[发明专利]一种针对隐私泄漏的网络数据防护方法及对应的防火墙

说明书

本发明提供一种针对隐私泄漏的网络数据防护方法及对应的防火墙，通过检测被认定的隐私数据，判断数据所承载在的涉隐私设备是否支持该隐私数据的类别，分析用户传输的意图，如果相关涉隐私设备不支持传输隐私数据的类别，则判断为隐私泄露；引入资源安全动态分层的技术手段，将出现隐私泄露的涉隐私设备剔除出相应的安全分层，还可以根据物理设备的状态实时动态调整安全分层；引入动态调整属性域的技术手段，降低被攻击的概率，以此更好地保护不同用户的业务数据。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种针对隐私泄漏的网络数据防护方法及对应的防火墙。

背景技术

现有网络数据传输机制容易造成用户或业务的隐私数据泄露。常见的隐私泄露检测方法是检测是否存在隐私数据的传输。然而传输隐私数据并不一定意味着隐私泄露，非用户意图的传输才会导致隐私泄露。所以一种传输机制或系统能否准确判断用户传输意图，就变得非常重要。

同时，传统的网络架构分层并不是从网络安全角度来划分，更多的是从网络传输角度来划分的，网络的安全性急需加强。

因此，急需一种针对性的网络防护方法和对应的防火墙。

发明内容

本发明的目的在于提供一种针对隐私泄漏的网络数据防护方法及对应的防火墙，解决现有传输机制难以准确判断用户传输的意图，并引入资源安全动态分层的技术手段，更好地保护不同用户的业务数据。

第一方面，本申请提供一种针对隐私泄漏的网络数据防护方法，所述方法包括：

将指定网络资源定义为数据提取层、网络传输层、业务分析层和主控节点；

所述数据提取层，包括：按照所承载的业务属性对底层物理设备进行安全分类，分为普通设备和涉隐私设备；将普通设备列入普通安全分层，涉隐私设备列入隐私安全分层，普通安全分层不进行数据传输加密，涉隐私安全分层进行数据传输第一属性加密；

其中，所述数据提取层还包括：周期获知所有物理设备的工作状态，激活休眠的物理设备，休眠故障的物理设备；将重新激活的物理设备按照分类不同列入不同的安全分层，将进入休眠的物理设备剔除出相应的安全分层；将出现隐私泄露的涉隐私设备剔除出相应的安全分层；

所述网络传输层，包括：根据用户属性动态划分不同的属性域，对跨域不同属性域的传输数据进行涉隐私判断，判断所述传输数据中是否包括有隐私关键词，如果有则认定所述传输数据为隐私数据；根据业务不同将隐私数据分为若干个类别，根据所述传输数据中的隐私关键词，将所述传输数据与对应的类别关联起来；

其中，所述网络传输层还包括：对隐私数据进行基于用户属性的第二属性加密；基于业务和用户属性制定不同的访问控制策略，并将所述访问控制策略下发所述数据提取层；

所述属性加密设置在云服务器上执行，包括初始化，建立两个乘法循环群，根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系，随机选取两个随机数，为每一个用户属性设置唯一的伪随机号和属性公钥，将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数；输入主密钥和用户属性集，从乘法循环群里随机选择时刻变量和用户参量，所述用户参量与每个用户一一关联，计算得到用户的属性私钥；

输入数据，将所述数据携带的用户身份标识和用户所属的属性域标识发送至云服务器，所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥，将数据根据搜索得到的属性私钥进行加密，得到加密后的数据；再次根据所述用户属性集，将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构，生成第二加密密钥，使用所述第二加密密钥对所述加密后的数据进行重加密，得到重加密后的密文，将所述密文发送至所述主控节点；