CN101039186B - 系统日志的安全审计方法 - Google Patents
系统日志的安全审计方法 Download PDFInfo
- Publication number
- CN101039186B CN101039186B CN2007100989983A CN200710098998A CN101039186B CN 101039186 B CN101039186 B CN 101039186B CN 2007100989983 A CN2007100989983 A CN 2007100989983A CN 200710098998 A CN200710098998 A CN 200710098998A CN 101039186 B CN101039186 B CN 101039186B
- Authority
- CN
- China
- Prior art keywords
- journal
- module
- daily record
- reliable
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明属于计算机技术领域,涉及一种系统日志的安全审计方法,在基于可信计算的虚拟平台上创建系统日志和访问系统日志。本发明借助于可信平台模块这个硬件信任根,系统日志的创建过程都是在本地以可信的方式创建的,可以将以前对服务器的信任转移到可信平台上来,利用可信平台提供的远程证明和封装存储性质,提高可信平台日志存储的可信度,不需要依赖于可信的第三方服务器,本机平台便可完成高可信的安全审计。可广泛用于计算机系统的安全审计。
Description
技术领域
本发明属于计算机技术领域,涉及计算机系统的安全审计,尤其涉及一种系统日志的安全审计方法。
背景技术
系统日志提供了一种分析复杂系统过去和现在所处状态的一种手段,几乎每个大型的系统都会有日志机制。对于攻击者来说,日志是主要的攻击目标,因为日志中包含了一些机密数据,如电子政务信息网站的登录和修改记录,银行的交易记录,攻击者的入侵证据等等。在大多数情况下,日志经常存储在文本文件中,由操作系统的访问控制机制来保护日志记录。但是由这种机制所保护的日志不能保证日志记录的真实性和完整性,而且备份机制存在很多问题,所以需要提供日志系统本身的灵活性,依靠日志系统的内部机制来保护日志。目前已经提出了一些安全审计日志机制来增强计算平台的日志系统的安全性。
安全审计日志机制不仅能够记录用户的行为,同时能够检测到篡改日志的行为。这种机制的特征有:
防篡改(Temper Resistance):保证除了日志的创建者之外,其它主体不能创建日志。一旦日志已经创建,就不能更改。我们不能阻止已经攻破系统的攻击者将来在日志系统中添加自己的日志,也不能阻止攻击者删除日志。安全审计日志是一种对日志进行有效的保护的技术手段,目的是保证攻击者不能改变已经存在的日志。如果试图删除这些日志,可以被日志系统检测到。
可验证性(Verifiability):必须有办法检查日志中所有的条目都存在,并且没有被修改过。日志可以是公开的验证,任何人都可以验证,或者可以由一个可信的验证者来做验证。Hash链是支持可验证性的一个比较好的办法。
数据访问控制和可搜索性:审计日志中的很多数据是很敏感的,必须加密。但是为了使这些日志有用,又必须使得这些审计日志可以搜索。
目前已经国际上已经提出了一些安全审计日志的机制。如Mihir Bellare提出了安全审计日志的前向安全性问题,提出了一种机制来实现一条日志链(M.Bellare,B.S.Yee,“Forward Integrity For Secure Audit Logs”1997 University of California,SanDiego.),能够检测到试图改变或者删除日志系统的动机,可以提供验证功能,减少了对持有验证密钥的验证者的依赖。该安全审计日志机制具有防篡改和可验证的特性。
所有的这些安全审计日志机制都需要借助于一台可信服务器才能完成所需要的日志的创建和访问功能。
发明内容
本发明的目的在于提供一种系统日志的安全审计方法,基于可信虚拟平台创建和访问系统日志,消除对可信服务器的依赖,并保证日志数据的保密性和完整性。
本发明的系统日志的安全审计方法,其步骤包括:
创建系统日志
1)运行于可信虚拟平台操作系统层用户模式下的安全审计守护模块请求运行于可信硬件层安全内核上的可信日志服务模块产生秘密控制信息;
2)可信日志服务模块生成秘密控制信息,该秘密控制信息中包括用于加密系统日志的加密密钥、用于保护系统日志完整性的认证密钥,并向安全审计守护模块发送秘密控制信息,由安全审计守护模块存储该秘密控制信息;
3)安全审计守护模块生成日志明文信息,创建系统日志,系统日志包括访问控制信息,日志明文信息,和完整性保护信息,其中访问控制信息和日志明文信息由加密密钥加密,完整性保护信息由认证密钥认证;
4)该条系统日志由安全审计守护模块存储在可信虚拟平台的传统操作系统中的文件系统下;
5)按照1)-4)步骤继续创建下条系统日志;
访问系统日志
6)验证者向可信日志服务模块发送查看某条系统日志的请求消息;
7)可信日志服务模块向安全审计守护模块请求传送该条系统日志;
8)安全审计守护模块将该条系统日志发送给可信日志服务模块;
9)可信日志服务模块根据该条系统日志的访问控制信息检查验证者是否符合访问控制的要求,将该条系统日志、该条系统日志的加密密钥和认证密钥发送给符合条件的验证者;
10)验证者通过该条系统日志的完整性保护信息验证该条系统日志的完整性,解密得到日志明文信息。
本发明在创建第一条系统日志的秘密控制信息为初始秘密控制信息,后续创建的系统日志的秘密控制信息由创建上条系统日志的秘密控制信息通过函数运算生成,如使用一个秘密函数或者是一个Hash函数作用于上条系统日志的秘密控制信息,产生当前的秘密控制信息。
上述创建的系统日志存储在本地后,安全审计守护模块销毁当前的秘密控制信息。
本发明方法在安全审计守护模块和可信日志服务模块通信之前,通过离线的方式,由可信平台模块生成用于双方之间通信的加密密钥和签名密钥,存放于可信平台模块内部;所述加密密钥和签名密钥都是非对称密钥,安全审计守护模块和可信日志服务模块知道彼此的签名验证公钥以及加密公钥。
上述安全审计守护模块收到可信日志服务模块发送的秘密控制信息后,向可信日志服务模块发送经签名的回复消息,可信日志服务模块验证该回复消息,验证通过后向安全审计守护模块发送确认消息,安全审计守护模块收到确认消息后创建系统日志。
所述的秘密控制信息,包括一个时间戳t1,该时间戳证明了安全审计守护模块请求的产生时间;安全审计守护模块发送的回复信息中也包括一个时间戳t2,可信日志服务模块在验证回复消息时比较t1和t2,确认回复消息的发送是否超时。可通过可信平台模块的单调计数器产生上述时间戳。
本发明的可信日志服务模块和安全审计守护模块的交互过程由虚拟平台的内核通信机制来承载,安全审计守护模块向可信日志服务模块发送的请求消息中包含消息新鲜性标识。
所述加密密钥和认证密钥是对称密钥,密钥生成过程为:
在第一次生成加密密钥和认证密钥时,可信日志服务模块通过可信平台模块生成一个随机数,然后通过Hash函数转换成一个对称密钥,在后续生成用于下一条目的加密密钥和日志认证密钥时,将Hash函数直接作用于当前系统日志的加密密钥和认证密钥,生成下一条条目系统日志的加密密钥和认证密钥。
所述的系统日志由可信平台模块进行封装存储。
上述验证者可对可信日志服务模块的完整性进行验证。
验证者通过如下步骤验证可信日志服务模块的完整性:
1)验证者请求验证可信日志服务模块的完整性信息;
2)安全审计守护模块所在的可信虚拟平台使用可信平台模块的AIK密钥对当前的PCR值签名,将经过签名的PCR值和完整性度量日志发送给验证者:;
3)验证者通过PCR值验证完整性度量日志的完整性,保证该系统日志没有被篡改;同时验证者验证完整性度量日志中的条目的正确性和合法性。
本发明还在可信虚拟平台上建立一条信任链,在信任链建立的过程中,生成完整性度量日志,并且更新可信平台模块中的PCR值。
上述信任链的建立过程可采用下述方式:
1)首先计算机启动,可信平台模块度量监控器的完整性,对监控器代码做Hash运算,更新PCR值和完整性度量日志,度量完成后,启动监控器;
2)监控器度量安全内核,度量完成之后启动安全内核
3)安全内核度量可信日志服务模块的完整性,度量完成之后,启动可信日志服务模块。
所述的可信日志服务模块和验证者之间的交互过程由SSL协议承载。
上述验证者发送给可信日志服务模块的请求消息验证者的身份信息。
本发明是建立在可信虚拟平台基础上的,如图1所示,可信虚拟平台在层次结构上主要分为三层,分别为可信硬件层/虚拟监控器层/操作系统层。
可信硬件层是构建可信虚拟平台的基础,由TPM/LT组成。TPM(可信平台模块)是遵循可信计算组织制定的规范的硬件模块。该模块具有加密解密等密码学功能,而LT技术是Intel提出的一种支持虚拟技术的硬件结构。
虚拟监控器层,主要是在传统的操作系统和硬件层之间引入的一个中间层次,该层直接与硬件层交互,同时在该层次之上可以架设多个操作系统,不同的操作系统支持不同等级的安全应用,如XEN虚拟监控器。
操作系统层与传统的操作系统的结构是一样的。
在本地可信虚拟平台上引入如下两个模块:
可信日志服务模块(trusted log service,简称TLS):该模块运行于安全内核之上,远程验证方可以通过远程证明验证可信日志服务的行为正确性。
安全审计守护模块(secure logging daemon,简称SLD):该模块运行于用户模式之下,对运行于传统操作系统中的安全事件进行记录,并和可信日志服务通信,生成日志记录。
位于普通模式的安全审计守护模块生成系统日志时需要与可信日志服务模块通信,该通信过程保证了生成的系统日志能够防止攻击者的篡改。
在TLS和SLD的交互过程中,通信消息通过TPM产生的密钥进行保护,同时在系统日志的创建过程中,SLD需要向TLS请求得到日志的加密密钥和认证密钥。
验证者需要查看系统日志时,需要与可信日志服务模块通信,从可信日志服务模块处得到所需要的日志信息。,不仅TLS需要验证验证者的完整性,而且验证者也需要验证TLS的完整性。验证方可以确信所接收到的日志是没有经过篡改的,同时被验证方即TLS也是真实可信的。验证方得到相关的日志条目的明文信息,但是不能得到其他日志文件中的日志条目的明文信息。
本发明在基于可信计算的虚拟平台上实现日志的创建和访问功能,由于用户对TPM不可能在物理上,软件上篡改,借助于TPM这个硬件信任根,系统日志的创建过程都是在本地以可信的方式创建的,可以将以前对服务器的信任转移到可信平台上来,利用可信平台提供的远程证明和封装存储性质,提高可信平台日志存储的可信度,不需要依赖于可信的第三方服务器,本机平台便可完成高可信的安全审计。
基于可信平台的系统日志创建和访问方法主要的特点在于:1、将服务器的功能转移到客户端,消除对服务器的依赖,实现了分布式环境中无可信第三方的日志创建和访问方法2、对系统日志的创建和访问的协议流程进行相应的改进,保证了日志数据的保密性和完整性。
附图说明
图1为基于可信虚拟平台的系统结构示意图
图2为可信日志服务模块和安全审计守护模块的交互流程图
图3为日志验证的过程
具体实施方式
如图1所示:为最简化模式下的一种安全审计日志的结构示意图。在图中,安全审计守护模块(SLD)和可信日志服务模块位于虚拟平台上,该虚拟平台可以是微软的下一代操作系统Vista或者基于微内核的系统平台,如Nizza等。安全审计守护模块运行于传统的操作系统之上,如windows系统,该安全审计守护模块负责生成日志信息,与可信日志服务模块交互,保证生成的日志信息的防篡改。安全审计守护模块保存有TPM产生的一对公私钥对。可信日志服务模块运行于可信模式下,可信日志服务模块保存有TPM产生的一对公私钥对,用于消息的签名和认证,可以通过可信计算的远程证明技术来验证该日志服务模块的真实性和可信性。某外部验证者需要查看生成的日志记录时,需要与可信日志服务模块交互来查看日志。安全审计守护模块与可信日志服务模块的交互(TLP协议)通过虚拟平台提供的内核通信机制来交换消息。
如图2所示,在具体的实现方案中,由于监控器是处于操作系统和硬件层之间的,虚拟平台上进程之间的通信过程由监控器提供的内核通信机制来实现,因此TLS和SLD的交互在监控器的严格控制之下。
如图2所示,在创建日志之前:
SLD有一对由TPM产生的AIK公私钥对,用于对消息签名,公钥记为AIKPK_sld,私钥记为AIKSK_sld,同时有一对用于加密的公私钥对,该公私钥对由TPM产生,公钥记为EncPK_sld,私钥记为EncSK_sld。
TLS有一对AIK公私钥对,用于对消息签名,公钥记为AIKPK_tls,私钥记为AIKSK_tls,同时有一对用于加密的公私钥对,该公私钥对由TPM产生,公钥记为EncPK_tls,私钥记为EncSK_tls。
本实施方式所用标记的含义为:
IDx:实体X的唯一标志符;
PKE(PK_x,K):使用实体X的公钥PK_x对K进行加密;
SIGN(SK_x,Z):使用实体X的私钥对Z进行数字签名;
E(K,X):使用X对K进行对称加密;
HMAC(K0,X):是带密钥的消息认证码,K0是认证密钥,X是消息;
hash(X):对消息串X做哈希运算;
X,Y:表示X与Y的结合串;
d0+:超时时间,经过这段时间后,将断开连接;
p:nounce,用来标识执行步骤;
RK:随机密钥;
日志创建的过程包括了如下几个步骤:
第一步:
安全审计守护模块进程(简称SLD)向可信日志服务(简称TLS)发出请求,请求TLS产生初始的秘密控制信息,包括初始时间戳d0,时间戳的产生可以通过TPM提供的单调计数器来实现,初始认证密钥和加密密钥A0,并且产生对称密钥Ktls,加密时间戳E(Ktls,d0),存储A0,Ktls,E(Ktls,d0),并给SLD返回如下参数:A0,E(Ktls,d0)。
第二步:
SLD收到TLS的秘密控制信息后,存储秘密控制信息,产生如下参数:随机密钥RK0;超时时间d0+;随机生成数p;该日志的标识符IDSLD;初始的认证密钥和加密密钥A0;消息认证码X0=p,IDSLD,d0+;产生消息串M0=p,IDsld,PKE(EncPK_tls,RK0),E(RK0,X0,SIGN(AIKSK_sld,X0)),该消息串包含了TLS的身份信息,SLD的身份信息,时间戳信息,消息新鲜性标识,且经过签名;
存储hash(X0),留做以后验证时使用。
第三步:将M0发送给TLS,SLD将M0发送给TLS的目的是证明SLD已经接收到TLS发送的消息SLD向TLS发送确认回复消息。
第四步:通过TLS的私钥解密得到RK0,得到X0,验证X0的签名,产生如下参数:随机密钥RK1;消息认证码X1=p,IDlog,hash(X0),确认成功消息串M1=p,IDtls,PKE(EncPK_sld,RK1),E(RK1.X1,SIGN(AIKSK_tls,X1))。将M1发送给SLD
第五步:SLD得到RK1,得到X1,验证X1的签名,比较hash(X0)。
通过验证这些信息,证明TLS已经确信SLD得到了初始的密钥,接下来开始产生具体的日志信息。产生的日志信息包括如下的内容:访问控制信息W0,访问控制信息是为了控制对日志条目的访问而需要访问者提供的信息,包括可以访问该日志条目的主体身份信息,可以访问该日志条目的软件实体的完整性信息等;要加密的日志明文信息数据D0=E(Ktls,d0),d0+,IDlog,M0;日志的加密密钥K0=Hash(W0,A0);初始认证值Y-1=”0000000000000000”,初始认证值可以是其他的信息;初始哈希值Y0=hash(Y-1,E(K0,D0),W0);通过使用HMAC算法,利用该日志条目的认证密钥产生完整性保护信息:HMAC加密认证码Z0=HMAC(A0,Y0),形成完整的日志条目L0=W0,E(K0,D0),Y0,Z0,销毁秘密控制信息A0,K0。
第六步:SLD请求产生新的认证密钥A1和时间戳d1。
第七步:TLS产生A1,d1,返回A1,E(Ktls,d1)给SLD。
第八步:SLD产生如下信息:随机密钥RK2,超时时间d1+,日志标识符IDlog;消息认证码X1=p,E(Ktls,d1);消息串M2=p,IDsld,PKE(EncPK_tls,RK2),E(RK2,X1,SIGN(AIKSK_sld,X1)),存储hash(X1)
第九步:将M2返回给TLS,TLS解密得到RK2,得到X1,验证X1的签名,产生如下的参数信息:随机密钥RK3,消息认证码X2=p,IDlog,hash(X1);消息串M3=p,IDtls,PKE(EncPK_sld,RK3),E(RK3,X2,SIGN(AIKSK_tls,X2))
第十步:TLS将M3发送给SLD,SLD得到RK3,得到X2,验证X2的签名,与hash(X1)比较,比较通过后,产生如下的日志的记录信息:访问控制信息W1=“TCApplication”,;要加密的日志明文信息数据D1=E(Ktls,d1),d1+,IDlog,M2,Data,;日志的加密密钥K1=hash(“Encryptionkey”,W1,A1);Y1=hash(Y0,E(K1,D1),Y1,Z1);HMAC加密认证码Z1=HMAC(A1,Y1)。产生的完整的日志记录信息为L1=W1,E(K1,D1),Y1,Z1。销毁A1,K1。
第十一步:按照第七步到第十一步的步骤重复产生日志条目。
可以看出,初始秘密控制信息是刚开始产生的,后面的秘密控制信息是在初始的秘密控制信息基础上产生的,具体做法是使用一个秘密函数,如一个Hash函数作用于前一轮的秘密控制信息,产生下一轮的秘密控制信息,因此可以通过初始的秘密控制信息,产生以后所有的秘密控制信息,只需要保存初始的秘密控制信息即可。
在SLD和TLS通信之前,可以通过离线的方式,由TPM生成用于SLD和TLS双方之间通信的加密密钥和签名密钥,存放于TPM的内部。加密密钥和签名密钥都是非对称密钥,SLD和TLS事先知道彼此的签名验证公钥以及加密公钥。
可以看出,TLS和SLD的交互过程由虚拟平台的内核通信机制来承载,在SLD向TLS发送的请求消息中包含消息新鲜性标识,如现时标识nonce,通过这种机制来防止重放攻击。
生成的系统日志的加密密钥和用于保护系统日志完整性的认证密钥是对称密钥,密钥生成过程包括如下:
在第一次创建系统日志的加密密钥和认证密钥时,TLS通过TPM生成一个随机数,然后通过一个抗碰撞的Hash函数转换成一个160比特的对称密钥,在接下来生成日志加密密钥和日志认证密钥时,将Hash函数直接作用于日志加密密钥和日志认证密钥,生成下一条系统日志的加密密钥和认证密钥。
上述产生的日志数据可以利用TPM提供的封装存储(sealed storage)功能进行保护。
上述的日志条目的生成方式的特点是每次都需要可信TLS的参与,保证了日志生成过程的保密性和认证性,同时在处理速度上,由于是TLS和SLD处于同一台物理计算机之上,可以保证效率是比较高的。这就消除了很多日志机制中对于可信第三方的依赖。
日志验证的过程如下:
验证者与可信日志服务通信的过程(ATL协议)如附图3所示。在ATL协议中,远程证明协议(Remote Attestation,简称RA协议)是其中的一个子协议,其中RA协议是为了验证TLS的完整性和运行环境的完整性的。
ATL协议是的具体步骤和过程如下:
1.验证方首先需要验证TLS运行环境的完整性,向可信虚拟机监控器发起验证其完整性的请求。可信虚拟机监控器收集完整性信息,由TLS所在的平台使用TPM的AIK密钥对当前的PCR值签名,将经过签名的PCR值,完整性度量日志发送给验证者:;
2.验证方验证TLS运行环境的完整性,通过PCR值验证完整性度量日志的完整性,保证该日志文件没有被篡改;验证完整性度量日志中的条目的正确性和合法性。正确性和合法性指的是TLS所运行的平台的环境没有恶意的软件。如果验证通过,则继续该协议,如果验证没有通过,则停止。
3.验证方向TLS发送消息,消息内容包括:验证者的身份信息,请求的日志条目,消息新鲜性标识等,请求日志条目Lj的信息。
4.TLS向SLD请求日志条目Lj的信息;
5.SLD将日志条目Lj的信息发送给TLS;
6.TLS查看日志条目Lj的访问控制信息,检查验证者是否符合访问控制的要求,如果符合,根据其初始密钥A0,生成日志条目Lj的加密密钥和认证密钥Ej,并将Ej和Lj发送给验证方。
7.只有当验证方拥有访问控制秘密信息Wj时才能解密日志,验证者验证日志的完整性,解密得到日志条目。
为了支持验证者能够验证TLS服务的完整性,可以在可信虚拟平台上建立一条信任链,在信任链建立的过程中,生成完整性度量日志,并且更新TPM中的PCR值。其信任链的建立过程如下:
i.首先计算机启动,TPM度量监控器的完整性,对监控器代码做Hash运算,更新PCR值和完整性度量日志,度量完成后,启动监控器;
ii.由监控器度量安全内核,度量完成之后启动安全内核
iii.由安全内核度量TLS,度量完成之后,启动TLS服务。
所述的TLS和验证者之间的交互过程由SSL协议承载。
本发明的安全审计日志机制可以建立在微软提出的NGSCB平台以及基于微内核或者虚拟机的安全主机平台上。
Claims (10)
1.一种系统日志的安全审计方法,其步骤包括:
创建系统日志
1)运行于可信虚拟平台操作系统层用户模式下的安全审计守护模块请求运行于可信硬件层安全内核上的可信日志服务模块产生秘密控制信息;
2)可信日志服务模块生成秘密控制信息,该秘密控制信息中包括用于加密系统日志的加密密钥、用于保护系统日志完整性的认证密钥,并向安全审计守护模块发送秘密控制信息,由安全审计守护模块存储该秘密控制信息;
3)安全审计守护模块生成日志明文信息,创建系统日志,系统日志包括访问控制信息,日志明文信息,和完整性保护信息,其中访问控制信息和日志明文信息由加密密钥加密,完整性保护信息由认证密钥认证;
4)该条系统日志存储在本地安全守护进程所在的文件系统中;
5)按照1)-4)步骤继续创建下条系统日志;
访问系统日志
6)验证者向可信日志服务模块发送查看某条系统日志的请求消息;
7)可信日志服务模块向安全审计守护模块请求传送该条系统日志;
8)安全审计守护模块将该条系统日志发送给可信日志服务模块;
9)可信日志服务模块根据该条系统日志的访问控制信息检查验证者是否符合访问控制的要求,将该条系统日志、该条系统日志的加密密钥和认证密钥发送给符合条件的验证者;
10)验证者通过该条系统日志的完整性保护信息验证该条系统日志的完整性,解密得到日志明文信息。
2.如权利要求1所述的系统日志的安全审计方法,其特征在于创建第一条系统日志的秘密控制信息为初始秘密控制信息,后续创建的系统日志的秘密控制信息由创建上条系统日志的秘密控制信息通过函数运算生成。
3.如权利要求1所述的系统日志的安全审计方法,其特征在于在安全审计守护模块和可信日志服务模块通信之前,通过离线的方式,由可信平台模块生成用于双方之间通信的加密密钥和签名密钥,存放于可信平台模块内部;所述加密密钥和签名密钥都是非对称密钥,安全审计守护模块和可信日志服务模块知道彼此的签名验证公钥以及加密公钥。
4.如权利要求1所述的系统日志的安全审计方法,其特征在于安全审计守护模块收到可信日志服务模块发送的秘密控制信息后,向可信日志服务模块发送经签名的回复消息,可信日志服务模块验证该回复消息,验证通过后向安全审计守护模块发送确认消息,安全审计守护模块收到确认消息后创建系统日志。
5.如权利要求4所述的系统日志的安全审计方法,其特征在于所述的秘密控制信息,包括一个时间戳t1,该时间戳证明了安全审计守护模块请求的产生时间;安全审计守护模块发送的回复消息中也包括一个时间戳t2,可信日志服务模块在验证回复消息时比较t1和t2,确认回复消息的发送是否超时。
6.如权利要求5所述的系统日志的安全审计方法,其特征在于通过可信平台模块的单调计数器产生上述时间戳。
7.如权利要求1所述的系统日志的安全审计方法,其特征在于可信日志服务模块和安全审计守护模块的交互过程由所述可信虚拟平台的内核通信机制来承载,安全审计守护模块向可信日志服务模块发送的请求消息中包含消息新鲜性标识。
8.如权利要求1所述的系统日志的安全审计方法,其特征在于所述加密密钥和认证密钥是对称密钥,密钥生成过程为:
在第一次生成加密密钥和认证密钥时,可信日志服务模块通过可信平台模块生成一个随机数,然后通过Hash函数转换成一个对称密钥,在后续生成用于下一条目系统日志的加密密钥和认证密钥时,将Hash函数直接作用于当前系统日志的加密密钥和认证密钥,生成下一条目系统日志的加密密钥和认证密钥。
9.如权利要求1所述的系统日志的安全审计方法,其特征在于,还包括验证者对可信日志服务模块的完整性验证,验证者通过如下步骤验证可信日志服务模块的完整性:
1)验证者请求验证可信日志服务模块的完整性信息;
2)安全审计守护模块所在的可信虚拟平台使用可信平台模块的AIK密钥对当前的PCR值签名,将经过签名的PCR值和完整性度量日志发送给验证者;
3)验证者通过PCR值验证完整性度量日志的完整性,保证该系统日志没有被篡改;同时验证者验证完整性度量日志中的条目的正确性和合法性。
10.如权利要求1所述的系统日志的安全审计方法,其特征在于验证者发送给可信日志服务模块的请求消息中包含验证者的身份信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100989983A CN101039186B (zh) | 2007-05-08 | 2007-05-08 | 系统日志的安全审计方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007100989983A CN101039186B (zh) | 2007-05-08 | 2007-05-08 | 系统日志的安全审计方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101039186A CN101039186A (zh) | 2007-09-19 |
CN101039186B true CN101039186B (zh) | 2010-08-04 |
Family
ID=38889846
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007100989983A Expired - Fee Related CN101039186B (zh) | 2007-05-08 | 2007-05-08 | 系统日志的安全审计方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101039186B (zh) |
Families Citing this family (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101446915B (zh) * | 2007-11-27 | 2012-01-11 | 中国长城计算机深圳股份有限公司 | 一种bios级日志的记录方法及装置 |
US20110085194A1 (en) * | 2009-10-08 | 2011-04-14 | Kabushiki Kaisha Toshiba | Log information process device, image formation apparatis, and log information processing method |
CN102270285B (zh) * | 2010-06-01 | 2013-12-04 | 华为技术有限公司 | 密钥授权信息管理方法及装置 |
US8881294B2 (en) * | 2011-02-18 | 2014-11-04 | Honeywell International Inc. | Methods and systems for securely uploading files onto aircraft |
CN102355467B (zh) * | 2011-10-18 | 2015-07-08 | 国网电力科学研究院 | 基于信任链传递的输变电设备状态监测系统安全防护方法 |
CN102685092B (zh) * | 2011-11-29 | 2014-11-19 | 河海大学 | 一种用于证明远程平台安全属性的远程证明方法 |
CN103856457A (zh) * | 2012-12-04 | 2014-06-11 | 中山大学深圳研究院 | 身份安全验证的方法及设备 |
CN108762887B (zh) * | 2013-03-06 | 2022-03-11 | 英特尔公司 | 用于虚拟机的测量的信任根 |
CN104268477B (zh) * | 2014-09-26 | 2017-09-26 | 华为技术有限公司 | 一种安全控制方法及网络设备 |
CN104333451A (zh) * | 2014-10-21 | 2015-02-04 | 广东金赋信息科技有限公司 | 一种可信自助服务系统 |
CN104702603A (zh) * | 2015-03-04 | 2015-06-10 | 南京邮电大学 | 面向移动互联网的多视角安全审计系统 |
EP3101571B1 (en) * | 2015-06-03 | 2018-05-02 | Roche Diabetes Care GmbH | Measurement system for measuring the concentration of an analyte with a subcutaneous analyte sensor |
CN105610636B (zh) * | 2016-03-15 | 2017-08-11 | 中国交通通信信息中心 | 一种面向云计算环境的安全日志生成方法 |
CN106169954A (zh) * | 2016-08-01 | 2016-11-30 | 浪潮集团有限公司 | 一种基于数字签名和时间戳的云服务审计系统及方法 |
US10615971B2 (en) * | 2017-05-22 | 2020-04-07 | Microsoft Technology Licensing, Llc | High integrity logs for distributed software services |
CN109286598B (zh) * | 2017-07-20 | 2020-12-01 | 中国科学院声学研究所 | 一种tls通道加密的rdp协议明文数据采集系统及方法 |
US10511575B2 (en) * | 2017-09-18 | 2019-12-17 | Huawei Technologies Co., Ltd. | Securing delegated credentials in third-party networks |
CN108171078B (zh) * | 2017-12-27 | 2021-08-31 | 中国信息安全测评中心 | 一种面向第三方的云平台测评系统的数据保全方法和装置 |
CN108712363B (zh) * | 2018-03-22 | 2021-04-20 | 新华三信息安全技术有限公司 | 一种日志加解密方法 |
CN109359484A (zh) * | 2018-08-22 | 2019-02-19 | 北京中测安华科技有限公司 | 云平台的安全审计终端日志的处理方法、装置、设备和介质 |
CN109308249A (zh) * | 2018-08-27 | 2019-02-05 | 山东超越数控电子股份有限公司 | 一种基于独立硬件模块审计及存储日志的系统及方法 |
CN109213741A (zh) * | 2018-11-22 | 2019-01-15 | 浙江中农在线电子商务有限公司 | 高性能日志存储方法及装置 |
CN111339050B (zh) * | 2018-12-03 | 2023-07-18 | 国网宁夏电力有限公司信息通信公司 | 一种基于大数据平台集中安全审计的方法及系统 |
EP3683712B1 (en) * | 2019-01-16 | 2021-10-20 | Siemens Aktiengesellschaft | Protecting integrity of log data |
CN110619227A (zh) * | 2019-09-12 | 2019-12-27 | 北京浪潮数据技术有限公司 | 一种审计日志管理方法、装置、设备及可读存储介质 |
CN111143850B (zh) * | 2019-11-22 | 2022-03-04 | 航天恒星科技有限公司 | 一种卫星数据分布式虚拟化存储的安全防护系统和方法 |
CN111786779B (zh) * | 2020-06-18 | 2022-03-18 | 中国电子科技集团公司第三十研究所 | 一种新的可问责安全数据共享系统和方法 |
CN116074843B (zh) * | 2023-02-16 | 2023-07-18 | 北京派网科技有限公司 | 一种5g双域专网的零信任安全可信审计方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1492336A (zh) * | 2003-09-04 | 2004-04-28 | 上海格尔软件股份有限公司 | 基于数据仓库的信息安全审计方法 |
CN1960255A (zh) * | 2006-09-21 | 2007-05-09 | 上海交通大学 | 分布式多级安全访问控制方法 |
-
2007
- 2007-05-08 CN CN2007100989983A patent/CN101039186B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1492336A (zh) * | 2003-09-04 | 2004-04-28 | 上海格尔软件股份有限公司 | 基于数据仓库的信息安全审计方法 |
CN1960255A (zh) * | 2006-09-21 | 2007-05-09 | 上海交通大学 | 分布式多级安全访问控制方法 |
Non-Patent Citations (2)
Title |
---|
秦宇等.验证方主导的远程证明方案.计算机研究与发展.2006,87-93. * |
陈小峰等.基于可信平台的安全审计日志.计算机研究与发展.2006,152-156. * |
Also Published As
Publication number | Publication date |
---|---|
CN101039186A (zh) | 2007-09-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101039186B (zh) | 系统日志的安全审计方法 | |
US9544280B2 (en) | Utilization of a protected module to prevent offline dictionary attacks | |
Bhatia et al. | Data security in mobile cloud computing paradigm: a survey, taxonomy and open research issues | |
KR101198120B1 (ko) | 홍채정보를 이용한 양방향 상호 인증 전자금융거래시스템과 이에 따른 운영방법 | |
JP2001527325A (ja) | セキュアな暗号方式キーストレージ、証明および使用のための装置および方法 | |
CN106790045B (zh) | 一种基于云环境分布式虚拟机代理装置及数据完整性保障方法 | |
CN111010430B (zh) | 一种基于双链结构的云计算安全数据共享方法 | |
CN103701787A (zh) | 一种基于公开密钥算法实现的用户名口令认证方法 | |
Wazid et al. | BUAKA-CS: Blockchain-enabled user authentication and key agreement scheme for crowdsourcing system | |
Das et al. | A lightweight and anonymous mutual authentication scheme for medical big data in distributed smart healthcare systems | |
CN109687977A (zh) | 基于多个密钥池的抗量子计算数字签名方法和抗量子计算数字签名系统 | |
US11706022B1 (en) | Method for trusted data decryption based on privacy-preserving computation | |
CN114357492A (zh) | 一种基于区块链的医疗数据隐私融合方法及装置 | |
CN110837634B (zh) | 基于硬件加密机的电子签章方法 | |
CN112632639A (zh) | 一种基于区块链的分布式可信日志管理方法 | |
CN105933117A (zh) | 一种基于tpm秘钥安全存储的数据加解密装置和方法 | |
CN117454442A (zh) | 匿名安全和可追溯的分布式数字取证方法与系统 | |
Said et al. | A multi-factor authentication-based framework for identity management in cloud applications | |
Fan et al. | Eland: an efficient lightweight anonymous authentication protocol applied to digital rights management system | |
Accorsi et al. | Delegating secure logging in pervasive computing systems | |
CN111539031B (zh) | 一种云存储标签隐私保护的数据完整性检测方法及系统 | |
Jang-Jaccard et al. | Portable key management service for cloud storage | |
CN113468596A (zh) | 一种用于电网数据外包计算的多元身份认证方法及系统 | |
Sudha et al. | A survey on different authentication schemes in cloud computing environment | |
Chen et al. | The RFID mutual authentication scheme based on ECC and OTP authentication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100804 |
|
CF01 | Termination of patent right due to non-payment of annual fee |