(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210366602.3 (22)申请日 2022.04.08 (71)申请人 中国移动通信集团陕西有限公司 地址 710077 陕西省西安市高新区锦业 一 路60号 申请人 中国移动通信集团有限公司 (72)发明人 常英卓　王晓春　花小齐　王斌　 韩志峰　刘帅　 (74)专利代理 机构 北京东方亿 思知识产权代理 有限责任公司 1 1258 专利代理师 杨永恒 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 资源访问控制方法和资源访问控制系统 (57)摘要 本申请公开了一种资源访问控制方法和资 源访问控制系统。 其中， 该方法包括接收客户端 发送的资源访问请求； 所述资源访问请求中包括 所述客户端所处的终端设备的特征信息和用户 的特征信息； 在所述终端设备的特征信息和所述 用户的特征信息均认证通过的情况下， 接收权限 认证系统发送的所述用户的最新权限信息； 根据 所述最新权 限信息， 生成令牌； 将所述令牌传输 至所述客户端和网关， 以使所述网关根据所述令 牌开启所述最新权限信息对应的防火墙端口， 以 使所述客户端根据所述令牌访问所述网关， 以通 过所述防火墙端口获取到所述最新权限信息对 应的资源。 根据本申请实施例的资源访问控制方 法， 能够提高企业内网资源的安全性。 权利要求书3页 说明书14页 附图5页 CN 114629719 A 2022.06.14 CN 114629719 A 1.一种资源访问控制方法， 其特 征在于， 应用于安全 控制平台， 所述方法包括： 接收客户端发送的资源访问请求； 所述资源访问请求中包括所述客户端所处的终端设 备的特征信息和用户的特 征信息； 在所述终端设备的特征信 息和所述用户的特征信 息均认证通过的情况下， 接收权限认 证系统发送的所述用户的最 新权限信息； 根据所述 最新权限信息， 生成令牌； 将所述令牌传输至所述客户端和网关， 以使所述网关根据 所述令牌开启所述最新权限 信息对应的防火墙端口， 以使所述客户端根据所述令牌访问所述网关， 以通过所述防火墙 端口获取 所述最新权限信息对应的资源。 2.根据权利要求1所述的资源访问控制方法， 其特征在于， 所述在所述终端设备的特征 信息和所述用户的特征信息均认证通过的情况下， 接收权限认证系统发送的获取所述用户 的最新权限信息之前， 所述方法还 包括： 对所述终端设备的特 征信息进行认证； 在所述终端设备的特征信息认证通过的情况下， 对所述用户的身份特征信息进行认 证。 3.根据权利要求2所述的资源访问控制方法， 其特征在于， 所述在所述终端设备的特征 信息认证通过的情况 下， 对所述用户的身份特 征信息进行认证， 具体包括： 在所述终端设备的特 征信息认证通过的情况 下， 接收权限认证系统发送的认证口令； 将所述认证口令发送至所述 客户端， 以使所述用户在所述 客户端填写所述认证口令； 获取所述用户在所述 客户端填写的所述认证口令； 根据所述用户填写的认证口令与从所述权限认证系统中获取的认证口令， 对所述用户 的身份特 征信息进行认证。 4.根据权利要求1所述的资源访问控制方法， 其特征在于， 所述令牌包括客户端所处的 终端设备 的特征信息、 所述用户的特征信息、 所述用户的最新权限信息、 网关地址信息、 通 信密钥中的至少一种。 5.一种资源访问控制方法， 其特 征在于， 应用于客户端， 所述方法包括： 发送资源访问请求至安全控制平台， 以使所述安全控制平台在终端设备的特征信 息和 用户的特征信息均认证通过的情况下， 接收权限认证系统发送的所述用户的最新权限信 息， 并根据所述最新权限信息， 生成令牌， 再将所述令牌传输至所述客户端和网关； 所述资 源访问请求中包括所述 客户端所处的终端设备的特 征信息和用户的特 征信息； 接收所述 安全控制平台传输的所述令牌； 根据所述令牌访问所述网关， 以通过所述防火墙端口获取所述最新权限信 息对应的资 源。 6.根据权利要求5所述的资源访问控制方法， 其特征在于， 所述发送资源访问请求至安 全控制平台之前， 所述方法还 包括： 响应于用户在客户端上的资源访问请求， 对所述客户端所处 的终端设备的特征信 息和 用户的特 征信息进行检测； 所述发送资源访问请求至安全 控制平台， 具体包括： 当所述客户端所处的终端设备的特征信息和所述用户的特征信息均达到预设访问安权　利　要　求　书 1/3 页 2 CN 114629719 A 2全条件的情况 下， 向所述 安全控制平台发送所述资源访问请求。 7.根据权利要求5所述的资源访问控制方法， 其特征在于， 所述接收所述安全控制平台 传输的所述令牌之前， 所述方法还 包括： 接收认证口令； 将所述认证口令通过所述安全控制平台， 发送至权限认证系统， 以使所述安全控制平 台通过所述权限认证系统获取所述用户的最新权限信息， 并根据所述最新权限信息， 生成 令牌， 再将所述令牌传输 至所述客户端和网关。 8.一种资源访问控制系统， 其特 征在于， 所述系统包括 安全控制平台和客户端； 所述安全控制平台用于执 行权利要求1 ‑4任一项所述的方法； 所述客户端用于执 行权利要求5 ‑7任一项所述的方法。 9.根据权利要求8所述的资源访问控制系统， 其特 征在于， 所述系统还 包括监控装置； 所述监控装置用于获取网络端口、 客户端地址、 网关地址的通信流量中的至少一种； 根 据所述通信流量， 确定用户是否存在违规访问行为； 在所述用户存在违规访问行为的情况 下， 对所述违规访问行为进行记录， 并输出告警信息 。 10.根据权利要求8所述的资源访问控制系统， 其特征在于， 所述系统还包括权限认证 系统； 所述权限认证系统用于实时获取所述用户的访问行为信 息， 对所述访问行为信 息进行 分析， 以确定所述用户是否存在违规访问行为； 在所述用户存在违规访问行为， 且所述违规 访问行为的次数达到第一阈值时， 降低所述用户的安全信任等级； 根据降低后的用户的安 全信任等级， 确定所述用户的最 新权限信息 。 11.一种资源访问控制装置， 其特 征在于， 应用于安全 控制平台， 所述装置包括： 第一接收模块， 用于接收客户端发送的资源访 问请求； 所述资源访 问请求中包括所述 客户端所处的终端设备的特 征信息和用户的特 征信息； 第一获取模块， 用于在所述终端设备的特征信 息和所述用户的特征信 息均认证通过的 情况下， 通过权限认证装置获取 所述用户的最 新权限信息； 生成模块， 用于在获取所述用户的最新权限信 息之后， 根据 所述最新权限信息， 生成令 牌； 传输模块， 用于将所述令牌传输至所述客户端和网关， 以使所述网关根据所述令牌开 启所述最新权限信息对应的防火墙端口， 以使所述客户端根据所述令牌访问所述网关， 以 通过所述防火墙端口获取 所述最新权限信息对应的资源。 12.一种资源访问控制装置， 其特 征在于， 应用于客户端， 所述装置包括： 第一发送模块， 用于发送资源访 问请求至安全控制平台， 以使所述安全控制平台在终 端设备的特征信息和用户的特征信息均 认证通过的情况下， 接收权限认证系统发送的所述 用户的最新权限信息， 并根据所述最新权限信息， 生成令牌， 再将所述令牌传输至所述客户 端和网关； 所述资源访问请求中包括所述客户端 所处的终端设备的特征信息和用户的特征 信息； 第二接收模块， 用于在发送资源访 问请求至安全控制平台之后， 接收所述安全控制平 台传输的所述令牌； 访问模块， 用于在接收所述安全控制平台传输的所述令牌之后， 根据所述令牌访 问所权　利　要　求　书 2/3 页 3 CN 114629719 A 3