一种保护用户个人隐私的上网日志记录系统及方法

摘要

本发明公开一种保护用户个人隐私的上网日志记录系统及方法，该系统包括：负责普通管理操作的普通管理单元、负责授权并操作的隐私管理单元、与普通管理单元和隐私管理单元相连接的负责监控系统安全的后台安全管理单元、用于存储数据的数据存储单元。从而实现了一种安全性好，用户个人隐私数据不易泄漏，通过软件加密与硬件加密相结合通过不同级别的管理员共同管理的一种在上网日志记录系统中保护个人隐私的方法。

说明书

技术领域

本发明涉及一种用户上网日志隐私信息的保护系统。具体地说 涉及一种保护用户上网日志的个人隐私的记录系统及方法。

背景技术

随着信息技术和互联网的深入发展，互联网日益成为人们工作、 学习和生活的一部分。在享受互联网带来的巨大便利的时候，由其带 来的负面影响和安全威胁也日趋严重。工作效率降低、带宽滥用、下 载传播非法、黄色信息、机密信息泄露等问题日益突出，并由此产生 法律、名誉、经济等各方面问题。特别是《互联网安全保护技术措施 规定》（公安部第82号令）明确要求提供互联网接入服务的单位必须 保留用户上网日志60天以上。这对于互联网管理，上网行为规范， 提高网络利用率等方面提出了迫切的需要。上网日志主要可记录：

（1）可记录URL地址、HTTP表单内容以及WEB外发信 息，如BBS、登录信息等；

（2）可对主流即时通讯软件如QQ、MSN等即时消息的登 录账户、聊天内容、上传／下载文件进行记录，并可提供本地下 载审核；

（3）可记录邮件发件人、收件人、标题、正文、附件、大 小等信息，支持POP3、SMTP、IMAP、WEBMAIL等；

（4）可记录FTP登陆账号、密码、服务器IP地址、传输 文件的时间、文件名称、传输方向、大小等信息；

（5）可记录迅雷、BT、pplive、ppstream等P2P协议使 用情况；

（6）可记录魔兽世界、跑跑卡丁车等网游和大智慧、钱龙 等证券软件的使用情况；

（7）可自定义应用，并进行监控。

上述上网日志记录的内容，不仅涉及可了用户的一些访问记录， 其中也包含了众多的用户的个人隐私，如果这些隐私可以无限制的被 查看，则造成个人隐私的泄露，如果这些个人信息被滥用则存在非常 严重的后果。

为此，中国专利文献CN101408916B公开了一种互联网软件上 网隐私保护方法，该方法主要包括三个步骤：（1）创建一个加密分区； （2）加载加密分区，将用户使用信息的存储路径指向该加密分区； （3）互联网软件将数据根据指定的路径将用户上网相应的记录信息 加密并保存至所述加密分区，所述互联网软件还可读取加密分区的数 据，具备解密功能；（4）卸载加密分区，将互联网软件的数据存储在 原来公开的路径。该上网隐私保护方法的不足之处在于虽然设置了加 密分区，但是任何人只要掌握了用户输入的密码就能查看、修改、删 除用户个人隐私数据信息，而且由于对上网行为管理的需要，管理人 员需要对其记录进行查询必然需要获知密码，从而导致了密码容易泄 露，用户隐私信息的安全性不足。

发明内容

为此，本发明所要解决的技术问题在于现有技术中的上网隐私 保护方法虽然设置了密码但是由于管理需要密码泄露的风险较大， 导致用户隐私信息的安全性差，从而提出一种安全性好，用户个人 隐私数据不易泄漏，通过软件加密与硬件加密相结合通过不同级别 的管理员共同管理的一种在上网日志记录系统中保护个人隐私的 方法。

为解决上述技术问题，本发明的采用以下技术方案：

一种保护用户个人隐私的上网日志记录系统，包括：

普通管理单元，进一步包括：

普通管理员密码验证模块，用于验证普通管理员身 份；

普通管理员操作模块，用于普通管理员对上网日志 记录中不涉及用户个人隐私的数据进行普通权限的操 作和设置；

隐私管理单元，进一步包括：

隐私管理员密码验证模块，用于验证隐私管理员身 份和隐私管理员操作权限；

隐私管理员操作模块,用于隐私管理员通过隐私管 理员密码验证模块验证正确，并且上网日志记录系统确 认隐私管理员身份合法后，隐私管理员对上网日志记录 中涉及用户个人隐私的数据进行操作；

后台安全管理单元，与普通管理员密码验证模块和隐私管理 员密码验证模块相连，监控密钥验证动态，通过与隐私管理员操 作模块连接接收隐私管理员涉及隐私权限的操作；

数据存储单元，进一步包括：

普通数据存储空间，上网日志记录系统根据隐私管 理员设置的除用户个人隐私数据外的普通数据自动存 放至该存储空间；

隐私数据存储空间，上网日志记录系统根据隐私管 理员设置的属于用户个人隐私的数据，将用户个人隐私 数据自动存放该加密的隐私数据存储空间。

还包括有：隐私数据自动销毁模块，接收所述后台安全管理 单元或隐私管理单元发出销毁隐私数据的指令第一时间销毁用户 个人隐私数据，或者根据上网日志记录系统设置的用户个人隐私 数据保存周期到达后自动销毁用户个人隐私数据。

普通管理单元可设置有多个不同的普通管理员账户。

隐私管理单元可设置有多个不同的隐私管理员账户。

隐私管理单元通过隐私管理员密码验证模块验证和通过验证 操作密码后具有负责授权查阅用户个人隐私数据的申请、销毁用 户个人隐私数据、修改隐私数据包括的范围、设置授权查阅用户 个人隐私数据的申请的时效、设置用户个人隐私数据保存时间的 操作权限。

所述后台安全管理单元接收所述隐私管理员通过隐私管理员 操作模块涉及隐私权限操作，所述涉及隐私权限操作包括隐私管 理员授权查阅用户个人隐私数据的申请和销毁用户个人隐私数据 的指令，所述后台安全管理单元具有查询、记录、结束隐私管理 员授权普通管理员或他人查阅用户个人隐私数据的申请的权限， 具有自动发出销毁用户个人隐私数据的指令权限，可根据需要发 送报警信息。

所述普通管理员密码验证模块的密码验证设备可以由静态密 码输入识别设备或动态密码输入识别设备或通过USB外设的硬 件加密设备的一种或多种组合形成。

所述隐私管理员密码验证模块的隐私管理员身份验证的密码 验证设备或隐私管理员操作密码验证的设备可以由动态密钥口令 输入验证设备，或通过USB外设的硬件加密识别验证设备结合 生物识别验证设备组合形成，并且隐私管理员身份验证和隐私管 理员操作密码验证设备的组合不相同。

所述隐私管理员密码验证模块的隐私管理员身份验证的密码 验证设备和隐私管理员操作密码验证的设备的生物识别验证设备 可以是掌静脉信息验证设备或虹膜验证设备或活体面部识别设备 其中之一的不可复制的生物识别验证设备。

所述普通数据存储空间和隐私数据存储空间可以是独立的计 算机可用存储介质且二者相互独立，任何人都无法不经过上网日 志记录系统直接访问或对普通数据存储空间和隐私数据存储空间 存储内容进行操作，只能通过普通管理单元和隐私管理单元进行 相应操作。

一种保护用户个人隐私的上网日志记录方法，其特征在于， 主要包括以下步骤：

S1:隐私管理员通过隐私管理单元的隐私管理员密码验证模 块密码验证，包括隐私管理员登入身份验证和隐私管理员操作权 限验证；验证成功则具备执行相应操作权限，若验证失败，则重 新验证；

S2:通过隐私管理单元的隐私管理员操作模块定义用户个人 隐私数据的范围、修改隐私设置，隐私管理员身份验证和隐私管 理员操作权限验证成功后，根据需要定义用户个人隐私数据的范 围、修改用户个人隐私设置，上网日志记录系统根据隐私管理员 的操作自动将用户个人隐私数据存入加密的隐私数据存储空间， 同时将除用户个人隐私数据外的普通数据自动存入普通数据存 储空间；

S3：普通管理员通过普通管理单元登入及日常操作，普通管 理员通过管理员密码验证模块来验证普通管理员身份，验证成功， 则具备不涉及用户个人隐私数据的普通日常管理的权限；

S4：普通管理员通过普通管理员操作模块查询涉及用户个人 隐私数据的内容，普通管理员查询的内容被上网日志记录系统认 定为属于用户个人隐私，则需向隐私管理员申请查阅用户个人隐 私数据的申请，申请得到授权后才具有查询用户个人隐私数据的 权限；

S5：隐私管理员通过隐私管理员操作模块授权普通管理员查 询存储于隐私的数据存储单元的用户个人隐私数据的申请，隐私 管理员收到普通管理员查询用户个人隐私数据的申请，若符合授 权条件，则授权并设置授权查阅用户个人隐私数据的申请的授权 周期，否则拒绝授权；

S6：查询结束，在达到上网日志记录系统及隐私管理员设置 的查询结束条件后上网日志记录系统结束用户个人隐私数据的 查询。

所述普通管理员的日常操作可以是：上网日志记录系统的日 常维护和管理、查询普通数据、记录并统计普通数据、更新上网 日志记录系统非用户个人隐私数据的参数、查询并记录安全管理 单元的工作情况；

在步骤S4中所述普通管理员通过普通管理员操作模块查询 的内容属于用户个人隐私时，需向至少2位隐私管理员申请查阅 用户个人隐私数据的申请，上网日志记录系统随机指定至少2位 隐私管理员，申请得到所有隐私管理员的授权后才具有查询用户 个人隐私数据的权限。

还包括以下步骤：

S20:锁定上网日志记录系统，后台安全管理单元在监控到普 通管理员或隐私管理员3次以上密码验证失败后自动发出指令 在设定时间内锁定上网日志记录系统，停止所有的验证申请和操 作权限，并记录错误验证详细信息，生物识别设备记录并将验证 者的生物特征发送至后台安全管理单元中，后台安全管理单元向 所有管理人员发出报警，报警方式可以是电子邮件或短信；

S21：隐私数据自动销毁模块自动销毁用户个人隐私数据， 所述隐私数据自动销毁模块在发生以下情形时自动销毁用户个 人隐私数据：

（1）系统受到不可恢复的外界黑客攻击时收到由所述后台 安全管理单元发送的用户个人隐私数据销毁指令；

（2）达到上网日志系统根据法定要求设置的用户个人隐私 数据保存周期；

（3）收到后台安全管理单元发送的由所有的隐私管理员联 合发出的销毁用户个人隐私数据的指令。

所述后台安全管理单元在以下情形发生时自动结束隐私管理 员授权普通管理员或他人查阅用户个人隐私数据的申请：

（2.1）重新启动上网日志记录系统；

（2.2）更换普通管理员或隐私管理员；

（2.3）授权查阅用户个人隐私数据时间达到设定授权 周期。

本发明的上述技术方案相比现有技术具有以下优点：

1.本发明所述的保护用户个人隐私的上网日志记录系统，包括 普通管理单元，隐私管理单元，可实现隐私数据和普通数据分开管 理，有利于隐私数据的保密和安全；同时隐私管理单元验证有两个 步骤，进一步保证了账户的安全性，所述的一种用户个人隐私的上 网系统还包过后台安全管理单元，实现对系统安全的动态监控，还 包括用于存储普通数据的普通数据存储空间和存储用户个人隐私 数据的隐私数据存储空间，两种数据存储空间相互独立且由对应类 型的管理员单独管理，确保数据方便整理、操作。

2.本发明所述的保护用户个人隐私的上网日志记录系统，还包 括有隐私数据自动销毁模块，在收到指令后能实现自动销毁数据， 进一步保证了数据安全性，防止敏感的用户个人隐私数据外流避免 对用户造成损失。

3.本发明所述的保护用户个人隐私的上网日志记录系统，可设 置多个普通管理员和隐私管理员，确保了隐私管理员的独立性和多 位隐私管理员的多重安全保障。

4.本发明所述的保护用户个人隐私的上网日志记录系统，隐私 管理员只具备具有负责授权查阅用户个人隐私数据的申请、销毁用 户个人隐私数据、修改用户个人隐私数据包括的范围、设置授权查 阅用户个人隐私数据的申请的时效、设置用户个人隐私数据保存时 间的操作权限。不具备查询用户隐私具体内容的权限，确保了用户 隐私的私密性。

5.本发明所述的保护用户个人隐私的上网日志记录系统，后台 安全管理单元接收所述隐私管理员涉及隐私权限操作，可响应隐私 管理员的操作。所述后台安全管理单元具有查询、记录、结束隐私 管理员授权普通管理员或他人查阅用户个人隐私数据的申请的权 限，具有较全面的功能。还有具有自动发出销毁用户个人隐私数据 的指令权限，可根据需要发送报警信息，能够实现安全预警功能。

6.本发明所述的保护用户个人隐私的上网日志记录系统，管理 员密码验证模块可以由静态密码输入识别设备或动态密码输入识 别设备或通过USB外设的硬件加密设备的一种或多种组合形成， 不易被盗用，确保普通管理员账户安全。

7.本发明所述的保护用户个人隐私的上网日志记录系统，所述 隐私管理员密码验证模块的隐私管理员身份验证和隐私管理员操 作密码验证设备可以由常规密码验证设备和密码验证方式结合生 物识别验证设备组合形成且隐私管理员身份验证和隐私管理员操 作密码验证设备的组合不相同。确保了隐私管理员账号验证的多样 性从而进一步提高了账户的安全性。生物识别设备可根据需要灵活 选择现有技术中常规的技术设备。

8.本发明所述的保护用户个人隐私的上网日志记录方法，首先 由隐私管理员先通过登入验证和操作验证，定义用户个人隐私数据 的范围、修改隐私设置，系统根据隐私管理员操作将数据分为隐私 数据和普通数据，并将用户隐私数据自动存入隐私的数据管理空间， 过程简便，自动进行存储步骤，实现智能化操作。普通管理员登入 验证，验证通过后进行普通数据管理，若需查询用户个人隐私数据， 需向多位隐私管理员申请授权，确保用户个人隐私数据不会被随意 查阅。系统随机指定多位隐私管理员进行授权，保证了隐私管理员 与普通管理员之间的独立。查询结束，系统结束查询，防止用户个 人隐私数据的泄露。

9.本发明所述的保护用户个人隐私的上网日志记录方法，在隐 私管理员和普通管理员多次密码验证错误时可自动锁定系统，防止 非系统管理员的入侵。生物识别设备还可记录非法入侵人员的生物 识别信息，方便相关人员的追查。同时后台安全管理单元可在第一 时间发送报警信息给所有管理人员，方便管理人员迅速应急防控。

10.本发明所述的保护用户个人隐私的上网日志记录方法，隐 私数据自动销毁模块可在系统预设的条件下自动销毁数据或者可 由所有隐私管理员联合发出的指令销毁数据，保证了用户个人隐私 数据不会外流。

11.本发明所述的保护用户个人隐私的上网日志记录方法，可 在多个情形下自动结束隐私管理员授权普通管理员或他人查阅用 户用户个人隐私数据的申请，避免因人为管理疏忽造成用户个人隐 私数据的暴露。

附图说明

为了使本发明的内容更容易被清楚的理解，下面根据本发明的 具体实施例并结合附图，对本发明作进一步详细的说明，其中

图1是一种保护用户个人隐私的上网日志记录系统的结构框 图；

图2是一种保护用户个人隐私的上网日志记录方法的工作流 程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施例作进一步详细描 述。以下实施例用于说明本发明的目的，但不用于限定本发明的保护 范围。

实施例一

本发明的技术方案提供了一种保护用户个人隐私的上网日 志记录系统及方法。如图1所示，一种保护用户个人隐私的上网 日志记录系统，主要包括：

1.用于实现普通管理员验证和操作的普通管理单元，所述普 通管理单元可设置有多个不同的普通管理员账户，所述普通管理 单元进一步包括：

（1.1）用于验证普通管理员身份和操作权限的管理员密码验 证模块，所述管理员密码验证模块的密码验证设备可以由静态密 码输入识别设备或动态密码输入识别设备或通过USB外设的硬 件加密设备的一种或多种组合形成。

（1.2）普通管理员操作模块，用于普通管理员对上网日志记 录系统中不涉及用户个人隐私的数据进行普通权限的操作和设置。

2.用于实现隐私管理员身份和操作的验证和隐私管理员涉及 用户个人隐私数据的操作的隐私管理单元，隐私管理单元可设置 有多个不同的隐私管理员账户，并且任意一位普通管理员不得兼 任隐私管理员角色。所述隐私管理单元进一步包括：

（2.1）隐私管理员密码验证模块，用于验证隐私管理员登入 和隐私管理员操作权限。

（2.2）隐私管理员操作模块,隐私管理员通过隐私管理员密 码验证模块验证正确，并且上网日志记录系统确认隐私管理员身 份合法后，隐私管理员通过隐私管理员操作模块具备操作涉及用 户个人隐私数据进行操作的权限。所述隐私管理员密码验证模块 的隐私管理员身份验证设备和隐私管理员操作密码的验证设备可 以由动态密钥口令输入验证设备或通过USB外设的硬件加密识 别验证设备结合生物识别验证设备组合形成，并且隐私管理员身 份验证的密码验证设备和隐私管理员操作密码验证的设备的组合 不相同。所述隐私管理员密码验证模块的隐私管理员身份验证的 密码验证设备和隐私管理员操作密码验证的设备的生物识别验证 设备可以是掌静脉信息验证设备或虹膜验证设备或活体面部识别 设备其中之一的不可复制的生物识别验证设备。

隐私管理单元在通过隐私管理员密码验证模块验证和通过验 证操作密码这两个步骤后具有对上网日志记录中涉及用户个人隐 私的数据进行操作。隐私管理单元具有负责授权查阅用户个人隐 私数据的申请、销毁用户个人隐私数据、修改个人隐私数据包括 的范围、设置授权查阅用户个人隐私数据的申请的时效、设置用 户个人隐私数据的保存时间的操作权限。

3.负责系统安全运行的后台安全管理单元，所述后台安全管 理单元与管理员密码验证模块和隐私管理员密码验证模块相连， 实时监控密钥验证动态，通过与隐私管理员操作模块连接接收隐 私管理员通过隐私管理员操作模块涉及隐私权限的操作。所述后 台安全管理单元接收所述涉及隐私权限的操作，所述涉及隐私权 限包括隐私管理单元授权查阅用户个人隐私数据的申请和销毁用 户个人隐私数据的指令，所述后台安全管理单元具有查询、记录、 结束隐私管理员授权普通管理员或他人查阅用户个人隐私数据的 申请的权限，具有自动发出销毁用户个人隐私数据的指令权限， 并可根据需要发送报警信息，发送报警信息的方式可以是声音报 警或向每位隐私管理员和／或普通管理员发送报警邮件或短信。

4.用于存储普通数据和隐私数据的数据存储单元，所述数据 存储单元进一步包括：

（4.1）普通数据存储空间，上网日志记录系统根据隐私管 理员设置的除用户个人隐私数据外的普通数据自动存放至该存 储空间。

（4.2）隐私数据存储空间，上网日志记录系统根据隐私管 理员设置的用户个人隐私数据，将用户个人隐私数据自动存放该 加密的隐私数据存储空间。

所述普通数据存储空间和隐私数据存储空间可以是独立的计 算机可用存储介质且二者相互独立没有直接联系，任何人都无法 不经过上网日志记录系统直接访问或对普通数据存储空间和隐私 数据存储空间存储内容进行操作，只能通过普通管理单元和隐私 管理单元进行相应操作。

5.可发出销毁用户个人隐私数据指令的隐私数据自动销毁模 块，所述隐私数据自动销毁模块接收所述后台安全管理单元或隐 私管理员通过隐私管理员操作模块发出销毁用户个人隐私数据的 指令第一时间销毁用户个人隐私数据，或者根据上网日志记录系 统设置的用户个人隐私数据保存周期到达后自动销毁用户个人隐 私数据。

实施例二

如图2所示，一种保护用户个人隐私的上网日志记录方法， 主要包括以下步骤：

S1：隐私管理员通过隐私管理单元的隐私管理员密码验证模 块进行密码验证，上网日志记录系统中隐私管理员所需的数目至 少为2。所述管理员密码验证步骤包括首先隐私管理员登入身份 验证和通过身份验证后的隐私管理员操作权限验证，通过登入身 份验证和操作权限验证成功后隐私管理员才具备执行相应的涉及 用户个人隐私数据的操作权限，所述隐私管理员不具备查询用户 个人隐私数据具体数据内容的权限，比如查阅详细的用户上网日 志记录。若验证失败，则重新验证，当后台安全管理单元在监控 到隐私管理员3次以上密码验证失败后（包括登入身份验证和操 作权限验证次数之和）自动发出指令在设定时间内锁定上网日志 记录系统，停止所有的验证申请和操作权限，并记录错误验证详 细信息，生物识别设备记录并将验证者的生物特征发送至后台安 全管理单元中，所述后台安全管理单元向所有管理人员包括普通 管理员和隐私管理员的管理人员发出报警，报警方式可以是电子 邮件或短信。

S2：隐私管理员具备执行涉及隐私操作的权限后可根据需要 定义用户个人隐私数据的范围、修改隐私设置。隐私管理员身份 验证和隐私管理员操作权限验证成功后，根据需要定义用户个人 隐私数据的范围、修改用户个人隐私设置，系统根据隐私管理员 操作将数据分为隐私数据和普通数据，系统根据隐私管理员的操 作自动将用户个人隐私数据存入加密的隐私数据存储空间。

S3：普通管理员登入身份验证及日常操作，普通管理员通过管 理员密码验证模块来验证普通管理员身份，验证成功，则具备不 涉及用户个人隐私数据的普通日常管理的权限。所述普通管理员 的日常操作可以是：上网日志记录系统的日常维护和管理、查询 普通数据、记录并统计普通数据、更新上网日志记录系统非用户 个人隐私数据的参数、查询并记录安全模块后台安全管理单元工 作情况。若验证失败，则重新验证，当后台安全管理单元在监控 到普通管理员3次以上密码验证失败后安全模块自动发出指令在 设定时间内锁定上网日志记录系统，停止所有的验证申请和操作 权限，并记录错误验证的详细信息，安全模块向所有包括普通管 理员和隐私管理员的管理人员发出报警，报警方式可以是电子邮 件或短信。

S4：普通管理员查询涉及用户个人隐私数据的内容，普通管 理员查询的内容被上网日志记录系统认定为属于用户个人隐私， 则需向至少2位隐私管理员申请查阅用户个人隐私数据的申请， 上网日志系统随机指定所需至少2位隐私管理员，申请得到所有 隐私管理员的授权后才具有查询用户个人隐私数据的权限；

S5：隐私管理员授权普通管理员查询用户个人隐私数据的申 请，隐私管理员收到普通管理员查询用户个人隐私数据的申请， 若符合授权条件，则授权并设置授权查阅用户个人隐私数据的申 请的授权周期，否则拒绝授权；

S6：查询结束，在达到上网日志记录系统及隐私管理员设置的 查询结束条件或普通管理员关闭查询后上网日志记录系统的后台 安全管理单元结束普通管理员涉及用户个人隐私数据的查询。所 述后台安全管理单元在以下情形发生时自动结束隐私管理员授权 普通管理员或他人查阅用户个人隐私数据的申请：

（2.1）重新启动上网日志记录系统；

（2.2）更换普通管理员或隐私管理员；

（2.3）授权查阅用户个人隐私数据时间达到设定授权 周期。

一种保护用户个人隐私的上网日志记录方法，还包括以下步 骤：

S21：隐私数据自动销毁模块自动销毁用户个人隐私数据， 所述隐私数据自动销毁模块在发生以下情形时自动销毁用户个 人隐私数据：

（1）系统受到不可恢复的外界黑客攻击时收到由所述后台 安全管理单元发送的用户个人隐私数据销毁指令；

（2）达到上网日志记录系统根据法定要求设置的用户个人 隐私数据保存周期；

（3）收到后台安全管理单元发送的由所有的隐私管理员联 合发出的销毁用户个人隐私数据的指令。

显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实 施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基 础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有 的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处 于本发明创造的保护范围之中。