申请/专利权人：深圳市永达电子信息股份有限公司

申请日：2023-08-11

公开（公告）日：2024-03-08

公开（公告）号：CN116760633B

主分类号：H04L9/40

分类号：H04L9/40;H04L9/32;H04L12/66;H04L9/08;G16Y40/50

优先权：

专利状态码：有效-授权

法律状态：2024.03.08#授权;2023.10.03#实质审查的生效;2023.09.15#公开

摘要：本发明公开了一种安全可信物理网网关的实现方法，该方法包括：通过客户端向SDP准入网关发起客户认证请求，使SDP准入网关向策略管控服务中心发起敲门单包认证请求；将敲门单包认证请求转发至SDP访问网关以进行身份鉴权及认证；建立SDP访问网关与客户端的网络通道并告知策略管控服务中心；通过加密通道向SDP访问网关开通网络通信连接，并告知SDP控制器；通过SDP控制器进行身份认证与业务授权；通过SDP控制器核对客户端的身份以及策略管控服务中心下发的关于客户端的信息，客户端与SDP控制器建立安全TLS隧道连接，并按业务权限开通业务访问控制；通过SDP控制器依据预设的控制策略信息控制客户端与后端资源连接以实现动态访问控制。

主权项：1.一种安全可信物理网网关的实现方法，其特征在于，包括：通过客户端向SDP准入网关发起客户认证请求，依据所述客户认证请求使SDP准入网关向策略管控服务中心发起敲门单包认证请求；在策略管控服务中心收到SDP准入网关的敲门单包认证请求后，将敲门单包认证请求转发至SDP访问网关以进行身份鉴权及认证；通过身份鉴权及认证之后，建立SDP访问网关与客户端的网络通道并告知策略管控服务中心；通过加密通道向SDP访问网关开通网络通信连接，并告知SDP控制器；通过SDP控制器进行身份认证与业务授权；通过SDP控制器核对客户端的身份以及策略管控服务中心下发的关于客户端的信息，核对通过后，客户端与SDP控制器建立安全TLS隧道连接，并按业务权限开通业务访问控制；通过SDP控制器依据预设的控制策略信息控制客户端与后端资源连接以实现动态访问控制；所述在策略管控服务中心收到SDP准入网关的敲门单包认证请求后，将敲门单包认证请求转发至SDP访问网关以进行身份鉴权及认证，包括：在接收到SDP准入网关发出的敲门单包认证请求并验证合法之后，对所述客户端的IP开放指定端口；根据实际需要授权客户端预设时间的访问权限；通过SDP控制器实时对访问连接监控以于发现威胁时立刻中断连接；将认证消息存放在Packet-data中传输给服务器，动态调整防火墙策略或执行特定命令，敲门单包认证请求的数据包使用UDP或TCP协议发起认证；所述将认证消息存放在Packet-data中传输给服务器，动态调整防火墙策略或执行特定命令，敲门单包认证请求的数据包使用UDP或TCP协议发起认证，包括：客户端在发包时通过共享密钥和随机数，经过基于RFC4266定义的HOTP算法计算出SPA密钥，与终端标识、随机数、时间戳、客户端IP及端口打包成UDP数据包并发送到服务器指定敲门端口；服务器根据接收到UDP数据包中的时间戳、客户端IP以及服务器内部存储的服务密码计算出SPA密钥，并将SPA密钥与预设的哈希值进行对比，如果相同，则为客户端打开申请访问的服务端口；服务器将记录所收到的最后一个有效授权的UDP数据包以防止攻击者发送旧的数据包进行重放攻击；如果哈希值不匹配或者与此前收到的有效SPA密钥相同，则不执行任何操作；所述通过SDP控制器依据预设的控制策略信息控制客户端与后端资源连接以实现动态访问控制，包括：根据SDP控制器的策略与客户端建立数据传输的加密通道，并在敲门单包认证请求通过后，打开SDP访问网关的激活策略；在敲门单包认证请求通过后，打开并激活客户端的可连接网络策略，并开启访问控制策略；SDP访问网关与客户端为双向认证；设置动态防火墙；执行SDP访问网关；所述执行SDP访问网关，包括：通过SDP访问网关进行认证管理；通过SDP访问网关进行动态最小化权限控制，根据策略中心下发的权限策略，实时最小化细粒度权限控制，可根据预设的信任评估等级，激活或关闭访问控制策略；通过SDP访问网关执行访问控制策略；基于策略的访问控制支持动态运行时授权和管理态授权；基于主体、客体和环境属性实现角色的动态映射和过滤机制，激活权限基线检查；通过SDP访问网关进行文件类型内容的识别及过滤；还包括：执行策略管控服务中心；执行SDP控制器；所述执行策略管控服务中心，包括：将用户和资源按照配置进行分组；根据风险评估给出的分析结果实时调整用户的资源访问权限；所述执行SDP控制器，包括：对企业内网用户身份管理与访问控制策略预置与执行，与用户身份管理系统对接以便对用户请求进行身份验证和授权验证；通过身份认证的方式进行身份验证，并建立物联网设备和企业内网计算资源之间的加密隧道，为物联网前端请求的被授权的特定资源提供访问权限；所述执行SDP控制器，还包括：为用户颁发数字证书和身份密钥；对用户和终端认证，基于用户和应用的可信度生成动态权限；根据用户权限以及策略规范生成用户访问权限，生成安全隧道策略，并下发到客户端和网关；对用户、应用进行持续可信评估；根据评估结果动态调整用户权限，并对用户的接入、访问行为进行全面的统计分析；为本地网络隐蔽业务系统资源，并提供动态访问控制引擎、可信识别引擎联动，基于访问控制策略对访问主体提供授权范围内的访问服务，对异常访问行为进行阻断；抵御网络攻击；设置SPA认证前置条件，未经过SPA认证的非可信终端无法访问控制器，控制器对其服务隐藏；对设备身份标识管理，设置主体对客体的访问权限。

全文数据：

权利要求：

百度查询： 深圳市永达电子信息股份有限公司 一种安全可信物理网网关的实现方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD