风险控制方法和装置与流程

1.本发明涉及计算机技术领域，尤其涉及一种风险控制方法和装置。


背景技术：

2.金融系统需要具备高容灾、高可用的特性，单机房部署的情况下，如果因为施工、停电、火灾等问题导致机房不可用，那么整个服务就都不可用。同城多机房可以避免机房级别的故障，但是当发生地震、海啸等不可抗力因素导致的灾难时，仍然不能保证服务的可用性。然而，服务的不可用对于金融系统来讲是不可接受的，因此在不同地域位置部署多个数据中心成了金融系统必定要实现的技术。
3.在实现本发明过程中，发明人发现现有技术中至少存在如下问题：
4.金融系统的安全风险控制也是保证服务可用性的必要条件，然而，目前在不同地域位置部署多个数据中心的系统架构下采用中心化的方式进行风控的策略，可用性和安全性均不满足场景的需求。因此，如何实现安全风控是目前亟待解决的技术问题。


技术实现要素：

5.有鉴于此，本发明实施例提供一种风险控制方法和装置，能够基于统一的数据写入入口全局存储单元，将写入的数据同步到各地机房的局部存储单元，只要有一个地区的机房能够提供服务，整个设备指纹的服务就是可用的，且设备指纹数据是完全一致的，实现了风险控制，可用性和安全性高。
6.为实现上述目的，根据本发明实施例的一个方面，提供了一种风险控制方法，包括：
7.从客户端发来的业务访问请求中获取访问口令；
8.在未能获取到所述访问口令的情况下，获取客户端采集的设备信息；
9.根据所述设备信息生成设备唯一标识和与所述设备唯一标识对应的访问口令，并将所述访问口令发送给所述客户端；
10.将所述设备信息和所述设备唯一标识保存到全局存储单元中；
11.通过所述全局存储单元将所述设备信息和所述设备唯一标识同步到局部存储单元中，以用于进行风险控制。
12.可选地，所述方法还包括：
13.在能获取到所述访问口令的情况下，根据所述访问口令获取设备唯一标识；
14.根据所述设备唯一标识获取设备风控策略，并根据所述设备风控策略对设备进行风险控制。
15.可选地，根据所述访问口令获取设备唯一标识包括：
16.根据所述访问口令从所述局部存储单元中读取对应的设备唯一标识；
17.在未能读取到所述对应的设备唯一标识的情况下，生成新的设备唯一标识。
18.可选地，在通过所述全局存储单元将所述设备信息和所述设备唯一标识同步到局
部存储单元中之后，还包括：
19.通过所述局部存储单元将所述设备唯一标识同步到缓存数据库中；
20.并且，根据所述访问口令获取设备唯一标识包括：
21.根据所述访问口令从所述缓存数据库中读取对应的设备唯一标识；
22.在未能读取到所述对应的设备唯一标识的情况下，从所述局部存储单元中读取所述对应的设备唯一标识；
23.在未能读取到所述对应的设备唯一标识的情况下，生成新的设备唯一标识。
24.可选地，在生成新的设备唯一标识之后，还包括：
25.将所述新的设备唯一标识和所述设备信息保存到全局存储单元中，并通过所述全局存储单元将所述新的设备唯一标识和所述设备信息同步到局部存储单元中，以及通过所述局部存储单元将所述新的设备唯一标识和所述设备信息同步到所述缓存数据库中。
26.可选地，根据所述设备唯一标识获取设备风控策略包括：
27.根据所述设备唯一标识获取设备信息，并根据所述设备信息获取设备风控策略。
28.可选地，在通过所述全局存储单元将所述设备信息和所述设备唯一标识同步到局部存储单元中之后，还包括：
29.通过所述局部存储单元将所述设备信息和所述设备唯一标识同步到缓存数据库中；
30.并且，根据所述设备唯一标识获取设备信息包括：
31.根据所述设备唯一标识从所述缓存数据库中读取对应的设备信息；
32.在未能读取到所述对应的设备信息的情况下，从所述局部存储单元中读取所述对应的设备信息；
33.在未能读取到所述对应的设备信息的情况下，从所述全局存储单元中读取所述对应的设备信息。
34.可选地，所述访问口令是基于所述设备信息或所述设备唯一标识生成的。
35.根据本发明实施例的另一方面，提供了一种风险控制装置，包括：
36.口令获取模块，用于从客户端发来的业务访问请求中获取访问口令；
37.设备信息获取模块，用于在未能获取到所述访问口令的情况下，获取客户端采集的设备信息；
38.标识生成模块，用于根据所述设备信息生成设备唯一标识和与所述设备唯一标识对应的访问口令，并将所述访问口令发送给所述客户端；
39.全局存储模块，用于将所述设备信息和所述设备唯一标识保存到全局存储单元中；
40.数据同步模块，用于通过所述全局存储单元将所述设备信息和所述设备唯一标识同步到局部存储单元中，以用于进行风险控制。
41.可选地，所述装置还包括风险控制模块，用于：
42.在能获取到所述访问口令的情况下，根据所述访问口令获取设备唯一标识；
43.根据所述设备唯一标识获取设备风控策略，并根据所述设备风控策略对设备进行风险控制。
44.可选地，所述风险控制模块还用于：
45.根据所述访问口令从所述局部存储单元中读取对应的设备唯一标识；
46.在未能读取到所述对应的设备唯一标识的情况下，生成新的设备唯一标识。
47.可选地，所述数据同步模块还用于：
48.在通过所述全局存储单元将所述设备唯一标识同步到局部存储单元中之后，通过所述局部存储单元将所述设备唯一标识同步到缓存数据库中；
49.并且，所述风险控制模块还用于：
50.根据所述访问口令从所述缓存数据库中读取对应的设备唯一标识；
51.在未能读取到所述对应的设备唯一标识的情况下，从所述局部存储单元中读取所述对应的设备唯一标识；
52.在未能读取到所述对应的设备唯一标识的情况下，生成新的设备唯一标识。
53.可选地，所述数据同步模块还用于：
54.在生成新的设备唯一标识之后，将所述新的设备唯一标识和所述设备信息保存到全局存储单元中，并通过所述全局存储单元将所述新的设备唯一标识和所述设备信息同步到局部存储单元中，以及通过所述局部存储单元将所述新的设备唯一标识和所述设备信息同步到所述缓存数据库中。
55.可选地，所述风险控制模块还用于：
56.根据所述设备唯一标识获取设备信息，并根据所述设备信息获取设备风控策略。
57.可选地，所述数据同步模块还用于：
58.在通过所述全局存储单元将所述设备信息和所述设备唯一标识同步到局部存储单元中之后，通过所述局部存储单元将所述设备信息和所述设备唯一标识同步到缓存数据库中；
59.并且，所述风险控制模块还用于：
60.根据所述设备唯一标识从所述缓存数据库中读取对应的设备信息；
61.在未能读取到所述对应的设备信息的情况下，从所述局部存储单元中读取所述对应的设备信息；
62.在未能读取到所述对应的设备信息的情况下，从所述全局存储单元中读取所述对应的设备信息。
63.可选地，所述访问口令是基于所述设备信息或所述设备唯一标识生成的。
64.根据本发明实施例的又一方面，提供了一种风险控制电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本发明实施例所提供的风险控制方法。
65.根据本发明实施例的再一方面，提供了一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现本发明实施例所提供的风险控制方法。
66.上述发明中的一个实施例具有如下优点或有益效果：通过从客户端发来的业务访问请求中获取访问口令；在未能获取到访问口令的情况下，获取客户端采集的设备信息；根据设备信息生成设备唯一标识和与设备唯一标识对应的访问口令，并将访问口令发送给客户端；将设备信息和设备唯一标识保存到全局存储单元中；通过全局存储单元将设备信息和设备唯一标识同步到局部存储单元中，以用于进行风险控制的技术方案，实现了基于统一的数据写入入口全局存储单元，将写入的数据同步到各地机房的局部存储单元，只要有
一个地区的机房能够提供服务，整个设备指纹的服务就是可用的，且设备指纹数据是完全一致的，实现了风险控制，可用性和安全性高。
67.上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
68.附图用于更好地理解本发明，不构成对本发明的不当限定。其中：
69.图1是根据本发明实施例的风险控制方法的主要步骤示意图；
70.图2是本发明一个实施例的设备唯一标识的生成和识别原理示意图；
71.图3是本发明另一个实施例的设备信息的保存和查询过程示意图；
72.图4是根据本发明实施例的风险控制装置的主要模块示意图；
73.图5是本发明实施例可以应用于其中的示例性系统架构图；
74.图6是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。
具体实施方式
75.以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
76.在安全风控领域，设备维度的策略是很重要的风控手段。因为网络黑产为了保证投入产出比，势必会使用有限的设备进行大批量的攻击，故而，从设备维度进行风控是有效的。而从设备维度进行风控，多是基于设备指纹来进行设备验证和授权管理。设备指纹是指可以用于唯一标识出该设备的设备特征或者独特的设备标识。通过客户端采集设备信息，服务端识别和生成设备标识id，保证每个设备能够具备一个唯一稳定的设备id。为避免数据同步的各种问题，设备指纹的管理服务一般采用中心化的方式进行部署，这样就无法满足一些对可用性要求很高的金融场景。
77.本发明是为了解决在不同地域位置部署多个数据中心的系统架构下设备指纹管理系统的部署问题，使得当风控系统提供服务时，设备指纹的管理也能够实现多地同时管理，保证仍然能够正常提供设备指纹管理服务，包括设备id的生成与识别和设备信息的存储与查询。
78.本发明的核心技术点在于，根据设备指纹的数据特点，将设备信息和设备指纹数据等进行多地冗余备份，统一数据写入入口为全局存储单元，然后将写入的数据同步到各地机房的局部存储单元中，各地机房只提供同机房的数据读取请求，这样只要有一个地区的机房能够提供服务，整个设备指纹的管理服务就是可用的，同机房的数据读取又保证了数据查询的性能。设备指纹的管理主要涉及到两个问题，一是设备id的生成和识别；二是接收客户端采集的设备信息进行存储并提供设备信息的查询能力。这两方面都可以通过上述方式来解决，实现了设备指纹数据的最终一致性保证。
79.在本发明的实施例介绍中，所涉及到的技术术语释义如下：
80.eid：equipmentid，设备唯一标识；
81.oceanbase：蚂蚁集团自主研发的企业级分布式关系数据库；
82.gzone：全局存储单元，存储无法拆分的全局数据；
83.czone：局部存储单元，基于特定的gzone场景进行优化的一种单元，是城市级别的数据单元，保证同城的快速访问；
84.redis：一种高性能的内存数据库，主要用作缓存使用。
85.图1是根据本发明实施例的风险控制方法的主要步骤示意图。如图1所示，本发明实施例的风险控制方法主要包括如下的步骤s101至步骤s105。
86.步骤s101：从客户端发来的业务访问请求中获取访问口令；
87.步骤s102：在未能获取到所述访问口令的情况下，获取客户端采集的设备信息；
88.步骤s103：根据所述设备信息生成设备唯一标识和与所述设备唯一标识对应的访问口令，并将所述访问口令发送给所述客户端；
89.步骤s104：将所述设备信息和所述设备唯一标识保存到全局存储单元中；
90.步骤s105：通过所述全局存储单元将所述设备信息和所述设备唯一标识同步到局部存储单元中，以用于进行风险控制。
91.根据本发明的一个实施例，本发明在能获取到所述访问口令的情况下，根据所述访问口令获取设备唯一标识；根据所述设备唯一标识获取设备风控策略，并根据所述设备风控策略对设备进行风险控制。在本发明的实施例中，访问口令例如是基于所述设备信息或所述设备唯一标识生成的。具体实施过程中，设备唯一标识是基于设备信息生成的，设备信息例如是设备的mac物理地址或设备硬件信息等信息，通过对设备信息使用加密算法直接进行加密或者将设备信息与随机数进行拼接后使用加密算法进行加密，即可得到设备唯一标识。访问口令在生成时例如可以是基由设备信息和随机数、时间戳等进行拼接后加密生成的，或者可以是由设备唯一标识与随机数、时间戳等信息进行拼接后加密生成的。访问口令与设备唯一标识是相对应的。
92.在本发明的一个实施例中，根据所述访问口令获取设备唯一标识具体可以包括：根据所述访问口令从所述局部存储单元中读取对应的设备唯一标识；在未能读取到所述对应的设备唯一标识的情况下，生成新的设备唯一标识。一个设备在生成设备唯一标识后，很长时间都是基于访问口令来进行风险控制，不会进行设备唯一标识的查询和识别，故而如果从局部存储单元中查询不到设备唯一标识，那么即使去全局存储单元中查询，大概率也是查询不到。因此，在从局部存储单元中读取不到设备唯一标识之后，本发明会直接生成新的设备唯一标识。如果由于该原因导致同一设备对应了多个设备唯一标识，则可通过设备唯一标识的补偿处理来解决该问题，具体地，例如可以是将后生成的设备唯一标识替换为之前生成的设备唯一标识，或者将之前生成的设备唯一标识替换为后生成的设备唯一标识，等。
93.根据本发明的另一个实施例，在通过所述全局存储单元将所述设备信息和所述设备唯一标识同步到局部存储单元中之后，还可以通过所述局部存储单元将所述设备唯一标识同步到缓存数据库中。并且，根据所述访问口令获取设备唯一标识包括：根据所述访问口令从所述缓存数据库中读取对应的设备唯一标识；在未能读取到所述对应的设备唯一标识的情况下，从所述局部存储单元中读取所述对应的设备唯一标识；在未能读取到所述对应
的设备唯一标识的情况下，生成新的设备唯一标识。在本发明的实施例中，缓存数据库例如是redis、memcache等可以支持快速读取的数据库，通过缓存数据库来承载主要的访问流量，可以减轻全局存储单元和局部存储单元数据库的压力，保证接口的性能。
94.根据本发明的又一个实施例，在生成新的设备唯一标识之后，还包括：将所述新的设备唯一标识和所述设备信息保存到全局存储单元中，并通过所述全局存储单元将所述新的设备唯一标识和所述设备信息同步到局部存储单元中，以及通过所述局部存储单元将所述新的设备唯一标识和所述设备信息同步到所述缓存数据库中。如此，即可完成数据的同步。
95.根据本发明的一个实施例，设备指纹服务的服务端会根据客户端上报的设备信息生成设备唯一标识eid(equipmentid)，并存储设备信息和eid的关联关系，当同一个设备再次访问设备指纹服务的服务端时，服务端可以根据采集的设备信息识别之前生成的eid，保证设备eid的稳定性。服务端为一个设备生成eid后，会同时基于设备信息或eid生成一个访问口令token，并将token下发到客户端进行保存，之后风控时会基于token来执行风控策略。当用户卸载应用程序app或者清空app的缓存数据后，客户端的token才会消失，这个时候就需要服务端基于客户端采集的设备信息识别出这个设备的eid。通常情况下，从设备指纹服务的服务端初次给用户设备生成eid，到下次需要基于存储的设备信息和eid的关联关系识别eid的时间间隔是几天甚至几个月。设备指纹服务的服务端会有充足的时间进行数据的同步，这就意味着设备信息和eid的关联关系允许数据同步存在较大延迟。在本发明的实施例中，使用oceanbase数据库来进行设备信息和eid的存储，oceanbase数据库之间的跨地延迟通常不会超过1秒，完全可以满足这一需求。同样地，也可以采用sql、mysql等数据库来实现相同的功能。另外，本发明中数据的同步除了采用数据库自带的同步机制，还可以使用消息中间件(如kafka、pulsar等)进行数据同步。
96.下面结合图2介绍本发明的设备唯一标识的生成和识别原理。图2是本发明一个实施例的设备唯一标识的生成和识别原理示意图，如图2所示，设备指纹服务的服务端提供设备识别服务来进行设备唯一标识的生成和识别，在生成设备唯一标识eid之后，首先，会将eid存储到全局存储单元gzone中，如图2中的“写1”步骤；之后，由gzone将eid同步到各机房(如图2中的a机房和b机房，且各机房可以是部署在不同地域的机房)的局部存储单元czone中，如图2中的“写2”步骤，czone提供只读功能。每个机房搭建自己的缓存数据库redis集群，数据同步到czone后再同步到redis集群中，如图2中的“写3”步骤，由redis承载大部分查询的流量。每次需要查询设备唯一标识eid时，首先从redis中进行查询，如图2中的“读1”步骤；如果redis中查询不到，则从czone中进行查询，如图2中的“读2”步骤。考虑到前面所说的原因，一个设备生成eid后，很长时间都不会进行eid的查询和识别，如果从czone中查询不到eid，那么即使去gzone查询大概率也是查询不到。因此，此处的处理方式为czone查询不到则生成新的eid，然后将设备信息和新生成的eid的对应关系写入gzone，并同步到czone和redis中。如果因为这个原因导致eid超发，那么可通过eid的补偿来解决，从而保证了设备与设备唯一标识eid的一一对应关系。另外，全局存储单元gzone具有部署在不同地区的备用数据库，以主备形式来进行数据存储可以进一步保证数据的安全性和服务的可用性。
97.根据本发明的又一个实施例，根据所述设备唯一标识获取设备风控策略，具体可
以包括：根据所述设备唯一标识获取设备信息，并根据所述设备信息获取设备风控策略。在具体的应用场景中，可能会为每个设备单独设定对应的设备风控策略，也可以是为同一类型的多个设备设定同一个设备风控策略。设备风控策略可以预先与设备信息进行关联存储。当需要进行设备风险控制校验时，可以根据访问口令获取设备唯一标识，然后根据设备唯一标识获取设备信息，最后根据设备信息获取对应的设备风控策略，并使用设备风控策略对该设备进行风险控制。具体的风控策略可以根据业务场景的需要进行灵活设定，例如：判断该设备过去24小时内的登录次数是否超过限值，判断该设备的设备信息是否被篡改，判断该设备是否被刷机，等等，本发明对此不作限定。在进行设备风控时，通常是需要查询设备信息，并根据设备信息来进行风控策略判断的。设备指纹服务的客户端(例如是软件开发工具包sdk的形式)采集设备信息上报到服务端之后，服务端需要保存eid对应的设备信息，并对风控提供设备信息查询服务。
98.一般来讲用户的设备信息不会轻易发生变化，因此设备指纹服务系统会设定一个设备信息的采集时间间隔，只有超过时间间隔才会采集一次设备信息。这就意味着设备信息数据只要在采集时间间隔内同步到各数据中心的局部存储单元，就可以保证设备信息查询的可用性。同样地，各数据中心每个机房的redis集群也会进行设备信息的缓存。
99.根据本发明的又一个实施例，在通过所述全局存储单元将所述设备信息和所述设备唯一标识同步到局部存储单元中之后，还包括：通过所述局部存储单元将所述设备信息和所述设备唯一标识同步到缓存数据库中；并且，根据所述设备唯一标识获取设备信息包括：根据所述设备唯一标识从所述缓存数据库中读取对应的设备信息；在未能读取到所述对应的设备信息的情况下，从所述局部存储单元中读取所述对应的设备信息；在未能读取到所述对应的设备信息的情况下，从所述全局存储单元中读取所述对应的设备信息。
100.下面结合图3介绍本发明实施例的设备信息的保存和查询过程。图3是本发明另一个实施例的设备信息的保存和查询过程示意图，如图3所示，设备信息上报到服务端之后，设备指纹服务的服务端提供设备信息查询服务，首先将设备信息存储到全局存储单元gzone中，如图3中的“写1”步骤；由gzone将数据同步到各机房(如图3中的a机房和b机房，且各机房可以是部署在不同地域的机房)的局部存储单元czone中，如图3中的“写2”步骤；之后，再由czone将数据同步到各机房的缓存数据库redis中，如图3中的“写3”步骤，各机房的redis为独立集群，互相不同步数据。当需要查询eid对应的设备信息时，首先从redis中进行查询，如图3中的“读1”步骤；若redis中查询不到，则继续从czone中查询，如图3中的“读2”步骤；如果czone中仍然查询不到，那么从gzone中查询，如图3中的“读3”步骤。由于查询设备信息时eid已经存在，那么客户端上报设备信息的过程已经完成，服务端一定能够查询到eid对应的设备信息，因此如果czone查询不到设备信息，需要通过gzone继续查询。由于同步延迟的存在，有可能通过redis查询到的设备信息并不是最新的，针对这种情况，可以判断redis中的设备信息的上报时间，若redis中存储的设备信息的上报时间和当前时间的时间差大于设备信息的上报时间间隔(可根据业务需要进行设定)，那么应该从czone或者gzone中查询最新的设备信息，并更新到redis中。
101.在查询到设备信息之后，即可基于设备信息进行风控策略的校验，从而实现对设备的风险控制。
102.图4是根据本发明实施例的风险控制装置的主要模块示意图。如图4所示，本发明
实施例的风险控制装置400主要包括口令获取模块401、设备信息获取模块402、标识生成模块403、全局存储模块404和数据同步模块405。
103.口令获取模块401，用于从客户端发来的业务访问请求中获取访问口令；
104.设备信息获取模块402，用于在未能获取到所述访问口令的情况下，获取客户端采集的设备信息；
105.标识生成模块403，用于根据所述设备信息生成设备唯一标识和与所述设备唯一标识对应的访问口令，并将所述访问口令发送给所述客户端；
106.全局存储模块404，用于将所述设备信息和所述设备唯一标识保存到全局存储单元中；
107.数据同步模块405，用于通过所述全局存储单元将所述设备信息和所述设备唯一标识同步到局部存储单元中，以用于进行风险控制。
108.根据本发明的一个实施例，风险控制装置400还包括风险控制模块(图中未示出)，用于：
109.在能获取到所述访问口令的情况下，根据所述访问口令获取设备唯一标识；
110.根据所述设备唯一标识获取设备风控策略，并根据所述设备风控策略对设备进行风险控制。
111.根据本发明的又一个实施例，所述风险控制模块(图中未示出)还可以用于：
112.根据所述访问口令从所述局部存储单元中读取对应的设备唯一标识；
113.在未能读取到所述对应的设备唯一标识的情况下，生成新的设备唯一标识。
114.根据本发明的又一个实施例，数据同步模块405还可以用于：
115.在通过所述全局存储单元将所述设备唯一标识同步到局部存储单元中之后，通过所述局部存储单元将所述设备唯一标识同步到缓存数据库中；
116.并且，所述风险控制模块(图中未示出)还可以用于：
117.根据所述访问口令从所述缓存数据库中读取对应的设备唯一标识；
118.在未能读取到所述对应的设备唯一标识的情况下，从所述局部存储单元中读取所述对应的设备唯一标识；
119.在未能读取到所述对应的设备唯一标识的情况下，生成新的设备唯一标识。
120.根据本发明的又一个实施例，数据同步模块405还可以用于：
121.在生成新的设备唯一标识之后，将所述新的设备唯一标识和所述设备信息保存到全局存储单元中，并通过所述全局存储单元将所述新的设备唯一标识和所述设备信息同步到局部存储单元中，以及通过所述局部存储单元将所述新的设备唯一标识和所述设备信息同步到所述缓存数据库中。
122.根据本发明的又一个实施例，所述风险控制模块(图中未示出)还可以用于：
123.根据所述设备唯一标识获取设备信息，并根据所述设备信息获取设备风控策略。
124.根据本发明的又一个实施例，数据同步模块405还可以用于：
125.在通过所述全局存储单元将所述设备信息和所述设备唯一标识同步到局部存储单元中之后，通过所述局部存储单元将所述设备信息和所述设备唯一标识同步到缓存数据库中；
126.并且，所述风险控制模块(图中未示出)还可以用于：
127.根据所述设备唯一标识从所述缓存数据库中读取对应的设备信息；
128.在未能读取到所述对应的设备信息的情况下，从所述局部存储单元中读取所述对应的设备信息；
129.在未能读取到所述对应的设备信息的情况下，从所述全局存储单元中读取所述对应的设备信息。
130.根据本发明的再一个实施例，所述访问口令是基于所述设备信息或所述设备唯一标识生成的。
131.根据本发明实施例的技术方案，通过从客户端发来的业务访问请求中获取访问口令；在未能获取到访问口令的情况下，获取客户端采集的设备信息；根据设备信息生成设备唯一标识和与设备唯一标识对应的访问口令，并将访问口令发送给客户端；将设备信息和设备唯一标识保存到全局存储单元中；通过全局存储单元将设备信息和设备唯一标识同步到局部存储单元中，以用于进行风险控制的技术方案，实现了基于统一的数据写入入口全局存储单元，将写入的数据同步到各机房的局部存储单元，只要有一个地区的机房能够提供服务，整个设备指纹的服务就是可用的，且设备指纹数据是完全一致的，实现了风险控制，可用性和安全性高。
132.图5示出了可以应用本发明实施例的风险控制方法或风险控制装置的示例性系统架构500。
133.如图5所示，系统架构500可以包括终端设备501、502、503，网络504和服务器505。网络504用以在终端设备501、502、503和服务器505之间提供通信链路的介质。网络504可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
134.用户可以使用终端设备501、502、503通过网络504与服务器505交互，以接收或发送消息等。终端设备501、502、503上可以安装有各种通讯客户端应用，例如风险控制类应用、网页浏览器应用、商业银行类应用等(仅为示例)。
135.终端设备501、502、503可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
136.服务器505可以是提供各种服务的服务器，例如对用户利用终端设备501、502、503所发来的业务访问请求提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的业务访问请求等数据进行从客户端发来的业务访问请求中获取访问口令；在未能获取到所述访问口令的情况下，获取客户端采集的设备信息；根据所述设备信息生成设备唯一标识和与所述设备唯一标识对应的访问口令，并将所述访问口令发送给所述客户端；将所述设备信息和所述设备唯一标识保存到全局存储单元中；通过所述全局存储单元将所述设备信息和所述设备唯一标识同步到局部存储单元中等处理，并将处理结果(例如数据同步结果
‑‑
仅为示例)反馈给终端设备。
137.需要说明的是，本发明实施例所提供的风险控制方法一般由服务器505执行，相应地，风险控制装置一般设置于服务器505中。
138.应该理解，图5中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。
139.下面参考图6，其示出了适于用来实现本发明实施例的终端设备或服务器的计算机系统600的结构示意图。图6示出的终端设备或服务器仅仅是一个示例，不应对本发明实
施例的功能和使用范围带来任何限制。
140.如图6所示，计算机系统600包括中央处理单元(cpu)601，其可以根据存储在只读存储器(rom)602中的程序或者从存储部分608加载到随机访问存储器(ram)603中的程序而执行各种适当的动作和处理。在ram 603中，还存储有系统600操作所需的各种程序和数据。cpu 601、rom 602以及ram 603通过总线604彼此相连。输入/输出(i/o)接口605也连接至总线604。
141.以下部件连接至i/o接口605：包括键盘、鼠标等的输入部分606；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分607；包括硬盘等的存储部分608；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至i/o接口605。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装入存储部分608。
142.特别地，根据本发明公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(cpu)601执行时，执行本发明的系统中限定的上述功能。
143.需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
144.附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要
注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
145.描述于本发明实施例中所涉及到的单元或模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中，例如，可以描述为：一种处理器包括口令获取模块、设备信息获取模块、标识生成模块、全局存储模块和数据同步模块。其中，这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定，例如，口令获取模块还可以被描述为“用于从客户端发来的业务访问请求中获取访问口令的模块”。
146.作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：从客户端发来的业务访问请求中获取访问口令；在未能获取到所述访问口令的情况下，获取客户端采集的设备信息；根据所述设备信息生成设备唯一标识和与所述设备唯一标识对应的访问口令，并将所述访问口令发送给所述客户端；将所述设备信息和所述设备唯一标识保存到全局存储单元中；通过所述全局存储单元将所述设备信息和所述设备唯一标识同步到局部存储单元中，以用于进行风险控制。
147.根据本发明实施例的技术方案，通过从客户端发来的业务访问请求中获取访问口令；在未能获取到访问口令的情况下，获取客户端采集的设备信息；根据设备信息生成设备唯一标识和与设备唯一标识对应的访问口令，并将访问口令发送给客户端；将设备信息和设备唯一标识保存到全局存储单元中；通过全局存储单元将设备信息和设备唯一标识同步到局部存储单元中，以用于进行风险控制的技术方案，实现了基于统一的数据写入入口全局存储单元，将写入的数据同步到各地机房的局部存储单元，只要有一个地区的机房能够提供服务，整个设备指纹的服务就是可用的，且设备指纹数据是完全一致的，实现了风险控制，可用性和安全性高。
148.上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。