CN111444519B - 保护日志数据的完整性 - Google Patents
保护日志数据的完整性 Download PDFInfo
- Publication number
- CN111444519B CN111444519B CN202010047721.3A CN202010047721A CN111444519B CN 111444519 B CN111444519 B CN 111444519B CN 202010047721 A CN202010047721 A CN 202010047721A CN 111444519 B CN111444519 B CN 111444519B
- Authority
- CN
- China
- Prior art keywords
- log data
- logic circuit
- data element
- protected
- data elements
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
- G06F16/2379—Updates performed during online database operations; commit processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/76—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in application-specific integrated circuits [ASIC] or field-programmable devices, e.g. field-programmable gate arrays [FPGA] or programmable logic devices [PLD]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Quality & Reliability (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
公开了保护日志数据的完整性。本发明涉及一种用于保护日志数据的完整性的方法。日志数据包括与第一逻辑电路(21)的操作相关联的日志数据元素的序列。该方法(100)包括在远离第一逻辑电路(21)的第二逻辑电路(30)处接收(104)日志数据元素序列中的日志数据元素。基于日志数据元素和对于第一逻辑电路(21)来说未知的秘密信息,在第二逻辑电路(30)处生成受保护的日志数据元素(60)。
Description
技术领域
本发明的各种示例一般涉及保护日志数据的完整性。特别是,本申请涉及一种用于保护日志数据的完整性的方法和实现该方法的计算机系统。
背景技术
日志数据——其也被称为日志消息或日志条目——可以在系统上生成并且记录系统的行为。系统可以包括例如计算机系统或网络,例如计算机网络。为了检测对系统的恶意攻击,系统可以被提供有入侵检测系统(IDS)。例如,计算机系统可以被提供有基于主机的入侵检测系统(HIDS),并且网络可以被提供有网络入侵检测系统(NIDS)。IDS是针对恶意活动或策略违背监控网络或(多个)系统的设备或软件应用。任何恶意活动或违背可以被报告给管理员或者可以被记录在日志数据中。特别是,在对系统攻击或入侵的情况下,日志数据可以提供关于攻击或入侵是如何执行的信息。安装在计算机系统上的HIDS可以收集关于计算机系统的操作状态的信息,以便借助于该信息来检测攻击。
因此,IDS是主动监控计算机系统或计算机网络并且目的在于检测攻击的系统。一般而言,IDS可以使用两种不同的技术用于进行攻击检测:基于签名的攻击检测和基于异常的攻击检测。
基于签名的攻击检测使用存储在数据库中的攻击模式(例如指示可能的攻击的特殊日志消息)来监控活动系统。IDS通过将来自其数据库的攻击签名与活动系统行为进行比较来检测攻击。如果存储的签名与当前的系统行为匹配,则IDS将断定攻击已经发生。
基于异常的攻击检测试图基于系统行为上的改变来检测攻击。这意味着IDS在第一步骤中学习/分析系统的正常行为,并且在第二步骤中将系统的活动行为与先前学习的正常行为进行比较。如果当前行为背离先前学习的正常行为,则这可以被解释为异常并且可以是对系统的攻击的指示。可以使用统计方法或机器学习算法来作出关于系统是否已经背离正常行为的决定。为了实现这两种类型的IDS (HIDS,NIDS),可以首先创建当前系统行为的日志数据,并且然后检查该日志数据。日志数据可以记录系统行为性质(诸如系统调用、数据访问、用户登录、失败的调用、活动的网络连接等)并且为其提供证明。
攻击计算机系统并且获得掌控系统或内核的管理员特权的攻击者可能然后改变日志数据。当日志数据记录攻击的证据并且被攻击者删除时,不可能证明攻击者在系统上的过去的和未来的活动。例如,Linux操作系统运行在处理器上。此外,HIDS可以被安装在该操作系统上,其是在用户空间中执行的或者被锚定在内核中并且监控/存储来自处理的系统调用。HIDS可以被从用户空间配置有对应的特权。如果攻击者希望攻击系统,则攻击者可能例如利用合法功能的漏洞,并且然后在系统上安装并且执行恶意软件(malware)。如果恶意软件被安装在系统上,则下一步骤是获得对内核的控制(例如,通过内核根工具箱(rootkit))并且禁用HIDS。恶意软件还可能获得用户空间区域中的完全特权(即,根权限(root right))并且重新配置HIDS。更进一步地,攻击者可能操纵由HIDS生成的日志数据,并且因此防止恶意软件的存在和活动被记入日志。最后,恶意软件可以改变过去的日志数据并且因此将其自身的攻击痕迹从日志数据删除。
日志操纵的问题可以通过若干措施来解决。例如,内核可以提供特殊的日志保护,例如,可以仅向管理员授权对日志数据的访问,或者可以完全阻止某些关键功能以便限制攻击者对系统的自由度。还存在文件完整性监控方法,但是如果攻击者具有管理员权限或完全控制内核,则所有这些措施都失败。
更进一步地,与受信平台模块(TPM)有关的远程鉴证服务(RAS)是已知的。远程鉴证服务可以被用于支持"测量启动"技术。根据"测量启动"技术,从固件直到启动开始驱动器的每个启动组件可以形成下一个启动组件的加密校验和。校验和被存储在受信平台模块(TPM)的特殊平台配置寄存器(PCR)中。PCR因此包含针对每个启动组件的对设备状态(未修改/修改)的基准。之后可以对在加载期间是否有(多个)组件被改变/未被改变以及哪个(哪些)组件被改变/未被改变进行跟踪。然后可以利用存储在TPM中的私钥对PCR值进行签名。然后将签名和PCR值传递到在其处可以对它们进行验证的另一实例。该实例因此可以作出关于系统的已开始的软件组件的完整性的声明,并且然后例如启用对服务的访问。然而,这种机制不适合于确保日志数据的完整性或者另外检测在运行时对设备的恶意行为。
发明内容
因此,存在针对改进的保护日志数据的完整性的技术的需要。具体地,存在针对克服或减轻上面标识的缺点和限制中的至少一些的技术的需要。
通过独立权利要求的特征来满足该需要。从属权利要求的特征限定了各实施例。
根据示例,提供了一种用于保护日志数据的完整性的方法。日志数据包括与第一逻辑电路的操作相关联的日志数据元素(例如日志消息或日志条目)的序列。第一逻辑电路可以包括例如在其上执行操作系统(例如Linux或Unix)和应用程序的处理器。根据该方法,在远离第一逻辑电路的第二逻辑电路处,接收日志数据元素序列中的日志数据元素。第二逻辑电路可以包括专用硬件,例如耦合到第一逻辑电路并且被配置为执行在此描述的方法步骤的现场可编程门阵列(FPGA)或专用集成电路(ASIC)。基于日志数据元素和秘密信息,第二逻辑电路生成受保护的日志数据元素。对于第一逻辑电路来说秘密信息是未知的。更进一步地,第二逻辑电路可以被配置以使得对于第一逻辑电路而言不可能读出或另外访问第二逻辑电路的秘密信息。术语"秘密信息"如在此所使用的那样可以涉及例如在日志保护中使用的秘密数据。秘密信息可以包括例如用于加密日志数据的密钥。附加地或者作为替换,秘密信息可以被用于生成用于日志数据的签名,例如对称地使用密钥散列函数(HMAC)或非对称地使用。
更进一步地,根据实施例,受保护的日志数据元素被从第二逻辑电路传送到第一逻辑电路。
根据各种示例,受保护的日志数据元素还可以被从第二逻辑电路直接传送到远程设备,例如网络设备或存储设备,而不是通过第一逻辑电路进行传送。
例如,IDS可以针对在第一逻辑电路上执行的每个活动生成对应的日志数据元素。这些日志数据元素可以例如将如下记入日志:处理已经执行了哪个系统调用、哪些参数被与系统调用一起传递、或者哪个文件被打开或关闭。每个日志数据元素被传送到第二逻辑电路,并且第二逻辑电路通过使用秘密信息加密每个日志数据元素来保护每个日志数据元素的完整性。由于在第一逻辑电路处秘密信息是不可用的,因此攻击者不能解码或解密并且修改日志数据元素。因此,用以修改日志数据元素的任何尝试将是在之后基于秘密信息而可检测的。
根据各种示例,第二逻辑电路包括可编程加密处理单元。例如,第二逻辑电路可以包括硬件可编程处理单元,例如FPGA。例如,可以使用在FPGA上实现的FPGA-微控制器来实现散列机制。该微控制器可以是使用硬件描述语言来编程的,微控制器的逻辑(固件)可以包括软件。
更进一步地,第一逻辑电路可以包括中央处理单元。
第一逻辑电路和第二逻辑电路可以形成计算机系统。
例如,第一逻辑电路和第二逻辑电路可以被实现为嵌入式系统。嵌入式系统可以包括充当第一逻辑电路的中央处理单元(CPU)和充当第二逻辑电路的集成可编程逻辑。可以使用FPGA片上系统(FPGA-SoC)作为可编程逻辑来实现这样的嵌入式系统。这样的FPGA-SoC可以由可编程集成电路(FPGA区域)和一个或多个处理器(例如,CPU核)以及诸如存储器、总线等的其它组件构成。FPGA-SoC提供在处理器上执行操作系统(例如Unix或Linux)或裸金属软件的可能性并且提供让该处理器与集成的FPGA逻辑通信并且经由某些接口交换命令/数据的可能性。处理器和FPGA部分可以被集成在同一芯片上。FPGA可以被配置有数字电路并且因此直接以硬件来实现功能。FPGA的数字电路可以是使用硬件描述语言(例如VHDL、Verilog)实现的并且可以被由用户编程、作为开放源项目购买或者以完成的硬件结构(例如IP核)的形式购买。总之,FPGA-SoC的优点是如下的可能性:将某些功能作为优化的硬件电路进行外购(outsource);在并未物理地暴露通信接口的情况下将这些功能与操作系统高效连接;以及在逻辑上独立于操作系统地操作以硬件形式外购的功能。更进一步地,外部地连接到CPU ——即远离CPU——的FPGA或外部地连接到CPU的专门制造的芯片(例如ASIC)也可以被用于实现第一逻辑电路和第二逻辑电路。外购的硬件功能独立于CPU使得能够值得信赖地操作FPGA侧上的硬件,其安全地存储加密密钥材料并且如所意图的那样执行加密操作,即使在受到攻击的操作系统的情况下。
根据实施例,日志数据元素是跟随日志数据元素序列中的在前日志数据元素的当前日志数据元素。为了生成受保护的日志数据元素,至少基于当前日志数据元素的日志数据和针对在前日志数据元素生成的先前散列值来生成当前散列值。当前散列值和先前散列值被包括在受保护的日志数据元素中。
由于每个日志数据元素包括与在前日志数据元素的散列值有关的信息,并且每个日志数据元素可以包括与其自身的散列有关的信息,并且每个日志数据元素可以被附加地加密或者可以包括签名,因此对日志数据元素的每个修改或删除是可检测的。因此,攻击者不能模糊或隐藏记入在日志数据中的先前的痕迹。
更进一步地,方法可以包括在第二逻辑电路处基于随机生成的会话标识符生成初始的受保护的日志数据元素。初始的受保护的日志数据元素可以在系统初始化之后充当用于日志数据元素序列中的第一日志数据元素的在前日志数据元素。
初始的受保护的日志数据元素可以被从第二逻辑电路传送到第一逻辑电路。
因此,提供了用于序列日志数据元素的锚。由于随机会话标识符对于第一逻辑电路来说也可以是未知的,因此作用于第一逻辑电路上的攻击者不能操纵散列链。因此,受保护的日志数据元素的序列被保护。
在各种示例中,可以附加地基于时间信息——例如与全局时间或本地时间同步的时间信息或非同步的时间信息(例如,非同步的逻辑时钟)——在第二逻辑电路处生成受保护的日志数据元素。
更进一步地,方法可以包括在接收到当前日志数据元素时使计数器值递增。当生成受保护的日志数据元素时,基于计数器值生成当前散列值。
计数器值对于第一逻辑电路来说也可以是未知的。因此,计数器值可以贡献于如下的优点:由作用于第一逻辑电路上的攻击者对日志元素的任何操纵可以是可检测的。
更进一步地,根据实施例,日志数据元素可以不是在第二逻辑电路处被单独地处置而是可以按日志数据元素的块、组或集合来处置。例如,在第二逻辑电路处接收日志数据元素序列中的多个日志数据元素。多个日志数据元素可以包括上面提到的单个日志数据元素。在该示例中,为了生成受保护的日志数据元素,基于多个日志数据元素和对于第一逻辑电路来说未知的秘密信息来生成受保护的日志数据元素。通过在单个事务内处置多个日志数据元素,可以减少在第一逻辑电路和第二逻辑电路之间的通信的往返时间。
根据各种示例,将指示从第二逻辑电路传送到第一逻辑电路。指示可以是与受保护的日志数据元素一起传送的或者可以是在分离的消息中传送的。指示指令第一逻辑电路把受保护的日志数据元素转发到被定位为远离于第一逻辑电路的远程鉴证服务节点。
指示可以指令第一逻辑电路把受保护的日志数据元素转发到远程设备,例如远程服务器、远程网络设备或外围组件,其可以被布置在与第一逻辑电路和第二逻辑电路相同的硬件板上。
在进一步的示例中,第二逻辑电路可以直接把受保护的日志数据元素发送到远程鉴证服务或远程设备,而不通过第一逻辑电路转发。
远程鉴证服务节点可以存储所接收的受保护的日志数据元素,并且可以保护它们免遭被由来自第一逻辑电路的命令删除。因此,对日志数据元素的修改或删除不仅可以是可检测的,而且修改或删除还可以是被完全禁止的。
根据进一步的实施例,方法包括同步在第二逻辑电路与远程鉴证服务节点之间的时间基准。在第二逻辑电路处附加地基于在时间基准中定义的时间信息生成受保护的日志数据元素。时间信息可以包括例如包括时间和日期的时间戳或者关于时间上的预定义的基准点的时间单位。
远程鉴证服务节点可以提供可靠的时间基准。通过使第二逻辑电路与远程鉴证服务节点的时间基准同步,可以启用受保护的日志数据元素的可靠的时间戳。由于受保护的日志数据元素不能被攻击者修改,因此提供了包括攻击的精确定时的攻击痕迹。
根据方法的另一实施例,第二逻辑电路确定来自远程鉴证服务节点的、指示在远程鉴证服务节点处接收到受保护的日志数据元素的响应是否是在预定义的时间窗口内接收到的。在确定为来自远程鉴证服务节点的响应不是在预定义的时间窗口内接收到的时,第二逻辑电路可以停止生成进一步的受保护的日志数据元素。
在进一步的实施例中,第二逻辑电路确定来自远程鉴证服务节点的、指示在远程鉴证服务节点处接收到受保护的日志数据元素的响应是否是在预定义的数目的受保护的日志数据元素内接收到的。在确定为来自远程鉴证服务节点的响应不是在预定义的数目的受保护的日志数据元素内接收到的时,第二逻辑电路可以停止生成进一步的受保护的日志数据元素,并且可以执行进一步的必要步骤,诸如生成警报。这在其中建立同步时间是不可行的情形中可能是特别有用的。
附加地或者作为替换,在确定为来自远程鉴证服务节点的响应不是在预定义的时间窗口内接收到的或不是在预定义的数目的受保护的日志数据元素内接收到的时,第二逻辑电路可以传送攻击警报指示。因此,基于来自远程鉴证服务节点的缺失响应,第二逻辑电路可以确定第一逻辑电路的受攻击的状态,并且可以因此发起对应的措施,如发送警报通知或停止处理可能被操纵的进一步的日志数据元素。
为了生成受保护的日志数据元素,第二逻辑电路可以使用例如对称加密方案或非对称加密方案和秘密信息来加密日志数据元素的日志数据。附加地或者作为替换,对称的或非对称的签名可以是基于秘密信息生成的并且被包括在受保护的日志数据元素中。
根据本申请的另一方面,提供了一种计算机系统。计算机系统包括第一逻辑电路和远离第一逻辑电路的第二逻辑电路。计算机系统被配置为把与第一逻辑电路的操作相关联的日志数据元素序列中的日志数据元素从第一逻辑电路传送到第二逻辑电路。计算机系统更进一步地被配置为在第二逻辑电路处基于日志数据元素和对于第一逻辑电路来说未知的秘密信息来生成受保护的日志数据元素,并且把受保护的日志数据元素从第二逻辑电路传送到第一逻辑电路。
计算机系统可以被配置为执行上面描述的方法或上面描述的实施例或示例中的任何一个。因此,计算机系统还包括上面描述的优点。
例如,第一逻辑电路和第二逻辑电路可以被实现在如下的系统上:该系统包括作为第一逻辑电路的处理器和作为第二逻辑电路的在处理器外部或远离处理器的现场可编程门阵列(FPGA)。系统可以被实现为片上系统,其包括作为处理器的中央处理单元(CPU)和FPGA部分。在其它示例中,系统可以包括布置在同一板上的专用CPU芯片和专用FPPGA芯片,该板例如是连接这两个芯片的印刷电路板(PCB)。
进一步地,根据本申请,提供了一种包括程序代码的计算机程序产品。程序代码可以由包括第一逻辑电路和远离第一逻辑电路的第二逻辑电路的计算机系统执行。执行程序代码引起计算机系统执行用于保护日志数据的完整性的方法。日志数据包括与第一逻辑电路的操作相关联的日志数据元素的序列。方法包括在第二逻辑电路处接收日志数据元素序列中的日志数据元素,并且在第二逻辑电路处基于日志数据元素和对于第一逻辑电路来说未知的秘密信息来生成受保护的日志数据元素。
要理解上面提到的特征和还要在下面解释的那些特征不仅可以在所指示的相应的组合中使用而且还可以在不脱离本发明的范围的情况下在其它组合中或者以隔离方式使用。
附图说明
图1示意性地图示根据各种示例的计算机系统的组件的整体。
图2示意性地图示根据各种示例的多个受保护的日志数据元素。
图3示意性地图示根据各种示例的计算机系统的组件的整体。
图4是图示根据各种示例的用于保护日志数据的完整性的方法的方法步骤的处理流程图。
具体实施方式
下面将参照随附附图详细描述本发明的实施例。要理解以下对实施例的描述不是在限制的意义上取得的。不意图由后文描述的实施例或者由附图来限制本发明的范围,所述实施例和附图仅被当作是说明性的。在各个附图中的相同的参考符号指代相似或相同的组件。
附图被看作为示意性的表示,并且附图中图示的元素不一定是按比例示出的。相反,各种元素被表示以使得它们的功能和一般目的对于本领域技术人员来说变得显而易见。附图中示出的或者在此描述的功能块、设备、组件或其它物理或功能单元之间的任何连接或耦合也可以是通过间接连接或耦合来实现的。组件之间的耦合也可以是通过无线连接建立的。功能块可以是以硬件、固件、软件或它们的组合来实现的。
如在下面描述那样,根据各种示例,通过值得信赖的硬件安全锚来对于操纵以加密方式确保日志消息。值得信赖的硬件安全锚可以被实现在专用的硬件中,所述硬件例如为FPGA或ASIC。
图1示出了计算机系统20的示例,该计算机系统20例如为在FPGA-SoC (现场可编程门阵列片上系统)上实现的嵌入式系统。
计算机系统20包括第一逻辑电路21,第一逻辑电路21包括例如中央处理单元(CPU),其执行软件,软件例如为操作系统22。操作系统22可以包括例如Linux系统或Unix系统。操作系统22可以包括内核23和用于执行应用的用户空间24。更进一步地,中央处理单元可以执行基于主机的入侵检测系统(HIDS) 25。在下文中,第一逻辑电路21还将被称为处理器区域21。处理器区域21可以包括进一步的组件,例如存储器和输入/输出接口。
计算机系统20更进一步地包括第二逻辑电路30。第二逻辑电路30可以由FPGA实现。因此,在下文中,第二逻辑电路30还将被称为FPGA区域30。FPGA区域30包括输入模块31、输出模块32和硬件安全模块(HSM) 33。
HIDS 25可以针对用户空间24和/或内核23中的每个处理活动生成对应的日志消息,该对应的日志消息在下文中将被称为日志数据元素。这些日志数据元素可以例如将如下记入日志:进行包括对应的参数的系统调用的处理、或者打开文件的处理、或者输入以及输出数据的处理。
由HIDS 25生成的每个日志数据元素被经由输入模块31通信至HSM 33。HSM 33通过基于日志数据元素和对于第一逻辑电路21来说未知的秘密信息生成受保护的日志数据元素来保护日志数据元素。例如,HSM 33可以使用密钥散列消息认证码(keyed-hashmessage authentication code,HMAC)技术来确定用于日志数据元素的数据的HMAC值。受保护的日志数据元素被经由输出模块32发送回第一逻辑电路21,并且可以被存储在第一逻辑电路21的存储器中。为了避免攻击者使攻击痕迹模糊,受保护的日志数据元素可以被配置以使得对于攻击者而言不可能在不留下已经取消受保护的日志数据元素的指示的情况下取消受保护的日志数据元素。附加地或者作为替换,受保护的日志数据元素可以被存储在攻击者无法对其访问的存储器中。作为结果,受保护的日志数据元素是安全的并且受到保护而免遭攻击者攻击。
受保护的日志数据元素可以被存储在计算机系统20上,特别是存储在处理器区域21中。在这种情况下,攻击者可以访问其中存储有受保护的日志数据元素的存储器,并且对于攻击者而言取消或移除受保护的日志数据元素中的一个或多个可以是可能的。
附加地或作为替换,受保护的日志数据元素也可以被从HSM 33传送到远程设备,例如网络设备或存储设备,而不是被传送到第一逻辑电路21。
为了确保对一个或多个受保护的日志数据元素的移除是可检测的,可以使用散列链来证明日志数据元素序列的完整性。例如,在散列链中,当前日志数据元素的散列值可以被与先前日志数据元素的散列值组合。特别是,先前日志数据元素可以是直接在前的日志数据元素。例如,当使用HMAC技术时,可以计算用于当前日志数据元素的HMAC值,其包括当前日志数据元素的数据和先前日志数据元素——特别是直接在前的日志数据元素——的HMAC值。
图2示出了该原理。在第二逻辑电路30处生成包括数据字段41和HMAC值42的初始的受保护的日志数据元素40。数据字段41可以包括例如由第二逻辑电路30随机地生成的会话标识符。基于数据字段41计算HMAC值42。因此,初始的受保护的日志数据元素40表示用于随后的受保护的日志数据元素50、60和70的锚。初始的受保护的日志数据元素40可以被经由输出模块32传送到第一逻辑电路21以用于被存储在第一逻辑电路21的日志存储器中。
当第二逻辑电路30接收到日志数据元素时,HSM 33通过将HMAC值42作为先前HMAC值52增添到所接收到的日志数据元素的日志数据51来创建对应的受保护的日志数据元素50。然后,HSM 33基于日志数据51和先前HMAC值52来计算HMAC值53。所计算的HMAC值53被附加地增添到日志数据51和先前HMAC值52。附加地,可以利用例如对称加密方案或非对称加密方案来加密整个受保护的日志数据元素50或受保护的日志数据元素50的部分。最后,可以将所创建的受保护的日志数据元素50传送到第一逻辑电路21。
当第二逻辑电路30接收到进一步的日志数据元素时,HSM 33通过将HMAC值53作为先前HMAC值62增添到所接收到的进一步的日志数据元素的日志数据61来创建对应的进一步的受保护的日志数据元素60。然后,HSM 33基于日志数据61和先前HMAC值62来计算HMAC值63。所计算的HMAC值63被增添到日志数据61和先前HMAC值62。附加地,可以利用例如对称加密方案或非对称加密方案来加密整个受保护的日志数据元素60或受保护的日志数据元素60的部分。可以将这样创建的进一步的受保护的日志数据元素60传送到第一逻辑电路21。
针对每个接收到的进一步的日志数据元素,HSM 33创建对应的受保护的日志数据元素,例如受保护的日志数据元素70,其包括日志数据71、先前HMAC值72和当前HMAC值73的。
可以基于散列值的组合来验证受保护的日志数据元素50、60、70的序列的完整性。在攻击者想要修改或取消特定的受保护的日志数据元素的情况下,攻击者必须修改随后的受保护的日志数据元素的所有散列值。然而,对于攻击者而言这是不可能的,因为必要的加密密钥仅在HSM33中可用而在第一逻辑电路21中不可用。
输入模块31和输出模块32的每个可以被实现为先进先出(FIFO)模块。
例如,输入模块31和输出模块32可以被实现为FPGA区域中的环形缓冲区,并且可以被经由特定的存储器区域连接到内核23和HIDS 25。所生成的日志数据元素被由HIDS 25存储在环形缓冲区中,并且该日志数据元素在环形缓冲区中被作为受保护的日志数据元素而从HSM 33返回。
当生成初始的受保护的日志数据元素40时,可以附加地初始化计数器值。在接收到新的日志数据元素时,HSM 33可以使计数器值递增,并且可以在计算散列值HMAC时包括计数器值。
总之,在第一步骤中,例如在FPGA-SoC 20复位之后,初始化散列链。该初始化包括传送第一受保护的日志数据元素40作为用于散列链的锚。在FPGA-SOC 20的操作中,处理器区域21和FPGA区域30之间的通信包括由传送新日志数据元素的HIDS 25发起的请求—响应过程。在HSM 33处接收到请求之后,HSM 33生成新的受保护的日志数据元素,其包括所接收的日志数据元素的日志数据、会话标识符和递增的计数器值(可选)、以及先前的受保护的日志数据元素的散列值和基于先前提到的数据(日志数据、会话标识符(可选)、计数器值(可选)和先前的散列值)计算的散列值。
HIDS 25接收受保护的日志数据元素40、50、60、70,并且将所接收的受保护的日志数据元素存储为散列链的新条目。HSM 33可以存储会话标识符、最新的受保护的日志数据元素的散列值以及递增的计数器值。由于HSM 33与操作系统22物理地分离,因此攻击者不能访问用于确定散列密钥的秘密信息(例如加密密钥),并且攻击者不能访问如会话标识符、计数器值和先前的散列值的协议参数,使得攻击者不能修改受保护的日志数据元素并且散列链被保护。
为了改善性能并且减少在HIDS 25与HSM 33之间的通信,可以将日志数据从受保护的日志数据元素排除,因为日志数据已经存在于HIDS 25中。因此,在HSM 33处接收到日志数据元素之后,HSM 33生成新的受保护的日志数据元素,该新的受保护的日志数据元素包括先前的受保护的日志数据元素的散列值以及基于日志数据、会话标识符(可选)、递增的计数器值(可选)和/或时间(可选)以及先前的散列值而计算的散列值。新的受保护的日志数据元素可以被传送到HIDS 25 (不包括日志数据),并且HIDS 25可以将所接收到的受保护的日志数据元素分配给对应的日志数据。
当由管理员或用于分析日志数据的工具来分析受保护的日志数据元素时,容易证明日志数据是否是完整的,并且可以容易地识别出修改。
图3示出了计算机系统20的进一步的示例,其也可以被实现为在FPGA-SoC上实现的嵌入式系统。图3中示出的计算机系统20包括与图1中示出的计算机系统20本质上相同的组件21至25以及30至33,并且因此将不重复这些组件的描述。
图3附加地示出了数据通信网络80(例如因特网)以及远程鉴证服务节点81。数据通信网络80使得能够进行在远程鉴证服务节点81和HIDS 25之间的数据通信。
由HIDS 25生成的每个日志数据元素被经由输入模块31通信至HSM 33。HSM 33基于接收到的日志数据元素和对于第一逻辑电路21来说未知的秘密信息来生成对应的受保护的日志数据元素。HSM 33可以在接收到的日志数据上使用密钥散列消息认证码(HMAC)来确定用于生成受保护的日志数据元素的HMAC值。受保护的日志数据元素被经由输出模块32发送到HIDS 25。更进一步地,HSM 33可以向HIDS 25传送如下的指示:其指示受保护的日志数据元素要被转发到远程鉴证服务节点81。作为替换,HIDS可以被配置以使得其在没有来自HSM 33的专用指令的情况下将所接收的受保护的日志数据元素转发到远程鉴证服务节点81。HIDS 25经由数据通信网络80将该受保护的日志数据元素转发到远程鉴证服务节点81。
HIDS 25可以经由输入模块31将日志数据元素的块传送到HSM 33,日志数据元素的块包括例如预定义的数目的日志数据元素(例如100个日志数据元素)。HSM 33可以基于所接收到的日志数据元素的块和秘密信息来生成对应的受保护的日志数据元素的块。传送日志数据元素的块而不是单个日志数据元素可以由于减少的往返次数而贡献于使通信加速。然而,可以以与上面关于图1和图2描述的相同的方式来执行对日志数据元素的块或单个日志数据元素进行保护。
远程鉴证服务节点81存储所接收的受保护的日志数据元素。远程鉴证服务节点81仅允许HSM 33添加、删除或修改数据。为了实现这一点,HSM和在远程鉴证服务节点81上提供的远程鉴证服务(RAS)可以在初始化(所谓的自举(bootstrapping))期间协商秘密信息和协议参数,以使得HSM 33和RAS可以彼此认证。秘密信息可以包括加密密钥,例如用于对称或非对称加密。在初始化期间,第二逻辑电路30与远程鉴证服务节点81之间的时间基准也可以被同步。在经由HIDS 25向远程鉴证服务节点81传送受保护的日志数据元素之后,HSM 33可以等待来自RAS的确认。当在HSM 33处没有在预定义的时间窗口内接收到来自RAS的确认时,HSM可以假定攻击者操纵HSM 33与RAS之间的通信,并且HSM 33可以停止生成进一步的受保护的日志数据元素。附加地,HSM 33可以向管理员传送攻击警报指示。为了保护HSM 33和RAS之间的通信免遭重放攻击,可以利用加密现时(nonce)技术。
上面提到的自举可以包括例如时间高效的流损失容忍认证(TESLA)方法以用于通过使用对称加密来实现非对称加密的性质。例如,根据TESLA方法,在第一步骤中交换根密钥和加密参数。这些参用于将加密的日志数据元素传送到RAS并且接收被加密的日志数据元素是否是未经改动地接收的响应或者是否检测到异常的响应。作为替换,可以基于以证书为基础的认证来协商加密参数。
由于日志数据被存储在远程鉴证服务节点81中,因此作用于第一逻辑电路21上的攻击者不能模糊攻击的痕迹。RAS可以使用日志数据以用于例如通过使用机器学习算法来识别攻击。
如上面提到的那样,输入模块31可以存储预定义的数目的日志数据元素,例如100个日志数据元素的块,并且一旦达到预定义的数目,HSM 33就可以对所有这些日志数据元素进行签名。预定义的数目可以高于或低于100,例如为50或几百,特别是可以分离地处置每个日志数据元素。可以使用对称加密来实现保护日志数据的完整性的高性能。
代替把受保护的日志数据元素存储在远程鉴证服务节点81中,可以将受保护的日志数据元素存储在外部存储介质上,外部存储介质例如为SD卡或外部只写硬盘。
图4总结了用于保护日志数据的完整性的方法100的步骤。方法100包括方法步骤101至124。由虚线框指示可选的方法步骤。
可选的步骤101至103涉及计算机系统20的初始化阶段。这些步骤是可选的,因为这样的初始化可以以其它方式实现,例如通过实现对应的默认参数以及同步到全局时钟。在步骤101中,在第二逻辑电路30和远程鉴证服务节点81之间同步时间基准,在步骤102中,在第二逻辑电路30处,基于随机生成的会话标识符生成初始的受保护的日志数据元素40。初始的受保护的日志数据元素40充当用于受保护的日志数据元素50、60、70的散列链的在前日志数据元素。初始的受保护的日志数据元素40可以在步骤103中被从第二逻辑电路30传送到第一逻辑电路21。附加地,可以初始化用于对在HSM 33处接收的日志数据元素进行计数的计数器。
在步骤104中,在第一逻辑电路21中生成日志数据元素并且日志数据元素被由HIDS 25经由输入模块31传送到第二逻辑电路30的HSM 33。如在上面提到那样,日志数据元素可以是以块的形式(例如以100个日志数据元素的块的形式)从HIDS 25传送到HSM 33的。在接收到日志数据元素或日志数据元素的块时,HSM 33可以使计数器递增。
在步骤105中,HSM 33基于所接收的日志数据元素和对于第一逻辑电路21来说未知的秘密信息来生成受保护的日志数据元素50、60、70。可以使用基于密钥的散列化(hashing)(例如密钥散列消息认证码(HMAC)) 或者使用无密钥的散列化来执行散列化。秘密信息可以包括散列化算法的密钥、参数和/或算法标识符。例如,HSM 33可以在步骤120中基于所接收的日志数据元素的日志数据并且基于针对在前日志数据元素生成的先前的散列值来生成当前散列值。在步骤121中,可以将当前散列值以及先前散列值包括在受保护的日志数据元素50、60、70中。更进一步地,在步骤122中,可以附加地基于计数器值生成当前散列值。在步骤123中,可以附加地基于例如通过将时间戳包括在受保护的日志数据元素50、60、70中而在时间基准中定义的时间戳来生成受保护的日志数据元素。附加地,在步骤124中,可以使用对称加密方案或使用非对称加密方案对包括在受保护的日志数据元素50、60、70中的日志数据进行加密。
在步骤106中,将这样生成的受保护的日志数据元素50、60、70从第二逻辑电路30传送到第一逻辑电路21。可选地,可以将如下的指示传送到第一逻辑电路21:该指示指令第一逻辑电路21把受保护的日志数据元素50、60、70转发到远程鉴证服务节点81。当接收到该指示时,HIDS 25可以把受保护的日志数据元素50、60、70转发到远程鉴证服务节点81。
在步骤107中,HSM 33可以确定是否在预定义的时间窗口内(例如在几百毫秒内)接收到来自远程鉴证服务节点81的响应。该响应可以指示远程鉴证服务节点81已经接收到受保护的日志数据元素50、60、70。在步骤108中,当确定确实是在预定的时间窗口内接收到响应时,HSM 33可以在步骤104处继续。然而,如果没有在预定的时间窗口内接收到响应,则HSM 33可以在步骤110中停止生成进一步的受保护的日志数据元素,并且可以在步骤111中传送攻击警报指示。
在FPGA区域30中使用HSM 33允许日志消息在攻击者没有机会操纵它们的情况下被加密地保护。这解决了以下问题:在攻击系统之后,攻击者不再能够隐藏过去的和现在的活动,并且因此可以被由管理员、HIDS或RAS过程中的实例识别。
这可以解决被越来越多地暴露于攻击的IoT设备或网络工业控制系统(ICS) (一般为嵌入式系统)的主要问题。这些攻击可能是如此复杂,以致于在攻击之后或在攻击期间没有痕迹可见。其原因在于攻击者在相应的系统上重新配置安全机制以便隐藏他们自己的痕迹。上面描述的方法和系统确保了日志消息的完整性,并且使得对于攻击者而言实质上更难以隐藏或模糊其存在或攻击痕迹。系统管理员可以总是看到是否发生了攻击以及哪个漏洞已经被利用。利用关于图3描述的方法和系统,可以保证系统管理员以更高水平的确定性来查看是否以及如何发生了攻击,因为受保护的日志数据元素不能在没有检测的情况下被容易地删除。关于图1描述的方法和系统可以提供攻击已经发生的证据。然而,由于攻击者可能在某些情形下删除关键的日志消息,因此有可能不能跟踪攻击。
以前,日志消息被创建并且存储在系统上或者被间歇地转发到在其处执行分析和存储的中央实例。攻击者可以在攻击系统之后操纵过去的和未来的日志消息以便隐藏它们的存在的事实是主要问题。通过利用上面描述的方法和系统,可以确保日志消息的完整性。因此,即使攻击者完全控制操作系统,攻击者也不能容易地隐藏攻击痕迹。因此,如果例如嵌入式系统已经被攻击,则可以对该攻击进行证明的可能性被显著地增加,因为日志消息的真实性可以总是受信任的。
虽然已经关于某些优选的实施例示出和描述了本发明,但是本领域技术人员在阅读和理解本说明书时将想到等同物和修改。本发明包括所有这样的等同物和修改,并且仅由所附权利要求的范围来限制。
Claims (12)
1.一种用于保护日志数据的完整性的方法,日志数据包括与第一逻辑电路(21)的操作相关联的日志数据元素的序列,所述方法包括:
-在远离第一逻辑电路(21)的第二逻辑电路(30)处接收(104)日志数据元素序列中的日志数据元素,
-在第二逻辑电路(30)处基于日志数据元素和对于第一逻辑电路(21)来说未知的秘密信息来生成(105)受保护的日志数据元素(50、60、70),
-向第一逻辑电路(21)传送指示,该指示指令第一逻辑电路(21)将受保护的日志数据元素(50、60、70)转发到远离第一逻辑电路(21)的鉴证服务节点(81),
-同步(101)第二逻辑电路(30)和远程鉴证服务节点(81)之间的时间基准,以及
-在第二逻辑电路(30)处附加地基于在时间基准中定义的时间信息来生成(123)受保护的日志数据元素(50、60、70)。
2.根据权利要求1所述的方法,其中第二逻辑电路(30)包括可编程加密处理单元(33)。
3.根据权利要求1或权利要求2所述的方法,其中第一逻辑电路(21)包括中央处理单元,其中第一逻辑电路(21)和第二逻辑电路(30)形成计算机系统(20)。
4.根据权利要求1至3中的任何一项所述的方法,其中日志数据元素是跟随日志数据元素序列中的在前日志数据元素的当前日志数据元素,其中生成受保护的日志数据元素(50、60、70)包括:
-至少基于当前日志数据元素的日志数据(51、61、71)和针对在前日志数据元素生成的先前散列值(52、62、72)来生成(120)当前散列值(53、63、73),以及
-将当前散列值(53、63、73)和先前散列值(52、62、72)包括(121)在受保护的日志数据元素(50、60、70)中。
5.根据权利要求4所述的方法,进一步包括:
-基于随机生成的会话标识符(41)生成(102)初始的受保护的日志数据元素(40),初始的受保护的日志数据元素(40)在系统初始化之后充当用于日志数据元素序列中的第一日志数据元素的在前日志数据元素。
6.根据权利要求4所述的方法,进一步包括:
-在接收到当前日志数据元素时使计数器值递增,其中生成受保护的日志数据元素(50、60、70)包括进一步基于计数器值来生成(122)当前散列值(53、63、73)。
7.根据权利要求1至3中的任何一项所述的方法,包括:
-接收日志数据元素序列中的多个日志数据元素,所述多个日志数据元素包括日志数据元素,
其中,生成受保护的日志数据元素(50、60、70)包括:
-基于所述多个日志数据元素和对于第一逻辑电路(21)来说未知的秘密信息来生成受保护的日志数据元素(50、60、70)。
8.根据权利要求1所述的方法,包括:
-确定(107)来自远程鉴证服务节点(81)的、指示在远程鉴证服务节点(81)处接收到受保护的日志数据元素(50、60、70)的响应是否是在预定义的时间窗口内接收到的,以及
-在确定为(108)来自远程鉴证服务节点(81)的响应不是在预定义的时间窗口内接收到的时,执行如下中的至少之一:
-停止生成(110)进一步的受保护的日志数据元素,
-传送(111)攻击警报指示。
9.根据权利要求1至3中的任何一项所述的方法,其中,生成受保护的日志数据元素包括如下中的至少之一:
-基于秘密信息使用(124)对称加密方案,以及
-基于秘密信息使用(124)非对称加密方案。
10.一种计算机系统,包括:
-第一逻辑电路(21),以及
-远离第一逻辑电路(21)的第二逻辑电路(30),
其中,所述计算机系统(20)被配置为把与第一逻辑电路(21)的操作相关联的日志数据元素序列中的日志数据元素从第一逻辑电路(21)传送到第二逻辑电路(30),
在第二逻辑电路(30)处基于日志数据元素和对于第一逻辑电路(21)来说未知的秘密信息来生成受保护的日志数据元素(50、60、70),
-向第一逻辑电路(21)传送指示,该指示指令第一逻辑电路(21)将受保护的日志数据元素(50、60、70)转发到远离第一逻辑电路(21)的鉴证服务节点(81),
-同步(101)第二逻辑电路(30)和远程鉴证服务节点(81)之间的时间基准,以及
-在第二逻辑电路(30)处附加地基于在时间基准中定义的时间信息来生成(123)受保护的日志数据元素(50、60、70)。
11.根据权利要求10所述的系统,其中第一逻辑电路(21)和第二逻辑电路(30)被实现在如下的系统上:该系统包括作为第一逻辑电路(21)的处理器和作为第二逻辑电路(30)的在处理器外部的现场可编程门阵列。
12.一种包括程序代码的计算机可读介质,所述程序代码可以由包括第一逻辑电路(21)和远离第一逻辑电路(21)的第二逻辑电路(30)的计算机系统(20)执行,其中执行所述程序代码引起所述计算机系统(20)执行根据权利要求1至9中的任何一项所述的用于保护日志数据的完整性的方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP19152043.6A EP3683712B1 (en) | 2019-01-16 | 2019-01-16 | Protecting integrity of log data |
EP19152043.6 | 2019-01-16 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111444519A CN111444519A (zh) | 2020-07-24 |
CN111444519B true CN111444519B (zh) | 2023-08-22 |
Family
ID=65041568
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010047721.3A Active CN111444519B (zh) | 2019-01-16 | 2020-01-16 | 保护日志数据的完整性 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11403428B2 (zh) |
EP (1) | EP3683712B1 (zh) |
JP (1) | JP2020126586A (zh) |
KR (1) | KR102332467B1 (zh) |
CN (1) | CN111444519B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11520898B2 (en) * | 2019-03-28 | 2022-12-06 | EMC IP Holding Company LLC | Intrusion detection |
CN113485661B (zh) * | 2021-07-01 | 2023-08-22 | 深圳市同泰怡信息技术有限公司 | 四路服务器及其输出日志信息的方法 |
US20230259616A1 (en) * | 2022-02-16 | 2023-08-17 | Kyndryl, Inc. | Log tampering prevention for high availability environments |
CN118103820A (zh) | 2022-09-27 | 2024-05-28 | 松下汽车电子系统株式会社 | 信息处理装置、信息处理装置的控制方法以及程序 |
WO2024070001A1 (ja) * | 2022-09-27 | 2024-04-04 | パナソニックオートモーティブシステムズ株式会社 | 情報処理装置、情報処理装置の制御方法及びプログラム |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030027896A (ko) * | 2000-06-01 | 2003-04-07 | 타오 그룹 리미티드 | 의사 난수 발생기 |
CN101039186A (zh) * | 2007-05-08 | 2007-09-19 | 中国科学院软件研究所 | 系统日志的安全审计方法 |
JP2007310579A (ja) * | 2006-05-17 | 2007-11-29 | Fujitsu Ltd | 文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法 |
WO2008010006A1 (en) * | 2006-07-14 | 2008-01-24 | Kinamik Data Integrity, S.L. | Method and system of generating immutable audit logs |
CN101420296A (zh) * | 2007-10-24 | 2009-04-29 | 日立环球储存科技荷兰有限公司 | 内容数据管理系统和方法 |
CN103824069A (zh) * | 2014-03-19 | 2014-05-28 | 北京邮电大学 | 一种基于多主机日志关联的入侵检测方法 |
CN104392185A (zh) * | 2014-12-01 | 2015-03-04 | 公安部第三研究所 | 在云环境日志取证中实现数据完整性验证的方法 |
CN105988911A (zh) * | 2015-03-16 | 2016-10-05 | 国际商业机器公司 | 在系统日志中建立信任链 |
CN108171078A (zh) * | 2017-12-27 | 2018-06-15 | 中国信息安全测评中心 | 一种面向第三方的云平台测评系统的数据保全方法和装置 |
CN108322306A (zh) * | 2018-03-17 | 2018-07-24 | 北京工业大学 | 一种基于可信第三方的面向隐私保护的云平台可信日志审计方法 |
CN108804523A (zh) * | 2018-04-27 | 2018-11-13 | 腾讯科技(深圳)有限公司 | 数据同步方法、系统及计算机可读存储介质 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006093832A (ja) * | 2004-09-21 | 2006-04-06 | Mitsubishi Electric Corp | 侵入検知システム及び侵入検知プログラム並びに侵入検知情報分析装置及び侵入検知情報分析プログラム |
US8006094B2 (en) | 2007-02-21 | 2011-08-23 | Ricoh Co., Ltd. | Trustworthy timestamps and certifiable clocks using logs linked by cryptographic hashes |
JP2011130012A (ja) | 2009-12-15 | 2011-06-30 | Sony Corp | アクターノード、センサノード、担当区画変更方法、パラメータ変更方法、プログラムおよび情報処理システム |
US9009125B2 (en) * | 2010-10-13 | 2015-04-14 | International Business Machiness Corporation | Creating and maintaining order of a log stream |
JP6063321B2 (ja) * | 2013-03-27 | 2017-01-18 | 株式会社富士通エフサス | サーバ装置およびハッシュ値処理方法 |
JP6088882B2 (ja) * | 2013-03-27 | 2017-03-01 | 株式会社富士通エフサス | 制御装置および制御方法 |
US9338013B2 (en) * | 2013-12-30 | 2016-05-10 | Palantir Technologies Inc. | Verifiable redactable audit log |
WO2015141628A1 (ja) * | 2014-03-19 | 2015-09-24 | 日本電信電話株式会社 | Url選定方法、url選定システム、url選定装置及びurl選定プログラム |
US10474554B2 (en) * | 2016-11-18 | 2019-11-12 | Vmware, Inc. | Immutable file storage |
KR101953444B1 (ko) * | 2016-12-26 | 2019-05-17 | 포항공과대학교 산학협력단 | 하드웨어 수준 보안을 보장하는 가상화 기반 소프트웨어 보안 방법 및 이를 이용하는 장치 |
US11443033B2 (en) * | 2017-01-24 | 2022-09-13 | Microsoft Technology Licensing, Llc | Abstract enclave identity |
JP6629773B2 (ja) * | 2017-02-10 | 2020-01-15 | 日本電信電話株式会社 | 機器リスト作成システム、及び機器リスト作成方法 |
US10460130B1 (en) * | 2017-09-18 | 2019-10-29 | Amazon Technologies, Inc. | Mechanism to protect a distributed replicated state machine |
-
2019
- 2019-01-16 EP EP19152043.6A patent/EP3683712B1/en active Active
- 2019-11-21 JP JP2019210454A patent/JP2020126586A/ja active Pending
-
2020
- 2020-01-14 KR KR1020200004884A patent/KR102332467B1/ko active IP Right Grant
- 2020-01-15 US US16/743,056 patent/US11403428B2/en active Active
- 2020-01-16 CN CN202010047721.3A patent/CN111444519B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030027896A (ko) * | 2000-06-01 | 2003-04-07 | 타오 그룹 리미티드 | 의사 난수 발생기 |
JP2007310579A (ja) * | 2006-05-17 | 2007-11-29 | Fujitsu Ltd | 文書アクセス管理プログラム、文書アクセス管理装置および文書アクセス管理方法 |
WO2008010006A1 (en) * | 2006-07-14 | 2008-01-24 | Kinamik Data Integrity, S.L. | Method and system of generating immutable audit logs |
CN101039186A (zh) * | 2007-05-08 | 2007-09-19 | 中国科学院软件研究所 | 系统日志的安全审计方法 |
CN101420296A (zh) * | 2007-10-24 | 2009-04-29 | 日立环球储存科技荷兰有限公司 | 内容数据管理系统和方法 |
CN103824069A (zh) * | 2014-03-19 | 2014-05-28 | 北京邮电大学 | 一种基于多主机日志关联的入侵检测方法 |
CN104392185A (zh) * | 2014-12-01 | 2015-03-04 | 公安部第三研究所 | 在云环境日志取证中实现数据完整性验证的方法 |
CN105988911A (zh) * | 2015-03-16 | 2016-10-05 | 国际商业机器公司 | 在系统日志中建立信任链 |
CN108171078A (zh) * | 2017-12-27 | 2018-06-15 | 中国信息安全测评中心 | 一种面向第三方的云平台测评系统的数据保全方法和装置 |
CN108322306A (zh) * | 2018-03-17 | 2018-07-24 | 北京工业大学 | 一种基于可信第三方的面向隐私保护的云平台可信日志审计方法 |
CN108804523A (zh) * | 2018-04-27 | 2018-11-13 | 腾讯科技(深圳)有限公司 | 数据同步方法、系统及计算机可读存储介质 |
Non-Patent Citations (1)
Title |
---|
基于TCM的日志防护技术研究;程帅帅;《中国优秀硕士学位论文全文数据库信息科技辑》;20150315(第3期);第I138-93页 * |
Also Published As
Publication number | Publication date |
---|---|
US20200226292A1 (en) | 2020-07-16 |
EP3683712B1 (en) | 2021-10-20 |
EP3683712A1 (en) | 2020-07-22 |
JP2020126586A (ja) | 2020-08-20 |
KR102332467B1 (ko) | 2021-11-30 |
US11403428B2 (en) | 2022-08-02 |
CN111444519A (zh) | 2020-07-24 |
KR20200089230A (ko) | 2020-07-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111444519B (zh) | 保护日志数据的完整性 | |
AU2020203503B2 (en) | Automated runtime detection of malware | |
US10484365B2 (en) | Space-time separated and jointly evolving relationship-based network access and data protection system | |
ES2907777T3 (es) | Dispositivo de almacenamiento seguro | |
RU2738021C2 (ru) | Система и способы для дешифрования сетевого трафика в виртуализированной среде | |
US7743413B2 (en) | Client apparatus, server apparatus and authority control method | |
US9836611B1 (en) | Verifying the integrity of a computing platform | |
Xu et al. | Data-provenance verification for secure hosts | |
US10250390B1 (en) | Data health assurance using private proof of authority | |
JP7185098B2 (ja) | コンピューティングデバイス間の不正なファームウェアまたはソフトウェアアップグレードの受動的な監視および防止 | |
Bates et al. | Leveraging USB to Establish Host Identity Using Commodity Devices. | |
US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
Streit et al. | Secure boot from non-volatile memory for programmable SoC architectures | |
Shila et al. | FIDES: Enhancing trust in reconfigurable based hardware systems | |
JP6635029B2 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
Shila et al. | Unraveling the security puzzle: A distributed framework to build trust in FPGAs | |
EP3637717B1 (en) | System and method for establishing trust of a network device | |
García Aguilar et al. | A Threat Model Analysis of a Mobile Agent-based system on Raspberry Pi | |
WO2017019551A1 (en) | Systems and methods for providing multi-level network security | |
JP2023519910A (ja) | 特に自動車におけるデータの異常を処理するための方法 | |
Capillon et al. | Combining security assurance and high performance in hostile environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |