CN115913717B 基于环境多因子身份认证的全域数据安全沙箱的实现方法 （北京泰立鑫科技有限公司）

US2021200859A1,2021.07.01基于环境多因子身份认证的全域数据安全本发明涉及一种基于环境多因子身份认证2设置于服务器端的沙箱安全与共享控制中心配置终端安全策略，沙箱安全与共享控制中心将各认证终端需要执行的安全策略下发至各终端数据安全各终端部署由沙箱安全与共享控制中心统一下发的客户端通过驱动层和应用层重定建立了终端数据安全沙箱的终端纳入全域数据安全沙箱之前，需要对源的访问地址或端口信息以及对来源于该业务资源数据的终端防护策略下发到该用户终终端经过认证与授权以及终端数据安全沙箱防护策略生效后认证装置将接收到的实时环境身份信息与安全控制中心认证备案的该终端数字身份证书通过上述架构，将各终端数据安全沙箱连接成为一个统一终端安所述终端数据安全沙箱是通过驱动层或应用层重定向技术在终端上创建一个与个人全沙箱安全控制组件是接收认证装置统一的所述环境身份信息，指该终端设备的硬件特征信息、操作系统特2.根据权利要求1所述的基于环境多因子身份认证的全域数据安全沙箱的实现方法，3建立全域数据安全沙箱各数据安全沙箱之间的文档在各认证终端部署数据协同代理，负责控制各终端安全沙3.根据权利要求1所述的基于环境多因子身份认证的全域数据安全沙箱的实现方法，建立全域数据安全沙箱与需要保护的业务资源的认证终端访问受保护的业务资源时，首先采集该认证终端的实问；当网关组件经验证符合访问控制要求允许该终端对授权访问的业务资源进行访问时，为受保护业务资源与认证建立安全加密传输通道和所述访问控制网关以及业务资源建立所述受保护的业务资源包括业务系统软件、业务系统运行环境、业所述认证终端包括环境感知代理、终端数据安全沙箱、终所述环境身份信息，指该终端设备的硬件特征信息、操作系统特所述终端数据安全沙箱是通过驱动层或应用层重定向技术在终端上创建一个与个人全沙箱安全控制组件是接收认证装置统一的所述终端数据安全沙箱安全控制组件，对进入终端数据安全沙箱内的所述终端数据安全沙箱文档上传下载控制组件，负责控制各终端安所述认证装置，包括安全控制中心和访问控制组件；实现对终端4所述访问控制组件，用于隐藏受保护的业务资源的网络端口；接收所所述沙箱安全与共享控制中心，用于配置终端安全策略，包括终端心将各认证终端需要执行的安全策略下发至各终端数所述受保护的业务资源包括业务系统软件、业务系统运行环境、业所述认证终端作为两个独立终端代理：环境感知代理和终端数据所述访问控制组件与受保护的业务系统共同5推动终端数据防泄漏技术的应用。终端数据防泄漏技术可以大幅提高终端数据的安全性，[0007]沙箱安全与共享控制中心将各认证终端需要执行的安全策略下发至各终端数据[0008]各终端部署由沙箱安全与共享控制中心统一下发的客户端通过驱动层和应用层务资源的访问地址或端口信息以及对来源于该业务资源数据的终端防护策略下发到该用6全防护策略全面执行安全控制中心下发的终端[0013]所述终端数据安全沙箱是通过驱动层或应用层重定向技术在终端上创建一个与据安全沙箱安全控制组件是接收认证装置统一[0019]所述终端数据安全沙箱是通过驱动层或应用层重定向技术在终端上创建一个与据安全沙箱安全控制组件是接收认证装置统一7中心将各认证终端需要执行的安全策略下发至各终端数箱还可以实现重要的业务资源(包括业务系[0030]图1为本发明实施例一种基于环境多因子身份认证的全域数据安全沙箱的实现方[0031]图2为本发明另一实施例一种基于环境多因子身份认证的全域数据安全沙箱系统[0032]图3为本发明实施例一种基于环境多因子身份认证的全域数据安全沙箱系统的系8[0036]120、环境多因子身份认证和数据加密传输系统连接认证终端和终端数据安全沙感知代理(Agent2)具体采集环境身份信息的种类和数量根据预先设定的验证的业务资源的访问地址或端口信息以及对来源于该业务资源数据的终端防护策略下发到端安全防护策略全面执行安全控制中心(K2)下发的终端数据安全沙箱防护策略(终端可具要进行数据传输时，首先采集该认证终端的加密传输通道(如单包授权加密隧道技术SPA)[0042]在各认证终端部署数据协同代理(Agengt3)，负责控制各终端安全沙箱互传共享[0044]认证终端访问受保护的业务资源时，首先采集该认证终端的实时环境身份信息9进行访问时，为受保护业务资源与认证建立安全[0051]所述终端数据安全沙箱是通过驱动层或应用层重定向技术在终端上创建一个与据安全沙箱安全控制组件是接收认证装置统一[0063]基于上述实施例提出的一种基于环境多因子身份认证的全域数据安全沙箱的实可以实现重要的业务资源(包括业务系统[0068]所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或