CN114826657B - 基于区块链的安全审计系统及审计方法 - Google Patents

基于区块链的安全审计系统及审计方法 Download PDF

Info

Publication number
CN114826657B
CN114826657B CN202210241024.0A CN202210241024A CN114826657B CN 114826657 B CN114826657 B CN 114826657B CN 202210241024 A CN202210241024 A CN 202210241024A CN 114826657 B CN114826657 B CN 114826657B
Authority
CN
China
Prior art keywords
audit
node
log data
nodes
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210241024.0A
Other languages
English (en)
Other versions
CN114826657A (zh
Inventor
王健
顾成杰
王其勇
孙松儿
颜弘宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN202210241024.0A priority Critical patent/CN114826657B/zh
Publication of CN114826657A publication Critical patent/CN114826657A/zh
Application granted granted Critical
Publication of CN114826657B publication Critical patent/CN114826657B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供了一种基于区块链的安全审计系统及审计方法。该系统包括多个数据存储节点、多个审计节点,其中:每个数据存储节点,用于收集所对接对象的日志数据并存储到区块链中,所述对象至少包括云服务商、云租户、用户和监管方中的一个;每个审计节点,用于当接收到所对接对象的审计服务请求时,从所述数据存储节点中获取所需要的日志数据;并对获取到的日志数据进行分析处理。由于云服务商、云租户、监管方和用户的数据都存储到区块链上,从而实现了各方的审计数据的透明监管,而且通过在区块链上存储各方业务处理过程中所产生的数据,有效保证了数据的安全性。

Description

基于区块链的安全审计系统及审计方法
技术领域
本申请涉及网络安全技术领域,尤其涉及一种基于区块链的安全审计系统及审计方法。
背景技术
当前,互联网加速向各领域渗透,越来越多的组织机构将自身业务迁移到云服务平台,利用云服务平台进行业务运营管理和提供商业服务已经逐渐成为主流趋势。然而由于云租户不能够完全掌握云服务平台中所有资源,而且云服务商也仅审计内部操作行为数据,即:云服务商和云租户根据服务模式,进行安全责任分担,云服务商和云租户在各自所控制的资源范围内分别进行安全审计,云服务商的审计数据一般情况下不会实时和主动披露给云租户,云租户的审计数据一般情况下也不会提供给云服务商和云租户的客户,均供自己内部管理使用。
但是目前的上述云服务平台中,由于云服务商的审计数据为内部操作行为数据,一般不会提供给云租户,导致云租户无法对云服务商所掌控那部分资源的操作行为进行审计,而这部分审计数据只能用于云服务商对员工、运维人员等内部审计,缺乏对云服务平台的行为监管,云租户的客户更无法对云租户和云服务平台进行行为监管,导致云服务商与云租户,云租户与客户之间缺乏安全信任,尤其在发生安全事件时,由于审计数据无法共享而导致可能存在责任无法界定的情况。
因此,如何实现云服务平台上云服务商、云租户、云租户的客户等各方的审计数据的透明监管是值得考虑的技术问题之一。
发明内容
有鉴于此,本申请提供一种基于区块链的安全审计系统及审计方法,用以实现云服务平台上云服务商、云租户等各方的审计数据的透明监管。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种基于区块链的安全审计系统,包括:多个数据存储节点、多个审计节点,其中:
每个数据存储节点,用于收集所对接对象的日志数据并存储到区块链中,所述对象至少包括云服务商、云租户、用户和监管方中的一个;
每个审计节点,当接收到所对接对象的审计服务请求时,从所述数据存储节点中获取所需要的日志数据;并对获取到的日志数据进行分析处理。
根据本申请的第二方面,提供一种基于区块链的安全审计方法,应用于基于区块链的安全审计系统中的数据存储节点中,所述基于区块链的安全审计系统还包括审计节点;以及,所述方法,包括:
收集所对接对象的日志数据,所述对象至少包括云服务商、云租户、用户和监管方中的一个;
将所述日志数据存储到区块链中,以使所述审计节点当接收到所对接对象的审计服务请求时,从对应的数据存储节点中获取所需要的日志数据;并对获取到的日志数据进行分析处理。
根据本申请的第三方面,提供一种基于区块链的安全审计方法,应用于基于区块链的安全审计系统中的审计节点中,所述基于区块链的安全审计系统还包括数据存储节点;以及,所述方法,包括:
当接收到所对接对象的审计服务请求时,从对应的数据存储节点中获取所需要的日志数据,所述对象至少包括云服务商、云租户、用户和监管方中的一个;
对获取到的日志数据进行分析处理。
本申请实施例的有益效果:
本申请实施例提供的基于区块链的安全审计系统及审计方法,每个数据存储节点用于收集所对接对象的日志数据并存储到区块链中,所述对象包括云服务商、云租户、用户和监管方中的一个;每个审计节点用于当接收到所对接对象的审计服务请求时,从所述数据存储节点中获取所需要的日志数据;并对获取到的日志数据进行分析处理。由此,由于云服务商、云租户、监管方和用户的数据都存储到区块链上,从而实现了各方的审计数据的透明监管,而且通过在区块链上存储各方业务处理过程中所产生的数据,有效保证了数据的安全性。
附图说明
图1是本申请实施例提供的一种基于区块链的安全审计系统的结构示意图;
图2是本申请实施例提供的另一种基于区块链的安全审计系统的结构示意图;
图3是本申请实施例提供的一种基于区块链的安全审计方法的流程示意图;
图4是本申请实施例提供的另一种基于区块链的安全审计方法的流程示意图;
图5是本申请实施例提供的一种电子设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在介绍本申请提供的基于区块链的安全审计系统和方法之前,先对本申请涉及的技术术语进行介绍:
云服务商:云服务的提供者,包括与云租户建立商业关系或没有商业关系的云服务提供者;
云租户:租用或使用云计算资源的客户,包括但不限于计费的和不计费的云服务的机构和个人;
用户:云租户服务的客户,云租户应用服务的使用者和消费者。
监管方:云服务和云租户的监管方,依法对云服务商提供的服务或者云租户提供关键业务进行监管的部门。
下面对本申请提供的基于区块链的安全审计系统进行详细地说明。
参见图1,图1是本申请提供的一种基于区块链的安全审计系统的结构示意图,该安全审计系统包括多个数据存储节点和多个审计节点,其中:
每个数据存储节点,用于收集所对接对象的日志数据,并同步到区块链存储,所述对象至少包括云服务商、云租户、用户和监管方中的一个;
每个审计节点,用于当接收到所对接对象的审计服务请求时,从所述数据存储节点中获取所需要的日志数据;并对获取到的日志数据进行分析处理。
需要说明的是,上述数据存储节点和审计节点为区块链上的节点;而且不同的对象对应不同的数据存储节点,此外,同一对象可以对应至少一个数据存储节点,例如,云服务商、云租户、用户和监管方可以分别对应多个数据存储节点等等,参考图2所示。同理,不同的对象对应不同的审计节点,此外,同一对象可以对应至少一个审计节点,例如,云服务商、云租户、用户和监管方可以分别对应多个审计节点等等,也请参考图2所示。
此外,每个数据存储节点,还用于收集其它数据存储节点、审计节点收集的日志数据,并将日志数据组织为区块链数据块,并同步到区块链中,当接收到所对接对象的审计服务请求时,从所述数据存储节点中提供所需要的日志数据,所述对象至少包括云服务商、云租户,用户和监管部门中的一个;
具体地,云服务商对应的审计节点用于负责将云服务商所掌握的资源范围的操作行为进行安全审计,并将得到的审计结果也称审计数据,由数据存储节点上链存储,即同步到区块链上。同时,云服务商的数据存储节点还用于将云服务商提供云服务过程中产生的日志数据同步到区块链上进行存储;然后安全审计系统将上传到区块链上的数据(日志数据、审计结果)作为一项服务提供给云租户、监管方或用户,云租户可根据自身业务安全需要决定是否需要该项服务。可选地,实际应用中,该项服务可以但不限于以付费方式提供。
此外,云租户将在云服商提供的云平台上建立自己业务系统,并开展业务运营。在业务运营过程中,云租户对应的审计节点用于将所掌握资源范围的操作行为进行安全审计,然后由云租户对应的数据存储节点将自身的审计数据上链存储,即存储到区块链上;同时,云租户的数据存储节点还用于将业务运行过程中所产生的日志数据同步到区块链存储。然后安全审计系统将上链数据(日志数据和/或审计结果)作为一项服务提供给用户、监管方或云服务商。而用户、监管方或云服务商可根据自身业务安全需要决定是否需要该项服务。实际应用中,该项服务可以但不限于以付费方式提供。
同理,用户使用和消费云租户提供的应用服务,用户可能是云租户应用系统的最终消费者,也可能依赖于云租户提供业务系统或应用平台开展业务,用户可根据自身业务的安全需要决定是否需要通过获取区块链上的安全审计数据来监控云租户和云服务商的各类操作行为。可选的,上述云服务商或云租户提供的服务,用户可以但不限于以付费方式获取该服务。
监管方根据国家法律法规政策对云服务商、云租户、用户业务进行监管,监管方需依法行使监管职权,并在法律授予职责权限范围内获取区块链上的安全审计数据。需要说明的是,潜在的监管方可能包括:公安系统、司法系统、市场管理机构等等。
此外,上述数据存储节点,也称完备节点,用于完备区块链功能。该节点参与区块链多方审计运算,用于将审计数据上链存储。例如,在本实施例中,数据存储节点将需要完成日志数据和链上审计数据的存储。需要明确指出的是,实际应用中,基于区块链的安全审计系统一般需要有一定数量的完备节点,以同时参与多方审计运算,以提供一定程度的信任保证,该类节点可根据区块链系统的实际需要进行设计。
此外,所述数据存储节点,具体用于将所述审计节点所需要的日志数据按照组织成第一日志数据包;对所述第一日志数据包进行签名处理,将签名处理后的第一日志数据包发送给所述审计节点;
所述审计节点,具体用于从获取到的第一日志数据包中解析出所述日志数据,并进行分析处理。
此外,上述审计节点,还用于收集所对接对象的日志数据,将日志数据发送给数据存储节点,以由数据存储节点将日志数据组织到区块链数据块中,并同步到区块链中。
具体地,审计节点主要用于数据审计分析,该类节点可以收集日志数据,但是由于不具备日志数据上链存储的功能,因此,审计节点需要将自己的审计日志审计发送给数据存储节点,由数据存储节点进行同步上链存储,但可同步安全审计系统上的所有审计数据在本地进行存储、审计和分析,同时作为安全审计系统的参与节点。云租户、监管方和用户可根据自身安全和监管的需求部署该类节点。实际应用中,云服务商、云租户、监管方、用户均可以根据自身安全需求申请部署审计节点,系统通过各审计节点独立性、多方参与性以及区块链自身机制实现数据可信审计。
由于云服务商、云租户、监管方和用户的数据都存储到区块链上,从而实现了各方的审计数据的透明监管,而且通过在区块链上存储各方业务处理过程中所产生的数据,有效保证了数据的安全性。
可选地,上述审计节点,还用于将收集处理产生的审计日志数据组织成第二日志数据包;并对所述第二日志数据包进行签名处理;将签名处理后的第二日志数据包发送给对应的数据存储节点;
所述对应的数据存储节点,用于对所述第二日志数据包进行签名校验,将校验通过的第二日志数据包组织成数据区块,并上传到所述区块链上。
可选地,上述审计节点,还用于收集对接对象的日志数据,将收集的日志数据组织为第三日志数据包,对第三日志数据包进行签名处理,将签名处理后的第三日志数据包发送给数据存储节点;所对接对象至少包括云服务商、云租户,用户和监管部门中的一个。
上述数据存储节点,具体用于将第三日志数据包进行签名校验,将校验通过的第三日志数据包组织成数据区块并同步到区块链中。
具体地,数据存储节点对自身所掌控资源范围内日志数据进行收集,并将日志数据组织为第三日志数据包,对第三日志数据包进行签名处理,将签名处理后第三日志数据包发送给其它数据存储节点,同时收集其它数据节点的其他日志数据组织的其他日志数据包,并对收集日志数据进行签名校验,将校验通过的第三日志数据包或其他日志数据包组织成数据区块,并上传到所述区块链上。
需要说明的是,上述数据存储节点可以但不限于为云服务器、云租户、监管方任一方所对应的数据存储节点。同理,上述审计节点可以为有需要审计需求的节点,可以但不限于为云服务器、云租户、监管方任一方所对应的数据存储节点。例如,当云租户方有审计需求时,就可以向自身的数据存储节点和/或云服务器对应的数据存储节点等获取所需要的日志数据,然后执行对应的审计操作。这样一来,既可以实现各方数据的透明监管,而且也实现了数据审计过程中,可以获取到各方审计相关的数据,保证云服务商、云租户之间建立可靠的安全信任关系,以促进云计算行业的发展。
具体地,当云服务商、云租户、监管方至少一方的审计节点完成审计日志数据收集处理后,该审计节点由于不具备数据上链存储功能,为了实现审计结果的上链存储,审计节点需要将审计日志数据组织成第二日志数据包,为了保证数据的安全性,审计节点还会对第二日志数据包进行签名处理,然后将签名处理了的第二日志数据包发送给数据存储节点。这样,数据存储节点会将收集到的各个审计节点反馈的第二日志数据包进行签名校验,然后将校验通过的有效数据(审计日志数据)组织成数据区块,并提交到区块链上。
需要说明的是,基于区块链的安全审计系统中所有数据存储节点是在共识机制下完成数据块的上链存储。
可选地,基于上述任一实施例,本实施例提供的基于区块链的安全审计系统,还包括:轻量节点,其中:
轻量节点,用于对满足设定条件的日志数据进行分析处理。
具体地,轻量节点当接收到设定对象的审计服务请求时,从所述数据存储节点中获取所需要的日志数据,该日志数据即为满足设定条件的日志数据;并对获取到的日志数据进行分析处理,上述设定对象至少包括设定云服务商、设定云租户、设定用户和监管部门中的至少一个;
具体地,轻量节点主要用于数据审计分析,该类节点不具备收集审计日志数据并将审计日志数据上链存储的功能,但该轻量节点可根据安全需求对特定范围内数据进行审计分析,上述设定条件可以根据实际情况进行配置,例如所要处理的日志数据的数据量不高于设定数据量等等,或者上述设定条件为设定业务所产生的日志数据。需要说明的是,云租户、监管方和用户可根据自身安全和监管的需求部署该类节点。
可选地,基于上述实施例,本实施例中将日志数据的可信审计作为一项服务提供给所有潜在的目标对象,这些目标对象包括不限定于云租户、监管方、用户等,在此基础上,本实施例提供的基于区块链的安全审计系统,还包括:数据权限网关和管理节点,其中:
数据权限网关,用于在接收到目标对象的审计服务申请时,对所述审计服务申请进行认证;在认证通过后,向目标对象发送认证通过的认证结果;其中,所述目标对象为云租户、监管方和用户中的至少一个;
具体地,当目标对象期望接入安全审计系统时,会向就权限网关发起审计服务申请,此时数据权限网关在接收到目标对象的审计服务节点申请接入安全审计系统,以获取相应审计服务这一申请时,会对审计服务申请进行认证;在认证通过后,则会向目标对象发送认证通过的认证结果,以指示目标对象允许接入安全审计系统,进而获取对应的审计服务。
而管理节点,用于接收所述目标对象的节点创建请求,所述节点创建请求包括所述服务权限凭证;根据所述节点创建请求中的服务权限凭证,创建对应的审计服务节点。
具体地,该基于区块链的安全审计系可以包括多个数据权限网关,当每个数据权限网关确认目标对象联网接入该安全审计系统时,对其服务凭证进行身份认证和访问权限控制,以得到认证结果,控制审计服务内容。
此外,上述管理节点,还用于在接收到目标对象的审计服务注册申请时,对所述审计服务申请进行审核;
在审核通过后,颁发相应的服务权限凭证,在服务权限凭证有效期内,对服务权限凭证进行管理,其中,所述目标对象为云服务商、云租户、用户和监管方中的至少一个;
在此基础上,上述管理节点,还用于接收所述目标对象的节点创建请求,所述节点创建请求包括所述权限凭证;根据所述节点创建请求中的权限凭证,创建对应的审计服务节点。
具体地,管理节点用于对接入安全审计系统的节点进行审核和授权,不同类别的节点通过管理节点获取相应的服务权限凭证,凭借服务权限凭证各节点才可以接入本实施例提供的基于区块链的安全审计系统,并根据服务权限凭证授予的权限获取相应的审计功能。具体来说,上述云服务商、云租户、监管方和用户中至少一个目标对象需要在安全审计系统创建安全服务节点时,会向管理节点发送审计服务注册申请;管理节点会对该审计服务申请进行审核;待审核通过后,会颁发相应的服务权限凭证,目标对象凭借服务权限凭证接入安全审计系统,获取审计数据。
进一步,当目标对象向管理节点发起审计服务注册申请,管理节点需要获得服务相关方的可信签名审核,审核通过后方可授权提供审计服务,具体可根据审计服务注册申请的节点类型和内容事先确定审核原则;
上述服务相关方包括不限于日志数据主要贡献者,安全服务节点日志数据交互对象,监管方等,也即现有数据存储节点、审计节点的实际参与方。
上述安全服务节点可以但不限于为上述数据存储节点、审计节点、轻量节点中任一个。
需要说明的是,不同的目标对象其所要创建的安全服务节点的服务权限可以相同也可以不同,具体会根据所下发的服务权限凭证来的。而服务权限凭证可以根据各对象的实际业务处理范围来定。
此外,本实施例提供的基于区块链的安全审计系统中,一般会包括初始最低限度稳定的数据存储节点,以提供一定程度信任保证,具体稳定的数据存储节点的数量可由云服务商根据市场和监管需求自行决定。进一步地,还可以将安全审计系统还可以提供运营的审计数据类型、审计深度和层次、审计服务时间等内容,并制定可信审计服务内容条款及收费规则。
云租户、监管方、用户等使用方根据自身安全需求,向管理节点提交可信审计服务申请,该审计服务申请所请求的服务内容包括不限定于审计服务节点的类型(完备节点、审计节点还是轻量节点)、审计服务时效、审计数据类型、审计深度和层次等等。
此外,管理节点对审计服务申请进行审核时,在管理节点审核通过时,可以通过管理节点对其颁发相应的服务权限凭证,服务权限凭证可以以公私钥加密方式下发,即管理节点在向目标对象下发服务权限凭证时,会利用设定的私钥对服务权限凭证进行加密,然后将公钥下发给目标对象,以使目标对象基于公钥解密出服务权限凭证。
云租户、监管方、用户等可信审计服务使用方根据自身安全需求,向管理节点注册申请安全服务节点,获取相应服务权限凭证,通过管理节点颁发的服务权限凭证即可接入本实施例提供的基于区块链的安全审计系统,并根据证书权限获取相应的服务。安全服务节点通过数据权限网关对接入安全审计系统的节点进行论证接入和授权访问,不同类别的节点通过管理节点获取相应的服务权限凭证,凭借服务权限凭证各节点才可以接入本申请任一实施例提供的安全审计系统,并根据证书授予的权限获取相应的审计功能,分享服务收益。
此外,基于上述任一实施例,本实施例中,审计服务权限控制通过分布式数据权限控制网关实现,即每个数据存储节点分别通过对应的数据权限控制网关接入基于区块链的安全审计系统;同理,每个审计节点通过对应的数据权限控制网关接入基于区块链的安全审计系统;每个轻量节点通过对应的数据权限控制网关接入基于区块链的安全审计系统等。
具体来说,每个审计节点分别通过一个独立的数据权限控制网关实现审计服务接入控制。审计节点可以通过共用权限网关平台,也可以通过独立的数据权限控制网关实现审计服务的接入控制;而数据权限控制网关可以通过同步管理节点的服务权限凭证等信息,来获取各节点的权限。此外,数据权限控制网关也可以通过彼此之间互相同步服务权限凭证等信息,实现整网最终权限控制信息的同步。
实施上述任一实施例提供的基于区块链的安全审计系统,该系统提供了一种信任机制,通过区块链可在云服务平台的云服务商、租户、用户和监管方都部署审计节点,将各自掌握资源范围内的用于审计的日志数据上链存储,通过区块链的多方信任机制,实现多方实时透明监管;此外,本申请任一实施例还提供了一种多方可信安全审计服务模式,云服务平台不同用户可能根据其业务重要性等选择是否需要多方审计服务,将多方审计作为一种增值服务提供给用户;再者,在发生安全事件时,通过实施本申请任一实施例提供的安全审计系统,可以为云服务商和和云租户责任界定提供依据,以更好地在云服务商和云租户之间建立可靠的安全信任关系,进而促进云计算产业发展。
基于同一发明构思,本实施例还提供了一种基于区块链的安全审计方法,应用于基于区块链的安全审计系统中的数据存储节点中,该基于区块链的安全审计系统还包括审计节点。参见图3,图3是本申请提供的一种基于区块链的安全审计方法的流程图,该方法可包括如下所示步骤:
S301、收集所对接对象的日志数据。
其中,上述对象至少包括云服务商、云租户、用户和监管方中的一个。
S302、将所述日志数据存储到区块链中,以使所述审计节点当接收到所对接对象的审计服务请求时,从对应的数据存储节点中获取所需要的日志数据;并对获取到的日志数据进行分析处理。
需要说明的是,上述数据存储节点执行的步骤S301~S302的具体实施过程可以参考基于区块链的安全审计系统中数据存储节点对应的相关描述,此处不再一一详细说明。
可选地,基于上述实施例,本实施例提供的基于区块链的安全审计方法,还包括:将所述审计节点所需要的日志数据按照区块链格式组织为第一日志数据包;对所述第一日志数据包进行签名处理,将签名处理后的第一日志数据包发送给所述数据存储节点,以使所述数据存储节点从获取到的第一日志数据包中解析出所述日志数据。
具体地,上述过程的实施可以参考基于区块链的安全审计系统中数据存储节点对应的相关描述,此处不再一一详细说明。
基于上述任一实施例,本实施例提供的基于区块链的安全审计方法,还包括:接收审计节点基于分析处理产生的审计日志数据生成的签名处理后的第二日志数据包;对所述第二日志数据包进行签名校验;将校验通过的第二日志数据包组织成数据区块,并上传到所述区块链上。
具体地,上述过程的实施可以参考基于区块链的安全审计系统中数据存储节点对应的相关描述,此处不再一一详细说明。
本申请任一实施例提供的基于区块链的安全审计方法中,由于云服务商、云租户、监管方和用户的数据都存储到区块链上,从而实现了各方的审计数据的透明监管,而且通过在区块链上存储各方业务处理过程中所产生的数据,有效保证了数据的安全性。
基于同一发明构思,本申请还提供了一种基于区块链的安全审计方法,应用于基于区块链的安全审计系统中的审计节点中,该基于区块链的安全审计系统还包括数据存储节点。参见图4,图4是本申请提供的一种基于区块链的安全审计方法的流程图,该方法可包括如下所示步骤:
S401、当接收到所对接对象的审计服务请求时,从对应的数据存储节点中获取所需要的日志数据。
其中,上述对象至少包括云服务商、云租户、用户和监管方中的一个。
S402、对获取到的日志数据进行分析处理。
需要说明的是,上述审计节点执行的步骤S401~S402的具体实施过程可以参考基于区块链的安全审计系统中审计节点对应的相关描述,此处不再一一详细说明。
可选地,可以按照下述过程执行步骤S401:接收所述数据存储节点发送的签名处理后的第一日志数据包;从所述第一日志数据包中解析出所述日志数据。
此外,审计节点还可以按照下述方法获取日志数据:向管理节点获取相应的服务权限凭证,通过服务权限凭证从所述数据存储节点和其他审计节点获取日志数据。
具体地,上述过程的实施可以参考基于区块链的安全审计系统中管理节点对应的相关描述,此处不再一一详细说明。
可选地,基于所述任一实施例,本实施例提供基于区块链的安全审计方法,还包括:将收集处理产生的审计日志数据组织成第二日志数据包;对所述第二日志数据包进行签名处理;将签名处理后的第二日志数据包发送给对应的数据存储节点。
具体地,上述过程的实施可以参考基于区块链的安全审计系统中审计节点对应的相关描述,此处不再一一详细说明。需要说明的是,上述审计节点收集处理可以但不限于理解为分析处理和收集并处理等等。
本申请任一实施例提供的基于区块链的安全审计方法中,由于云服务商、云租户、监管方和用户的数据都存储到区块链上,从而实现了各方的审计数据的透明监管,而且通过在区块链上存储各方业务处理过程中所产生的数据,有效保证了数据的安全性。
基于同一发明构思,本申请实施例提供了一种电子设备,该电子设备可以但不限于充当上述数据存储节点、审计节点、管理节点、数据权限网关和轻量节点等。如图5所示,该电子设备包括处理器501和机器可读存储介质502,机器可读存储介质502存储有能够被处理器501执行的计算机程序,处理器501被计算机程序促使执行本申请任一实施例所提供的基于区块链的安全审计方法。此外,该电子设备还包括通信接口503和通信总线504,其中,处理器501,通信接口503,机器可读存储介质502通过通信总线504完成相互间的通信。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM)、DDR SRAM(Double Data Rate Synchronous Dynamic Random Access Memory,双倍速率同步动态随机存储器),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
另外,本申请实施例提供了一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请任一实施例所提供的基于区块链的安全审计方法。
对于电子设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的,作为单元/模块显示的部件可以是或者也可以不是物理单元/模块,即可以位于一个地方,或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (11)

1.一种基于区块链的安全审计系统,其特征在于,包括:多个数据存储节点、多个审计节点,所述数据存储节点和所述审计节点为所述区块链上的节点,其中:
每个数据存储节点,用于收集所对接对象的日志数据并存储到区块链中,所述对象至少包括云服务商、云租户、用户和监管方中的一个,不同的对象对应不同的数据存储节点;
每个审计节点,用于当接收到所对接对象的审计服务请求时,从所述数据存储节点中获取所需要的日志数据;并对获取到的日志数据进行分析处理,不同的对象对应不同的审计节点;
所述系统,还包括:
管理节点,用于接收目标对象的审计服务注册申请,对所述审计服务注册申请进行审核,在审核通过后,为所述目标对象颁发服务权限凭证;
所述管理节点,还用于接收所述目标对象的节点创建请求,所述节点创建请求包括所述服务权限凭证;根据所述节点创建请求中的服务权限凭证,创建对应的安全服务节点,所述安全服务节点包括数据存储节点或审计节点。
2.根据权利要求1所述的系统,其特征在于,
所述数据存储节点,具体用于将所述审计节点所需要的日志数据按照区块链格式组织成第一日志数据包;对所述第一日志数据包进行签名处理,将签名处理后的第一日志数据包发送给所述审计节点;
所述审计节点,具体用于从获取到的第一日志数据包中解析出所述日志数据。
3.根据权利要求1所述的系统,其特征在于,
所述审计节点,还用于将收集处理产生的审计日志数据组织成第二日志数据包;并对所述第二日志数据包进行签名处理;将签名处理后的第二日志数据包发送给对应的数据存储节点;
所述对应的数据存储节点,用于对所述第二日志数据包进行签名校验,将校验通过的第二日志数据包组织成数据区块,并上传到所述区块链上。
4.根据权利要求1所述的系统,其特征在于,还包括:
轻量节点,用于对满足设定条件的日志数据进行分析处理。
5.根据权利要求1所述的系统,其特征在于,还包括:
数据权限网关,用于在接收到目标对象的审计服务申请时,对所述审计服务申请进行认证;在认证通过后,向所述目标对象发送认证通过的认证结果;其中,所述目标对象为云租户、监管方和用户中的至少一个。
6.一种基于区块链的安全审计方法,其特征在于,应用于基于区块链的安全审计系统中的数据存储节点中,所述基于区块链的安全审计系统还包括审计节点,所述数据存储节点和所述审计节点为所述区块链上的节点;以及,所述方法,包括:
收集所对接对象的日志数据,所述对象至少包括云服务商、云租户、用户和监管方中的一个,不同的对象对应不同的数据存储节点;
将所述日志数据存储到区块链中,以使所述审计节点当接收到所对接对象的审计服务请求时,从对应的数据存储节点中获取所需要的日志数据;并对获取到的日志数据进行分析处理,不同的对象对应不同的审计节点;
其中,所述数据存储节点、所述审计节点为安全服务节点中的任一个;所述安全服务节点为按照如下方法创建得到的:所述安全审计系统中的管理节点在接收到目标对象的节点创建请求后,根据所述节点创建请求中的服务权限凭证创建得到的,所述服务权限凭证为所述管理节点在接收到所述目标对象的审计服务注册申请后,对所述审计服务注册申请审核通过后颁发的。
7.根据权利要求6所述的方法,其特征在于,还包括:
将所述审计节点所需要的日志数据按照区块链格式生成第一日志数据包;
对所述第一日志数据包进行签名处理,将签名处理后的第一日志数据包发送给所述审计节点,以使所述审计节点从获取到的第一日志数据包中解析出所述日志数据。
8.根据权利要求6所述的方法,其特征在于,还包括:
接收审计节点基于收集处理产生的审计日志数据生成的签名处理后的第二日志数据包;
对所述第二日志数据包进行签名校验;
将校验通过的第二日志数据包组织成数据区块,并上传到所述区块链上。
9.一种基于区块链的审计方法,其特征在于,应用于基于区块链的安全审计系统中的审计节点中,所述基于区块链的安全审计系统还包括数据存储节点,所述数据存储节点和所述审计节点为所述区块链上的节点;以及,所述方法,包括:
当接收到所对接对象的审计服务请求时,从对应的数据存储节点中获取所需要的日志数据,所述对象至少包括云服务商、云租户、用户和监管方中的一个,不同的对象对应不同的数据存储节点,不同的对象对应不同的审计节点;
对获取到的日志数据进行分析处理;
其中,所述数据存储节点、所述审计节点为安全服务节点中的任一个;所述安全服务节点为按照如下方法创建得到的:所述安全审计系统中的管理节点在接收到目标对象的节点创建请求后,根据所述节点创建请求中的服务权限凭证创建得到的,所述服务权限凭证为所述管理节点在接收到所述目标对象的审计服务注册申请后,对所述审计服务注册申请审核通过后颁发的。
10.根据权利要求9所述的方法,其特征在于,从对应的数据存储节点中获取所需要的日志数据,包括:
接收所述数据存储节点发送的签名处理后的第一日志数据包;
从所述第一日志数据包中解析出所述日志数据。
11.根据权利要求9所述的方法,其特征在于,还包括:
将收集处理产生的审计日志数据组织成第二日志数据包;
对所述第二日志数据包进行签名处理;
将签名处理后的第二日志数据包发送给对应的数据存储节点。
CN202210241024.0A 2022-03-10 2022-03-10 基于区块链的安全审计系统及审计方法 Active CN114826657B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210241024.0A CN114826657B (zh) 2022-03-10 2022-03-10 基于区块链的安全审计系统及审计方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210241024.0A CN114826657B (zh) 2022-03-10 2022-03-10 基于区块链的安全审计系统及审计方法

Publications (2)

Publication Number Publication Date
CN114826657A CN114826657A (zh) 2022-07-29
CN114826657B true CN114826657B (zh) 2024-02-09

Family

ID=82528493

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210241024.0A Active CN114826657B (zh) 2022-03-10 2022-03-10 基于区块链的安全审计系统及审计方法

Country Status (1)

Country Link
CN (1) CN114826657B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108833514A (zh) * 2018-06-01 2018-11-16 众安信息技术服务有限公司 基于区块链的审计日志处理方法、装置和日志审计系统
CN110049043A (zh) * 2019-04-17 2019-07-23 江苏全链通信息科技有限公司 基于区块链的服务器日志监控方法和系统
CN110990487A (zh) * 2019-11-29 2020-04-10 中国银行股份有限公司 基于区块链的智能审计系统、设备以及方法
CN112364370A (zh) * 2020-10-14 2021-02-12 天津大学 基于区块链的隐私保护云审计方法
CN112448946A (zh) * 2020-11-09 2021-03-05 北京工业大学 基于区块链的日志审计方法及装置
CN112800487A (zh) * 2021-04-07 2021-05-14 杭州链城数字科技有限公司 基于区块链的审计方法和系统
CN112818056A (zh) * 2020-12-31 2021-05-18 杭州趣链科技有限公司 一种区块链的日志安全共享方法、系统与装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10992676B2 (en) * 2019-01-16 2021-04-27 EMC IP Holding Company LLC Leveraging blockchain technology for auditing cloud service for data protection compliance
US11405216B2 (en) * 2020-05-07 2022-08-02 Adp, Inc. System for authenticating verified personal credentials

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108833514A (zh) * 2018-06-01 2018-11-16 众安信息技术服务有限公司 基于区块链的审计日志处理方法、装置和日志审计系统
CN110049043A (zh) * 2019-04-17 2019-07-23 江苏全链通信息科技有限公司 基于区块链的服务器日志监控方法和系统
CN110990487A (zh) * 2019-11-29 2020-04-10 中国银行股份有限公司 基于区块链的智能审计系统、设备以及方法
CN112364370A (zh) * 2020-10-14 2021-02-12 天津大学 基于区块链的隐私保护云审计方法
CN112448946A (zh) * 2020-11-09 2021-03-05 北京工业大学 基于区块链的日志审计方法及装置
CN112818056A (zh) * 2020-12-31 2021-05-18 杭州趣链科技有限公司 一种区块链的日志安全共享方法、系统与装置
CN112800487A (zh) * 2021-04-07 2021-05-14 杭州链城数字科技有限公司 基于区块链的审计方法和系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
BlockAudit 2.0: PoA blockchain based solution for secure Audit logs;Ashish Pawar;《2021 5th International Conference on Information Systems and Computer Networks (ISCON)》;全文 *
区块链驱动下基于双链架构的混合审计模式探索;房巧玲;高思凡;曹丽霞;;审计研究(第03期);全文 *

Also Published As

Publication number Publication date
CN114826657A (zh) 2022-07-29

Similar Documents

Publication Publication Date Title
CN108111473B (zh) 混合云统一管理方法、装置和系统
US8613051B2 (en) System and method for COPPA compliance for online education
CN108769230B (zh) 交易数据存储方法、装置、服务器及存储介质
CN110417790B (zh) 区块链实名制排队系统及方法
CN111651794A (zh) 基于联盟链的电子数据管理方法、装置和存储介质
CN111506909A (zh) 一种银税数据交互方法及系统
El Azzaoui et al. Scalable lightweight blockchain-based authentication mechanism for secure VoIP communication
CN103166969A (zh) 一种基于云计算平台的安全云控制器访问方法
US20210158301A1 (en) Systems and methods for message transmission and retrieval using blockchain
Umar et al. Paillier cryptosystem based Chainnode for secure electronic voting
Bakhtina et al. On the shift to decentralised identity management in distributed data exchange systems
CN114826657B (zh) 基于区块链的安全审计系统及审计方法
Muhammad Danil Muis et al. Access control and file distribution management for electronic diploma and transcript using Ethereum smart contract and InterPlanetary file system
DE112022000963T5 (de) Verbindungsbeständige mehrfaktorauthentifizierung
Shahzad et al. Blockchain based monitoring on trustless supply chain processes
Pawlak et al. Towards the blockchain technology for system voting process
CN112560115A (zh) 一种基于区块链的多方联合研发方法及系统
Mullegowda et al. A novel smart contract based blockchain with sidechain for electronic voting.
CN118353606B (zh) 基于区块链的网络威胁情报共享方法、系统、设备和介质
Liu et al. Application of VPN Based on L2TP and User’s Access Rights in Campus Network
Khan et al. Secure Internet Voting using Blockchain Technology
CN117195310B (zh) 基于隐私计算的异构平台、方法、设备以及存储介质
Zakaria et al. Implementation of Web Service Security Using Oauth2 in the Financial Facility Search System
Nugraha et al. Development of API Service to Store and Utilize Video Analytics Data from Edge
Myadam et al. Design and Implementation of Key Exchange Mechanisms for Software Artifacts using Ocean Protocol.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant