(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210021344.5 (22)申请日 2022.01.10 (65)同一申请的已公布的文献号 申请公布号 CN 114363077 A (43)申请公布日 2022.04.15 (73)专利权人 河南能睿 科技有限公司 地址 450000 河南省郑州市金 水区未来路 104号5G创新中心大楼 (72)发明人 蒋科寻　王书州　张凡　耿一鸣　 赵治博　 (74)专利代理 机构 郑州汇诚众远专利代理事务 所(普通合伙) 4121 1 专利代理师 刘存波 (51)Int.Cl. H04L 9/40(2022.01)H04L 9/06(2006.01) H04L 9/32(2006.01) H04L 12/66(2006.01) G06F 21/33(2013.01) G06F 21/45(2013.01) G06F 21/60(2013.01) G06F 21/62(2013.01) (56)对比文件 CN 113572738 A,2021.10.2 9 CN 102065059 A,201 1.05.18 CN 112887433 A,2021.0 6.01 US 2008028445 A1,20 08.01.31 金稚华. 《安全访问服 务边缘架构技 术分 析》 . 《数字传媒研究》 .2021,第38卷61- 67. 审查员 谢琳 (54)发明名称 基于安全访问服 务边缘的管理系统 (57)摘要 本发明提供了一种基于安全访问服务边缘 的管理系统， 包括： 安全访 问服务边缘SASE管控 平台， 其配置成响应客户端发送的认证请求， 确 定关于所述客户端和其访问对象的安全控制策 略和路由策略， 并将所述安全控制策略和所述路 由策略发送至SASE网关； 以及所述SASE网关， 其 配置成基于所述安全控制策略和所述路由策略， 对所述客户端、 所述访问对象以及两者之间的交 互信息进行安全管理。 通过本发明的技术方案， 可以构建包含SASE管控平台和SASE网关的网络 架构， 以精简的SASE网络架构实现对网络链路中 多个对象(包括客户端和访问对象)的有效管 理， 以满足安全性的设计需求。 权利要求书1页 说明书6页 附图1页 CN 114363077 B 2022.09.23 CN 114363077 B 1.一种基于安全访问服 务边缘的管理系统， 其特 征在于， 包括： 安全访问服务边缘SASE管控平台， 其配置成响应客户端发送的认证请求， 确定关于所 述客户端和其访问对象的安全控制策略和路由策略， 并将所述安全控制策略和所述路由策 略发送至SASE网关； 以及 所述SASE网关， 其配置成基于所述安全控制策略和所述路由策略， 对所述客户端、 所述 访问对象以及两者之间的交 互信息进行安全管理； 其中所述SASE网关包括： 第一网关， 其配置成对所述客户端和所述客户端发送的交互信息进行安全管理； 以及 第二网关， 其与所述第一网关连通， 并配置成对所述访问对 象和所述访问对 象发送的交互 信息进行安全管理； 其中所述第一网关在进行安全管理过程中， 具体执 行以下操作： 对所述客户端进行安全 验证； 响应于所述客户端通过安全验证， 采用第 一目标加密套件对所述客户端发送的交互信 息进行加密， 以得到第一加密信息， 并将所述第一加密信息发送至所述第二网关； 响应于接收到所述第二网关发送的第二加密信息， 对所述第二加密信息进行解析处 理， 以得到关于所述第二加密信息的原 始信息； 以及 响应于所述客户端再次通过安全验证， 将关于所述第 二加密信 息的原始数据发送至所 述客户端； 其中所述第二网关在进行安全管理过程中， 具体执 行以下操作： 响应于接收到所述第 一网关发送的所述第 一加密信 息， 对所述第 一加密信 息进行解析 处理， 以得到关于所述第一加密信息的原 始信息发送至访问对象； 响应于接收到所述访问对象发送的交互信 息， 对所述访问对象和其发送的交互信 息分 别进行安全 验证； 响应于所述访问对象和其发送的交互信 息均通过安全验证， 采用第 二目标加密套件对 所述访问对 象发送的交互信息进行加密， 以得到所述第二加密信息， 并将所述第二加密信 息发送至所述第一网关。 2.根据权利要求1所述的管理系统， 其特征在于， 其中所述SASE管控平台在确定所述安 全控制策略和路由策略过程中， 具体执 行以下操作： 从所述认证请求 提取出目标认证信息； 将所述目标认证信息与预配置的认证信息进行匹配， 以得到匹配结果； 以及 根据所述匹配结果， 确定所述 安全控制策略和路由策略。 3.根据权利要求1所述的管理系统， 其特征在于， 其中所述第 一目标加密套件和所述第 二目标加密套件包括经由所述第一网关和所述第二网关通过密钥协商所确定的国密加密 套件。 4.根据权利要求1至3中任一项所述的管理系统， 其特征在于， 其中所述SASE网关还配 置成记录对所述客户端和所述访问对象的管 理日志， 并将所述管理日志发送至所述SAS E管 控平台； 以及 所述SASE管控平台还配置成根据所述管理日志选择性 地发出预警。权　利　要　求　书 1/1 页 2 CN 114363077 B 2基于安全访 问服务边缘的管理系统 技术领域 [0001]本发明涉及网络安全技术领域， 具体而言， 涉及一种基于安全访问服务边缘的管 理系统。 背景技术 [0002]由于企业网络云化发展趋势和社会环境等因素的影响， 企业内大量数据和应用都 搬迁到了云上。 云计算和边缘化趋势让越来越多的企业计划更改其网络接入和网络安全架 构， 各种孤立的安全产品和解决方案难以解决企业的实际需求。 尤其是大型企业， 分支 流量 急速增大和访问路径变化使得分支用户的体验变得难以忍受。 例如， 远程办公、 视频会议等 在提升分支访问总部、 云端的体验的同时， 也带来了一系列的运维问题和分支安全需求以 及运维责任， 其不仅会面临错综复杂的网络环境和应用关系， 还需要对访问对象(例如应 用)进行针对性的识别、 管理和调 度， 传统的虚拟专用网络VPN系统已不堪重负， 无法满足相 关的安全需求。 发明内容 [0003]本发明旨在解决现有的网络架构以无法满足安全需求的问题。 [0004]为了解决上述技术问题， 本发明的第一方面提出了一种基于安全访问服务边缘的 管理系统， 包括： 安全访问服务边缘SASE管控平台， 其配置成响应客户端发送的认证请求， 确定关于所述客户端和其访问对象的安全控制策略和路由策略， 并将所述安全控制策略和 所述路由策略发送至SASE网关； 以及所述SASE网关， 其配置成基于所述安全控制策略和所 述路由策略， 对所述 客户端与所述访问对象之间的交 互信息进行安全管理。 [0005]在一个实施例中， 其中所述SASE管控平台在确定所述安全控制策略和路由策略过 程中， 具体执行以下操作： 从所述认证请求提取出目标认证信息； 将所述目标认证信息与预 配置的认证信息进 行匹配， 以得到匹配结果； 以及根据所述匹配结果， 确定所述安全控制策 略和路由策略。 [0006]在一个实施例中， 其中所述SASE网关包括： 第一网关， 其配置成对所述客户端和所 述客户端发送的交互信息进行安全管 理； 以及第二网关， 其与所述第一网关连通， 并配置成 对所述访问对象和所述访问对象发送的交 互信息进行安全管理。 [0007]在一个实施例中， 其中所述第一网关在进行安全管理过程中， 具体执行以下操作： 对所述客户端进行安全验证； 响应于所述客户端通过安全验证， 采用第一 目标加密套件对 所述客户端发送的交互信息进行加密， 以得到第一加密信息， 并将所述第一加密信息发送 至所述第二网关； 响应于接 收到所述第二网关发送的第二加密信息， 对所述第二加密信息 进行解析处理， 以得到关于所述第二加密信息的原始信息； 以及响应于所述客户端再次通 过安全验证， 将关于所述第二加密信息的原 始数据发送至所述 客户端。 [0008]在一个实施例中， 其中所述第二网关在进行安全管理过程中， 具体执行以下操作： 响应于接收到所述第一网关发送的所述第一加密信息， 对所述第一加密信息进行解析处说　明　书 1/6 页 3 CN 114363077 B 3