一种使用联盟链对企业在线用户审计的方法、设备及介质与流程

1.本发明属于互联网领域，具体涉及一种使用联盟链对企业在线用户审计的方法、设备及介质。


背景技术：

2.公有云的虚拟机有多种特性,硬件基本上不在自己手中,一般由第三方托管,尤其在saas模式下的云平台产品，云平台提供商以用户在线数量(或并发数)等为定价标准为其客户提供虚拟云服务，由于云平台提供商按照法律要求无法访问客户的隐私数据，也就会导致云平台提供商的授权检查越来越弱,会造成云平台提供商的经济损失。因为客户数据库的私密性,很多时候无法直接对客户的在建数据库进行安全审计,可能会导致客户的反感,造成客户资源的流失,使之承受更大的经济损失。并且客户和云平台提供商对产生于生产的审计数据均不认可,客户认为云平台提供商可以人为放大安全审计数据,云平台提供商认为客户有数据库权限可以人为修改减少在线用户数据,造成审计数据失真。
3.因此，需要一种在不侵犯客户的应用软件隐私数据的情况下，还能有效统计客户软件的在线用户数量的方法。


技术实现要素：

4.为解决以上问题，本发明的一方面提出一种使用联盟链对企业在线用户审计的方法，包括：
5.通过连接标识符获取应用软件的在线用户的网络数据，并对所述在线用户的网络数据进行分析构建区块内容；
6.获取所述区块内容的哈希值以及上一区块的特定值，构建区块链并指定区块链的计算难度；
7.根据所述区块内容生成所述区块的摘要信息并存入数据库；
8.响应于客户发起用户审计，从所述数据库获取对应摘要信息中的数据与客户提供的数据进行比对；
9.响应于所述比对结果不一致，通过所述区块链获取所述摘要信息对应的区块的内容对客户提供的用户数据再次审计。
10.在本发明的一些实施方式中，通过连接标识符获取应用软件的在线用户的网络数据，并对所述在线用户的网络数据进行分析以构建区块内容包括：
11.实时获取应用软件的在线用户的网络数据，并将预定时间内的所述用户网络数据中的网络信息作为第一区块内容。
12.在本发明的一些实施方式中，通过连接标识符获取应用软件的在线用户的网络数据，并对所述在线用户的网络数据进行分析以构建区块内容还包括：
13.从所述在线用户的网络数据中获取在线用户的抽象信息，并将所述抽象信息与所述第一区块内容合并成区块内容。
14.在本发明的一些实施方式中，构建区块链并指定区块链的计算难度包括：
15.根据预定时间指定区块链中哈希计算中哈希值出现的0的个数。
16.在本发明的一些实施方式中，从所述数据库获取对应摘要信息中的数据与客户提供的用户数据进行比对包括：
17.获取摘要信息中的网络访问统计数据与客户提供的用户的网络访问统计数据进行对比。
18.在本发明的一些实施方式中，通过所述区块链获取所述摘要信息对应的区块的内容对客户提供的用户数据再次审计包括：
19.获取所述摘要信息对应的区块内容，通过所述区块内容中的完整网络访问数据记录对客户提供的网络访问统计数据进行验证。
20.在本发明的一些实施方式中，摘要信息包括：
21.所述区块内容中在预定时间内的网络连接的总数。
22.在本发明的一些实施方式中，摘要信息包括：
23.在预定时间内在线用户总数高于预定数量情况下的时间及对应在线用户个数，或在线用户总数低于预定数量情况下的最高的在线用户数量。
24.本发明的另一方面还提出了一种计算机设备，包括：
25.存储器，用于存储计算机程序；
26.处理器，用于执行所述计算机程序时实现上述任一所述的在线用户审计方法的步骤。
27.本发明的又一方面还提出了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述的在线用户审计方法的步骤。
28.通过本发明提出的一种使用联盟链对企业在线用户审计的方法，每隔一定时间对saas云服务平台中的客户虚拟机的网络数据进行拉取并分析，获取网络数据中的有效访问的网络信息并通过区块链进行存储，同时生成网络数据的摘要信息用作校验，当saas云服务平台与客户产生在线用户数量的纠纷时，通过网络数据的摘要信息快速获取客户虚拟机的网络访问数据进行验证。若通过摘要信息中的网络访问数据的验证不通过(不被客户认同)，则通过摘要信息对应的区块内容的原始网络数据进行验证。可有效杜绝因客户虚拟机的网络访问量造假行为，并且提供更有效的数据证明手段。
附图说明
29.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
30.图1为本发明一实施例的方法流程图；
31.图2为本发明一实施例的计算机设备示意图；
32.图3为本发明一实施例的计算机存储介质示意图。
具体实施方式
33.为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明实施例进一步详细说明。
34.如图1所示，本发明的一方面提出一种使用联盟链对企业在线用户审计的方法，包括：
35.步骤s100、通过连接标识符获取应用软件的在线用户的网络数据，并对所述在线用户的网络数据进行分析以构建区块内容；
36.步骤s200、获取所述区块内容的哈希值以及上一区块的特定值，构建区块链并指定区块链的计算难度；
37.步骤s300、根据所述区块内容生成所述区块的摘要信息并存入数据库。
38.步骤s400、响应于客户发起用户审计，从所述数据库获取对应摘要信息中的数据与客户提供的数据进行比对；
39.步骤s500、响应于所述比对结果不一致，通过所述区块链获取所述摘要信息对应的区块的内容对客户提供的用户数据再次审计。
40.saas提供商为企业搭建信息化所需要的所有网络基础设施及软件、硬件运作平台，并负责所有前期的实施、后期的维护等一系列服务，无需购买软硬件、建设机房、招聘it人员，即可通过互联网使用信息系统。就像打开自来水龙头就能用水一样，企业根据实际需要，从saas提供商租赁软件服务。saas是一种软件布局模型，其应用专为网络交付而设计，便于用户通过互联网托管、部署及接入。saas应用软件的价格通常为“全包”费用，囊括了通常的应用软件许可证费、软件维护费以及技术支持费，将其统一为每个用户的月度租用费。因此，在实际中saas云平台提供商为满足客户需要提供多种模式的租赁服务，例如提供一定在线数量的阶梯收费模式，由客户机的用户访问量决定客户的收费标准，因此需要准确获知客户的在线用户网络数据或者访问量。
41.在步骤s100中，由于saas运行平台的特殊性，其旨在提供一条龙的软件应用服务，因此，saas平台的提供商只对客户所使用的软件的使用收费。而对于非用户使用所产生的网络数据及服务数据不应由客户承担，所以，在步骤s100中需要对客户使用的软件的网络数据进行收集，并分析出客户所使用的软件的在线用户的网络数据。
42.具体为，通过在客户使用的软件(下称应用)接口处植入探针获取该应用的所有网络数据，此外，需要为用户的应用指定与应用匹配的连接匹配标识符。然后使用该应用特有的连接匹配标识符去对访问该应用接口的数据是否为正常的用户使用数据，以获取准确的客户访问数据及访问量。
43.需要说明的是，连接匹配标识符为是为了区分客户的应用的用户数据而设立的，也就是说当客户的应用程序所服务的用户与该应用通信时必须带有该应用的连接匹配标识符，才能通过saas平台到达该客户的虚拟机中的对应的应用中。
44.进一步，在获取到客户的应用的网络数据之后，需要对网络数据进行处理，获取网络数据中可有效标识该客户的应用与用户的网络连接的信息摘要，并将该信息摘要作为区块的内容部分进行保存。
45.在步骤s200中，按照联盟链的产生要求，对步骤s100中获取的区块的内容部分进行哈希运算，并与上一个区块的哈希值进行特定运算。并向特定运算的结果中加入一定的
随机数。本实施例中，对区块链的计算遵循pow工作量证明机制，因此，为考虑计算出区块的时间不能太长，按照pow工作量证明机制，根据本发明方法所运行的计算机的计算能力指定哈希值中的0的个数。使得执行本发明方法的计算机可以在指定时间内计算出指定个数的0的随机数是多少。
46.在步骤s300中，在生成一个区块内容的同时，生成该区块内容的摘要信息，摘要信息根据具体的业务产生具体的摘要。例如，当区块内容所对应的业务类型为saas平台提供一段时间的访问量计费时，摘要信息就是统计一段时间内的有效访问量的总数，如果saas平台提供商以同时在线的用户数提供计费标准时，摘要信息便是一段时间内的在线用户数或峰值在线用户数等统计分析后的数据。也就是说从摘要信息中可直观的获取到对应业务的统计分析数据，方便saas平台提供商根据制定的计费规则进行计费。进一步，将生成的摘要信息进行保存到数据库。
47.在步骤s400中，当客户对saas平台提供商给出的收费通知中的用户的网络访问统计数据存在疑惑时，可向saas平台提供商发起审计验证，客户将自己统计的用户的网络访问统计数据发送到saas平台提供商，saas平台提供商调取对应的摘要信息中的相关内容进行比对验证。
48.在步骤s500中，在摘要信息中的网络访问统计数据与客户提供的网络访问数据不同的情况下，需要通过区块链获取该客户在摘要信息对应的时间段的应用软件的所有客户的网络访问数据，并将数据通过一定方式发送客户，并对区块内容中的网络访问数据进行再次统计分析得出在线用户数或访问量等可观的客观统计数据，并将统计数据与客户提供的网络访问数据进行对比，以此作为证据来说服客户。
49.在本发明的一些实施例中，通过连接标识符获取应用软件的在线用户的网络数据，并对所述在线用户的网络数据进行分析以构建区块内容包括：
50.实时获取应用软件的在线用户的网络数据，并将预定时间内的所述用户网络数据中的网络信息作为第一区块内容。
51.在本实施例中，saas平台提供商可监控并获取所服务客户的虚拟机或云主机等实例(对虚拟机或云主机的称谓)的所有网络数据，包括发出的网络数据以及接收的网络数据。因此，saas平台提供商可以对客户的实例的网络数据的网络源进行分析。在本实施例中，saas平台提供商首先对访问该实例的所有网络数据进行分析，获取所有的源ip地址并统计到对应的列表中，并通过制定的连接标识符匹配到该客户的实例的有效用户，并将有效用户的源ip等用于标记网络数据并可判定有效关系的数据进行收集分析。例如，以http访问为例，将http数据的头部信息中的源ip地址、源mac地址等信息找出，以及头部信息中用于标记该用户的cookies、sessionid或token等信息作为信息摘要，将用户的网络数据的内容部分删除。以防止侵犯用户隐私。进一步，将获取的头部信息中的源ip地址、mac地址以及用户的标识信息作为第一区块内容。
52.在本发明的一些实施例中，通过连接标识符获取应用软件的在线用户的网络数据，并对所述在线用户的网络数据进行分析以构建区块内容还包括：
53.从所述在线用户的网络数据中获取在线用户的抽象信息，并将所述抽象信息与所述第一区块内容合并成区块内容。
54.在本实施例中，在上一实施例中，对客户的实例的所有网络数据进行监控并分析
得出有效的在线用户的数据的信息摘要，是难以进行有效性验证的，因为在上一实施例中的网络数据可以伪造，并且可任意伪造。因此难以作为有效的访问证据。为此，本实施例中还需要对客户的实例中的用户的抽象信息进行获取。
55.具体地，saas平台提供商需要在客户的实例中植入相应的程序对客户的实例中的应用软件进行监控。在大多数运行场景中，saas平台提供商为客户提供完整的软硬件服务。也即客户所使用的应用软件大多数均为saas平台提供商开发，因此saas平台提供商可定制或相应的api接口程序以监控客户所使用的应用软件的用户访问的行为。但这一方式并不是完全掌控客户应用软件的所有运行流程。而是根据客户的软件的往来数据中的某些字段或来区分该客户的用户的行为。以web应用为例，所有的web访问网络均包括所访问的地址信息，例如，www.xxx.com/user/login其对应的为web网站的登录功能，并且为登录行为。而由saas平台提供商所植入的相应程序仅获取客户的用户id、用户name、用户权限、用户打开功能列表以及用户的状态信息等。将上述用户的信息作为踪迹信息添和上一实施例中获取的第一区块内容进行合并生成完整的区块内容。
56.在一些实施例，saas平台提供商所植入在客户实例中的相应的程序为客户的应用程序的收发数据添加额外的连接标识符。例如为每一个客户的用户生成一个对应的唯一的连接标识符，并将该连接标识符发送给客户的应用程序，由应用程序在与其用户进行数据往来时携带该连接标识符。
57.在一些实施例中，客户的应用程序是由客户自己开发的程序，saas平台提供商需要获取客户协商，在不侵犯客户的数据隐私的情况下获取该客户的应用程序的结构信息，以及网络数据中的对应功能的表示以及用户的权限管理标识，或建立客户的应用程序的中的用户管理表。
58.在一些实施例中，saas平台提供商所植入在客户实例中的相应的程序作为本发明中区块链网络的节点，保存区块链中每个区块对应的哈希值。并且位于客户1的实例1中的相应的程序与saas平台提供商所服务的其他客户2、客户3、...、客户n的实例2、实例3、...、实例n中植入的相应的程序一起构成区块链。并且一起维护不同实例中的用户在线数据的区块链的哈希值。
59.在本发明的一些实施方式中，构建区块链并指定区块链的计算难度包括：
60.根据预定时间指定区块链中哈希计算中哈希值出现的0的个数。在本实施例中，在构建区块链时，要指定区块链哈希计算的产生难度。为促使区块链的有序建立，不影响后续链的产生，需要根据生成区块内容的时间对哈希计算难度进行限定，例如，以2个小时一次获取一次网络数据进行分析并生成区块内容，那么区块链的哈希计算难度(pow工作量证明)则要使得在所实施本发明的计算机上在2个小时内能够算出，因此需要指定哈希字符串中的0的个数进行限定，以保证在所在计算机能在2小时内计算完成并找出所需要添加的随机数。
61.在本发明的一些实施例中，从所述数据库获取对应摘要信息中的数据与客户提供的用户数据进行比对包括：
62.获取摘要信息中的网络访问统计数据与客户提供的网络访问统计数据进行对比。
63.在本实施例中，在一些情况下，客户可能对saas平台提供商的收费有质疑或者客户篡改了其应用中的某些日志数据或连接数据据此与saas平台提供商进行抵赖，甚至可能
是saas平台提供商的收费系统出现bug，导致数据错误。所以saas平台提供商可直接从数据库调取对应时间的摘要信息，将摘要信息中关于对应客户的用户的网络访问统计数据与客户提供的用户的网络访问统计数据进行对比，若比对一致，则说明用户提供的数据与摘要信息中的数据相同，则根据用户的审计请求进行收费调整。
64.在本发明的一些实施例中，通过所述区块链获取所述摘要信息对应的区块的内容对客户提供的用户数据再次审计包括：
65.获取所述摘要信息对应的区块内容，通过所述区块内容中的完整网络访问数据记录对客户提供的网络访问统计数据进行验证。
66.在本实施例中，若客户自己提供的其应用程序的网络访问数据与本发明中对应的摘要信息的数据不同，且客户并不认同摘要信息中统计的在线用户数或网络访问数，saas平台提供商可通过存于区块链中对应的区块的区块内容中详细的网络访问的原始数据进行比对。如前所述，在构建区块内容时已经saas平台提供商已经根据客户的应用程序的特点进行数据分析。因此，区块内容中存储的数据是与该客户应用程序高度匹配的数据。
67.在本发明的一些实施例中，本发明所使用的区块链类型为联盟链，联盟区块链和私有区块链在效率和灵活性上更有优势，主要体现为以下几点：
68.一是交易成本更便宜(在本发明中指的是区块链的构建时对区块内容的哈希计算)。交易只需被几个受信的高算力节点(本技术中本发明实施例哈希计算所运行的计算机节点)验证(求解出在区块内容哈希值前或后添加指定个数个“0”所应该添加的随机数)就可以了，而无需全网确认。
69.二是节点可以很好地连接，故障可以迅速通过人工干预来修复，并允许使用共识算法减少区块时间，从而更快完成交易。
70.三是如果读取权限受到限制，可以提供更好的隐私保护。四是更灵活，如果需要的话，运行私有区块链的共同体或公司可以很容易地修改该区块链的规则，还原交易(在本发明中指通过区块链中的区块的哈希值来验证区块内容的没有被更改，一旦数据更改区块的哈希值会改变，而与区块链中所保存的哈希值不相同)。
71.在本发明的一些实施例中，摘要信息包括：所述区块内容中预定时间内网络连接的总数。
72.在本实施例中，saas平台提供商根据客户的实例的业务类型不同而设有不同的计费方式。例如在本实施例中计费方式为访问量计费，即在一段时间内的客户的用户访问客户的应用程序的总数所达到的收费阶梯，具体为在一小时内访问量归类为100以内，1000以内，2000以内等不同档次。这样的收费方式可有效避免客户的用户访问随机性过大等特点，若购买满足并发规模的实例则存在大量的性能过剩等情况。对于客户来说多花了前，对于saas平台提供商来说机器的利用效率过低。所以，以单位时间的连接总数作为计费标准，在性能上提供一种弹性性能实例非常具有产品优势。因此，在本实施例中saas平台提供商在分析客户的实例的网络数据生成区块的摘要信息时，将单位时间内区块内容的中网络连接的总数作为摘要信息。
73.在本发明的一些实施方式中，摘要信息包括：
74.在预定时间内在线用户总数高于预定数量情况下的时间及对应在线用户个数，或在线用户总数低于预定数量情况下的最高的在线用户数量。
75.在本实施例中，saas平台提供商对客户提供的计费模式为以并发数计费，这一模式是应对于具有较高用户群体的客户，这一类型的客户的实例网络访问数量较为稳定。因此选择具有一定并发数(也可称为在线数)的实例计费方式对客户来说更为划算，而且saas平台提供商也可根据不同客户的稳定的访问量合理分配服务器的硬件配置。因此，在对这一类型客户的实例的网络数据生成区块内容时，将并发数量作为摘要信息，并且当客户的实例的并发数在某一时刻高于其购买的并发数规格时，将高于其够买的并发规格的并发数(在线用户数)也作为摘要数据进行记录(客户高于并发数需补交额外的费用)，此外，对于在一段时间内(两次构建区块的时间间隔内)，该客户的并发数均在其够买的并发数规格以下，则只需记录最高的并发数即可，可降低数据对摘要信息的存储空间。
76.本发明的另一方面还提出了一种计算机设备200，如图2所示，包括：
77.存储器202，用于存储计算机程序；
78.处理器201，用于执行所述计算机程序时实现上述任一所述的在线用户审计方法的步骤。
79.如图3所示，本发明的再一方面还提出了一种计算机可读存储介质302，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器301执行时实现上述任一项所述的在线用户审计方法的步骤。
80.通过本发明提出的一种使用联盟链对企业在线用户审计方法，每隔一定时间对saas云服务平台中的客户虚拟机的网络数据进行拉取并分析，获取网络数据中的有效访问的网络信息并通过区块链进行存储，同时生成网络数据的摘要信息用作校验，当saas云服务平台与客户产生在线用户数量的纠纷时，通过网络数据的摘要信息快速获取客户虚拟机的网络访问数据进行验证。若通过摘要信息中的网络访问数据的验证不通过(不被客户认同)，则通过摘要信息对应的区块内容的原始网络数据进行验证。可有效杜绝因客户虚拟机的网络访问量造假行为，并且提供更有效的数据证明手段。
81.在本发明中，通过连接标识符标记客户的应用程序的用户的有效数据，并通过与客户的应用程序深度匹配获取客户的用户的行为，将客户的网络信息中的数据来源信息和客户的用户的抽象信息作为区块链的区块内容。通过联盟链的方式对区块内容进行哈希，并建立指定哈希难度的区块链以保证数据的唯一性。可有效避免对区块链的篡改。借以验证客户的实例的网络访问的实际情况。在发生计费纠纷时通过双重验证手段解决客户与平台的不信任问题。通过直观的摘要信息，saas平台提供商可为客户提供良好稳定可信的云计算服务。