CN111143837A - 一种数据库安全审计记录的存储方法 - Google Patents
一种数据库安全审计记录的存储方法 Download PDFInfo
- Publication number
- CN111143837A CN111143837A CN201911359752.6A CN201911359752A CN111143837A CN 111143837 A CN111143837 A CN 111143837A CN 201911359752 A CN201911359752 A CN 201911359752A CN 111143837 A CN111143837 A CN 111143837A
- Authority
- CN
- China
- Prior art keywords
- security audit
- audit record
- database security
- database
- record block
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012550 audit Methods 0.000 title claims abstract description 235
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000004806 packaging method and process Methods 0.000 claims abstract description 6
- 238000004891 communication Methods 0.000 claims abstract description 5
- 238000012795 verification Methods 0.000 claims description 17
- 230000007246 mechanism Effects 0.000 abstract description 10
- 230000009286 beneficial effect Effects 0.000 abstract description 5
- 230000005540 biological transmission Effects 0.000 description 8
- 230000000875 corresponding effect Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000012856 packing Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000004883 computer application Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1448—Management of the data involved in backup or backup restore
- G06F11/1451—Management of the data involved in backup or backup restore by selection of backup contents
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
- G06F11/1464—Management of the backup or restore process for networked environments
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
- G06F11/1469—Backup restoration techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/1734—Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
- G06F16/2228—Indexing structures
- G06F16/2246—Trees, e.g. B+trees
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0637—Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/80—Database-specific techniques
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Quality & Reliability (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明创造提供了一种数据库安全审计记录的存储方法,包括:S1、当数据库服务器识别出可审计事件,生成一条数据库安全审计记录时,用散列值标识该条数据库安全审计记录,使每一条数据库安全审计记录对应唯一的散列值;S2、将多条数据库安全审计记录打包成数据库安全审计记录块;S3、采用在两个节点之间直接进行网络通信的点对点协议对数据库安全审计记录块进行加密传输,并对数据库安全审计记录块的所有权进行验证。本发明创造的有益效果为:通过加密机制和共识机制,在点对点网络中实现数据库安全审计记录的存储,保证数据库安全审计记录不可篡改、不可伪造。
Description
技术领域
本发明创造属于计算机应用领域,尤其是涉及一种数据库安全审计记录的存储方法。
背景技术
中国国家标准GB/T 25069-2010(信息安全技术术语)定义:安全审计是对信息系统的各种事件及行为实行检测、信息采集、分析,并针对特定事件及行为采取相应的动作。
数据库安全审计特性允许监视用户活动,发现未获授权的用户进行的任何恶意活动。只要用户知道自己的活动可能受到安全审计,数据库安全审计机制就能对那些不受欢迎的活动产生威慑。
每当数据库服务器遇到可审计的事件,就生成一条数据库安全审计记录,并记录在计算机网络中指定目录下的审计文件内。已获得授权的用户可以打开审计文件,有可能误改或损坏审计文件。
发明内容
有鉴于此,本发明创造旨在克服上述现有技术中存在的缺陷,提出一种数据库安全审计记录的存储方法。
为达到上述目的,本发明创造的技术方案是这样实现的:
一种数据库安全审计记录的存储方法,包括:
S1、当数据库服务器识别出可审计事件,生成一条数据库安全审计记录时,用散列值标识该条数据库安全审计记录,使每一条数据库安全审计记录对应唯一的散列值;
S2、将多条数据库安全审计记录打包成数据库安全审计记录块;
S3、采用在两个节点之间直接进行网络通信的点对点协议对数据库安全审计记录块进行加密传输,并对数据库安全审计记录块的所有权进行验证;在生成新数据库安全审计记录块后,生成该数据库安全审计记录块的节点通过点对点网络将生成的数据库安全审计记录块广播到全网其他节点;
S4、接收数据库安全审计记录块的节点对数据库安全审计记录块进行有效性验证,将有效的数据库安全审计记录块接到数据库安全审计记录链上,并将有效的数据库安全审计记录块继续向邻近节点转发;
S5、对不同节点的数据库安全审计记录链进行一致性验证;
S6、在各个节点存储数据库安全审计记录链的完全备份,每个数据库安全审计记录块以平衡二叉树结构存储多条数据库安全审计记录。
进一步的,所述步骤S1中数据库安全审计记录的数据结构包括:
散列值,该数据库安全审计记录的唯一标识;
审计事件,用于标识事件代码;
时间戳,用于标识发生审计事件的时间;
主机名,用于标识执行审计事件的主机名称;
数据库服务器名,用于标识审计事件运行在其上的数据库服务器名称;
用户名,用于标识请求审计事件的用户登录名称;
附加字段,用于标识数据库、表等的任意字段,用于数据库安全审计分析。
进一步的,所述步骤S2中数据库安全审计记录块的具体生成方法如下:
S21、数据库安全审计记录块由数据库安全审计记录块头和数据库安全审计记录块体组成;数据库安全审计记录块头包含本数据库安全审计记录块的散列值、时间戳、平衡二叉树根、以及前一数据库安全审计记录块的散列值;数据库安全审计记录块体包含若干条数据库安全审计记录;
S22、将若干条数据库安全审计记录以一棵平衡二叉树的结构存储在数据库安全审计记录块体中,平衡二叉树的每个叶子都是一条数据库安全审计记录的散列值;
S23、递归地对每两个数据库安全审计记录的散列值进行散列运算,得到一个新的散列值,并将新的散列值存入平衡二叉树中,直到两两结合最终只有一个散列值,即平衡二叉树根为止。
进一步的,所述步骤S4中,数据库安全审计记录链是按数据库安全审计记录块产生时间的先后顺序,将数据库安全审计记录块从后向前有序连接起来的一种数据结构。
进一步的,所述步骤S4中数据库安全审计记录块的验证方法如下:
S41、采用非对称加密算法进行数据库安全审计记录块的所有权认证;非对称加密算法需要公开密钥和私有密钥两个密钥,即一个节点的公开密钥是对外公开的,私有密钥是保密的,其他节点不能通过公开密钥推算出对应的私有密钥;
S42、按照预定义的标准对新数据库安全审计记录块的时间戳、数据库安全审计记录结构进行校验。
进一步的,所述步骤S5中数据库安全审计记录链的验证方法如下:采用权益证明共识算法对不同节点的数据库安全审计记录链进行一致性验证。
相对于现有技术,本发明创造具有以下优势:
本发明创造的有益效果为:点对点网络中的多个节点共同存储数据库安全审计记录,每一个节点都存储完整的数据库安全审计记录链,都可以参与数据库安全审计记录块的有效性验证,对单个节点上数据库安全审计记录链的修改是无效的,且权益证明共识算法确保这个节点的错误会被其他节点共同修正;采用非对称加密算法进行数据库安全审计记录块的所有权认证,确保数据库安全审计记录块传输和访问的安全性。本发明创造通过加密机制和共识机制,在点对点网络中实现数据库安全审计记录的存储,保证数据库安全审计记录不可篡改、不可伪造。
附图说明
构成本发明创造的一部分的附图用来提供对本发明创造的进一步理解,本发明创造的示意性实施例及其说明用于解释本发明创造,并不构成对本发明创造的不当限定。在附图中:
图1为本发明创造实施例所述数据库安全审计记录的存储流程图;
图2为本发明创造实施例中数据库安全审计记录的数据结构示意图;
图3为本发明创造实施例中数据库安全审计记录链的结构示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明创造中的实施例及实施例中的特征可以相互组合。
在本发明创造的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明创造和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明创造的限制。此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明创造的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本发明创造的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以通过具体情况理解上述术语在本发明创造中的具体含义。
下面将参考附图并结合实施例来详细说明本发明创造。
本发明创造提出了一种数据库安全审计记录的存储方法,如图1至图3所示,用于保证数据库安全审计记录不可篡改、不可伪造,为了达到上述目的,本发明创造提供的技术方案是:采用点对点传输、共识算法、加密算法技术,实现数据库安全审计记录(以下简称“审计记录”)的存储。
(1)数据库安全审计记录块(以下简称“审计记录块”)是打包的若干条审计记录。数据库安全审计记录链(以下简称“审计记录链”)是按审计记录块产生时间的先后顺序,将审计记录块从后向前有序连接起来的一种数据结构。
(2)采用在两个节点之间直接进行网络通信的点对点协议,网络中无中心节点,每个节点都对等地传输审计记录块。
(3)采用非对称加密算法进行审计记录块的所有权认证,保证审计记录块传输的安全。
(4)每一节点都存有审计记录链的完全备份,以平衡二叉树结构存储审计记录。
(5)采用权益证明共识算法,对不同节点的审计记录链进行一致性验证。
具体的,一种数据库安全审计记录的存储方法,如图1所示,包括:
S1、当数据库服务器识别出可审计事件,生成一条审计记录时,用散列值标识该条审计记录,使每一条审计记录对应唯一的散列值;
S2、将多条审计记录打包成审计记录块;当审计记录条数达到上限时,或者,当达到打包时限时,打包成新的审计记录块;通过审计记录打包机制,可以有效降低点对点网络节点的加密、传播和验证处理的频度;
S3、采用在两个节点之间直接进行网络通信的点对点协议对审计记录块进行加密传输,并对审计记录块的所有权进行验证;在生成新审计记录块后,生成该审计记录块的节点通过点对点网络将生成的审计记录块广播到全网其他节点;在点对点网络中,没有中心节点,每个节点都是对等的,共同为全网提供服务,每个节点都可以作为服务端响应请求,也可以作为客户端使用其他节点提供的服务,每个节点都承担网络路由,具有验证审计记录块和传播审计记录块的功能;通过使每个节点都参与审计记录块的有效性验证,保证审计记录的不可篡改性;
S4、接收审计记录块的节点对审计记录块进行有效性验证,将有效的审计记录块接到审计记录链上,并将有效的审计记录块继续向邻近节点转发;具体的,审计记录链由连接起来的审计记录块组成;如果审计记录块有效,则将其接到审计记录链上,并继续向邻近节点转发;如果审计记录块无效,则立即废弃;
S5、对不同节点的审计记录链进行一致性验证;
S6、在各个节点存储审计记录链的完全备份,并以平衡二叉树结构存储多条审计记录。
所述步骤S1中审计记录的数据结构,如图2所示,包括:散列值,该审计记录的唯一标识;审计事件,用于标识事件代码;时间戳,用于标识发生审计事件的时间;主机名,用于标识执行审计事件的主机名称;数据库服务器名,用于标识审计事件运行在其上的数据库服务器名称;用户名,用于标识请求审计事件的用户登录名称;附加字段,用于标识数据库、表等的任意字段,用于数据库安全审计分析;采用上述审计记录数据结构,既利于将多条审计记录组织成审计记录块体,也利于收集数据库可审计事件的信息,开展数据库安全审计分析。
所述步骤S2中审计记录块的具体生成方法如下:
S21、一段时间后便会对多条审计记录进行打包;审计记录块由审计记录块头和审计记录块体组成;审计记录块头包含本审计记录块的散列值、时间戳、平衡二叉树根、以及前一审计记录块的散列值;审计记录块体包含若干条审计记录;
S22、将若干条审计记录以一棵平衡二叉树的结构存储在审计记录块体中,平衡二叉树的每个叶子都是一条审计记录的散列值;
S23、递归地对每两个审计记录的散列值进行散列运算,得到一个新的散列值,并将新的散列值存入平衡二叉树中,直到两两结合最终只有一个散列值(即平衡二叉树根)为止,平衡二叉树根就是这些审计记录的数字指纹;如果两棵平衡二叉树的根一致,则这两棵树必然相同;散列算法把任意长度的输入变换成固定长度的散列值输出,散列值的空间通常远小于输入的空间,且根据散列值无法反推出输入的内容;散列算法不仅利于提高存储和传输效率,也利于提高之后验证处理的效率。
所述步骤S4中,如图3所示,审计记录链是按审计记录块产生时间的先后顺序,将审计记录块从后向前有序连接起来的一种数据结构。
所述步骤S4中审计记录块的验证方法如下:
S41、采用非对称加密算法进行审计记录块的所有权认证;非对称加密算法需要公开密钥和私有密钥两个密钥,即一个节点的公开密钥是对外公开的,私有密钥是保密的,其他节点不能通过公开密钥推算出对应的私有密钥;例如,如果使用公开密钥加密明文,则只有对应的私有密钥才能解密密文;如果使用私有密钥加密明文,则只有对应的公开密钥才能解密密文;非对称加密算法可使两个节点在不安全的网络中交换信息,安全地达成信息的一致,提高了点对点网络传输的安全性。
S42、按照预定义的标准对新审计记录块的时间戳、审计记录结构进行校验。
所述步骤S5中审计记录链的验证方法如下:采用权益证明共识算法对不同节点的审计记录链进行一致性验证。共识机制就是在不同节点之间建立信任,获取权益的数学算法;在点对点网络中,每个节点都存有审计记录链的完全备份,采用权益证明共识算法对不同节点的审计记录链进行一致性验证;点对点网络中的所有节点将持有的权益放入共识机制中,成为验证者;权益证明共识算法在这些验证者中根据验证者投入权益的多少选中节点,使之有权利产生下一个审计记录块。
本发明创造的有益效果为:点对点网络中的多个节点共同存储审计记录,每一个节点都存储完整的审计记录链,都可以参与审计记录块的有效性验证,对单个节点上审计记录链的修改是无效的,且权益证明共识算法确保这个节点的错误会被其他节点共同修正;采用非对称加密算法进行审计记录块的所有权认证,确保审计记录块传输和访问的安全性。本发明创造通过加密机制和共识机制,在点对点网络中实现审计记录的存储,保证审计记录不可篡改、不可伪造。
以上所述仅为本发明创造的较佳实施例而已,并不用以限制本发明创造,凡在本发明创造的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明创造的保护范围之内。
Claims (6)
1.一种数据库安全审计记录的存储方法,其特征在于,包括:
S1、当数据库服务器识别出可审计事件,生成一条数据库安全审计记录时,用散列值标识该条数据库安全审计记录,使每一条数据库安全审计记录对应唯一的散列值;
S2、将多条数据库安全审计记录打包成数据库安全审计记录块;
S3、采用在两个节点之间直接进行网络通信的点对点协议对数据库安全审计记录块进行加密传输,并对数据库安全审计记录块的所有权进行验证;在生成新数据库安全审计记录块后,生成该数据库安全审计记录块的节点通过点对点网络将生成的数据库安全审计记录块广播到全网其他节点;
S4、接收数据库安全审计记录块的节点对数据库安全审计记录块进行有效性验证,将有效的数据库安全审计记录块接到数据库安全审计记录链上,并将有效的数据库安全审计记录块继续向邻近节点转发;
S5、对不同节点的数据库安全审计记录链进行一致性验证;
S6、在各个节点存储数据库安全审计记录链的完全备份,每个数据库安全审计记录块以平衡二叉树结构存储多条数据库安全审计记录。
2.根据权利要求1所述的一种数据库安全审计记录的存储方法,其特征在于:所述步骤S1中数据库安全审计记录的数据结构包括:
散列值,该数据库安全审计记录的唯一标识;
审计事件,用于标识事件代码;
时间戳,用于标识发生审计事件的时间;
主机名,用于标识执行审计事件的主机名称;
数据库服务器名,用于标识审计事件运行在其上的数据库服务器名称;
用户名,用于标识请求审计事件的用户登录名称;
附加字段,用于标识数据库、表等的任意字段,用于数据库安全审计分析。
3.根据权利要求1所述的一种数据库安全审计记录的存储方法,其特征在于:所述步骤S2中数据库安全审计记录块的具体生成方法如下:
S21、数据库安全审计记录块由数据库安全审计记录块头和数据库安全审计记录块体组成;数据库安全审计记录块头包含本数据库安全审计记录块的散列值、时间戳、平衡二叉树根、以及前一数据库安全审计记录块的散列值;数据库安全审计记录块体包含若干条数据库安全审计记录;
S22、将若干条数据库安全审计记录以一棵平衡二叉树的结构存储在数据库安全审计记录块体中,平衡二叉树的每个叶子都是一条数据库安全审计记录的散列值;
S23、递归地对每两个数据库安全审计记录的散列值进行散列运算,得到一个新的散列值,并将新的散列值存入平衡二叉树中,直到两两结合最终只有一个散列值,即平衡二叉树根为止。
4.根据权利要求1所述的一种数据库安全审计记录的存储方法,其特征在于:所述步骤S4中,数据库安全审计记录链是按数据库安全审计记录块产生时间的先后顺序,将数据库安全审计记录块从后向前有序连接起来的一种数据结构。
5.根据权利要求1所述的一种数据库安全审计记录的存储方法,其特征在于:所述步骤S4中数据库安全审计记录块的验证方法如下:
S41、采用非对称加密算法进行数据库安全审计记录块的所有权认证;非对称加密算法需要公开密钥和私有密钥两个密钥,即一个节点的公开密钥是对外公开的,私有密钥是保密的,其他节点不能通过公开密钥推算出对应的私有密钥;
S42、按照预定义的标准对新数据库安全审计记录块的时间戳、数据库安全审计记录结构进行校验。
6.根据权利要求1所述的一种数据库安全审计记录的存储方法,其特征在于:所述步骤S5中数据库安全审计记录链的验证方法如下:采用权益证明共识算法对不同节点的数据库安全审计记录链进行一致性验证。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911359752.6A CN111143837A (zh) | 2019-12-25 | 2019-12-25 | 一种数据库安全审计记录的存储方法 |
US16/853,799 US11394533B2 (en) | 2019-12-25 | 2020-04-21 | Method for storing database security audit records |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911359752.6A CN111143837A (zh) | 2019-12-25 | 2019-12-25 | 一种数据库安全审计记录的存储方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111143837A true CN111143837A (zh) | 2020-05-12 |
Family
ID=70520181
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911359752.6A Pending CN111143837A (zh) | 2019-12-25 | 2019-12-25 | 一种数据库安全审计记录的存储方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US11394533B2 (zh) |
CN (1) | CN111143837A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117978555A (zh) * | 2024-04-01 | 2024-05-03 | 天津南大通用数据技术股份有限公司 | 一种新石器时代考古学文化数据字典的存储方法及装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113378208B (zh) * | 2021-07-14 | 2023-05-12 | 湖北央中巨石信息技术有限公司 | 一种依规计算取值的共识方法及系统及装置及介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090196423A1 (en) * | 2008-02-01 | 2009-08-06 | Oracle International Corporation | Methods to defend against tampering of audit records |
CN108390891A (zh) * | 2018-03-28 | 2018-08-10 | 电子科技大学天府协同创新中心 | 基于私有区块链的信息保护方法 |
CN108446407A (zh) * | 2018-04-12 | 2018-08-24 | 北京百度网讯科技有限公司 | 基于区块链的数据库审计方法和装置 |
CN108833440A (zh) * | 2018-07-21 | 2018-11-16 | 杭州安恒信息技术股份有限公司 | 一种基于区块链的网络安全审计系统及网络安全审计方法 |
CN108833514A (zh) * | 2018-06-01 | 2018-11-16 | 众安信息技术服务有限公司 | 基于区块链的审计日志处理方法、装置和日志审计系统 |
CN108846133A (zh) * | 2018-07-04 | 2018-11-20 | 东北大学 | 基于b-m树的区块链存储结构、b-m树建立算法及查找算法 |
CN109325044A (zh) * | 2018-09-20 | 2019-02-12 | 快云信息科技有限公司 | 一种数据库的审计日志处理方法及相关装置 |
CN109886037A (zh) * | 2019-01-21 | 2019-06-14 | 江汉大学 | 一种基于区块链的电子证据审计方法 |
CN110287259A (zh) * | 2019-06-27 | 2019-09-27 | 浪潮卓数大数据产业发展有限公司 | 一种基于区块链的审计日志防篡改方法 |
CN110502927A (zh) * | 2019-08-27 | 2019-11-26 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及相关装置 |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7346929B1 (en) * | 1999-07-29 | 2008-03-18 | International Business Machines Corporation | Method and apparatus for auditing network security |
US20050004899A1 (en) * | 2003-04-29 | 2005-01-06 | Adrian Baldwin | Auditing method and service |
US7792757B2 (en) * | 2004-11-17 | 2010-09-07 | Iron Mountain Incorporated | Systems and methods for risk based information management |
US8732856B2 (en) * | 2004-12-30 | 2014-05-20 | Oracle International Corporation | Cross-domain security for data vault |
US8095962B2 (en) * | 2005-02-17 | 2012-01-10 | At&T Intellectual Property I, L.P. | Method and system of auditing databases for security compliance |
US8943332B2 (en) * | 2006-10-31 | 2015-01-27 | Hewlett-Packard Development Company, L.P. | Audit-log integrity using redactable signatures |
US8266439B2 (en) * | 2007-09-12 | 2012-09-11 | Hewlett-Packard Development Company, L.P. | Integrity verification of pseudonymized documents |
US8010494B2 (en) * | 2008-02-01 | 2011-08-30 | Oracle International Corporation | Methods to defend against tampering of audit records |
US20110307707A1 (en) * | 2009-03-25 | 2011-12-15 | Pacid Technologies, Llc | Method and system for securing a file |
WO2013126052A1 (en) * | 2012-02-22 | 2013-08-29 | Hewlett-Packard Development Company, L.P. | Computer infrastructure security management |
DE102012106132A1 (de) * | 2012-07-09 | 2014-05-08 | Reinhausen Plasma Gmbh | Verfahren und System zur Identifizierung und Diskriminierung von heterogenen Materialien zur Verarbeitung in einer Vorrichtung zur Produktbearbeitung |
TWI482047B (zh) * | 2012-11-06 | 2015-04-21 | Inst Information Industry | 資訊安全稽核管控系統、方法及其電腦可讀取紀錄媒體 |
US9742791B2 (en) * | 2012-12-18 | 2017-08-22 | Tinfoil Security, Inc. | Site independent methods for deriving contextually tailored security vulnerability corrections for hardening solution stacks |
US10097355B2 (en) * | 2016-04-04 | 2018-10-09 | International Business Machines Corporation | Tamper resistance of distributed hardware systems |
CN107480509A (zh) | 2017-09-22 | 2017-12-15 | 携程旅游网络技术(上海)有限公司 | 运维安全审计系统登录容器方法、系统、设备及存储介质 |
US11443310B2 (en) * | 2017-12-19 | 2022-09-13 | Paypal, Inc. | Encryption based shared architecture for content classification |
US11257314B2 (en) * | 2018-08-10 | 2022-02-22 | Scripps Safe, Inc. | Auditable security system for secure enclosures |
CN109885554A (zh) | 2018-12-20 | 2019-06-14 | 顺丰科技有限公司 | 数据库安全审计方法、系统及计算机可读存储介质 |
CN110266475A (zh) | 2019-05-20 | 2019-09-20 | 广东工业大学 | 一种云存储数据安全审计方法 |
US10897361B1 (en) * | 2019-09-04 | 2021-01-19 | Garantir LLC | Automated hash validation |
-
2019
- 2019-12-25 CN CN201911359752.6A patent/CN111143837A/zh active Pending
-
2020
- 2020-04-21 US US16/853,799 patent/US11394533B2/en active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090196423A1 (en) * | 2008-02-01 | 2009-08-06 | Oracle International Corporation | Methods to defend against tampering of audit records |
CN108390891A (zh) * | 2018-03-28 | 2018-08-10 | 电子科技大学天府协同创新中心 | 基于私有区块链的信息保护方法 |
CN108446407A (zh) * | 2018-04-12 | 2018-08-24 | 北京百度网讯科技有限公司 | 基于区块链的数据库审计方法和装置 |
CN108833514A (zh) * | 2018-06-01 | 2018-11-16 | 众安信息技术服务有限公司 | 基于区块链的审计日志处理方法、装置和日志审计系统 |
CN108846133A (zh) * | 2018-07-04 | 2018-11-20 | 东北大学 | 基于b-m树的区块链存储结构、b-m树建立算法及查找算法 |
CN108833440A (zh) * | 2018-07-21 | 2018-11-16 | 杭州安恒信息技术股份有限公司 | 一种基于区块链的网络安全审计系统及网络安全审计方法 |
CN109325044A (zh) * | 2018-09-20 | 2019-02-12 | 快云信息科技有限公司 | 一种数据库的审计日志处理方法及相关装置 |
CN109886037A (zh) * | 2019-01-21 | 2019-06-14 | 江汉大学 | 一种基于区块链的电子证据审计方法 |
CN110287259A (zh) * | 2019-06-27 | 2019-09-27 | 浪潮卓数大数据产业发展有限公司 | 一种基于区块链的审计日志防篡改方法 |
CN110502927A (zh) * | 2019-08-27 | 2019-11-26 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及相关装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117978555A (zh) * | 2024-04-01 | 2024-05-03 | 天津南大通用数据技术股份有限公司 | 一种新石器时代考古学文化数据字典的存储方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
US20210203487A1 (en) | 2021-07-01 |
US11394533B2 (en) | 2022-07-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Hossain et al. | FIF-IoT: A forensic investigation framework for IoT using a public digital ledger | |
CN108092982B (zh) | 一种基于联盟链的数据存储方法及系统 | |
CN106982203B (zh) | 基于区块链技术的鲁棒的atm网络系统及其信息处理方法 | |
EP3633916A1 (en) | Tamper-evident rewrite of a multiple-link cryptologic blockchain | |
CN102882847B (zh) | 基于sd密码卡的物联网健康医疗服务系统的安全通信方法 | |
CN109829326A (zh) | 基于区块链的跨域认证与公平审计去重云存储系统 | |
FR3079323A1 (fr) | Methode et systeme d'acces a des donnees anonymisees | |
CN105260640B (zh) | 一种基于指纹认证与gps的取证系统和方法 | |
US20080263645A1 (en) | Privacy identifier remediation | |
CN106411909A (zh) | 对移动中数据进行保护的系统和方法 | |
CN104079573A (zh) | 用于安全保护云中的数据的系统和方法 | |
CN106452737A (zh) | 用于安全多租户数据存储的系统和方法 | |
CN110191153A (zh) | 基于区块链的社交通信方法 | |
CN111916217A (zh) | 基于区块链的医疗数据管理方法、系统、存储介质及终端 | |
Naresh et al. | Blockchain‐based patient centric health care communication system | |
CN111143837A (zh) | 一种数据库安全审计记录的存储方法 | |
CN115883214A (zh) | 基于联盟链和cp-abe的电子医疗数据共享系统及方法 | |
CN110457928B (zh) | 基于区块链的医企协作互联网医院数据安全保障方法 | |
CN113688430A (zh) | 基于区块链的数据访问授权方法、装置、设备及存储介质 | |
CN109067702A (zh) | 一种实名制网络身份生成和保护的方法 | |
CN102332068A (zh) | 一种网上物流利用usbkey加密认证存储的系统 | |
Hicks et al. | Vams: Verifiable auditing of access to confidential data | |
AU2021103828A4 (en) | A novel system and auditing technique for cloud based digital forensic readiness with integrity and privacy preservation of health care data | |
Mahapatra et al. | A secure health management framework with anti-fraud healthcare insurance using blockchain | |
Ibrahim et al. | A secure framework for medical information exchange (MI-X) between healthcare providers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200512 |
|
RJ01 | Rejection of invention patent application after publication |