(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210234978.9 (22)申请日 2022.03.11 (71)申请人 江苏天创科技有限公司 地址 215000 江苏省苏州市十 梓街327号 (72)发明人 许正平　李超　华桦　 (74)专利代理 机构 北京汇捷知识产权代理事务 所(普通合伙) 11531 专利代理师 孙清晓 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种零信任安全防护系统及防护方法 (57)摘要 本发明公开了一种零信任安全防护系统及 防护方法， 涉及到零信任安全防护系统及防护方 法领域， 包括零信任安全系统， 所述零信任安全 系统是由用户认证模块、 验证设备模块、 最小特 权原则模块、 应用隐身模块共同构成， 在零信任 网络环境下， 客户的应用不会暴露在互联网上， 黑客不能攻击他们看不见的东西， 零信任通过先 认证、 再授权的方式， 可以主动检测攻击。 本发明 能够建议企业在尝试系统性解决复杂网络环境 下的远程办公安全问题时， 零信任的安全思想能 更有效地帮助企业主动防御复杂的网络攻击， 如 DDOS、 勒索病毒攻击等。 权利要求书1页 说明书3页 附图1页 CN 114465814 A 2022.05.10 CN 114465814 A 1.一种零信任安全防护系统， 包括零信任安全系统， 其特征在于： 所述零信任安全系统 是由用户认证模块、 验证设备模块、 最小特权原则模块、 应用隐身模块共同构成。 2.根据权利要求1所述的一种零信任安全防护系统， 其特征在于： 所述用户认证模块对 于访问任何资源的用户都要先进行严格的身份验证， 而不论该用户所在的物理或网络位 置， 对远程办公用户而言， 如果要访问公司的任何资源， 需要进 行数字证书或多因素身份认 证， 拒绝非经 过身份认证的实体进入网络 。 3.根据权利要求1所述的一种零信任安全防护系统， 其特征在于： 所述验证设备模块用 户身份进行验证之后， 要对用户设备进行验证， 确保设备是可信的， 设备验证是基于PDP// PEP定义的针对每个应用和每个策略进 行的， 设备验证不是一次性验证， 而 是根据策略来确 定， 零信任网络支持特权网络设备和非特权网络设备， 如BYOD它会监视用户有多少个不同 的设备正在尝试访问网络， 并确保每台设备都得到授权， 每台设备都是安全的。 4.根据权利要求1所述的一种零信任安全防护系统， 其特征在于： 所述最小特权原则模 块意味着仅向用户提供所需要的访问权限， 这和传统网络安全防御体系中只要远程用户经 过VPN认证或内网用户， 即可访问企业内网所有资源完全不同． 利用SDP软件定义网络的方 法可以最大程度地减少每一个用户对网络敏感数据的接触， 把大安全区划分为 微隔离区。 5.根据权利要求1所述的一种零信任安全防护系统， 其特征在于： 所述应用隐身模块 SDP只有认证和授权的用户才可以访问应用资源， SDP的控制总线和数据总线是独立的， 遵 循零信任原则： 先认证， 再授权， 受保护的应用和敏感数据对非授权用户是不可见的， 它可 以支持轻量级单包授权协议来实现， 仅允许SDP接收有效的SPA包才能完成认证， 它可以帮 助实现受保护的资源和网络架构隐身， 这才使得零信任的理念真正 实现， SDP使得零信任网 络像是一个暗网， 因为 黑客不太容易攻击看不见的东西。 6.一种零信任安全防护方法， 其特 征在于： 具体防护方法如下 所示： S1、 在零信任 网络环境下， 客户的应用不会暴露在互联网上， 黑客不能攻击他们看不见 的东西， 零信任通过 先认证、 再授权的方式， 可以主动检测攻击； S2、 在零信任环境下， 需要对每一个请求进行验证和授权， 微隔离的方式可以降低风 险； S3、 基于每一个请求的连接加密， 属于短连接， 可提供更优的性能， 可以快速扩容， 处理 能力强， 对网络质量要求低， 基于 HTTPS的加密， 并分段为每一个请求进行加密； S4、 零信任框架可比较灵活地扩展， 安全 控制能力强； S5、 要完全实施零信任战略是一个复杂的过程， 需要企业具备一定的能力基线和长期 的过程， 但是零信任可以更好 地保护企业现代的网络环境， 这 一点已经为多数 人认可。权　利　要　求　书 1/1 页 2 CN 114465814 A 2一种零信任安全防护系统及防护方 法 技术领域 [0001]本发明涉及 零信任安全防护系统及防护方法领域， 特别涉及一种零信任安全防护 系统及防护方法。 背景技术 [0002]在疫情期间发生了大量的网络安全事件， 如拒绝服务攻击、 木马病毒、 黑客攻击， 导致用户身份信息被窃、 企业敏感数据被 盗、 用户个人隐私信息泄露、 甚至业务系统瘫痪 等 严重后果． 如何让远程办公的协同性  和高效性得到保障， 同时又能够在现代复杂网络环 境 下解决远程办公的安全问题， 构建有效的安全防御体系， 已经成为企业待解决的问题。 [0003]本发明内容 本发明提供如下技术方案： 一种零信任安全防护系统及防护方法， 包括零信任安 全系统， 所述零信任安全系统是由用户认证模块、 验证设备模块、 最小特权原则模块、 应用 隐身模块共同构成。 [0004]优选的， 所述用户认证模块对于访问任何资源的用户都要先进行严格的身份验 证， 而不论该用户所在的物理或网络位置， 对远程办公用户而言， 如果要访问公司的任何资 源， 需要进行数字证书或多因素身份认证， 拒绝非经 过身份认证的实体进入网络 。 [0005]优选的， 所述验证设备模块用户身份进行验证之后， 要对用户设备进行验证， 确保 设备是可信的， 设备验证是基于PDP//PEP定义的针对每个应用 和每个策略进行的， 设备验 证不是一次性验证， 而是根据策略来确定， 零信任网络支持特权网络设备和非特权网络设 备， 如BYOD它会监视用户有多少个不同的设备正在尝试访问网络， 并确保每台设备都得到 授权， 每台设备都是安全的。 [0006]优选的， 所述最小特权原则模块意味着仅向用户提供所需要的访问权限， 这和传 统网络安全防御体系中只要远程用户经过VPN认证或内网用户， 即可访问企业内网所有资 源完全不同， 利用SDP软件定义网络的方法可以最大程度地减少每一个用户对网络敏感数 据的接触， 把大安全区划分为 微隔离区。 [0007]优选的， 所述应用隐身模块SDP只有认证和授权的用户才可以访问应用资源， SDP 的控制总线和数据总线是独立的， 遵循零信任原则： 先认证， 再授权， 受保护的应用和敏感 数据对非授权用户是不可见的， 它可以支持轻量级 单包授权协 议来实现， 仅允许SDP 接收有 效的SPA包才能完成认证， 它可以帮助实现受保护的资源和网络架构隐身， 这才使得零信任 的理念真正实现， SDP使得零信任网络像是一个暗网， 因为黑客不太容易攻击看不见的东 西。 [0008]一种零信任安全防护方法， 具体防护方法如下 所示： S1、 在零信任网络环境下， 客户的应用不会暴 露在互联网上， 黑客不能攻击他们看 不见的东西， 零信任通过 先认证、 再授权的方式， 可以主动检测攻击； S2、 在零信任环境下， 需要对每一个请求进行验证和授权， 微隔离的方式可以降低 风险；说　明　书 1/3 页 3 CN 114465814 A 3