(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211083477.1 (22)申请日 2022.09.06 (65)同一申请的已公布的文献号 申请公布号 CN 115150208 A (43)申请公布日 2022.10.04 (73)专利权人 信联科技 （南京） 有限公司 地址 210000 江苏省南京市江宁经济技 术 开发区东吉大道1号 专利权人 国家计算机网络与信息安全管理 中心北京分中心 (72)发明人 陈亮　赵彦　张云　陈飞　韩明路　 杨晶　李一鸣　 (74)专利代理 机构 南京经纬专利商标代理有限 公司 32200 专利代理师 田凌涛(51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 67/12(2022.01) G16Y 40/50(2020.01) G16Y 30/10(2020.01) (56)对比文件 CN 114726576 A,202 2.07.08 何申等.基 于可信计算构建物联网安全边 界. 《电信工程 技术与标准 化》 .2019,(第12期), 全文. 审查员 董智青 (54)发明名称 一种基于零信任的物联网终端安全接入方 法及系统 (57)摘要 本发明涉及一种基于零信任的物联网终端 安全接入 方法及系统， 针对物联网终端与对应内 网物联网服务器 之间的数据访问操作， 在物联网 边界部署物联安全接入网关， 在数据访问操作前 执行关于物联网终端的基线检查， 构建基于身份 认证和安全状态评估的准入控制， 加强了对物联 网终端的接入控制， 提高了安全性； 并基于合格 检查结果基础上， 在数据访问操作的同时， 递进 式执行状态异常的实时检查， 能够及时发现异常 终端， 并自动实现访问控制权限的动态调整， 及 时清除安全风险； 如此整个设计方案实现了对物 联网终端运行状态的动态、 持续监测， 包括静态 信息检查和动态信息检查， 确保接入的物联网终 端是可信、 合规的， 保证数据访问的安全性。 权利要求书3页 说明书8页 附图3页 CN 115150208 B 2022.11.25 CN 115150208 B 1.一种基于零信任的物联网终端安全接入方法， 其特征在于： 基于部署在物联网边界 的物联安全接入网关， 按如下步骤， 实现物联网终端经物联安全接入网关向对应内网物联 网服务器的数据访问； 步骤A. 基于物联网终端与物联安全接入网关之间安全通信通道 的建立， 物联安全接 入网关根据来自物联网终端对应各基线检查项目的终端检查结果， 确定物联网终端对应的 基线检查分数， 并判断该基线检查分数是否超过预设分数阈值， 是则表示物联网终端通过 基线检查， 并进入步骤B； 否则物联安全接入网关断开与 物联网终端之间的安全通信通道连 接； 步骤B. 物联安全接入网关控制开启物联网终端的访 问权限， 并且物联安全接入网关 根据物联网终端的终端类型， 经安全通信通道向物联网终端 下发该终端类型所对应预设各 状态检查项目、 以及各状态检查项目分别对应的异常状态检查策略； 基于步骤B处 理之后， 实时同时执 行如下步骤I1、 以及步骤I2 ‑1至步骤I2 ‑3； 步骤I1. 基于物联网终端向物联安全接入网关访问权限的开启状态， 由物联网终端经 安全通信通道发送业务访问数据， 并经物联安全接入网关的控制、 转发至对应内网物联网 服务器， 且来自内网物联网服务器的响应数据返回物联安全接入网关进 行控制、 转 发， 经安 全通信通道返回至物联网终端， 实现物联网终端与内网物联网服务器之间的实时数据交 互； 步骤I2‑1. 物联网终端根据来自物联安全接入网关的预设各状态检查项目分别对应 的异常状态检查策略， 执行对应各状态检查项目的终端异常检查， 判断是否存在异常状态 检查项目， 是则将此异常状态检查项目经安全通信通道返回至物联安全接入网关， 并进入 步骤I2‑2； 否则不做处 理； 上述步骤I2 ‑1中执行异常状态检查项目检查的同时， 物联网终端根据来自物联安全接 入网关的预设各状态检查项目分别对应的异常状态检查策略， 判断是否存在由异常状态变 为非异常状态的状态检查项目， 是则将此状态检查项目经安全通信通道返回至物联安全接 入网关， 并进入步骤I2 ‑2； 否则不做处 理； 步骤I2‑2. 物联安全接入网关根据所接收异常状态检查项目对应的预设状态分类值、 以及预设权值， 获得该异常状态检查项目对应的分数， 并计算物联网终端所对应基线检查 分数减去该异常状态检查项目对应分数后的结果， 更新物联网终端所对应 基线检查分数； 执行关于异常状态检查项目进行减分的同时， 物联安全接入 网关根据 所接收由异常状 态变为非异常状态的状态检查项目所对应的预设状态分类值、 以及预设权值， 获得该状态 检查项目对应的分数， 并计算物 联网终端 所对应基线检查分数加上该异常状态检查项目对 应分数后的结果， 更新物联网终端所对应 基线检查分数； 然后进入步骤I2 ‑3； 步骤I2‑3. 物联安全接入网关判断物联网终端所对应基线检查分数是否超过预设分 数阈值， 是则不做处理； 否则物联安全接入网关控制关闭物联网终端的访问权限， 并断开与 物联网终端之间安全通信通道连接， 停止步骤I1的操作。 2.根据权利要求1所述一种基于零信任的物联网终端安全接入方法， 其特征在于： 所述 步骤A包括如下步骤A1至步骤A3； 步骤A1. 基于物联网终端与物联安全接入网关之间安全通信通道的建立， 物联安全接 入网关根据物联网终端的终端类型， 经安全通信通道向物联网终端下发该终端类型所对应权　利　要　求　书 1/3 页 2 CN 115150208 B 2预设各基线检查项目、 以及各基线检查项目分别对应的检查策略， 并进入步骤A 2； 步骤A2. 物联网终端根据来自物联安全接入网关的各基线检查项目执行终端状态检 查， 获得物联网终端对应各基线检查项目的实际状态， 并进一步根据各基线检查项目分别 对应的状态分类检查策略， 获得物联网终端对应各基线检查项目的状态分类值， 然后经安 全通信通道返回至物联安全接入网关， 并进入步骤A3； 步骤A3. 物联安全接入网关根据来自物联网终端的对应各基线检查项目的状态分类 值， 结合各基线检查项目分别对应的预设权值， 按加权方式， 获得物联网终端对应的基线检 查分数， 并判断该基线检查分数是否超过预设分数阈值， 是则表示物联网终端通过基线检 查， 并进入步骤B； 否则物联安全接入网关断开与物联网终端之间安全通信通道连接 。 3.根据权利要求1所述一种基于零信任的物联网终端安全接入方法， 其特征在于： 所述 步骤A中， 基于物联网终端与 物联安全接入网关的双向身份认证， 建立物联网终端与物联安 全接入网关之间安全通信通道。 4.根据权利要求1所述一种基于零信任的物联网终端安全接入方法， 其特征在于： 所述 物联网终端与物 联安全接入网关之 间的数据传输采用加密数据传输， 物 联网终端针对经安 全通信通道来自物联安全接入网关的加密数据进 行解密应用、 以及针对经安全通信通道发 往物联安全接入网关的数据进 行加密应用； 物联安全接入网关针对经安全通信通道来自物 联网终端的加密数据进行解密转 发、 以及针对经安全通信通道发往物联网终端的数据进 行 加密转发。 5.根据权利要求1所述一种基于零信任的物联网终端安全接入方法， 其特征在于， 所述 各基线检查项目包括如下： 权限安全感知： 对于超级管理员是否禁用进行安全感知； 系统账户安全感知： 对于无用账户是否开启进行安全感知； 防火墙开启安全感知： 对于防火墙是否开启进行安全感知； 进程审计： 记录系统进程 运行与退 出行为， 是否出现非白名单进程； 端口服务安全感知： 实时记录以太网所有 端口开放信息， 是否出现非白名单端口； 系统密码强度安全感知： 对系统口令强度进行安全感知； 互联网连接感知： 对于是否连接 了互联网进行安全感知。 6.根据权利要求1所述一种基于零信任的物联网终端安全接入方法， 其特征在于， 所述 各状态检查项目包括如下： 终端操作审计： 实时记录终端操作指令， 是否出现危险操作； 进程审计： 记录系统进程 运行与退 出行为， 是否出现非白名单进程； 文件/目录保护： 对文件或者目录进行安全监控， 是否出现关键记录文件/文件夹的新 增、 修改、 文件名变更、 文件写操作、 权限变更； 端口服务安全感知： 实时记录以太网所有 端口开放信息， 是否出现非白名单端口； 系统密码强度安全感知： 对系统口令强度进行安全感知； 系统资源监控： 定时记录系统的存储、 网络、 CPU和内存资源使用信息， 是否出现超出阈 值情况； 外设管控： 对于USB、 TF卡、 光驱外置设备接入行为进行安全审计， 配置设备 白名单， 是 否出现非可信外 部设备接入；权　利　要　求　书 2/3 页 3 CN 115150208 B 3