CN108712363A - 一种日志加解密方法 - Google Patents
一种日志加解密方法 Download PDFInfo
- Publication number
- CN108712363A CN108712363A CN201810241502.1A CN201810241502A CN108712363A CN 108712363 A CN108712363 A CN 108712363A CN 201810241502 A CN201810241502 A CN 201810241502A CN 108712363 A CN108712363 A CN 108712363A
- Authority
- CN
- China
- Prior art keywords
- key
- target
- content
- length
- cipher key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例提供了一种日志加解密方法,日志加密方法包括:网络设备获取日志,日志包括时间戳和日志内容;网络设备根据与服务器约定的基础密钥,确定目标密钥;网络设备利用目标密钥对日志内容进行加密,得到加密日志内容;网络设备根据加密日志内容和时间戳,确定加密日志;网络设备将加密日志发送给服务器。应用本申请实施例,有效提高了网络的安全性。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种日志加解密方法。
背景技术
日志是网络设备中按照一定的规范格式形成的字符串,用来记录报文的特征信息、用户的操作信息或网络的访问信息等。网络管理员通过获取到的日志,了解网络的访问状况、网络设备的运行状况等。
为了防止日志被窃取,各个网络设备与服务器间采用共享密钥,密钥为一串字符串,利用共享密钥对应日志进行加密。具体的,网络设备在产生日志后,根据共享密钥对日志进行加密,将加密后的日志发送给服务器。服务器根据共享密钥对日志进行解密,获得原始的日志。网络管理员根据原始的日志,了解网络的访问状况、网络设备的运行状况等,对网络进行管理。
这里,对日志进行加密或解密的密钥为共享密钥,一旦共享密钥被窃取,将导致整个网络的安全隐患。
发明内容
本申请实施例的目的在于提供一种日志加解密方法,以提高网络的安全性,提高设备的日志处理效率。具体技术方案如下:
为实现上述目的,第一方面,本申请实施例提供了一种日志加密方法,应用于网络设备,所述方法包括:
获取日志,所述日志包括时间戳和日志内容;
根据与服务器约定的基础密钥,确定目标密钥;
利用所述目标密钥对所述日志内容进行加密,得到加密日志内容;
根据所述加密日志内容和所述时间戳,确定加密日志;
将所述加密日志发送给所述服务器。
为实现上述目的,第二方面,本申请实施例还提供了一种日志解密方法,应用于服务器,所述方法包括:
接收网络设备发送的加密日志,所述加密日志包括加密日志内容和时间戳;
根据与所述网络设备约定的基础密钥,确定目标密钥;
利用所述目标密钥对所述加密日志内容进行解密,得到解密日志内容;
根据所述解密日志内容和所述时间戳,确定解密日志。
为实现上述目的,第三方面,本申请实施例还提供了一种日志加密装置,应用于网络设备,所述装置包括:
获取单元,用于获取日志,所述日志包括时间戳和日志内容;
第一确定单元,用于根据与服务器约定的基础密钥,确定目标密钥;
加密单元,用于利用所述目标密钥对所述日志内容进行加密,得到加密日志内容;
第二确定单元,用于根据所述加密日志内容和所述时间戳,确定加密日志;
发送单元,用于将所述加密日志发送给所述服务器。
为实现上述目的,第四方面,本申请实施例还提供了一种日志解密装置,应用于服务器,所述装置包括:
接收单元,用于接收网络设备发送的加密日志,所述加密日志包括加密日志内容和时间戳;
第一确定单元,用于根据与所述网络设备约定的基础密钥,确定目标密钥;
解密单元,用于利用所述目标密钥对所述加密日志内容进行解密,得到解密日志内容;
第二确定单元,用于根据所述解密日志内容和所述时间戳,确定解密日志。
为实现上述目的,第五方面,本申请实施例还提供了一种网络设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使实现上述第一方面的日志加密方法。
为实现上述目的,第六方面,本申请实施例还提供了一种服务器,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器被所述机器可执行指令促使实现上述第二方面的日志解密方法。
为实现上述目的,第七方面,本申请实施例还提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现上述第一方面的日志加密方法。
为实现上述目的,第八方面,本申请实施例还提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现上述第二方面的日志解密方法。
本申请实施例中,每一网络设备与服务器预先约定了基础密钥。网络设备根据本设备的基础密钥中确定目标密钥,利用目标密钥对日志进行加密,得到加密日志。服务器根据网络设备的基础密钥中确定目标密钥,利用目标密钥对加密日志进行解密,得到解密日志。此时,即使一个网络设备的基础密钥被窃取,该网络设备的基础密钥也不能用于解密其他网络设备发送的加密日志,也就不会影响其他网络设备的网络安全,有效提高了网络安全性。
当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种日志系统示意图;
图2为本申请实施例提供的密钥生成方法的一种流程示意图;
图3为本申请实施例提供的日志加密方法的一种流程示意图;
图4为本申请实施例提供的日志解密方法的一种流程示意图;
图5为本申请实施例提供的确定目标日志的一种流程示意图;
图6为本申请实施例提供的日志加密装置的一种结构示意图;
图7为本申请实施例提供的日志解密装置的一种结构示意图;
图8为本申请实施例提供的网络设备的一种结构示意图;
图9为本申请实施例提供的服务器的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
日志是网络设备中按照一定的规范格式形成的字符串,用来记录报文的特征信息、用户的操作信息或网络的访问信息等。其中,一个字符占用一个字节。
如图1所示的日志系统,该日志系统包括网络设备100和服务器101。日志系统中可以包括多个网络设备,这里仅以一个网络设备100为例进行说明。网络设备100在服务器101上注册作为产生日志的设备,加入日志系统。
目前,网络设备100在服务器101上注册后,服务器101将共享密钥发送给网络设备100。网络设备100利用共享密钥对日志进行加密。相应的,服务器101利用共享密钥对日志进行解密。
这里,日志系统对日志进行加密或解密的密钥为共享密钥,一旦共享密钥被窃取,将导致整个网络的安全隐患。
为了提高网络安全性,本申请实施例提供了一种应用于网络设备的日志加密方法及装置、一种应用于服务器的日志解密方法及装置、网络设备、服务器和机器可读存储介质。
本申请实施例中,每一网络设备与服务器预先约定了基础密钥。
在日志加密方法中,网络设备获取日志,日志包括时间戳和日志内容;根据与服务器约定的基础密钥,确定目标密钥;利用目标密钥对日志内容进行加密,得到加密日志内容;根据加密日志内容和日志包括的时间戳,确定加密日志;将加密日志发送给服务器。此时,即使一个网络设备的基础密钥被窃取,该网络设备的基础密钥也不能用于解密其他网络设备发送的加密日志,也就不会影响其他网络设备的网络安全,有效提高了网络的安全性。
在日志解密方法中,服务器接收网络设备发送的加密日志,加密日志包括加密日志内容和时间戳;根据与网络设备约定的基础密钥,确定目标密钥;利用目标密钥对加密日志内容进行解密,得到解密日志内容,根据解密日志内容和加密日志包括的时间戳确定解密日志。此时,即使一个网络设备的基础密钥被窃取,该网络设备的基础密钥也不能用于解密其他网络设备发送的加密日志,也就不会影响其他网络设备的网络安全,有效提高了网络的安全性。
下面结合具体实施例,对本申请实施例进行说明。
本申请实施例中,网络设备在服务器上注册作为产生日志的设备后,与服务器约定基础密钥。网络设备中存储其与服务器约定的基础密钥。服务器中存储其与网络设备约定的基础密钥。不同网络设备,基础密钥是不同的。一个网络设备可以有一个基础密钥,也可以有多个基础密钥。
在本申请的一个实施例中,为了保证能够准确的加密或解密日志,网络设备与服务器可以预先约定基础密钥与定位标识的对应关系。网络设备基于定位标识确定基础密钥,对日志进行加密。服务器基于定位标识确定基础密钥,对日志进行解密。
其中,定位标识可以根据实际需要设定,只要在网络设备的基础密钥中能够唯一标识出一个基础密钥的即可。例如定位标识可以为密钥的生成时间。
在本申请的一个实施例中,网络设备的基础密钥与定位标识的对应关系可以为:根据网络管理员预先存储在服务器中的基础密钥与定位标识的多个对应关系确定的。具体地,当一个网络设备在服务器上注册作为产生日志的设备后,服务器从预先存储的基础密钥与定位标识的多个对应关系中,选择预设数量的对应关系,将所选择的对应关系作为该网络设备的密钥列表存储,并将所选择的对应关系发送给该网络设备。网络设备将接收的服务器发送的对应关系作为与该网络设备的密钥列表存储。
在本申请的另一个实施例中,网络设备的基础密钥与定位标识的对应关系也可以为网络设备在服务器上注册作为产生日志的设备后由服务器随机得获取字符生成的。具体地,可参考图2所示的密钥生成方法的一种流程示意图,应用于服务器,该方法包括:
步骤201:服务器接收针对网络设备的注册请求。
步骤202:服务器根据注册请求注册网络设备作为产生日志的设备。
步骤203:服务器生成预设长度的原始密钥,并确定原始密钥对应的定位标识。
这里,预设长度可以根据实际需要设定。例如,在考虑网络的安全性,预设长度不应太短的情况,并考虑网络设备的性能,预设长度不应太长的情况,预设长度为128字节。
服务器根据注册请求注册网络设备作为产生日志的设备之后,可以随机地获取字符,生成预设长度的原始密钥,并确定原始密钥对应的定位标识。
步骤204:服务器将原始密钥依次向预设方向移动1、2、3、…、i-1个字符,得到i-1个移动密钥和各移动密钥对应的定位标识。其中,i为预设长度。
以定位标识为移动值为例进行说明。其中,移动值为在原始密钥的基础上向预设方向移动的字符个数。此时,服务器获得移动密钥的过程可以为:
服务器根据注册请求注册网络设备作为产生日志的设备之后,生成预设长度的原始密钥,将移动值设置为0,确定原始密钥对应的定位标识为当前移动值,即原始密钥对应的定位标识为0。
服务器将移动值加1。服务器检测当前移动值是否小于预设长度。若移动值个字节的长度小于预设长度,服务器将原始密钥向预设方向移动移动值个字节,得到网络设备的一个移动密钥和该移动密钥对应的定位标识,其中,该移动密钥对应的定位标识即为当前移动值,返回执行将移动值加1的步骤。
当移动值个字节的长度等于预设长度时,服务器结束生成移动密钥。
以图1所示的日志系统为例进行说明。若定位标识为移动值,预设长度为128字节,预设方向为右。服务器101在根据注册请求注册网络设备100作为产生日志的设备之后,生成128字节的网络设备100的原始密钥a0,例如,原始密钥a0为abc……xyz,将移动值设置为0,确定原始密钥a0的定位标识为0。
之后,服务器101将移动值加1,此时移动值为1,1<128,将原始密钥a0向右移动1个字节,也就是,将原始密钥a0向右移动1个字符,得到网络设备100的移动密钥a1为zabc……xy,以及确定移动密钥a1的的定位标识为1。
再之后,服务器101将移动值加1,此时移动值为2,2<128,将原始密钥a0向右移动2个字节,得到网络设备100的移动密钥a2为yzabc……x,以及确定移动密钥a2的的定位标识为2。
以此类推,当移动值为127时,127<128,服务器101将原始密钥a0向右移动127个字节,得到网络设备100的移动密钥a127为bc……xyza,以及确定移动密钥a127的的定位标识为127。
此时,服务器101再将移动值加1之后,移动值为128,移动值个字节的长度等于预设长度,结束生成网络设备100的移动密钥。
步骤205:服务器将原始密钥和各移动密钥均作为基础密钥,存储各个基础密钥与定位标识的对应关系,得到密钥列表。
在本申请的一个实施例中,为了便于查看网络设备的基础密钥,可以采用数组的形式记录网络设备的基础密钥与定位标识的对应关系,得到密钥列表。仍以上面的定位标识为移动值的例子进行说明。以Seckey[j]表示记录网络设备的基础密钥与定位标识的对应关系的数组,其中,j表示定位标识。服务器101记录的密钥列表如表1所示。
表1
| 数组 | 基础密钥 |
| Seckey[0] | abc……xyz |
| Seckey[1] | zabc……xy |
| Seckey[2] | yzabc……x |
| … | … |
| Seckey[127] | bc……xyza |
步骤206:服务器将密钥列表发送给网络设备。
在本申请的一个实施例中,服务器将密钥列表保存在一个密钥文件中发送给网络设备。网络设备从密钥文件中获取到本设备的密钥列表,并利用密钥列表中的基础密钥对日志进行加密。
例如,如表1所示,服务器101采用Seckey[n]记录了基础密钥Seckey[n]与定位标识n的对应关系,服务器101将Seckey[0]-Seckey[127]列表中的128个字符串按先后顺序保存在一个密钥文件,并将该密钥文件发送给网络设备100。网络设备100从读取密钥文件,同样生成Seckey[0]-Seckey[127]列表。
在网络设备及服务器约定了基础密钥之后,日志加密流程可参考图3,图3为本申请实施例提供的日志加密方法的一种流程示意图。该方法应用于网络设备,包括:
步骤301:网络设备获取日志。
网络设备在产生日志内容后,为该日志内容添加时间戳,将添加时间戳后的原始日志作为原始的日志。时间戳包括年、月、日、时和分等。
步骤302:网络设备根据与服务器约定的基础密钥,确定目标密钥。
在本申请的一个实施例中,网络设备和服务器中存储有密钥列表,其中,密钥列表中包括基础密钥与定位标识的对应关系。此时,网络设备确定目标密钥的过程可以包括如下。
步骤11:网络设备确定日志包括的时间戳对应的目标定位标识。
在本申请的一个实施例中,网络设备中预设定位函数。网络设备在获取到日志后,根据预设定位函数,计算日志包括的时间戳对应的目标定位标识。
其中,预设定位函数可以为哈希算法,网络设备通过哈希算法计算出时间戳的哈希值,将计算出的哈希值作为目标定位标识。网络设备计算出的哈希值的取值范围为定位标识的范围。如步骤204中的例子,定位标识为移动值,预设长度为128字节,则定位标识的取值范围为0~127,则网络设备100计算出的哈希值的取值范围为0~127。
步骤12:网络设备从与服务器约定的密钥列表中,确定目标定位标识对应的目标基础密钥。
步骤13:网络设备根据目标基础密钥和日志内容的长度确定目标密钥。
本申请实施例中,时间戳的不同,计算出的哈希值不尽相同,确定的目标定位标识也就不尽相同,确定的目标密钥同样不尽相同,降低了该网络设备的日志被破解的概率,有效提高了网络的安全性。
在本申请的一个实施例中,网络设备在确定目标基础密钥后,若确定日志内容的长度小于目标基础密钥的长度,则以第一预设位置为起始点,从目标基础密钥中截取日志内容的长度的字符串作为目标密钥。
网络设备在确定目标基础密钥后,若确定日志内容的长度等于目标基础密钥的长度,则将目标基础密钥作为目标密钥。
网络设备在确定目标基础密钥后,若确定日志内容的长度大于目标基础密钥的长度,则复制目标基础密钥,拼接复制得到的多个目标基础密钥,并以第一预设位置为起始点,从拼接得到的字符串中截取日志内容的长度的字符串作为目标密钥。
仍以步骤204中定位标识为移动值的例子进行说明。
预设长度为128字节,即目标基础密钥的长度为128字节,第一预设位置为最左端字符的位置,原始密钥a0为abc……xyz。若网络设备100计算得到目标定位标识为1,1定位标识对应的基础密钥为移动密钥a1,则将移动密钥a1确定为目标基础密钥,即目标基础密钥为zabc……xy。
若日志内容1为aesc……ff,日志内容1的长度为127个字节,127<128,则以最左端字符的位置为起始点,从目标基础密钥中截取127个字节的字符串作为目标密钥1,也就是,目标密钥1为zabc……x。
若日志内容2为caea……ca,日志内容2的长度为128字节,128=128,则将目标基础密钥zabc……xy作为目标密钥2。
若日志内容3为sa3e……qq,日志内容3的长度为258字节,258>128,258=128+128+2,则复制3个目标基础密钥,拼接这3个目标基础密钥,并以最左端字符的位置为起始点,从拼接这3个目标基础密钥得到的字符串中截取258个字节的字符串作为目标密钥3,即目标密钥3为zabc……xyzabc……xyza。
在本申请实施例中,网络设备在确定目标基础密钥后,在保证目标密钥的长度与日志内容的长度相同的情况下,不限定确定目标密钥的方法。例如,若确定日志的长度大于目标基础密钥的长度,还可以以第一预设位置为起始点,选择复制基础密钥的前一定长度的字符串,拼接复制得到的多个字符串,从拼接得到的字符串中截取与日志内容的长度相同的字符串作为目标密钥。
步骤303:网络设备利用目标密钥对日志内容进行加密,得到加密日志内容。
在本申请的一个实施例中,为了减少对日志加密和解密的耗时,提高了网络设备和服务器的日志处理效率,网络设备和服务器采用复杂度较低的异或算法作为加密算法。
即,网络设备基于异或算法,利用目标密钥对日志内容进行加密,得到加密日志内容。其中,异或算法用XOR表示。0XOR 0=0,0XOR 1=1,1XOR0=1,1XOR 1=0。
网络设备基于异或算法,利用目标密钥对日志内容进行加密时,将目标密钥包括的字符串和日志内容包括的字符串转换为二进制数据,对目标密钥的二进制数据和日志内容的二进制数据进行异或操作,得到异或后得到的二进制数据。网络设备将异或后得到的二进制数据转换为字符串,得到的字符串即为加密日志内容。
步骤304:网络设备根据加密日志内容和日志包括的时间戳,确定加密日志。
本申请实施例中,网络设备可以直接日志包括的时间戳添加至加密日志中,得到加密日志。
本申请实施例中,为了进一步提高了网络的安全性,网络设备还可以在加密日志内容中的插入位置插入从目标密钥中获取的插入字符,在插入插入字符后得到的加密日志内容中添加日志包括的时间戳,得到加密日志。
此时,服务器从加密日志中获取到加密日志内容后,若检测到加密日志内容中的插入位置处的字符与目标密钥中与插入位置对应的插入字符相同,则可以确定加密日志内容完整且未被篡改,对完整且未被篡改的加密日志内容进行解密,得到解密日志内容,进而确定解密日志。服务器从加密日志中获取到加密日志内容后,若检测到加密日志内容中的插入位置处的字符与目标密钥中与插入位置对应的插入字符不同,则确定加密日志内容不完整或被篡改,丢弃加密日志。显然,本方法降低了加密日志的被破解率。
在本申请的一个实施例中,网络设备可以采用以下步骤在加密日志内容中插入字符。
步骤21:网络设备确定加密日志内容的加密间隔长度。
在本申请实施例中,网络设备中可以预先设置加密间隔长度。网络设备获取到加密日志内容后,获取预设的加密间隔长度作为确定加密日志内容的加密间隔长度。
在本申请实施例中,网络设备中也可以预先设置插入个数。网络设备获取到加密日志内容后,将加密日志内容的长度除以预设的插入个数,得到的商作为加密日志内容的加密间隔长度。例如,加密日志内容的长度为128,预设的插入个数为8,则加密日志内容的加密间隔长度为:128/8=16字节。
步骤22:网络设备以第二预设位置为起始位置、以加密间隔长度为间隔,获取加密日志内容中的多个插入位置。
步骤23:网络设备以第三预设位置为起始位置、以加密间隔长度为间隔,获取目标密钥中与各插入位置对应的插入字符。
本申请实施例中,为了保证准确的确定插入位置和插入字符,网络设备中预设插入规则,网络设备利用预设的插入规则,确定插入位置和插入字符。
例如,预设的插入规则为:将加密日志内容中各间隔处字符之前的位置作为插入位置,将目标密钥中各间隔处的字符作为插入字符。
本申请实施例不限定步骤22和步骤23的执行顺序。
步骤24:网络设备在各插入位置中插入对应的插入字符。
例如,第二预设位置为最左端字符的前面位置,第三预设位置为最左端字符的前面位置,预设插入个数为2。加密日志内容x的长度为6字节,为123456。目标密钥x的长度为6字节,为abcdef。网络设备可以确定加密日志内容x的加密间隔长度:加密日志内容x的长度/预设插入个数=6/2=3字节。
网络设备从加密日志内容x的最左端字符的前面位置开始间隔3字节到达字符“3”处,将字符“3”前面位置确定为插入位置Str01;从加密日志内容x的字符“3”位置开始间隔3字节到达字符“6”处,将字符“6”前面位置确定为插入位置Str02。
网络设备从目标密钥x的左端开始间隔3字节到达字符“c”处,将字符“c”确定为插入位置Str01对应的插入字符;从目标密钥x的字符“c”开始间隔3字节到达字符“f”处,将字符“f”确定为插入位置Str02对应的插入字符。
在加密日志内容x的Str01处插入字符“c”,在加密日志内容x的Str02处插入字符“f”,得到插入字符后的加密日志内容x为12c345f6。
步骤305:网络设备将加密日志发送给服务器。
网络设备利用本设备的基础密钥对日志进行加密。即使一个网络设备的基础密钥被窃取,该网络设备的基础密钥也不能用于解密其他网络设备发送的加密日志,也就不会影响其他网络设备的网络安全,有效提高了网络的安全性。
另外,同时由于时间戳的不同,同一网络设备中每一条日志的目标密钥也不尽相同,降低了该网络设备日志被破解的概率。
网络设备将加密日志发送给服务器后,服务器对加密日志进行解密获取解密日志。基于与上述日志加密方法相同的发明构思,本申请实施例还提供了一种日志解密方法。具体可参考图4,图4为本申请实施例提供的日志解密方法的一种流程示意图,应用于服务器,该方法包括:
步骤401:服务器接收网络设备发送的加密日志。加密日志包括加密日志内容和时间戳。
针对在服务器上注册作为产生日志的设备的每一网络设备,服务器将该网络设备发送任一的日志确定为加密日志。
步骤402:服务器根据与网络设备约定的基础密钥,确定目标密钥。
在服务器中存储有与网络设备约定的基础密钥,服务器在接收到加密日志后,服务器根据发送加密日志的网络设备的标识确定出该网络设备的基础密钥,进而确定目标密钥。
在本申请的一个实施例中,网络设备和服务器中存储有密钥列表,其中,密钥列表中包括基础密钥与定位标识的对应关系。此时,服务器确定目标密钥的过程可以包括:
步骤31:服务器确定时间戳对应的目标定位标识。
在本申请的一个实施例中,服务器中预设了定位函数。服务器在获取到日志后,根据预设定位函数,计算加密日志中时间戳对应的目标定位标识。为了保证准确的解密日志,服务器中预设的定位函数与网络设备中预设的定位函数相同。其中,预设定位函数可以为哈希算法,网络设备通过哈希算法计算出时间戳的哈希值,将计算出的哈希值作为目标定位标识。
步骤32:服务器从与网络设备约定的密钥列表中,确定目标定位标识对应的目标基础密钥。
步骤33:服务器根据目标基础密钥和加密日志内容的长度确定目标密钥。
本申请实施例中,时间戳的不同,计算出的哈希值不尽相同,确定的目标定位标识也就不尽相同,确定的目标密钥同样不尽相同,降低了该网络设备的日志被破解的概率,有效提高了网络的安全性。
在本申请的一个实施例中,服务器将加密日志内容的长度确定为最终需要获得的解密日志内容的长度,即为目标密钥的长度。
在本申请的一个实施例中,为了校验加密日志是否完整或被篡改,网络设备在加密日志内容中插入了用于校验的字符,此时,服务器在确定目标密钥时,先根据加密日志内容的长度确定目标密钥的长度。
具体地,服务器计算删除了插入字符的加密日志内容的长度,删除了插入字符的加密日志内容的长度即为最终需要获得的解密日志内容的长度,即为目标密钥的长度。
若目标密钥的长度小于目标基础密钥的长度,则服务器以第一预设位置为起始点,从目标基础密钥中截取目标密钥的长度的字符串作为目标密钥。
若目标密钥的长度等于目标基础密钥的长度,则服务器将目标基础密钥作为目标密钥。
若目标密钥的长度大于目标基础密钥的长度,则服务器复制目标基础密钥,拼接复制得到的多个目标基础密钥,并以第一预设位置为起始点,从拼接得到的字符串中截取目标密钥的长度的字符串作为目标密钥。
步骤403:服务器利用目标密钥对加密日志内容进行解密,得到解密日志内容。
在本申请的一个实施例中,为了减少对日志加密和解密的耗时,提高了网络设备和服务器的日志处理效率,网络设备和服务器采用复杂度较低的异或算法作为加密算法。即,服务器基于异或算法,利用目标密钥对加密日志内容进行解密,得到解密日志内容。
在本申请的一个实施例中,若加密日志内容中未插入用于校验的字符,则服务器直接利用目标密钥对加密日志内容进行解密,得到解密日志。
若加密日志内容中插入了用于校验的字符,则服务器删除加密日志内容中插入位置处的字符,利用目标密钥对删除字符后的加密日志内容进行解密,得到解密日志内容。上述删除加密日志内容中插入位置处的字符的过程可以包括:
步骤41:服务器确定加密日志内容的解密间隔长度。
在本申请实施例中,服务器中可以预先设置解密间隔长度,该预设的解密间隔长度与网络设备中预设的加密间隔长度相同。服务器获取到加密日志内容后,获取预设的解密间隔长度作为确定加密日志内容的解密间隔长度。
在本申请实施例中,服务器中也可以预先设置插入个数,该预设插入个数与网络设备中预设的插入个数相同。服务器获取到加密日志内容后,将目标密钥的长度除以预设的插入个数,得到的商作为加密日志内容的解密间隔长度。
步骤42:服务器以第二预设位置为起始位置、以解密间隔长度为间隔,获取加密日志内容中的多个插入位置。
步骤43:服务器以第三预设位置为起始位置、以解密间隔长度为间隔,获取目标密钥中与各插入位置对应的插入字符。
本申请实施例中,为了保证准确的确定插入位置和插入字符,以及保证服务器获得正确的解密日志,服务器中预设与网络设备中相同的插入规则,服务器利用预设的插入规则,确定插入位置和插入字符。
本申请实施例不限定步骤42和步骤43的执行顺序。
步骤44:服务器针对每一插入位置,若加密日志内容中该插入位置处的字符与该插入位置对应的插入字符相同,删除加密日志内容中该插入位置处的字符。
在本申请的一个实施例中,若加密日志内容中插入位置处的字符与插入位置对应的插入字符不同,丢弃加密日志。
下面结合图5所示的字符删除方法的一种流程示意图对上述删除加密日志内容中插入字符的过程进行说明。
步骤51:服务器确定加密日志内容的解密间隔长度。
步骤52:服务器将第二预设位置作为加密日志内容的起始位置,将第三预设位置作为目标密钥的起始位置,并将间隔次数设置为1。
步骤53:服务器判断间隔次数是否小于等于预设插入个数。
若小于等于预设插入个数,则执行步骤54。若大于预设插入个数,则执行步骤59。
步骤54:服务器从加密日志内容的起始位置开始偏移解密间隔长度,确定一个插入位置。
步骤55:服务器从目标密钥的起始位置开始偏移解密间隔长度,确定插入位置对应的插入字符。
本申请实施例不限定步骤54和55的执行顺序。
步骤56:服务器判断插入位置处的字符与插入位置对应的插入字符是否相同。
若相同,则执行步骤57。若不同,则执行步骤58。
步骤57:服务器删除插入位置处的字符,将当前的插入位置作为加密日志内容的起始位置,将当前的插入字符处的位置作为目标密钥的起始位置,并将间隔次数加1。返回执行步骤53。
步骤58:服务器丢弃加密日志。
步骤59:服务器结束删除加密日志内容中字符的流程。
下面结合以下例子对上述删除加密日志内容中插入字符的过程进行说明。其中,第二预设位置为最左端字符的前面位置,第三预设位置为最左端字符的前面位置,预设插入个数为2。服务器获取的加密日志内容x为12c345f6,即加密日志内容x的长度为8字节,目标密钥x为abcdef,目标密钥x的长度为:加密日志内容x的长度-预设插入个数=8-2=6字节。
服务器确定加密日志内容的解密间隔长度为:目标密钥x的长度/预设插入个数=6/2=3字节。
服务器将间隔次数设置为1。1<2,服务器从加密日志内容x的最左端字符的前面位置开始偏移3个字节到达字符“c”处,将字符“c”处确定为插入位置Str01。服务器从目标密钥x的最左端字符的前面位置开始偏移3个字节到达字符“c”处,将字符“c”确定为插入位置Str01对应的插入字符。此时,插入位置Str01的字符与插入位置Str01对应的插入字符相同,均为字符“c”,服务器删除加密日志内容x中插入位置Str01处的字符“c”,得到删除字符“c”后的加密日志内容x为12345f6。此时,加密日志内容x中插入位置Str01处的字符“c”变为了字符“3”。
服务器将间隔次数加1,此时间隔次数为2,2=2,服务器从删除字符“c”后的加密日志内容x的字符“3”位置开始偏移3个字节到达字符“f”处,将字符“f”处确定为插入位置Str02。服务器从目标密钥x的字符“3”位置开始偏移3个字节到达字符“f”处,将字符“f”确定为插入位置Str02对应的插入字符。此时,插入位置Str02的字符与插入位置Str02对应的插入字符相同,均为字符“f”,服务器删除加密日志内容x中插入位置Str02处的字符“f”,得到删除字符“f”后的加密日志内容x为123456。
服务器将间隔次数加1,此时间隔次数为3,3>2,删除加密日志内容x中字符的流程。
步骤404:服务器根据解密日志和时间戳,确定解密日志。
服务器将解密日志中包括的时间戳添加至解密日志中,获得解密日志,将解密日志输出给网络管理员。网络管理员通过获取到的解密日志,了解网络的访问状况、网络设备的运行状况等,进而对网络进行管理。
此时,即使一个网络设备的基础密钥被窃取,该网络设备的基础密钥也不能用于解密其他网络设备发送的加密日志,也就不会影响其他网络设备的网络安全,有效提高了网络安全性。
另外,同时由于时间戳的不同,同一网络设备中每一条日志的目标密钥也不尽相同,降低了该网络设备日志被破解的概率。
与日志加密方法实施例对应,本申请实施例提供了一种日志加密装置。参考图6,图6为本申请实施例提供的日志加密装置的一种结构示意图,应用于网络设备,该装置包括:
获取单元601,用于获取日志,日志包括时间戳和日志内容;
第一确定单元602,用于根据与服务器约定的基础密钥,确定目标密钥;
加密单元603,用于利用目标密钥对日志内容进行加密,得到加密日志内容;
第二确定单元604,用于根据加密日志内容和时间戳,确定加密日志;
发送单元605,用于将加密日志发送给服务器。
在本申请的一个实施例中,第一确定单元602,具体可以用于:
确定时间戳对应的目标定位标识;
从与服务器约定的密钥列表中,确定目标定位标识对应的目标基础密钥;其中,密钥列表中包括基础密钥与定位标识的对应关系;
根据目标基础密钥和日志内容的长度确定目标密钥。
在本申请的一个实施例中,第一确定单元602,具体可以用于:
若日志内容的长度小于目标基础密钥的长度,则以第一预设位置为起始点,从目标基础密钥中截取日志内容的长度的字符串作为目标密钥;
若日志内容的长度等于目标基础密钥的长度,则将目标基础密钥作为目标密钥;
若日志内容的长度大于目标基础密钥的长度,则复制目标基础密钥,拼接复制得到的多个目标基础密钥,并以第一预设位置为起始点,从拼接得到的字符串中截取日志内容的长度的字符串作为目标密钥。
在本申请的一个实施例中,第二确定单元604,具体可以用于:
在加密日志内容中的插入位置插入从目标密钥中获取的插入字符;
在插入插入字符后的加密日志内容中添加时间戳,得到加密日志。
在本申请的一个实施例中,第二确定单元604,具体可以用于:
确定加密日志内容的加密间隔长度;
以第二预设位置为起始位置、以加密间隔长度为间隔,获取加密日志内容中的多个插入位置;
以第三预设位置为起始位置、以加密间隔长度为间隔,获取目标密钥中与各插入位置对应的插入字符;
在各插入位置中插入对应的插入字符。
在本申请的一个实施例中,加密单元603,具体可以用于:基于异或算法,利用目标密钥对日志内容进行加密,得到加密日志内容。
本申请实施例中,每一网络设备与服务器预先约定了基础密钥。即使一个网络设备的基础密钥被窃取,该网络设备的基础密钥也不能用于解密其他网络设备发送的加密日志,也就不会影响其他网络设备的网络安全,有效提高了网络的安全性。
与日志解密方法实施例对应,本申请实施例提供了一种日志解密装置。参考图7,图7为本申请实施例提供的日志解密装置的一种结构示意图,应用于服务器,该装置包括:
接收单元701,用于接收网络设备发送的加密日志,加密日志包括加密日志内容和时间戳;
第一确定单元702,用于根据与网络设备约定的基础密钥,确定目标密钥;
解密单元703,用于利用目标密钥对加密日志内容进行解密,得到解密日志内容;
第二确定单元704,用于根据解密日志内容和时间戳,确定解密日志。
在本申请的一个实施例中,第一确定单元702,具体可以用于:
确定时间戳对应的目标定位标识;
从与网络设备约定的密钥列表中,确定目标定位标识对应的目标基础密钥;其中,密钥列表中包括基础密钥与定位标识的对应关系;
根据目标基础密钥和加密日志内容的长度确定目标密钥。
在本申请的一个实施例中,第一确定单元702,具体可以用于:
根据加密日志内容的长度确定目标密钥的长度;
若目标密钥的长度小于目标基础密钥的长度,则以第一预设位置为起始点,从目标基础密钥中截取目标密钥的长度的字符串作为目标密钥;
若目标密钥的长度等于目标基础密钥的长度,则将目标基础密钥作为目标密钥;
若目标密钥的长度大于目标基础密钥的长度,则复制目标基础密钥,拼接复制得到的多个目标基础密钥,并以第一预设位置为起始点,从拼接得到的字符串中截取目标密钥的长度的字符串作为目标密钥。
在本申请的一个实施例中,解密单元703,具体可以用于:
删除加密日志内容中插入位置处的字符;
利用目标密钥对删除字符后的加密日志内容进行解密,得到解密日志内容。
在本申请的一个实施例中,解密单元703,具体可以用于:
确定加密日志内容的解密间隔长度;
以第二预设位置为起始位置、以解密间隔长度为间隔,获取加密日志内容中的多个插入位置;
以第三预设位置为起始位置、以解密间隔长度为间隔,获取目标密钥中与各插入位置对应的插入字符;
针对每一插入位置,若加密日志内容中该插入位置处的字符与该插入位置对应的插入字符相同,删除加密日志内容中该插入位置处的字符。
在本申请的一个实施例中,上述日志解密装置还可以包括:丢弃单元,用于若加密日志内容中插入位置处的字符与插入位置对应的插入字符不同,丢弃加密日志。
在本申请的一个实施例中,上述日志解密装置还可以包括:注册单元、生成单元、移动单元、存储单元和发送单元。
其中,接收单元701,还可以用于在接收网络设备发送的日志之前,接收针对网络设备的注册请求;
注册单元,用于根据注册请求,注册网络设备作为产生日志的设备;
生成单元,用于生成预设长度的原始密钥,并确定原始密钥对应的定位标识;
移动单元,用于将原始密钥依次向预设方向移动1、2、3、…、i-1个字符,得到i-1个移动密钥和各移动密钥对应的定位标识;其中,i为预设长度;
存储单元,用于将原始密钥和各移动密钥均作为基础密钥,存储各个基础密钥与定位标识的对应关系,得到密钥列表;
发送单元,用于将密钥列表发送给网络设备。
本申请实施例中,每一网络设备与服务器预先约定了基础密钥。即使一个网络设备的基础密钥被窃取,该网络设备的基础密钥也不能用于解密其他网络设备发送的加密日志,也就不会影响其他网络设备的网络安全,有效提高了网络的安全性。
与上述日志加密方法对应,本申请实施例还提供了一种网络设备,如图8所示,包括处理器801和机器可读存储介质802,机器可读存储介质802存储有能够被处理器801执行的机器可执行指令。处理器801被机器可执行指令促使实现上述日志加密方法。
另外,如图8所示,网络设备还可以包括:通信接口803和通信总线804;其中,处理器801、机器可读存储介质802、通信接口803通过通信总线804完成相互间的通信,通信接口803用于上述网络设备与其他设备之间的通信。
其中,机器可执行指令包括:获取指令812、第一确定指令822、加密指令832、第二确定指令842和发送指令852。
处理器801被获取指令812促使实现:获取日志,日志包括时间戳和日志内容;
处理器801被第一确定指令822促使实现:根据与服务器约定的基础密钥,确定目标密钥;
处理器801被加密指令832促使实现:利用目标密钥对日志内容进行加密,得到加密日志内容;
处理器801被第二确定指令842促使实现:根据加密日志内容和时间戳,确定加密日志;
处理器801被发送指令852促使实现:将加密日志发送给服务器。
在本申请的一个实施例中,处理器801被第一确定指令822促使具体可以实现:
确定时间戳对应的目标定位标识;
从与服务器约定的密钥列表中,确定目标定位标识对应的目标基础密钥;其中,密钥列表中包括基础密钥与定位标识的对应关系;
根据目标基础密钥和日志内容的长度确定目标密钥。
在本申请的一个实施例中,处理器801被第一确定指令822促使具体可以实现:
若日志内容的长度小于目标基础密钥的长度,则以第一预设位置为起始点,从目标基础密钥中截取日志内容的长度的字符串作为目标密钥;
若日志内容的长度等于目标基础密钥的长度,则将目标基础密钥作为目标密钥;
若日志内容的长度大于目标基础密钥的长度,则复制目标基础密钥,拼接复制得到的多个目标基础密钥,并以第一预设位置为起始点,从拼接得到的字符串中截取日志内容的长度的字符串作为目标密钥。
在本申请的一个实施例中,处理器801被第二确定指令842促使具体可以实现:
在加密日志内容中的插入位置插入从目标密钥中获取的插入字符;
在插入插入字符后的加密日志内容中添加时间戳,得到加密日志。
在本申请的一个实施例中,处理器801被第二确定指令842促使具体可以实现:
确定加密日志内容的加密间隔长度;
以第二预设位置为起始位置、以加密间隔长度为间隔,获取加密日志内容中的多个插入位置;
以第三预设位置为起始位置、以加密间隔长度为间隔,获取目标密钥中与各插入位置对应的插入字符;
在各插入位置中插入对应的插入字符。
在本申请的一个实施例中,处理器801被加密指令832促使具体可以实现:
基于异或算法,利用目标密钥对日志内容进行加密,得到加密日志内容。
本申请实施例中,每一网络设备与服务器预先约定了基础密钥。即使一个网络设备的基础密钥被窃取,该网络设备的基础密钥也不能用于解密其他网络设备发送的加密日志,也就不会影响其他网络设备的网络安全,有效提高了网络的安全性。
上述通信总线802可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard Architecture,扩展工业标准结构)总线等。该通信总线804可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
机器可读存储介质802可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质802还可以是至少一个位于远离前述处理器的存储装置。
处理器801可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
与上述日志解密方法对应,本申请实施例还提供了一种服务器,如图9所示,包括处理器901和机器可读存储介质902,机器可读存储介质902存储有能够被处理器901执行的机器可执行指令。处理器901被机器可执行指令促使实现上述日志解密方法。
另外,如图9所示,服务器还可以包括:通信接口903和通信总线904;其中,处理器901、机器可读存储介质902、通信接口903通过通信总线904完成相互间的通信,通信接口903用于上述服务器与其他设备之间的通信。
其中,机器可执行指令包括:接收指令912、第一确定指令922、解密指令932和第二确定指令942。
处理器901被接收指令912促使实现:接收网络设备发送的加密日志,加密日志包括加密日志内容和时间戳;
处理器901被第一确定指令922促使实现:根据与网络设备约定的基础密钥,确定目标密钥;
处理器901被解密指令932促使实现:利用目标密钥对加密日志内容进行解密,得到解密日志内容;
处理器901被第二确定指令942促使实现:根据解密日志内容和时间戳,确定解密日志。
在本申请的一个实施例中,处理器901被第一确定指令922促使具体可以实现:
确定时间戳对应的目标定位标识;
从与网络设备约定的密钥列表中,确定目标定位标识对应的目标基础密钥;其中,密钥列表中包括基础密钥与定位标识的对应关系;
根据目标基础密钥和加密日志内容的长度确定目标密钥。
在本申请的一个实施例中,处理器901被第一确定指令922促使具体可以实现:
根据加密日志内容的长度确定目标密钥的长度;
若目标密钥的长度小于目标基础密钥的长度,则以第一预设位置为起始点,从目标基础密钥中截取目标密钥的长度的字符串作为目标密钥;
若目标密钥的长度等于目标基础密钥的长度,则将目标基础密钥作为目标密钥;
若目标密钥的长度大于目标基础密钥的长度,则复制目标基础密钥,拼接复制得到的多个目标基础密钥,并以第一预设位置为起始点,从拼接得到的字符串中截取目标密钥的长度的字符串作为目标密钥。
在本申请的一个实施例中,处理器901被解密指令932促使具体可以实现:
删除加密日志内容中插入位置处的字符;
利用目标密钥对删除字符后的加密日志内容进行解密,得到解密日志内容。
在本申请的一个实施例中,处理器901被解密指令932促使具体可以实现:
确定加密日志内容的解密间隔长度;
以第二预设位置为起始位置、以解密间隔长度为间隔,获取加密日志内容中的多个插入位置;
以第三预设位置为起始位置、以解密间隔长度为间隔,获取目标密钥中与各插入位置对应的插入字符;
针对每一插入位置,若加密日志内容中该插入位置处的字符与该插入位置对应的插入字符相同,删除加密日志内容中该插入位置处的字符。
在本申请的一个实施例中,上述机器可执行指令还可以包括:丢弃指令;
处理器901被丢弃指令促使实现:若加密日志内容中插入位置处的字符与插入位置对应的插入字符不同,丢弃加密日志。
在本申请的一个实施例中,上述机器可执行指令还可以包括:注册指令、生成指令、移动指令、存储指令和发送指令。
其中,处理器901被接收指令912促使还可以实现:在接收网络设备发送的日志之前,接收针对网络设备的注册请求;
处理器901被注册指令促使实现:根据注册请求,注册网络设备作为产生日志的设备;
处理器901被生成指令促使实现:生成预设长度的原始密钥,并确定原始密钥对应的定位标识;
处理器901被移动指令促使实现:将原始密钥依次向预设方向移动1、2、3、…、i-1个字符,得到i-1个移动密钥和各移动密钥对应的定位标识;其中,i为预设长度;
处理器901被存储指令促使实现:将原始密钥和各移动密钥均作为基础密钥,存储各个基础密钥与定位标识的对应关系,得到密钥列表;
处理器901被发送指令促使实现:将密钥列表发送给网络设备。
本申请实施例中,每一网络设备与服务器预先约定了基础密钥。即使一个网络设备的基础密钥被窃取,该网络设备的基础密钥也不能用于解密其他网络设备发送的加密日志,也就不会影响其他网络设备的网络安全,有效提高了网络的安全性。
通信总线902可以是PCI总线或EISA总线等。该通信总线904可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
机器可读存储介质902可以包括RAM,也可以包括NVM,例如至少一个磁盘存储器。另外,机器可读存储介质902还可以是至少一个位于远离前述处理器的存储装置。
处理器901可以是通用处理器,包括CPU、NP等;还可以是DSP、ASIC、FPGA或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
与上述日志加密方法对应,本申请实施例还提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,机器可执行指令促使处理器实现上述日志加密方法。
其中,机器可执行指令包括:获取指令、第一确定指令、加密指令、第二确定指令和发送指令。
在被处理器调用和执行时,获取指令促使处理器实现:获取日志,日志包括时间戳和日志内容;
在被处理器调用和执行时,第一确定指令促使处理器实现:根据与服务器约定的基础密钥,确定目标密钥;
在被处理器调用和执行时,加密指令促使处理器实现:利用目标密钥对日志内容进行加密,得到加密日志内容;
在被处理器调用和执行时,第二确定指令促使处理器实现:根据加密日志内容和时间戳,确定加密日志;
在被处理器调用和执行时,处理器被发送指令促使实现:将加密日志发送给服务器。
在本申请的一个实施例中,在被处理器调用和执行时,第一确定指令促使处理器具体可以实现:
确定时间戳对应的目标定位标识;
从与服务器约定的密钥列表中,确定目标定位标识对应的目标基础密钥;其中,密钥列表中包括基础密钥与定位标识的对应关系;
根据目标基础密钥和日志内容的长度确定目标密钥。
在本申请的一个实施例中,在被处理器调用和执行时,第一确定指令促使处理器具体可以实现:
若日志内容的长度小于目标基础密钥的长度,则以第一预设位置为起始点,从目标基础密钥中截取日志内容的长度的字符串作为目标密钥;
若日志内容的长度等于目标基础密钥的长度,则将目标基础密钥作为目标密钥;
若日志内容的长度大于目标基础密钥的长度,则复制目标基础密钥,拼接复制得到的多个目标基础密钥,并以第一预设位置为起始点,从拼接得到的字符串中截取日志内容的长度的字符串作为目标密钥。
在本申请的一个实施例中,在被处理器调用和执行时,第二确定指令促使处理器具体可以实现:
在加密日志内容中的插入位置插入从目标密钥中获取的插入字符;
在插入插入字符后的加密日志内容中添加时间戳,得到加密日志。
在本申请的一个实施例中,在被处理器调用和执行时,第二确定指令促使处理器具体可以实现:
确定加密日志内容的加密间隔长度;
以第二预设位置为起始位置、以加密间隔长度为间隔,获取加密日志内容中的多个插入位置;
以第三预设位置为起始位置、以加密间隔长度为间隔,获取目标密钥中与各插入位置对应的插入字符;
在各插入位置中插入对应的插入字符。
在本申请的一个实施例中,在被处理器调用和执行时,加密指令促使处理器具体可以实现:基于异或算法,利用目标密钥对日志内容进行加密,得到加密日志内容。
本申请实施例中,每一网络设备与服务器预先约定了基础密钥。即使一个网络设备的基础密钥被窃取,该网络设备的基础密钥也不能用于解密其他网络设备发送的加密日志,也就不会影响其他网络设备的网络安全,有效提高了网络的安全性。
与上述日志解密方法对应,本申请实施例还提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现上述日志解密方法。
其中,机器可执行指令包括:接收指令、第一确定指令、解密指令和第二确定指令。
在被处理器调用和执行时,接收指令促使处理器实现:接收网络设备发送的加密日志,加密日志包括加密日志内容和时间戳;
在被处理器调用和执行时,第一确定指令促使处理器实现:根据与网络设备约定的基础密钥,确定目标密钥;
在被处理器调用和执行时,解密指令促使处理器实现:利用目标密钥对加密日志内容进行解密,得到解密日志内容;
在被处理器调用和执行时,第二确定指令促使处理器实现:根据解密日志内容和时间戳,确定解密日志。
在本申请的一个实施例中,在被处理器调用和执行时,第一确定指令促使处理器具体可以实现:
确定时间戳对应的目标定位标识;
从与网络设备约定的密钥列表中,确定目标定位标识对应的目标基础密钥;其中,密钥列表中包括基础密钥与定位标识的对应关系;
根据目标基础密钥和加密日志内容的长度确定目标密钥。
在本申请的一个实施例中,在被处理器调用和执行时,第一确定指令促使处理器具体可以实现:
根据加密日志内容的长度确定目标密钥的长度;
若目标密钥的长度小于目标基础密钥的长度,则以第一预设位置为起始点,从目标基础密钥中截取目标密钥的长度的字符串作为目标密钥;
若目标密钥的长度等于目标基础密钥的长度,则将目标基础密钥作为目标密钥;
若目标密钥的长度大于目标基础密钥的长度,则复制目标基础密钥,拼接复制得到的多个目标基础密钥,并以第一预设位置为起始点,从拼接得到的字符串中截取目标密钥的长度的字符串作为目标密钥。
在本申请的一个实施例中,在被处理器调用和执行时,解密指令促使处理器具体可以实现:
删除加密日志内容中插入位置处的字符;
利用目标密钥对删除字符后的加密日志内容进行解密,得到解密日志内容。
在本申请的一个实施例中,在被处理器调用和执行时,解密指令促使处理器具体可以实现:
确定加密日志内容的解密间隔长度;
以第二预设位置为起始位置、以解密间隔长度为间隔,获取加密日志内容中的多个插入位置;
以第三预设位置为起始位置、以解密间隔长度为间隔,获取目标密钥中与各插入位置对应的插入字符;
针对每一插入位置,若加密日志内容中该插入位置处的字符与该插入位置对应的插入字符相同,删除加密日志内容中该插入位置处的字符。
在本申请的一个实施例中,上述机器可执行指令还可以包括:丢弃指令;
在被处理器调用和执行时,丢弃指令促使处理器实现:若加密日志内容中插入位置处的字符与插入位置对应的插入字符不同,丢弃加密日志。
在本申请的一个实施例中,上述机器可执行指令还可以包括:注册指令、生成指令、移动指令、存储指令和发送指令。
其中,在被处理器调用和执行时,接收指令促使处理器还可以实现:在接收网络设备发送的日志之前,接收针对网络设备的注册请求;
在被处理器调用和执行时,注册指令促使处理器实现:根据注册请求,注册网络设备作为产生日志的设备;
在被处理器调用和执行时,生成指令促使处理器实现:生成预设长度的原始密钥,并确定原始密钥对应的定位标识;
在被处理器调用和执行时,移动指令促使处理器实现:将原始密钥依次向预设方向移动1、2、3、…、i-1个字符,得到i-1个移动密钥和各移动密钥对应的定位标识;其中,i为预设长度;
在被处理器调用和执行时,存储指令促使处理器实现:将原始密钥和各移动密钥均作为基础密钥,存储各个基础密钥与定位标识的对应关系,得到密钥列表;
在被处理器调用和执行时,发送指令促使处理器实现:将密钥列表发送给网络设备。
本申请实施例中,每一网络设备与服务器预先约定了基础密钥。即使一个网络设备的基础密钥被窃取,该网络设备的基础密钥也不能用于解密其他网络设备发送的加密日志,也就不会影响其他网络设备的网络安全,有效提高了网络的安全性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于日志加密装置、日志解密装置、网络设备、服务器、机器可读存储介质实施例而言,由于其基本相似于日志加密方法和日志解密方法实施例,所以描述的比较简单,相关之处参见日志加密方法和日志解密方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (10)
1.一种日志加密方法,其特征在于,应用于网络设备,所述方法包括:
获取日志,所述日志包括时间戳和日志内容;
根据与服务器约定的基础密钥,确定目标密钥;
利用所述目标密钥对所述日志内容进行加密,得到加密日志内容;
根据所述加密日志内容和所述时间戳,确定加密日志;
将所述加密日志发送给所述服务器。
2.根据权利要求1所述的方法,其特征在于,所述根据与服务器约定的基础密钥,确定目标密钥的步骤,包括:
确定所述时间戳对应的目标定位标识;
从与服务器约定的密钥列表中,确定所述目标定位标识对应的目标基础密钥;其中,所述密钥列表中包括基础密钥与定位标识的对应关系;
根据所述目标基础密钥和所述日志内容的长度确定目标密钥。
3.根据权利要求2所述的方法,其特征在于,所述根据所述目标基础密钥和所述日志内容的长度确定目标密钥的步骤,包括:
若所述日志内容的长度小于所述目标基础密钥的长度,则以第一预设位置为起始点,从所述目标基础密钥中截取所述日志内容的长度的字符串作为目标密钥;
若所述日志内容的长度等于所述目标基础密钥的长度,则将所述目标基础密钥作为目标密钥;
若所述日志内容的长度大于所述目标基础密钥的长度,则复制所述目标基础密钥,拼接复制得到的多个所述目标基础密钥,并以所述第一预设位置为起始点,从拼接得到的字符串中截取所述日志内容的长度的字符串作为目标密钥。
4.根据权利要求1所述的方法,其特征在于,所述根据所述加密日志内容和所述时间戳,确定加密日志的步骤,包括:
在所述加密日志内容中的插入位置插入从所述目标密钥中获取的插入字符;
在插入所述插入字符后的加密日志内容中添加所述时间戳,得到加密日志。
5.根据权利要求4所述的方法,其特征在于,所述在所述加密日志内容中的插入位置插入从所述目标密钥中获取的插入字符的步骤,包括:
确定所述加密日志内容的加密间隔长度;
以第二预设位置为起始位置、以所述加密间隔长度为间隔,获取所述加密日志内容中的多个插入位置;
以第三预设位置为起始位置、以所述加密间隔长度为间隔,获取所述目标密钥中与各插入位置对应的插入字符;
在各插入位置中插入对应的插入字符。
6.一种日志解密方法,其特征在于,应用于服务器,所述方法包括:
接收网络设备发送的加密日志,所述加密日志包括加密日志内容和时间戳;
根据与所述网络设备约定的基础密钥,确定目标密钥;
利用所述目标密钥对所述加密日志内容进行解密,得到解密日志内容;
根据所述解密日志内容和所述时间戳,确定解密日志。
7.根据权利要求8所述的方法,其特征在于,所述根据与所述网络设备约定的基础密钥,确定目标密钥的步骤,包括:
确定所述时间戳对应的目标定位标识;
从与所述网络设备约定的密钥列表中,确定所述目标定位标识对应的目标基础密钥;其中,所述密钥列表中包括基础密钥与定位标识的对应关系;
根据所述目标基础密钥和所述加密日志内容的长度确定目标密钥。
8.根据权利要求7所述的方法,其特征在于,所述根据所述目标基础密钥和所述加密日志内容的长度确定目标密钥步骤,包括:
根据所述加密日志内容的长度确定目标密钥的长度;
若所述目标密钥的长度小于所述目标基础密钥的长度,则以第一预设位置为起始点,从所述目标基础密钥中截取所述目标密钥的长度的字符串作为目标密钥;
若所述目标密钥的长度等于所述目标基础密钥的长度,则将所述目标基础密钥作为目标密钥;
若所述目标密钥的长度大于所述目标基础密钥的长度,则复制所述目标基础密钥,拼接复制得到的多个所述目标基础密钥,并以所述第一预设位置为起始点,从拼接得到的字符串中截取所述目标密钥的长度的字符串作为目标密钥。
9.根据权利要求6所述的方法,其特征在于,所述利用所述目标密钥对所述加密日志内容进行解密,得到解密日志内容的步骤,包括:
删除所述加密日志内容中插入位置处的字符;
利用所述目标密钥对删除所述字符后的加密日志内容进行解密,得到解密日志内容。
10.根据权利要求9所述的方法,其特征在于,所述删除所述加密日志内容中插入位置处的字符的步骤,包括:
确定所述加密日志内容的解密间隔长度;
以第二预设位置为起始位置、以所述解密间隔长度为间隔,获取所述加密日志内容中的多个插入位置;
以第三预设位置为起始位置、以所述解密间隔长度为间隔,获取所述目标密钥中与各插入位置对应的插入字符;
针对每一插入位置,若所述加密日志内容中该插入位置处的字符与该插入位置对应的插入字符相同,删除所述加密日志内容中该插入位置处的字符。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810241502.1A CN108712363B (zh) | 2018-03-22 | 2018-03-22 | 一种日志加解密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810241502.1A CN108712363B (zh) | 2018-03-22 | 2018-03-22 | 一种日志加解密方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108712363A true CN108712363A (zh) | 2018-10-26 |
| CN108712363B CN108712363B (zh) | 2021-04-20 |
Family
ID=63866377
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810241502.1A Active CN108712363B (zh) | 2018-03-22 | 2018-03-22 | 一种日志加解密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108712363B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110060015A (zh) * | 2019-04-30 | 2019-07-26 | 深圳市新威尔电子有限公司 | 加密胶带以及胶带加密方法 |
| CN110807200A (zh) * | 2019-10-28 | 2020-02-18 | 福州汇思博信息技术有限公司 | 一种Android设备的log加密方法、系统、设备和介质 |
| CN112788012A (zh) * | 2020-12-30 | 2021-05-11 | 深圳市欢太科技有限公司 | 日志文件加密方法、装置、存储介质及电子设备 |
| CN113472634A (zh) * | 2021-06-30 | 2021-10-01 | 完美世界(北京)软件科技发展有限公司 | 即时通讯方法、装置及系统、存储介质、电子装置 |
| CN115412247A (zh) * | 2022-11-02 | 2022-11-29 | 中安云科科技发展(山东)有限公司 | 基于时间戳的随机密钥同步方法、平台、设备及存储介质 |
| CN116089985A (zh) * | 2023-04-07 | 2023-05-09 | 北京优特捷信息技术有限公司 | 一种分布式日志的加密存储方法、装置、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039186A (zh) * | 2007-05-08 | 2007-09-19 | 中国科学院软件研究所 | 系统日志的安全审计方法 |
| CN102724174A (zh) * | 2011-08-08 | 2012-10-10 | 北京北信源软件股份有限公司 | 一种针对硬件存储介质信息消除工具的操作日志进行网络导出方法 |
| CN103684787A (zh) * | 2013-12-13 | 2014-03-26 | 北京大学深圳研究生院 | 基于网络传输的数据包的加密解密方法及终端 |
| CN104683824A (zh) * | 2013-11-29 | 2015-06-03 | 航天信息股份有限公司 | flv格式视频文件的加密传输方法和系统 |
| CN105099735A (zh) * | 2014-05-07 | 2015-11-25 | 中国移动通信集团福建有限公司 | 一种获取海量详细日志的方法及系统 |
| US20170325089A1 (en) * | 2016-05-03 | 2017-11-09 | Praneet Sharma | Method and system of user authentication and end to end encryption using device synchronization |
-
2018
- 2018-03-22 CN CN201810241502.1A patent/CN108712363B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039186A (zh) * | 2007-05-08 | 2007-09-19 | 中国科学院软件研究所 | 系统日志的安全审计方法 |
| CN102724174A (zh) * | 2011-08-08 | 2012-10-10 | 北京北信源软件股份有限公司 | 一种针对硬件存储介质信息消除工具的操作日志进行网络导出方法 |
| CN104683824A (zh) * | 2013-11-29 | 2015-06-03 | 航天信息股份有限公司 | flv格式视频文件的加密传输方法和系统 |
| CN103684787A (zh) * | 2013-12-13 | 2014-03-26 | 北京大学深圳研究生院 | 基于网络传输的数据包的加密解密方法及终端 |
| CN105099735A (zh) * | 2014-05-07 | 2015-11-25 | 中国移动通信集团福建有限公司 | 一种获取海量详细日志的方法及系统 |
| US20170325089A1 (en) * | 2016-05-03 | 2017-11-09 | Praneet Sharma | Method and system of user authentication and end to end encryption using device synchronization |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110060015A (zh) * | 2019-04-30 | 2019-07-26 | 深圳市新威尔电子有限公司 | 加密胶带以及胶带加密方法 |
| CN110807200A (zh) * | 2019-10-28 | 2020-02-18 | 福州汇思博信息技术有限公司 | 一种Android设备的log加密方法、系统、设备和介质 |
| CN112788012A (zh) * | 2020-12-30 | 2021-05-11 | 深圳市欢太科技有限公司 | 日志文件加密方法、装置、存储介质及电子设备 |
| CN112788012B (zh) * | 2020-12-30 | 2023-07-25 | 深圳市欢太科技有限公司 | 日志文件加密方法、装置、存储介质及电子设备 |
| CN113472634A (zh) * | 2021-06-30 | 2021-10-01 | 完美世界(北京)软件科技发展有限公司 | 即时通讯方法、装置及系统、存储介质、电子装置 |
| CN113472634B (zh) * | 2021-06-30 | 2023-08-18 | 完美世界(北京)软件科技发展有限公司 | 即时通讯方法、装置及系统、存储介质、电子装置 |
| CN115412247A (zh) * | 2022-11-02 | 2022-11-29 | 中安云科科技发展(山东)有限公司 | 基于时间戳的随机密钥同步方法、平台、设备及存储介质 |
| CN116089985A (zh) * | 2023-04-07 | 2023-05-09 | 北京优特捷信息技术有限公司 | 一种分布式日志的加密存储方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108712363B (zh) | 2021-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108712363A (zh) | 一种日志加解密方法 | |
| US8379857B1 (en) | Secure key distribution for private communication in an unsecured communication channel | |
| CN107979615B (zh) | 报文加密发送、认证方法、装置、客户端及防火墙 | |
| Choi et al. | Digital forensic analysis of encrypted database files in instant messaging applications on Windows operating systems: Case study with KakaoTalk, NateOn and QQ messenger | |
| US11316681B2 (en) | User identity authentication method and device, readable storage medium and computer equipment | |
| CN105681470B (zh) | 基于超文本传输协议的通信方法、服务器、终端 | |
| CN108259507A (zh) | 用于自适应流媒体的片段完整性和真实性的系统和方法 | |
| US8369521B2 (en) | Smart card based encryption key and password generation and management | |
| US20150326539A1 (en) | Increased communication security | |
| Tyagi et al. | Traceback for end-to-end encrypted messaging | |
| CN105281902B (zh) | 一种基于移动终端的Web系统安全登录方法 | |
| US9426148B2 (en) | Increased communication security | |
| US9419979B2 (en) | Increased communication security | |
| CN108599939A (zh) | 一种认证方法和装置 | |
| US20150281199A1 (en) | Increased communication security | |
| Accorsi | Log data as digital evidence: What secure logging protocols have to offer? | |
| KR20150135032A (ko) | Puf를 이용한 비밀키 업데이트 시스템 및 방법 | |
| Bhargavan et al. | Formal Models and Verified Protocols for Group Messaging: Attacks and Proofs for IETF MLS | |
| CN109302425B (zh) | 身份认证方法及终端设备 | |
| CN105635141B (zh) | 一种信息传送方法及装置 | |
| CN112436939B (zh) | 一种秘钥协商方法、装置、系统及电子设备 | |
| CN109981677A (zh) | 一种授信管理方法及装置 | |
| CN113489589A (zh) | 数据加密、解密方法、装置及电子设备 | |
| EP2892206A1 (en) | A system and method for push framework security | |
| CN107770183A (zh) | 一种数据传输方法与装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |