一种安全智能网关系统、数据传输方法技术方案

本发明专利技术提供一种安全智能网关系统、数据传输方法，包括：业务系统、蜜罐、统一身份认证平台对接系统，网关接入模块，用于实现业务系统的接入操作，通过接入业务系统实现公司业务系统流量管控，基于业务自身的转发和处理逻辑实现业务访问请求的转发、阻断与引流；实现流量选择性校验和基于控制网关检测结果的定向流量转发功能；网关控制模块，用于实现以登录状态检测和身份实名认证为基础的安全检测功能；实现IP校验，根据现有第三方威胁感知平台黑名单统计结果构建情报IP数据库，开放接口对接控制网关，控制网关基于威胁情报IP数据库对请求进行研判，并将研判结果返回网关接入模块。本发明专利技术有助于提高远程业务办理的安全性，有效防止非法入侵。止非法入侵。止非法入侵。

【技术实现步骤摘要】
一种安全智能网关系统、数据传输方法


[0001]本专利技术涉及网络安全
，尤其是涉及一种安全智能网关系统、数据传输方法。

技术介绍

[0002]随着云计算、大数据、物联网等新兴技术的不断兴起，企业IT架构正在从“有边界”向“无边界”转变，同时公司数字化发展，新业务、新场景不断涌现，网络链条不断延伸，业务暴露面持续扩大，更多的员工愿意使用自己的设备办公。当越来越多的业务访问都是从互联网环境发起，其业务系统的网络安全保护就显得更为重要。
[0003]中国专利技术专利名称：一种远程办公系统、方法、智能终端及存储介质，专利号：CN114826704A，提供了一种远程办公系统、方法、智能终端及存储介质，旨在解决现有技术在远程办公用户使用办公系统进行远程办公时，传输的过程中企业内部的私密数据容易受到拦截和干扰，导致企业信息的安全性降低的问题，其技术方案是一种远程办公系统，基于用户端以及企业端实现，包括用户登录模块，用于获取用户输入信息，以鉴别用户身份；用户应用模块，用于实现用户的办公需求；用户网关模块，用于向企业端发送数据接入请求；信息认证模块以及企业网关模块，用于验证并与用户网关模块构建通讯连接；企业应用模块，用于实现企业端数据的管理和调度，本申请具有提高远程办公的过程中，私密数据的安全性的效果。该专利技术通过设置多次验证信息保护公司信息，并未在信息传输等过程中进行进一步的加密保护，保密程度不高；若发生非法入侵，也无法及时获取入侵路径。

技术实现思路

[0004]针对现有技术中存在的问题，本专利技术提供了一种安全智能网关系统、数据传输方法，安全智能网关系统主要包括网关接入模块和网关控制模块，网关接入模块实现公司业务系统应用通过“接入网关系统”的发布，业务应用的暴露面收敛、访问准入和安全审计能力；网关控制模块实现以登录状态检测和身份实名认证为基础的安全检测能力。
[0005]本专利技术采用的技术方案为：
[0006]一种安全智能网关系统，包括：业务系统、蜜罐、统一身份认证平台对接系统，网关接入模块，用于实现业务系统的接入操作，通过接入业务系统实现公司业务系统流量管控，基于业务自身的转发和处理逻辑实现业务访问请求的转发、阻断与引流；实现流量选择性校验和基于控制网关检测结果的定向流量转发功能；
[0007]网关控制模块，用于实现以登录状态检测和身份实名认证为基础的安全检测功能；实现IP校验，根据现有第三方威胁感知平台黑名单统计结果构建情报IP 数据库，开放接口对接控制网关，控制网关基于威胁情报IP数据库对请求进行研判，并将研判结果返回网关接入模块。
[0008]一种安全智能网关系统数据传输方法，所述方法适用于所述的安全智能网关系统，包括如下步骤：
[0009]将公司外部业务应用统一接入到安全智能网关的网关接入模块，通过网关接入模块实现业务系统一发布，并基于自身的转发和处理逻辑实现业务访问请求的转发、阻断与引流；
[0010]通过接入的流量汇入到网关控制模块，实现访问请求检测工作，实现登录状态检测和身份实名认证功能；
[0011]判断是否为攻击者，如果是，则对于恶意攻击的ip地址将无感引流到公司蜜罐中，方便后续溯源反制工作；如果否，则跳转至统一身份认证平台对接系统，进行身份认证后跳转至业务系统。
[0012]本专利技术的有益效果为：本专利技术通过设置用户信息存储单元、实名认证校验单元用于验证用户身份，同时本专利技术设置有登录状态管理单元，通过控制网关对 cookie中加密的登录状态和会话信息进行解密，判断用户是否登录，安全性更高；本专利技术设置有非法访问用户鉴别单元，用于对Cookie解密结果进行合规验证，网关接入模块对于不合规请求转发至蜜罐服务进行溯源，可以及时提醒用户非法路径来源，防止非法路径探测。
附图说明
[0013]参考所附附图，以更加充分的描述本专利技术的实施例。然而，所附附图仅用于说明和阐述，并不构成对本专利技术范围的限制。
[0014]图1为本专利技术安全智能网关的结构图；
[0015]图2为本专利技术安全智能网关数据传输方法流程图；
具体实施方式
[0016]下面结合附图与实施例对本专利技术做进一步说明：为能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本专利技术进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本专利技术的不同结构。为了简化本专利技术的公开，下文中对特定例子的部件和设置进行描述。此外，本专利技术可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本专利技术省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本专利技术。
[0017]如图1所示，本专利技术提供一种安全智能网关系统，包括：业务系统、蜜罐、统一身份认证平台对接系统，网关接入模块和网关控制模块；
[0018]网关接入模块，用于实现业务系统的接入操作，通过接入业务系统实现公司业务系统流量管控，基于业务自身的转发和处理逻辑实现业务访问请求的转发、阻断与引流；实现流量选择性校验和基于控制网关检测结果的定向流量转发功能；网关接入模块包括：触发和等待组件、响应和处置组件两部分。触发等待组件。基于用户角色、业务系统标签、重大保障时间、源IP、目的IP、请求内容关键词6项参数，决定是否将访问请求转发至控制网关s1检测，并针对不同类型的业务触发不同的检测规则，实现基于不同业务场景策略灵活启停。响应和处置组件根据网关控制模块的分析检测结果，通过持续监测流量中的行为，对身份进行动态的授权，放行“信誉合格”的网络行为，做到“正常访问”与“黑客攻击”的精细度区分，当信誉评分低于设定阈值时，自动触发相关操作，如异常登录地址或违规攻击操作会发
短信或邮件提醒、信誉度过低需要进行二次认证或人工确认、恶意用户登录后无感知引流至蜜罐等。将流量分别向三个方向转发，分别为正常转发、阻断访问和定向引流至蜜罐系统，并生成安全日志。三种转发状态可通过配置源IP、目的IP、业务系统标签三个参数进行启停。
[0019]网关控制模块，用于实现以登录状态检测和身份实名认证为基础的安全检测功能；实现IP校验，根据现有第三方威胁感知平台黑名单统计结果构建情报IP 数据库，开放接口对接控制网关，控制网关基于威胁情报IP数据库对请求进行研判，并将研判结果返回网关接入模块响应和处置模块,对于恶意攻击的ip引流至蜜罐中，方便对黑客进行溯源操作，对于正常登录用户访问正常的业务系统。
[0020]网关控制模块配置登录状态检测单元，对用户请求的cookie信息进行抓取和检测，从用户是否登录、登录状态是否超时、同一cookie是否来自同一源IP 三个方面进行判定，并将登录状态检测结果返回网关接入模块的响应和处置组件。
[0021]网关控制模块配置实名认证校验单元，借助接入网关动态抓取用户访问来源、登录目标系统的应用ID，统一身份认证平台对接系统对接,统一身份认证平台对接系统用于保存用户身份认本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全智能网关系统，包括：业务系统、蜜罐系统、统一身份认证平台对接系统，其特征在于，包括：网关接入模块，用于实现业务系统的接入操作，通过接入业务系统实现公司业务系统流量管控，基于业务自身的转发和处理逻辑实现业务访问请求的转发、阻断与引流；实现流量选择性校验和基于控制网关检测结果的定向流量转发功能；网关控制模块，用于实现以登录状态检测和身份实名认证为基础的安全检测功能；对抓取用户的登录IP情报数据库进行比对；数据库包含第三方威胁感知平台黑名单IP地址和手动录入的高危IP地址数据，与网关控制模块进行比对；将用户登录的IP地址与数据库中IP地址进行研判，将研判的结果返回到网关接入模块，根据网关控制模块的研判结果返回到网关接入模块中实现IP地址的放行；网关接入模块接收到控制模块返回的匹配结果，决定系统的访问权限，同时与公司统一身份认证平台对接系统，核对用户的身份信息；对于满足登录条件的用户，直接访问业务系统，对于恶意网络攻击用户引入到公司蜜罐区，保证只有公司员工登录；对登录用户通过缓存记录，并设定失效时间，若用户在有效期内再次访问登录页面，则无需再次认证。2.如权利要求1所述的安全智能网关系统，其特征在于，网关接入模块包括触发和等待组件、响应和处置组件；触发和等待组件，根据用户角色、业务系统标签、重大保障时间、源IP、目的IP、请求内容关键词，决定是否将访问请求转发至网关控制模块检测；响应和处置组件，响应和处置组件根据网关控制模块分析检测结果，转发流量并生成安全日志。3.如权利要求1所述的安全智能网关系统，其特征在于，网关控制模块配置有登录状态检测单元，对用户请求的cookie信息进行抓取和检测，判定用于是否登录、登录状态是否超时、同一cookie是否来自同一源IP，将登录状态检测结果返回网关接入模块。4.如权利要求3所述的安全智能网关系统，其特征在于，网关控制模块配置有实名认证校验单元，借助接入网关动态抓取用户访问来源、登录目标系统的应用IP；与统一身份认证系统通信连接，用于保存用户身份认证信息，实现互联网用户访问实名认证功能。5.如权利要求4所述的安全智...

【专利技术属性】
技术研发人员：黄华，甘滨，李明，李清源，程兴防，陈剑飞，赵丽娜，刘子函，盛华，张婕，
申请(专利权)人：国家电网有限公司国网山东省电力公司青岛供电公司，
类型：发明
国别省市：