(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111364252.9 (22)申请日 2021.11.17 (71)申请人 广东电网有限责任公司 地址 510030 广东省广州市越秀区东 风东 路757号 申请人 广东电网有限责任公司电力调度控 制中心 (72)发明人 付佳佳　周安　马腾腾　梅发茂　 吴昊　 (74)专利代理 机构 华进联合专利商标代理有限 公司 44224 代理人 钟善宝 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于终端访问行为的安全接入控制方法、 装 置和设备 (57)摘要 本申请涉及网络安全技术领域， 提供一种基 于终端访问行为的安全接入控制方法、 装置、 设 备和存储介质。 本申请可 以简化资源管理难度， 避免各系统重复认证。 包括： 建立与终端设备的 双向连接； 若终端设备通过服务接口访问本端并 发送访问请求， 获取终端设备的采集数据， 确认 访问后对终端设备进行身份认证； 身份认证成功 后， 显示可访问资源列表信息； 在终端设备获取 针对可访问资源列表信息的会话标识后， 在接收 访问的目标着陆页确认资源定位符； 若终端设备 具有访问目标着陆页的权限， 对终端设备的采集 数据进行集中过滤处理， 在打上资源定位符标签 后生成数据包； 实时监测 网络环境， 产生预警信 息； 若终端设备的访问行为结束， 则断开双向连 接。 权利要求书2页 说明书7页 附图4页 CN 114244568 A 2022.03.25 CN 114244568 A 1.一种基于终端访问行为的安全接入控制方法， 其特征在于， 应用于安全接入平台服 务器， 包括： 建立与终端设备的双向连接； 若所述终端设备通过服务接口访问本端 并发送访问请求， 则获取所述终端设备的采集 数据， 并在确认访问后对所述终端设备进行身份认证； 在身份认证成功后， 显示可访问资源列表信息； 在所述终端设备获取针对所述可访问资源列表信 息的会话标识后， 在接收访问的目标 着陆页确认资源定位符； 判断所述终端设备 是否具有访问所述目标着陆页的权限； 若终端设备具有访问所述目标着陆页的权限， 对所述终端设备的采集数据进行集中过 滤处理， 并在打上资源定位符标签后生成数据包； 其中， 所述数据包用于记录针对所述 终端 设备的当前访问信息； 实时对网络环境进行监测， 产生预警信息； 判断所述终端设备的访 问行为是否结束， 若结束则断开所述双 向连接， 并等待所述终 端设备下一次的输入连接 。 2.根据权利要求1所述的方法， 其特征在于， 在所述判断所述终端设备是否具有访问所 述目标着陆页的权限之后， 所述方法还 包括： 若所述终端设备不具有访问所述目标着陆页的权限， 则与所述终端设备断开所述双向 连接。 3.根据权利要求1所述的方法， 其特征在于， 在所述判断所述终端设备的访问行为是否 结束之后， 所述方法还 包括： 若所述终端设备的访 问继续， 根据所述终端设备用户组的权限配置信息， 对网络层进 行访问控制， 以使所述终端设备进行内网资源的访问。 4.根据权利要求3所述的方法， 其特 征在于， 所述方法还 包括： 根据所述资源定位符设定针对所述网络层的访问控制权， 确定允许所述终端设备访问 相应的内网资源服 务内容。 5.根据权利要求1所述的方法， 其特征在于， 所述实时对网络环境进行监测， 产生预警 信息， 包括： 实时对网络环境进行监测； 利用本端的内部应用告警程序判断所述终端设备访问过程中产生的过滤数据流量是 否异常； 若异常， 则获取并标记 异常流量的详细信息， 生成所述预警信息 。 6.根据权利要求5所述的方法， 其特征在于， 所述过滤数据流量的过滤处理包括补全残 缺数据、 删除错 误数据和删除重复数据。 7.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 控制访问代理截获所述访问请求并从系统安全策略库中读取安全策略进行裁决； 将裁决结果返回给 所述访问代理并最终返回到所述终端设备。 8.一种基于终端访问行为的安全接入控制装置， 其特征在于， 应用于安全接入平台服 务器， 所述装置包括：权　利　要　求　书 1/2 页 2 CN 114244568 A 2双向连接建立模块， 用于建立与终端设备的双向连接； 身份认证模块， 用于若所述终端设备通过服务接口访 问本端并发送访 问请求， 则获取 所述终端设备的采集数据， 并在确认访问后对所述终端设备进行身份认证； 信息显示模块， 用于在身份认证成功后， 显示可访问资源列表信息； 资源定位符确 认模块， 用于在所述终端设备获取针对所述可访问资源列表信 息的会话 标识后， 在接收访问的目标着陆页确认资源定位符； 权限判断模块， 用于判断所述终端设备 是否具有访问所述目标着陆页的权限； 过滤模块， 用于若终端设备具有访 问所述目标着陆页的权限， 对所述终端设备的采集 数据进行集中过滤 处理， 并在打上资源定位符标签后生成数据包； 其中， 所述数据包记录针 对所述终端设备的当前访问信息； 网络环境 监测模块， 用于实时对网络环境进行监测， 产生预警信息； 访问行为处理模块， 用于判断所述终端设备的访 问行为是否结束， 若结束则断开所述 双向连接， 并等待所述终端设备 下一次的输入连接 。 9.一种计算机设备， 包括存储器和处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处 理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1至7中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114244568 A 3