(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111348352.2 (22)申请日 2021.11.15 (71)申请人 许昌许继软件技 术有限公司 地址 461000 河南省许昌市许继大道170 6 号 (72)发明人 牛津文　慕宗君　袁方方　李江林　 方伟　王培源　马国强　王向宇　 董鹏涛　邵春梅　李瑞山　尹丽楠　 (74)专利代理 机构 北京中创云知识产权代理事 务所(普通 合伙) 11837 代理人 刘佳音 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 9/30(2006.01)H04L 43/0876(2022.01) H04L 43/16(2022.01) H04L 12/66(2006.01) (54)发明名称 一种数据通信网关可信认证方法、 系统及电 子设备 (57)摘要 本申请实施例提供一种数据通信网关可信 认证方法、 系统及电子设备， 能够对数字通信网 关进行高效、 全面、 及时的安全管控。 所述方法包 括： 获取数据通信网关的代码数据， 根据所述代 码数据对所述数据通信网关进行系统可信认证； 对所述数据通信网关的多个程序进程进行注册， 根据注册信息对所述数据通信网关进行应用可 信认证； 获取所述数据通信网关络运行数据， 根 据所述网络运行数据对所述数据通信网关进行 网络可信认证。 所述系统包括系统可信认证模 块、 应用可信认证模块与网络可信认证模块。 所 述电子设备， 包括存储器、 处理器及存储在存储 器上并可在处理器上运行的计算机程序， 所述处 理器执行所述程序时实现所述数据通信网关可 信认证方法。 权利要求书2页 说明书9页 附图4页 CN 114095227 A 2022.02.25 CN 114095227 A 1.一种数据通信网关可信认证方法， 其特 征在于， 包括： 获取数据通信网关的代码数据， 根据 所述代码数据对所述数据通信网关进行系统可信 认证； 对所述数据通信网关的多个程序进程进行注册， 根据注册信 息对所述数据通信网关进 行应用可信认证； 获取所述数据通信网关络运行数据， 根据 所述网络运行数据对所述数据通信网关进行 网络可信认证。 2.根据权利要求1所述的方法， 其特征在于， 所述获取数据通信网关的代码数据， 根据 所述代码数据对所述数据通信网关进行系统可信认证， 包括： 从所述数据通信网关的多个数据节点中选取 可信根节点； 从所述可信根节点 开始， 根据所述代码数据对多个所述数据节点进行 可信度量； 获取可信度量所生成的审计日志， 对所述审计日志进行 可信报告。 3.根据权利要求2所述的方法， 其特征在于， 所述根据所述代码数据对多个所述数据节 点进行可信度量， 包括： 计算所述数据节点相应代码数据的杂凑值； 将所述数据节点的所述杂凑值与 所述数据节点的初始杂凑值进行对比， 确定所述数据 节点相应代码数据是否发生变化； 响应于所述数据节点相应代码数据未发生变化， 所述数据节点可信度量 通过。 4.根据权利要求2所述的方法， 其特征在于， 所述获取可信度量所生成的审计日志， 对 所述审计日志进行 可信报告， 包括： 通过数字签名的方式将所述审计日志发送给审核计算平台； 经所述审核计算平台数字签名认证通过后对所述审计日志进行加密存 储。 5.根据权利要求2所述的方法， 其特征在于， 所述数据通信网关的多个所述数据节点包 括可信安全芯片节点； 所述根据 所述代码数据对所述数据通信网关进行系统可信认证， 还包括利用所述可信 安全芯片节点对所述数据通信网关的密钥数据进行 可信存储； 所述利用所述可信安全芯片节点对所述数据通信网关的密钥数据进行可信存储， 包 括： 采用树状存储结构对所述密钥数据进行存储， 将所述密钥数据中的根密钥保存在所述 可信安全芯片节点， 将所述密钥数据中的私钥与对称密钥保存在虚拟存 储空间。 6.根据权利要求1所述的方法， 其特征在于， 所述对所述数据通信网关的多个程序进程 进行注册， 根据注 册信息对所述数据通信网关进行应用可信认证， 包括： 根据所述注 册信息生成进程白名单； 实时检测所述数据通信网关的所有工作进程， 确定所述工作进程是否属于所述进程白 名单； 响应于所述工作进程 不属于所述进程白名单， 阻止并删除所述工作进程； 响应于所述工作进程属于所述进程白名单， 对所述工作进程进行周期校验。 7.根据权利要求1所述的方法， 其特征在于， 所述获取所述数据通信网关络运行数据， 根据所述网络运行 数据对所述数据通信网关进行网络可信认证， 包括：权　利　要　求　书 1/2 页 2 CN 114095227 A 2根据所述网络运行数据确定所述数据通信网关进行网络通信时的IP地址、 端口号与网 卡信息； 根据预设网络白名单对所述IP地址、 所述端口号与所述网卡信息进行监测， 对未经授 权的IP地址及端口号 流经未绑定网卡的网络数据进行主动过 滤屏蔽并关闭网络通信； 根据所述网络运行 数据确定所述数据通信网卡的网络行为数据； 根据网络行为规则库配置通信业务规则， 根据所述通信业务规则对所述网络行为数据 进行监测， 对不符合所述 通信业务规则的所述网络行为数据进行主动过 滤屏蔽； 根据所述网络运行数据确定所述数据通信网卡的通信流量与通信持续 时长， 当所述通 信流量超过流 量上限或所述 通信持续时长超过通信时间上限时进行断网或通信分流处 理。 8.一种数据通信网关可信认证系统， 其特 征在于， 包括： 系统可信认证模块， 用于获取数据通信网关的代码数据， 根据所述代码数据对所述数 据通信网关进行系统可信认证； 应用可信认证模块， 用于对所述数据通信网关的多个程序进程进行注册， 根据注册信 息对所述数据通信网关进行应用可信认证； 以及网络可信认证模块， 用于获取所述数据通信网关络运行数据， 根据所述网络运行 数据对所述数据通信网关进行网络可信认证。 9.一种电子设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计算 机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至7任意一项所述的方 法。权　利　要　求　书 2/2 页 3 CN 114095227 A 3