基于标签数据的访问权限控制方法、装置及设备与流程

1.本技术涉及计算机技术领域，尤其是涉及到一种基于标签数据的访问权限控制方法、装置及设备。


背景技术：

2.随着大数据、云计算以及物联网等新兴技术的快速发展，企业应用大集成，应用边界逐渐消失，传统的面向封闭环境的基于角色的访问控制受限于角色的爆炸式增长，访问控制的配置复杂度呈指数式提升。
3.相关技术中，基于属性的访问权限控制通过各种访问主体、环境、访问客体的属性，实时评估当前的访问主体是否应该授权，并根据评估结果进行用户访问权限的控制。但是当前的访问权限控制所参考的属性通常只考虑设备的感知项、简单的时间空间属性或是一个模糊的用户行为分，例如，通过设置用户登录时间，用户是否开启权限等对访问权限进行控制，该过程很难挖掘到更深层次的属性来全面评估用户的访问权限，使得访问权限控制过程存在遗漏属性的评估，影响访问权限评估结果的准确性。


技术实现要素：

4.有鉴于此，本技术提供了一种基于标签数据的访问权限控制方法、装置及设备，主要目的在于解决现有技术中访问权限的控制过程存在遗漏属性的评估，影响访问权限评估结果的准确性的问题。
5.根据本技术的第一个方面，提供了一种基于标签数据的访问权限控制方法，该方法包括：
6.获取不同数据系统中的实体属性数据；
7.利用实体在不同属性维度上的特征字段对所述实体属性数据进行特征挖掘，生成不同类型的实体标签数据，所述不同类型的实体标签数据对应有不同的置信度；
8.选取所述不同类型的实体标签数据中置信度大于预设阈值的目标实体标签数据对实体进行访问权限控制。
9.进一步地，所述获取不同数据系统中的实体属性数据，具体包括：
10.通过预先设置的协议接口对接到不同数据系统，获取不同系统环境中产生的不同数据类型的实体数据，所述实体数据至少包括日志数据、身份数据以及业务数据中的一种或多种；
11.对所述不同系统环境中产生的实体数据进行处理，得到实体属性数据。
12.进一步地，所述对所述不同系统环境中产生的实体数据进行处理，得到实体属性数据，具体包括：
13.利用预设数据格式，对所述不同系统环境中产生的实体数据进行清洗处理，以去除所述实体数据中的冗余信息；
14.利用实体属性数据之间的相关性，对所述不同系统环境中产生的实体数据进行主
键关联和模糊匹配处理，得到实体属性数据。
15.进一步地，所述属性维度包括事实属性维度和预测属性维度，所述利用所述实体在不同属性维度上的特征字段对所述实体属性数据进行特征挖掘，生成不同类型的实体标签数据，具体包括：
16.利用所述实体在事实属性维度上的特征字段，对所述实体属性数据进行特征抽取和统计，生成表征实体的事实标签数据，所述事实标签数据具有第一置信度；
17.利用所述实体在预测属性维度上的特征字段，将所述实体属性数据输入至预先训练的机器模型进行特征聚类和分析，生成表征实体的预测标签数据，所述机器模型为使用历史实体属性数据作为样本数据训练得到，所述预测标签数据具有第二置信度。
18.进一步地，所述事实属性维度上的特征字段包括静态字段和动态字段，所述静态字段由实体属性数据的当前状态所触发，所述动态字段由所述实体属性数据的历史累计状态所触发，所述利用所述实体在事实属性维度上的特征字段，对所述实体属性数据进行特征抽取和统计，生成表征实体的事实标签数据，具体包括：
19.针对实体在事实属性维度上的静态字段，抽取所述实体属性数据处于当前状态所触发的特征值作为表征实体的事实标签数据；
20.针对实体在事实属性维度上的动态字段，统计预设时长内所述实体属性数据经过历史累计状态所触发的特征值作为表征实体的事实标签数据。
21.进一步地，在所述利用所述实体在预测属性维度上的特征字段，将所述实体属性数据输入至预先训练的机器模型进行特征聚类和分析，生成表征实体的预测标签数据之后，所述方法还包括：
22.利用所述事实标签数据对预先定义的标签数据进行判定，并使用判定结果生成表征实体的模型标签数据，所述模型标签数据具有第三置信度，所述第三置信度通过所述第一置信度计算得到；和/或
23.利用预先制定的逻辑规则将所述事实标签数据和所述预测标签数据进行关联处理后，对预先定义的标签数据进行判定，并使用判定结果生成表征实体的模型标签数据，所述模型标签数据具有第三置信度，所述第三置信度通过所述第一置信度和所述第二置信度加权求和计算得到；
24.所述第三置信度大于所述第二置信度，且小于或等于所述第一置信度。
25.进一步地，所述方法还包括：
26.判断所述模型标签数据对应的第三置信度是否大于第一预设阈值；
27.若否，则利用标签反馈机制将所述模型标签数据发送至实体设备进行认证，并基于认证结果更新所述模型标签数据。
28.进一步地，在所述利用预先制定的逻辑规则将所述事实标签数据和所述预测标签数据进行关联处理之前，所述方法还包括：
29.通过删除所述第二置信度小于第二预设阈值的预测标签数据，更新所述预测标签数据；或
30.利用标签反馈机制将所述预测标签数据发送至实体设备进行认证，并基于认证结果更新所述预测标签数据。
31.进一步地，所述选取所述不同类型的实体标签数据中置信度大于预设阈值的目标
实体标签数据对实体进行访问权限控制，具体包括：
32.响应于实体访问的权限评估指令，针对所述评估指令所携带实体会话信息，提取所述实体会话信息在不同属性标签上的属性信息；
33.基于所述实体会话信息在不同属性标签上的属性信息遍历匹配所述目标实体标签数据，将匹配一致的目标实体标签数据作为表征实体的会话标签数据；
34.利用所述会话标签数据对实体访问权限进行评估，并根据评估结果进行访问权限控制。
35.进一步地，所述利用所述会话标签数据对实体访问权限进行评估，并根据评估结果进行访问权限控制，具体包括：
36.利用针对访问权限预先设置的标签判定规则，判断所述会话标签数据是否命中所述标签判定规则；
37.若是，则生成实体具有访问权限的评估结果，否则，生成实体不具有访问权限的评估结果。
38.根据本技术的第二个方面，提供了一种基于标签数据的访问权限控制装置，该装置包括：
39.获取单元，用于获取不同数据系统中的实体属性数据；
40.生成单元，用于利用实体在不同属性维度上的特征字段对所述实体属性数据进行特征挖掘，生成不同类型的实体标签数据，所述不同类型的实体标签数据对应有不同的置信度；
41.控制单元，用于选取所述不同类型的实体标签数据中置信度大于预设阈值的目标实体标签数据对实体进行访问权限控制。
42.进一步地，所述获取单元包括：
43.获取模块，用于通过预先设置的协议接口对接到不同数据系统，获取不同系统环境中产生的不同数据类型的实体数据，所述实体数据至少包括日志数据、身份数据以及业务数据中的一种或多种；
44.处理模块，用于对所述不同系统环境中产生的实体数据进行处理，得到实体属性数据。
45.进一步地，所述处理模块，具体用于利用预设数据格式，对所述不同系统环境中产生的实体数据进行清洗处理，以去除所述实体数据中的冗余信息；
46.所述处理模块，具体还用于利用实体属性数据之间的相关性，对所述不同系统环境中产生的实体数据进行主键关联和模糊匹配处理，得到实体属性数据。
47.进一步地，所述属性维度包括事实属性维度和预测属性维度，所述生成单元包括：
48.第一生成模块，用于利用所述实体在事实属性维度上的特征字段，对所述实体属性数据进行特征抽取和统计，生成表征实体的事实标签数据，所述事实标签数据具有第一置信度；
49.第二生成模块，用于利用所述实体在预测属性维度上的特征字段，将所述实体属性数据输入至预先训练的机器模型进行特征聚类和分析，生成表征实体的预测标签数据，所述机器模型为使用历史实体属性数据作为样本数据训练得到，所述预测标签数据具有第二置信度。
50.进一步地，所述事实属性维度上的特征字段包括静态字段和动态字段，所述静态字段由实体属性数据的当前状态所触发，所述动态字段由所述实体属性数据的历史累计状态所触发，所述第一生成模块，具体用于针对实体在事实属性维度上的静态字段，抽取所述实体属性数据处于当前状态所触发的特征值作为表征实体的事实标签数据；
51.所述第一生成模块，具体还用于针对实体在事实属性维度上的动态字段，统计预设时长内所述实体属性数据经过历史累计状态所触发的特征值作为表征实体的事实标签数据。
52.进一步地，所述生成单元还包括：
53.第三生成模块，用于在所述利用所述实体在预测属性维度上的特征字段，将所述实体属性数据输入至预先训练的机器模型进行特征聚类和分析，生成表征实体的预测标签数据之后，利用所述事实标签数据对预先定义的标签数据进行判定，并使用判定结果生成表征实体的模型标签数据，所述模型标签数据具有第三置信度，所述第三置信度通过所述第一置信度计算得到；和/或
54.利用预先制定的逻辑规则将所述事实标签数据和所述预测标签数据进行关联处理后，对预先定义的标签数据进行判定，并使用判定结果生成表征实体的模型标签数据，所述模型标签数据具有第三置信度，所述第三置信度通过所述第一置信度和所述第二置信度加权求和计算得到；
55.所述第三置信度大于所述第二置信度，且小于或等于所述第一置信度。
56.进一步地，所述第三生成模块，具体用于判断所述模型标签数据对应的第三置信度是否大于第一预设阈值；
57.所述第三生成模块，具体还用于若否，则利用标签反馈机制将所述模型标签数据发送至实体设备进行认证，并基于认证结果更新所述模型标签数据。
58.进一步地，所述第三生成模块，具体还用于在所述利用预先制定的逻辑规则将所述事实标签数据和所述预测标签数据进行关联处理之前，通过删除所述第二置信度小于第二预设阈值的预测标签数据，更新所述预测标签数据；或
59.利用标签反馈机制将所述预测标签数据发送至实体设备进行认证，并基于认证结果更新所述预测标签数据。
60.进一步地，所述控制单元包括：
61.提取模块，用于响应于实体访问的权限评估指令，针对所述评估指令所携带实体会话信息，提取所述实体会话信息在不同属性标签上的属性信息；
62.匹配模块，用于基于所述实体会话信息在不同属性标签上的属性信息遍历匹配所述目标实体标签数据，将匹配一致的目标实体标签数据作为表征实体的会话标签数据；
63.评估模块，用于利用所述会话标签数据对实体访问权限进行评估，并根据评估结果进行访问权限控制。
64.进一步地，所述评估模块，具体用于利用针对访问权限预先设置的标签判定规则，判断所述会话标签数据是否命中所述标签判定规则；
65.所述评估模块，具体还用于若是，则生成实体具有访问权限的评估结果，否则，生成实体不具有访问权限的评估结果。
66.根据本技术的第三个方面，提供了一种存储介质，其上存储有计算机程序，所述程
序被处理器执行时实现上述基于标签数据的访问权限控制方法。
67.根据本技术的第四方面，提供了一种基于标签数据的访问权限控制设备，包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述基于标签数据的访问权限控制方法。
68.借由上述技术方案，本技术提供的一种基于标签数据的访问权限控制方法、装置及设备，通过获取不同数据系统中的实体属性数据，并利用实体在不同属性维度上的特征字段对实体属性数据进行特征挖掘，生成不同类型的实体标签数据，进一步选取不同类型的实体标签数据中置信度大于预设阈值的目标实体标签数据对实体进行访问权限控制。与目前现有方式中基于属性进行访问权限控制的方式相比，本技术中不同类型的实体标签数据可以挖掘到更深层次的属性信息，具有更高的可解释性和灵活性，极大丰富访问权限控制所需要的属性信息，该会话标签数据使用不同类型的实体标签数据对访问权限进行全面评估，能够支撑访问实体的信任评估，提高了访问权限评估结果的准确性。
69.上述说明仅是本技术技术方案的概述，为了能够更清楚了解本技术的技术手段，而可依照说明书的内容予以实施，并且为了让本技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本技术的具体实施方式。
附图说明
70.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
71.图1示出了本技术实施例提供的一种基于标签数据的访问权限控制方法的流程示意图；
72.图2示出了本技术实施例提供的另一种基于标签数据的访问权限控制方法的流程示意图；
73.图3示出了本技术实施例提供的基于标签数据的访问权限控制方法的流程框图；
74.图4示出了本技术实施例提供的访问权限控制平台的结构框图；
75.图5示出了本技术实施例提供的另一种基于标签数据的访问权限控制方法的流程示意图；
76.图6示出了本技术实施例提供的一种基于标签数据的访问权限控制装置的结构示意图。
具体实施方式
77.下文中将参考附图并结合实施例来详细说明本技术。需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。
78.目前现有方式基于属性的访问权限控制过程很难挖掘到更深层次的属性来全面评估用户的访问权限，使得访问权限控制过程存在遗漏属性的评估，影响访问权限评估结果的准确性。为了解决该问题，本实施例提供了一种基于标签数据的访问权限控制方法，如图1所示，该方法可应用于访问权限控制平台，包括如下步骤：
79.101、获取不同数据系统中的实体属性数据。
80.其中，不同数据系统可以为存储并生成各种类型数据的数据库、数据平台以及业
务平台等，这里各种类型数据可以包括围绕实体属性产生的访问日志数据、身份权威数据、业务管理数据等，该实体相当于访问主体，可以表征用户身份，如为用户名或终端设备等，实体属性可以为静态属性，相当于用户基本信息记录，如用户身份信息、用户帐号信息等，也可以为动态属性，相当于用户行为记录，如用户访问行为、用户登录行为等。访问日志数据为通过数据库来记录实体各种访问行为相关的数据，包括访问资源内容、访问时间以及访问次数等。身份权威数据为来自用户设备、管理设备的黄金记录，具有较高的可信度，包括用户、设备的基本属性信息，如用户姓名、用户id、用户帐号开通日期、用户角色、设备类型、设备标识等。业务管理数据为设备使用过程中关联的业务数据，如财务清算业务数据、通信业务数据、销售业务数据等。
81.由于不同数据系统可以对接得到的各种类型数据来自不同数据源以及不同数据访问环境，使得相同访问实体所产生的数据会形成不同数据结构以及不同的数据状态，例如，数据平台a中使用字段编码格式来存储数据，数据平台b中使用宽表格式来存储数据，数据平台a中生成实体a在某一时间段异地登录的访问记录，数据平台b生成实体a连接外网的访问记录。为了针对实体关联的属性数据进行汇总，一方面可对围绕实体收集的各种类型数据进行格式统一处理，形成具有相同的数据结构的实体属性数据，另一方面可根据实体标识对各种类型数据进行关联处理，形成不同数据系统汇总后的实体属性数据。应说明的是，这里针对每一个实体标识都会形成实体属性数据，该过程相当于汇总实体从各个数据系统中收集到的实体属性数据。
82.对于本发明实施例的执行主体可以为基于标签数据的访问权限控制装置，可以为访问权限控制平台的服务端，该访问控制平台可对接不同数据系统，能够获取到不同数据系统中生成的各种类型数据，并对各种类型数据进行处理得到实体属性数据，该实体属性数据通过关联到更多数据源信息，能够获取到更深层次的属性数据来描述实体，使得实体身份具有更高的可解释性。
83.102、利用实体在不同属性维度上的特征字段对实体属性数据进行特征挖掘，生成不同类型的实体标签数据。
84.本发明实施例中，考虑到实体属性数据在描述实体状态上具有不同属性维度的特征字段，对应有不同的应用能力，例如，登录次数、使用设备等实体属性数据可以应用于表征实体当前的事件状态，而登录位置、连接网络等实体属性数据可以应用于预测实体未来的事件状态，这里针对实体属性数据的应用能力，可以使用实体在不同属性维度上的特征字段对实体属性数据进行特征挖掘，生成不同类型的实体标签数据。
85.具体特征挖掘过程中，由于实体属性数据通常具有较高的可信度，在不涉及到数据安全的情况下，可以直接使用特征字段抽取及统计的方式对实体属性数据进行处理，形成表征实体的事实标签数据，例如，对一段周期内用户在某ip等登录频次、用户使用某设备的频次、用户的业务角色、设备安全配置等级等。该事实标签数据可表征实体当前的事件状态，这里针对实体属性数据中的每一条记录都可以形成表征实体的一个事实标签数据，该事实标签数据一般具有100％的置信度。而在涉及到数据安全的情况下，从实体属性数据中可以挖掘到一定的风险可能，可以通过特征字段预测的方式对实体属性数据进行处理，形成表征实体的预测标签数据，例如，用户行为偏离、机器爬虫、越权等。该预测标签数据可预测实体未来的事件状态，这里针对实体属性数据中多条记录可以形成表征实体的一个预测
标签数据，该预测标签数据的置信度根据预测精度的不同介于0-1之间。
86.103、选取不同类型的实体标签数据中置信度大于预设阈值的目标实体标签数据对实体进行访问权限控制。
87.考虑到实体数据标签的生成方式不同，不同类型的实体标签数据具有不同置信度，为了提高访问权限控制的准确率，这里可以选取不同类型的实体标签数据中置信度大于预设阈值的目标实体标签数据对实体进行访问权限控制，如果想要保证实体标签数据完全准确，可以选取具有置信度100％的实体标签数据，优选置信度大于95％的实体标签数据。
88.由于实体访问权限经常会发生变动以及权限过高的问题有时发生，基于当前会话状态对实体访问权限进行评估十分有必要，具体在使用目标实体标签数据对实体进行访问权限控制过程中，可以基于当前会话状态形成的会话信息与目标实体标签进行匹配，并使用匹配一致的目标实体标签数据判断实体是否具有访问权限。通常情况下，实体每触发一次会话访问请求时都会携带有实体会话信息，该实体会话信息可以包括用户名、设备名、设备ip地址等信息，能够表明实体当前状态的属性信息，而实体当前状态的属性信息可能不具有访问权限，也有可能是攻击者在盗窃帐号后触发的访问行为，这里可通过将实体会话信息与实体标签数据进行匹配，得到实体会话标签，该实体会话标签相当于从不同类型的实体标签数据中匹配一致的标签数据，能够结合不同类型的实体标签数据来准确表征实体身份，具有更高的可信度，例如，当实体会话信息中携带zhangsan、zhagnsan_device、ip10.94.56等属性信息时，匹配不同类型的实体标签数据中用户姓名、用户设备、ip地址等标签数据，得到包括用户常用ip、常用时间段、设备配置安全、设备环境风险等会话标签数据。
89.具体使用会话标签数据对实体访问权限进行评估的过程中，可以使用授权系统针对各个资源预先设置的访问规则，对实体访问权限进行评估，并根据评估结果判断实体是否具有访问权限，该访问规则可以由授权系统根据实体角色进行设置相关的权限标签，以判断会话标签数据是否命中相应的权限标签，如果命中则判定实体具有访问权限，否则判定实体不具有访问权限，对于具有访问权限的实体，还可以进一步根据命中权限标签对实体可访问触达资源的权限级别进行评估。这里评估结果可以反映实体是否具有访问权限，以及可访问触达资源的权限级别，例如，评估结果反应实体a将具有访问网站m的权限，不具有访问网站n的权限，实体b具有访问网站m和网站n的权限。当然评估结果还可以反应实体是否存在风险因素，对于存在风险因素的情况，这里可以限制实体访问权限或者向实体终端发送验证请求以验证实体身份，在实体身份经过确认后授权实体访问，而实体身份未经确认或者实体身份确认错误的情况下拦截实体访问。
90.本技术实施例提供的基于标签数据的访问权限控制方法，通过获取不同数据系统中的实体属性数据，并利用实体在不同属性维度上的特征字段对实体属性数据进行特征挖掘，生成不同类型的实体标签数据，进一步选取不同类型的实体标签数据中置信度大于预设阈值的目标实体标签数据对实体进行访问权限控制。与目前现有方式中基于属性进行访问权限控制的方式相比，本技术中不同类型的实体标签数据可以挖掘到更深层次的属性信息，具有更高的可解释性和灵活性，极大丰富访问权限控制所需要的属性信息，该会话标签数据使用不同类型的实体标签数据对访问权限进行全面评估，能够支撑访问实体的信任评
估，提高了访问权限评估结果的准确性。
91.进一步的，作为上述实施例具体实施方式的细化和扩展，为了完整说明本实施例的具体实施过程，本实施例提供了另一种基于标签数据的访问权限控制方法，如图2所示，该方法包括：
92.201、通过预先设置的协议接口对接到不同数据系统，获取不同系统环境中产生的不同数据类型的实体数据。
93.其中，预先设置的协议接口可以包括但不局限于sylog、http、spml等，通过协议接口可以对接到不同的数据系统，完成与相应系统环境中实体数据的对接，这里实体数据至少包括日志数据、身份数据以及业务数据中的一种或多种，具体sylog协议接口可对接到日志服务器，并接收日志服务器生成认证日志、访问日志，http协议接口可对接到请求服务器，并接收请求服务器生成的设备感知日志及设备管理信息，spml协议接口对对接到业务服务器，并接收业务服务器生成的用户目录信息。
94.可以理解的是，考虑到不同数据系统中产生实体数据具有随机性和时效性，这里可以针对每种数据系统或者不同数据系统设置接收实体数据的时间间隔或者时间点，例如，每间隔2小时接收一次日志服务器生成的实体数据，或者每天0点接收日志服务器生成的实体数据。
95.202、对不同系统环境中产生的实体数据进行处理，得到实体属性数据。
96.具体可以预处理过程主要包括两部分，一部分是利用预设数据格式，对不同系统环境中产生的实体数据进行清洗处理，以去除实体数据中的冗余信息，该处理过程主要是对数据完整性、唯一性、权威性以及合法性进行校验，剔除无关信息，转换及统一相同含义数据字段的标识及数据格式；另一部分是利用实体属性数据之间的相关性，对不同系统环境中产生的实体数据进行主键关联和模糊匹配处理，得到围绕实体标识的实体属性数据，该处理过程主要是对不同来源数据、不同结构数据进行相关性关联，包括但不限于对不同表格的数据进行主键关联、不同来源数据进行模糊匹配等，以判断数据是否为相同实体所产生。
97.需说明的是，为了加快数据的处理进度，这里预处理所使用的的数据处理模式可以包括但不限于各种开源的分布式系统的应用，如应用flink的流式数据处理，应用spark的批式数据处理。
98.203、利用实体在事实属性维度上的特征字段，对实体属性数据进行特征抽取和统计，生成表征实体的事实标签数据。
99.可以理解的是，实体属性数据在不同属性维度上具有特征字段，对于事实属性维度上的特征字段包括静态字段和动态字段，静态字段由实体属性数据的当前状态所触发，针对实体在事实维度上的静态字段，具体可以抽取实体属性数据处于当前状态所触发的特征值作为表征实体的事实标签数据，这里当前状态相当于实体在当前时刻所处的状态或者在当前时刻所触发行为，例如，用户当前登录设备，用户设备当前接入的网络地址，用户当前所处设备安全等级，动态字段由实体属性数据的历史累计状态所触发，针对实体在事实维度上的动态字段，具体可以统计预设时长内所述实体属性数据经过历史累计状态所触发的特征值作为表征实体的事实标签数据，这里历史累计状态相当于实体在一段时间内所经历状态变化或者行为变化形成的累积，例如，用户在一段时间内累计的登录频次，用户在一
段时间内使用个某设备的频次。
100.以针对实体标识为zhangsan的实体属性数据进行特征抽取和统计为例进行说明，通过统计了一段时间内zhangsan的ip使用情况、访问系统时间情况、设备使用情况，生成实体标识为zhangsan最常用ip、最常用时间段、最常用设备等事实标签数据，通过设备感知日志中远控开启、锁屏密码设置、黑名单软件运行情况，生成实体标识为zhangsan的配置安全级别高、环境存在风险等事实标签数据，根据设备管理信息，生成实体标识为zhangsan的注册设备、受控设备等事实标签数据。
101.应说明的是，由于表征实体的事实标签数据为实体在各个属性维度上当前状态所触发或者历史累计触发的特征值，该事实标签数据具有第一置信度，也就是说，在不涉及风险因素的情况下，事实标签数据在相应置信度等级上的数值通常达到100％。
102.204、利用实体在预测属性维度上的特征字段，将实体属性数据输入至预先训练的机器模型进行特征聚类和分析，生成表征实体的预测标签数据。
103.具体可以将实体属性该数据输入至预先构建的预测模型中，该预测模型能够首先对实体属性数据中各个属性维度上的特征值进行聚类和分析，提取实体的行为模式，然后根据实体的行为模式来识别实体在预设的风险因素标签上否存在异常，若是，这输出实体在该风险因素标签作为表征实体的预测标签数据。
104.上述预测模型的构建过程中，可以使用各种机器学习模型对历史样本数据进行训练，该机器学习模型包括但不局限于贝叶斯、逻辑回归、决策树等非监督学习模型，还可以均值聚类、dbscan聚类、oneclss随机森林模等无监督学习模型，还可以循环神经网络、长短记忆模等深度学习模型。
105.应说明的是，由于表征实体的预测标签数据为使用预测模型根据实体在各个属性维度上当前状态所触发或者历史累计触发的特征值所预测得到，并不能达到事实标签数据的第一置信度，该预测标签数据具有第二置信度，也就是说，受到预测模型的训练精度以及特征值的有效性等影响，预测标签数据在相应置信度等级上的数值通常很难达到100％，而是分布于0-1之间。虽然事实标签数据与预测标签数据分别具有不同的置信度等级，使用事实标签数据固然具有较高的可信度，但如果仅凭借事实标签数据来进行访问权限控制很难对风险情况进行预判，使得访问权限控制过程存在隐患，这里通过预测标签数据能够从一定程度上弥补事实标签数据存在的遗漏属性。
106.205、通过删除第二置信度小于第二预设阈值的预测标签数据，更新预测标签数据，或利用标签反馈机制将预测标签数据发送至实体设备进行认证，并基于认证结果更新预测标签数据。
107.可以理解的是，考虑到实体数据标签的生成方式不同，不同类型的实体标签数据具有不同置信度，为了提高访问权限控制的评估准确性，这里可以对预测标签数据进行更新。
108.进一步地，考虑到预测标签数据更新的准确度，一方面可以删除第二置信度小于第二预设阈值的预测标签的方式来更新预测标签数据，例如，将第二置信度小于90％的预测标签数据删除，还可以针对预测实体数据设置标签反馈机制，使用标签反馈机制来更新预测标签数据，该标签反馈机制可以为运营人员确认、向用户发起自动通知以及建议动作等，并在接收到包括不限于管理员、业务主管、用户等反馈后，更新预测标签数据，这里更新
预测标签数据可以为调整标签预测数据的第二置信度或者删除预测签数据。
109.206、利用事实标签数据对预先定义的标签数据进行判定，并使用判定结果生成表征实体的模型标签数据，和/或利用预先制定的逻辑规则将事实标签数据和预测标签数据进行关联处理后，对预先定义的标签数据进行判定，并使用判定结果生成表征实体的模型标签数据。
110.可以理解的是，事实标签数据和预测标签数据虽然覆盖了实体访问过程所涉及的绝大多数标签数据，但是单一维度的标签数据很难反应出实体更深层次的属性，这里可以针对事实维度预先定义标签数据，并利用事实标签数据对预先定义的标签数据进行判定，使用判定结果生成表征实体的模型标签数据，例如，定义被操控的标签数据，可使用事实标签数据中共享位置、使用设备一致、地理位置一致等标签数据进行判断，生成实体未被操控的模型标签数据。此时，模型标签数据是由事实标签数据判定所得到，该模型标签数据具有第三置信度，该第三置信度通过第一置信度计算得到，具体计算方式可以结合命中事实标签数据的数量决定，还可以设置不同事实标签数据在被定义标签数据上的权重值，根据被命中事实标签数据对应的权重值进行加权求和来计算第三置信度，例如，地理位置一致设置0.8的权重，使用设备一致设置0.7的权重，共享位置设置0.7的权重值，权重值加权求和得到0.73的置信度。还可以结合事实维度和预测维度预先定义标签数据，利用预先制定的逻辑规则将事实标签数据和预测标签数据进行关联处理后，对预先定义的标签数据进行判定，并使用判定结果生成表征实体的模型标签数据，例如，定义被操控的标签数据，可将事实标签数据中过期账户与预测标签数据中帐号存在风险进行关联判断，生成实体被操控的模型数据标签，其中，预先制定的逻辑规则可以结合事实标签数据和预测标签数据两者的属性信息所设置，包括但不局限于与、或、非、时间序列编排等，例如，事实标签数据表征用户使用了海外vpn进行登录，预测标签数据表征用户异地登录进行帐号盗用，此时通过逻辑规则判定用户在该时间段异地登录的模型标签数据。此时，模型标签数据由事实标签数据结合预测标签数据判定得到，该模型标签数据具有第三置信度通过第一置信度和第二置信度加权求和计算得到，并且第三置信度大于第二置信度，且小于或等于第一置信度。
111.进一步地，为了保证模型标签数据的可靠性，与此同时，在使用判定结果生成表征数据的过程中还可以引入人工运营，针对事实标签数据与预测标签存在置信度之间差距较大，即两者差距所形成的数值大于预设数值的情况下，或者针对模型标签数据中第三置信度较小的标签数据，可以将生成的模型标签数据发送至实体设备进行反馈确认。具体可以判断模型标签数据对应的第三置信度是否大于第一预设阈值，若否，则说明模型标签数据置信度较低，可应用价值较低，进一步利用标签反馈机制将模型标签数据发送至实体设备进行认证，基于认证结果更新模型标签数据，这里更新模型标签数据的即为更新第三置信度的过程，例如，对于确认成功的模型标签数据，可更新第三置信度至100％，而对于未经确认的模型标签数据，可降低一定百分比的第三置信度，对于确认失败的模型数据标签作为失效标签数据，可更新第三置信度为0即删除该模型标签数据。
112.在实际应用中，由于模型数据标签中加入置信度为100％的事实数据标签作为生成依据以及引入人工运营进行操作确认，该模型标签数据具有第三置信度通常可达到95％以上。
113.207、响应于实体访问的权限评估指令，针对评估指令所携带实体会话信息，提取
实体会话信息在不同属性标签上的属性信息。
114.208、基于实体会话信息在不同属性标签上的属性信息遍历匹配目标实体标签数据，将匹配一致的目标实体标签数据作为表征实体的会话标签数据。
115.可以理解的是，实体会话信息中通常会包含多种表征实体当前状态的属性信息，如用户设备类型，用户登录地址等，由于实体标签数据中具有多种类型，具体在将实体会话信息与实体标签数据进行匹配过程中，可以针对每一种表征实体当前状态的属性信息分别与不同类型的实体标签数据进行匹配，如果实体会话信息中的属性信息在某一类型的实体标签数据未匹配成功，则将该属性信息与其他类型的实体标签数据进行匹配，进而找到与该属性信息相匹配的标签数据作为会话标签数据，例如，实体会话信息中用户设备类型可能并未在事实标签数据中匹配成功，而在预测标签数据中会匹配得到标签数据，进而将匹配一致的标签数据形成会话标签数据。
116.209、利用会话标签数据对实体访问权限进行评估，并根据评估结果进行访问权限控制。
117.具体可以利用针对访问权限预先设置的标签判定规则，这里标签判定规则通常由授权系统根据实体角色进行设置，这里针对不同实体角色设置需要满足的标签条件，例如，实体角色需要同时满足标签条件a和标签条件b才能够访问网站m，实体角色需要只要满足标签角色c即可访问网站n，进一步判断会话标签数据是否命中标签判定规则，也就是判断会话标签数据是否满足相应实体角色设置的标签条件，若是，则生成实体具有访问权限的皮评估结果，否则，生成实体不具有访问权限的评估结果。
118.本实施例中中基于标签的访问权限控制过程，相比于现有仅支持特定设备感知项以及用户风险分的授权控制系统，综合考虑设备及用户与业务系统的历史交互信息、身份权威数据、业务数据等，生成可解释性高、灵活性高、准确性高的身份标签，极大丰富了访问权限控制所需要的属性信息，同时可支撑对用户、设备组成的访问主体进行信任评估。
119.具体基于标签数据的访问权限控制过程如图3所示，一方面是标签生成的过程，并将生成的实体标签数据存储至标签仓库，另一方面是认证及访问登录的过程，当认证及访问登录时，会相应触发实体访问权限的评估指令，并形成实体会话日志，并根据相关实体信息与标签仓库输出的属性标签进行匹配，生成会话标签，进一步将会话标签提供给访问权限控制系统，由访问权限控制系统对实体是否具备访问权限进行评估以及根据评估结果进行访问权限控制。应说明的是，为了将实体属性标签对接到不同的应用场景，这里标签仓库可以将生成的实体标签数据直接提供给访问权限控制系统，还可以在将实体标签数据与相关实体信息匹配后形成会话标签数据提供给访问权限系统，这里不进行限定。
120.在实际应用场景中，基于标签数据的访问权限控制过程可使用在访问权限控制平台中，该访问权限控制平台的结构如图4所示，主要包括四个模块，分为标签生成模块、标签匹配模块、标签运营模块以及标签供给模块，其中，标签生成模块主要由数据连接器、数据处理引擎、事实标签生成引擎、预测模型训练引擎、规则引擎以及标签仓库组成。数据连接器主要对各种类型的数据对接，主要包括日志、身份权威数据、业务管理和其他，数据处理引擎主要对数据进行两方面清洗，一方面是对数据进行清晰，另一方是完成对不同来源数据的关联。数据清洗过程是对接入数据进行完整性、唯一性、权威性及合法性的校验，剔除无关信息和冗余信息，转换及统一相同含义数据字段的标识及数据格式，数据关联的过程
是对不同来源数据、不同结构数据进行相关性关联，包括但不限于对不同表格的数据进行主键关联、不同来源数据的模糊性匹配等。事实生成引擎主要用于生成事实标签，包括但不限于基于数据处理引擎后的数据进行抽取及统计，预测模型训练引擎主要用于生成预测标签，包括但不限于使用机器学习模型对基于数据处理引擎后的数据进行预测。规则引擎主要用于生成模型标签，输入为事实标签及预测标签，根据标签运营规则中指定的规则及反馈生成模型标签。标签仓库用于存储所有生成的标签，包括但不局限于实体为用户、设备的事实标签、预测标签及模型标签，存储模式可以为宽表或者图数据库形式，并可关联不同实体相关的宽表以及图数据库。标签匹配模块主要根据事实会话日志传来的实体会话信息与标签仓库中存储的事实标签、预测标签以及模型标签进行标签匹配。标签运营模块主要包括标签确认及调整、标签规则运营两部分，标签确认及调整可在会话标签生成后，对置信度小于预设数字的标签引入工作流处理机制，包括工单确认、向用户发起自动通知及建议动作等，在收到经过相关人员的反馈后，更新、调整、删除相关标签；标签规则运营涉及两方面，一方面是通过引入专家及标签反馈机制，对预测标签及模型标签的生成规则进行调整，另一方面是对标签确认及调整的工作流程进行制定和调整。标签供给模块包括但不限于针对授权系统、信任评估系统等持续提供标签，支持批量供给、增量供给，并支持实时查询及推送。
121.进一步的，作为图1-图2方法的具体实现，本技术实施例提供了一种应基于标签数据的访问权限控制装置，如图5所示，该装置包括：获取单元31、生成单元32、评估单元33、控制单元34。
122.获取单元31，可以用于获取不同数据系统中的实体属性数据；
123.生成单元32，可以用于利用实体在不同属性维度上的特征字段对所述实体属性数据进行特征挖掘，生成不同类型的实体标签数据，所述不同类型的实体标签数据对应有不同的置信度；
124.控制单元33，可以用于选取所述不同类型的实体标签数据中置信度大于预设阈值的目标实体标签数据对实体进行访问权限控制。
125.本发明实施例提供的基于标签数据的访问权限控制装置，通过获取不同数据系统中的实体属性数据，并利用实体在不同属性维度上的特征字段对实体属性数据进行特征挖掘，生成不同类型的实体标签数据，进一步选取不同类型的实体标签数据中置信度大于预设阈值的目标实体标签数据对实体进行访问权限控制。与目前现有方式中基于属性进行访问权限控制的方式相比，本技术中不同类型的实体标签数据可以挖掘到更深层次的属性信息，具有更高的可解释性和灵活性，极大丰富访问权限控制所需要的属性信息，该会话标签数据使用不同类型的实体标签数据对访问权限进行全面评估，能够支撑访问实体的信任评估，提高了访问权限评估结果的准确性。
126.在具体的应用场景中，如图6所示，所述获取单元31包括：
127.获取模块311，可以用于通过预先设置的协议接口对接到不同数据系统，获取不同系统环境中产生的不同数据类型的实体数据，所述实体数据至少包括日志数据、身份数据以及业务数据中的一种或多种；
128.处理模块312，可以用于对所述不同系统环境中产生的实体数据进行处理，得到实体属性数据。
129.在具体的应用场景中，所述处理模块312，具体可以用于用于利用预设数据格式，对所述不同系统环境中产生的实体数据进行清洗处理，以去除所述实体数据中的冗余信息；
130.所述处理模块312，具体还可以用于利用实体属性数据之间的相关性，对所述不同系统环境中产生的实体数据进行主键关联和模糊匹配处理，得到实体属性数据。
131.在具体的应用场景中，如图6所示，所述属性维度包括事实属性维度和预测属性维度，所述生成单元32包括：
132.第一生成模块321，可以用于利用所述实体在事实属性维度上的特征字段，对所述实体属性数据进行特征抽取和统计，生成表征实体的事实标签数据，所述事实标签数据具有第一置信度；
133.第二生成模块322，可以用于利用所述实体在预测属性维度上的特征字段，将所述实体属性数据输入至预先训练的机器模型进行特征聚类和分析，生成表征实体的预测标签数据，所述机器模型为使用历史实体属性数据作为样本数据训练得到，所述预测标签数据具有第二置信度。
134.在具体的应用场景中，所述事实属性维度上的特征字段包括静态字段和动态字段，所述静态字段由实体属性数据的当前状态所触发，所述动态字段由所述实体属性数据的历史累计状态所触发，所述第一生成模块321，具体可以用于针对实体在事实属性维度上的静态字段，抽取所述实体属性数据处于当前状态所触发的特征值作为表征实体的事实标签数据；
135.所述第一生成模块321，具体还可以用于针对实体在事实属性维度上的动态字段，统计预设时长内所述实体属性数据经过历史累计状态所触发的特征值作为表征实体的事实标签数据。
136.在具体的应用场景中，如图6所示，所述生成单元32还包括：
137.第三生成模块323，可以用于在所述利用所述实体在预测属性维度上的特征字段，将所述实体属性数据输入至预先训练的机器模型进行特征聚类和分析，生成表征实体的预测标签数据之后，利用所述事实标签数据对预先定义的标签数据进行判定，并使用判定结果生成表征实体的模型标签数据，所述模型标签数据具有第三置信度，所述第三置信度通过所述第一置信度计算得到；和/或
138.利用预先制定的逻辑规则将所述事实标签数据和所述预测标签数据进行关联处理后，对预先定义的标签数据进行判定，并使用判定结果生成表征实体的模型标签数据，所述模型标签数据具有第三置信度，所述第三置信度通过所述第一置信度和所述第二置信度加权求和计算得到；
139.所述第三置信度大于所述第二置信度，且小于或等于所述第一置信度。
140.在具体的应用场景中，所述第三生成模块323，具体可以用于判断所述模型标签数据对应的第三置信度是否大于第一预设阈值；
141.所述第三生成模块323，具体还可以用于若否，则利用标签反馈机制将所述模型标签数据发送至实体设备进行认证，并基于认证结果更新所述模型标签数据。
142.在具体的应用场景中，所述第三生成模块323，具体还可以用于在所述利用预先制定的逻辑规则将所述事实标签数据和所述预测标签数据进行关联处理之前，通过删除所述
第二置信度小于第二预设阈值的预测标签数据，更新所述预测标签数据；或
143.利用标签反馈机制将所述预测标签数据发送至实体设备进行认证，并基于认证结果更新所述预测标签数据。
144.在具体的应用场景中，如图6所示，所述控制单元33包括：
145.提取模块331，可以用于响应于实体访问的权限评估指令，针对所述评估指令所携带实体会话信息，提取所述实体会话信息在不同属性标签上的属性信息；
146.匹配模块332，可以用于基于所述实体会话信息在不同属性标签上的属性信息遍历匹配所述目标实体标签数据，将匹配一致的目标实体标签数据作为表征实体的会话标签数据；
147.评估模块333，可以用于利用所述会话标签数据对实体访问权限进行评估，并根据评估结果进行访问权限控制。
148.在具体的应用场景中，所述评估模块333，具体可以用于利用针对访问权限预先设置的标签判定规则，判断所述会话标签数据是否命中所述标签判定规则；
149.所述评估模块333，具体还可以用于若是，则生成实体具有访问权限的评估结果，否则，生成实体不具有访问权限的评估结果。
150.需要说明的是，本实施例提供的一种可应用于访问权限控制平台侧的基于标签数据的访问权限控制装置所涉及各功能单元的其它相应描述，可以参考图1和图2中的对应描述，在此不再赘述。
151.基于这样的理解，本技术的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施场景所述的方法。
152.基于上述如图1-图2所示的方法，以及图5-图6所示的虚拟装置实施例，为了实现上述目的，本技术实施例还提供了一种服务端实体设备，具体可以为计算机，服务器，或者其他网络设备等，该实体设备包括存储介质和处理器；存储介质，用于存储计算机程序；处理器，用于执行计算机程序以实现上述如图1-图2所示的基于标签数据的访问权限控制方法。
153.可选的，上述实体设备都还可以包括用户接口、网络接口、摄像头、射频(radio frequency，rf)电路，传感器、音频电路、wi-fi模块等等。用户接口可以包括显示屏(display)、输入单元比如键盘(keyboard)等，可选用户接口还可以包括usb接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如wi-fi接口)等。
154.本领域技术人员可以理解，本实施例提供的一种基于标签数据的访问权限控制的实体设备结构并不构成对该实体设备的限定，可以包括更多或更少的部件，或者组合某些部件，或者不同的部件布置。
155.存储介质中还可以包括操作系统、网络通信模块。操作系统是管理上述店铺搜索信息处理的实体设备硬件和软件资源的程序，支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信，以及与信息处理实体设备中其它硬件和软件之间通信。
156.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本技术可以借
助软件加必要的通用硬件平台的方式来实现，也可以通过硬件实现。通过应用本技术的技术方案，与目前现有方式相比，本技术通中不同类型的实体标签数据可以挖掘到更深层次的属性信息，具有更高的可解释性和灵活性，极大丰富访问权限控制所需要的属性信息，该会话标签数据使用不同类型的实体标签数据对访问权限进行全面评估，能够支撑访问实体的信任评估，提高了访问权限评估结果的准确性。
157.本领域技术人员可以理解附图只是一个优选实施场景的示意图，附图中的模块或流程并不一定是实施本技术所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中，也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块，也可以进一步拆分成多个子模块。
158.上述本技术序号仅仅为了描述，不代表实施场景的优劣。以上公开的仅为本技术的几个具体实施场景，但是，本技术并非局限于此，任何本领域的技术人员能思之的变化都应落入本技术的保护范围。