一种基于热插拔安全会话的Web数据隔离保护方法

本发明涉及计算机网络安全，尤其涉及一种基于热插拔安全会话的web数据隔离保护方法。

背景技术：

1、互联网在过去的几十年中取得了巨大的成功，它为人们提供了一个全新的交换信息、接受信息的平台。它的广泛普及，促进了网络技术的发展和应用。然而，规模巨大的网络同时也暴露了一些安全问题，譬如用户的隐私泄露问题。当用户在不信任设备上访问并传输信息给应用时，可能会造成用户敏感信息的泄露。

2、之前有许多方法都在解决用户在不信任设备上传输敏感信息的可能的隐私泄露问题，一种普遍的途径就是添加一个信任设备来传输敏感信息。但是之前提出的这种途径的方法都存在一些问题。

3、第一，它们需要修改应用原生的业务代码才能将信任设备整合进应用。对应用来说，这样不够透明，应用的业务逻辑会显得杂乱。第二，它们还需要开发者预先标记哪些数据是敏感信息，标记之后如果需要更改，是需要开发者去添加的。对用户来说，这样不够灵活，用户不能够自主选择哪些信息是需要加以保护的敏感信息。第三，一些方法只能在用户登录阶段起到保护敏感信息不被泄露的作用，而不能够保护之后阶段的所有的敏感信息的传输。

技术实现思路

1、本发明的目的在于针对现有技术的不足，提供一种基于热插拔安全会话的web数据隔离保护方法。

2、本发明的目的是通过以下技术方案来实现的：

3、一种基于热插拔安全会话的web数据隔离保护方法，方法基于webteleporter实现，webteleporter由三个组件组成，分别是响应过滤器，请求拦截器以及转发器；

4、响应过滤器用于向应用传出的web数据即响应中注入webteleporter的代码；

5、请求拦截器拦截用于从信任设备和不信任设备传入的web数据即请求，并将它们集成到一个提交中再发送给应用；

6、转发器将不信任设备浏览器中的敏感输入传输到移动浏览器，并维护一个属于信任设备的tssid和属于不信任设备的token对应关系的表格；tssid和token是两串用于身份认证的字符，webteleporter部署在服务器中应用层和传输层之间。

7、组我进一步地改进，本发明所述的方法包括以下步骤：

8、步骤一：用户在不信任设备上向浏览器应用发起请求，请求被webteleporter的请求拦截器进行拦截，由请求拦截器再转发给应用；

9、步骤二：应用接受请求后，将用户请求的内容发送给用户，webteleporter的响应过滤器对浏览器应用发送回用户浏览器的响应进行处理，注入新建一个独立的安全的平行web会话所需的javascript代码，并发送给用户；

10、步骤三：用户接受响应后，除请求内容外，浏览器还会显示由webteleporter注入的代码渲染出的ui，ui由二维码、选择框和发送键三个按钮组成，用户点击ui中的二维码按钮，使用信任设备扫描二维码以建立平行web会话；

11、步骤四：平行web会话建立成功后，用户在不信任设备上点击选择框，选择需要在平行web会话上传输的敏感信息，并点击发送键提交；

12、步骤五：被选择的敏感信息的关键字由webteleporter的转发器接收并转发给信任设备，信任设备上显示敏感信息的输入框；

13、步骤六：用户在信任设备上输入敏感信息，并点击发送；

14、步骤七：用户在不信任设备上输入其他信息，并点击发送；

15、步骤八：webteleporter的请求拦截器拦截用户发送的信息，并将两个web会话的信息整合成一个web会话后再发送给应用；

16、步骤九：应用在收到请求后发送响应给用户，将请求内容返回。

17、作为进一步地改进，本发明所述的步骤三通过以下子步骤来实现：

18、(3.1)在步骤二中向响应注入代码的同时，webteleporter的转发器会给出一个新的tssid，此时tssid由不信任设备的浏览器保存，tssid是使得不信任设备与应用之间的基础web会话和信任设备与webteleporter间的平行会话能够正常工作的基础；

19、(3.2)信任设备扫描不信任设备上webteleporter给出的二维码之后，信任设备会向webteleporter发出建立平行web会话的请求；

20、(3.3)转发器会根据信任设备扫描的不信任设备上保存的tssid给信任设备一个token，并维护一个tssid和token对应关系的表格；

21、(3.4)信任设备收到转发器的响应，平行web会话建立成功；

22、(3.5)平行web会话通过点击信任设备上的内容为detach字样的按钮得到终止。

23、作为进一步地改进，本发明所述的步骤五通过以下子步骤来实现：

24、(5.1)用户选择完需要在平行web会话上传输的敏感信息后，注入的webteleporter的javascript代码会扫描网页上哪些需要输入的信息是被选择的，并将其关键字发送给转发器；

25、(5.2)不信任设备上的关于敏感信息的输入框会变成无法输入状态；

26、(5.3)转发器根据信任设备扫描的不信任设备上保存的tssid给信任设备一个token，并维护一个tssid和token对应关系的表格；转发器储存了tssid和对应的平行web会话的信任设备的token，负责将这些敏感信息的输入ui在信任设备上渲染出来，转发器和信任设备的通信协议选择https、websockets。

27、作为进一步地改进，本发明所述的步骤八通过以下子步骤来实现：

28、(8.1)webteleporter的请求拦截器拦截下请求，其中步骤六和步骤七的先后顺序可以互换，请求拦截器将先到的会话中的请求先保存下来，等待另一个会话的请求到达，验证两个会话是否是同一用户发出的请求是依靠转发器维护的tssid和token组合的表格；

29、(8.2)当两个会话的请求都被拦截之后，请求拦截器会从平行web会话中提取敏感信息的输入，并在原始web会话中根据敏感信息的关键字查找该会话中原本敏感信息所在的位置，找到后，将提取出来的敏感信息填充进对应位置；

30、(8.3)此时，web会话已从两个会话整合成一个会话，请求拦截器将整合后的会话发送给应用，应用始终只看到一个会话。

31、本发明的有益效果在于：

32、本发明公开了一种基于热插拔安全会话的web数据隔离保护方法，基于webteleporter实现，该方法在用户和应用的原始web会话之外添加一个新的独立的受用户信任的设备和webteleporter之间的平行web会话，原始的web会话是用户不信任的设备发起的，而平行web会话的载体是用户信任的设备。用户可以自由选择敏感数据，使其不在原始web会话上传输，而在平行会话上传输，从而达到保护用户隐私的效果。本发明不需要修改应用的原生代码来添加信任设备，而是通过在应用服务器部署webteleporter层，是一种即插即用的实现，并且平行web会话是建立在用户和webteleporter之间的，应用始终认为自己和用户之间只有一个原始web会话，。这两点实现了对应用的足够的透明性。本发明能够由用户自己选择哪些信息是属于敏感信息，是需要在安全的平行web会话上传输的，这给予了用户一定的灵活性。本发明能够在应用与不信任设备建立会话时一直提供保障，而不仅仅只在登录阶段提供信息保护，这种实现使得用户在不信任设备上传输信息更加得安全。本发明是一个轻量级的方法，其实现方法简便，手段灵活，且用户的隐私保护能得到显著保证。