(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210943428.4 (22)申请日 2022.08.08 (71)申请人 北京雪诺科技有限公司 地址 100083 北京市海淀区王庄路1号院清 华同方科技大厦B座7层E 3号 (72)发明人 刘敬良　 (74)专利代理 机构 北京中强智尚知识产权代理 有限公司 1 1448 专利代理师 黄耀威 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 接入认证方法及装置、 存储介质、 计算机设 备 (57)摘要 本申请公开了一种接入认证方法及装置、 存 储介质、 计算机设备， 该方法包括： 终端设备接收 对目标应用的接入请求后， 将所述接入请求和所 述终端设备的终端用户身份信息打包成请求数 据包， 并通过统一接入网关将所述请求数据包发 送至统一接入系统； 统一接入系统依据所述终端 用户身份信息， 对所述终端设备进行身份认证， 以及对所述终端设备进行策略匹配， 确定所述终 端设备的应用策略； 在身份认证通过后建立数据 通道， 并通过所述数据通道向所述应用策略对应 的应用发送所述接入请求， 以赋予所述终端设备 对所述目标应用在所述应用策略范围内的访问 权限。 有助于提升应用的接入效率和访问安全 性。 权利要求书2页 说明书9页 附图2页 CN 115529156 A 2022.12.27 CN 115529156 A 1.一种接入认证方法， 其特 征在于， 所述方法包括： 终端设备接收对目标应用的接入请求后， 将所述接入请求和所述终端设备的终端用户 身份信息打包成请求数据包， 并通过统一接入网关将所述请求数据包发送至统一接入系 统； 统一接入系统依据所述终端用户身份信息， 对所述终端设备进行身份认证， 以及对所 述终端设备进行 策略匹配， 确定所述终端设备的应用策略； 在身份认证通过后建立数据通道， 并通过所述数据通道向所述应用策略对应的应用发 送所述接入请求， 以赋予所述终端设备对所述目标应用在所述应用策略范围内的访问权 限。 2.根据权利要求1所述的方法， 其特征在于， 所述通过所述数据通道向所述应用策略对 应的应用发送所述接入请求之后， 所述方法还 包括： 获取所述终端设备的实时流量数据， 并对所述实时流量数据进行访问行为和位置行为 分析； 基于分析结果， 动态变更所述应用策略， 并按照变更后的应用策略调整所述终端设备 对所述目标应用的接入权限。 3.根据权利要求2所述的方法， 其特征在于， 所述基于分析结果， 动态变更所述应用策 略， 具体包括： 若所述分析 结果指示所述终端设备存在威胁行为， 则断开所述数据通道； 否则， 依据所述分析 结果， 动态变更 所述应用策略。 4.根据权利要求1至3中任一项所述的方法， 其特征在于， 所述统一接入系统包括信息 存储模块； 所述统一接入系统依据所述终端用户身份信息， 对所述终端设备进行身份认证， 以及 对所述终端设备进行 策略匹配， 确定所述终端设备的应用策略， 具体包括： 读取所述信息存 储模块中存 储的授权身份信息以及配置策略； 依据所述授权身份信 息对所述终端用户身份信 息进行匹配， 以及依据 所述配置策略对 所述终端设备进行 策略匹配， 确定所述终端设备的应用策略。 5.根据权利要求4所述的方法， 其特征在于， 所述统一接入系统包括定时器； 所述信息 存储模块中的授权身份信息以及配置策略来源于策略管控中心； 所述方法还 包括： 所述策略管控中心将最新授权身份信 息以及最新配置策略下发至共享内存中， 通过所 述共享内存 存储所述最新授权身份信息和所述 最新配置策略； 所述统一接入系统中的所述定时器计时结束时， 获取所述共享内存中的所述最新授权 身份信息和所述最新配置策略， 并将所述最新授权身份信息写入所述授权身份信息存储模 块中以及将所述 最新配置策略写入所述配置策略存 储模块中。 6.根据权利要求5所述的方法， 其特 征在于， 所述方法还 包括： 所述策略管控中心接收目标应用管理者通过策略配置UI界面输入的管控策略配置信 息， 其中， 所述策略配置UI界面由所述策略管控中心 提供， 所述管控 策略配置信息包括授权 身份信息以及配置策略； 所述策略管控中心设置所述管控策略配置信息的版本号， 并通过策略同步线程， 将所 述管控策略配置信息及其对应的版本号下发至共享内存中进行存 储；权　利　要　求　书 1/2 页 2 CN 115529156 A 2所述统一接入系统中的所述定时器计时结束时， 获取所述共享内存中的所述最新授权 身份信息和所述 最新配置策略， 具体包括： 所述统一接入系统中的所述定时器计时结束时， 获取所述共享内存中管控策略配置信 息的最新版本号， 并在所述最新版本号与所述信息存储模块内存储信息的版本号不一致 时， 获取所述共享内存中的所述 最新授权身份信息和所述 最新配置策略。 7.根据权利要求6所述的方法， 其特征在于， 所述通过所述数据通道向所述应用策略对 应的应用发送所述接入请求之后， 所述方法还 包括： 统一接入系统收集对所述目标应用的访问日志， 并向所述策略管控中心上传所述访问 日志； 所述策略管控中心 依据所述访问日志， 动态调整管控策略配置信息 。 8.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 所述终端设备 退出对所述目标应用的访问后， 销毁所述数据通道。 9.一种接入认证装置， 其特 征在于， 所述装置包括： 请求发送模块， 用于终端设备接收对目标应用的接入请求后， 将所述接入请求和所述 终端设备的终端用户身份信息 打包成请求数据包， 并通过 统一接入网关将所述请求数据包 发送至统一接入系统； 策略匹配模块， 用于统一接入系统依据所述终端用户身份信息， 对所述终端设备进行 身份认证， 以及对所述终端设备进行 策略匹配， 确定所述终端设备的应用策略； 接入模块， 用于在身份认证通过后建立数据通道， 并通过所述数据通道向所述应用策 略对应的应用发送所述接入请求， 以赋予所述终端设备对所述目标应用在所述应用策略范 围内的访问权限。 10.一种存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序被处理器执 行时实现权利要求1至8中任一项所述接入认证的方法。 11.一种计算机设备， 包括存储介质、 处理器及存储在存储介质上并可在处理器上运行 的计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至8中任一 项所述接入认证的方法。权　利　要　求　书 2/2 页 3 CN 115529156 A 3