技术特征:
1.一种基于多因子认证数据流向控制的方法,其特征在于,所述方法包括:数据接收端预先通过多维度环境身份信息认证与授权流程:预先在待接入的数据接收端中部署多维度环境身份信息采集模块,根据安全策略要求,采集待接入数据接收端的部分或全部多维度环境身份信息,按预先设定的格式制作为所述待接入数据接收端的身份电子数字证书,进行认证和登记备案,分配其允许收受相应的业务资源数据的权限,并设定该数据接收端为可信接入和数据接收认证终端和/或将所述数据接收端加入数据接收白名单;业务资源数据外发流向控制流程:持续监控业务资源数据外发流向,根据数据外发的接收端ip,查询目前该ip所连接的数据接收端实时状态是否是可信接入和数据接收认证终端和/或所述数据接收端是否在所述数据接收白名单中,根据查询结果确定数据是否允许外发至该数据接收端;所述环境身份信息包括下述六类信息:数据接收端所依托设备的硬件信息、数据接收端的系统信息、数据接收端所并存的系统信息、数据接收端所处的网络信息;当数据接收端是个人终端时,还包括:用户正常上机的使用习惯信息以及用户身份信息;所述数据接收端所依托设备的硬件信息,包括主板mac地址,cpu厂商、型号、序列号,存储器件厂商、型号、序列号,以及设备的其他组件的硬件信息要素;所述数据接收端的系统信息,指操作系统名称、版本号;所述数据接收端所并存的应用系统信息,指该设备部署的应用软件信息,如浏览器名称、应用软件名称和版本号应用系统信息;所述数据接收端所处的网络信息,指该数据接收端ip地址、接入路由、代理网关;所述用户正常上机的使用习惯信息,指用户正常的工作时区信息、用户正常的上机时间信息;所述用户身份信息,指用户的用户名、密码、邮箱、社交账号、指纹信息、人脸识别信息;所述多维度环境身份信息,指安全策略要求采集所述环境身份信息包括所述六类环境身份信息中两个及两个以上类别、和/或三个及三个以上具体信息要素;所述数据接收端包括发起对业务资源访问和接收数据的终端设备、服务器、网络设备、生产设备、虚拟终端设备、虚拟服务器、应用软件、应用软件的特定模块、api以及数据接口;所述业务资源包括业务应用、系统、接口、内部网络和工控网络中智能设备。2.一种基于多因子认证数据流向控制的方法,其特征在于,所述方法包括:数据接收端预先通过多维度环境身份信息认证与授权流程:预先在待接入的数据接收端中部署多维度环境身份信息采集模块,根据安全策略要求,采集待接入数据接收端的部分或全部多维度环境身份信息,按预先设定的格式制作为所述待接入数据接收端的身份电子数字证书,进行认证和登记备案,分配其允许收受相应的业务资源数据的权限,并设定该数据接收端为可信接入和数据接收认证终端和/或将所述数据接收端加入数据接收白名单;所述环境身份信息包括下述六类信息:数据接收端所依托设备的硬件信息、数据接收端的系统信息、数据接收端所并存的系统信息、数据接收端所处的网络信息;当数据接收端是个人终端时,还包括:用户正常上机的使用习惯信息以及用户身份信息;所述数据接收端所依托设备的硬件信息,包括主板mac地址,cpu厂商、型号、序列号,存
储器件厂商、型号、序列号,以及设备的其他组件的硬件信息要素;所述数据接收端的系统信息,指操作系统名称、版本号;所述数据接收端所并存的应用系统信息,指该设备部署的应用软件信息,如浏览器名称、应用软件名称和版本号应用系统信息;所述数据接收端所处的网络信息,指该数据接收端ip地址、接入路由和代理网关;所述用户正常上机的使用习惯信息,指用户正常的工作时区信息、用户正常的上机时间信息;所述用户身份信息,指用户的用户名、密码、邮箱、社交账号、指纹信息、人脸识别信息;所述多维度环境身份信息,指安全策略要求采集所述环境身份信息包括所述六类环境身份信息中两个及两个以上类别、和/或三个及三个以上具体信息要素。3.一种基于多因子认证数据流向控制的方法,其特征在于,所述方法包括:业务资源数据外发流向控制流程:持续监控业务资源数据外发流向,根据数据外发的接收端ip,查询目前所述接收端ip所连接的数据接收端实时状态是否是可信接入和数据接收认证终端,根据查询结果确定数据是否允许外发至所述数据接收端;所述环境身份信息包括下述六类信息:数据接收端所依托设备的硬件信息、数据接收端的系统信息、数据接收端所并存的系统信息、数据接收端所处的网络信息;当数据接收端是个人终端时,还包括:用户正常上机的使用习惯信息以及用户身份信息;所述数据接收端所依托设备的硬件信息,包括主板mac地址,cpu厂商、型号、序列号,存储器件厂商、型号、序列号,以及设备的其他组件的硬件信息要素;所述数据接收端的系统信息,指操作系统名称、版本号;所述数据接收端所并存的应用系统信息,指该设备部署的应用软件信息,如浏览器名称、应用软件名称和版本号应用系统信息;所述数据接收端所处的网络信息,指该数据接收端ip地址、接入路由和代理网关;所述用户正常上机的使用习惯信息,指用户正常的工作时区信息、用户正常的上机时间信息;所述用户身份信息,指用户的用户名、密码、邮箱、社交账号、指纹信息、人脸识别信息;所述多维度环境身份信息,指安全策略要求采集所述环境身份信息包括所述六类环境身份信息中两个及两个以上类别、和/或三个及三个以上具体信息要素。4.根据权利要求1-3中任一项所述的基于多因子认证数据流向控制的方法,其特征在于,所述方法还包括:数据接收端接入验证流程:当所述数据接收端发起对所述业务资源访问时,采集所述数据接收端的实时多维度环境身份信息,将所述实时多维度环境身份信息和已经认证的所述数据接收端的身份电子数字证书进行比对,根据比对结果,确定所述数据接收端是否允许访问所述业务资源;当所述实时多维度环境身份信息与已认证的所述数据接收端的身份电子数字证书完全一致时,允许所述数据接收端访问所述业务资源,否则,拒绝所述数据接收端访问所述业务资源。5.根据权利要求1-3中任一项所述的基于多因子认证数据流向控制的方法,其特征在于,所述方法还包括:
数据接收端持续验证流程:当所述数据接收端接入所述业务资源后,根据预先设定的持续验证策略采集所述数据接收端的实时多维度环境身份信息,将所述数据接收端的实时多维度环境身份信息和已经认证的所述数据接收端的身份电子数字证书进行比对,根据比对结果,动态调整所述数据接收终端是否为可信接入和数据接收认证终端,从而确定所述数据接收端是否可继续允许访问所述业务资源;当所述数据接收端的实时多维度环境身份信息与已认证的所述数据接收端身份电子数字证书完全一致时,所述数据接收端保持在可信接入和数据接收认证终端中,并允许所述数据接收端继续访问所述业务资源,否则,拒绝允许所述数据接收端访问所述业务资源。6.一种基于多因子认证数据流向控制的系统,其特征在于,所述系统包括:环境身份信息采集装置、认证装置和数据外发流向控制装置:所述环境身份信息采集装置,部署于作为数据接收端中,用于当所述数据接收端在认证时、在对特定业务资源发起访问时和接入特定业务资源后的持续访问过程中,采集该数据接收端的实时多维度的环境身份信息,上传认证装置;所述认证装置,用于对所述待接入数据接收端的认证与授权,所述认证装置根据所述待接入数据接收端的多维度环境身份信息,按预先设定的格式制作为所述待接入数据接收端的身份电子数字证书,进行认证和登记备案,若认证通过,分配所述待接入数据接收端允许接收相应的业务资源数据的权限,并设定所述待接入数据接收端为可信接入和数据接收认证终端和/或将所述数据接收端加入数据接收白名单;所述数据外发流向控制装置,用于对业务外发数据的外发接收端解析,根据数据外发接收端查询认证装置,以确定数据外发接收端是否为可信接入和数据接收终端,从而分别采取允许或阻断数据外发行为;所述环境身份信息包括下述六类信息:数据接收端所依托设备的硬件信息、数据接收端的系统信息、数据接收端所并存的系统信息、数据接收端所处的网络信息;当数据接收端是个人终端时,还包括:用户正常上机的使用习惯信息以及用户身份信息;所述数据接收端所依托设备的硬件信息,包括主板mac地址,cpu厂商、型号、序列号,存储器件厂商、型号、序列号,以及设备的其他组件的硬件信息要素;所述数据接收端的系统信息,指操作系统名称和版本号;所述数据接收端所并存的应用系统信息,指该设备部署的应用软件信息,如浏览器名称、应用软件名称和版本号应用系统信息;所述数据接收端所处的网络信息,指该数据接收端ip地址、接入路由和代理网关;所述用户正常上机的使用习惯信息,指用户正常的工作时区信息、用户正常的上机时间信息;所述用户身份信息,指用户的用户名、密码、邮箱、社交账号、指纹信息和人脸识别信息;所述多维度环境身份信息,指安全策略要求采集所述环境身份信息包括所述六类环境身份信息中两个及两个以上类别、和/或三个及三个以上具体信息要素;所述数据接收端包括发起对业务资源访问和接收数据的终端设备、服务器、网络设备、生产设备、虚拟终端设备、虚拟服务器、应用软件、应用软件的特定模块、api以及数据接口;所述业务资源包括业务应用、系统、接口、内部网络和工控网络中智能设备。
7.一种基于多因子认证数据流向控制的系统,其特征在于,所述系统包括:环境身份信息采集装置、认证装置和数据外发流向控制装置:所述环境身份信息采集装置,部署于作为数据接收端中,用于当所述数据接收端在认证时、在对特定业务资源发起访问时和接入特定业务资源后的持续访问过程中,采集该数据接收端的实时多维度的环境身份信息,上传认证装置;所述认证装置,用于对所述待接入数据接收端的认证与授权,所述认证装置根据所述待接入数据接收端的多维度环境身份信息,按预先设定的格式制作为所述待接入数据接收端的身份电子数字证书,进行认证和登记备案,若认证通过,分配所述待接入数据接收端允许接收相应的业务资源数据的权限,并设定所述待接入数据接收端为可信接入和数据接收认证终端和/或将所述数据接收端加入数据接收白名单;所述环境身份信息包括下述六类信息:数据接收端所依托设备的硬件信息、数据接收端的系统信息、数据接收端所并存的系统信息、数据接收端所处的网络信息;当数据接收端是个人终端时,还包括:用户正常上机的使用习惯信息以及用户身份信息;所述数据接收端所依托设备的硬件信息,包括主板mac地址,cpu厂商、型号、序列号,存储器件厂商、型号、序列号,以及设备的其他组件的硬件信息要素;所述数据接收端的系统信息,指操作系统名称、版本号;所述数据接收端所并存的应用系统信息,指该设备部署的应用软件信息,如浏览器名称、应用软件名称和版本号应用系统信息;所述数据接收端所处的网络信息,指该数据接收端ip地址、接入路由和代理网关;所述用户正常上机的使用习惯信息,指用户正常的工作时区信息、用户正常的上机时间信息;所述用户身份信息,指用户的用户名、密码、邮箱、社交账号、指纹信息、人脸识别信息;所述多维度环境身份信息,指安全策略要求采集所述环境身份信息包括所述六类环境身份信息中两个及两个以上类别、三个及三个以上具体信息要素。8.一种基于多因子认证数据流向控制的系统,其特征在于,所述系统包括:所述数据外发流向控制装置,用于根据数据外发的接收端ip,查询目前所述接收端ip所连接的数据接收端实时状态是否是可信接入和数据接收认证终端,根据查询结果确定数据是否允许外发至所述数据接收端;所述环境身份信息包括下述六类信息:数据接收端所依托设备的硬件信息、数据接收端的系统信息、数据接收端所并存的系统信息、数据接收端所处的网络信息;当数据接收端是个人终端时,还包括:用户正常上机的使用习惯信息以及用户身份信息;所述数据接收端所依托设备的硬件信息,包括主板mac地址,cpu厂商、型号、序列号,存储器件厂商、型号、序列号,以及设备的其他组件的硬件信息要素;所述数据接收端的系统信息,指操作系统名称、版本号;所述数据接收端所并存的应用系统信息,指该设备部署的应用软件信息,如浏览器名称、应用软件名称和版本号应用系统信息;所述数据接收端所处的网络信息,指该数据接收端ip地址、接入路由和代理网关;所述用户正常上机的使用习惯信息,指用户正常的工作时区信息、用户正常的上机时间信息;
所述用户身份信息,指用户的用户名、密码、邮箱、社交账号、指纹信息、人脸识别信息;所述多维度环境身份信息,指安全策略要求采集所述环境身份信息包括所述六类环境身份信息中两个及两个以上类别、和/或三个及三个以上具体信息要素。
技术总结
本发明涉及一种基于多因子认证数据流向控制的方法和系统,包括事先对业务资源数据外发的数据接收端进行多维度可信认证和授权,并通过登录验证和持续验证保持数据接收端动态可信,从而保障数据外发流向精准的控制在可信任的数据接收端。本发明实现了对数据接收端在接入前、接入中及接入后的多维度环境身份的验证,以及在数据接收前的可信验证,满足了重要业务系统访问和数据外发的身份认证的全过程的高可信管理,提升了业务资源和数据的安全性,防止假冒或非法设备的接入并接收来自于重要业务资源的数据,有效降低后门、木马以及内部工作人员违规数据外发的风险。部工作人员违规数据外发的风险。部工作人员违规数据外发的风险。
技术研发人员:何小林
受保护的技术使用者:何小林
技术研发日:2022.11.17
技术公布日:2023/3/17