用户访问的监控方法及系统与流程

[0001]
本发明涉及通信技术领域，尤其是涉及一种用户访问的监控方法及系统。


背景技术：

[0002]
现有的堡垒机设置有监控模块和数据库，其中，监控模块用于监控堡垒机上的用户登录堡垒机域名后通过跳板机访问局域网内的服务器集群中特定服务器产生的会话数据(包含用户输入的指令和服务器反馈的数据)，然后将会话数据经过关键信息(例如密码、账户等)加密后存储到数据库。一方面，由于数据本身不是一个视频文件，而是一堆程序，因此即使调出来也不能够直观看出用户做了哪些操作。另一方面，由于加密的数据依赖于堡垒机自身，也就是说，加密的数据无法与系统分离，当堡垒机故障或挂掉后，数据无法读取。


技术实现要素：

[0003]
本发明的目的在于提供一种用户访问的监控方法及系统，以缓解现有技术中存在的无法直观看出用户做了哪些操作、且堡垒机故障或挂掉后，数据无法读取的技术问题。
[0004]
第一方面，本发明提供的一种用户访问的监控方法，其中，包括：在会话的开始时刻，通过监控模块生成一个虚拟界面；其中，所述会话的时间属性包含所述开始时刻和结束时刻，所述开始时刻为用户通过客户端访问目标服务器的开始时刻，所述虚拟界面用于记录所述用户的真实操作；通过录屏模块从所述虚拟界面中获取图像帧，并录制成对应的视频文件，直至所述结束时刻为止，以使第三方获取所述视频文件。
[0005]
进一步的，在录制成对应的视频文件之后，方法还包括：将所述视频文件存储到目标存储区域；其中，所述目标存储区域包括加密桶和云存储区域。
[0006]
进一步的，当所述目标存储区域为所述加密桶时，将所述视频文件存储到目标存储区域，包括：通过所述加密桶向大厅服务器发送存储请求；在所述大厅服务器通过所述存储请求之后，通过所述录屏模块接收所述大厅服务器发送的令牌token；通过所述录屏模块向所述加密桶发送所述token，以使所述加密桶基于所述token对所述视频文件进行存储；在所述视频文件存储完成之后，通过所述加密桶生成一个凭证，并将所述凭证发送至所述大厅服务器。
[0007]
进一步的，方法还包括：接收第三方发送的所述视频文件的获取请求；对所述第三方进行身份验证和权限认证，并在所述身份验证和所述权限认证均通过之后，通过所述获取请求；在通过所述获取请求之后，向所述第三方发送凭证，以使所述第三方根据所述凭证从所述加密桶中获取与所述凭证对应的视频文件。
[0008]
进一步的，方法还包括：在所述第三方根据所述凭证从所述加密桶中获取与所述凭证对应的视频文件之后，将所述凭证确定为失效状态，并通过所述加密桶生成一个新凭证；通过所述加密桶向所述大厅服务器反馈凭证更新结果；其中，所述凭证更新结果用于表示：所述凭证为失效状态，且所述新凭证为有效状态。
[0009]
进一步的，所述图像帧包括：关键帧i帧、差别帧p帧和双向差别帧b帧；通过录屏模
块从所述虚拟界面中获取图像帧，并录制成对应的视频文件，直至所述结束时刻为止，包括：通过所述录屏模块从所述虚拟界面中获取所述i帧，基于所述i帧，录制成对应的视频文件，直至所述结束时刻为止；或者，通过所述录屏模块从所述虚拟界面中获取所述i帧和所述p帧，基于所述i帧和所述p帧，录制成对应的视频文件，直至所述结束时刻为止；或者，通过所述录屏模块从所述虚拟界面中获取所述i帧和所述b帧，基于所述i帧和所述b帧，录制成对应的视频文件，直至所述结束时刻为止；或者，通过所述录屏模块从所述虚拟界面中获取所述i帧、所述p帧和所述b帧，基于所述i帧、所述p帧和所述b帧，录制成对应的视频文件，直至所述结束时刻为止。
[0010]
进一步的，所述方法还包括：通过所述录屏模块显示所述视频文件。
[0011]
第二方面，本发明提供的一种用户访问的监控系统，其中，包括：目标服务器、监控模块和录屏模块；监控模块，用于在会话的开始时刻，生成一个虚拟界面；其中，所述会话的时间属性包含所述开始时刻和结束时刻，所述开始时刻为用户通过客户端访问所述目标服务器的开始时刻，所述虚拟界面用于记录所述用户的真实操作；录屏模块，用于从所述虚拟界面中获取图像帧，并录制成对应的视频文件，直至所述结束时刻为止，以使第三方获取所述视频文件。
[0012]
第三方面，本发明还提供一种电子设备，包括存储器、处理器，所述存储器中存储有可在所述处理器上运行的计算机程序，其中，所述处理器执行所述计算机程序时实现的所述的用户访问的监控方法的步骤。
[0013]
第四方面，本发明还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质，其中，所述程序代码使所述处理器执行所述的用户访问的监控方法。
[0014]
本发明提供的一种用户访问的监控方法及系统，包括：先在会话的开始时刻，通过监控模块生成一个虚拟界面；其中，会话的时间属性包含开始时刻和结束时刻，开始时刻为用户通过客户端访问目标服务器的开始时刻，虚拟界面用于记录用户的真实操作；然后通过录屏模块从虚拟界面中获取图像帧，并录制成对应的视频文件，直至结束时刻为止，以使第三方获取视频文件。本发明通过录屏模块从虚拟界面中获取图像帧的方式，可以直接生成对应的视频文件，该视频文件可以直观地显示用户做了哪些操作，且视频文件不依赖于堡垒机，即使堡垒机故障或挂掉，视频文件仍可以正常读取。
附图说明
[0015]
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0016]
图1为本发明实施例提供的一种用户访问的监控方法的流程图；
[0017]
图2为将视频文件存储到目标存储区域的流程图；
[0018]
图3为第三方获取视频文件的流程图；
[0019]
图4为本发明实施例提供的一种用户访问的监控系统的结构示意图。
[0020]
图标：
[0021]
11-监控模块；12-录屏模块；13-虚拟界面；14-加密桶；15-大厅服务器。
具体实施方式
[0022]
下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0023]
现有技术中，由于数据本身不是一个视频文件，而是一堆程序，因此即使调出来也不能够直观看出用户做了哪些操作，由于加密的数据依赖于堡垒机自身，也就是说，加密的数据无法与系统分离，当堡垒机故障或挂掉后，数据无法读取。基于此，本发明的目的在于提供一种用户访问的监控方法及系统，可以直观地显示用户做了哪些操作，且视频文件不依赖于堡垒机，即使堡垒机故障或挂掉，视频文件仍可以正常读取。
[0024]
为便于对本实施例进行理解，首先对本发明实施例所公开的一种用户访问的监控方法进行详细描述。
[0025]
根据本发明实施例，提供了一种用户访问的监控方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
[0026]
图1为本发明实施例提供的一种用户访问的监控方法的流程图，如图1所示，该方法包括如下步骤：
[0027]
步骤s101，在会话的开始时刻，通过监控模块生成一个虚拟界面。
[0028]
在本发明实施例中，会话的时间属性包含开始时刻和结束时刻，开始时刻为用户通过客户端访问目标服务器的开始时刻，虚拟界面用于记录用户的真实操作。用户的真实操作在指用户在客户端上的任一操作，包括但不限于：输入、删除、发送、退出。会话开始的时刻为开始时刻，会话结束的时刻为结束时刻。会话结束的方式有两种：一种方式是用户输入结束/重启指令，例如结束指令exit，重启指令reboot，另一种方式是目标服务器主用结束会话。
[0029]
步骤s102，通过录屏模块从虚拟界面中获取图像帧，并录制成对应的视频文件，直至结束时刻为止，以使第三方获取视频文件。
[0030]
本申请中录制模块从虚拟界面中获取图像帧，并录制成对应的视频文件的过程，可以简单理解为：一个摄像机对准目标服务器的显示屏捕捉用户操作的整个过程。获取图像帧，可以按照1秒24帧的频率进行获取，还可以按照其他任一频率进行获取。本申请中的录屏模块可以与堡垒机集成，也可以是一个独立的功能模块。在会话开始时，虚拟界面开始生成，等到会话结束之后，虚拟界面自动消失。本申请中的堡垒机具有记录和回放两个功能。记录的视频文件可以与堡垒机的系统分离。会话与视频文件一一对应，例如：用户登录堡垒机，然后通过跳板机从服务器列表中选择一个目标服务器进行访问，访问结束生成第一个视频文件，之后用户再次从服务器列表中选择另一个目标服务器进行访问，访问结束生成第二个视频文件。
[0031]
在访问目标服务器之前，应先登录目标服务器，登录目标服务器的过程是如下：先输入账号、密码和密钥访问堡垒机，然后经跳板机之后显示欢迎界面和提示界面，其中提示界面上可以显示所有目标服务器的唯一标识，以使用户根据唯一标识查找目标服务器。提
示界面还可以提供输入ip地址的位置，以使用户根据ip地址查找对应的目标服务器，之后目标服务器授权，进而引导用户登录目标服务器。
[0032]
本申请中的视频文件可以百分百还原用户操作的过程以及目标服务器返回的各种信息。需要注意的是，本申请中的视频文件可以回放，也可以直播。本申请中的视频文件可以与堡垒机的系统分离，有权限的用户均可以进行观看。本申请对视频文件的视频类型不作具体限制，可以是mp4格式，还可以是其他格式。
[0033]
另外，视频文件包含的信息较多，例如：可以看出输入a与输入b之间的时间间隔，还可以看出用户是一气呵成的输入，还是犹豫的输入，还是不熟练的输入，因此根据本申请中的视频文件可以很容易的确定用户的一些细节信息。在公安举证时，现有的堡垒机基于系统进行回放，且回放的数据不是一个视频，也不是影片，而是一堆程序，因此回放过程也较为困难。现有的堡垒机在记录时，记录方式较为复杂，例如：用户在7点59分登录目标服务器，在8点进入目标服务器的a界面，9点进入目标服务器的b界面，传统记录方式是：以登录目标服务器的时间为基准，然后记录过了一分钟进入目标服务器的a界面，过了61分钟，进入目标服务器的b界面，因此传统记录方式也容易导致现有堡垒机回放困难。
[0034]
本发明实施例提供的一种用户访问的监控方法，包括：先在会话的开始时刻，通过监控模块生成一个虚拟界面；其中，会话的时间属性包含开始时刻和结束时刻，开始时刻为用户通过客户端访问目标服务器的开始时刻，虚拟界面用于记录用户的真实操作；然后通过录屏模块从虚拟界面中获取图像帧，并录制成对应的视频文件，直至结束时刻为止，以使第三方获取视频文件。本发明实施例通过录屏模块从虚拟界面中获取图像帧的方式，可以直接生成对应的视频文件，该视频文件可以直观地显示用户做了哪些操作，且视频文件不依赖于堡垒机，即使堡垒机故障或挂掉，视频文件仍可以正常读取。
[0035]
在一个可选的实施例中，在录制成对应的视频文件之后，方法还包括：将视频文件存储到目标存储区域；其中，目标存储区域包括加密桶和云存储区域。
[0036]
在本申请中，视频文件本身不加密，而是将其放在加密区域(即目标存储区域)。本申请对目标存储区域不作具体限制，可以是加密桶bucket，还可以是云存储区域，云存储区域包括但不限于：阿里云、亚马逊等。
[0037]
在一个可选的实施例中，当目标存储区域为加密桶时，如图2所示，将视频文件存储到目标存储区域，包括：
[0038]
步骤s201，通过加密桶向大厅服务器发送存储请求；
[0039]
步骤s202，在大厅服务器通过存储请求之后，通过录屏模块接收大厅服务器发送的令牌token；
[0040]
步骤s203，通过录屏模块向加密桶发送token，以使加密桶基于token对视频文件进行存储；
[0041]
步骤s204，在视频文件存储完成之后，通过加密桶生成一个凭证，并将凭证发送至大厅服务器。
[0042]
在本发明实施例中，存储时，加密桶先向大厅服务器发送存储请求，然后大厅服务器通过存储请求，录屏模块接收大厅服务器发送的令牌token，并向加密桶发送token，加密桶基于token对视频文件进行存储，视频文件存储完成之后，加密桶生成一个凭证，并将凭证发送至大厅服务器，以使下述的第三方进行获取。
[0043]
在一个可选的实施例中，在执行步骤s204之后，如图3所示，方法还包括：
[0044]
步骤s301，接收第三方发送的视频文件的获取请求；
[0045]
步骤s302，对第三方进行身份验证和权限认证，并在身份验证和权限认证均通过之后，通过获取请求；
[0046]
步骤s303，在通过获取请求之后，向第三方发送凭证，以使第三方根据凭证从加密桶中获取与凭证对应的视频文件。
[0047]
在发明实施例中，身份验证和权限认证可以保障视频文件的读取安全性，第三方通过凭证可以直接从加密桶中获取与凭证对应的视频文件，获取方式简单，便于操作。
[0048]
在一个可选的实施例中，如图3所示，在执行步骤s303之后，方法还包括：
[0049]
步骤s304，在第三方根据凭证从加密桶中获取与凭证对应的视频文件之后，将凭证确定为失效状态，并通过加密桶生成一个新凭证；
[0050]
步骤s305，通过加密桶向大厅服务器反馈凭证更新结果；其中，凭证更新结果用于表示：凭证为失效状态，且新凭证为有效状态。
[0051]
在本实施例中，一个视频文件对应一个凭证，且凭证是一次性的，同时携带有使用期限，在确定为失效状态之后，生成一个新凭证，以便于下一个第三方对该视频文件的获取。
[0052]
在一个可选的实施例中，图像帧包括：关键帧i帧、差别帧p帧和双向差别帧b帧；通过录屏模块从虚拟界面中获取图像帧，并录制成对应的视频文件，直至结束时刻为止，包括：方式1：通过录屏模块从虚拟界面中获取i帧，基于i帧，录制成对应的视频文件，直至结束时刻为止；方式二：通过录屏模块从虚拟界面中获取i帧和p帧，基于i帧和p帧，录制成对应的视频文件，直至结束时刻为止；方式三：通过录屏模块从虚拟界面中获取i帧和b帧，基于i帧和b帧，录制成对应的视频文件，直至结束时刻为止；方式四：通过录屏模块从虚拟界面中获取i帧、p帧和b帧，基于i帧、p帧和b帧，录制成对应的视频文件，直至结束时刻为止。
[0053]
本发明实施例对关键帧i帧、差别帧p帧和双向差别帧b帧的含义不作赘述，而在从虚拟界面中获取时，无论如何，均需要获取关键帧i帧。
[0054]
在一个可选的实施例中，方法还包括：通过录屏模块显示视频文件。
[0055]
本申请除了可以在录制完成之后实现回放，还可以将录制界面发送到有权限的移动终端进行实时发送、进行直播，便于第三方对视频文件的读取。
[0056]
综上所述，本发明实施例通过录屏模块在虚拟界面中获取图像帧的方式，可以直接生成对应的视频文件，该视频文件可以直观地显示用户做了哪些操作，且视频文件不依赖于堡垒机，即使堡垒机故障或挂掉，视频文件仍可以正常读取。
[0057]
实施例2：
[0058]
本发明实施例提供了一种用户访问的监控系统，该用户访问的监控系统主要用于执行实施例1上述内容所提供的用户访问的监控方法，以下对本发明实施例提供的用户访问的监控系统做具体介绍。
[0059]
图4为本发明实施例提供的一种用户访问的监控系统的结构示意图。如图4所示，主要包括：监控模块11、录屏模块12和虚拟界面13，其中：
[0060]
监控模块11，用于在会话的开始时刻，生成一个虚拟界面13；其中，会话的时间属性包含开始时刻和结束时刻，开始时刻为用户通过客户端访问目标服务器的开始时刻，虚
拟界面13用于记录用户的真实操作；
[0061]
录屏模块12，用于从虚拟界面13中获取图像帧，并录制成对应的视频文件，直至结束时刻为止，以使第三方获取视频文件。
[0062]
本发明实施例提供的一种用户访问的监控系统，在会话的开始时刻，先利用监控模块11生成一个虚拟界面13；然后通过录屏模块12从虚拟界面13中获取图像帧，并录制成对应的视频文件，直至结束时刻为止，以使第三方获取视频文件。本发明实施例通过录屏模块12从虚拟界面13中获取图像帧的方式，可以直接生成对应的视频文件，该视频文件可以直观地显示用户做了哪些操作，且视频文件不依赖于堡垒机，即使堡垒机故障或挂掉，视频文件仍可以正常读取。
[0063]
此外，该用户访问的监控系统还包括：加密桶14和大厅服务器15，其中，加密桶14和大厅服务器15进行交互，实现对视频文件的存储，具体过程见上述用户访问的监控方法，在此不再赘述。
[0064]
在一个可选的实施例中，本实施例还提供一种电子设备，包括存储器、处理器，存储器中存储有可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述方法实施例方法的步骤。
[0065]
在一个可选的实施例中，本实施例还提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质，其中，所述程序代码使所述处理器执行上述方法实施例方法。
[0066]
另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。
[0067]
在本实施例的描述中，需要说明的是，术语“中”、“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的系统或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本实施例的限制。此外，术语“第一”、“第二”、“第三”、“第四”仅用于描述目的，而不能理解为指示或暗示相对重要性。
[0068]
所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0069]
在本实施例所提供的几个实施例中，应该理解到，所揭露的方法和系统，可以通过其它的方式实现。以上所描述的系统实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，系统或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0070]
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使
得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0071]
最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。