[发明专利]一种基于可信接入的一体化边界安全防护系统及方法

权利要求书

1.一种基于可信接入的一体化边界安全防护系统，其特征在于，包括部署于业务承载网的网络边缘上的一体化边界安全防护设备，以及安装于承载网内业务终端或服务器上的可信接入认证模块；

所述一体化边界安全防护设备，用于对网络层边界安全进行防护、对业务访问安全进行防护、对数据内容安全进行检查以及提供全协议监控；

所述可信接入认证模块，用于向一体化边界安全防护设备提供可信认证服务、提供数据内容和协议层标记服务、提供业务访问功能以及提供主机安全基线检查服务。

2.根据权利要求1所述的基于可信接入的一体化边界安全防护系统，其特征在于，所述一体化边界安全防护设备包括：

网络层边界安全防护模块，用于分别对网络传输层、渗透及病毒攻击、协议策略以及可信接入进行防护；

业务模型模块，用于提供业务访问的安全防护功能，以及提供协议隔离、协议剥离和强制访问控制服务，其包括强访控制、传输代理以及透明服务功能；

数据类边界防护模块，用于提供数据内容安全检查服务，其包括数据类标记、数据标记检查、数据内容核查以及数据内容审计功能；

业务类边界防护模块，用于提供业务访问过程的全协议监控，其包括业务类协议检查、协议标记检查、协议行为核查以及协议行为审计功能；

安全审计模块，用于提供网络层安全审计、数据类安全审计、业务类安全审计以及管理行为审计服务，其包括边界安全审计功能。

3.根据权利要求2所述的基于可信接入的一体化边界安全防护系统，其特征在于，所述可信接入认证模块包括：

可信认证子模块，用于向一体化边界安全防护设备提供可信认证服务；

数据标记子模块，用于提供数据内容标记服务，支撑一体化边界安全防护设备的安全措施；

访问控制绑定子模块，用于提供协议层标记服务，支撑一体化边界安全防护设备的安全措施；

数据传输代理子模块，用于提供安全穿越网络边界的业务访问功能；

主体安全核查子模块，用于提供主机安全基线检查服务，对终端的主体安全提供安全手段。

4.如权利要求1到3中任一所述的基于可信接入的一体化边界安全防护系统的一体化边界安全防护方法，其特征在于，包括以下步骤：

S1、在承载网内的终端或服务器上安装可信接入认证模块，并利用可信接入认证模块对终端的主体安全核查进行扫描，对安全基线进行检查；

S2、基于检查结果，向一体化边界安全防护设备进行可信认证，生成终端的身份唯一标识，并将该标识作为穿透一体化边界安全防护设备的可信认证码；

S3、由一体化边界安全防护设备在终端或服务器完成可信接入认证后，在一体化边界安全防护设备内部生成终端或服务器的可信信息；

S4、基于可信信息，针对承载网内的终端或服务器在进行穿透网络边界进行访问时，由可信接入认证模块获取该访问的类型；

S5、针对进行数据类访问时，获取数据文件的文件标记，并通过数据传输代理子模块进行截获，并采用代理的方式向一体化边界安全防护设备进行数据传输，并在传输过程中逐报文添加终端认证时生成的可信认证码以及文件标记，由一体化边界安全防护设备在收到终端或服务器的数据类访问时，进行安全检查，完成一体化边界安全防护；

S6、针对进行业务类访问时，获取业务类访问的业务类型，并通过访问控制绑定子模块进行业务协议截获，并采用隧道向一体化边界安全防护设备进行数据传输，并在传输过程中逐报文添加终端认证时生成的可信认证码以及文件标记，由一体化边界安全防护设备在收到终端或服务器的业务类访问时，进行安全检查，完成一体化边界安全防护。