(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111645023.4 (22)申请日 2021.12.3 0 (71)申请人 同济大学 地址 200092 上海市杨 浦区四平路1239号 (72)发明人 张雷　俞文娟　徐倩　蒋秋明　 孙旦阳　张菁博　张国朋　欧冬秀　 (74)专利代理 机构 北京盛询知识产权代理有限 公司 11901 代理人 方亚兵 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种用于云平台数据的隐信道安全防御系 统 (57)摘要 本发明公开了一种用于云平台数据的隐信 道安全防御系统， 包括： 第一访问控制子系统， 用 于隐信道安全防御云平台数据的网络连接与协 议； 第二访问控制子系统， 用于为第一访问控制 子系统， 提供系统全域扫描式安全访问控制功能 和零信任验证式安全访问控制功能， 其中， 通过 第二访问控制子系统进行解密和验签， 实现系统 全域扫描式安全访问控制功能， 以及， 通过将第 二访问控制子系统与第一访问控制子系统形成 运行与状态互锁关系， 实现零信任验证式安全访 问控制功能； 本发明有效地阻断云平台数据隐信 道攻击威胁， 成功地为云平台数据提供安全加固 和访问控制的云平台数据隐信道 安全防御系统， 具有不可估量的社会效益。 权利要求书2页 说明书6页 附图3页 CN 114301693 A 2022.04.08 CN 114301693 A 1.一种用于云平台数据的隐信道安全防御系统， 其特 征在于， 包括： 第一访问控制子系统， 用于隐信道安全防御云平台数据的网络连接与协议； 第二访问控制子系统， 用于为所述第一访 问控制子系统， 提供系统全域扫描式安全访 问控制功能和 零信任验证式安全访问控制功 能， 其中， 通过所述第二访问控制 子系统进行 解密和验签， 实现所述系统全域扫描式安全访问控制功能， 以及， 通过将所述第二访问控制 子系统与所述第一访问控制子系统形成运行与状态互锁关系， 实现所述零信任验证式安全 访问控制功能。 2.根据权利要求1所述 一种用于云平台数据的隐信道安全防御系统， 其特 征在于： 所述第一访问控制子系统包括： 客户端程序认证模块， 用于对通过云平台数据访问外部网络的程序， 进行鉴别和认证， 允许通过认证的所述 程序使用云平台数据服 务； 云平台数据服务隐信道安全防御模块， 用于在网络中， 通过隐藏所述云平台数据的IP 地址及服 务端口， 阻止未授权的恶意 程序连接所述云平台数据； 隐信道干扰和破坏模块， 用于通过截取内网工作站发送至所述云平台数据的第 一数据 包， 以及所述云平台数据发送至所述内网工作站的第二数据包， 分别对所述第一数据包和 所述第二数据包的协 议格式及内容， 进 行合规检查， 对合规的所述第一数据包和/或所述第 二数据包的隐蔽信道， 施加干扰并引入额外噪声； CPU模块， 分别与所述客户端程序认证模块、 所述云平台数据服务隐信道安全防御模 块、 所述隐信道干扰和破坏模块建立连接， 用于执 行所述第一访问控制子系统的系统功能。 3.根据权利要求2所述 一种用于云平台数据的隐信道安全防御系统， 其特 征在于： 所述CPU模块 为非Intel指令集的RISC  CPU， 操作系统采用L inux操作系统。 4.根据权利要求3所述 一种用于云平台数据的隐信道安全防御系统， 其特 征在于： 所述第二访 问控制子系统具有透明访 问控制模式和深度访 问控制模式， 其中， 所述第 二访问控制子系统包括第一YuAn模组和第二YuAn模组， 当所述第一YuAn模组， 通过采用透 明访问控制模式部署在所述内网工作站和所述云平 台数据之间时， 则实现所述透明访问控制模式； 当所述第二YuAn模组， 部署在所述内网工作站， 且所述第一YuAn模组部署在所述内网 工作站和所述云平台数据之间时， 则实现所述深度访问控制模式。 5.根据权利要求 4所述一种用于云平台数据的隐信道安全防御系统， 其特 征在于： 所述第一YuAn模组与所述CPU模块连接， 用于对所述云平台数据接收的数据包进行反 变换， 对收发数据包进行合 规性检测及隐信道破坏。 6.根据权利要求5所述 一种用于云平台数据的隐信道安全防御系统， 其特 征在于： 所述第二YuAn模组用于实现签名、 验签功能， 其 中， 第二YuAn模组还用于对通过签名认 证的所述内网工作站与所述云平台数据之间的传输IP数据包， 进行关键字段的随机变换， 实现隐信道安全防御所述云平台数据服 务以及通讯内容的不可否认。 7.根据权利要求6所述 一种用于云平台数据的隐信道安全防御系统， 其特 征在于： 所述隐信道安全防御系统还用于对于不具备云平台数据访问权限， 没有部署YuAn模 组， 以及无法进行认证的工作站， 发往所述云平台数据的通讯内容， 进行截留并上报。 8.根据权利要求7 所述一种用于云平台数据的隐信道安全防御系统， 其特 征在于：权　利　要　求　书 1/2 页 2 CN 114301693 A 2所述第一YuAn模组还用于对内容合归的所述数据包， 根据信息隐藏规则和隐信道阻塞 规则， 嵌入干扰数据， 将添加了所述干扰数据的所述数据包发送至所述云平台数据。 9.根据权利要求7 所述一种用于云平台数据的隐信道安全防御系统， 其特 征在于： 所述第一YuAn模组还用于对内容不合规的所述数据包， 植入隐藏信息， 以及建立隐通 道的协议数据后进行 数据包截留， 将截留的所述数据包进行 上报。 10.根据权利要求9所述 一种用于云平台数据的隐信道安全防御系统， 其特 征在于： 所述隐信道安全 防御系统还用于通过不设置物理地址、 IP地址， 以及不与网络中其它 设备建立连接关系的方式， 实现所述隐信道安全防御系统的自身访问控制， 以及不为网络 带来额外负担 。权　利　要　求　书 2/2 页 3 CN 114301693 A 3