(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211009492.1 (22)申请日 2022.08.22 (71)申请人 中国联合网络通信集团有限公司 地址 100033 北京市西城区金融大街21号 (72)发明人 陆勰　徐雷　张曼君　 (74)专利代理 机构 北京天昊联合知识产权代理 有限公司 1 1112 专利代理师 罗建民　杜丹丹 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于零信任的安全防护方法、 网络及装 置 (57)摘要 本发明提供一种基于零信任的安全防护方 法、 网络及装置， 涉及网络技术领域。 安全防护方 法包括： 接收终端上报的第一同步信息， 由当前 轮训的蜜罐系统将其所存储的第二同步信息与 接收的第一同步信息进行比对， 其中， 所述终端 为请求访问时通过零信任网关认证的终端； 根据 比对结果确定安全防护措施。 安全防护方法可解 决现有技术中零信任网关存在单点失 陷的风险， 导致基于零信任的企业资源的访问网络面临安 全威胁的问题， 提高企业网络安全。 权利要求书2页 说明书7页 附图2页 CN 115361217 A 2022.11.18 CN 115361217 A 1.一种基于零信任的安全防护方法， 其特 征在于， 包括： 接收终端上报的第 一同步信 息， 由当前轮训的蜜罐系统将其所存储的第 二同步信 息与 接收的第一同步信息进行比对， 其中， 所述终端为请求访问时通过零信任网关认证的终端； 根据比对结果确定安全防护措施。 2.根据权利要求1所述的基于零信任的安全防护方法， 其特征在于， 在所述接收终端上 报的第一同步信息之前， 还 包括： 响应于所述终端的首次访问请求， 向所述终端下发同步参数， 同步参数包括 时钟同步、 密钥、 蜜罐编号及轮训规则， 其中， 密钥内置 于所述终端的可信环境。 3.根据权利要求1或2所述的基于零信任的安全 防护方法， 其特征在于， 第一同步信息 包括当前时刻、 当前时刻 对应的蜜罐编号， 以及第一密钥， 第二同步信息包括当前时刻和 第 二密钥， 所述根据比对结果确定安全防护措施， 具体包括： 响应于比对结果匹配， 允许 所述终端访问资源， 响应于比对结果不匹配， 判定所述终端是否可信， 并根据判定结果进一步确定安全 防 护措施。 4.根据权利要求3所述的基于零信任的安全防护方法， 其特征在于， 所述比对结果不匹 配包括预设时长内未接收到第一同步信息， 或第一同步信息与第二同步信息不 一致， 所述响应于比对结果不匹配， 判定所述终端是否可信， 并根据判定结果进一步确定安 全防护措施， 具体包括： 响应于预设时长内未接收到第一同步信息， 判定所述终端可疑， 并为所述终端动态编 排蜜罐系统， 以诱捕所述终端的访问信息； 响应于第一同步信息与第二同步信息不 一致， 再次获取 所述终端的第一同步信息； 响应于再次获取的第 一同步信 息与当前轮训的蜜罐系统所存储的第 二同步信 息一致， 判定所述终端可信， 并允许所述终端访问资源， 若否， 判定所述终端不可信， 拒绝所述终端 访问资源。 5.根据权利要求4所述的基于零信任的安全防护方法， 其特征在于， 在为所述终端动态 编排蜜罐系统， 以诱捕所述终端的访问信息之后， 还 包括： 响应于所述终端的访 问信息的容量达到第一阈值， 对所述终端进行追踪和溯源， 并将 其列入黑名单。 6.根据权利要求4所述的基于零信任的安全防护方法， 其特征在于， 在为所述终端动态 编排蜜罐系统， 以诱捕所述终端的访问信息之后， 还 包括： 计算所述终端的访问信 息与威胁情报库的特征信 息之间的匹配度， 响应于匹配度达到 第二阈值， 发出 预警命令 。 7.一种基于零信任的安全防护网络， 其特征在于， 包括零信任 网关、 编排与响应管理平 台， 以及多个蜜罐系统， 零信任网关， 分别与终端和各蜜罐系统连接， 用于对请求访问的终端进行认证， 并接收 终端上报的第一同步信息， 将第一同步信息传输 至当前轮训的蜜罐系统， 当前轮训的蜜罐系统， 与编排与响应管理平台连接， 用于将自身所存储的第二同步信 息与第一同步信息进行比对， 并将比对结果传输 至编排与响应管理平台，权　利　要　求　书 1/2 页 2 CN 115361217 A 2编排与响应管理平台， 与各蜜罐系统连接， 用于根据比对结果确定安全防护措施。 8.根据权利要求1所述的基于零信任的安全防护网络， 其特征在于， 编排与响应管理平 台还用于响应于所述 终端的首次访问请求， 通过蜜罐系统和零信任网关向所述终端下发同 步参数， 同步参数包括时钟同步、 密钥、 蜜 罐编号及轮训规则， 其中， 密钥内置于所述 终端的 可信环境。 9.根据权利要求7或8所述的基于零信任的安全 防护网络， 其特征在于， 第一同步信息 包括当前时刻、 当前时刻 对应的蜜罐编号， 以及第一密钥， 第二同步信息包括当前时刻和 第 二密钥， 编排与响应管理平台包括管理单 元和判定单 元， 管理单元， 用于响应于比对结果匹配， 允许 所述终端访问资源， 判定单元， 用于响应于比对结果不匹配， 判定所述终端是否可信， 并根据判定结果进一 步确定安全防护措施。 10.一种基于零信任的安全防护装置， 其特征在于， 包括存储器和 处理器， 所述存储器 中存储有计算机程序， 所述处理器被设置为运行所述计算机程序以实现如权利要求1 ‑6中 任一项所述的基于零信任的安全防护方法。权　利　要　求　书 2/2 页 3 CN 115361217 A 3