(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210096314.0 (22)申请日 2022.01.26 (71)申请人 山东中网云安智能科技有限公司 地址 250101 山东省济南市历下区龙奥北 路8号玉兰广场2号楼 2007室 (72)发明人 李鹏　袁畅　陈强　孙杰　 (74)专利代理 机构 西安泛想力专利代理事务所 (普通合伙) 6126 0 专利代理师 张梅娟 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种网络安全隔离系统 (57)摘要 本发明提供了一种网络安全隔离系统， 包 括： 至少一个网络设备； 一个或者多个应用服务 器； 处理机； 识别机被配置成基于由网络设备发 送的访问应用服务器的应用服务器资源的访问 请求在识别机的识别响应下以获取访问请求的 物理地址和认证 资源， 使具有认证证书的访问请 求交由处理模块 以提供供访问请求获取应用服 务器的应用服务器 资源的安全执行逻辑， 若访问 请求中不含有认 证资源， 使得不具有认 证资源的 访问请求交由处理模块 以提供供访问请求获取 应用服务器的应用服务器资源的第二安全执行 逻辑， 第二安全 执行逻辑具有设定的第二安全执 行策略， 第二安全执行策略具有许可库、 许可单 元、 追踪单元、 隔离单元、 安全写入程序和安全写 入接口以及时钟单 元。 权利要求书2页 说明书6页 附图1页 CN 114640497 A 2022.06.17 CN 114640497 A 1.一种网络安全隔离系统， 其特 征在于， 包括： 至少一个网络设备； 一个或者多个 应用服务器； 处理机， 具有由多个处 理器或者处 理电路构成的处 理模块； 识别机， 连接所述处 理机， 所述识别机被配置成基于由网络设备发送的访问应用服务器的应用服务器资源的访 问请求在识别机的识别响应下以获取访问请求的物理地址和认证资源， 所述认证资源包含 认证证书， 使 具有认证证书的访问请求交由处理模块以提供供访问请求 获取应用服务器的 应用服务器资源的第一安全执行逻辑， 所述安全执行逻辑具有设定的第一安全执行策略， 所述第一安全执行策略具有安全等级确定部、 第一关联控制单元， 所述安全等级确定部以 认证证书的属性确定所述认证资源的安全等级， 并依据确定的安全等级通过 处理器或者处 理电路中的认证单元按照设定管理模式形成关联证书， 通过第一关联控制单元将认证资源 和关联证书 写入属性表后部署在应用服 务器的第一 安全管理机中； 若访问请求中不含有认证资源， 使得不具有认证资源的访问请求交 由处理模块以提供 供访问请求 获取应用服务器的应用服务器资源的第二安全执行逻辑， 所述第二安全执行逻 辑具有设定的第二安全执行策略， 所述第二安全执行策略具有许可库、 许可单元、 追踪单 元、 隔离单 元、 安全写入程序和安全写入接口以及时钟单 元； 所述许可库中具有基于时间启用的多个许 可证书； 所述许可单元加载许可库为不含有认证资源的访问请求匹配一个许 可证书； 所述关联控制单元将许可证书部署在陷阱服务器的第 二安全管理机 中， 以供不含有认 证资源的访问请求基于许 可证书形成对陷阱服 务器的陷阱服 务器资源一次响应； 所述追踪单元用于追踪不含有认证资源的访问请求在访问陷阱服务器资源的响应中 的反馈结果； 基于所述反馈结果以确定是否执行安全写入程序为不含有认证资源的访问请求写有 一个有限次访问的安全证书； 或， 基于所述反馈结果以确定是否执行隔离单元将不含有认证资源的访问请求的物 理 地址标记并隔离 至黑名单中； 或， 通过安全写入接口由人工接入安全写入程序为不含有认证资源的访问请求写有一 个有限次访问的安全证书； 基于所述安全证书确定安全等级， 并依据确定的安全等级通过处理器或者处理电路中 的认证单元按照设定管理模式形成关联证书， 通过关联控制单元将认证资源和关联证书写 入属性表后部署在应用服 务器的第一 安全管理机中。 2.根据权利要求1所述的网络安全隔离系统， 其特征在于， 所述处理模块具有第 一子模 块和第二子模块； 所述第一子模块具有第一驱动单 元； 所述第二子模块具有第二驱动单 元； 基于由网络设备发送的访问应用服务器的应用服务器资源的访问请求在识别机的识 别响应下获取的识别结果 来确定第一驱动单 元和第二驱动单 元的启用。 3.根据权利要求1所述的网络安全隔离系统， 其特征在于， 所述应用服务器具有基于与权　利　要　求　书 1/2 页 2 CN 114640497 A 2客户端形成的签名库， 所述签名库通过设定的周期传输至识别机中， 所述识别机接 收到签 名库后以更新设置在识别机中的验证库。 4.根据权利要求1所述的网络安全隔离系统， 其特征在于， 所述识别机具有识别部、 验 证库、 第一输出通道和第二输出通道； 所述识别部加载验证库以验证访 问请求的签名， 如果所述签名与验证库中的一致， 则 通过第一输出通道输入至第一驱动单 元； 如果所述签名与验证库中的不 一致， 则通过第二输出通道输入至第二驱动单 元。 5.根据权利要求1所述的网络安全隔离系统， 其特征在于， 所述许可证书以启用时间戳 为唯一性的验证， 并在设定的时间内具有访问许 可。 6.根据权利要求1所述的网络安全隔离系统， 其特征在于， 所述陷阱服务器设置有监视 器， 所述监视器用于监视带有许可证书的一次访问请求在陷阱服务器访问执行状况， 所述 监视器与追踪单 元连接。权　利　要　求　书 2/2 页 3 CN 114640497 A 3