CN114567503A - 一种集中管控的可信的数据采集的加密方法 - Google Patents
一种集中管控的可信的数据采集的加密方法 Download PDFInfo
- Publication number
- CN114567503A CN114567503A CN202210215148.1A CN202210215148A CN114567503A CN 114567503 A CN114567503 A CN 114567503A CN 202210215148 A CN202210215148 A CN 202210215148A CN 114567503 A CN114567503 A CN 114567503A
- Authority
- CN
- China
- Prior art keywords
- log
- data
- offset
- log file
- block
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 230000005540 biological transmission Effects 0.000 abstract description 6
- 238000013480 data collection Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Abstract
本发明公开了一种集中管控的可信的数据采集的加密方法,其特征在于,所述方法,包括步骤:(1)将大小为Dszi的数据Di添加到偏移量为Loffi的日志文件L中;(2)Kα的当前偏移量从其头header读取;(3)Kα的一个分块Ci被读取,这个分块大小为常量Csz,且决定了每次写入日志文件L所消耗的密钥长度,与写入日志的大小无关;(4)Kα的对应区域被添加数据Di;(5)Kα的最新偏移量写入其头header;(6)日志文件L的id的拼接的HMAC,它唯一地标识了日志文件,并计算日志文件L的偏移量Loffi、数据长度Dszi、Kα中的Ci分块的偏移量Coffi和数据Di,分块Ci被加密;(7)该分块从内存中被删除;(8)创建带有字段L、Loffi、Dszi、Coffi和HMAC的记录R;(9)记录R被附加到ASEALlog中。通过本发明,能够保障集中管控在日志生成阶段、日志传输阶段和日志存储阶段的数据完整性和不可篡改性。
Description
技术领域
本发明涉及网络安全、SOC(Security operation center)、数据采集、操作系统、文件系统和数据加密的技术领域,尤其涉及到一种集中管控的可信的数据采集的加密方法。
背景技术
一般来说,攻击者对一个企业网络发起的攻击,其攻击的全过程,可以被划分成如下三个阶段:
1、企业网络运营正常,在此阶段,攻击者会侦察和探测企业网络的弱点/或漏洞,并根据攻击向量尝试不同的远程或本地攻击。日志文件能够在这个阶段捕获攻击类型和攻击者的信息。
2、企业网络受到威胁,攻击者在企业网络内,但没有完全控制企业网络(或者说,攻击者没有管理权限)。在此阶段,攻击者试图提升权限。日志可能会捕获此阶段的一些痕迹,但攻击者可能更容易隐藏恶意操作。
3、攻击者提升权限并完全控制机器。攻击者可以删除和操纵日志,以使攻击痕迹消失。
为此,如何保障第一阶段和第二阶段的日志数据不被攻击者所篡改;否则,则无法检测到攻击者的痕迹;另一方面,如何保障日志数据生成安全、传输安全和存储安全;否则则无法保护日志数据的完整性和不可篡改性,因而也无法建立可信环境。因此,迫切需要研究出一种采集数据的加密方法,以实现集中管控的可信的数据采集。
发明内容
为了解决上述技术问题,本发明提供了一种集中管控的可信的数据采集的加密方法,对所采集数据进行加密,以保障集中管控在日志生成阶段、日志传输阶段和日志存储阶段的数据完整性和不可篡改性。
一种集中管控的可信的数据采集的加密方法,其特征在于,所述方法,包括以下步骤:
(1)将大小为Dszi的数据Di添加到偏移量为Loffi的日志文件L中;
(2)Kα的当前偏移量从其头header读取;
(3)Kα的一个分块Ci被读取,这个分块大小为常量Csz,且决定了每次写入日志文件L所消耗的密钥长度,与写入日志的大小无关;
(4)Kα的对应区域被添加数据Di;
(5)Kα的最新偏移量写入其头header;
(6)日志文件L的id的拼接(concatenation)的HMAC,它唯一地标识了日志文件,并计算日志文件L的偏移量Loffi、数据长度Dszi、Kα中的Ci分块的偏移量Coffi和数据Di,分块Ci被加密,且不同分块Ci被加密的密钥是各不相同的;
(7)该分块Ci从内存中被删除;
(8)创建带有字段L、Loffi、Dszi、Coffi和HMAC的记录R;
(9)记录R被附加到ASEALlog中。
进一步地,所述步骤(2)–(9),必须以原子方式执行。
本发明的技术效果在于:
在本发明中,提供了一种集中管控的可信的数据采集的加密方法,其特征在于,所述方法,当把大小为Dszi的数据Di附加到偏移量为Loffi处的日志文件L时,包括步骤:(1)数据被附加到日志中;(2)Kα的当前偏移量从其头header读取;(3)Kα的一个分块Ci被读取,块大小(决定每次写入所消耗的密钥长度)是常量(Csz),与写入日志的大小无关;(4)Kα的对应区域被烧了;(5)Kα的最新偏移量写入其头header;(6)日志id(L)的关联的HMAC,它唯一地标识日志文件、日志中的偏移量(Loffi)、数据长度(Dszi)、对于Ci(Coffi)和计算数据(Di)在Kα中的偏移量被计算了。块Ci被用作密钥;(7)该块从内存中被删除;(8)创建带有字段L、Loffi、Dszi、Coffi和HMAC的记录R;(9)记录R被附加到ASEALlog中。通过本发明,能够保障集中管控在日志生成阶段、日志传输阶段和日志存储阶段的数据完整性和不可篡改性。
附图说明
图1是一种集中管控的可信的数据采集的加密方法的端到端可信的示意图;
图2是一种集中管控的可信的数据采集的加密方法的步骤示意图;
图3是一种集中管控的可信的数据采集的加密方法的示意图。
具体实施方式
下面是根据附图和实例对本发明的进一步详细说明:
集中管控的可信数据采集的需求,就是维护所采集的日志数据的可用性和完整性,以及不可否认性。这意味着日志可验证地对应于特定系统上发生的事件。也就是说,集中管控的可信数据采集的需求为如图1所示的四个阶段。在安全日志中,验证发生在争议解决期间。
图1是一种集中管控的可信的数据采集的加密方法的端到端可信的示意图,包括日志生成阶段、日志传输阶段、日志存储阶段和争议解决。下面分别加以描述:
日志生成阶段,发生在日志源上,为了保障日志生成阶段的数据完整性,日志诸如使用生成系统的私钥签名的数字签名,为每个系统生成一个唯一的公钥/私钥对。
日志传输阶段,日志事件将从其源传输到存储系统,为了保障日志传输阶段的数据完整性,使用诸如加密连接是维护监护链的必要条件。
日志存储阶段,为了保障日志存储阶段的数据完整性,接收到的任何日志数据都应以保留可用性和完整性的方式存储,使用诸如修改操作系统内核文件系统的方法等。
当发生入侵并记录在日志文件中时,就会发生争议。入侵者和受害者都可能试图否认证据的真实性。然后,审计员必须能够验证日志是否在生成后未被任何人修改。
图2是一种集中管控的可信的数据采集的加密方法的步骤示意图,使用两种不同的存储设备:α以及β.β是将来用于验证日志的外部存储设备,涉及到如下参数:
1、生成随机Keystream(密钥流)K;
2、K存储在两个设备中(二进制格式的文件,且包含一个头header)。Kα密钥流(Keystream)被存储在α中,Kβ密钥流(Keystream)被存储在β中。
3、Kα和Kβ的头header已被初始化。它们有两个字段,一个字段是:Kαheader.id,它是密钥流的id号,其中Kα和Kβ将共享之以配对它们;另一个字段是:Kαheader.off,它是密钥流的当前偏移量,在α和β上都被初始化为零。
4、β与系统被断开物理连接,并保存在安全的地方。
5、系统创建一个文件ASEALlog来存储日志的身份认证数据和元数据。
图3是一种集中管控的可信的数据采集的加密方法的示意图,当写入日志时,涉及HMAC(key,msg):HMAC(key,msg)是一种安全密钥哈希消息认证码算法(keyed-hashmessage authentica-tion code algorithm)。函数的输入是一个密钥和一条消息。输出是依赖于密钥的消息的安全摘要。
如图3的加密算法,仅允许附加写操作(即日志末尾的写操作)。当一些大小为Dszi的数据Di必须附加到偏移量为Loffi处的日志文件L时,执行以下操作步骤:
一种集中管控的可信的数据采集的加密方法,其特征在于,所述方法,包括以下步骤:
(1)将大小为Dszi的数据Di添加到偏移量为Loffi的日志文件L中;
(2)Kα的当前偏移量从其头header读取;
(3)Kα的一个分块Ci被读取,这个分块大小为常量Csz,且决定了每次写入日志文件L所消耗的密钥长度,与写入日志的大小无关;
(4)Kα的对应区域被添加数据Di;
(5)Kα的最新偏移量写入其头header;
(6)日志文件L的id的拼接的HMAC,它唯一地标识了日志文件,并计算日志文件L的偏移量Loffi、数据长度Dszi、Kα中的Ci分块的偏移量Coffi和数据Di,分块Ci被加密,且不同分块Ci被加密的密钥各不相同,否则会被攻击者解密,从而攻击者可以修改所有有关的该攻击者的日志;
(7)该分块Ci从内存中被删除;
(8)创建带有字段L、Loffi、Dszi、Cofii和HMAC的记录R;
(9)记录R被附加到ASEALlog中。
上述步骤(2)–(9)必须以原子方式执行,以保持Kαheader.off的完整性和ASEALlog的顺序。这是从算法并发性的角度出发的。如果这个不变量未能被保留,它仍然会在审计中被检测到。
系统需要额外的空间来存储四个整数值和每次写入操作的HMAC摘要(与每次附加操作写入日志文件的字节数无关)。
以上所述仅为本发明的较佳实施例,并非用来限定本发明的实施范围;凡是依本发明所作的等效变化与修改,都被视为本发明的专利范围所涵盖。
Claims (2)
1.一种集中管控的可信的数据采集的加密方法,其特征在于,所述方法,包括以下步骤:
(1)将大小为Dszi的数据Di添加到偏移量为Loffi的日志文件L中;
(2)Kα的当前偏移量从其头header读取;
(3)Kα的一个分块Ci被读取,这个分块大小为常量Csz,且决定了每次写入日志文件L所消耗的密钥长度,与写入日志的大小无关;
(4)Kα的对应区域被添加数据Di;
(5)Kα的最新偏移量写入其头header;
(6)日志文件L的id的拼接的HMAC,它唯一地标识了日志文件,并计算日志文件L的偏移量Loffi、数据长度Dszi、Kα中的Ci分块的偏移量Coffi和数据Di,分块Ci被加密,且不同分块Ci被加密的密钥是各不相同的;
(7)该分块Ci从内存中被删除;
(8)创建带有字段L、Loffi、Dszi、Coffi和HMAC的记录R;
(9)记录R被附加到ASEALlog中。
2.如权利要求1所述的一种集中管控的可信的数据采集的加密方法,其特征在于,所述步骤(2)–(9),必须以原子方式执行。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210215148.1A CN114567503A (zh) | 2022-03-04 | 2022-03-04 | 一种集中管控的可信的数据采集的加密方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210215148.1A CN114567503A (zh) | 2022-03-04 | 2022-03-04 | 一种集中管控的可信的数据采集的加密方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114567503A true CN114567503A (zh) | 2022-05-31 |
Family
ID=81718431
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210215148.1A Pending CN114567503A (zh) | 2022-03-04 | 2022-03-04 | 一种集中管控的可信的数据采集的加密方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114567503A (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110131188A1 (en) * | 2009-12-01 | 2011-06-02 | International Business Machines Corporation | Method and system for real time system log integrity protection |
CN102929936A (zh) * | 2012-09-26 | 2013-02-13 | 东软集团股份有限公司 | 日志记录方法、日志查询方法及系统 |
CN105940396A (zh) * | 2013-12-27 | 2016-09-14 | 谷歌公司 | 分布式存储系统中对象的层级组块 |
US10015015B1 (en) * | 2014-09-30 | 2018-07-03 | EMC IP Holding Company LLC | Method and apparatus for verifying system log integrity |
CN110032894A (zh) * | 2019-04-09 | 2019-07-19 | 北京信安世纪科技股份有限公司 | 一种数据库日志记录方法及系统和数据库日志检测方法 |
CN112632639A (zh) * | 2020-12-29 | 2021-04-09 | 航天科工网络信息发展有限公司 | 一种基于区块链的分布式可信日志管理方法 |
-
2022
- 2022-03-04 CN CN202210215148.1A patent/CN114567503A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110131188A1 (en) * | 2009-12-01 | 2011-06-02 | International Business Machines Corporation | Method and system for real time system log integrity protection |
CN102929936A (zh) * | 2012-09-26 | 2013-02-13 | 东软集团股份有限公司 | 日志记录方法、日志查询方法及系统 |
CN105940396A (zh) * | 2013-12-27 | 2016-09-14 | 谷歌公司 | 分布式存储系统中对象的层级组块 |
US10015015B1 (en) * | 2014-09-30 | 2018-07-03 | EMC IP Holding Company LLC | Method and apparatus for verifying system log integrity |
CN110032894A (zh) * | 2019-04-09 | 2019-07-19 | 北京信安世纪科技股份有限公司 | 一种数据库日志记录方法及系统和数据库日志检测方法 |
CN112632639A (zh) * | 2020-12-29 | 2021-04-09 | 航天科工网络信息发展有限公司 | 一种基于区块链的分布式可信日志管理方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10873458B2 (en) | System and method for securely storing and utilizing password validation data | |
US10057065B2 (en) | System and method for securely storing and utilizing password validation data | |
US10318754B2 (en) | System and method for secure review of audit logs | |
Schneier et al. | Secure audit logs to support computer forensics | |
Schneier et al. | Cryptographic support for secure logs on untrusted machines. | |
JP4622811B2 (ja) | 電子文書の真正性保証システム | |
US5978475A (en) | Event auditing system | |
US7215771B1 (en) | Secure disk drive comprising a secure drive key and a drive ID for implementing secure communication over a public network | |
Elbaz et al. | Tec-tree: A low-cost, parallelizable tree for efficient defense against memory replay attacks | |
US20030236992A1 (en) | Method and system for providing secure logging for intrusion detection | |
US20080019530A1 (en) | Message archival assurance for encrypted communications | |
US20060005046A1 (en) | Secure firmware update procedure for programmable security devices | |
US11457001B2 (en) | System and method for securely encrypting data | |
CN101441601B (zh) | 一种硬盘ata指令的加密传输的方法及系统 | |
KR101078546B1 (ko) | 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템 | |
EP3163789B1 (en) | Forward-secure crash-resilient logging device | |
CN104239820A (zh) | 一种安全存储设备 | |
CN112069555B (zh) | 一种基于双硬盘冷切换运行的安全计算机架构 | |
CN110837634B (zh) | 基于硬件加密机的电子签章方法 | |
Shekhtman et al. | EngraveChain: Tamper-proof distributed log system | |
US11861597B1 (en) | Database encryption wallet | |
CN114567503A (zh) | 一种集中管控的可信的数据采集的加密方法 | |
CN112968774B (zh) | 一种组态存档加密及解密方法、装置存储介质及设备 | |
KR101290818B1 (ko) | 보안 패치 시스템 | |
JP2021072047A (ja) | セキュリティ管理システム及びセキュリティ管理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |