【CN110049046A】访问控制方法、终端、服务器及系统【专利】

(19)中华人民共和国国家知识产权局

(12)发明专利申请

(10)申请公布号 (43)申请公布日 (21)申请号 201910322523.0

(22)申请日 2019.04.19

(71)申请人 北京奇安信科技有限公司

地址 100088 北京市西城区新街口外大街

28号102号楼3层332号

(72)发明人 刘成伟　魏勇　简明　张泽洲　

(74)专利代理机构 中科专利商标代理有限责任

公司 11021

代理人 杨静

(51)Int.Cl.

H04L 29/06(2006.01)

(54)发明名称

访问控制方法、终端、服务器及系统

(57)摘要

本发明公开了一种应用于终端的访问控制

方法，包括：当检测到终端内的资源请求者向服

务器发送访问请求时，采集资源请求者的预置信

息，预置信息包括与资源请求者相关的多个属性

信息，基于预置信息和访问请求生成单数据包授

权请求，向服务器发送该单数据包授权请求，在

单数据包授权请求被服务器转发给授权控制系

统并且授权控制系统对单数据包授权请求验证

通过的情况下，使得服务器向资源请求者开放资

源访问端口。本发明还公开了一种应用于服务器

的访问控制方法、一种终端、一种服务器及一种

访问控制系统。本发明通过将资源请求者的预置

信息作为授权凭证，使攻击者无法轻易伪造单数

据包授权数据，避免因授权信息泄露造成的非法

访问。权利要求书2页 说明书9页 附图8页CN 110049046 A 2019.07.23

C N 110049046

A

权　利　要　求　书1/2页CN 110049046 A

1.一种访问控制方法，应用于终端，其特征在于，包括：

当检测到终端内的资源请求者向服务器发送访问请求时，采集所述资源请求者的预置信息，所述预置信息包括与所述资源请求者相关的多个属性信息；

基于所述预置信息和所述访问请求生成单数据包授权请求；以及

向所述服务器发送所述单数据包授权请求；

在所述单数据包授权请求被所述服务器转发给授权控制系统并且所述授权控制系统对所述单数据包授权请求验证通过的情况下，使得服务器向所述资源请求者开放资源访问端口。

2.根据权利要求1所述的访问控制方法，其特征在于，所述方法还包括：

生成一次性授权码；

所述基于所述预置信息和所述访问请求生成单数据包授权请求包括：基于所述预置信息、一次性授权码和所述访问请求，生成单数据包授权请求。

3.根据权利要求1所述的访问控制方法，其特征在于：

所述与所述资源请求者相关的多个属性信息包括网际协议地址、下一跳网关地址、MAC 地址和应用执行文件的MD5摘要；

向所述服务器发送所述单数据包授权请求之前，所述方法还包括：

判断所述资源请求者的MD5摘要是否为预置合法的MD5摘要，若为预置合法的MD5摘要，则向所述服务器发送所述单数据包授权请求。

4.一种访问控制方法，应用于服务器，其特征在于，包括：

接收资源请求者通过终端发送的单数据包授权请求，所述单数据包授权请求包括所述资源请求者的预置信息和访问请求，所述预置信息包括与所述资源请求者相关的多个属性信息，所述访问请求为所述资源请求者为访问所述服务器而向所述服务器发送的请求；

将所述单数据包授权请求转发给授权控制系统；

接收所述授权控制系统对所述单数据包授权请求进行授权验证生成的授权结果；

若所述授权结果表示所述单数据包授权请求通过所述授权控制系统的授权验证，则向所述资源请求者开放资源访问端口。

5.根据权利要求4所述的访问控制方法，其特征在于，所述单数据包授权请求还包括：一次性授权码，所述一次性授权码为所述终端随机生成的授权码。

6.根据权利要求4所述的访问控制方法，其特征在于：

所述与所述资源请求者相关的多个属性信息包括网际协议地址、下一跳网关地址、MAC 地址和应用执行文件的MD5摘要；

所述接收资源请求者通过终端发送的单数据包授权请求，包括：在所述资源请求者的MD5摘要为预置合法的MD5摘要的情况下，接收所述终端内的资源请求者发送的单数据包授权请求。

7.根据权利要求4所述的访问控制方法，其特征在于，向所述资源请求者开放资源访问端口之后，所述方法还包括：

记录所述单数据包授权请求的请求时间、所述资源请求者的网际协议地址、所述单数据包授权请求的请求结果、所述资源访问端口的端口号和所述资源请求者的应用信息。

8.根据权利要求4-7中任意一项所述的访问控制方法，其特征在于，所述向所述资源请

2