技术摘要：
本发明提供一种属性加密和动态安全层的防护方法及对应的防火墙，将内网资源定义为传感安全层、网络中间安全层、业务安全层和虚拟网关节点，并将防火墙定义为传感安全层、网络中间安全层、业务安全层和虚拟网关节点四个部分，实现防火墙与内网资源网络分层的一一对应，  全部
背景技术：
现有的网络架构分层并不是从网络安全角度来划分，更多的是从网络传输角度来 划分的，这样会给网络带来安全隐患。随着物联网、车联网的兴起，新型网络高速移动、灵活 多变的特点，使得网络架构分层带来的安全隐患越来越突出。 因此，急需一种针对性的安全防护方法和对应的防火墙。
技术实现要素：
本发明的目的在于提供一种属性加密和动态安全层的防护方法及对应的防火墙， 解决现有技术中缺乏基于网络安全划分层级架构的问题，并引入属性加密的技术手段，更 好地保护不同用户的业务数据。 第一方面，本申请提供一种属性加密和动态安全层的防护方法，所述方法包括： 将内网资源定义为传感安全层、网络中间安全层、业务安全层和虚拟网关节点； 所述传感安全层，包括：周期获知内网传感设备的工作状态，激活休眠的传感设 备，休眠故障的传感设备，将所述休眠的传感设备剔除出传感层安全；建立权限名单，保证 仅授权用户才能修改传感设备的配置参数，采用轻量级认证方式、或可信标识符对连接的 网关型节点设备、感知型节点设备进行身份识别与认证，在感知型节点设备的硬件芯片中 固化身份识别和认证的安全程序； 其中，所述周期获知内网传感设备的工作状态包括所述传感设备周期上传自身工 作代码，如果所述工作代码符合故障代码，则判断该传感设备故障，休眠该故障的传感设 备； 所述网络中间安全层，包括划分不同的属性域，基于用户属性加密隔离不同属性 域的边界，实现内外网边界访问控制；基于业务和用户属性制定不同的访问控制策略，并将 所述访问控制策略下发所述传感安全层；在网关型节点设备之间和感知型节点设备之间设 置密钥协商协议或身份认证协议，并对传输数据进行基于用户属性加密处理；基于可信根 对感知型节点设备、网关型节点设备的配置参数、系统引导程序以及通信应用程序进行可 信验证； 其中，所述基于用户属性加密设置在云服务器上执行，包括初始化，建立两个乘法 循环群，根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系，随机选取两 个随机数，为每一个用户属性设置唯一的伪随机号和属性公钥，将随机选取的两个随机数 与伪随机号、属性公钥一起计算得到主密钥和相关参数；输入主密钥和用户属性集，从乘法 循环群里随机选择时刻变量和用户参量，所述用户参量与每个用户一一关联，计算得到用 户的属性私钥； 5 CN 111586045 A 说　明　书 2/7 页 输入传输数据，将所述传输数据携带的用户身份标识和用户所属的属性域标识发 送至云服务器，所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥，将数据 根据搜索得到的属性私钥进行加密，得到加密后的数据；再次根据所述用户属性集，将所述 用户属性集中的多个属性映射到多个交换矩阵得到的属性结构，生成第二加密密钥，使用 所述第二加密密钥对所述加密后的数据进行重加密，得到重加密后的密文，将所述密文发 送至虚拟网关节点； 所述网络中间安全层还包括采用访问控制、入侵检测，对重要网络节点、网络边 界、远程访问用户行为进行安全审计，使用时间戳或计数器并结合完整性检查核查感知型 节点设备认证数据的新鲜度和检测数据是否被篡改； 所述业务安全层，包括业务数据包完整性和正确性检查，用户身份合法性认证，业 务数据包的封装和解封装，添加用于指示业务状态的包头；将多种不同业务数据包根据类 型进行数据融合，得到聚类后的业务数据，分析业务数据的来源是否被篡改； 所述虚拟网关节点，包括内网传感设备注册，下发获知内网传感设备的工作状态 的指令，下发休眠故障传感设备的指令，下发重新划分属性域的指令，编辑及上线访问控制 策略，调度网关型节点设备之间和感知型节点设备之间的密钥协商或身份认证过程，响应 业务请求，返回业务请求的结果，汇总设备审计数据，与云服务器交互，以及保存加密过程 中使用的密钥； 所述虚拟网关节点还包括风险评估、攻击关联分析、态势感知，进行主动防御，与 云服务器中的数据挖掘、大数据分析配合，定位网络脆弱点和发现潜在的威胁和攻击。 结合第一方面，在第一方面第一种可能的实现方式中，所述传感安全层、网络中间 安全层、业务安全层和虚拟网关节点部署在同一个装置上。 结合第一方面，在第一方面第二种可能的实现方式中，所述传感安全层、网络中间 安全层、业务安全层和虚拟网关节点部署在不同的装置上，装置之间协同工作。 结合第一方面，在第一方面第三种可能的实现方式中，所述数据融合可采用的聚 类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。 第二方面，本申请提供一种属性加密和动态安全层的防火墙，所述防火墙包括：传 感安全层、网络中间安全层、业务安全层和虚拟网关节点四个部分，分别对应被定义为传感 安全层、网络中间安全层、业务安全层和虚拟网关节点的内网资源； 所述传感安全层，包括：周期获知内网传感设备的工作状态，激活休眠的传感设 备，休眠故障的传感设备，将所述休眠的传感设备剔除出传感层安全；建立权限名单，保证 仅授权用户才能修改传感设备的配置参数，采用轻量级认证方式、或可信标识符对连接的 网关型节点设备、感知型节点设备进行身份识别与认证，在感知型节点设备的硬件芯片中 固化身份识别和认证的安全程序； 其中，所述周期获知内网传感设备的工作状态包括所述传感设备周期上传自身工 作代码，如果所述工作代码符合故障代码，则判断该传感设备故障，休眠该故障的传感设 备； 所述网络中间安全层，包括划分不同的属性域，基于用户属性加密隔离不同属性 域的边界，实现内外网边界访问控制；基于业务和用户属性制定不同的访问控制策略，并将 所述访问控制策略下发所述传感安全层；在网关型节点设备之间和感知型节点设备之间设 6 CN 111586045 A 说　明　书 3/7 页 置密钥协商协议或身份认证协议，并对传输数据进行基于用户属性加密处理；基于可信根 对感知型节点设备、网关型节点设备的配置参数、系统引导程序以及通信应用程序进行可 信验证； 其中，所述基于用户属性加密设置在云服务器上执行，包括初始化，建立两个乘法 循环群，根据所述乘法循环群设置用户属性与密钥生成算法之间的映射关系，随机选取两 个随机数，为每一个用户属性设置唯一的伪随机号和属性公钥，将随机选取的两个随机数 与伪随机号、属性公钥一起计算得到主密钥和相关参数；输入主密钥和用户属性集，从乘法 循环群里随机选择时刻变量和用户参量，所述用户参量与每个用户一一关联，计算得到用 户的属性私钥； 输入传输数据，将所述传输数据携带的用户身份标识和用户所属的属性域标识发 送至云服务器，所述云服务器根据用户身份标识、属性域标识搜索对应的属性私钥，将数据 根据搜索得到的属性私钥进行加密，得到加密后的数据；再次根据所述用户属性集，将所述 用户属性集中的多个属性映射到多个交换矩阵得到的属性结构，生成第二加密密钥，使用 所述第二加密密钥对所述加密后的数据进行重加密，得到重加密后的密文，将所述密文发 送至虚拟网关节点； 所述网络中间安全层还包括采用访问控制、入侵检测，对重要网络节点、网络边 界、远程访问用户行为进行安全审计，使用时间戳或计数器并结合完整性检查核查感知型 节点设备认证数据的新鲜度和检测数据是否被篡改； 所述业务安全层，包括业务数据包完整性和正确性检查，用户身份合法性认证，业 务数据包的封装和解封装，添加用于指示业务状态的包头；将多种不同业务数据包根据类 型进行数据融合，得到聚类后的业务数据，分析业务数据的来源是否被篡改； 所述虚拟网关节点，包括内网传感设备注册，下发获知内网传感设备的工作状态 的指令，下发休眠故障传感设备的指令，下发重新划分属性域的指令，编辑及上线访问控制 策略，调度网关型节点设备之间和感知型节点设备之间的密钥协商或身份认证过程，响应 业务请求，返回业务请求的结果，汇总设备审计数据，与云服务器交互，以及保存加密过程 中使用的密钥； 所述虚拟网关节点还包括风险评估、攻击关联分析、态势感知，进行主动防御，与 云服务器中的数据挖掘、大数据分析配合，定位网络脆弱点和发现潜在的威胁和攻击。 结合第二方面，在第二方面第一种可能的实现方式中，所述传感安全层、网络中间 安全层、业务安全层和虚拟网关节点部署在同一个装置上。 结合第二方面，在第二方面第二种可能的实现方式中，所述传感安全层、网络中间 安全层、业务安全层和虚拟网关节点部署在不同的装置上，装置之间协同工作。 结合第二方面，在第二方面第三种可能的实现方式中，所述数据融合可采用的聚 类算法包括K-Means算法、均值漂移聚类算法、基于密度的聚类算法、或凝聚层次聚类算法。 本发明提供一种属性加密和动态安全层的防护方法及对应的防火墙，将内网资源 定义为传感安全层、网络中间安全层、业务安全层和虚拟网关节点，并将防火墙定义为传感 安全层、网络中间安全层、业务安全层和虚拟网关节点四个部分，实现防火墙与内网资源网 络分层的一一对应，可以根据传感设备的状态实时动态调整安全分层，并引入属性加密的 技术手段，基于不同用户的属性和属性域，对传输数据进行属性加密，更好地保护不同用户 7 CN 111586045 A 说　明　书 4/7 页 的业务数据。 附图说明 为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的 附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前 提下，还可以根据这些附图获得其他的附图。 图1为本发明属性加密和动态安全层的防护方法的大致流程图； 图2为本发明属性加密和动态安全层的防火墙的架构图。