一种网络访问控制方法、装置、设备及存储介质与流程

1.本公开涉及数据处理领域，尤其涉及一种网络访问控制方法、装置、设备及存储介质。


背景技术：

2.随着互联网技术的应用与发展，给人们的生活和工作带来便利的同时，也带来了一些安全隐患。
3.相关技术中，在用户通过客户端访问网络资源时，无法保障网络访问的安全性，因此，如何保障网络访问的安全性成为亟需解决的一个技术问题。


技术实现要素：

4.为了解决上述技术问题，本公开实施例提供了一种网络访问控制方法。
5.第一方面，本公开提供了一种网络访问控制方法，应用于开发平台端，所述方法包括：
6.接收网络访问请求；其中，所述网络访问请求中携带登录用户标识和登录客户端标识；
7.获取所述登录用户标识对应的用户风险信息，以及所述登录客户端标识对应的客户端风险信息；其中，所述用户风险信息用于表征具有所述登录用户标识的用户的网络访问风险状态，所述客户端风险信息用于表征具有所述登录客户端标识的客户端的网络访问风险状态；
8.基于所述用户风险信息和所述客户端风险信息，对所述网络访问请求进行处理。
9.一种可选的实施方式中，所述用户风险信息包括：异地登录信息、频繁认证信息和短时间内多次认证失败信息中的至少一种。
10.一种可选的实施方式中，所述客户端风险信息包括：pc端的风险信息和/或移动端的风险信息。
11.一种可选的实施方式中，所述基于所述用户风险信息和所述客户端风险信息，对所述网络访问请求进行处理，包括：
12.基于预先配置的风险评估策略，对所述用户风险信息和所述客户端风险信息进行匹配，得到风险评估结果；
13.基于所述风险评估结果，对所述网络访问请求进行处理。
14.一种可选的实施方式中，所述预先配置的风险评估策略中包括第一类型策略、第二类型策略和/或第三类型策略，所述第一类型策略为基于用户风险信息配置的风险评估策略，所述第二类型策略为基于客户端风险信息配置的风险评估策略，所述第三类型策略为基于用户风险信息和客户端风险信息配置的风险评估策略。
15.一种可选的实施方式中，所述基于所述风险评估结果，对所述网络访问请求进行处理，包括：
16.如果确定所述风险评估结果为可信，则针对所述网络访问请求返回网络资源；
17.如果确定所述风险评估结果为不可信，则丢弃所述网络访问请求。
18.第二方面，本公开提供了一种网络访问控制装置，应用于开发平台端，所述装置包括：
19.接收模块，用于接收网络访问请求；其中，所述网络访问请求中携带登录用户标识和登录客户端标识；
20.获取模块，用于获取所述登录用户标识对应的用户风险信息，以及所述登录客户端标识对应的客户端风险信息；其中，所述用户风险信息用于表征具有所述登录用户标识的用户的网络访问风险状态，所述客户端风险信息用于表征具有所述登录客户端标识的客户端的网络访问风险状态；
21.处理模块，用于基于所述用户风险信息和所述客户端风险信息，对所述网络访问请求进行处理。
22.第三方面，本公开提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令在终端设备上运行时，使得所述终端设备实现上述的方法。
23.第四方面，本公开提供了一种网络访问控制设备，包括：存储器，处理器，及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现上述的方法。
24.第五方面，本公开提供了一种计算机程序产品，所述计算机程序产品包括计算机程序/指令，所述计算机程序/指令被处理器执行时实现上述的方法。
25.本公开实施例提供的技术方案与现有技术相比至少具有如下优点：
26.本公开实施例提供了一种网络访问控制方法，首先，接收网络访问请求，其中，网络访问请求中携带登录用户标识和登录客户端标识，获取登录用户标识对应的用户风险信息，以及登录客户端标识对应的客户端风险信息，其中，用户风险信息用于表征具有登录用户标识的用户的网络访问风险状态，客户端风险信息用于表征具有登录客户端标识的客户端的网络访问风险状态，然后基于用户风险信息和客户端风险信息，对网络访问请求进行处理。可见，本公开实施例在接收到网络访问请求后，通过获取的用户风险信息与客户端风险信息控制网络访问请求，从而保障了网络访问的安全性。
附图说明
27.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。
28.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
29.图1为本公开实施例提供的一种网络访问控制方法的流程图；
30.图2为本公开实施例提供的一种网络访问控制方法的交互示意图；
31.图3为本公开实施例提供的一种网络访问控制装置的结构示意图；
32.图4为本公开实施例提供的一种网络访问控制设备的结构示意图。
具体实施方式
33.为了能够更清楚地理解本公开的上述目的、特征和优点，下面将对本公开的方案进行进一步描述。需要说明的是，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。
34.在下面的描述中阐述了很多具体细节以便于充分理解本公开，但本公开还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本公开的一部分实施例，而不是全部的实施例。
35.为了保障网络访问的安全性，本公开实施例提供了一种网络访问控制方法。
36.具体地，接收网络访问请求，其中，网络访问请求中携带登录用户标识和登录客户端标识，获取登录用户标识对应的用户风险信息，以及登录客户端标识对应的客户端风险信息，其中，用户风险信息用于表征具有登录用户标识的用户的网络访问风险状态，客户端风险信息用于表征具有登录客户端标识的客户端的网络访问风险状态，然后基于用户风险信息和客户端风险信息，对网络访问请求进行处理。可见，本公开实施例在接收到网络访问请求后，通过获取的用户风险信息与客户端风险信息控制网络访问请求，从而保障了网络访问的安全性。
37.基于此，本公开实施例提供了一种网络访问控制方法，参考图1，为本公开实施例提供的一种网络访问控制方法的流程图，应用于开发平台端，该方法包括：
38.s101：接收网络访问请求。
39.其中，网络访问请求中携带登录用户标识和登录客户端标识。
40.具体地，登录用户标识是指可以唯一标识登录用户身份信息的标识，如手机号码、用户昵称等。
41.登录客户端标识是指可以唯一标识登录客户端身份信息的标识，如http(hyper text transfer protocol，超文本传输协议)请求头部、 ip地址等。
42.本公开实施例中，网络访问请求是指用户基于登录信息(如手机号码-密码)登录网页时，向服务端发送的请求。
43.具体地，在接收到网络访问请求后，可以将网络访问请求中携带的登录用户标识和登录客户端标识进行关联。
44.本公开实施例中，用户在客户端登录操作成功时，可以生成仅包含登录用户标识和登录客户端标识的令牌，通过对令牌进行解析，可以得到登录用户标识和登录客户端标识，然后将其进行关联，并存储于关联信息表。
45.实际应用中，用户可以在pc端、移动端等客户端进行登录操作，具体地，在得到登录用户标识和登录客户端标识之后，可以创建登录用户集合，以登录用户标识作为集合的key，登录客户端标识作为集合中的元素，从而实现一个用户关联多台客户端的场景，而当用户从某个客户端退出登录时，需要进行解关联操作，即将登录用户集合中的该客户端对应的登录客户端标识删除，然后将上述登录用户集合进行存储，其存储方式包括但不限于mysql、redis等方式。
46.s102：获取登录用户标识对应的用户风险信息，以及登录客户端标识对应的客户端风险信息。
47.其中，用户风险信息用于表征具有登录用户标识的用户的网络访问风险状态，客
户端风险信息用于表征具有登录客户端标识的客户端的网络访问风险状态。
48.具体地，用户风险信息是指用户维度的风险信息，如用户风险信息可以为异地登录信息、频繁认证信息和短时间内多次认证失败信息中的至少一种。
49.客户端风险信息是指客户端维度的风险信息，如客户端风险信息可以为客户端是否安装杀毒软件、客户端所处地理位置等信息。具体地，客户端风险信息还可以基于客户端的类型进行划分，包括pc端的风险信息和/或移动端的风险信息。
50.本公开实施例中，用户风险信息可以基于用户风险源进行上报得到，具体地，用户风险源在检测到登录用户标识对应的用户风险信息后，将登录用户标识与用户风险信息的对应关系存储于用户风险信息采集表中；客户端风险信息可以基于客户端风险源进行上报得到，具体地，客户端风险源在检测到登录客户端标识对应的客户端风险信息后，将登录客户端标识与客户端风险信息的对应关系存储于客户端风险信息采集表中。
51.具体地，在接收到网络请求后，首先获取网络访问请求中携带登录用户标识和登录客户端标识，基于登录用户标识从用户风险信息采集表中获取登录用户标识对应的用户风险信息，再基于登录客户端标识从客户端风险采集表中获取登录客户端标识对应的客户端风险信息。
52.s103：基于用户风险信息和客户端风险信息，对网络访问请求进行处理。
53.本公开实施例中，在获取到登录用户标识对应的用户风险信息，以及登录客户端标识对应的客户端风险信息后，将用户风险信息和客户端风险信息进行风险评估，得到风险评估结果，再基于风险评估结果对网络访问请求进行处理，从而保障网络访问的安全性。
54.一种可选的实施方式中，可以通过预先配置的风险评估策略对用户风险信息和客户端风险信息进行风险评估，具体地，在获取到登录用户标识对应的用户风险信息，以及登录客户端标识对应的客户端风险信息后，基于预先配置的风险评估策略，对用户风险信息和客户端风险信息进行匹配，得到风险评估结果，再基于所述风险评估结果，对网络访问请求进行处理，如果确定风险评估结果为可信，则针对网络访问请求返回网络资源，如果确定风险评估结果为不可信，则丢弃网络访问请求。
55.其中，预先配置的风险评估策略可以为第一类型策略、第二类型策略和/或第三类型策略。
56.具体地，第一类型策略为基于用户风险信息配置的风险评估策略，第二类型策略为基于客户端风险信息配置的风险评估策略，第三类型策略为基于用户风险信息和客户端风险信息配置的风险评估策略。
57.进一步地，预先配置的风险评估策略可以为对用户风险信息和客户端风险信息进行定量分析或定性分析。
58.为了便于理解，以下对用户风险信息和客户端风险信息简称为目标风险信息进行描述：
59.假设目标风险信息包括风险信息a、风险信息b、风险信息c。
60.一种可选的实施方式中，若预先配置的风险评估策略为目标风险信息的定性分析，则需要进一步判断目标风险信息中的各个风险信息提供的为分数信息还是命中信息。
61.若目标风险信息中的风险信息a提供的为分数信息，则需要将该分数信息与预先配置的风险评估策略中的预设分数线进行对比，若该分数信息小于预设分数线，则表明该
风险信息a命中风险。
62.若目标风险信息中的风险信息b提供的为命中信息，则需要将风险信息b中提供的命中信息与预先配置的风险评估策略进行匹配，若风险信息b与预先配置的风险评估策略匹配成功，则表明风险信息b 命中风险。
63.示例性地，假设风险信息b提供的命中信息为一分钟连续认证服务60次，预先配置的风险评估策略为一分钟连续认证服务大于50次，认定为命中风险，显然，风险信息b命中该风险评估策略，即风险信息b命中风险。
64.具体地，定性风险模式下，可以按照宽松模式和严格模式确定风险评估结果。
65.宽松模式下，目标风险信息中的各个风险信息中，若有一个风险信息无风险，则认定风险评估结果为可信；若各个风险信息均命中风险，则认定风险评估结果为不可信。
66.严格模式下，目标风险信息中的各个风险信息中，若各个风险信息均无风险，则认定风险评估结果为可信；若有一个风险信息命中风险，则认定风险评估结果为不可信。
67.另一种可选的实施方式中，若预先配置的风险评估策略为目标风险信息的定量分析，则需要进一步判断目标风险信息中的各个风险信息提供的为分数信息还是命中信息。
68.若目标风险信息中的风险信息c提供的为命中信息，则需要将总权重减去风险信息c所占的权重得到可信值，基于可信值对网络访问请求进行处理。
69.若目标风险信息中的各个风险信息提供的为分数信息，则需要通过将各个风险信息对应的分数乘以权重比例，再除以总权重计算出可信值，基于可信值对网络访问请求进行处理。
70.具体地，可以设置可信值满足如下计算公式：
[0071][0072]
其中，x1、x2...xn表示目标风险信息中各个风险信息对应的分数信息，f1、f2...fn表示目标风险信息中各个风险信息对应的权重。
[0073]
具体地，定量风险模式下，基于可信值确定风险评估结果，从而基于风险评估结果对网络访问请求进行处理。
[0074]
为了便于对基于可信值对网络访问请求进行处理的进一步理解，参考表1，为本公开实施例提供的一种可信值与风险评估结果对应关系示意表，假设可信值为62，则属于表1中可信值在60-79范围，对应的风险评估结果为可信，对其登录用户进行放行处理，即针对网络访问请求返回网络资源。
[0075][0076]
表1
[0077]
需要说明的是，为了便于对根据可信值对网络访问请求进行处理的进一步理解，表1仅作为便于理解的示例，不应当被视为限制。
[0078]
本公开提供的网络访问控制方法中，首先，接收网络访问请求，其中，网络访问请求中携带登录用户标识和登录客户端标识，获取登录用户标识对应的用户风险信息，以及登录客户端标识对应的客户端风险信息，其中，用户风险信息用于表征具有登录用户标识的用户的网络访问风险状态，客户端风险信息用于表征具有登录客户端标识的客户端的网络访问风险状态，然后基于用户风险信息和客户端风险信息，对网络访问请求进行处理。可见，本公开实施例在接收到网络访问请求后，通过获取的用户风险信息与客户端风险信息控制网络访问请求，从而保障了网络访问的安全性。
[0079]
为了更进一步的对本公开实施例提供的网络访问控制方法进行理解，本公开实施例还提供了一种网络访问控制方法处理方法，参考图2，为本公开实施例提供的一种网络访问控制方法的交互示意图。
[0080]
如图2所示，网络访问控制系统包括客户端、身份关联模块、风险采集模块、信任评估模块，其中，身份关联模块、风险采集模块、信任评估模块属于服务器的不同模块，具体地，身份关联模块用于对网络访问请求进行解析，并将解析后的登录用户标识与登录客户端标识进行关联；风险采集模块用于对用户风险信息和客户端风险信息进行采集，信任评估模块用于在接收到网络访问请求后，基于网络访问请求中携带的登录用户标识和登录客户端标识，获取登录用户标识对应的用户风险信息以及登录客户端标识对应的客户端风险信息，并基于用户风险信息和客户端风险信息，对网络访问请求进行处理。
[0081]
具体地，风险采集模块从用户风险源中获取用户风险信息，如异地登录信息、频繁认证信息、短时间内多次认证失败信息等，并将用户风险信息以登录用户标识为主键进行存储，从客户端风险源获取客户端风险信息，如客户端是否安装杀毒软件、客户端所处地理位置等，并将登录客户端标识为主键进行存储。
[0082]
在用户在客户端上输入登录信息(如手机号码-密码)登录网页时，向认证服务发送网络访问请求，认证服务在验证通过之后，会生成包含用户登录标识和客户端登录标识的令牌，并将令牌发送至身份关联模块，身份关联模块在接收到该令牌后，对该令牌进行解析，得到登录用户标识和登录客户端标识，并将得到的登录用户标识和登录客户端标识进行关联。
[0083]
实际应用中，用户可以在移动端、pc端等客户端进行登录操作，具体地，在得到登录用户标识和登录客户端标识之后，可以创建登录用户集合，以登录用户标识作为集合的key，登录客户端标识作为集合中的元素，从而实现一个用户关联多台客户端的场景，而当用户从某个客户端退出登录时，需要进行解关联操作，即将登录用户集合中的登录客户端标识删除，然后将上述登录用户集合进行存储，其存储方式包括但不限于mysql、redis等方式。
[0084]
信任评估模块信任在获取到登录用户标识和登录客户端标识之后，基于登录用户标识获取其对应的用户风险信息，以及基于登录客户端标识获取其对应的客户端风险信息，然后通过预先配置的风险评估策略对用户风险信息和客户端风险信息进行风险评估，得到风险评估结果，并基于风险评估结果，对网络访问请求进行处理，从而保障网络访问的安全性。
[0085]
需要说明的是，基于预先配置的风险评估策略对用户风险信息和客户端风险信息进行评估的过程，具体参考上述实施例，在此不做任何赘述。
[0086]
实际应用中，客户端上可以通过部署环境感知客户端，定期向环境感知服务器发送客户端风险信息，再由环境感知服务器上报至风险采集模块，审计审批等服务(即用户风险源)上传用户的违规行为上报给风险采集模块。
[0087]
在用户访问客户端时，客户端提供登录界面，在用户通过输入用户名和密码对登录界面进行登录时，向认证服务发送认证请求信息，其中，认证请求信息中包含登录用户标识和登录客户端标识，认证服务对认证请求进行校验，认证成功则生成含有登录用户标识和登录客户端标识，并同步至身份关联模块。
[0088]
信任评估模块通过获取关联关系，进而获取登录用户标识对应的用户风险信息和登录客户端标识对应的客户端风险信息，最后基于预先配置的风险评估策略对用户风险信息和客户端风险信息进行风险评估，得到用户和客户端的综合风险评估结果，并基于风险评估结果，对网络访问请求进行处理，从而保障网络访问的安全性。
[0089]
基于上述方法实施例，本公开还提供了一种网络访问控制装置，参考图3，为本公开实施例提供的一种网络访问控制装置的结构示意图，所述装置包括：
[0090]
接收模块301，用于接收网络访问请求；其中，所述网络访问请求中携带登录用户标识和登录客户端标识；
[0091]
获取模块302，用于获取所述登录用户标识对应的用户风险信息，以及所述登录客户端标识对应的客户端风险信息；其中，所述用户风险信息用于表征具有所述登录用户标识的用户的网络访问风险状态，所述客户端风险信息用于表征具有所述登录客户端标识的客户端的网络访问风险状态；
[0092]
处理模块303，用于基于所述用户风险信息和所述客户端风险信息，对所述网络访问请求进行处理。
[0093]
一种可选的实施方式中，所述用户风险信息包括：异地登录信息、频繁认证信息和短时间内多次认证失败信息中的至少一种。
[0094]
一种可选的实施方式中，所述客户端风险信息包括：pc端的风险信息和/或移动端的风险信息。
[0095]
一种可选的实施方式中，所述处理模块包括：
[0096]
匹配子模块，用于基于预先配置的风险评估策略，对所述用户风险信息和所述客户端风险信息进行匹配，得到风险评估结果；
[0097]
处理子模块，用于基于所述风险评估结果，对所述网络访问请求进行处理。
[0098]
一种可选的实施方式中，所述预先配置的风险评估策略中包括第一类型策略、第二类型策略和/或第三类型策略，所述第一类型策略为基于用户风险信息配置的风险评估策略，所述第二类型策略为基于客户端风险信息配置的风险评估策略，所述第三类型策略为基于用户风险信息和客户端风险信息配置的风险评估策略。
[0099]
一种可选的实施方式中，所述处理子模块包括：
[0100]
第一确定子模块，用于确定所述风险评估结果为可信时，针对所述网络访问请求返回网络资源；
[0101]
第二确定子模块，用于确定所述风险评估结果为不可信时，则丢弃所述网络访问
请求。
[0102]
本公开实施例提供的网络访问控制装置中，首先，接收网络访问请求，其中，网络访问请求中携带登录用户标识和登录客户端标识，获取登录用户标识对应的用户风险信息，以及登录客户端标识对应的客户端风险信息，其中，用户风险信息用于表征具有登录用户标识的用户的网络访问风险状态，客户端风险信息用于表征具有登录客户端标识的客户端的网络访问风险状态，然后基于用户风险信息和客户端风险信息，对网络访问请求进行处理。可见，本公开实施例在接收到网络访问请求后，通过获取的用户风险信息与客户端风险信息控制网络访问请求，从而保障了网络访问的安全性。
[0103]
除了上述方法和装置以外，本公开实施例还提供了一种计算机可读存储介质，计算机可读存储介质中存储有指令，当所述指令在终端设备上运行时，使得所述终端设备实现本公开实施例所述的网络访问控制方法。
[0104]
本公开实施例还提供了一种计算机程序产品，所述计算机程序产品包括计算机程序/指令，所述计算机程序/指令被处理器执行时实现本公开实施例所述的网络访问控制方法。
[0105]
另外，本公开实施例还提供了一种网络访问控制设备，参见图4 所示，可以包括：
[0106]
处理器401、存储器402、输入装置403和输出装置404。网络访问控制设备中的处理器401的数量可以一个或多个，图4中以一个处理器为例。在本公开的一些实施例中，处理器401、存储器402、输入装置403和输出装置404可通过总线或其它方式连接，其中，图4中以通过总线连接为例。
[0107]
存储器402可用于存储软件程序以及模块，处理器401通过运行存储在存储器402的软件程序以及模块，从而执行网络访问控制设备的各种功能应用以及数据处理。存储器402可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序等。此外，存储器402可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。输入装置403可用于接收输入的数字或字符信息，以及产生与网络访问控制设备的用户设置以及功能控制有关的信号输入。
[0108]
具体在本实施例中，处理器401会按照如下的指令，将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器402中，并由处理器401来运行存储在存储器402中的应用程序，从而实现上述网络访问控制设备的各种功能。
[0109]
需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0110]
以上所述仅是本公开的具体实施方式，使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下，在其它实施例中实现。因此，本公开
将不会被限制于本文所述的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。