(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210687289.3 (22)申请日 2022.06.16 (71)申请人 浙江中烟工业有限责任公司 地址 310008 浙江省杭州市上城区中山 南 路77号 (72)发明人 李威　李健俊　姜学峰　汪炎平　 董惠良　王正敏　杜旋　 (74)专利代理 机构 北京维澳专利代理有限公司 11252 专利代理师 常小溪 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) G06F 21/60(2013.01) G06F 21/64(2013.01) (54)发明名称 基于防火墙的关键数据保护方法 (57)摘要 本发明公开了一种基于防火墙的关键数据 保护方法， 本发明主要设计构思在于， 当侦测到 存在数据流跨越虚拟防火墙时， 基于数据流中各 个数据的签名信息， 确定数据流中的待存储数 据， 接着确定待存储数据中指定的目标根防火 墙， 基于待存储 数据中的私钥参数确定待存储数 据是否有进入目标根防火墙的权限， 若待存储数 据有进入目标根防火墙的权限， 则基于目标根防 火墙的域级应用网关对待存储数据进行加密， 得 到对应的加密数据。 本发明先判定待存储数据进 入目标根防火墙的权限， 并在确定待存储数据有 权进入目标根防火墙后， 通过目标根防火墙的域 级应用网关对待存储数据进行加密， 使得每一个 待存储数据都有其对应的加密数据， 从而提高了 生产关键数据的安全性。 权利要求书2页 说明书9页 附图3页 CN 115022066 A 2022.09.06 CN 115022066 A 1.一种基于防火墙的关键数据保护方法， 其特征在于， 所述防火墙包括虚拟防火墙和 根防火墙， 所述关键数据保护方法包括： 侦测到存在数据流跨越所述虚拟防火墙时， 基于所述数据流中各个数据的签名信息， 确定所述数据流中的待存 储数据； 确定所述待存储数据中指定的目标根防火墙， 基于所述待存储数据中的私钥参数确定 所述待存 储数据是否有 进入所述目标根防火墙的权限； 若所述待存储数据有进入所述目标根防火墙的权限， 则基于所述目标根防火墙的域级 应用网关对所述待存 储数据进行加密， 得到对应的加密数据。 2.根据权利要求1所述的基于防火墙的关键数据保护方法， 其特征在于， 所述基于所述 目标根防火墙的域级应用网关对所述待存 储数据进行加密， 得到对应的加密数据包括： 基于所述域级应用网关的第 一丢番图方程， 确定所述域级应用网关的第 一剩余定理参 数； 确定所述 域级应用网关对所述待存 储数据的域级签名数据； 基于所述第 一剩余定理参数和所述域级签名数据对所述待存储数据进行加密， 得到所 述加密数据。 3.根据权利要求2所述的基于防火墙的关键数据保护方法， 其特征在于， 所述基于所述 第一剩余定理参数和所述域级签名数据对所述待存储数据进 行加密， 得到所述加密数据包 括： 将所述第一剩余定理参数与所述待存 储数据进行相乘， 得到对应的第一待处 理数据； 将所述第一待处 理数据和所述 域级签名数据进行打包， 得到所述加密数据。 4.根据权利要求1所述的基于防火墙的关键数据保护方法， 其特征在于， 在得到对应的 加密数据之后， 所述关键数据保护方法还 包括： 基于所述目标根防火墙的地 区应用网关对所述加密数据进行再加密， 得到对应的目标 存储数据。 5.根据权利要求4所述的基于防火墙的关键数据保护方法， 其特征在于， 所述基于所述 目标根防火墙的地区应用网关对所述加密数据进行再加密， 得到对应的目标存储数据包 括： 若基于所述地区应用网关确定所述域级签名数据验证通过， 则基于所述地区应用网关 的第二丢番图方程， 确定所述 地区应用网关的第二剩余定理参数； 确定所述 地区应用网关对所述加密数据的地区签名数据； 若基于所述目标根防火墙确定所述地 区签名数据验证通过， 则基于所述第 二剩余定理 参数对所述加密数据进行 再加密， 得到所述目标存 储数据。 6.根据权利要求5所述的基于防火墙的关键数据保护方法， 其特征在于， 所述基于所述 第二剩余定理参数对所述加密数据进行 再加密， 得到所述目标存 储数据包括： 基于所述目标根防火墙的第 三丢番图方程， 确定所述目标根防火墙的第 三剩余定理参 数； 将所述第二剩余定理参数与 所述第三剩余定理参数进行相乘， 得到对应的目标剩余定 理参数； 将所述目标剩余定理参数与所述加密数据进行相乘， 得到对应的第二待处理数据， 并权　利　要　求　书 1/2 页 2 CN 115022066 A 2确定所述目标根防火墙对所述第二待处 理数据的防火墙 签名数据； 将所述防火墙 签名数据和所述第二待处 理数据进行打包， 得到所述目标存 储数据。 7.根据权利要求6所述的基于防火墙的关键数据保护方法， 其特征在于， 将所述防火墙 签名数据和所述第二待处理数据进行打包， 得到所述 目标存储数据之后， 所述关键数据保 护方法还 包括： 对所述目标存 储数据中的防火墙 签名数据进行验证； 若所述防火墙签名数据验证通过， 则确定所述目标存储数据对应的数据等级， 并根据 所述数据等级将所述目标存 储数据存 储至对应等级的数据库中； 若所述防火墙签名数据验证不通过， 则根据 所述目标根防火墙对所述目标存储数据中 的防火墙 签名数据进行重新签名， 并对重新签名后的目标存 储数据进行验证。 8.根据权利要求1～7任一项所述的基于防火墙的关键数据保护方法， 其特征在于， 所 述基于所述数据流中各个数据的签名信息， 确定所述数据流中的待存 储数据包括： 获取数据库中的签名列表， 其中， 所述签名列表中有 多个用户签名数据； 确定各个所述签名信息中是否存在目标签名信息， 其中， 所述目标签名信息在所述签 名列表中存在对应的用户签名数据； 若存在所述目标签名信息， 则将所述目标签名信息对应的数据， 确定为所述数据流中 的待存储数据。权　利　要　求　书 2/2 页 3 CN 115022066 A 3