一种风险评估的方法、装置、电子设备及介质

技术领域

本申请涉及通信技术领域，具体而言，涉及一种风险评估的方法、装置、电子设备及介质。

背景技术

零信任是一个安全概念，是指系统不应自动信任内部或外部的任何对象，应在对任何试图接入系统的对象进行风险评估，在风险评估通过之后，才会向其提供请求的访问服务。

现有技术下，在零信任系统中，服务器通常根据用户终端的设备信息对其进行风险评估，以判断该用户终端是否可信，是否可以向其提供服务。

但是，采用这种方式，风险评估的准确度较差，进而导致系统安全性较低。

发明内容

本申请实施例的目的在于提供一种风险评估的方法、装置、电子设备及介质，用以在服务访问的过程中，提高风险评估的准确性以及系统安全性。

一方面，提供一种风险评估的方法，包括：

接收用户终端发送的访问请求；

基于访问请求，获取用户终端的服务风险信息，服务风险信息是根据用户终端的终端环境风险信息以及访问请求对应的目标服务的历史访问风险信息生成的；

根据服务风险信息，进行风险评估；

若确定风险评估通过，则基于目标服务向用户终端返回访问响应消息。

一种实施方式中，根据服务风险信息，进行风险评估，包括：

若访问请求为登录请求，则根据服务风险信息，针对登录请求进行风险评估；

若访问请求为应用列表获取请求，则根据服务风险信息，针对应用列表获取请求进行风险评估；

若访问请求为应用访问请求，则根据服务风险信息，针对应用访问请求进行风险评估。

一种实施方式中，据服务风险信息，针对登录请求进行风险评估，包括：

若访问请求为登录请求，则确定目标服务为认证服务；

采用安全策略服务规则，基于终端环境风险信息，进行设备风险评估；

若确定设备风险评估通过，则基于认证服务对访问请求中的身份信息进行身份验证；

若确定身份验证通过，则采用安全策略服务规则，基于历史访问风险信息，进行访问风险评估。

一种实施方式中，根据服务风险信息，针对应用列表获取请求进行风险评估，包括：

若访问请求为应用列表获取请求，则确定目标服务为认证服务和权限服务；

采用安全策略服务规则，基于终端环境风险信息，进行设备风险评估；

若确定设备风险评估通过，则基于认证服务，对访问请求中的令牌信息进行权限验证；

若确定验证通过，则采用安全策略服务规则，基于认证服务对应的历史访问风险信息，进行访问风险评估；

若确定访问风险初次评估通过，则采用安全策略服务规则，基于权限服务对应的历史访问风险信息，再次进行访问风险评估。

一种实施方式中，根据服务风险信息，针对应用访问请求进行风险评估，包括：

若访问请求为应用访问请求，则确定目标服务为认证服务和权限服务；

采用安全策略服务规则，基于终端环境风险信息，进行设备风险评估；

若确定设备风险评估通过，则基于认证服务，对访问请求中的令牌信息进行鉴权；

若确定鉴权通过，则采用安全策略服务规则，分别对终端环境风险信息以及历史访问风险信息进行风险评估。

一种实施方式中，基于目标服务向用户终端返回访问响应消息，包括：

若访问请求为登录请求，则确定目标服务为认证服务，并基于认证服务，向用户终端返回包含令牌信息的访问响应消息；

若访问请求为应用列表获取请求，则确定目标服务为认证服务和权限服务，并基于认证服务和权限服务向用户终端返回包含授权应用列表的访问响应消息；

若访问请求为应用访问请求，则确定目标服务为认证服务和权限服务，并基于认证服务和权限服务，向用户终端返回包含访问权限的访问响应消息。

一方面，提供一种风险评估的装置，包括：

接收单元，用于接收用户终端发送的访问请求；

获取单元，用于基于访问请求，获取用户终端的服务风险信息，服务风险信息是根据用户终端的终端环境风险信息以及访问请求对应的目标服务的历史访问风险信息生成的；

评估单元，用于根据服务风险信息，进行风险评估；

返回单元，用于若确定风险评估通过，则基于目标服务向用户终端返回访问响应消息。

一种实施方式中，评估单元用于：

若访问请求为登录请求，则根据服务风险信息，针对登录请求进行风险评估；

若访问请求为应用列表获取请求，则根据服务风险信息，针对应用列表获取请求进行风险评估；

若访问请求为应用访问请求，则根据服务风险信息，针对应用访问请求进行风险评估。

一种实施方式中，评估单元用于：

若访问请求为登录请求，则确定目标服务为认证服务；

采用安全策略服务规则，基于终端环境风险信息，进行设备风险评估；

若确定设备风险评估通过，则基于认证服务对访问请求中的身份信息进行身份验证；

若确定身份验证通过，则采用安全策略服务规则，基于历史访问风险信息，进行访问风险评估。

一种实施方式中，评估单元用于：

若访问请求为应用列表获取请求，则确定目标服务为认证服务和权限服务；

采用安全策略服务规则，基于终端环境风险信息，进行设备风险评估；

若确定设备风险评估通过，则基于认证服务，对访问请求中的令牌信息进行权限验证；

若确定验证通过，则采用安全策略服务规则，基于认证服务对应的历史访问风险信息，进行访问风险评估；

若确定访问风险初次评估通过，则采用安全策略服务规则，基于权限服务对应的历史访问风险信息，再次进行访问风险评估。

一种实施方式中，评估单元用于：若访问请求为应用访问请求，则确定目标服务为认证服务和权限服务；

采用安全策略服务规则，基于终端环境风险信息，进行设备风险评估；

若确定设备风险评估通过，则基于认证服务，对访问请求中的令牌信息进行鉴权；

若确定鉴权通过，则采用安全策略服务规则，分别对终端环境风险信息以及历史访问风险信息进行风险评估。

一种实施方式中，返回单元用于：

若访问请求为登录请求，则确定目标服务为认证服务，并基于认证服务，向用户终端返回包含令牌信息的访问响应消息；

若访问请求为应用列表获取请求，则确定目标服务为认证服务和权限服务，并基于认证服务和权限服务向用户终端返回包含授权应用列表的访问响应消息；

若访问请求为应用访问请求，则确定目标服务为认证服务和权限服务，并基于认证服务和权限服务，向用户终端返回包含访问权限的访问响应消息。

一方面，提供了一种电子设备，包括处理器以及存储器，存储器存储有计算机可读取指令，当计算机可读取指令由处理器执行时，运行如上述任一种风险评估的各种可选实现方式中提供的方法的步骤。

一方面，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时运行如上述任一种风险评估的各种可选实现方式中提供的方法的步骤。

一方面，提供了一种计算机程序产品，计算机程序产品在计算机上运行时，使得计算机执行如上述任一种风险评估的各种可选实现方式中提供的方法的步骤。

本申请实施例提供的一种风险评估的方法、装置、电子设备及介质中，接收用户终端发送的访问请求；基于访问请求，获取用户终端的服务风险信息，服务风险信息是根据用户终端的终端环境风险信息以及访问请求对应的目标服务的历史访问风险信息生成的；根据服务风险信息，进行风险评估；若确定风险评估通过，则基于目标服务向用户终端返回访问响应消息。这样，在服务访问的过程中，提高了风险评估的准确性以及系统安全性。

本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种应用场景示意图；

图2为本申请实施例提供的一种风险评估的方法的流程图；

图3为本申请实施例提供的一种风险评估的装置的结构框图；

图4为本申请实施方式中一种电子设备的结构示意图。

具体实施方式

下面将结合本申请实施例中附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本申请的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

首先对本申请实施例中涉及的部分用语进行说明，以便于本领域技术人员理解。

终端设备：可以是移动终端、固定终端或便携式终端，例如移动手机、站点、单元、设备、多媒体计算机、多媒体平板、互联网节点、通信器、台式计算机、膝上型计算机、笔记本计算机、上网本计算机、平板计算机、个人通信系统设备、个人导航设备、个人数字助理、音频/视频播放器、数码相机/摄像机、定位设备、电视接收器、无线电广播接收器、电子书设备、游戏设备或者其任意组合，包括这些设备的配件和外设或者其任意组合。还可预见到的是，终端设备能够支持任意类型的针对用户的接口(例如可穿戴设备)等。

服务器：可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务以及大数据和人工智能平台等基础云计算服务的云服务器。

为了在服务访问的过程中，可以提高风险评估的准确性以及系统安全性，本申请实施例提供了一种风险评估的方法、装置、电子设备及介质。

本申请实施例应用于风险评估系统中的电子设备，风险评估系统还可以包括用户终端。电子设备可以为服务器，也可以为终端设备。用户终端可以为终端设备。下面以电子设备为服务器为例进行说明。参阅图1所示，为本申请实施例提供的一种风险评估的方法的流程图，该方法的具体实施流程如下：

步骤100：接收用户终端发送的访问请求；步骤101：基于访问请求，获取用户终端的服务风险信息，服务风险信息是根据用户终端的终端环境风险信息以及访问请求对应的目标服务的历史访问风险信息生成的；步骤102：根据服务风险信息，进行风险评估；步骤103：若确定风险评估通过，则基于目标服务向用户终端返回访问响应消息。

一种实施方式中，在步骤100的实现过程中，访问请求可以包括但不限于以下几种请求：登录请求、应用列表获取请求以及应用访问请求。

其中，在执行步骤101之前，还可以预先设置风险源(即务风险信息的来源)，即配置那些情况或行为(如，页面访问)会生成服务风险信息的模块，以便后续根据风险源的服务风险信息进行风险评估。

作为一个示例，在安全策略服务风险注册功能页面，配置多个风险信息的来源和定义，具体如下：

风险名称：用户多次认证失败；参数名：usrdeny_authn；风险类型：认证服务；风险说明：用户短时间内多次认证失败。

风险名称：异常时间登录风险；参数名：anomalytime_authn；风险类型：认证服务；风险说明:同一实体异常时间认证失败。

风险名称：异常设备登录风险；参数名：anomalyeq_autho；风险类型：权限服务；风险说明:同一实体鉴权与上次登录设备标记是是否一致。

参阅图2所示，为一种风险评估的功能模块示意图。图2中，包括用户终端、终端环境感知模块、安全策略服务模块、认证服务模块、权限服务模块以及应用服务模块。其中，终端环境感知模块用于获取用户终端的终端环境风险信息。认证服务模块用于执行认证服务。权限服务模块用于执行权限服务。应用服务模块用于提供应用服务。

作为一个示例，将图2中的各个模块，均注册为风险源，如，认证服务模块、权限服务模块以及用于获取用户终端的终端环境风险信息的终端环境感知模块。

为提高后续风险评估的准确性，本申请实施例中，扩大了服务风险信息的覆盖范围，除了基于用户终端的终端环境风险信息获得服务风险信息，还基于访问请求对应的目标服务的历史访问风险信息获得服务风险信息。

具体的，步骤101的实现过程可以包括以下步骤：

S1011：获取用户终端推送的终端环境风险信息，或者，向用户终端发送运行信息请求并接收用户终端基于运行信息请求返回的终端环境风险信息；

一种实施方式中，用户终端周期性地向服务器发送终端环境风险信息。

一种实施方式中，服务器向用户终端发送运行信息请求。用户终端确定接收到服务器的运行信息请求时，基于运行信息请求返回的终端环境风险信息。

S1012：获取用户终端针对目标服务的历史访问风险信息；

为针对不同场景进行准确地个性化风险评估，提高针对用户终端的风险评估的准确性，步骤102的实现过程可以包括以下任一方式：

方式1：若访问请求为登录请求，则根据服务风险信息，针对登录请求进行风险评估。

方式2：若访问请求为应用列表获取请求，则根据服务风险信息，针对应用列表获取请求进行风险评估。

方式3：若访问请求为应用访问请求，则根据服务风险信息，针对应用访问请求进行风险评估。

其中，方式1的实现过程可以包括以下步骤：

S1021-1：若访问请求为登录请求，则确定目标服务为认证服务。

S1021-2：采用安全策略服务规则，基于终端环境风险信息，进行设备风险评估。

实际应用中，安全策略服务规则可以根据实际应用场景进行设置，在此不作限制。

作为一个示例，结合图2所示，用户通过用户终端(如，手机)中的客户端访问服务器中的业务应用系统。服务器中的业务应用系统确定接收都用户的登录请求时，获取用户终端推送到服务器中的终端环境感知模块

的终端环境风险信息，并从终端环境风险信息中提取出终端环境风险信息；5将终端环境风险信息发送到服务器中的安全策略服务模块。安全策略服务模块采用安全策略服务规则，基于终端环境风险信息，进行设备风险评估。S1021-3：若确定设备风险评估通过，则基于认证服务对访问请求中的身份信息进行身份验证。

具体的，结合图2所示，若确定设备风险评估通过，则向获取访问请0求中的身份信息，并将该身份信息发送至认证服务模块。认证服务模块基

于该身份信息，对用户终端进行身份验证。

例如，对用户的账号信息或者手机号进行身份验证。

S1021-4：若确定身份验证通过，则采用安全策略服务规则，基于历史访问风险信息，进行访问风险评估。

5具体的，结合图2所示，确定身份验证通过后，将认证服务模块中的历史访问风险信息发送至安全策略服务模块。安全策略服务模块采用安全策略服务规则，基于历史访问风险信息，进行访问风险评估。

这样，就可以通过认证服务模块中的历史访问风险信息，进行风险评

估，以便在后续步骤中，确定风险评估通过时，向用户终端返回令牌信息，0该令牌信息中可以包括用户信息以及权限信息，以便用户可以通过该令牌信息实现登录。

其中，方式2的实现过程可以包括以下步骤：

S1022-1：若访问请求为应用列表获取请求，则确定目标服务为认证服务和权限服务。

5具体的，用户基于令牌信息登录之后，向服务器发送应用列表获取请

求。服务器在接收到应用列表获取请求时，依次需要通过认证服务模块和权限服务模块进行后续的处理。

S1022-2：采用安全策略服务规则，基于终端环境风险信息，进行设备风险评估。

具体步骤参见上述S1021-2，在此不做赘述。

S1022-3：若确定设备风险评估通过，则基于认证服务，对访问请求中的令牌信息进行权限验证。

具体的，结合图2所示，认证服务模块确定接收到安全策略服务模块发送的设备风险评估结果时，基于认证服务，对访问请求中的令牌信息进行权限验证。

S1022-4：若确定验证通过，则采用安全策略服务规则，基于认证服务对应的历史访问风险信息，进行访问风险评估。

具体的，结合图2所示，认证服务模块确定验证通过后，将用户终端的历史认证过程中的历史访问风险信息发送至安全策略服务模块。安全策略服务模块基于该历史访问风险信息进行访问风险评估。

S1022-5：若确定访问风险初次评估通过，则采用安全策略服务规则，基于权限服务对应的历史访问风险信息，再次进行访问风险评估。

具体的，结合图2所示，认证服务模块确定接收到安全策略服务模块返回的访问风险初次评估通过结果时，将令牌信息发送至权限服务模块。权限服务模块将用户终端在历史权限服务过程中的历史访问风险信息，发送至安全策略服务模块。安全策略服务模块基于该历史访问风险信息进行访问风险评估。

这样，就可以在访问风险评估再次评估通过后，在后续步骤中，基于令牌信息确定出的授权的应用列表返回给用户终端。

其中，方式3的实现过程可以包括以下步骤：

S1023-1：若访问请求为应用访问请求，则确定目标服务为认证服务和权限服务；

S1023-2：采用安全策略服务规则，基于终端环境风险信息，进行设备风险评估；

S1023-3：若确定设备风险评估通过，则基于认证服务，对访问请求中的令牌信息进行鉴权；

具体的，认证服务模块可以对令牌信息中的权限信息进行鉴权。

S1023-4：若确定鉴权通过，则采用安全策略服务规则，分别对终端环境风险信息以及历史访问风险信息进行风险评估。

基于与方式1和方式2相似的原理，进行方式3中的设备风险评估以及访问风险评估，在此不做赘述。

这样，在确定访问评估通过之后，在后续步骤中，就可以向用户终端提供相应的访问服务。

其中，在执行步骤102之前，可以预先配置安全策略服务规则。

例如，在安全策略服务风险策略功能页面配置安全策略服务规则，包括：策略名称：认证服务策略；策略类型：风险评估；信任级别：不可信；添加风险类型：认证服务；添加风险项：用户多次认证失败(信任级别分别为：完全可信、可信、可疑、严重可疑、不可信、完全不可信)。

其中，认证服务模块与权限服务模块位于同一服务器，安全策略服务模块可以与认证服务模块位于同一服务器，也可以位于其他设备。

一种实施方式中，可以分别在安全策略服务模块、认证服务模块以及权限服务模块进行通信地址配置，以实现各服务之间的数据通信。

作为一种示例，在认证服务联动配置的功能页面配置安全策略服务模块的互联网协议(Internet Protocol，IP)地址、服务端口以及统一资源定位符(Uniform ResourceLocator，URL)。认证服务模块通过联动配置中配置的地址将历史访问风险信息(如，用户多次认证失败的信息)推送给安全策略服务模块。在安全策略服务对应的功能页面配置认证服务的IP地址、服务端口以及URL。则安全策略服务可以通过配置好的通信地址信息，将风险评估结果推送给认证服务，例如：用户多次认证失败风险信息的风险评估结果为：不可信，则安全策略服务将“不可信”的结果推送给认证服务。同理，还可以在权限服务联动配置的功能页面配置安全策略服务模块的互联网协议IP地址、服务端口以及统一资源定位符URL；在安全策略服务对应的功能页面配置权限服务的IP地址、服务端口以及URL，以实现权限服务与安全策略服务之间的通信。

其中，安全策略服务模块进行风险评估时，可以采用以下方式：

提取服务风险信息中的风险种类，并确定风险种类对应的风险源，以及提取服务风险信息中的参数，并根据该参数确定风险评估结果。

例如，认证服务模块推送至安全策略服务模块的历史访问风险信息为：用户多次认证失败。安全策略服务模块提取历史访问风险信息的风险种类和风险参数“usrdeny_authn”，若确定该风险种类和风险参数为指定风险信息，则该用户不可信。若认证服务模块推送的历史访问风险信息为：用户认证成功，安全策略服务模块确定发现不为指定风险信息，则不做处理。

一种实施方式中，为提高系统安全性，在风险评估通过后提供相应的访问服务，步骤103的实现过程可以包括：

S1031：若访问请求为登录请求，则确定目标服务为认证服务，并基于认证服务，向用户终端返回包含令牌信息的访问响应消息。

S1032：若访问请求为应用列表获取请求，则确定目标服务为认证服务和权限服务，并基于认证服务和权限服务向用户终端返回包含授权应用列表的访问响应消息。

S1033：若访问请求为应用访问请求，则确定目标服务为认证服务和权限服务，并基于认证服务和权限服务，向用户终端返回包含访问权限的访问响应消息。

例如：认证服务接收到安全策略服务推送的风险评估结果为：不可信，则限制用户的登录认证。如果认证服务未收到风险评估结果或者风险评估结果为：“可信”，则用户可以正常登录认证。

一种实施方式中，服务器接收用户终端发送的登录请求，若确定风险评估通过，则向用户终端返回包含令牌信息的访问响应消息。用户终端基于令牌信息，向服务器发送应用列表获取请求。若确定风险评估通过，则服务器基于认证服务和权限服务向用户终端返回包含授权应用列表的访问响应消息。用户终端从授权应用列表选取需要访问的应用，并基于选取的应用以及令牌信息，向服务器发送针对该应用的应用访问请求。若确定风险评估通过，则服务器基于认证服务和权限服务，向用户终端返回包含访问权限的访问响应消息。用户终端接收到包含访问权限的访问响应消息后，可以获取图2中的应用服务模块提供的应用服务。

进一步的，在用户终端接收到包含访问权限的访问响应消息之后，若再次向服务器发送访问请求，则服务器获取用户终端当前的终端环境风险信息以及该访问请求对应的目标服务的历史访问风险信息，并通过该终端环境风险信息以及历史访问风险信息，对用户终端再次进行风险评估，若该终端环境风险信息以及历史访问风险信息没有变化，则用户终端的访问权限不变，否则，根据风险评估结果中的信任级别，进行相应的处理。

本申请实施例中，将访问请求关联的各服务模块均作为风险源，极大地扩大了服务风险信息的覆盖范围，实现了全方位的、实时的收集零信息体系中的风险信息，进行风险评估，进而提高了风险评估的准确性，以及通过监控零信任体系各个模块的服务风险信息，可以实时评估用户终端和零信任体系各个模块的信任级别，从而能够更及时有效的进行了安全防护，终端访问业务系统过程中，可以对业务资源进行更严密，更全面的安全保护。

基于同一发明构思，本申请实施例中还提供了一种风险评估的装置，由于上述装置及设备解决问题的原理与一种风险评估的方法相似，因此，上述装置的实施可以参见方法的实施，重复之处不再赘述。

如图3所示，其为本申请实施例提供的一种风险评估的装置的结构框图，包括：

接收单元301，用于接收用户终端发送的访问请求；

获取单元302，用于基于访问请求，获取用户终端的服务风险信息，服务风险信息是根据用户终端的终端环境风险信息以及访问请求对应的目标服务的历史访问风险信息生成的；

评估单元303，用于根据服务风险信息，进行风险评估；

返回单元304，用于若确定风险评估通过，则基于目标服务向用户终端返回访问响应消息。

一种实施方式中，评估单元303用于：

若访问请求为登录请求，则根据服务风险信息，针对登录请求进行风险评估；

若访问请求为应用列表获取请求，则根据服务风险信息，针对应用列表获取请求进行风险评估；

若访问请求为应用访问请求，则根据服务风险信息，针对应用访问请求进行风险评估。

一种实施方式中，评估单元303用于：

若访问请求为登录请求，则确定目标服务为认证服务；

采用安全策略服务规则，基于终端环境风险信息，进行设备风险评估；

若确定设备风险评估通过，则基于认证服务对访问请求中的身份信息进行身份验证；

若确定身份验证通过，则采用安全策略服务规则，基于历史访问风险信息，进行访问风险评估。

一种实施方式中，评估单元303用于：

若访问请求为应用列表获取请求，则确定目标服务为认证服务和权限服务；

采用安全策略服务规则，基于终端环境风险信息，进行设备风险评估；

若确定设备风险评估通过，则基于认证服务，对访问请求中的令牌信息进行权限验证；

若确定验证通过，则采用安全策略服务规则，基于认证服务对应的历史访问风险信息，进行访问风险评估；

若确定访问风险初次评估通过，则采用安全策略服务规则，基于权限服务对应的历史访问风险信息，再次进行访问风险评估。

一种实施方式中，评估单元303用于：若访问请求为应用访问请求，则确定目标服务为认证服务和权限服务；

采用安全策略服务规则，基于终端环境风险信息，进行设备风险评估；

若确定设备风险评估通过，则基于认证服务，对访问请求中的令牌信息进行鉴权；

若确定鉴权通过，则采用安全策略服务规则，分别对终端环境风险信息以及历史访问风险信息进行风险评估。

一种实施方式中，返回单元304用于：

若访问请求为登录请求，则确定目标服务为认证服务，并基于认证服务，向用户终端返回包含令牌信息的访问响应消息；

若访问请求为应用列表获取请求，则确定目标服务为认证服务和权限服务，并基于认证服务和权限服务向用户终端返回包含授权应用列表的访问响应消息；

若访问请求为应用访问请求，则确定目标服务为认证服务和权限服务，并基于认证服务和权限服务，向用户终端返回包含访问权限的访问响应消息。

本申请实施例提供的一种风险评估的方法、装置、电子设备及介质中，接收用户终端发送的访问请求；基于访问请求，获取用户终端的服务风险信息，服务风险信息是根据用户终端的终端环境风险信息以及访问请求对应的目标服务的历史访问风险信息生成的；根据服务风险信息，进行风险评估；若确定风险评估通过，则基于目标服务向用户终端返回访问响应消息。这样，在服务访问的过程中，提高了风险评估的准确性以及系统安全性。

图4示出了一种电子设备4000的结构示意图。参阅图4所示，电子设备4000包括：处理器4010以及存储器4020，可选的，还可以包括电源4030、显示单元4040、输入单元4050。

处理器4010是电子设备4000的控制中心，利用各种接口和线路连接各个部件，通过运行或执行存储在存储器4020内的软件程序和/或数据，执行电子设备4000的各种功能，从而对电子设备4000进行整体监控。

本申请实施例中，处理器4010调用存储器4020中存储的计算机程序时执行上述实施例中的各个步骤。

可选的，处理器4010可包括一个或多个处理单元；优选的，处理器4010可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器4010中。在一些实施例中，处理器、存储器、可以在单一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。

存储器4020可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、各种应用等；存储数据区可存储根据电子设备4000的使用所创建的数据等。此外，存储器4020可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件等。

电子设备4000还包括给各个部件供电的电源4030(比如电池)，电源可以通过电源管理系统与处理器4010逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗等功能。

显示单元4040可用于显示由用户输入的信息或提供给用户的信息以及电子设备4000的各种菜单等，本发明实施例中主要用于显示电子设备4000中各应用的显示界面以及显示界面中显示的文本、图片等对象。显示单元4040可以包括显示面板4041。显示面板4041可以采用液晶显示屏(Liquid Crystal Display，LCD)、有机发光二极管(Organic Light-Emitting Diode，OLED)等形式来配置。

输入单元4050可用于接收用户输入的数字或字符等信息。输入单元4050可包括触控面板4051以及其他输入设备4052。其中，触控面板4051，也称为触摸屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触摸笔等任何适合的物体或附件在触控面板4051上或在触控面板4051附近的操作)。

具体的，触控面板4051可以检测用户的触摸操作，并检测触摸操作带来的信号，将这些信号转换成触点坐标，发送给处理器4010，并接收处理器4010发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板4051。其他输入设备4052可以包括但不限于物理键盘、功能键(比如音量控制按键、开关机按键等)、轨迹球、鼠标、操作杆等中的一种或多种。

当然，触控面板4051可覆盖显示面板4041，当触控面板4051检测到在其上或附近的触摸操作后，传送给处理器4010以确定触摸事件的类型，随后处理器4010根据触摸事件的类型在显示面板4041上提供相应的视觉输出。虽然在图4中，触控面板4051与显示面板4041是作为两个独立的部件来实现电子设备4000的输入和输出功能，但是在某些实施例中，可以将触控面板4051与显示面板4041集成而实现电子设备4000的输入和输出功能。

电子设备4000还可包括一个或多个传感器，例如压力传感器、重力加速度传感器、接近光传感器等。当然，根据具体应用中的需要，上述电子设备4000还可以包括摄像头等其它部件，由于这些部件不是本申请实施例中重点使用的部件，因此，在图4中没有示出，且不再详述。

本领域技术人员可以理解，图4仅仅是电子设备的举例，并不构成对电子设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件。

本申请实施例中，一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时，使得通信设备可以执行上述实施例中的各个步骤。

为了描述的方便，以上各部分按照功能划分为各模块(或单元)分别描述。当然，在实施本申请时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。