(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210425147.X (22)申请日 2022.04.21 (71)申请人 国家计算机网络与信息安全管理中 心 地址 100029 北京市朝阳区裕民路甲3号 (72)发明人 李广恺　刘季平　刘科栋　彭成维　 薛春晖　李艺涛　贾东征　段荣昌　 (74)专利代理 机构 北京华夏泰和知识产权代理 有限公司 1 1662 专利代理师 孟德栋 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种跨网信息安全交 互方法及系统 (57)摘要 本申请涉及一种跨网信息安全交互方法及 系统， 涉及网络安全技术领域， 该方法包括： 获取 终端设备的身份认证请求； 依据身份认证请求携 带的认证参数信息进行身份验证， 得到终端设备 对应的身份认证结果； 基于身份认证结果生成终 端身份令牌信息， 并向终端设备和网络隔离设备 发送终端身份令牌信息； 依据终端设备的安全评 估参数信息进行安全评估处理， 得到终端设备的 安全评估结果； 基于安全评估结果， 结合控制设 备的身份权限列表信息， 向网络隔离设备发送动 态访问控制策略， 使 得网络隔离设备依据动态访 问控制策略执行目标业务信息对应的目标操作。 可见， 本申请解决了现有的信息交互技术由于无 法有效防御基于网络连接的攻击所导致的数据 安全问题。 权利要求书3页 说明书15页 附图5页 CN 115378625 A 2022.11.22 CN 115378625 A 1.一种跨网信息安全交 互方法， 其特 征在于， 所述方法应用于控制设备， 包括： 获取终端设备的身份认证请求， 所述身份认认证请求为所述终端设备依据所述控制设 备发送的认证端口信息生成的认证请求； 依据所述身份认证请求携带的认证参数信 息进行身份验证， 得到所述终端设备对应的 身份认证结果； 基于所述身份认证结果生成终端身份令牌信 息， 并向所述终端设备和网络隔离设备发 送所述终端身份令牌信息， 所述 终端身份令牌信息用于 建立所述 终端设备和网络隔离 设备 之间的安全通道； 获取所述终端设备对应的安全引擎采集信 息， 所述安全引擎采集信 息包含依据 所述控 制设备的策略配置信息采集到的所述终端设备的安全评估参数信息； 依据所述 安全评估参数信息进行安全评估处 理， 得到所述终端设备的安全评估结果； 基于所述安全评估结果， 结合所述控制设备的身份权限列表信息， 向所述网络隔离设 备发送动态访问控制策略， 所述网络隔离 设备用于依据动态访问控制策略执行目标业务信 息对应的目标操作， 所述目标业务信息为所述终端设备通过所述安全通道发送的业务信 息。 2.根据权利要求1所述的方法， 其特征在于， 所述获取终端设备的身份认证请求之前， 还包括： 在检测到终端设备的鉴权请求时， 依据所述鉴权请求进行鉴权校验， 得到鉴权校验结 果； 当所述鉴权校验结果为鉴权校验通过结果时， 向所述终端设备发送认证端口信息， 所 述认证端口信息为依据所述 鉴权校验通过 结果生成的端口信息 。 3.根据权利要求2所述的方法， 其特征在于， 所述认证参数信息包含身份认证凭证信 息、 设备指纹信息以及设备安全基线信息， 所述依据所述身份认证请求携带 的认证参数信 息进行身份验证， 得到所述终端设备对应的身份认证结果， 包括： 若所述身份认证凭证信 息符合预设的身份认证凭证验证条件， 则确定所述设备指纹信 息是否符合预设的设备指纹验证条件； 若所述设备指纹信 息符合预设的设备指纹验证条件， 则确定所述设备安全基线信 息是 否符合预设的设备安全基线验证条件； 若所述设备安全基线信 息符合预设的设备安全基线验证条件， 则生成所述终端设备对 应的身份认证成功的结果， 并基于所述身份认证成功结果 生成终端 身份令牌信息 。 4.根据权利要求1所述的方法， 其特征在于， 所述网络隔离设备为所述控制设备连接的 安全隔离 设备， 所述基于所述安全评估 结果， 结合所述控制设备的身份权限列 表信息， 向所 述网络隔离设备发送动态访问控制策略， 包括： 若所述安全评估结果为预设的风险终端评估结果， 则基于所述风险终端评估结果， 从 所述身份权限列 表信息中提取风险终端对应的风险控制策略信息， 并基于所述风险控制策 略信息生成所述 终端设备对应的风险控制策略， 将所述风险控制策略发送给所述网络隔离 设备， 所述 风险控制策略用于触发所述网络隔离设备断开所述 安全通道； 若所述安全评估结果为安全终端评估结果， 则基于所述安全终端评估结果， 从所述身 份权限列 表信息中提取安全终端对应的安全控制策略信息， 并基于所述安全控制策略信息权　利　要　求　书 1/3 页 2 CN 115378625 A 2生成所述终端设备对应的安全控制策略， 将所述安全控制策略发送给所述网络隔离设备； 所述网络隔离 设备用于基于所述安全控制策略， 通过安全通道与所述终端设备进 行安全通 信。 5.一种跨网信息安全交 互方法， 其特 征在于， 所述方法应用于终端设备， 包括： 依据控制设备发送的认证端口信息， 生成身份认证请求； 将所述身份认证请求发送给 所述控制设备； 依据终端身份令牌信 息与网络隔离设备建立安全通道， 并通过所述安全通道向所述网 络隔离设备发送目标业务信息， 其中， 所述终端身份令牌信息为所述控制设备依据所述终 端设备对应的身份认证结果 发送的身份令牌信息， 所述身份认证结果为所述控制设备依据 所述身份认证请求携带的认证参数信息生成的终端 身份认证结果； 依据所述控制设备的策略配置信息， 采集 安全评估参数信息； 基于所述 安全评估参数信息向所述控制设备发送安全引擎采集信息； 其中， 所述安全引擎采集信 息用于触发所述控制设备依据 所述安全评估参数信 息和所 述控制设备的身份权限列表信息， 向所述网络隔离设备发送动态访问控制策略； 所述网络隔离设备用于依据动态访问控制策略执 行目标业 务信息对应的目标操作。 6.根据权利要求5所述的方法， 其特征在于， 所述依据控制设备发送的认证端口信息， 生成身份认证请求之前， 还 包括： 向所述控制设备发送鉴权请求， 所述鉴权请求用于触发所述控制设备发送认证端口信 息， 所述认证端口信息为所述控制设备依据鉴权校验通过结果生成的端口信息， 所述鉴权 校验通过 结果为所述控制设备依据所述 鉴权请求 生成的鉴权检验结果。 7.根据权利要求6所述的方法， 其特征在于， 所述依据控制设备发送的认证端口信息， 生成身份认证请求， 包括： 在接收到所述认证端口信息时， 获取所述终端设备对应的认证参数信息， 所述认证参 数信息包 含身份认证凭证信息、 设备指纹信息以及设备安全基线信息； 基于所述认证参数信息和所述认证端口信息， 生成身份认证请求。 8.一种跨网信息安全交 互方法， 其特 征在于， 所述方法应用于网络隔离设备， 包括： 获取控制设备发送 的终端身份令牌信息； 其中， 所述终端身份令牌信息为所述控制设 备基于终端设备对应的身份认证结果生成的令牌信息， 所述身份认证结果为所述控制设备 依据所述终端设备的身份认证请求 生成的认证结果； 依据所述终端身份令牌信 息与所述终端设备建立安全通道， 并通过所述安全通道接收 所述终端设备发送的目标业 务信息； 接收所述控制设备发送的动态访 问控制策略， 其中， 所述动态访 问控制策略为所述控 制设备基于所述终端设备 的安全评估结果， 结合身份权限列表信息生成的访问控制策略； 所述安全评估结果为所述控制设备依据安全引擎采集信息生成的评估结果， 所述安全引擎 采集信息包含依据所述控制设备的策略配置信息采集到的所述终端设备的安全评估参数 信息； 依据所述动态访问控制策略， 执 行所述目标业 务信息对应的目标操作。 9.根据权利要求8所述的方法， 其特征在于， 所述依据所述控制设备发送的动态访问控 制策略， 执 行所述目标业 务信息对应的目标操作， 包括：权　利　要　求　书 2/3 页 3 CN 115378625 A 3