(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111412612.8 (22)申请日 2021.11.25 (71)申请人 江苏安超云软件 有限公司 地址 214000 江苏省无锡市经济开发区金 融三街6号1601室 (72)发明人 徐冬　顾欣　杨波　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 代理人 刘静 (51)Int.Cl. G06F 21/62(2013.01) H04L 9/40(2022.01) (54)发明名称 基于eBPF的数据安全传输方法及装置 (57)摘要 本发明涉及数据处理领域， 具体涉及一种基 于eBPF的数据安全传输方法及装置， 包括如下步 骤： 在生产环境中， 接收请求方发送的数据获取 请求； 其中， 数据获取请求中包含请求获取的目 标数据信息； 根据目标数据信息获取包括目标数 据的数据包， 并将数据包发送给Linux系统 内核； Linux系统内核接收数据包， 并对数据包进行解 析， 得到目标数据； 其中， Linux系统内核基于 eBPF接收、 解析数据包； 对目标数据进行数据脱 敏， 得到脱敏数据； Linux系统内核将脱敏数据传 输至请求方。 利用所有外发数据均要经过Linux 系统内核的特点， 对数据进行拦截， 再对所拦截 的数据进行脱敏操作， 能够保证所有外发的数据 均进行了脱敏处理， 避免未对外发数据进行脱 敏 处理， 导致的安全隐患。 权利要求书2页 说明书8页 附图4页 CN 114036569 A 2022.02.11 CN 114036569 A 1.一种基于eBPF的数据安全传输方法， 其特 征在于， 包括如下步骤： Linux系统内核接收请求方发送的数据获取请求对应的数据包， 并对所述数据包进行 解析， 得到目标 数据； 其中， 所述 Linux系统内核基于eBPF接收、 解析 所述数据包； 基于预设匹配规则对所述目标 数据进行 数据脱敏， 得到脱敏 数据； 所述Linux系统内核将所述脱敏 数据传输 至请求方。 2.如权利要求1所述的基于eBPF的数据安全传输方法， 其特征在于， 所述基于预设匹配 规则对目标 数据进行 数据脱敏， 得到脱敏 数据， 包括： 所述Linux系统内核基于预设匹配规则， 对目标 数据进行规则匹配； 对所述目标数据中匹配到的数据进行更改， 得到所述脱敏数据； 其中， 所述Linux系 统 内核基于eBPF对目标 数据进行规则匹配及更改。 3.如权利要求1所述的基于eBPF的数据安全传输方法， 其特征在于， 所述基于预设匹配 规则对目标 数据进行 数据脱敏， 得到脱敏 数据， 包括： 所述Linux系统内核将所述目标 数据发送至规则匹配单 元； 所述规则匹配单 元基于预设匹配规则， 对所述目标 数据进行规则匹配； 对所述目标 数据中匹配到的数据进行 更改， 得到所述脱敏 数据。 4.如权利要求2或3所述的基于eBPF的数据安全传输方法， 其特征在于， 所述更改包括 替换、 重排、 加密、 截断、 掩码及日期偏移取整中的至少一种。 5.如权利要求3所述的基于eBPF的数据安全传输方法， 其特 征在于， 所述方法还 包括： 对所述规则匹配单 元内的预设匹配规则进行 更改。 6.如权利要求1 ‑5任一所述的基于eBPF的数据安全传输方法， 其特征在于， 所述Linux 系统内核将所述脱敏 数据传输 至请求方， 包括： 所述规则匹配单 元将所述脱敏 数据发送至L inux系统内核； Linux系统内核将所述脱敏 数据传输 至请求方。 7.如权利 要求1‑5任一所述的基于eBPF的数据安全传输方法， 其特征在于， 所述方法还 包括： 在生产环境中， 接收请求方发送的数据获取请求； 其中， 所述数据获取请求中包含请求 获取的目标 数据信息； 根据所述目标数据信息获取包括目标数据的数据包， 并将所述数据包发送给Linux系 统内核。 8.一种基于eBPF的数据安全传输装置， 其特 征在于， 包括： 处理模块， 用于接收请求方发送的数据获取请求对应的数据包， 并对所述数据包进行 解析， 得到目标 数据； 脱敏模块， 用于基于预设匹配规则对所述目标 数据进行 数据脱敏， 得到脱敏 数据； 传输模块， 用于将所述脱敏数据传输至请求方； 其中， 处理模块和传输模块位于Linux 系统内核内， 所述 Linux系统内核基于eBPF接收、 解析 所述数据包。 9.一种计算机设备， 其特征在于， 包括： 存储器和 处理器， 所述存储器和所述处理器之 间互相通信连接， 所述存储器中存储有计算机指 令， 所述处理器通过执行所述计算机指 令， 从而执行权利要求1 ‑7中任一项所述的基于eBPF的数据安全传输方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机指权　利　要　求　书 1/2 页 2 CN 114036569 A 2令， 所述计算机指令用于使计算机执行权利要求1 ‑7中任一项所述的基于eBPF的数据安全 传输方法。权　利　要　求　书 2/2 页 3 CN 114036569 A 3