(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211048820.9 (22)申请日 2022.08.30 (71)申请人 深圳市风云实业有限公司 地址 518040 广东省深圳市福田区车公庙 天安工业区天吉大厦2B2、 3B2、 4B1 (72)发明人 赵杰　芦伟　张晋　张帆　陈世伟　 (74)专利代理 机构 北京正华智诚专利代理事务 所(普通合伙) 11870 专利代理师 吕春艳 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于可信接入的一体化边界安全防护 系统及方法 (57)摘要 本发明提供了一种基于可信接入的一体化 边界安全防护系统及方法， 属于通信技术领域， 该系统包括部署于业务承载网的网络边缘上的 一体化边界安全防护设备， 以及安装于业务终端 或服务器上的可信接入认证模块。 本发明从网络 边界接入安全、 数据安全、 传输协议安全、 攻击防 护等角度设计出有效的安全 联动机制， 形成接入 可信、 数据可查、 协议可见、 策略可控、 攻击可防 的安全联动手段， 并对数据和业务两个层面上提 供异构的安全访问服务， 保障网络内对外进行业 务联动时， 不会引入外部的安全风险。 提供有效 的边界安全防护服 务。 权利要求书3页 说明书8页 附图4页 CN 115426158 A 2022.12.02 CN 115426158 A 1.一种基于可信接入的一体化边界安全防护系统， 其特征在于， 包括部署于业务承载 网的网络边缘上的一体化边界安全防护设备， 以及安装于承载网内业务 终端或服务器上的 可信接入认证模块； 所述一体化边界安全防护设备， 用于对网络层边界安全进行防护、 对业务访 问安全进 行防护、 对数据内容 安全进行检查以及提供全协议 监控； 所述可信接入认证模块， 用于向一体化边界安全 防护设备提供可信认证服务、 提供数 据内容和协议层标记服 务、 提供业 务访问功能以及提供主机安全基线检查 服务。 2.根据权利要求1所述的基于可信 接入的一体化边界安全防护系统， 其特征在于， 所述 一体化边界安全防护设备包括： 网络层边界安全防护模块， 用于分别对网络传输层、 渗透及病毒攻击、 协议策略以及可 信接入进行防护； 业务模型模块， 用于提供业务访问的安全防护功能， 以及提供协议隔离、 协议剥离和强 制访问控制服 务， 其包括强访控制、 传输代理以及透明服 务功能； 数据类边界 防护模块， 用于提供数据内容安全检查服务， 其包括数据类标记、 数据标记 检查、 数据内容核查以及数据内容审计功能； 业务类边界 防护模块， 用于提供业务访问过程的全协议监控， 其包括业务类协议检查、 协议标记检查、 协议行为核查以及协议行为审计功能； 安全审计模块， 用于提供网络层安全审计、 数据类安全审计、 业务类安全审计以及管理 行为审计服 务， 其包括 边界安全审计功能。 3.根据权利要求2所述的基于可信 接入的一体化边界安全防护系统， 其特征在于， 所述 可信接入认证模块包括： 可信认证子模块， 用于向一体化 边界安全防护设备提供 可信认证服 务； 数据标记子模块， 用于提供数据内容标记服务， 支撑一体化边界安全 防护设备的安全 措施； 访问控制绑定子模块， 用于提供协议层标记服务， 支撑一体化边界安全 防护设备的安 全措施； 数据传输代理子模块， 用于提供安全穿越网络边界的业 务访问功能； 主体安全核查子模块， 用于提供主机安全基线检查服务， 对终端的主体安全提供安全 手段。 4.如权利要求1到3中任一所述的基于可信接入的一体化边界安全防护系统的一体化 边界安全防护方法， 其特 征在于， 包括以下步骤： S1、 在承载网内的终端或服务器上安装可信接入认证模块， 并利用可信接入认证模块 对终端的主体安全核查进行扫描， 对安全基线 进行检查； S2、 基于检查结果， 向一体化边界安全防护设备进行可信认证， 生成终端的身份唯一标 识， 并将该 标识作为 穿透一体化 边界安全防护设备的可信认证码； S3、 由一体化边界安全防护设备在终端或服务器完成可信接入认证后， 在一体化边界 安全防护设备内部生成终端或服 务器的可信 信息； S4、 基于可信信息， 针对承载网内的终端或服务器在进行穿透网络边界进行访问时， 由 可信接入认证模块获取 该访问的类型；权　利　要　求　书 1/3 页 2 CN 115426158 A 2S5、 针对进行数据类访问时， 获取数据文件的文件标记， 并通过数据传输代理子模块进 行截获， 并采用代理的方式向一体化边界安全防护 设备进行数据传输， 并在传输过程中逐 报文添加终端认证时生 成的可信认证码以及文件标记， 由一体化边界安全防护设备在收到 终端或服 务器的数据类访问时， 进行安全检查， 完成一体化 边界安全防护； S6、 针对进行业务类访问时， 获取业务类访问的业务类型， 并通过访问控制绑定子模块 进行业务协议截获， 并采用隧道向一体化边界安全防护设备进行数据传输， 并在传输过程 中逐报文 添加终端认证时生成的可信认证码以及文件标记， 由一体化边界安全防护设备在 收到终端或服 务器的业 务类访问时， 进行安全检查， 完成一体化 边界安全防护。 5.根据权利要求4所述的基于可信 接入的一体化边界安全防护方法， 其特征在于， 所述 步骤S5包括以下步骤： S501、 针对进行 数据类访问时， 由可信接入认证模块获取 数据文件的文件标记； S502、 通过可信接入认证模块的数据传输代理子模块截获数据类型访问数据； S503、 通过可信接入认证模块在截获的数据中逐报文添加可信认证码与文件标识； S504、 针对一体化边界安全防护设备收到终端或服务器的数据类访问后， 对基础网络 协议进行防护； S505、 对渗透和病毒攻击行为进行监测； S506、 对数据类访问行为是否为可信的传输协议进行防护； S507、 判断访问端是否为可信认证端， 对非合规业务访问进行防护， 将主体可信作 为业 务访问的前提； S508、 通过数据传输代理子模块将数据类访问的数据文件内容进行截获， 并校验传输 数据文件的完成性； S509、 对数据文件进行标记检测， 并根据标记检测结果判断数据文件是否符合标记安 全策略， 若是， 则进入步骤S510， 否则， 将数据文件丢弃， 并进行边界行为审计记录， 并进入 步骤S511； S510、 对数据文件的内容进行检测， 并根据检测结果判断数据文件的内容是否存在异 常内容， 若是， 则进入步骤S51 1， 否则， 进入步骤S51 1； S511、 统计数据文件内容的审计， 完成一体化 边界安全防护。 6.根据权利要求5所述的基于可信 接入的一体化边界安全防护方法， 其特征在于， 所述 步骤S6包括以下步骤： S601、 针对进行业 务类访问时， 获取业 务类访问的业 务类型； S602、 通过访问控制绑定 子模块进行业 务协议截获； S603、 为业务数据封装隧道， 并逐报文添加终端认证时生成的可信认证码以及文件标 记； S604、 针对一体化边界安全防护设备收到终端或服务器的业务类访问时， 对基础网络 协议进行防护； S605、 对渗透和病毒攻击行为进行监测； S606、 对业务类访问行为是否为可信传输协议进行防护； S607、 判断访问端是否为可信认证端， 对非合规业务访问进行防护， 将主体可信作 为业 务访问的前提；权　利　要　求　书 2/3 页 3 CN 115426158 A 3