访问控制方法、相关装置及计算机存储介质与流程

1.本技术涉及网络安全领域，尤其涉及一种访问控制方法、相关装置及计算机存储介质。


背景技术：

2.随着云计算、大数据、物联网等新技术的广泛应用，网络信息安全的形势也愈加严峻。当用户对互联网平台的业务系统进行访问操作时，需要检测该访问操作的安全性，以保证访问过程的安全性。
3.在现有技术中，一般先获取业务系统的终端环境风险信息，然后技术人员根据终端环境风险信息判断当前的访问操作是否存在安全风险，若该访问操作存在安全风险，则手动操作阻断当前的访问操作。由此可见，现有技术提供的对业务系统进行安全维护的方法不仅存在严重的滞后性，还需要消耗大量的人力资源。


技术实现要素：

4.本技术实施例提供了一种访问控制方法、相关装置及计算机存储介质。本技术实施例可以同时获取用户端信息和业务端信息，并提取其中的特征向量合并后输入训练好的风险控制模型以实时获取业务请求信息的风险分析结果。
5.第一方面，本技术实施例提供了一种访问控制方法，包括：
6.获取业务请求信息；其中，所述业务请求信息包括：用户端信息和业务端信息；
7.基于预设的用户端的特征信息对所述用户端信息进行特征提取，得到用户端向量；
8.基于预设的业务端的特征信息对所述业务端信息进行特征提取，得到业务端向量；
9.根据所述用户端向量和所述业务端向量得到业务请求向量；
10.将所述业务请求向量输入预先建立的风险控制模型，输出所述业务请求信息的风险分析结果；其中，所述风险控制模型基于多个已知风险分析结果的样本请求信息训练得到；
11.基于所述业务请求信息的风险分析结果，确定所述业务请求信息对所述业务端的访问权限。
12.第二方面，本技术实施例提供了一种访问控制装置，包括：
13.获取模块，用于获取业务请求信息；其中，所述业务请求信息包括：用户端信息和业务端信息；
14.第一得到模块，用于基于预设的用户端的特征信息对所述用户端信息进行特征提取，得到用户端向量；
15.第二得到模块，用于基于预设的业务端的特征信息对所述业务端信息进行特征提取，得到业务端向量；
16.第三得到模块，用于根据所述用户端向量和所述业务端向量得到业务请求向量；
17.输出模块，用于将所述业务请求向量输入预先建立的风险控制模型，输出所述业务请求信息的风险分析结果；其中，所述风险控制模型基于多个已知风险分析结果的样本请求信息训练得到；
18.确定模块，用于基于所述业务请求信息的风险分析结果，确定所述业务请求信息对所述业务端的访问权限。
19.第三方面，本技术实施例提供一种计算机存储介质，所述计算机存储介质存储有多条指令，所述指令适于由处理器加载并执行上述的方法步骤。
20.第四方面，本技术实施例提供一种终端，可包括：处理器和存储器；
21.其中，所述存储器存储有计算机程序，所述计算机程序适于由所述处理器加载并执行上述的方法步骤。
22.本技术一些实施例提供的技术方案带来的有益效果至少包括：
23.在本技术实施例中，通过获取业务请求信息；基于预设的用户端的特征信息对用户端信息进行特征提取，得到用户端向量；基于预设的业务端的特征信息对业务端信息进行特征提取，得到业务端向量；根据用户端向量和业务端向量得到业务请求向量；将业务请求向量输入预先建立的风险控制模型，输出业务请求信息的风险分析结果；基于业务请求信息的风险分析结果，确定业务请求信息对业务端的访问权限。由此，本技术实施例可以同时获取用户端信息和业务端信息，并提取其中的特征向量合并后输入训练好的风险控制模型以实时获取业务请求信息的风险分析结果。
附图说明
24.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例中所需使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
25.图1为本技术实施例提供的一种访问控制方法的应用场景图；
26.图2为本技术实施例提供的另一种访问控制方法的应用场景图；
27.图3为本技术实施例提供的一种访问控制方法的流程示意图；
28.图4为本技术实施例提供的一种访问控制方法中获取业务请求向量的流程示意图；
29.图5为本技术实施例提供的另一种访问控制方法的流程示意图；
30.图6为本技术实施例提供的又一种访问控制方法的流程示意图；
31.图7为本技术实施例提供的一种访问控制装置的结构示意图；
32.图8为本技术实施例提供的电子设备的结构示意图。
具体实施方式
33.下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
34.在本技术的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本技术中的具体含义。此外，在本技术的描述中，除非另有说明，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
35.图1示例性示出了基于本技术实施例提供的访问控制方法的应用场景示意图，其可以包括：用户端11、服务器12、以及业务端13。其中：
36.用户端11表示用户使用的终端，包括但不限于：个人电脑、平板电脑、可穿戴设备、监控设备、手持设备、车载设备、智能手机、计算设备或连接到无线调制解调器的其它处理设备等。服务器12用于存储并执行本技术实施例提供的访问控制方法。业务端13表示用户请求获取业务数据的服务器，例如a公司的业务系统。
37.具体地，用户可以通过用户端11输入业务请求信息，即需要从业务端13中获取的业务信息，服务器12可以通过判断用户端的环境信息、业务端的环境信息、业务端的授权信息、以及通信协议规则等信息是否满足条件，来确定用户端11从业务端13获取业务请求信息的访问过程是否安全，若不安全，服务器12可以直接阻断该次访问的通信过程。
38.可以理解的是，本技术实施例可以通过网络将用户端11、服务器12、以及业务端13连接起来。网络可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。进一步地，用户端11的用户系统是指可以运行在终端上的操作系统，是管理和控制终端硬件和终端应用的程序，是终端不可或缺的系统应用。该系统包括担不限于安卓android系统、ios系统、windows phone(wp)系统和ubuntu移动版操作系统等。
39.图2示例性示出了基于本技术实施例提供的访问控制方法的另一应用场景示意图，其可以包括：用户端21和业务端22。
40.可能地，本技术实施例提供的访问控制方法也可以由业务端22执行，即在业务端22中存储并执行该访问控制方法，这样不仅可以确保访问过程的安全性，还节省了硬件资源。
41.接下来结合图1和2介绍的访问控制方法的应用场景图，来介绍本技术实施例提供的访问控制方法。
42.在一个实施例中，图3所示提供了一种访问控制方法的流程示意图。如图3所示，该访问控制方法可以包括如下步骤：
43.s301，获取业务请求信息。
44.其中，业务请求信息可以包括：用户端信息和业务端信息。
45.用户端信息用于表示根据用户在用户端输入的请求信息生成的信息，例如，用户的网络地址、用户使用的终端设备标识、用户输入请求信息的时间、请求访问的端口信息等。业务端信息用于表示根据用户端输入的请求信息以及业务端待访问的业务资源生成的信息，例如，待访问的业务资源的标识信息、类型信息、以及资源接口访问路径等。
46.s302，基于预设的用户端的特征信息对用户端信息进行特征提取，得到用户端向量。
47.可能地，本技术实施例可以基于预设的用户端的特征信息中的任意一项或多项，
对用户端信息进行特征提取得到用户端向量。
48.其中，本技术实施例中预设的用户端的特征信息用于表示预先设定的需要提取的用户端信息，其可以包括：职能信息、环境信息、授权信息。用户端向量可以包括：职能向量、环境向量、授权向量。
49.具体地，职能信息用于表示用户自身的相关信息，包括但不限于：用户所属的组织部门、用户的入职日期、用户的职称级别等信息。环境信息用于表示用户端以及用户请求访问的业务端所处的位置等信息，包括但不限于：用户端的网络地址、请求访问的业务端的网络地址、用户端和业务端的地理位置、用户端的请求访问时间。授权信息用于表示用户被授予权限、有权可以访问的业务端的业务资源信息，包括但不限于：目标业务资源信息是否允许请求、允许请求时间、允许请求次数。
50.进一步地，本技术实施例可以将特征提取得到的职能向量(用户姓名：张三、所属部门：销售部、入职日期：2010.08.10、职称级别：总监)、环境向量(请求访问的业务端的网络地址：xx.224.44.yy、请求访问的业务端的地理位置：北京、请求时间：2021.08.12 17:41)、授权向量(目标业务资源信息(产品a的库存数量)允许请求、允许请求时间：2010.08.10-2022.08.10、允许请求次数：不限次数)合并为用户端向量。
51.s303，基于预设的业务端的特征信息对业务端信息进行特征提取，得到业务端向量。
52.可能地，本技术实施例可以基于预设的业务端的特征信息中的任意一项或多项，对业务端信息进行特征提取得到业务端向量。
53.其中，业务端的特征信息可以包括：资源标识信息、资源类型信息、资源密级信息、以及环境信息。业务端向量可以包括：资源标识向量、资源类型向量、资源密级向量、以及环境向量。
54.具体地，资源标识信息用于表示业务系统中资源的唯一识别信息。资源密级信息用于表示业务系统中资源的机密等级。业务端的环境信息用于表示业务端的位置信息、配置信息、以及用户端的接口访问路径、访问方式、以及访问强度限制等信息。
55.进一步地，本技术实施例可以将特征提取得到的资源标识向量(产品a的库存数量的标识向量112233)、资源类型向量(待销资产)、资源密级向量(特别重要)、环境向量(北京(位置信息)、web服务器(配置信息)、http://gc.abc.def.com/geocoding？a(用户端的接口访问路径)、网页(访问方式)、最多5次(访问强度限制))合并为业务端向量。
56.s304，根据用户端向量和业务端向量得到业务请求向量。
57.可能地，本技术实施例可以将用户端向量中的任意一项或多项和业务端向量中的任意一项或多项合并为业务请求向量。
58.参见图4，具体地，本技术实施例的业务请求信息可以包括用户端信息和业务端信息，进一步地，可以从用户端信息中提取职能向量(用户姓名：张三、所属部门：销售部、入职日期：2010.08.10、职称级别：总监)、环境向量(请求访问的业务端的网络地址：xx.224.44.yy、请求访问的业务端的地理位置：北京、请求时间：2021.08.12 17:41)、授权向量(目标业务资源信息(产品a的库存数量)允许请求、允许请求时间：2010.08.10-2022.08.10、允许请求次数：不限次数)，将上述职能向量、环境向量、授权向量合并得到用户端向量；同样地，可以从业务端信息中提取资源标识向量(产品a的库存数量的标识向量
112233)、资源类型向量(待销资产)、资源密级向量(特别重要)、环境向量(北京(位置信息)、web服务器(配置信息)、http://gc.abc.def.com/geocoding？a(用户端的接口访问路径)、网页(访问方式)、最多5次(访问强度限制))，将上述资源标识向量、资源类型向量、资源密级向量、以及环境向量合并得到业务端向量，最后将用户端向量和业务端向量合并即可得到业务请求向量。
59.s305，将业务请求向量输入预先建立的风险控制模型，输出业务请求信息的风险分析结果。
60.其中，本技术实施例中的风险分析结果可以包括：风险请求和安全请求。例如，技术人员对用户输入的业务请求信息：产品a的库存数量的风险分析结果可能是“风险请求”，也可能是“安全请求”。预先建立的风险控制模型可以基于多个已知风险分析结果的样本请求信息训练得到。
61.可以理解的是，本技术实施例可以每隔预设时间对风险控制模型进行定期训练，以保证风险控制模型输出风险分析结果的准确性。
62.s306，基于业务请求信息的风险分析结果，确定业务请求信息对业务端的访问权限。
63.可能地，本技术实施例可以将业务请求向量输入风险控制模型得到业务请求信息的风险分析结果；在业务请求信息的风险分析结果为风险请求的情况下，可以采取记录访问过程、向用户端和/或业务端发出警告信息、或阻止用户端从业务端获取业务请求信息对应的业务信息等方式确保访问过程的安全性；在业务请求信息的风险概率小于或等于第一风险阈值的情况下，业务请求信息的风险分析结果为安全请求，用户端可以从业务端获取业务请求信息对应的业务信息。
64.在一个具体的实施例中，用户张三可以在自己电脑的操作系统中登入公司的业务系统的用户端，输入张三的当月绩效信息以从用户端获取自己当月已完成的销售额度。该当月绩效信息可以包括：职能向量(用户姓名：张三、所属部门：销售部、入职日期：2010.08.10、职称级别：普通职员)、环境向量(请求访问的业务端的网络地址：xx.224.44.yy、请求访问的业务端的地理位置：北京、请求时间：2021.08.12 17:41)、授权向量(张三的销售业绩-允许请求、允许请求时间：2010.08.10-2022.08.10、允许请求次数：不限次数)与业务端向量中的资源标识向量(张三的销售业绩的标识向量23489)、资源类型向量(业务绩效)、资源密级向量(重要)、环境向量(北京(位置信息)、web服务器(配置信息)、http://jx.abc.def.com/ffgghh？a(用户端的接口访问路径)、网页(访问方式)、不限次数(访问强度限制))合并为张三的当月绩效向量。将张三的当月绩效向量输入预先建立的风险控制模型，得到张三的当月绩效信息的风险分析结果为“安全请求”，则即张三可以从公司的业务系统的业务端获取自己当月绩效信息。
65.在本技术实施例中，通过获取业务请求信息；基于预设的用户端的特征信息对用户端信息进行特征提取，得到用户端向量；基于预设的业务端的特征信息对业务端信息进行特征提取，得到业务端向量；根据用户端向量和业务端向量得到业务请求向量；将业务请求向量输入预先建立的风险控制模型，输出业务请求信息的风险分析结果；基于业务请求信息的风险分析结果，确定业务请求信息对业务端的访问权限。由此，本技术实施例可以同时获取用户端信息和业务端信息，并提取其中的特征向量合并后输入训练好的风险控制模
型以实时获取业务请求信息的风险分析结果。由于输入风险控制模型的特征向量既包括用户端向量又包括业务端向量，因此该风险结果是同时综合两方面因素得到的，这样就避免了人为分别对用户端和业务端的运行环境是否安全进行判断。
66.在一些实施方式中，图5示例性示出了本技术实施例提供的一种访问控制方法的流程示意图。如图5所示，访问控制方法至少可以包括以下步骤：
67.s501，获取多个已知风险分析结果的样本请求信息。
68.其中，本技术中的已知风险分析结果用于表示技术人员对业务请求信息的风险分析结果。样本请求信息可以包括：样本用户端信息和样本业务端信息。
69.可能地，本技术实施例可以采用标签的方式对业务请求信息的人工分析结果进行标记，例如：用户1的用户端信息(职能信息、环境信息、授权信息)-业务系统1的业务端信息(资源标识信息、资源类型信息、资源密级信息、以及环境信息)-安全请求。
70.s502，基于预设的样本用户端的特征信息和预设的样本业务端的特征信息，对多个已知风险分析结果的样本请求信息进行特征提取，得到多个已知风险分析结果的样本请求向量。
71.其中，样本用户端的特征信息可以包括：样本职能信息、样本环境信息、样本授权信息。样本业务端的特征信息可以包括：样本资源标识信息、样本资源类型信息、样本资源密级信息、以及样本环境信息。用户端向量可以包括：职能向量、环境向量、授权向量。业务端向量可以包括：资源标识向量、资源类型向量、资源密级向量、以及环境向量。
72.可以理解的是，本技术实施例中的样本请求向量可以通过获取样本用户端向量和样本业务端向量的方式获得。具体地，本技术实施例可以基于预设的样本用户端的特征信息中的任意一项或多项，对各样本用户端信息进行特征提取，得到多个样本用户端向量。基于预设的样本业务端的特征信息中的任意一项或多项，对各样本业务端信息进行特征提取，得到多个样本业务端向量。将各样本用户端向量中的任意一项或多项和相应的样本业务端向量中的任意一项或多项合并，得到多个已知风险分析结果的样本请求向量。
73.s503，创建初始风险模型，基于多个已知风险分析结果的样本请求向量对初始风险模型进行训练，得到风险控制模型。
74.可能地，本技术实施例中创建的初始风险模型可以包括：输入层、隐藏层、以及输出层。其中，输入层用于接收业务请求向量以及带有人工标记风险分析结果的样本请求信息。隐藏层可以基于预设的高风险信息和预设的通信规则对多个样本请求向量进行处理，即本技术实施例可以利用初始风险模型中的隐藏层提取样本请求向量之间的高维特征及关系(高风险信息)，例如：特定时间段的请求访问风险请求量高、某地域的请求访问量高、某个员工访问次数频率过多等高维特征。输出层用于将隐藏层提取的高风险特征信息进行合并，以输出此次样本请求信息的风险分析结果，在输出的样本请求信息的风险分析结果与人工标记的风险分析结果不匹配的情况下，该初始风险模型可以通过反向传播方式进行训练，直到输出的样本请求信息的风险分析结果与人工标记的风险分析结果相互匹配，训练完成得到风险控制模型。
75.具体地，在存在至少一个输出的样本请求信息的风险分析结果与相应的样本请求信息的已知风险分析结果不匹配的情况下，对初始风险模型进行调整，直到输出的样本请求信息的风险分析结果与相应的样本请求信息的已知风险分析结果均相互匹配，得到风险
控制模型。
76.可能地，本技术实施例可以通过以下方式确定样本请求信息的人工标记结果：方式一，技术人员可以根据预设的通信规则和业务系统生成的日志记录文件，分析样本请求信息是否被禁止访问，例如：在样本请求信息为超文本传输协议http的情况下，若nginx请求日志记录的响应码为40x，则表示样本请求信息为被禁止授权访问，即风险分析结果的人工标记结果为“风险请求”。方式二，技术人员可以根据业务端预先存储的用户访问权限列表确定风险分析结果的人工标记结果，例如：职员abc-允许访问办公系统；职员bcd-禁止访问办公系统，则样本请求信息的风险分析结果的人工标记结果为“风险请求”。方式三，技术人员可以根据用户端和业务端的环境信息确定风险分析结果的人工标记结果，例如：根据用户的访问时间、访问地域、使用设备的信息是否异常等来判定本次访问是否有风险。例如，若用户所在a区域为诈骗案件常发地或用户使用的设备携带病毒，则样本请求信息的风险分析结果的人工标记结果为“风险请求”。
77.可以理解的是，本技术实施例如果涉及以上3种方式中的任意一种风险，则样本请求信息的风险分析结果可以标记为“风险请求”；否则，样本请求信息的风险分析结果可以标记为“安全请求”。
78.此外，业务端的业务系统还可以设置白名单机制，即如果用户端的样本职能信息是在白名单授权列表内的访问人员或访问设备，则样本请求信息的风险分析结果可以标记为“安全请求”。
79.可能地，本技术实施例还可以基于预设的高风险信息和预设的通信规则，利用初始风险模型对多个样本请求向量进行处理，得到多个样本请求信息的风险概率，再基于多个样本请求信息的风险概率和风险阈值，确定样本请求信息的风险分析结果。
80.其中，样本请求信息的风险阈值用于表示判断样本请求信息是否处于风险请求状态的数值，例如，预设的样本请求信息的风险阈值为0.6，则在样本请求信息的风险概率为0.75(》0.6)的情况下，可以确定该样本请求信息的风险分析结果为“风险请求”。
81.s504，获取业务请求信息。
82.具体地，s504与s301一致，此处不再赘述。
83.s505，基于预设的用户端的特征信息对用户端信息进行特征提取，得到用户端向量。
84.具体地，s505与s302一致，此处不再赘述。
85.s506，基于预设的业务端的特征信息对业务端信息进行特征提取，得到业务端向量。
86.具体地，s506与s303一致，此处不再赘述。
87.s507，根据用户端向量和业务端向量得到业务请求向量。
88.具体地，s507与s304一致，此处不再赘述。
89.s508，将业务请求向量输入预先建立的风险控制模型，输出业务请求信息的风险分析结果。
90.具体地，s508与s305一致，此处不再赘述。
91.s509，基于业务请求信息的风险分析结果，确定业务请求信息对业务端的访问权限。
92.具体地，s509与s306一致，此处不再赘述。
93.由此，本技术实施例可以通过建立并训练初始风险模型的方式得到训练完成的风险控制模型，并利用该风险控制模型实时获取业务请求信息的风险分析结果。这样不仅可以快速准确地获得业务请求信息的风险分析结果，还可以通过风险控制模型自动对业务请求信息进行动态控制，及时应对包括但不限：离职、降级、以及调整岗位等人员变动导致的企业业务资源访问权限的变动，快速识别出异常访问行为，避免人为疏漏导致的业务系统的安全性等问题。
94.在一些实施方式中，图6示例性示出了本技术实施例提供的一种访问控制方法的流程示意图。如图6所示，访问控制方法至少可以包括以下步骤：
95.s601，获取业务请求信息。
96.具体地，s601与s301一致，此处不再赘述。
97.s602，基于预设的用户端的特征信息对用户端信息进行特征提取，得到用户端向量。
98.具体地，s602与s302一致，此处不再赘述。
99.s603，基于预设的业务端的特征信息对业务端信息进行特征提取，得到业务端向量。
100.具体地，s603与s303一致，此处不再赘述。
101.s604，根据用户端向量和业务端向量得到业务请求向量。
102.具体地，s604与s304一致，此处不再赘述。
103.s605，将业务请求向量输入风险控制模型得到业务请求信息的风险概率。
104.可能地，本技术实施例可以将业务请求向量输入训练完成的风险控制模型，经该风险控制模型的隐藏层的处理，得到业务请求信息的风险概率。
105.具体地，该风险控制模型的隐藏层可以用于提取业务请求向量中的高风险特征，例如，a公司业务系统的请求访问常发地区是x和y，若z地区存在大量用户请求获取a公司的业务系统中业务信息，则地域z属于高风险特征。进一步地，该风险控制模型的输出层可以基于提取到该业务请求信息的高风险特征，输出该业务请求信息的风险概率。
106.s606，比较业务请求信息的风险概率与第一风险阈值大小。
107.其中，第一风险阈值用于表示判断业务请求信息是否处于风险请求状态的数值。
108.s607，在业务请求信息的风险概率大于第一风险阈值的情况下，业务请求信息的风险分析结果为风险请求。
109.例如，预设的业务请求信息的第一风险阈值为0.6，则在业务请求信息的风险概率为0.75(》0.6)的情况下，可以确定该业务请求信息的风险分析结果为“风险请求”。
110.s6071，比较业务请求信息的风险概率与第二风险阈值大小。
111.其中，本技术实施例中的第二风险阈值大于第一风险阈值。第二风险阈值用于表示在业务请求信息处于风险请求状态的情况下，确定访问控制系统的动作状态的数值。
112.s60711，在业务请求信息的风险概率大于第一风险阈值且小于或等于第二风险阈值的情况下，允许用户端从业务端获取业务请求信息对应的业务信息，并向用户端和/或业务端发出警告信号，并存储访问信息。
113.例如，若预设的业务请求信息的第一风险阈值为0.6，第二风险阈值为0.8，则在业
务请求信息的风险概率为0.75(》0.6且《0.8)的情况下，用户端可以从业务端获取业务请求信息对应的业务信息，但需要向用户端和/或业务端发出警告信号，以及存储用户端的访问信息。
114.具体地，本技术实施例中的访问信息可以包括：访问时间、用户端的地址信息、业务端的地址信息、以及业务端的访问端口信息。
115.进一步地，本技术实施例还可以预先设置用于仅执行存储用户端的访问信息的记录阈值，例如，可以预先设定记录阈值为0.7(《第二风险阈值0.8)，在业务请求信息的风险概率为0.65(《0.7)的情况下，用户端可以从业务端获取业务请求信息对应的业务信息，但仅存储用户端的访问信息，这样记录了可能存在风险的访问过程，但避免了向用户端发出警告信息给用户操作带来的不便，方便了后期技术人员或其他工作人员对可能存在异常访问行为的进一步识别。
116.s60712，在业务请求的风险概率大于第二风险阈值的情况下，阻止用户端从业务端获取业务请求信息对应的业务信息。
117.例如，若预设的业务请求信息的第一风险阈值为0.6，第二风险阈值为0.8，则在业务请求信息的风险概率为0.85(》0.8)的情况下，需要阻止用户端从业务端获取业务请求信息对应的业务信息。
118.s608，在业务请求信息的风险概率小于或等于第一风险阈值的情况下，业务请求信息的风险分析结果为安全请求。
119.例如，预设的业务请求信息的第一风险阈值为0.6，则在业务请求信息的风险概率为0.55(《0.6)的情况下，可以确定该业务请求信息的风险分析结果为“安全请求”。
120.s6081，在业务请求信息的风险分析结果为安全请求的情况下，允许用户端从业务端获取业务请求信息对应的业务信息。
121.在一个具体的实施例中，用户张三可以在自己电脑的操作系统中登入公司的业务系统的用户端，输入王五的当月绩效信息以从用户端获取王五当月已完成的销售额度。该当月绩效信息可以包括：职能向量(用户姓名：张三、所属部门：销售部、入职日期：2010.08.10、职称级别：普通职员)、环境向量(请求访问的业务端的网络地址：xx.224.44.yy、请求访问的业务端的地理位置：北京、请求时间：2021.08.12 17:45)、授权向量(王五的销售业绩-禁止请求)与业务端向量中的资源标识向量(王五的销售业绩的标识向量23456)、资源类型向量(业务绩效)、资源密级向量(重要)、环境向量(北京(位置信息)、web服务器(配置信息)、http://jx.abc.def.com/ffggll？b(用户端的接口访问路径)、网页(访问方式)、0次(访问强度限制))合并为王五的当月绩效向量。将王五的当月绩效向量输入预先建立的风险控制模型，得到王五的当月绩效信息的风险概率0.9，由于该风险概率大于预设的第二风险阈值0.8，因此，需要阻止该业务请求信息，即张三不可以从公司的业务系统的业务端获取王五的当月绩效信息。
122.由此，本技术实施例可以通过设置第一风险阈值、记录阈值、以及第二风险阈值等方式，进一步划分业务请求信息对业务端的访问权限，以使在风险控制模型输出的风险分析概率小于或等于第一风险阈值的情况下，用户端可以直接获取业务端的业务信息，在风险分析概率大于第一风险阈值的情况下，再根据风险分析概率与记录阈值和第二风险阈值之间的关系，确定是否需要对访问请求进行相应操作，这样不仅确保用户端和业务端的安
全性，还提升了用户体验。
123.图7是本技术一示例性实施例提供的访问控制装置的结构示意图。该访问控制装置可以执行本技术上述任一实施例访问控制方法。如图7所示，该访问控制装置可以包括：
124.获取模块71，用于获取业务请求信息；其中，所述业务请求信息包括：用户端信息和业务端信息；
125.第一得到模块72，用于基于预设的用户端的特征信息对所述用户端信息进行特征提取，得到用户端向量；
126.第二得到模块73，用于基于预设的业务端的特征信息对所述业务端信息进行特征提取，得到业务端向量；
127.第三得到模块74，用于根据所述用户端向量和所述业务端向量得到业务请求向量；
128.输出模块75，用于将所述业务请求向量输入预先建立的风险控制模型，输出所述业务请求信息的风险分析结果；其中，所述风险控制模型基于多个已知风险分析结果的样本请求信息训练得到；
129.确定模块76，用于基于所述业务请求信息的风险分析结果，确定所述业务请求信息对所述业务端的访问权限。
130.在本技术实施例中，通过获取业务请求信息；基于预设的用户端的特征信息对用户端信息进行特征提取，得到用户端向量；基于预设的业务端的特征信息对业务端信息进行特征提取，得到业务端向量；根据用户端向量和业务端向量得到业务请求向量；将业务请求向量输入预先建立的风险控制模型，输出业务请求信息的风险分析结果；基于业务请求信息的风险分析结果，确定业务请求信息对业务端的访问权限。由此，本技术实施例可以同时获取用户端信息和业务端信息，并提取其中的特征向量合并后输入训练好的风险控制模型以实时获取业务请求信息的风险分析结果。由于输入风险控制模型的特征向量既包括用户端向量又包括业务端向量，因此该风险结果是同时综合两方面因素得到的，这样就避免了人为分别对用户端和业务端的运行环境是否安全进行判断。此外，本技术实施例还可以通过风险控制模型自动对业务请求信息进行动态控制，这样就可以及时应对包括但不限：离职、降级、以及调整岗位等人员变动导致的企业业务资源访问权限的变动，快速识别出异常访问行为，避免人为疏漏导致的业务系统的安全性等问题。
131.在一些实施方式中，所述第一得到模块72，具体用于：基于所述预设的用户端的特征信息中的任意一项或多项，对所述用户端信息进行特征提取，得到所述用户端向量；其中，所述用户端的特征信息包括：职能信息、环境信息、授权信息；
132.所述第二得到模块73，具体用于：基于所述预设的业务端的特征信息中的任意一项或多项，对所述业务端信息进行特征提取，得到所述业务端向量；其中，所述业务端的特征信息包括：资源标识信息、资源类型信息、资源密级信息、以及环境信息；
133.所述第三得到模块74，具体用于：将所述用户端向量中的任意一项或多项和所述业务端向量中的任意一项或多项合并为所述业务请求向量；其中，所述用户端向量包括：职能向量、环境向量、授权向量；所述业务端向量包括：资源标识向量、资源类型向量、资源密级向量、以及环境向量。
134.在一些实施方式中，所述获取模块71之前，所述装置还包括：
135.获取单元，用于获取所述多个已知风险分析结果的样本请求信息；
136.第一得到单元，用于基于预设的样本用户端的特征信息和预设的样本业务端的特征信息，对所述多个已知风险分析结果的样本请求信息进行特征提取，得到多个已知风险分析结果的样本请求向量；
137.第二得到单元，用于创建初始风险模型，基于所述多个已知风险分析结果的样本请求信息对所述初始风险模型进行训练，得到所述风险控制模型。
138.在一些实施方式中，所述样本请求信息包括：样本用户端信息和样本业务端信息；
139.所述第一得到单元，包括：
140.第一得到子单元，用于基于所述预设的样本用户端的特征信息中的任意一项或多项，对各样本用户端信息进行特征提取，得到多个样本用户端向量；其中，所述样本用户端的特征信息包括：样本职能信息、样本环境信息、样本授权信息；
141.第二得到子单元，用于基于所述预设的样本业务端的特征信息中的任意一项或多项，对各样本业务端信息进行特征提取，得到多个样本业务端向量；其中，所述样本业务端的特征信息包括：样本资源标识信息、样本资源类型信息、样本资源密级信息、以及样本环境信息；
142.第三得到子单元，用于将各样本用户端向量中的任意一项或多项和相应的样本业务端向量中的任意一项或多项合并，得到所述多个已知风险分析结果的样本请求向量；其中，所述用户端向量包括：职能向量、环境向量、授权向量；所述业务端向量包括：资源标识向量、资源类型向量、资源密级向量、以及环境向量。
143.在一些实施方式中，所述第二得到单元，包括：
144.输出子单元，用于基于预设的高风险信息和预设的通信规则，利用所述初始风险模型对多个样本请求向量进行处理，输出多个所述样本请求信息的风险分析结果；
145.第四得到子单元，用于在存在至少一个输出的样本请求信息的风险分析结果与相应的样本请求信息的已知风险分析结果不匹配的情况下，对所述初始风险模型进行调整，直到输出的样本请求信息的风险分析结果与相应的样本请求信息的已知风险分析结果均相互匹配，得到所述风险控制模型；其中，所述风险分析结果包括：风险请求和安全请求。
146.在一些实施方式中，所述输出子单元，具体用于：
147.基于预设的高风险信息和预设的通信规则，利用所述初始风险模型对所述多个样本请求向量进行处理，得到所述多个样本请求信息的风险概率；基于所述多个样本请求信息的风险概率和风险阈值，确定所述样本请求信息的风险分析结果。
148.在一些实施方式中，所述业务请求信息的风险分析结果包括：风险请求和安全请求；
149.所述输出模块75，包括：
150.风险概率得到单元，用于将所述业务请求向量输入所述风险控制模型得到所述业务请求信息的风险概率；
151.第一判断单元，用于在所述业务请求信息的风险概率大于第一风险阈值的情况下，所述业务请求信息的风险分析结果为所述风险请求；
152.第二判断单元，用于在所述业务请求信息的风险概率小于或等于所述第一风险阈值的情况下，所述业务请求信息的风险分析结果为所述安全请求。
153.在一些实施方式中，所述确定模块76，包括：
154.第一允许模块，用于在所述业务请求信息的风险分析结果为所述安全请求的情况下，允许所述用户端从所述业务端获取所述业务请求信息对应的业务信息；
155.第二允许模块，用于在所述业务请求信息的风险概率大于所述第一风险阈值且小于或等于第二风险阈值的情况下，允许所述用户端从所述业务端获取所述业务请求信息对应的业务信息，并向所述用户端和/或所述业务端发出警告信号，并存储访问信息；其中，所述第二风险阈值大于所述第一风险阈值；所述访问信息包括：访问时间、所述用户端的地址信息、所述业务端的地址信息、以及所述业务端的访问端口信息；
156.阻止模块，用于在所述业务请求的风险概率大于所述第二风险阈值的情况下，阻止所述用户端从所述业务端获取所述业务请求信息对应的业务信息。
157.需要说明的是，上述实施例提供的访问控制装置在执行访问控制方法时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的访问控制装置与访问控制方法实施例属于同一构思，其体现实现过程详见方法实施例，这里不再赘述。
158.上述本技术实施例序号仅仅为了描述，不代表实施例的优劣。
159.请参见图8，为本技术实施例提供了一种电子设备的结构示意图。如图8所示，所述电子设备80可以包括：至少一个处理器81，至少一个网络接口84，用户接口83，存储器85，至少一个通信总线82。
160.其中，通信总线82用于实现这些组件之间的连接通信。
161.其中，用户接口83可以包括显示屏(display)、摄像头(camera)，可选用户接口83还可以包括标准的有线接口、无线接口。
162.其中，网络接口84可选的可以包括标准的有线接口、无线接口(如wi-fi接口)。
163.其中，处理器81可以包括一个或者多个处理核心。处理器81利用各种借口和线路连接整个电子设备80内的各个部分，通过运行或执行存储在存储器85内的指令、程序、代码集或指令集，以及调用存储在存储器85内的数据，执行电子设备80的各种功能和处理数据。可选的，处理器81可以采用数字信号处理(digital signal processing，dsp)、现场可编程门阵列(field-programmable gate array，fpga)、可编程逻辑阵列(programmable logic array，pla)中的至少一种硬件形式来实现。处理器81可集成中央处理器(central processing unit，cpu)、图像处理器(graphics processing unit，gpu)和调制解调器等中的一种或几种的组合。其中，cpu主要处理操作系统、用户界面和应用程序等；gpu用于负责显示屏所需要显示的内容的渲染和绘制；调制解调器用于处理无线通信。可以理解的是，上述调制解调器也可以不集成到处理器81中，单独通过一块芯片进行实现。
164.其中，存储器85可以包括随机存储器(random access memory，ram)，也可以包括只读存储器(read-only memory)。可选的，该存储器85包括非瞬时性计算机可读介质(non-transitory computer-readable storage medium)。存储器85可用于存储指令、程序、代码、代码集或指令集。存储器85可包括存储程序区和存储数据区，其中，存储程序区可存储用于实现操作系统的指令、用于至少一个功能的指令(比如触控功能、声音播放功能、图像播放功能等)、用于实现上述各个方法实施例的指令等；存储数据区可存储上面各个方法实
施例中涉及到的数据等。存储器85可选的还可以是至少一个位于远离前述处理器81的存储装置。如图8所示，作为一种计算机存储介质的存储器85中可以包括操作系统、网络通信模块、用户接口模块以及访问控制应用程序。
165.在图8所示的电子设备80中，用户接口83主要用于为用户提供输入的接口，获取用户输入的数据；而处理器81可以用于调用存储器85中存储的访问控制应用程序，并具体执行以下操作：
166.获取业务请求信息；其中，所述业务请求信息包括：用户端信息和业务端信息；
167.基于预设的用户端的特征信息对所述用户端信息进行特征提取，得到用户端向量；
168.基于预设的业务端的特征信息对所述业务端信息进行特征提取，得到业务端向量；
169.根据所述用户端向量和所述业务端向量得到业务请求向量；
170.将所述业务请求向量输入预先建立的风险控制模型，输出所述业务请求信息的风险分析结果；其中，所述风险控制模型基于多个已知风险分析结果的样本请求信息训练得到；
171.基于所述业务请求信息的风险分析结果，确定所述业务请求信息对所述业务端的访问权限。
172.在一种可能的实施例中，所述处理器81在执行所述基于预设的用户端的特征信息对所述用户端信息进行特征提取，得到用户端向量时，具体执行：
173.基于所述预设的用户端的特征信息中的任意一项或多项，对所述用户端信息进行特征提取，得到所述用户端向量；其中，所述用户端的特征信息包括：职能信息、环境信息、授权信息；
174.所述处理器81在执行所述基于预设的业务端的特征信息对所述业务端信息进行特征提取，得到业务端向量时，具体执行：
175.基于所述预设的业务端的特征信息中的任意一项或多项，对所述业务端信息进行特征提取，得到所述业务端向量；其中，所述业务端的特征信息包括：资源标识信息、资源类型信息、资源密级信息、以及环境信息；
176.所述处理器81在执行所述根据所述用户端向量和所述业务端向量得到业务请求向量时，具体执行：
177.将所述用户端向量中的任意一项或多项和所述业务端向量中的任意一项或多项合并为所述业务请求向量；其中，所述用户端向量包括：职能向量、环境向量、授权向量；所述业务端向量包括：资源标识向量、资源类型向量、资源密级向量、以及环境向量。
178.在一种可能的实施例中，所述处理器81在执行所述获取业务请求信息之前，还执行：
179.获取所述多个已知风险分析结果的样本请求信息；
180.基于预设的样本用户端的特征信息和预设的样本业务端的特征信息，对所述多个已知风险分析结果的样本请求信息进行特征提取，得到多个已知风险分析结果的样本请求向量；
181.创建初始风险模型，基于所述多个已知风险分析结果的样本请求信息对所述初始
风险模型进行训练，得到所述风险控制模型。
182.在一种可能的实施例中，所述样本请求信息包括：样本用户端信息和样本业务端信息；
183.所述处理器81在执行所述基于预设的样本用户端的特征信息和预设的样本业务端的特征信息，对所述多个已知风险分析结果的样本请求信息进行特征提取，得到多个已知风险分析结果的样本请求向量时，具体执行：
184.基于所述预设的样本用户端的特征信息中的任意一项或多项，对各样本用户端信息进行特征提取，得到多个样本用户端向量；其中，所述样本用户端的特征信息包括：样本职能信息、样本环境信息、样本授权信息；
185.基于所述预设的样本业务端的特征信息中的任意一项或多项，对各样本业务端信息进行特征提取，得到多个样本业务端向量；其中，所述样本业务端的特征信息包括：样本资源标识信息、样本资源类型信息、样本资源密级信息、以及样本环境信息；
186.将各样本用户端向量中的任意一项或多项和相应的样本业务端向量中的任意一项或多项合并，得到所述多个已知风险分析结果的样本请求向量；其中，所述用户端向量包括：职能向量、环境向量、授权向量；所述业务端向量包括：资源标识向量、资源类型向量、资源密级向量、以及环境向量。
187.在一种可能的实施例中，所述处理器81在执行所述基于所述多个已知风险分析结果的样本请求信息对所述初始风险模型进行训练，得到所述风险控制模型时，具体执行：
188.基于预设的高风险信息和预设的通信规则，利用所述初始风险模型对多个样本请求向量进行处理，输出多个所述样本请求信息的风险分析结果；
189.在存在至少一个输出的样本请求信息的风险分析结果与相应的样本请求信息的已知风险分析结果不匹配的情况下，对所述初始风险模型进行调整，直到输出的样本请求信息的风险分析结果与相应的样本请求信息的已知风险分析结果均相互匹配，得到所述风险控制模型；其中，所述风险分析结果包括：风险请求和安全请求。
190.在一种可能的实施例中，所述处理器81在执行所述基于预设的高风险信息和预设的通信规则，利用所述初始风险模型对多个样本请求向量进行处理，输出多个所述样本请求信息的风险分析结果时，具体执行：
191.基于预设的高风险信息和预设的通信规则，利用所述初始风险模型对所述多个样本请求向量进行处理，得到所述多个样本请求信息的风险概率；
192.基于所述多个样本请求信息的风险概率和风险阈值，确定所述样本请求信息的风险分析结果。
193.在一种可能的实施例中，所述业务请求信息的风险分析结果包括：风险请求和安全请求；
194.所述处理器81在执行所述将所述业务请求向量输入预先建立的风险控制模型，输出所述业务请求信息的风险分析结果时，具体执行：
195.将所述业务请求向量输入所述风险控制模型得到所述业务请求信息的风险概率；
196.在所述业务请求信息的风险概率大于第一风险阈值的情况下，所述业务请求信息的风险分析结果为所述风险请求；
197.在所述业务请求信息的风险概率小于或等于所述第一风险阈值的情况下，所述业
务请求信息的风险分析结果为所述安全请求。
198.在一种可能的实施例中，所述处理器81在执行所述基于所述业务请求信息的风险分析结果，确定所述业务请求信息对所述业务端的访问权限时，具体执行：
199.在所述业务请求信息的风险分析结果为所述安全请求的情况下，允许所述用户端从所述业务端获取所述业务请求信息对应的业务信息；
200.在所述业务请求信息的风险概率大于所述第一风险阈值且小于或等于第二风险阈值的情况下，允许所述用户端从所述业务端获取所述业务请求信息对应的业务信息，并向所述用户端和/或所述业务端发出警告信号，并存储访问信息；其中，所述第二风险阈值大于所述第一风险阈值；所述访问信息包括：访问时间、所述用户端的地址信息、所述业务端的地址信息、以及所述业务端的访问端口信息；
201.在所述业务请求的风险概率大于所述第二风险阈值的情况下，阻止所述用户端从所述业务端获取所述业务请求信息对应的业务信息。
202.本技术实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机或处理器上运行时，使得计算机或处理器执行上述图3、图5、以及图6所示实施例中的一个或多个步骤。上述访问控制装置的各组成模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在所述计算机可读取存储介质中。
203.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本技术实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，数字多功能光盘(digital versatile disc，dvd))、或者半导体介质(例如，固态硬盘(solid state disk，ssd))等。
204.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，可以通过计算机程序来指令相关的硬件来完成，该程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。而前述的存储介质包括：制度存储器(read only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可存储程序代码的介质。在不冲突的情况下，本实施例和实施方案中的技术特征可以任意组合。
205.以上所述的实施例仅仅是本技术的优选实施例方式进行描述，并非对本技术的范围进行限定，在不脱离本技术的设计精神的前提下，本领域普通技术人员对本技术的技术方案作出的各种变形及改进，均应落入本技术的权利要求书确定的保护范围内。