CN111586045B - 一种属性加密和动态安全层的防护方法及对应的防火墙 - Google Patents
一种属性加密和动态安全层的防护方法及对应的防火墙 Download PDFInfo
- Publication number
- CN111586045B CN111586045B CN202010381331.XA CN202010381331A CN111586045B CN 111586045 B CN111586045 B CN 111586045B CN 202010381331 A CN202010381331 A CN 202010381331A CN 111586045 B CN111586045 B CN 111586045B
- Authority
- CN
- China
- Prior art keywords
- sensing
- attribute
- user
- layer unit
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种属性加密和动态安全层的防护方法及对应的防火墙,将内网资源定义为传感安全层、网络中间安全层、业务安全层和虚拟网关节点,并将防火墙定义为传感安全层、网络中间安全层、业务安全层和虚拟网关节点四个部分,实现防火墙与内网资源网络分层的一一对应,可以根据传感设备的状态实时动态调整安全分层,并引入属性加密的技术手段,基于不同用户的属性和属性域,对传输数据进行属性加密,更好地保护不同用户的业务数据。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种属性加密和动态安全层的防护方法及对应的防火墙。
背景技术
现有的网络架构分层并不是从网络安全角度来划分,更多的是从网络传输角度来划分的,这样会给网络带来安全隐患。随着物联网、车联网的兴起,新型网络高速移动、灵活多变的特点,使得网络架构分层带来的安全隐患越来越突出。
因此,急需一种针对性的安全防护方法和对应的防火墙。
发明内容
本发明的目的在于提供一种属性加密和动态安全层的防护方法及对应的防火墙,解决现有技术中缺乏基于网络安全划分层级架构的问题,并引入属性加密的技术手段,更好地保护不同用户的业务数据。
第一方面,本申请提供一种属性加密和动态安全层的防护方法,所述方法包括:
将内网资源定义为传感安全层、网络中间安全层、业务安全层和虚拟网关节点;
所述传感安全层,包括:周期获知内网传感设备的工作状态,激活休眠的传感设备,休眠故障的传感设备,将所述休眠的传感设备剔除出传感层安全;建立权限名单,保证仅授权用户才能修改传感设备的配置参数,采用轻量级认证方式、或可信标识符对连接的网关型节点设备、感知型节点设备进行身份识别与认证,在感知型节点设备的硬件芯片中固化身份识别和认证的安全程序;
其中,所述周期获知内网传感设备的工作状态包括所述传感设备周期上传自身工作代码,如果所述工作代码符合故障代码,则判断该传感设备故障,休眠该故障的传感设备;
所述网络中间安全层,包括划分不同的属性域,基于用户属性加密隔离不同属性域的边界,实现内外网边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述传感安全层;在网关型节点设备之间和感知型节点设备之间设置密钥协商协议或身份认证协议,并对传输数据进行基于用户属性加密处理;基于可信根对感知型节点设备、网关型节点设备的配置参数、系统引导程序以及通信应用程序进行可信验证;
其中,所述基于用户属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至虚拟网关节点;
所述网络中间安全层还包括采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查感知型节点设备认证数据的新鲜度和检测数据是否被篡改;
所述业务安全层,包括业务数据包完整性和正确性检查,用户身份合法性认证,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述虚拟网关节点,包括内网传感设备注册,下发获知内网传感设备的工作状态的指令,下发休眠故障传感设备的指令,下发重新划分属性域的指令,编辑及上线访问控制策略,调度网关型节点设备之间和感知型节点设备之间的密钥协商或身份认证过程,响应业务请求,返回业务请求的结果,汇总设备审计数据,与云服务器交互,以及保存加密过程中使用的密钥;
所述虚拟网关节点还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
结合第一方面,在第一方面第一种可能的实现方式中,所述传感安全层、网络中间安全层、业务安全层和虚拟网关节点部署在同一个装置上。
结合第一方面,在第一方面第二种可能的实现方式中,所述传感安全层、网络中间安全层、业务安全层和虚拟网关节点部署在不同的装置上,装置之间协同工作。
结合第一方面,在第一方面第三种可能的实现方式中,所述数据融合可采用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
第二方面,本申请提供一种属性加密和动态安全层的防火墙,所述防火墙包括:传感安全层、网络中间安全层、业务安全层和虚拟网关节点四个部分,分别对应被定义为传感安全层、网络中间安全层、业务安全层和虚拟网关节点的内网资源;
所述传感安全层,包括:周期获知内网传感设备的工作状态,激活休眠的传感设备,休眠故障的传感设备,将所述休眠的传感设备剔除出传感层安全;建立权限名单,保证仅授权用户才能修改传感设备的配置参数,采用轻量级认证方式、或可信标识符对连接的网关型节点设备、感知型节点设备进行身份识别与认证,在感知型节点设备的硬件芯片中固化身份识别和认证的安全程序;
其中,所述周期获知内网传感设备的工作状态包括所述传感设备周期上传自身工作代码,如果所述工作代码符合故障代码,则判断该传感设备故障,休眠该故障的传感设备;
所述网络中间安全层,包括划分不同的属性域,基于用户属性加密隔离不同属性域的边界,实现内外网边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述传感安全层;在网关型节点设备之间和感知型节点设备之间设置密钥协商协议或身份认证协议,并对传输数据进行基于用户属性加密处理;基于可信根对感知型节点设备、网关型节点设备的配置参数、系统引导程序以及通信应用程序进行可信验证;
其中,所述基于用户属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至虚拟网关节点;
所述网络中间安全层还包括采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查感知型节点设备认证数据的新鲜度和检测数据是否被篡改;
所述业务安全层,包括业务数据包完整性和正确性检查,用户身份合法性认证,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述虚拟网关节点,包括内网传感设备注册,下发获知内网传感设备的工作状态的指令,下发休眠故障传感设备的指令,下发重新划分属性域的指令,编辑及上线访问控制策略,调度网关型节点设备之间和感知型节点设备之间的密钥协商或身份认证过程,响应业务请求,返回业务请求的结果,汇总设备审计数据,与云服务器交互,以及保存加密过程中使用的密钥;
所述虚拟网关节点还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
结合第二方面,在第二方面第一种可能的实现方式中,所述传感安全层、网络中间安全层、业务安全层和虚拟网关节点部署在同一个装置上。
结合第二方面,在第二方面第二种可能的实现方式中,所述传感安全层、网络中间安全层、业务安全层和虚拟网关节点部署在不同的装置上,装置之间协同工作。
结合第二方面,在第二方面第三种可能的实现方式中,所述数据融合可采用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
本发明提供一种属性加密和动态安全层的防护方法及对应的防火墙,将内网资源定义为传感安全层、网络中间安全层、业务安全层和虚拟网关节点,并将防火墙定义为传感安全层、网络中间安全层、业务安全层和虚拟网关节点四个部分,实现防火墙与内网资源网络分层的一一对应,可以根据传感设备的状态实时动态调整安全分层,并引入属性加密的技术手段,基于不同用户的属性和属性域,对传输数据进行属性加密,更好地保护不同用户的业务数据。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明属性加密和动态安全层的防护方法的大致流程图;
图2为本发明属性加密和动态安全层的防火墙的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的属性加密和动态安全层的防护方法的大致流程图,所述方法包括:
将内网资源定义为传感安全层、网络中间安全层、业务安全层和虚拟网关节点;
所述传感安全层,包括:周期获知内网传感设备的工作状态,激活休眠的传感设备,休眠故障的传感设备,将所述休眠的传感设备剔除出传感层安全;建立权限名单,保证仅授权用户才能修改传感设备的配置参数,采用轻量级认证方式、或可信标识符对连接的网关型节点设备、感知型节点设备进行身份识别与认证,在感知型节点设备的硬件芯片中固化身份识别和认证的安全程序;
也就是,可以根据传感设备的状态实时动态调整安全分层;
其中,所述周期获知内网传感设备的工作状态包括所述传感设备周期上传自身工作代码,如果所述工作代码符合故障代码,则判断该传感设备故障,休眠该故障的传感设备;
所述网络中间安全层,包括划分不同的属性域,基于用户属性加密隔离不同属性域的边界,实现内外网边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述传感安全层;在网关型节点设备之间和感知型节点设备之间设置密钥协商协议或身份认证协议,并对传输数据进行基于用户属性加密处理;基于可信根对感知型节点设备、网关型节点设备的配置参数、系统引导程序以及通信应用程序进行可信验证;
其中,不同的属性域可以调整分配给不同的用户,具有相同业务类型的用户可以经过聚类对应与相同的属性域关联;
其中,所述基于用户属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至虚拟网关节点;
所述网络中间安全层还包括采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查感知型节点设备认证数据的新鲜度和检测数据是否被篡改;
所述业务安全层,包括业务数据包完整性和正确性检查,用户身份合法性认证,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述虚拟网关节点,包括内网传感设备注册,下发获知内网传感设备的工作状态的指令,下发休眠故障传感设备的指令,下发重新划分属性域的指令,编辑及上线访问控制策略,调度网关型节点设备之间和感知型节点设备之间的密钥协商或身份认证过程,响应业务请求,返回业务请求的结果,汇总设备审计数据,与云服务器交互,以及保存加密过程中使用的密钥;
所述虚拟网关节点还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
在一些优选实施例中,所述传感安全层、网络中间安全层、业务安全层和虚拟网关节点部署在同一个装置上。
所述部署在同一个装置上,可以是一个防火墙,也可以是一个网关设备,还可以是一个安全服务器。
在一些优选实施例中,所述传感安全层、网络中间安全层、业务安全层和虚拟网关节点部署在不同的装置上,装置之间协同工作。
所述部署在不同的装置上,可以是每一个安全层为一个装置,不同装置之间通过专用安全传输协议进行传输。所述专用安全传输协议可以是在通用传输协议的基础上添加特殊的报头,所述报头中携带有字段,用于指示加密算法或密钥。
所述部署在不同的装置上,可以是传感安全层、网络中间安全层、业务安全层集成在一个装置上,而虚拟网关节点部署在一个网络中间装置上,不同装置之间通过专用安全传输协议进行传输。
在一些优选实施例中,所述数据融合可采用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
图2为本申请提供的属性加密和动态安全层的防火墙的架构图,所述防火墙包括:传感安全层、网络中间安全层、业务安全层和虚拟网关节点四个部分,分别对应被定义为传感安全层、网络中间安全层、业务安全层和虚拟网关节点的内网资源;
所述传感安全层,包括:周期获知内网传感设备的工作状态,激活休眠的传感设备,休眠故障的传感设备,将所述休眠的传感设备剔除出传感层安全;建立权限名单,保证仅授权用户才能修改传感设备的配置参数,采用轻量级认证方式、或可信标识符对连接的网关型节点设备、感知型节点设备进行身份识别与认证,在感知型节点设备的硬件芯片中固化身份识别和认证的安全程序;
其中,所述周期获知内网传感设备的工作状态包括所述传感设备周期上传自身工作代码,如果所述工作代码符合故障代码,则判断该传感设备故障,休眠该故障的传感设备;
所述网络中间安全层,包括划分不同的属性域,基于用户属性加密隔离不同属性域的边界,实现内外网边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述传感安全层;在网关型节点设备之间和感知型节点设备之间设置密钥协商协议或身份认证协议,并对传输数据进行基于用户属性加密处理;基于可信根对感知型节点设备、网关型节点设备的配置参数、系统引导程序以及通信应用程序进行可信验证;
其中,所述基于用户属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至虚拟网关节点;
所述网络中间安全层还包括采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查感知型节点设备认证数据的新鲜度和检测数据是否被篡改;
所述业务安全层,包括业务数据包完整性和正确性检查,用户身份合法性认证,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述虚拟网关节点,包括内网传感设备注册,下发获知内网传感设备的工作状态的指令,下发休眠故障传感设备的指令,下发重新划分属性域的指令,编辑及上线访问控制策略,调度网关型节点设备之间和感知型节点设备之间的密钥协商或身份认证过程,响应业务请求,返回业务请求的结果,汇总设备审计数据,与云服务器交互,以及保存加密过程中使用的密钥;
所述虚拟网关节点还包括风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
在一些优选实施例中,所述传感安全层、网络中间安全层、业务安全层和虚拟网关节点部署在同一个装置上。
在一些优选实施例中,所述传感安全层、网络中间安全层、业务安全层和虚拟网关节点部署在不同的装置上,装置之间协同工作。
在一些优选实施例中,所述数据融合可采用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。
Claims (8)
1.一种属性加密和动态安全层的防护方法,其特征在于,所述方法包括:
将内网资源定义为传感安全层单元、网络中间安全层单元、业务安全层单元和虚拟网关节点;
所述传感安全层单元,周期获知内网传感设备的工作状态,激活休眠的传感设备,休眠故障的传感设备,将所述休眠的传感设备剔除出传感层安全单元 ;建立权限名单,保证仅授权用户才能修改传感设备的配置参数,采用轻量级认证方式、或可信标识符对连接的网关型节点设备、感知型节点设备进行身份识别与认证,在感知型节点设备的硬件芯片中固化身份识别和认证的安全程序;
其中,所述周期获知内网传感设备的工作状态包括所述传感设备周期上传自身工作代码,如果所述工作代码符合故障代码,则判断该传感设备故障,休眠该故障的传感设备;
所述网络中间安全层单元,划分不同的属性域,基于用户属性加密隔离不同属性域的边界,实现内外网边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述传感安全层单元;在网关型节点设备之间和感知型节点设备之间设置密钥协商协议或身份认证协议,并对传输数据进行基于用户属性加密处理;基于可信根对感知型节点设备、网关型节点设备的配置参数、系统引导程序以及通信应用程序进行可信验证;
其中,所述基于用户属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
所述基于用户属性加密还包括:输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至虚拟网关节点;
所述网络中间安全层单元还采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查感知型节点设备认证数据的新鲜度和检测数据是否被篡改;
所述业务安全层单元,进行业务数据包完整性和正确性检查,用户身份合法性认证,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述虚拟网关节点,进行内网传感设备注册,下发获知内网传感设备的工作状态的指令,下发休眠故障传感设备的指令,下发重新划分属性域的指令,编辑及上线访问控制策略,调度网关型节点设备之间和感知型节点设备之间的密钥协商或身份认证过程,响应业务请求,返回业务请求的结果,汇总设备审计数据,与云服务器交互,以及保存加密过程中使用的密钥;
所述虚拟网关节点还进行风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
2.根据权利要求1所述的方法,其特征在于:所述传感安全层单元、网络中间安全层单元、业务安全层单元和虚拟网关节点部署在同一个装置上。
3.根据权利要求1所述的方法,其特征在于:所述传感安全层单元、网络中间安全层单元、业务安全层单元和虚拟网关节点部署在不同的装置上,装置之间协同工作。
4.根据权利要求1所述的方法,其特征在于:所述数据融合可采用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
5.一种属性加密和动态安全层的防火墙,其特征在于,所述防火墙包括:传感安全层单元、网络中间安全层单元、业务安全层单元和虚拟网关节点四个部分,分别对应被定义为传感安全层单元、网络中间安全层单元、业务安全层单元和虚拟网关节点的内网资源;
所述传感安全层单元,用于执行:周期获知内网传感设备的工作状态,激活休眠的传感设备,休眠故障的传感设备,将所述休眠的传感设备剔除出传感层安全单元 ;建立权限名单,保证仅授权用户才能修改传感设备的配置参数,采用轻量级认证方式、或可信标识符对连接的网关型节点设备、感知型节点设备进行身份识别与认证,在感知型节点设备的硬件芯片中固化身份识别和认证的安全程序;
其中,所述周期获知内网传感设备的工作状态包括所述传感设备周期上传自身工作代码,如果所述工作代码符合故障代码,则判断该传感设备故障,休眠该故障的传感设备;
所述网络中间安全层单元,用于执行:划分不同的属性域,基于用户属性加密隔离不同属性域的边界,实现内外网边界访问控制;基于业务和用户属性制定不同的访问控制策略,并将所述访问控制策略下发所述传感安全层单元;在网关型节点设备之间和感知型节点设备之间设置密钥协商协议或身份认证协议,并对传输数据进行基于用户属性加密处理;基于可信根对感知型节点设备、网关型节点设备的配置参数、系统引导程序以及通信应用程序进行可信验证;
其中,所述基于用户属性加密设置在云服务器上执行,包括初始化,建立两个乘法循环群,根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系,随机选取两个随机数,为每一个用户属性设置唯一的伪随机号和属性公钥,将随机选取的两个随机数与伪随机号、属性公钥一起计算得到主密钥和相关参数;输入主密钥和用户属性集,从乘法循环群里随机选择时刻变量和用户参量,所述用户参量与每个用户一一关联,计算得到用户的属性私钥;
所述基于用户属性加密还包括:输入传输数据,将所述传输数据携带的用户身份标识和用户所属的属性域标识发送至云服务器,所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥,将数据根据搜索得到的属性私钥进行加密,得到加密后的数据;再次根据所述用户属性集,将所述用户属性集中的多个属性映射到多个交换矩阵得到的属性结构,生成第二加密密钥,使用所述第二加密密钥对所述加密后的数据进行重加密,得到重加密后的密文,将所述密文发送至虚拟网关节点;
所述网络中间安全层单元还采用访问控制、入侵检测,对重要网络节点、网络边界、远程访问用户行为进行安全审计,使用时间戳或计数器并结合完整性检查核查感知型节点设备认证数据的新鲜度和检测数据是否被篡改;
所述业务安全层单元,用于执行:业务数据包完整性和正确性检查,用户身份合法性认证,业务数据包的封装和解封装,添加用于指示业务状态的包头;将多种不同业务数据包根据类型进行数据融合,得到聚类后的业务数据,分析业务数据的来源是否被篡改;
所述虚拟网关节点,用于执行:内网传感设备注册,下发获知内网传感设备的工作状态的指令,下发休眠故障传感设备的指令,下发重新划分属性域的指令,编辑及上线访问控制策略,调度网关型节点设备之间和感知型节点设备之间的密钥协商或身份认证过程,响应业务请求,返回业务请求的结果,汇总设备审计数据,与云服务器交互,以及保存加密过程中使用的密钥;
所述虚拟网关节点还进行风险评估、攻击关联分析、态势感知,进行主动防御,与云服务器中的数据挖掘、大数据分析配合,定位网络脆弱点和发现潜在的威胁和攻击。
6.根据权利要求5所述的防火墙,其特征在于,所述传感安全层单元、网络中间安全层单元、业务安全层单元和虚拟网关节点部署在同一个装置上。
7.根据权利要求5所述的防火墙,其特征在于,所述传感安全层单元、网络中间安全层单元、业务安全层单元和虚拟网关节点部署在不同的装置上,装置之间协同工作。
8.根据权利要求5所述的防火墙,其特征在于,所述数据融合可采用的聚类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010381331.XA CN111586045B (zh) | 2020-05-08 | 2020-05-08 | 一种属性加密和动态安全层的防护方法及对应的防火墙 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010381331.XA CN111586045B (zh) | 2020-05-08 | 2020-05-08 | 一种属性加密和动态安全层的防护方法及对应的防火墙 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111586045A CN111586045A (zh) | 2020-08-25 |
CN111586045B true CN111586045B (zh) | 2022-01-04 |
Family
ID=72124732
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010381331.XA Active CN111586045B (zh) | 2020-05-08 | 2020-05-08 | 一种属性加密和动态安全层的防护方法及对应的防火墙 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111586045B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114513685B (zh) * | 2022-01-28 | 2022-10-11 | 武汉绿色网络信息服务有限责任公司 | 一种基于流特征识别https加密视频流的方法和装置 |
CN114666090A (zh) * | 2022-02-11 | 2022-06-24 | 广州理工学院 | 一种防火墙 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110099043A (zh) * | 2019-03-24 | 2019-08-06 | 西安电子科技大学 | 支持策略隐藏的多授权中心访问控制方法、云存储系统 |
CN110636500A (zh) * | 2019-08-27 | 2019-12-31 | 西安电子科技大学 | 支持跨域数据共享的访问控制系统及方法、无线通信系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103491108B (zh) * | 2013-10-15 | 2016-08-24 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
CN103647644B (zh) * | 2013-12-26 | 2017-02-08 | 北京航空航天大学 | 一种实现分层认证机构的属性基加密方法 |
US10498762B1 (en) * | 2015-10-22 | 2019-12-03 | Versafe Ltd. | Methods for hypertext markup language (HTML) input field obfuscation and devices thereof |
CN107566386A (zh) * | 2017-09-14 | 2018-01-09 | 上海海事大学 | 一种可撤销的属性基加密方法 |
-
2020
- 2020-05-08 CN CN202010381331.XA patent/CN111586045B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110099043A (zh) * | 2019-03-24 | 2019-08-06 | 西安电子科技大学 | 支持策略隐藏的多授权中心访问控制方法、云存储系统 |
CN110636500A (zh) * | 2019-08-27 | 2019-12-31 | 西安电子科技大学 | 支持跨域数据共享的访问控制系统及方法、无线通信系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111586045A (zh) | 2020-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Da Xu et al. | Embedding blockchain technology into IoT for security: A survey | |
Lam et al. | ANT-centric IoT security reference architecture—Security-by-design for satellite-enabled smart cities | |
Mahmoud et al. | Internet of things (IoT) security: Current status, challenges and prospective measures | |
Tuna et al. | A survey on information security threats and solutions for Machine to Machine (M2M) communications | |
Puthal et al. | SEEN: A selective encryption method to ensure confidentiality for big sensing data streams | |
CN111464563B (zh) | 一种工业控制网络的防护方法及对应的装置 | |
Sharma et al. | Blockchain-based internet of vehicles (IoV): an efficient secure ad hoc vehicular networking architecture | |
Wang et al. | Perm-guard: Authenticating the validity of flow rules in software defined networking | |
CN110474921B (zh) | 一种面向局域物联网的感知层数据保真方法 | |
Gu et al. | Secure data sequence query framework based on multiple fogs | |
CN111586045B (zh) | 一种属性加密和动态安全层的防护方法及对应的防火墙 | |
Di Sarno et al. | A novel security information and event management system for enhancing cyber security in a hydroelectric dam | |
Escamilla-Ambrosio et al. | IoTsecM: a UML/SysML extension for internet of things security modeling | |
Gupta et al. | Fog computing and its security challenges | |
CN116232770B (zh) | 一种基于sdn控制器的企业网络安全防护系统及方法 | |
Feng et al. | Autonomous Vehicles' Forensics in Smart Cities | |
CN111585813B (zh) | 一种物联网环境下网络节点的管理方法及系统 | |
Nikiforov et al. | Structure of information security subsystem in the systems of commercial energy resources accounting | |
Boussard et al. | A process for generating concrete architectures | |
CN113395258A (zh) | 工业互联网认证网关测试研制系统及其认证流程 | |
Mani Sekhar et al. | Security and privacy in 5G-enabled internet of things: a data analysis perspective | |
CN111586047B (zh) | 一种集中网络数据的安全管理方法及系统 | |
Mishra | A novel mechanism for cloud data management in distributed environment | |
CN114666090A (zh) | 一种防火墙 | |
CN111586044B (zh) | 一种针对隐私泄漏的网络数据防护方法及对应的防火墙 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |