CN114531295A - 一种用户行为审计系统、方法、设备及存储介质 - Google Patents
一种用户行为审计系统、方法、设备及存储介质 Download PDFInfo
- Publication number
- CN114531295A CN114531295A CN202210193856.XA CN202210193856A CN114531295A CN 114531295 A CN114531295 A CN 114531295A CN 202210193856 A CN202210193856 A CN 202210193856A CN 114531295 A CN114531295 A CN 114531295A
- Authority
- CN
- China
- Prior art keywords
- user
- information
- module
- user authentication
- auditing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种一种用户行为审计系统、方法、设备及存储介质,所述系统包括:业务客户端、信息传输模块、用户认证模块和审计模块;业务客户端用于获取用户信息,用户信息包括:用户行为信息和用户认证令牌;信息传输模块,用于将用户信息发送至用户认证模块;用户认证模块,用于对用户信息中的用户认证令牌进行解密得到用户认证信息,基于用户认证信息进行用户身份认证,将通过用户身份认证的用户行为信息发送至审计模块;审计模块用于对通过用户身份认证的用户行为信息进行审计,能够对业务系统中的用户行为信息进行用户认证和全面的审计工作,以提高业务系统的网络安全。
Description
技术领域
本发明实施例涉及审计管理技术领域,尤其涉及一种用户行为审计系统、方法、设备及存储介质。
背景技术
随着对网络安全的重视,用户在使用各类网络软件时,往往会产生各类用户行为操作,用户的行为操作可能存在操作者身份不明确,操作过程不透明、操作行为不可控、操作事故无法定位等安全风险。
因此,需要用户行为进行实时记录和审计,利用审计机制可以有针对性地对网络运行的状况和过程进行记录、跟踪和审查,以从中发现安全问题。但是目前对用户行为的审计仅在于是否合规,缺少完善的用户行为审计系统。
发明内容
本发明提供了一种用户行为审计系统、方法、设备及存储介质,能够对业务系统中的用户行为信息进行用户认证和全面的审计工作,以提高业务系统的网络安全。
根据本发明的一方面,提供了一种用户行为审计系统包括:业务客户端、信息传输模块、用户认证模块和审计模块;
所述业务客户端用于获取用户信息,所述用户信息包括:用户行为信息和用户认证令牌;
所述信息传输模块,用于将所述用户信息发送至所述用户认证模块;
所述用户认证模块,用于对所述用户信息中的用户认证令牌进行解密得到用户认证信息,基于所述用户认证信息进行用户身份认证,将通过用户身份认证的用户行为信息发送至所述审计模块;
所述审计模块用于对通过用户身份认证的用户行为信息进行审计。
进一步的,所述系统还包括:密钥管理模块,用于产生公钥和私钥,将所述公钥发送至所述业务客户端,将所述私钥发送至所述用户认证模块。
进一步的,所述业务客户端具体用于:
获取用户认证信息;
从所述密钥管理模块获取公钥;
基于所述公钥对所述用户认证信息进行加密得到用户认证令牌。
进一步的,所述用户认证模块具体用于:
接收所述密钥管理模块发送的私钥;
基于所述私钥对所述用户信息中的用户认证令牌进行解密得到用户认证信息。
进一步的,所述信息传输模块,具体用于:
将所述用户信息发送到kafka集群中存储;
通过所述用户认证模块对所述kafka集群的订阅,从所述kafka集群获取所述用户信息。
进一步的,所述用户行为审计系统还包括:信息存储模块;
所述信息存储模块包括:用户行为信息存储单元和用户认证信息存储单元;
所述用户行为信息存储单元用于对审计后的用户行为信息进行存储;
所述用户认证信息存储单元用于对用户认证信息进行存储。
进一步的,所述审计模块还用于基于用户行为信息的审计结果生成审计报告。
根据本发明的另一方面,提供了一种用户行为审计方法,所述方法包括:
通过业务客户端获取用户信息,所述用户信息包括:用户行为信息和用户认证令牌;
通过信息传输模块将所述用户信息发送至所述用户认证模块;
通过用户认证模块对所述用户信息中的用户认证令牌进行解密得到用户认证信息,基于所述用户认证信息进行用户身份认证,将通过用户身份认证的用户行为信息发送至所述审计模块;
通过审计模块对通过用户身份认证的用户行为信息进行审计。
根据本发明的另一方面,提供了一种电子设备,所述电子设备包括:至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的用户行为审计方法。
根据本发明的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的用户行为审计方法。
本发明实施例提供的一种用户行为审计系统包括:业务客户端、信息传输模块、用户认证模块和审计模块;业务客户端用于获取用户信息,用户信息包括:用户行为信息和用户认证令牌;信息传输模块,用于将用户信息发送至用户认证模块;用户认证模块,用于对用户信息中的用户认证令牌进行解密得到用户认证信息,基于用户认证信息进行用户身份认证,将通过用户身份认证的用户行为信息发送至审计模块;审计模块用于对通过用户身份认证的用户行为信息进行审计,能够对业务系统中的用户行为信息进行用户认证和全面的审计工作,提高了业务系统的网络安全。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例一提供的一种用户行为审计系统的结构示意图;
图2是根据本发明实施例一提供的另一种用户行为审计系统的结构示意图;
图3是根据本发明实施例二提供的一种用户行为审计方法的流程图;
图4是实现本发明实施例的用户行为审计方法的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1为本发明实施例一提供了一种用户行为审计系统的流程图,本实施例可适用于对业务客户端中产生的用户行为进行审计的情况,该用户行为审计系统可配置于一个计算机中,也可以在多个计算机中分别配置该用户行为审计系统的各模块。如图1所示,该系统包括:业务客户端10、信息传输模块20、用户认证模块30和审计模块40;
业务客户端10用于获取用户信息,用户信息包括:用户行为信息和用户认证令牌;
信息传输模块20,用于将用户信息发送至用户认证模块;
用户认证模块30用于对用户信息中的用户认证令牌进行解密得到用户认证信息,基于用户认证信息进行用户身份认证,将通过用户身份认证的用户行为信息发送至审计模块;
审计模块40用于对通过用户身份认证的用户行为信息进行审计。
其中,用户行为审计系统是用于对用户行为信息进行升级的系统,用户行为可以是用户在业务客户端中产生的行为信息,例如在业务客户端中的个人信息修改行为或者业务操作行为,具体例如注册、登录、密码修改等行为信息。
具体的,用户行为审计系统包括:业务客户端10、信息传输模块20、用户认证模块30和审计模块40。业务客户端10是向用户提供业务的客户端,同时能够获取用户信息,用户信息包括:用户在业务客户端中上传的用户认证令牌以及在业务客户端中操作产生的用户行为信息。示例性的,用户认证令牌是指包含用户认证信息的加密字符串。业务客户端10将用户信息发送到信息传输模块20,通过信息传输模块20将用户信息传输到用户认证模块30。用户认证模块30接收用户信息,对用户信息中的用户认证令牌进行解密得到用户认证信息,并对用户认证信息进行用户身份认证,将通过身份认证的用户认证信息对应的用户行为信息发送至审计模块40,通过审计模块40对用户行为信息进行审计。
可选的,用户认证信息可以包括:用户身份信息、用户密码和用户特征信息。用户身份信息例如可以包括:用户名、用户身份证号或者用户签名;用户密码例如可以包括用户设置密码或者用户设置口令,用户特征信息例如可以包括指纹或人脸特征。
可选的,审计模块还用于基于用户行为信息的审计结果生成审计报告。
示例性的,对用户行为信息的审计可以包括对用户行为信息的合规审计和安全审计。合规审计可以是指用户行为是否遵循了特定的法律、法规、程序或规则、安全审计可以是指审计用户行为是否符合网络系统安全运行,能否保证数据的保密性、完整性及可用性不受损坏。安全审计具体可以包括:主机审计、网络审计、数据库审计、运维审计、日志审计、业务审计和配置审计。
主机审计覆盖了移动存储介质的使用控制、网络资源的访问控制、端口设备使用管理、软件资源的使用控制、非法外联告警、敏感信息检测、文件共享/打印控制和准接入控制等。数据库审计能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断;通过对用户访问数据库行为的记录、分析和汇报。运维审计是监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理,保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露。日志审计是指对业务系统产生的日志进行审计。业务审计是指对业务系统的业务进行审计。配置审计指在配置标识、配置控制、配置状态记录的基础上对所有配置项的功能及内容进行审查,以保证软件配置项的可跟踪性。
本发明实施例提供的一种用户行为审计系统包括:业务客户端、信息传输模块、用户认证模块和审计模块;业务客户端用于获取用户信息,用户信息包括:用户行为信息和用户认证令牌;信息传输模块,用于将用户信息发送至用户认证模块;用户认证模块,用于对用户信息中的用户认证令牌进行解密得到用户认证信息,基于用户认证信息进行用户身份认证,将通过用户身份认证的用户行为信息发送至审计模块;审计模块用于对通过用户身份认证的用户行为信息进行审计,能够对业务系统中的用户行为信息进行用户认证和全面的审计工作,以提高业务系统的网络安全。
在上述实施例的基础上,该用户行为审计系统还包括:密钥管理模块,用于产生公钥和私钥,将所述公钥发送至所述业务客户端,将所述私钥发送至所述用户认证模块。
具体的,如图2所示,所述用户升级系统包括:业务客户端10、信息传输模块20、用户认证模块30、审计模块40和密钥管理模块50。
密钥管理模块50用于产生公钥和私钥,将所述公钥发送至所述业务客户端10,将所述私钥发送至所述用户认证模块30;业务客户端10用于获取用户认证信息和用户行为信息,从所述密钥管理模50块获取公钥,基于所述公钥对所述用户认证信息进行加密得到用户认证令牌;信息传输模块20,用于将所述用户信息发送至所述用户认证模块30;用户认证模块30,用于接收所述密钥管理模块50发送的私钥,基于所述私钥对所述用户信息中的用户认证令牌进行解密得到用户认证信息,基于所述用户认证信息进行用户身份认证,将通过用户身份认证的用户行为信息发送至所述审计模块40;审计模块40用于对通过用户身份认证的用户行为信息进行审计。
具体的,密钥管理模块50可以采用非对称加密算法对用户认证信息进行加密。非对称加密需要两个密钥:公钥(PublicKey)和私钥(PrivateKey)。公钥和私钥是一对,如果用公钥对数据加密,那么只能用对应的私钥解密。如果用私钥对数据加密,只能用对应的公钥进行解密。因为加密和解密用的是不同的密钥,所以称为非对称加密。使用其中一个密钥把明文加密后所得的密文,只能用相对应的另一个密钥才能解密得到原本的明文,甚至连最初用来加密的密钥也不能用作解密。因而,密钥管理模块50用于产生公钥和私钥将所述公钥发送至所述业务客户端10用于用户认证信息的加密,将所述私钥发送至所述用户认证模块30用于用户认证信息的解密。
业务客户端10,具体用于获取用户上传的用户认证信息,并从密钥管理模块50获取公钥,采用公钥对用户认证信息进行加密得到用户认证令牌。用户认证模块30,具体用于接收密钥管理模块50发送的私钥;基于私钥对信息传输模块20发送的用户信息中的用户认证令牌进行解密得到用户认证信息。
在一个实施例中,所述信息传输模块20具体用于:
将所述用户信息发送到kafka集群中存储;
通过所述用户认证模块对所述kafka集群的订阅,从所述kafka集群获取所述用户信息。
其中,Kafka是一种高吞吐量的分布式发布订阅消息系统,以集群的方式运行。
具体的,业务客户端通过信息传输模块中的kafka集群传输用户信息至用户认证模块,业务客户端将用户信息发送到kafka集群中存储即可,无需等待;而用户认证模块对kafka集群进行订阅,当kafka集群中存储由用户信息时,从kafka集群获取用户信息。
通过kafka集群方式传输用户信息可以保证消息不变性,为并发传输提供了线程安全的保证,提高了消息访问的并行高效性,保证了消息可靠性。
在一个实施例中,用户行为审计系统还包括:信息存储模块;
所述信息存储模块包括:用户行为信息存储单元和用户认证信息存储单元;
所述用户行为信息存储单元用于对审计后的用户行为信息进行存储;
所述用户认证信息存储单元用于对用户认证信息进行存储。
具体的,用户行为审计系统还包括:信息存储模块,信息存储模块包括用于存储审计后的用户行为信息的用户行为信息存储单元,以及用于存储用户认证信息的用户认证信息存储单元。
实施例二
图3为本发明实施例二提供的一种用户行为审计方法的流程图,本实施例可适用于对业务客户端中产生的用户行为进行审计的情况,该方法可以由用户行为审计系统来执行。如图3所示,该方法包括:
S210、通过业务客户端获取用户信息,用户信息包括:用户行为信息和用户认证令牌。
其中,用户信息包括:用户行为信息和用户认证令牌。
示例性的,获取用户认证令牌的方式可以是用户在业务客户端中上传,用户认证令牌可以是指包含用户认证信息的加密字符串。获取用户行为信息的方式可以是通过业务端对用户操作产生的用户行为信息通过日志等方式进行记录。
示例性的,用户认证令牌的加密方式可以是非对称加密方式或其他加密方式。
S220、通过信息传输模块将用户信息发送至用户认证模块。
具体的,信息传输模块用于在业务客户端和用户认证模块之间传输信息。业务客户端通过信息传输模块可以将用户信息发送至用户认证模块。信息传输模块可依次采用任何传输方式,本发明实施例对此不设限制。
示例性的,所述信息传输模块可以采用kafka集群传输方式。
S230、通过用户认证模块对用户信息中的用户认证令牌进行解密得到用户认证信息,基于用户认证信息进行用户身份认证,将通过用户身份认证的用户行为信息发送至审计模块。
具体的,用户认证模块接收业务客户端发送的用户信息,对用户信息中的用户认证令牌进行解密得到用户认证信息,并对用户认证信息进行用户身份认证,将通过身份认证的用户认证信息对应的用户行为信息发送至审计模块。
S240、通过审计模块对通过用户身份认证的用户行为信息进行审计。
本发明实施例的技术方案,通过业务客户端获取用户信息,用户信息包括:用户行为信息和用户认证令牌。通过信息传输模块将用户信息发送至用户认证模块;通过用户认证模块对用户信息中的用户认证令牌进行解密得到用户认证信息,基于用户认证信息进行用户身份认证,将通过用户身份认证的用户行为信息发送至审计模块;通过审计模块对通过用户身份认证的用户行为信息进行审计,能够对业务系统中的用户行为信息进行用户认证和全面的审计工作,以提高业务系统的网络安全。
实施例三
图4示出了可以用来实施本发明的实施例的电子设备60的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备可以是用户行为审计系统中的汇聚分流设备或者控制服务器。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图4所示,电子设备60包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备60操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备60中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备60通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如用户行为审计方法。
在一些实施例中,用户行为审计方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备60上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的用户行为审计方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行用户行为审计方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种用户行为审计系统,其特征在于,包括:业务客户端、信息传输模块、用户认证模块和审计模块;
所述业务客户端用于获取用户信息,所述用户信息包括:用户行为信息和用户认证令牌;
所述信息传输模块,用于将所述用户信息发送至所述用户认证模块;
所述用户认证模块,用于对所述用户信息中的用户认证令牌进行解密得到用户认证信息,基于所述用户认证信息进行用户身份认证,将通过用户身份认证的用户行为信息发送至所述审计模块;
所述审计模块用于对通过用户身份认证的用户行为信息进行审计。
2.根据权利要求1所述的系统,其特征在于,所述系统还包括:密钥管理模块,用于产生公钥和私钥,将所述公钥发送至所述业务客户端,将所述私钥发送至所述用户认证模块。
3.根据权利要求2所述的系统,其特征在于,所述业务客户端具体用于:
获取用户认证信息;
从所述密钥管理模块获取公钥;
基于所述公钥对所述用户认证信息进行加密得到用户认证令牌。
4.根据权利要求2所述的系统,其特征在于,所述用户认证模块具体用于:
接收所述密钥管理模块发送的私钥;
基于所述私钥对所述用户信息中的用户认证令牌进行解密得到用户认证信息。
5.根据权利要求1所述的系统,其特征在于,所述信息传输模块具体用于:
将所述用户信息发送到kafka集群中存储;
通过所述用户认证模块对所述kafka集群的订阅,从所述kafka集群获取所述用户信息。
6.根据权利要求1所述的系统,其特征在于,还包括:信息存储模块;
所述信息存储模块包括:用户行为信息存储单元和用户认证信息存储单元;
所述用户行为信息存储单元用于对审计后的用户行为信息进行存储;
所述用户认证信息存储单元用于对用户认证信息进行存储。
7.根据权利要求1所述的系统,其特征在于,所述审计模块还用于基于用户行为信息的审计结果生成审计报告。
8.一种用户行为审计方法,其特征在于,应用于权利要求1所述的系统,所述方法包括:
通过业务客户端获取用户信息,所述用户信息包括:用户行为信息和用户认证令牌;
通过信息传输模块将所述用户信息发送至所述用户认证模块;
通过用户认证模块对所述用户信息中的用户认证令牌进行解密得到用户认证信息,基于所述用户认证信息进行用户身份认证,将通过用户身份认证的用户行为信息发送至所述审计模块;
通过审计模块对通过用户身份认证的用户行为信息进行审计。
9.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求8中所述的用户行为审计方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求8中所述的用户行为审计方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210193856.XA CN114531295A (zh) | 2022-03-01 | 2022-03-01 | 一种用户行为审计系统、方法、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210193856.XA CN114531295A (zh) | 2022-03-01 | 2022-03-01 | 一种用户行为审计系统、方法、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114531295A true CN114531295A (zh) | 2022-05-24 |
Family
ID=81626767
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210193856.XA Pending CN114531295A (zh) | 2022-03-01 | 2022-03-01 | 一种用户行为审计系统、方法、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114531295A (zh) |
Citations (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006053780A (ja) * | 2004-08-12 | 2006-02-23 | Nomura Research Institute Ltd | リモートアクセス制御システムおよびリモートアクセス制御方法 |
| US20070174909A1 (en) * | 2005-02-18 | 2007-07-26 | Credant Technologies, Inc. | System and method for intelligence based security |
| CN101034983A (zh) * | 2006-12-31 | 2007-09-12 | 深圳市中科新业信息科技发展有限公司 | 一种对网络接入用户实现上网实名的系统及其方法 |
| US20090077645A1 (en) * | 2007-09-14 | 2009-03-19 | Oracle International Corporation | Framework for notifying a directory service of authentication events processed outside the directory service |
| CN106572076A (zh) * | 2016-09-27 | 2017-04-19 | 山东浪潮商用系统有限公司 | 一种Web服务访问方法、一种客户端、一种服务端 |
| CN106776141A (zh) * | 2016-12-22 | 2017-05-31 | 中国工程物理研究院总体工程研究所 | 一种安全增强的数据备份与恢复系统 |
| CN107124424A (zh) * | 2017-05-22 | 2017-09-01 | 迈普通信技术股份有限公司 | 实名审计方法、设备和系统 |
| US20170302667A1 (en) * | 2016-04-18 | 2017-10-19 | Bank Of America Corporation | Security architecture for authentication and audit |
| CN107517221A (zh) * | 2017-09-29 | 2017-12-26 | 北京计算机技术及应用研究所 | 一种无中心的安全可信审计系统 |
| CN108063748A (zh) * | 2016-11-09 | 2018-05-22 | 中国移动通信有限公司研究院 | 一种用户认证方法、装置及系统 |
| US20190245851A1 (en) * | 2016-05-19 | 2019-08-08 | UnifyID | Implicit authentication for unattended devices that need to identify and authenticate users |
| US20190295062A1 (en) * | 2018-03-22 | 2019-09-26 | Dennis MacQuilken | Systems and Methods for Offline Stored Value Payment Management, Offline Mutual Authentication for Payment, and Auditing Offline Transactions |
| CN110392027A (zh) * | 2018-04-20 | 2019-10-29 | 武汉真元生物数据有限公司 | 基于生物特征的身份认证、业务处理方法及系统 |
| CN110535887A (zh) * | 2019-09-30 | 2019-12-03 | 海南鼎立信科技有限责任公司 | 基于Kafka的安全访问控制方法、装置、存储介质及电子设备 |
| CN110868301A (zh) * | 2019-11-07 | 2020-03-06 | 浪潮软件股份有限公司 | 一种基于国密算法的身份认证系统及方法 |
| US20200228343A1 (en) * | 2019-01-14 | 2020-07-16 | EMC IP Holding Company LLC | Key-based authentication for backup service |
| CN111767530A (zh) * | 2020-05-21 | 2020-10-13 | 西安电子科技大学 | 一种跨域数据共享审计溯源系统、方法、存储介质、程序 |
| CN112187741A (zh) * | 2020-09-14 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 基于运维审计系统的登录认证方法、装置和电子装置 |
| CN113194070A (zh) * | 2021-03-31 | 2021-07-30 | 新华三大数据技术有限公司 | Kafka集群多类型权限管理方法、装置及存储介质 |
| CN113434836A (zh) * | 2021-05-31 | 2021-09-24 | 深信服科技股份有限公司 | 一种身份认证方法、装置、设备及介质 |
| US20210318857A1 (en) * | 2020-04-09 | 2021-10-14 | Modak Technologies FZE | Platform for web services development and method therefor |
| US20210367966A1 (en) * | 2020-05-22 | 2021-11-25 | AuthMind Inc. | Systems and methods for network security |
| CN113747426A (zh) * | 2020-05-14 | 2021-12-03 | 京东方科技集团股份有限公司 | 数据审计方法及系统、电子设备、存储介质 |
| CN113824554A (zh) * | 2021-08-30 | 2021-12-21 | 山东健康医疗大数据有限公司 | 数据在中间件间传输的动态认证方法、装置及计算机介质 |
| CN114048443A (zh) * | 2021-11-05 | 2022-02-15 | 新华三大数据技术有限公司 | 用户身份的验证方法、装置及计算机存储介质 |
-
2022
- 2022-03-01 CN CN202210193856.XA patent/CN114531295A/zh active Pending
Patent Citations (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006053780A (ja) * | 2004-08-12 | 2006-02-23 | Nomura Research Institute Ltd | リモートアクセス制御システムおよびリモートアクセス制御方法 |
| US20070174909A1 (en) * | 2005-02-18 | 2007-07-26 | Credant Technologies, Inc. | System and method for intelligence based security |
| CN101034983A (zh) * | 2006-12-31 | 2007-09-12 | 深圳市中科新业信息科技发展有限公司 | 一种对网络接入用户实现上网实名的系统及其方法 |
| US20090077645A1 (en) * | 2007-09-14 | 2009-03-19 | Oracle International Corporation | Framework for notifying a directory service of authentication events processed outside the directory service |
| US20170302667A1 (en) * | 2016-04-18 | 2017-10-19 | Bank Of America Corporation | Security architecture for authentication and audit |
| US20190245851A1 (en) * | 2016-05-19 | 2019-08-08 | UnifyID | Implicit authentication for unattended devices that need to identify and authenticate users |
| CN106572076A (zh) * | 2016-09-27 | 2017-04-19 | 山东浪潮商用系统有限公司 | 一种Web服务访问方法、一种客户端、一种服务端 |
| CN108063748A (zh) * | 2016-11-09 | 2018-05-22 | 中国移动通信有限公司研究院 | 一种用户认证方法、装置及系统 |
| CN106776141A (zh) * | 2016-12-22 | 2017-05-31 | 中国工程物理研究院总体工程研究所 | 一种安全增强的数据备份与恢复系统 |
| CN107124424A (zh) * | 2017-05-22 | 2017-09-01 | 迈普通信技术股份有限公司 | 实名审计方法、设备和系统 |
| CN107517221A (zh) * | 2017-09-29 | 2017-12-26 | 北京计算机技术及应用研究所 | 一种无中心的安全可信审计系统 |
| US20190295062A1 (en) * | 2018-03-22 | 2019-09-26 | Dennis MacQuilken | Systems and Methods for Offline Stored Value Payment Management, Offline Mutual Authentication for Payment, and Auditing Offline Transactions |
| CN110392027A (zh) * | 2018-04-20 | 2019-10-29 | 武汉真元生物数据有限公司 | 基于生物特征的身份认证、业务处理方法及系统 |
| US20200228343A1 (en) * | 2019-01-14 | 2020-07-16 | EMC IP Holding Company LLC | Key-based authentication for backup service |
| CN110535887A (zh) * | 2019-09-30 | 2019-12-03 | 海南鼎立信科技有限责任公司 | 基于Kafka的安全访问控制方法、装置、存储介质及电子设备 |
| CN110868301A (zh) * | 2019-11-07 | 2020-03-06 | 浪潮软件股份有限公司 | 一种基于国密算法的身份认证系统及方法 |
| US20210318857A1 (en) * | 2020-04-09 | 2021-10-14 | Modak Technologies FZE | Platform for web services development and method therefor |
| CN113747426A (zh) * | 2020-05-14 | 2021-12-03 | 京东方科技集团股份有限公司 | 数据审计方法及系统、电子设备、存储介质 |
| CN111767530A (zh) * | 2020-05-21 | 2020-10-13 | 西安电子科技大学 | 一种跨域数据共享审计溯源系统、方法、存储介质、程序 |
| US20210367966A1 (en) * | 2020-05-22 | 2021-11-25 | AuthMind Inc. | Systems and methods for network security |
| CN112187741A (zh) * | 2020-09-14 | 2021-01-05 | 杭州安恒信息技术股份有限公司 | 基于运维审计系统的登录认证方法、装置和电子装置 |
| CN113194070A (zh) * | 2021-03-31 | 2021-07-30 | 新华三大数据技术有限公司 | Kafka集群多类型权限管理方法、装置及存储介质 |
| CN113434836A (zh) * | 2021-05-31 | 2021-09-24 | 深信服科技股份有限公司 | 一种身份认证方法、装置、设备及介质 |
| CN113824554A (zh) * | 2021-08-30 | 2021-12-21 | 山东健康医疗大数据有限公司 | 数据在中间件间传输的动态认证方法、装置及计算机介质 |
| CN114048443A (zh) * | 2021-11-05 | 2022-02-15 | 新华三大数据技术有限公司 | 用户身份的验证方法、装置及计算机存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111371549B (zh) | 一种报文数据传输方法、装置及系统 | |
| US8245042B2 (en) | Shielding a sensitive file | |
| EP3324572B1 (en) | Information transmission method and mobile device | |
| US9917817B1 (en) | Selective encryption of outgoing data | |
| CN109525608A (zh) | 日志上报方法和装置、日志管理方法和装置及终端设备 | |
| CN108429638B (zh) | 一种服务器运维方法、装置、系统及电子设备 | |
| CN108270716A (zh) | 一种基于云计算的信息安全审计方法 | |
| CN109271798A (zh) | 敏感数据处理方法及系统 | |
| US20230116838A1 (en) | Advanced detection of identity-based attacks to assure identity fidelity in information technology environments | |
| US11563727B2 (en) | Multi-factor authentication for non-internet applications | |
| EP3793157A1 (en) | Method and device for blockchain node | |
| US10305693B2 (en) | Anonymous secure socket layer certificate verification in a trusted group | |
| CN103108028A (zh) | 一种具有安全架构的云计算处理系统 | |
| CN111046405B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN115473722A (zh) | 数据加密方法、装置、电子设备及存储介质 | |
| CN113630412B (zh) | 资源下载方法、资源下载装置、电子设备以及存储介质 | |
| CN117240625A (zh) | 一种涉及防篡改的数据处理方法、装置及电子设备 | |
| US20210359837A1 (en) | Systems and methods for secure data computing and algorithm sharing | |
| WO2024011812A1 (zh) | 一种基于区块链的监管系统、方法、设备和介质 | |
| US20230113332A1 (en) | Advanced detection of identity-based attacks to assure identity fidelity in information technology environments | |
| CN109067587B (zh) | 关键信息基础设施的确定方法及装置 | |
| CN115600215A (zh) | 系统启动方法、系统信息处理方法、装置、设备及其介质 | |
| CN114531295A (zh) | 一种用户行为审计系统、方法、设备及存储介质 | |
| CN113407931A (zh) | 一种密码管理方法、装置和输入终端 | |
| CN114239014A (zh) | 基于离线设备的文件处理方法、装置和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |