一种跨网信息安全交互方法及系统技术方案

本申请涉及一种跨网信息安全交互方法及系统，涉及网络安全技术领域，该方法包括：获取终端设备的身份认证请求；依据身份认证请求携带的认证参数信息进行身份验证，得到终端设备对应的身份认证结果；基于身份认证结果生成终端身份令牌信息，并向终端设备和网络隔离设备发送终端身份令牌信息；依据终端设备的安全评估参数信息进行安全评估处理，得到终端设备的安全评估结果；基于安全评估结果，结合控制设备的身份权限列表信息，向网络隔离设备发送动态访问控制策略，使得网络隔离设备依据动态访问控制策略执行目标业务信息对应的目标操作。可见，本申请解决了现有的信息交互技术由于无法有效防御基于网络连接的攻击所导致的数据安全问题。安全问题。安全问题。

【技术实现步骤摘要】
一种跨网信息安全交互方法及系统


[0001]本申请涉及网络安全
，尤其涉及一种跨网信息安全交互方法及系统。

技术介绍

[0002]随着信息化不断发展，跨网络信息交互的场景越发常见，跨网络信息交互所引发的安全事件也频繁发生。常见的实现安全跨网信息交互的安全技术主要包括：采用防火墙实现基本的访问控制、通过网闸实现交互信息的隔离交换、采用光闸实现信息单向进单向出的安全要求、采用高安全等级网络区域进行限制要求只进不出等。
[0003]在具体实现中，现有跨网信息交互使用的网络安全隔离装置主要是以网闸、光闸等产品为主。然而，现有的网络安全隔离装置只是部署在两个进行信息交互的网络间，对交互的信息进行隔离阻断，缺乏对信息交互主体的身份鉴别能力、对数据机密性完整性防护的能力以及缺乏系统性防护手段等，同时，由于现有的网络安全隔离装置对内外侧、外网侧均开放IP/端口,网络隔离边界的暴露面过大，在受到基于连接或压力的攻击时，容易导致无法正常提供服务。可见，现有的跨网信息交互方法无法有效防御基于网络连接的攻击方式，容易遭受DDOS、TCP以及SYN等网络攻击，存在数据泄露或数据被篡改的风险。

技术实现思路

[0004]为了解决上述技术问题或者至少部分地解决上述技术问题，一种跨网信息安全交互方法及系统。
[0005]第一方面，本申请提供了一种跨网信息安全交互方法，其特征在于，所述方法应用于控制设备，包括：
[0006]获取终端设备的身份认证请求，所述身份认认证请求为所述终端设备依据所述控制设备发送的认证端口信息生成的认证请求；
[0007]依据所述身份认证请求携带的认证参数信息进行身份验证，得到所述终端设备对应的身份认证结果；
[0008]基于所述身份认证结果生成终端身份令牌信息，并向所述终端设备和网络隔离设备发送所述终端身份令牌信息，所述终端身份令牌信息用于建立所述终端设备和网络隔离设备之间的安全通道；
[0009]获取所述终端设备对应的安全引擎采集信息，所述安全引擎采集信息包含依据所述控制设备的策略配置信息采集到的所述终端设备的安全评估参数信息；
[0010]依据所述安全评估参数信息进行安全评估处理，得到所述终端设备的安全评估结果；
[0011]基于所述安全评估结果，结合所述控制设备的身份权限列表信息，向所述网络隔离设备发送动态访问控制策略，所述网络隔离设备用于依据动态访问控制策略执行目标业务信息对应的目标操作，所述目标业务信息为所述终端设备通过所述安全通道发送的业务信息。
[0012]可选的，所述获取终端设备的身份认证请求之前，还包括：
[0013]在检测到终端设备的鉴权请求时，依据所述鉴权请求进行鉴权校验，得到鉴权校验结果；
[0014]当所述鉴权校验结果为鉴权校验通过结果时，向所述终端设备发送认证端口信息，所述认证端口信息为依据所述鉴权校验通过结果生成的端口信息。
[0015]可选的，所述认证参数信息包含身份认证凭证信息、设备指纹信息以及设备安全基线信息，所述依据所述身份认证请求携带的认证参数信息进行身份验证，得到所述终端设备对应的身份认证结果，包括：
[0016]若所述身份认证凭证信息符合预设的身份认证凭证验证条件，则确定所述设备指纹信息是否符合预设的设备指纹验证条件；
[0017]若所述设备指纹信息符合预设的设备指纹验证条件，则确定所述设备安全基线信息是否符合预设的设备安全基线验证条件；
[0018]若所述设备安全基线信息符合预设的设备安全基线验证条件，则生成所述终端设备对应的身份认证成功的结果，并基于所述身份认证成功结果生成终端身份令牌信息。
[0019]可选的，所述网络隔离设备为所述控制设备连接的安全隔离设备，所述基于所述安全评估结果，结合所述控制设备的身份权限列表信息，向所述网络隔离设备发送动态访问控制策略，包括：
[0020]若所述安全评估结果为预设的风险终端评估结果，则基于所述风险终端评估结果，从所述身份权限列表信息中提取风险终端对应的风险控制策略信息，并基于所述风险控制策略信息生成所述终端设备对应的风险控制策略，将所述风险控制策略发送给所述网络隔离设备，所述风险控制策略用于触发所述网络隔离设备断开所述安全通道；
[0021]若所述安全评估结果为安全终端评估结果，则基于所述安全终端评估结果，从所述身份权限列表信息中提取安全终端对应的安全控制策略信息，并基于所述安全控制策略信息生成所述终端设备对应的安全控制策略，将所述安全控制策略发送给所述网络隔离设备；所述网络隔离设备用于基于所述安全控制策略，通过安全通道与所述终端设备进行安全通信。
[0022]第二方面，本申请还提供了一种跨网信息安全交互方法，其特征在于，所述方法应用于终端设备，包括：
[0023]依据控制设备发送的认证端口信息，生成身份认证请求；
[0024]将所述身份认证请求发送给所述控制设备；
[0025]依据终端身份令牌信息与网络隔离设备建立安全通道，并通过所述安全通道向所述网络隔离设备发送目标业务信息，其中，所述终端身份令牌信息为所述控制设备依据所述终端设备对应的身份认证结果发送的身份令牌信息，所述身份认证结果为所述控制设备依据所述身份认证请求携带的认证参数信息生成的终端身份认证结果；
[0026]依据所述控制设备的策略配置信息，采集安全评估参数信息；
[0027]基于所述安全评估参数信息向所述控制设备发送安全引擎采集信息；
[0028]其中，所述安全引擎采集信息用于触发所述控制设备依据所述安全评估参数信息和所述控制设备的身份权限列表信息，向所述网络隔离设备发送动态访问控制策略；
[0029]所述网络隔离设备用于依据动态访问控制策略执行目标业务信息对应的目标操
作。
[0030]可选的，所述依据控制设备发送的认证端口信息，生成身份认证请求之前，还包括：
[0031]向所述控制设备发送鉴权请求，所述鉴权请求用于触发所述控制设备发送认证端口信息，所述认证端口信息为所述控制设备依据鉴权校验通过结果生成的端口信息，所述鉴权校验通过结果为所述控制设备依据所述鉴权请求生成的鉴权检验结果。
[0032]可选的，所述依据控制设备发送的认证端口信息，生成身份认证请求，包括：
[0033]在接收到所述认证端口信息时，获取所述终端设备对应的认证参数信息，所述认证参数信息包含身份认证凭证信息、设备指纹信息以及设备安全基线信息；
[0034]基于所述认证参数信息和所述认证端口信息，生成身份认证请求。
[0035]第三方面，本申请还提供了一种跨网信息安全交互方法，其特征在于，所述方法应用于网络隔离设备，包括：
[0036]获取控制设备发送的终端身份令牌信息；其中，所述终端身份令牌信息为所述控制设备基于终端设备对应的身份认证结果生成的令牌信息，所述身份认证结果为所述控制设备依据所述终端设备的身份认证请求生成的认证结果；
[0本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种跨网信息安全交互方法，其特征在于，所述方法应用于控制设备，包括：获取终端设备的身份认证请求，所述身份认认证请求为所述终端设备依据所述控制设备发送的认证端口信息生成的认证请求；依据所述身份认证请求携带的认证参数信息进行身份验证，得到所述终端设备对应的身份认证结果；基于所述身份认证结果生成终端身份令牌信息，并向所述终端设备和网络隔离设备发送所述终端身份令牌信息，所述终端身份令牌信息用于建立所述终端设备和网络隔离设备之间的安全通道；获取所述终端设备对应的安全引擎采集信息，所述安全引擎采集信息包含依据所述控制设备的策略配置信息采集到的所述终端设备的安全评估参数信息；依据所述安全评估参数信息进行安全评估处理，得到所述终端设备的安全评估结果；基于所述安全评估结果，结合所述控制设备的身份权限列表信息，向所述网络隔离设备发送动态访问控制策略，所述网络隔离设备用于依据动态访问控制策略执行目标业务信息对应的目标操作，所述目标业务信息为所述终端设备通过所述安全通道发送的业务信息。2.根据权利要求1所述的方法，其特征在于，所述获取终端设备的身份认证请求之前，还包括：在检测到终端设备的鉴权请求时，依据所述鉴权请求进行鉴权校验，得到鉴权校验结果；当所述鉴权校验结果为鉴权校验通过结果时，向所述终端设备发送认证端口信息，所述认证端口信息为依据所述鉴权校验通过结果生成的端口信息。3.根据权利要求2所述的方法，其特征在于，所述认证参数信息包含身份认证凭证信息、设备指纹信息以及设备安全基线信息，所述依据所述身份认证请求携带的认证参数信息进行身份验证，得到所述终端设备对应的身份认证结果，包括：若所述身份认证凭证信息符合预设的身份认证凭证验证条件，则确定所述设备指纹信息是否符合预设的设备指纹验证条件；若所述设备指纹信息符合预设的设备指纹验证条件，则确定所述设备安全基线信息是否符合预设的设备安全基线验证条件；若所述设备安全基线信息符合预设的设备安全基线验证条件，则生成所述终端设备对应的身份认证成功的结果，并基于所述身份认证成功结果生成终端身份令牌信息。4.根据权利要求1所述的方法，其特征在于，所述网络隔离设备为所述控制设备连接的安全隔离设备，所述基于所述安全评估结果，结合所述控制设备的身份权限列表信息，向所述网络隔离设备发送动态访问控制策略，包括：若所述安全评估结果为预设的风险终端评估结果，则基于所述风险终端评估结果，从所述身份权限列表信息中提取风险终端对应的风险控制策略信息，并基于所述风险控制策略信息生成所述终端设备对应的风险控制策略，将所述风险控制策略发送给所述网络隔离设备，所述风险控制策略用于触发所述网络隔离设备断开所述安全通道；若所述安全评估结果为安全终端评估结果，则基于所述安全终端评估结果，从所述身份权限列表信息中提取安全终端对应的安全控制策略信息，并基于所述安全控制策略信息
生成所述终端设备对应的安全控制策略，将所述安全控制策略发送给所述网络隔离设备；所述网络隔离设备用于基于所述安全控制策略，通过安全通道与所述终端设备进行安全通信。5.一种跨网信息安全交互方法，其特征在于，所述方法应用于终端设备，包括：依据控制设备发送的认证端口信息，生成身份认证请求；将所述身份认证请求发送给所述控制设备；依据终端身份令牌信息与网络隔离设备建立安全通道，并通过所述安全通道向所述网络隔离设备发送目标业务信息，其中，所述终端身份令牌信息为所述控制设备依据所述终端设备对应的身份认证结果发送的身份令牌信息，所述身份认证结果为所述控制设备依据所述身份认证请求携带的认证参数信息生成的终端身份认...

【专利技术属性】
技术研发人员：李广恺，刘季平，刘科栋，彭成维，薛春晖，李艺涛，贾东征，段荣昌，
申请(专利权)人：国家计算机网络与信息安全管理中心，
类型：发明
国别省市：