在于：所述步骤S3有两种令牌检测算法可供选择，

令牌检测算法1：对于每一个模糊规则，让其与令牌集中的所有令牌进行异或；从异或结果的最高位开始，取特定位数作为种子，使用与该模糊规则对应的密钥以及伪随机函数，生成一特定随机值；观察该随机值是否与异或结果的剩余位数的值相等，如果相等则说明规则匹配成功，表明客户端发送的令牌中含有恶意关键字，立即进行安全处理；

令牌检测算法2：对于每一个模糊规则，让其与令牌集中的所有令牌进行异或；从异或结果的最高位开始，取特定位数作为一个二元元组中的一个元素，模糊规则对应的密钥作为元组的另一个元素，遍历记录表来寻找该元组的匹配；如果在表中发现匹配，表明客户端发送的令牌中含有恶意关键字，立即进行安全处理；

两种令牌检测算法在未检测到匹配的情况下，中间件认为明流量安全，中间件需要使用哈希函数对TLS密文流进行哈希处理，生成并存储TLS密文流的哈希值以作为解决争端的依据；中间件将TLS密文流和令牌集一并发送给服务器。

5.根据权利要求1所述的一种基于对称密钥体制的加密数据异常检测方法，其特征在于：所述步骤S4的具体实现包括，服务器用TLS密钥解密密文流得到完整明文；服务器对明文做与所述步骤S1相同的操作得到新令牌集；服务器将生成的新令牌集与从客户端处收到的令牌集进行比对，若相等，则说明客户端不存在欺骗行为，否则，认为客户端存在欺骗，将结果报告给中间件，再由中间件转达至规则生成器。