(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210550298.8 (22)申请日 2022.05.20 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 张连营　黄嘉骏　陈胜男　顾思宇　 蒯騄　 (74)专利代理 机构 北京润泽恒知识产权代理有 限公司 1 1319 专利代理师 苏培华 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 资产访问控制方法、 装置、 电子设备和计算 机可读介质 (57)摘要 本发明公开了一种资产访问控制方法、 装 置、 电子设备和计算机可读介质， 涉及网络安全 技术领域。 该方法包括： 在确定当前用户登录认 证通过的情况下， 获取所述堡垒机当前的授权访 问控制信息； 利用预设的签名校验算法对所述当 前的授权访问控制信息进行完整性校验； 在确定 所述当前的授权访问控制信息通过所述完整性 校验的情况下， 授权所述当前用户， 以使所述当 前用户按照所述当前的授权访问控制信息进行 资产访问。 该方法实现了对堡垒机的授权访问控 制信息进行保护的目的， 降低了授权访问控制信 息被篡改的可能， 能够识别授权访问控制信息是 否被篡改， 并且在识别出授权访问控制信息被篡 改的情况下拒绝用户进行资产访问， 提升了数据 的安全性。 权利要求书2页 说明书8页 附图2页 CN 114978677 A 2022.08.30 CN 114978677 A 1.一种资产访问控制方法， 应用于堡 垒机， 其特 征在于， 包括： 在确定当前用户登录认证通过的情况 下， 获取所述堡垒机当前的授权访问控制信息； 利用预设的签名校验算法对所述当前的授权访问控制信息进行完整性校验； 在确定所述当前的授权访问控制信 息通过所述完整性校验的情况下， 授权所述当前用 户， 以使所述当前用户按照所述当前的授权访问控制信息进行资产访问。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 获取所述堡垒机的原 始授权访问控制信息； 利用所述签名校验算法对所述原始授权访 问控制信息进行计算， 得到第一签名， 并存 储所述第一签名； 利用预设的签名校验算法对所述当前的授权访问控制信息进行完整性校验 包括： 利用所述签名校验算法对所述当前的授权访问控制信息进行计算， 得到第二签名； 获取所述第一签名， 并比对所述第一签名和所述第二签名； 若所述第一签名和所述第 二签名相同， 则确定所述当前的授权访问控制信 息通过所述 完整性校验； 若所述第一签名和所述第 二签名不同， 则确定所述当前的授权访问控制信 息未通过所 述完整性校验。 3.根据权利要求2所述的方法， 其特 征在于， 所述 堡垒机内置有密码卡； 利用所述签名校验算法对所述原 始授权访问控制信息进行计算， 得到第一签名包括： 调用所述密码卡内的签名校验算法对所述原始授权访问控制信 息进行计算， 得到第 一 签名； 利用预设的签名校验算法对所述当前的授权访问控制信 息进行计算， 得到第 二签名包 括： 调用所述密码卡内的签名校验算法对所述当前的授权访问控制信 息进行计算， 得到第 二签名。 4.根据权利要求3所述的方法， 其特征在于， 调用所述密码卡内的签名校验算法对所述 原始授权访问控制信息进行计算， 得到第一签名包括： 调用所述密码卡内的密钥生成算法， 生成密钥； 调用所述密码卡内的签名校验算法， 对所述原始授权访问控制信 息和所述密钥进行计 算， 得到第一签名； 调用所述密码卡内的签名校验算法， 对所述当前的授权访 问控制信息进行计算， 得到 第二签名包括： 获取所述密钥， 调用所述密码卡内的签名校验算法， 对所述当前的授权访 问控制信息 和所述密钥进行计算， 得到第二签名。 5.根据权利要求4所述的方法， 其特征在于， 所述方法还包括： 周期性地更新所述密钥 和所述第一签名。 6.一种资产访问控制装置， 应用于堡 垒机， 其特 征在于， 包括： 获取模块， 用于在确定当前用户登录认证通过的情况下， 获取所述堡垒机当前的授权 访问控制信息； 校验模块， 用于利用预设的签名校验算法对所述当前的授权访问控制信 息进行完整性权　利　要　求　书 1/2 页 2 CN 114978677 A 2校验； 授权模块， 用于在确定所述当前的授权访 问控制信息通过所述完整性校验的情况下， 授权所述当前用户， 以使所述当前用户按照所述当前的授权访问控制信息进行资产访问。 7.根据权利要求6所述的装置， 其特征在于， 所述装置还包括管理模块， 用于： 获取所述 堡垒机的原始授权访问控制信息； 利用所述签名校验算法对所述原始授权访问控制信息进 行计算， 得到第一签名， 并存 储所述第一签名； 所述校验 模块还用于： 利用所述签名校验算法对所述当前的授权访问控制信息进行计算， 得到第二签名； 获取所述第一签名， 并比对所述第一签名和所述第二签名； 若所述第一签名和所述第 二签名相同， 则确定所述当前的授权访问控制信 息通过所述 完整性校验； 若所述第一签名和所述第 二签名不同， 则确定所述当前的授权访问控制信 息未通过所 述完整性校验。 8.根据权利要求6所述的装置， 其特 征在于， 所述 堡垒机内置有密码卡； 所述管理模块还用于： 调用所述密码卡内的签名校验算法对所述原始授权访问控制信 息进行计算， 得到第一签名； 所述校验模块还用于： 调用所述密码卡内的签名校验算法对所述当前的授权访问控制 信息进行计算， 得到第二签名。 9.一种电子设备， 其特 征在于， 包括： 一个或多个处 理器； 存储装置， 用于存 储一个或多个程序， 当所述一个或多个程序被所述一个或多个处理器执行， 使得所述一个或多个处理器实 现如权利要求1 ‑5中任一所述的方法。 10.一种计算机可读介质， 其上存储有计算机程序， 其特征在于， 所述程序被处理器执 行时实现如权利要求1 ‑5中任一所述的方法。权　利　要　求　书 2/2 页 3 CN 114978677 A 3