(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211070849.7 (22)申请日 2022.09.02 (71)申请人 中国银行股份有限公司 地址 100818 北京市西城区复兴门内大街1 号 (72)发明人 李鹏飞　 (74)专利代理 机构 北京三友知识产权代理有限 公司 11127 专利代理师 王天尧　陶海萍 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 应用系统访问方法及装置 (57)摘要 本发明公开了一种应用系统访问方法及装 置， 涉及网络安全技术领域， 其中该方法包括： 接 收客户端发送的授权请求， 所述授权请求包括客 户端身份信息、 客户端IP地址和待访问应用系统 的标识； 根据预先存储的多个客户端身份信息， 对授权请求中的客户端身份信息进行身份认证； 在身份认证通过之后， 根据客户端身份信息、 客 户端IP地址和待访问应用系统的标识， 生成用于 访问待访问应用系统的第一票据； 对第一票据进 行加密， 得到第一票据唯一对应的授权码； 将授 权码发送至客户端， 以使客户端通过授权码访问 待访问应用系统。 本发明可以提高应用系统访问 时的身份认证和授权效率。 权利要求书2页 说明书8页 附图3页 CN 115442136 A 2022.12.06 CN 115442136 A 1.一种应用系统访问方法， 其特 征在于， 包括： 接收客户端发送的授权请求， 所述授权请求包括客户端身份信息、 客户端IP地址和待 访问应用系统的标识； 根据预先存储的多个客户端身份信息， 对授权请求中的客户端身份信息进行身份认 证； 在身份认证通过之后， 根据授权请求中客户端身份信息、 客户端IP地址和待访 问应用 系统的标识， 生成用于访问待访问应用系统的第一 票据； 对第一票据进行加密， 得到第一 票据唯一对应的授权码； 将授权码发送至客户端， 以使客户端通过授权码访问待访问应用系统。 2.如权利要求1所述的方法， 其特征在于， 根据授权请求中客户端身份信息、 客户端IP 地址和待访问应用系统的标识， 生成用于访问待访问应用系统的第一 票据之后， 还 包括： 设置第一 票据的有效期信息 。 3.如权利要求2所述的方法， 其特 征在于， 还 包括： 在客户端向待访问应用系统发送访问请求之后， 接收待访问应用系统发送的访问验证 请求； 所述访问验证请求包括待访问应用系统的标识、 以及访问请求中携带的授权码、 客户 端身份信息和客户端IP地址； 根据待访问应用系统的标识、 以及访问请求中携带的客户端身份信息和客户端IP地 址， 生成第二 票据； 将第二票据和授权码对应的第一 票据进行对比； 若第二票据和授权码对应的第一票据一致， 且第一票据的有效期信息未失效的情况 下， 向待访问应用系统发送允许访问的指示信息 。 4.如权利要求3所述的方法， 其特征在于， 将第 二票据和授权码对应的第 一票据进行对 比之前， 还 包括： 对授权码进行解密， 得到授权码对应的第一 票据。 5.如权利要求3所述的方法， 其特征在于， 所述指示信息包括访 问控制信息， 所述访 问 控制信息包括访问待访问应用系统时允许访问的资源信息、 和访问所述资源信息的有效期 信息； 向待访问应用系统发送允许访问的指示信息， 包括： 将访问控制信 息以会话控制信 息的形式发送至待访问应用系统， 以使待访问应用系统 根据会话控制信息对客户端访问待访问应用系统资源的权限进行验证。 6.一种应用系统访问装置， 其特 征在于， 包括： 接收模块， 用于接收客户端发送的授权请求， 所述授权请求包括客户端身份信 息、 客户 端IP地址和待访问应用系统的标识； 身份认证模块， 用于根据预先存储的多个客户端身份信息， 对授权请求中的客户端身 份信息进行身份认证； 票据生成模块， 用于在身份认证通过之后， 根据授权请求中客户端身份信息、 客户端IP 地址和待访问应用系统的标识， 生成用于访问待访问应用系统的第一 票据； 授权码生成模块， 用于对第一 票据进行加密， 得到第一 票据唯一对应的授权码； 发送模块， 用于将授权码发送至客户端， 以使客户端通过授权码访问待访问应用系统。权　利　要　求　书 1/2 页 2 CN 115442136 A 27.如权利要求6所述的装置， 其特征在于， 还包括有效期设置模块， 用于在票据生成模 块根据授权请求中客户端身份信息、 客户端IP地址和待访问应用系统的标识， 生成用于访 问待访问应用系统的第一 票据之后： 设置第一 票据的有效期信息 。 8.如权利要求7 所述的装置， 其特 征在于， 还 包括访问验证模块， 用于： 在客户端向待访问应用系统发送访问请求之后， 接收待访问应用系统发送的访问验证 请求； 所述访问验证请求包括待访问应用系统的标识、 以及访问请求中携带的授权码、 客户 端身份信息和客户端IP地址； 根据待访问应用系统的标识、 以及访问请求中携带的客户端身份信息和客户端IP地 址， 生成第二 票据； 将第二票据和授权码对应的第一 票据进行对比； 若第二票据和授权码对应的第一票据一致， 且第一票据的有效期信息未失效的情况 下， 向待访问应用系统发送允许访问的指示信息 。 9.如权利要求8所述的装置， 其特征在于， 访 问验证模块， 还用于将第二票据和授权码 对应的第一 票据进行对比之前： 对授权码进行解密， 得到授权码对应的第一 票据。 10.如权利要求8所述的装置， 其特征在于， 所述指示信 息包括访问控制信 息， 所述访问 控制信息包括访问待访问应用系统时允许访问的资源信息、 和访问所述资源信息的有效期 信息； 访问验证模块， 还用于： 将访问控制信 息以会话控制信 息的形式发送至待访问应用系统， 以使待访问应用系统 根据会话控制信息对客户端访问待访问应用系统资源的权限进行验证。 11.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求1至5任一所述方 法。 12.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机程 序， 所述计算机程序被处 理器执行时实现权利要求1至 5任一所述方法。 13.一种计算机程序产品， 其特征在于， 所述计算机程序产品包括计算机程序， 所述计 算机程序被处 理器执行时实现权利要求1至 5任一所述方法。权　利　要　求　书 2/2 页 3 CN 115442136 A 3