公开(公告)号：CN116633617A

公开(公告)日：2023-08-22

申请号：CN202310590028.4

申请日：2023-05-23

Applicant: 中国电信股份有限公司上海研究院 ,  中国电信股份有限公司

Inventor： 谢杨 ,  王爱宝 ,  陈文华 ,  徐勇 ,  王凯平

IPC: H04L9/40

Abstract: 本发明实施例提供一种微隔离防护方法及相关硬件，通过将客户端按照第一请求信息的发送时间进行分组，并为客户端组确定对应的资源组，之后第一网关仅放行目标客户端向对应目标资源组的第二访问请求给访问控制器，以令访问控制器进行后续控制操作，从而减少了访问控制器需要处理的请求信息控制操作数量，降低了访问控制器的处理压力。此外，通过采用第一请求信息的发送时间作为分组依据，每次分组得到的客户端组以及资源组中的成员几乎不存在显著性规律，不法分子操控的恶意客户端难以绕过客户端组‑资源组的硬件组级别的防护，入侵破坏不属于恶意客户端对应资源组的其它绝大部分资源服务器。从而更有效地实现了网络系统的安全防护。

公开(公告)号：CN117640211A

公开(公告)日：2024-03-01

申请号：CN202311638731.4

申请日：2023-12-01

Applicant: 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

Inventor： 陈文华 ,  王爱宝 ,  徐勇 ,  李澄宇 ,  王凯平

IPC: H04L9/40 ,  H04L67/141

Abstract: 本公开提供了一种可信安全网络系统、会话建立方法及相关设备，涉及网络安全技术领域。该可信安全网络系统包括：安全客户端、安全网络和零信任策略控制服务器；其中，安全客户端，用于发起会话请求，会话请求用于请求建立安全客户端与对端设备之间的会话；安全网关，与安全客户端连接，用于将会话请求转发至零信任策略控制服务器；零信任策略控制服务器，用于对会话请求进行安全验证；其中，安全网关还用于在会话请求通过安全验证和/或对端设备允许建立会话请求的会话的情况下，将安全客户端发起的会话请求转发至对端设备，以在安全客户端与对端设备之间建立会话。本公开能够实现全网络的对等防护，确保网络安全防护无死角。

公开(公告)号：CN117294649A

公开(公告)日：2023-12-26

申请号：CN202311270789.8

申请日：2023-09-27

Applicant: 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

Inventor： 李志龙 ,  陈文华 ,  李澄宇 ,  蒋春元 ,  陈鸿杰

IPC: H04L45/76 ,  H04L67/146 ,  H04L67/63

Abstract: 本申请实施例提供了一种容器通信方法、装置、设备及介质，在本申请实施例中，工作节点不会删除每个容器内部的网络，而是在管理节点中保存通信过的两个容器的访问连接关系，使得后续在进行容器间的通信时，可以基于该访问连接关系获取访问路径，并根据访问路径，将数据包发送给目标容器，在不删除容器的路由信息和网络信息的前提下，实现了容器间的通信，避免了资源和时间浪费。并且，在本申请实施例中，在进行容器互访时，管理节点中保存历史访问连接关系，在二次访问时不需要再次安全认证，访问更加安全、高效。

公开(公告)号：CN117176659A

公开(公告)日：2023-12-05

申请号：CN202311199785.5

申请日：2023-09-15

Applicant: 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

Inventor： 陈文华 ,  蒋春元 ,  王爱宝 ,  陈鸿杰 ,  李志龙

IPC: H04L47/125 ,  H04L9/32 ,  H04L67/1004

Abstract: 本发明公开了一种基于零信任环境的负载均衡方法及装置，所述方法应用于零信任安全网关，包括：零信任安全网关获取客户端发送的业务流量；零信任安全网关根据预设流量攻击特征验证业务流量中的业务请求；若确定业务请求验证通过，则零信任安全网关根据负载均衡策略将业务请求发送至目标服务器，以此避免应用服务器受到攻击，提升应用服务器的安全性。其中负载均衡策略是根据多个应用服务器的规格信息和负载信息周期性生成的，表示多个应用服务器的流量分配策略，目标服务器为多个应用服务器中负载均衡策略指向的应用服务器。以此在应用服务器的规格信息、负载信息或应用服务器数量发生变化时，周期性的更新负载均衡策略，保证负载均衡的准确性。

公开(公告)号：CN116996277A

公开(公告)日：2023-11-03

申请号：CN202310900295.7

申请日：2023-07-21

Applicant: 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

Inventor： 陈文华 ,  王爱宝 ,  林飞 ,  蒋春元 ,  李澄宇

IPC: H04L9/40

Abstract: 本申请涉及一种数据访问控制方法、装置、计算机设备和存储介质，所述方法包括：在零信任控制器与客户端建立有双向安全传输连接的情况下，调用多种认证方式对客户端进行认证；基于每种认证方式的认证结果，得到针对所述客户端的综合认证结果；当综合认证结果为认证成功时，确定允许所述客户端连接的零信任应用网关列表；将所述客户端的综合认证结果和预设的安全检测策略，发送至所述零信任应用网关列表中的各个零信任应用网关，使零信任应用网关根据所述安全检测策略，对所述客户端发送的数据处理请求进行安全检测，在检测通过时发送所述数据处理请求至数据库系统。采用本方法能够实现对客户端数据处理请求的层层检验，保证数据库系统的安全性。

公开(公告)号：CN116707833A

公开(公告)日：2023-09-05

申请号：CN202310878706.7

申请日：2023-07-17

Applicant: 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

Inventor： 陈文华 ,  王爱宝 ,  陈鸿杰 ,  李澄宇 ,  李志龙

IPC: H04L9/32 ,  H04L9/40

Abstract: 本公开提供了一种基于零信任机制的会话处理方法、装置、设备和介质，涉及网络与安全技术领域。该方法包括：接收宽带接入网关设备转发的会话请求，会话请求为客户端通过宽带接入网关设备向目标应用服务器发起的会话请求，会话请求中包含目标应用服务器的域名和/或网络地址；根据域名和/或网络地址，验证目标应用服务器是否属于预设白名单；在目标应用服务器属于预设白名单的情况下，判断目标应用服务器当前接入的会话请求数量是否超过预设阈值；若目标应用服务器当前接入的会话请求数量未超过预设阈值，则将会话请求转发至目标应用服务器。本公开能够基于零信任机制确保应用系统保持最大负荷处理会话访问请求，提高会话处理效率。

公开(公告)号：CN117749425A

公开(公告)日：2024-03-22

申请号：CN202311595165.3

申请日：2023-11-27

Applicant: 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

Inventor： 陈文华 ,  李志龙 ,  蒋春元 ,  李澄宇 ,  魏俊

IPC: H04L9/40 ,  H04L9/32 ,  G06F9/455

Abstract: 本申请公开了数据通信方法、装置、设备和存储介质。方法可应用于数据安全技术领域，该方法在应用于包括第二容器的第二宿主机时包括：接收第一宿主机发送的目标数据包；对目标数据包的签名信息进行校验；将通过校验的目标数据包发送到第二容器。上述方案，能够提高第二容器接收到的数据的安全性。

公开(公告)号：CN117527263A

公开(公告)日：2024-02-06

申请号：CN202311768456.8

申请日：2023-12-21

Applicant: 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

Inventor： 陈文华 ,  陈鸿杰 ,  蒋春元 ,  李澄宇 ,  李志龙

IPC: H04L9/32 ,  H04L9/40 ,  H04L67/10 ,  H04L67/141

Abstract: 本公开实施例提供了一种虚拟机间安全通信方法及装置，包括：接收第一虚拟机发送的请求与第二虚拟机进行通信的建立会话请求；生成对应的第一签名校验规则和第二签名校验规则；向第一虚拟机发送第一签名校验规则，指示第一虚拟机基于私钥对数据包进行签名，并将签名后的数据包发送至第二虚拟机；向第二虚拟机发送第二签名校验规则，以指示所述第二虚拟机基于公钥签名证书对签名后的数据包进行校验。本公开通过新增部署的具有统一签名校验规则管理功能的控制平台，为各虚拟机提供特定的签名校验规则，从而实现虚拟机间数据包传输的可靠性和安全性。

公开(公告)号：CN117171755A

公开(公告)日：2023-12-05

申请号：CN202310974777.7

申请日：2023-08-03

Applicant: 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

Inventor： 陈文华 ,  王爱宝 ,  陈鸿杰 ,  蒋春元 ,  魏俊

IPC: G06F21/57 ,  G06F21/31

Abstract: 本申请提供一种应用安全防护方法、装置及设备，涉及网络安全技术领域，用于提高应用的安全性。该应用安全防护方法包括：接收来自第一用户设备请求访问目标应用的第一访问请求，第一访问请求包括第一身份信息；确定第一访问请求是否包括目标标识，目标标识用于指示第一用户设备通过目标软件工具包发送第一访问请求；若第一访问请求不包括目标标识，则向第一用户设备发送预设地址，以使第一用户设备基于预设地址获取目标软件工具包；若第一访问请求包括目标标识，且确定第一身份信息符合预设条件，则允许第一用户设备访问目标应用，预设条件指示第一身份信息已通过目标应用的身份认证。

公开(公告)号：CN117112129A

公开(公告)日：2023-11-24

申请号：CN202310952528.8

申请日：2023-07-31

Applicant: 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

Inventor： 陈文华 ,  陈鸿杰 ,  蒋春元 ,  魏俊 ,  李澄宇

IPC: G06F9/455

Abstract: 本申请涉及一种安全隔离管理方法、装置、计算机设备、存储介质和产品。上述方法包括：获取多个虚拟机的虚拟机信息；根据多个虚拟机的虚拟机信息，对多个虚拟机进行安全隔离分组，得到多个虚拟机的安全隔离分组结果；基于多个虚拟机的安全隔离分组结果，为安全隔离分组结果中的各虚拟机配置安全隔离管理策略；安全隔离管理策略用于指示虚拟机根据安全隔离管理策略进行安全隔离管理。采用本方法能够简化对虚拟机进行安全隔离管理的安全隔离管理方法。