访问响应方法以及装置与流程

1.本说明书实施例涉及计算机技术领域，特别涉及一种访问响应方法。


背景技术：

2.在资源访问的场景中，可以对资源的访问用户设置权限，从而各用户访问与该用户权限匹配的资源，提高资源访问的安全性。
3.相关技术中，通常按照边界安全的规则设置用户权限，并按照所设置的权限进行资源访问的管理。具体的，默认边界内部安全，边界外部不安全。在此基础上，可以将资源提供方指定的网络，例如资源提供方的局域网看作边界内部，那么对该局域网的用户设置允许访问的权限，对该局域网以外的用户设置禁止访问的权限。这样，当接收用户的访问请求时，可以按照上述权限进行是否允许用户访问资源的资源访问管理。
4.但是，上述方式存在安全漏洞：可能存在没有访问权限的用户冒充边界内部用户访问了资源的情况。因此，需要提供更加可靠的方案。


技术实现要素：

5.有鉴于此，本说明书实施例提供了一种访问响应方法。本说明书一个或者多个实施例同时涉及一种访问响应装置，一种计算设备，一种计算机可读存储介质以及一种计算机程序，以解决现有技术中存在的技术缺陷。
6.根据本说明书实施例的第一方面，提供了一种访问响应方法，包括：
7.接收客户端发送的访问请求，其中，所述访问请求包括目标用户的用户信息；
8.基于所述用户信息，识别所述目标用户的访问类型，其中，所述访问类型表征所述目标用户请求访问的次数；
9.基于所述访问类型，获取所述访问类型对应的用户特征；
10.基于所述用户特征，确定所述目标用户的访问权限，根据所述访问权限，对所述访问请求进行响应。
11.根据本说明书实施例的第二方面，提供了一种访问响应装置，包括：
12.请求接收模块，被配置为接收客户端发送的访问请求，其中，所述访问请求包括目标用户的用户信息；
13.类型识别模块，被配置为基于所述用户信息，识别所述目标用户的访问类型，其中，所述访问类型表征所述目标用户请求访问的次数；
14.特征获取模块，被配置为基于所述访问类型，获取所述访问类型对应的用户特征；
15.请求响应模块，被配置为基于所述用户特征，确定所述目标用户的访问权限，根据所述访问权限，对所述访问请求进行响应。
16.根据本说明书实施例的第三方面，提供了一种计算设备，包括：
17.存储器和处理器；
18.所述存储器用于存储计算机可执行指令，所述处理器用于执行所述计算机可执行
指令，该计算机可执行指令被处理器执行时实现上述访问响应方法的步骤。
19.根据本说明书实施例的第四方面，提供了一种计算机可读存储介质，其存储有计算机可执行指令，该指令被处理器执行时实现上述访问响应方法的步骤。
20.根据本说明书实施例的第五方面，提供了一种计算机程序，其中，当所述计算机程序在计算机中执行时，令计算机执行上述访问响应方法的步骤。
21.本说明书一个实施例实现了接收客户端发送的访问请求，其中，访问请求包括目标用户的用户信息；基于用户信息，识别目标用户的访问类型，其中，访问类型表征目标用户请求访问的次数；基于访问类型，获取访问类型对应的用户特征；基于用户特征，确定目标用户的访问权限，根据访问权限，对访问请求进行响应。
22.这样，本说明书的实施例基于用户信息，识别目标用户的访问类型，进而基于访问类型，获取访问类型对应的用户特征；基于用户特征，确定目标用户的访问权限；从而根据访问权限，对访问请求进行响应。并且，访问类型表征目标用户请求访问的次数。因此，可以实现针对不同访问次数的目标用户获取不同的用户特征，访问次数不同则用户特征及安全风险不同，相应地，获取不同的用户特征并确定不同的访问权限。因此，可以保证访问权限与安全风险更加匹配。并且，访问次数随着时间推移会变动，因此，可以保证每次资源访问均进行访问权限的确定，减少一次权限确定后不再进行权限确定导致的资源响应安全漏洞。因此，本方案可以保证访问响应更加可靠。
附图说明
23.图1是相关技术中一种访问响应方法的流程图；
24.图2是本说明书一个实施例提供的一种访问响应方法的流程图；
25.图3是本说明书一个实施例提供的一种访问响应方法的一种应用场景示例图；
26.图4是本说明书一个实施例提供的一种访问响应方法的另一种应用场景示例图；
27.图5是本说明书一个实施例提供的一种访问响应装置的结构示意图；
28.图6是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
29.在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本说明书内涵的情况下做类似推广，因此本说明书不受下面公开的具体实施的限制。
30.在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
31.应当理解，尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书一个或多个实施例范围的情况下，第一也可以被称为第二，类似地，第二也可以被称为第一。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
32.首先，对本说明书一个或多个实施例涉及的名词术语进行解释。
33.零信任：零信任模型是一个安全框架，通过删除隐式信任并在全网络中强制实施严格的用户和设备身份验证。其中，隐式信任是指没有明确说明的假定的信任。例如，边界安全中假定指定网络中的用户始终可信，即为隐式信任。
34.统一资源定位符(url，uniform resource identifier)：是一个用于标识某一互联网资源名称的字符串。该种标识允许用户对任何位置(包括本地和互联网)的资源通过特定的协议进行交互操作。
35.ip地址(internet protocol address)：指互联网协议地址，又译为网际协议地址。ip地址是ip协议提供的一种统一的地址格式，ip协议为互联网上的每一个网络和每一台主机分配一个逻辑地址也就是ip地址，来屏蔽物理地址的差异。
36.mac地址(media access control address)：直译为媒体存取控制位址，也称为局域网地址(lan address)，mac位址，以太网地址(ethernet address)或物理地址(physical address)，它是一个用来确认网络设备位置的位址。mac地址用于在网络中唯一标示一个网卡，一台设备若有一或多个网卡，则每个网卡都需要并会有一个唯一的mac地址。
37.在具体应用中，边界安全的规则好比小区的出入口有保安(鉴权系统)站岗值守，只有携带门禁卡的居民(授权用户)才能进入小区。边界安全的规则假设企业的所有办公设备、数据资产都在内网中，而内网是可信的。但是，边界安全的规则存在一个问题，一旦边界被突破，攻击者就可以无阻访问企业内部需要权限才能访问的资源，并且随着时间的推移该问题发生的概率逐渐增大。另一方面，随着移动办公、办公设备多样化等情况的出现，关于边界的定义逐渐变得模糊，逐渐从“有边界”到“无边界”发展，边界不再由企业的物理位置所决定。如何定义边界变得复杂、充满挑战，基于边界安全进行访问响应的方案越来越容易出现安全漏洞。
38.针对上述问题，基于零信任的访问响应方案被提出。零信任的核心点在于“持久验证、永不信任”，也就是对于访问者的权限验证是动态的、持久的。在零信任的访问响应方案中，可以通过读取预先配置的权限白名单来决定是否允许访问者访问所请求访问的资源，例如某些应用程序。参见图1，图1示出了相关技术中一种访问响应方法的流程图，具体包括以下步骤：
39.s1，发送访问请求。用户需要访问某个资源，则通过客户端发送针对该资源的访问请求。例如，通过浏览器输入url地址的形式访问该资源，其中，携带url地址的资源获取请求即访问请求。url地址可以是网页形式的应用程序的网址、视频的播放地址等等。
40.s2，策略匹配。决策引擎收到访问请求后，对访问请求进行标准化处理步骤。其中，标准化处理步骤属于处理请求的步骤之一。例如，将url地址归一化，提取域名并与用户身份信息绑定，获得策略匹配请求，从而利用策略匹配请求发起策略匹配。并且，本实施例中决策引擎可以包括对访问请求进行权限确定以及访问响应的计算设备，例如上述浏览器的服务器。
41.s3，策略查询。策略匹配过程中，决策引擎可以根据查询条件从预先设置的策略集合中查询与策略匹配请求中的用户身份信息匹配的访问权限。其中，策略集是按照对各用户的权限设置策略也就是规则，建立的各用户的用户信息与权限的对应关系集合。策略集
可以存储在决策引擎，或者独立于决策引擎的指定存储设备中。
42.s4，结果反馈。决策引擎得到相应的查询结果也就是相应的访问权限。
43.s5，策略响应。决策引擎根据查询到的查询结果，确定是否允许当前用户访问所请求的资源。
44.s6，访问资源。若决策通过也就是允许访问，则决策引擎请求对应的资源，否则拒绝当前访问。
45.s7，资源反馈。决策引擎将资源反馈给用户。例如，将url地址对应的网页反馈给用户。
46.在具体应用中，随着用户人数、资源种类的增多，权限的种类、数量也日益增加。特别是对于新用户，例如刚入职的新员工而言，需要增加大量的白名单策略，也就是需要策略集的管理员，例如新员工的主管或者安全运营人员在策略集中新增大量新的权限并审批。这就导致上述方案存在如下缺点：在零信任机制下，策略集需要频繁更新，用户需要频繁进行身份认证、联系管理员审批赋权。这使得访问响应的效率降低。并且，处理过程中人工占比过多，很可能出现主观因素导致的错误，不够可靠。
47.为了提供更加可靠、高效的方案，在本说明书中，提供了一种访问响应方法，本说明书同时涉及一种访问响应装置，一种计算设备，以及一种计算机可读存储介质，在下面的实施例中逐一进行详细说明。
48.参见图2，图2示出了根据本说明书一个实施例提供的一种访问响应方法的流程图，具体包括以下步骤：包括：
49.s202，接收客户端发送的访问请求，其中，访问请求包括目标用户的用户信息。
50.在具体应用中，客户端可以是提供资源访问功能的计算设备，例如浏览器、网盘、视频应用程序等等。访问请求为针对目标资源的访问请求。并且，为了实现对访问权限的确定，访问请求可以包括目标用户的用户信息，以实现后续步骤s204。其中，目标用户是指登录客户端的用户，目标用户的用户信息可以为表征用户唯一性的信息，例如用户标识、用户名称等信息。具体的用户信息可以根据应用需求设置，本实施例对此不作限制。
51.s204，基于用户信息，识别目标用户的访问类型，其中，访问类型表征目标用户请求访问的次数。
52.在具体应用中，访问类型表征目标用户请求访问的次数。访问次数会随着时间的推移而增加，也就意味着访问次数增多安全风险增高。并且，本实施例基于上述访问类型获取相应的用户特征，也就是说针对不同的安全风险获取不用的用户特征，以更加准确地确定用户权限。因此，访问类型可以是未达到预设访问次数阈值的第一访问类型，或者，达到预设访问次数阈值的第二访问类型等等。具体的预设访问次数阈值可以按照应用需求设置，本实施例对此不作限制。示例性的，访问类型可以是访问次数为0的初次访问类型，可以是访问次数大于0的多次访问类型。
53.并且，基于用户信息，识别目标用户的访问类型的方式可以是多种的。示例性的，基于用户信息，识别目标用户的访问类型，可以包括：查找用户信息对应的目标访问次数，从预先建立的访问次数与访问类型的对应关系中，查找目标访问次数对应的访问类型。或者，示例性的，从预先建立的访问权限集中查找用户信息对应的访问权限，若未查找到，则确定访问类型为初次访问类型，否则，访问类型为多次访问类型。为了便于理解和合理布
局，后续以可选实施例的形式对第二种示例进行具体说明。任何可以基于用户信息，识别目标用户的访问类型的方式均可用于本说明书，本实施例对此不作限制。
54.s206，基于访问类型，获取访问类型对应的用户特征。
55.其中，访问次数会随着时间的推移而增加，也就意味着访问次数增多安全风险增高。这样，基于上述访问类型获取相应的用户特征，也就是针对不同的安全风险获取不用的用户特征，可以更加准确地确定用户权限。并且，针对不同的基于用户特征，确定目标用户的访问权限的不同方式，获取的用户特征也不同。因此，基于访问类型，获取访问类型对应的用户特征的具体方式可以是多种的，下面以示例性说明的形式进行说明。
56.示例性的，若通过目标用户与历史访问的历史用户间的相似度确定目标用户的访问权限，则对于初次访问类型，可以获取目标用户的属性信息和历史访问的历史用户的属性信息，得到初次访问类型的用户特征。或者，示例性的，若通过目标用户与历史访问的历史用户间的相似度，确定目标用户的访问权限，则对于多次访问类型，可以获取目标用户的属性信息和本次访问行为特征，以及历史访问的历史用户的属性信息和历史访问行为特征，得到多次访问类型的用户特征。其中，第二用户是指已经进行过访问的用户，因此，对于多次访问类型，第二用户包括目标用户和与目标用户不同的历史用户。并且，任一用户的属性信息可以包括：该用户的职级、部门、同事关系、直属主管、岗位类别等等信息。
57.或者，示例性的，若利用预先训练得到的分类模型确定目标用户的访问权限，则对于初次访问类型，可以获取目标用户的属性信息，得到初次访问类型的用户特征。或者，示例性的，若利用预先训练得到的分类模型确定目标用户的访问权限，则于多次访问类型，可以获取目标用户的属性信息和本次访问行为特征。为了便于理解和合理布局，后续以可选实施例的形式对此进行具体说明。
58.s208，基于用户特征，确定目标用户的访问权限，根据访问权限，对访问请求进行响应。
59.在具体应用中，目标用户的访问权限用于表征目标用户对访问请求所请求访问的目标资源的访问范围。该访问范围可以包括：允许访问、不允许访问、允许访问目标资源的指定部分等等。具体的访问范围设置可以根据应用需求进行，本实施例对此不作限制。相应地，根据访问权限，对访问请求进行响应，具体可以包括：在目标用户的访问权限为允许访问的情况下，反馈目标资源至客户端；在目标用户的访问权限为不允许访问的情况下，反馈禁止访问或者没有访问权限的通知至客户端；在目标用户的访问权限为允许访问目标资源的指定部分的情况下，反馈目标资源的指定部分至客户端。其中，指定部分可以是目标资源中的指定内容，或者对目标资源的指定处理例如只允许读，不允许修改等等。
60.并且，基于用户特征，确定目标用户的访问权限的方式可以是多种的。示例性的，基于用户特征，确定目标用户的访问权限，可以包括：从预先建立的访问权限与用户特征的对应关系中，查找目标用户的用户特征对应的访问权限。或者，示例性的，基于用户特征，确定目标用户的访问权限，可以包括：通过目标用户与历史访问的历史用户间的相似度确定目标用户的访问权限。或者，示例性的，基于用户特征，确定目标用户的访问权限，可以包括：将用户特征输入预先训练得到的分类模型，得到目标用户的访问权限。其中，分类模型为利用样本集训练得到的，样本集包括：历史访问产生的第二用户特征、以及第二用户特征的访问权限标记。或者，针对不同资源设置不同的访问权限的情况下，示例性的，基于用户
特征，确定目标用户的访问权限，可以包括：基于用户特征和目标资源的资源信息，确定目标用户的访问权限。
61.为了便于理解和合理布局，后续以可选实施例的形式对基于用户特征，确定目标用户的访问权限的第二种至第四种示例进行具体说明。任何可以基于用户特征，确定目标用户的访问权限的方式均可用于本说明书，本实施例对此不作限制。
62.这样，本说明书的实施例基于用户信息，识别目标用户的访问类型，进而基于访问类型，获取访问类型对应的用户特征；基于用户特征，确定目标用户的访问权限；从而根据访问权限，对访问请求进行响应。并且，访问类型表征目标用户请求访问的次数。因此，可以实现针对不同访问次数的目标用户获取不同的用户特征，访问次数不同则用户特征及安全风险不同，相应地，获取不同的用户特征并确定不同的访问权限。因此，可以保证访问权限与安全风险更加匹配。并且，访问次数随着时间推移会变动，因此，可以保证每次资源访问均进行访问权限的确定，减少一次权限确定后不再进行权限确定导致的资源响应安全漏洞。因此，本方案可以保证访问响应更加可靠。
63.在一种可选的实施方式中，上述用户特征包括目标用户的第一用户特征以及历史访问产生的第二用户特征；
64.相应地，上述基于用户特征，确定目标用户的访问权限，具体可以包括如下步骤：
65.确定第一用户特征与第二用户特征的相似度，选取相似度达到相似度阈值的第二用户特征对应的访问权限，确定为目标用户的访问权限。
66.在具体应用中，对于初次访问类型，目标用户的第一用户特征可以包括目标用户的属性信息；历史访问产生的第二用户特征可以包括历史访问的历史用户的属性信息。对于多次访问类型，目标用户的第一用户特征可以包括目标用户的属性信息和目标用户在本次访问中的访问行为特征；历史访问产生的第二用户特征可以包括历史访问的历史用户的属性信息和访问行为特征。其中，任一用户的访问行为特征用于表征该用户在相应访问中的网络特征、设备特征、时间特征等等进行访问所产生的特征。并且，对于多次访问类型，历史访问的历史用户包括目标用户以及与目标用户不同的历史用户。
67.并且，确定第一用户特征与第二用户特征的相似度的方式可以是多种的。示例性的，在第一用户特征和第二用户特征分别为序列化数据例如“1010010”的情况下，可以计算第一用户特征和第二用户特征间的余弦相似度，得到第一用户特征与第二用户特征的相似度。其中，余弦相似度为用向量空间中两个向量夹角的余弦值作为衡量两个个体间差异的大小。或者，在第一用户特征和第二用户特征分别为多个信息例如“部门、岗位类型、ip地址”的情况下，可以统计第一用户特征的第二用户特征中相同元素的个数，得到第一用户特征与第二用户特征的相似度。具体的相似度确定方式可以根据应用需求设置，本实施例对此不作限制。这样，本实施例通过直接确定该第一用户特征和第二用户特征间的相似度，进而选取相似度达到相似度阈值的第二用户特征对应的访问权限，确定为用户的访问权限，无需进行模型训练以及模型的更新维护。
68.在一种可选的实施方式中，用户特征包括目标用户的第一用户特征；
69.相应地，上述基于用户特征，确定目标用户的访问权限，具体可以包括如下步骤：
70.将第一用户特征输入预先训练得到的分类模型，得到目标用户的访问权限，其中，分类模型为利用样本集训练得到的，样本集包括：历史访问产生的第二用户特征、以及第二
用户特征的访问权限标记。
71.在具体应用中，与通过相似度确定访问权限类似的，上述历史访问产生的第二用户特征可以是多种的。例如，对于初次访问类型，历史访问产生的第二用户特征可以包括历史访问的历史用户的属性信息。对于多次访问类型，历史访问产生的第二用户特征可以包括历史访问的历史用户的属性信息和访问行为特征。其中，任一用户的访问行为特征用于表征该用户在相应访问中的网络特征、设备特征、时间特征等等进行访问所产生的特征。并且，对于多次访问类型，历史访问的历史用户包括目标用户以及与目标用户不同的历史用户。基于此，在一种可选的实施方式中，在上述根据访问权限，对访问请求进行响应之后，本说明书实施例提供的访问响应方法，还可以包括如下步骤：
72.在目标用户的访问权限为允许访问的情况下，获取目标用户本次访问的访问行为特征、以及用户属性特征，得到与多次访问类型对应的第二用户特征，并将目标用户的访问权限添加为与多次访问类型对应的第二用户特征的访问权限标记；
73.将与多次访问类型对应的第二用户特征、以及相应的访问权限标记添加至样本集，得到更新的样本集；
74.利用更新的样本集进行分类模型的训练，获得更新的分类模型。
75.上述将与多次访问类型对应的第二用户特征、以及相应的访问权限标记添加至样本集，得到更新的样本集，可以保证历史访问的历史用户包括目标用户。在此基础上，利用更新的样本集进行分类模型的训练，获得更新的分类模型，可以保证更新的分类模型获得目标用户每一次访问的访问行为特征也就是历史访问行为特征，并在下一次权限确定中利用该历史访问行为特征，从而减少随着时间推移不更新分类模型导致的安全漏洞。例如，随着时间推移，存在冒充目标用户的违规用户，该违规用户的访问行为特征很可能与目标用户的历史访问行为特征不同，而本实施例通过更新的分类模型可以对该违规用户确定不允许访问的访问权限，进一步提高安全性。
76.示例性的，参见图3。如图3本说明书一个实施例提供的一种访问响应方法的一种应用场景示例图所示：决策引擎从数据库中获取样本集，调用预测模块利用样本集训练得到分类模型。决策引擎在接收到客户端发送的访问请求的情况下，调用预测模块基于用户信息，识别目标用户的访问类型，并基于访问类型，获取访问类型对应的用户特征也即是第一用户特征；进而将第一用户特征输入预先训练得到的分类模型，得到目标用户的访问权限。在此基础上，决策引擎调用请求响应模块根据目标用户的访问权限，对访问请求进行响应，并反馈响应结果至客户端。
77.这样，通过上述利用分类模型确定访问权限的实施例，可以实现无需额外获取第二用户特征的访问权限确定。对于初次访问的新用户，本实施例可以节省管理员人工设置、审批权限的时间。因此，可以提高效率、降低人工占比。
78.在一种可选的实施方式中，访问类型包括：初次访问类型；
79.相应地，上述基于访问类型，获取访问类型对应的用户特征，具体可以包括如下步骤：
80.提取访问请求中的用户信息，查找与用户信息对应的用户属性信息，获得初次访问类型对应的用户特征。
81.在具体应用中，用户信息可以包括用户标识、用户名称等表征用户唯一性的信息。
并且，用户属性信息可以包括：该用户信息对应的职级、部门、同事关系、直属主管、岗位类别等等信息。相应地，在训练得到分类模型的阶段也就是离线阶段，样本集中的第二用户特征可以包括进行了历史访问的历史用户的职级、部门、同事关系、直属主管、职业类别等等信息。这样，本实施例可以实现缺少用户访问行为特征情况下的权限自动确定，例如，初次访问的新用户的权限自动确定，从而提高效率，减少人工占比，保证方案更加可靠。
82.在一种可选的实施方式中，访问类型包括：多次访问类型；
83.相应地，上述基于访问类型，获取访问类型对应的用户特征，具体可以包括如下步骤：
84.提取访问请求中的用户信息，查找与用户信息对应的用户属性信息，并获取访问请求对应的访问行为特征，得到多次访问类型对应的用户特征。
85.在具体应用中，本实施来中的用户信息、用户属性信息与上述关于初次访问类型的实施例中相同的信息相同，在此不再赘述，详见上述关于初次访问类型的实施例的描述。并且，访问请求对应的访问行为特征用于表征目标用户进行访问请求对应的访问也就是本次访问所产生的特征，例如网络特征、设备特征、时间特征等等特征。获取访问请求对应的访问行为特征，具体可以包括：从访问请求中提取客户端的ip地址、设备mac地址、客户端信息例如浏览器信息、访问时间点等等。其中，浏览器信息可以为浏览器版本信息、浏览器名称等等浏览器的属性信息。相应地，在训练得到分类模型的阶段也就是离线阶段，样本集中的第二用户特征可以包括进行了历史访问的历史用户的访问行为特征，例如，历史用户进行历史访问时的ip地址、设备mac地址、浏览器信息、访问时间点等等特征。这样，本实施例结合用户的访问行为特征进行权限确定，减少随着时间推移可能存在的冒充目标用户的违规用户导致的安全风险。
86.在一种可选的实施方式中，访问类型包括：初次访问类型或者多次访问类型；
87.相应地，上述基于用户信息，识别目标用户的访问类型，具体可以包括如下步骤：
88.提取访问请求中的用户信息，从预先建立的访问权限库中查找用户信息对应的访问权限；
89.若查找失败，则确定目标用户的访问类型为初次访问类型，若查找成功，则确定目标用户的访问类型为多次访问类型。
90.在具体应用中，访问权限库可以与上述图1实施例中的策略集相同，或者，访问权限库可以为对历史访问的历史用户的用户信息和访问权限进行记录得到的，或者，访问权限库可以是在策略集的基础上，添加进行了初次访问的新增用户的用户信息和访问权限后得到的，这都是合理的。这样，从预先建立的访问权限库中查找用户信息对应的访问权限，若查找失败，则表明目标用户为第一次访问的新用户，因此，可以确定目标用户的访问类型为初次访问类型；若查找成功，则表明目标用户至少是第二次进行访问，因此，可以确定目标用户的访问类型为多次访问类型。因此，本实施例可以利用访问权限库兼顾用户的访问类型识别和权限记录，无需额外设置识别访问类型的模型。
91.在一种可选的实施方式中，访问请求为访问目标资源的请求，针对不同资源设置不同的访问权限；
92.相应地，上述基于用户特征，确定目标用户的访问权限，具体可以包括如下步骤：
93.基于访问请求，确定用户请求访问的目标资源的资源信息；
94.基于用户特征和目标资源的资源信息，确定目标用户的访问权限。
95.在具体应用中，基于访问请求，确定用户请求访问的目标资源的资源信息，可以包括：从访问请求中提取目标资源的资源信息。其中，目标资源的资源信息用于表征目标资源的唯一性，可以包括目标资源的标识、名称、存储地址、统一资源定位符等等。并且，基于用户特征和目标资源的资源信息，确定目标用户的访问权限的方式可以是多种的，为了便于理解，下面以示例性描述的形式进行说明。
96.示例性的，基于用户特征和目标资源的资源信息，确定目标用户的访问权限，可以包括：查找预先建立的资源信息、用户特征与访问权限的对应关系，查找目标用户的用户特征以及目标资源的资源信息均对应的访问权限。或者，示例性的，基于用户特征和目标资源的资源信息，确定目标用户的访问权限，可以包括：计算目标用户与历史访问资源信息对应资源的历史用户间的相似度，将相似度大于相似度阈值的历史用户的访问权限，确定为目标用户的访问权限。或者，示例性的，基于用户特征，确定目标用户的访问权限，可以包括：查找目标资源的资源信息对应的预先训练得到的分类模型，将用户特征输入该分类模型，得到目标用户的访问权限。其中该分类模型为利用资源信息对应的样本集训练得到的，资源信息对应的样本集包括：资源信息对应资源的历史访问用户的用户特征，以及历史访问用户对资源信息对应资源的访问权限标签。
97.这样，本实施例可以在针对不同资源设置不同的访问权限的情况下，实现对同一用户对不同资源的访问权限的确定。因此，与同一用户对任何资源均具有相同权限相比，可以实现更加合理的访问响应，进一步提高访问响应的安全性。
98.下述结合附图4，以本说明书提供的访问响应方法在访问响应的应用为例，对所述访问响应方法进行进一步说明。其中，图4示出了本说明书一个实施例提供的一种访问响应方法的另一种应用场景示例图，以基于机器学习进行访问权限确定的情况为例，具体包括以下步骤：
99.阶段一：离线阶段。策略集的全量数据按照预设比例随机拆分为训练集、测试集两个数据集。训练集用于通过s11，离线训练的步骤，训练得到上述分类模型，例如，二分类机器学习模型，二分类机器学习模型的输出为允许访问或者不允许访问两种访问权限。测试集用于检测进行训练的模型的准确率。训练得到的分类模型可以用于阶段二的在线决策。并且，在零信任新员工赋权的方案中，机器学习模型提取的用户特征包括员工的职级、部门、同事关系、直属主管、职业类别。
100.阶段二：在线阶段。s21，发送访问请求以进行在线决策，进而在决策结果为允许访问的情况下进行s22，访问资源，并执行s23，资源反馈，也就是反馈资源至客户端。具体的，用户通过客户端请求访问某个应用程序，例如通过浏览器输入应用程序的url地址得到并发送访问请求至决策引擎。决策引擎收到请求后，将访问事件标准化，例如将url地址归一化，提取出域名，与用户身份信息绑定，得到标准化的访问请求，并发起请求策略匹配也就是访问权限确定：识别访问类型，获取与访问类型对应的用户特征，将用户特征输入离线模型也就是分类模型，预测对该次访问请求是否允许访问。如果预测结果为允许访问，则请求对应的资源。
101.在上述基础上，该用户的访问行为特征将同步至策略集，作为新的用户特征对策略集进行更新，该用户的访问行为特征可以包括用户访问时间、使用的浏览器、网络ip地
址、设备mac地址等。对于员工再次访问的场景，更新的策略集可以增强在线决策的能力，用户的动态特征将会影响决策的结果：当下一次该员工再次访问相同的资源时，可以结合静态特征也就是用户属性信息、动态特征也即是访问行为特征进权限确定。
102.与上述方法实施例相对应，本说明书还提供了访问响应装置实施例，图5示出了本说明书一个实施例提供的一种访问响应装置的结构示意图。如图5所示，该装置包括：
103.请求接收模块502，被配置为接收客户端发送的访问请求，其中，所述访问请求包括目标用户的用户信息；
104.类型识别模块504，被配置为基于所述用户信息，识别所述目标用户的访问类型，其中，所述访问类型表征所述目标用户请求访问的次数；
105.特征获取模块506，被配置为基于所述访问类型，获取所述访问类型对应的用户特征；
106.请求响应模块508，被配置为基于所述用户特征，确定所述目标用户的访问权限，根据所述访问权限，对所述访问请求进行响应。
107.这样，本说明书的实施例基于用户信息，识别目标用户的访问类型，进而基于访问类型，获取访问类型对应的用户特征；基于用户特征，确定目标用户的访问权限；从而根据访问权限，对访问请求进行响应。并且，访问类型表征目标用户请求访问的次数。因此，可以实现针对不同访问次数的目标用户获取不同的用户特征，访问次数不同则用户特征及安全风险不同，相应地，获取不同的用户特征并确定不同的访问权限。因此，可以保证访问权限与安全风险更加匹配。并且，访问次数随着时间推移会变动，因此，可以保证每次资源访问均进行访问权限的确定，减少一次权限确定后不再进行权限确定导致的资源响应安全漏洞。因此，本方案可以保证访问响应更加可靠。
108.可选地，所述用户特征包括所述目标用户的第一用户特征以及历史访问产生的第二用户特征；
109.相应地，所述请求响应模块508，进一步被配置为：
110.确定所述第一用户特征与第二用户特征的相似度，选取相似度达到相似度阈值的第二用户特征对应的访问权限，确定为所述目标用户的访问权限。
111.可选地，所述用户特征包括所述目标用户的第一用户特征；
112.相应地，所述请求响应模块508，进一步被配置为：
113.将所述第一用户特征输入预先训练得到的分类模型，得到所述目标用户的访问权限，其中，所述分类模型为利用样本集训练得到的，所述样本集包括：历史访问产生的第二用户特征、以及所述第二用户特征的访问权限标记。
114.可选地，所述装置还包括：离线训练模块，被配置为：
115.在所述目标用户的访问权限为允许访问的情况下，获取所述目标用户本次访问的访问行为特征、以及用户属性特征，得到与多次访问类型对应的第二用户特征，并将所述目标用户的访问权限添加为所述与多次访问类型对应的第二用户特征的访问权限标记；
116.将所述与多次访问类型对应的第二用户特征、以及相应的访问权限标记添加至所述样本集，得到更新的样本集；
117.利用所述更新的样本集进行所述分类模型的训练，获得更新的分类模型。
118.可选地，所述访问类型包括：初次访问类型；
119.相应地，所述特征获取模块506，进一步被配置为：
120.提取所述访问请求中的用户信息，查找与所述用户信息对应的用户属性信息，获得所述初次访问类型对应的用户特征。
121.可选地，所述访问类型包括：多次访问类型；
122.相应地，所述特征获取模块506，进一步被配置为：
123.提取所述访问请求中的用户信息，查找与所述用户信息对应的用户属性信息，并获取所述访问请求对应的访问行为特征，得到所述多次访问类型对应的用户特征。
124.可选地，所述访问类型包括：初次访问类型或者多次访问类型；
125.相应地，所述类型识别模块504，进一步被配置为：
126.提取所述访问请求中的用户信息，从预先建立的访问权限库中查找所述用户信息对应的访问权限；
127.若查找失败，则确定所述目标用户的访问类型为初次访问类型，若查找成功，则确定所述目标用户的访问类型为多次访问类型。
128.可选地，所述访问请求为访问目标资源的请求，针对不同资源设置不同的访问权限；
129.相应地，所述请求响应模块508，进一步被配置为：
130.基于所述访问请求，确定所述用户请求访问的目标资源的资源信息；
131.基于所述用户特征和所述目标资源的资源信息，确定所述目标用户的访问权限。
132.上述为本实施例的一种访问响应装置的示意性方案。需要说明的是，该访问响应装置的技术方案与上述的访问响应方法的技术方案属于同一构思，访问响应装置的技术方案未详细描述的细节内容，均可以参见上述访问响应方法的技术方案的描述。
133.图6示出了根据本说明书一个实施例提供的一种计算设备的结构框图。该计算设备600的部件包括但不限于存储器610和处理器620。处理器620与存储器610通过总线630相连接，数据库650用于保存数据。
134.计算设备600还包括接入设备640，接入设备640使得计算设备600能够经由一个或多个网络660通信。这些网络的示例包括公用交换电话网(pstn，public switched telephone network)、局域网(lan，local area network)、广域网(wan，wide area network)、个域网(pan，personal area network)或诸如因特网的通信网络的组合。接入设备640可以包括有线或无线的任何类型的网络接口(例如，网络接口卡(nic，network interface controller))中的一个或多个，诸如ieee802.11无线局域网(wlan，wireless localarea networks)无线接口、全球微波互联接入(wi-max，worldwide interoperability for microwave access)接口、以太网接口、通用串行总线(usb，universal serial bus)接口、蜂窝网络接口、蓝牙接口、近场通信(nfc，near field communication)接口，等等。
135.在本说明书的一个实施例中，计算设备600的上述部件以及图6中未示出的其他部件也可以彼此相连接，例如通过总线。应当理解，图6所示的计算设备结构框图仅仅是出于示例的目的，而不是对本说明书范围的限制。本领域技术人员可以根据需要，增添或替换其他部件。
136.计算设备600可以是任何类型的静止或移动计算设备，包括移动计算机或移动计
算设备(例如，平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如，智能手机)、可佩戴的计算设备(例如，智能手表、智能眼镜等)或其他类型的移动设备，或者诸如台式计算机或pc的静止计算设备。计算设备600还可以是移动式或静止式的服务器。
137.其中，处理器620用于执行如下计算机可执行指令，该计算机可执行指令被处理器执行时实现上述访问响应方法的步骤。
138.上述为本实施例的一种计算设备的示意性方案。需要说明的是，该计算设备的技术方案与上述的访问响应方法的技术方案属于同一构思，计算设备的技术方案未详细描述的细节内容，均可以参见上述访问响应方法的技术方案的描述。
139.本说明书一实施例还提供一种计算机可读存储介质，其存储有计算机可执行指令，该计算机可执行指令被处理器执行时实现上述访问响应方法的步骤。
140.上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是，该存储介质的技术方案与上述的访问响应方法的技术方案属于同一构思，存储介质的技术方案未详细描述的细节内容，均可以参见上述访问响应方法的技术方案的描述。
141.本说明书一实施例还提供一种计算机程序，其中，当所述计算机程序在计算机中执行时，令计算机执行上述访问响应方法的步骤。
142.上述为本实施例的一种计算机程序的示意性方案。需要说明的是，该计算机程序的技术方案与上述的访问响应方法的技术方案属于同一构思，计算机程序的技术方案未详细描述的细节内容，均可以参见上述访问响应方法的技术方案的描述。
143.上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
144.所述计算机指令包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、电载波信号、电信信号以及软件分发介质等。
145.需要说明的是，对于前述的各方法实施例，为了简便描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本说明书实施例并不受所描述的动作顺序的限制，因为依据本说明书实施例，某些步骤可以采用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定都是本说明书实施例所必须的。
146.在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。
147.以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书实施例的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解
释本说明书实施例的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。