CN117150575B - 可信工控系统操作日志防篡改方法、系统、设备及介质 - Google Patents
可信工控系统操作日志防篡改方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN117150575B CN117150575B CN202311417256.8A CN202311417256A CN117150575B CN 117150575 B CN117150575 B CN 117150575B CN 202311417256 A CN202311417256 A CN 202311417256A CN 117150575 B CN117150575 B CN 117150575B
- Authority
- CN
- China
- Prior art keywords
- operation log
- log file
- file
- trusted
- verification code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000012795 verification Methods 0.000 claims abstract description 180
- 238000004590 computer program Methods 0.000 claims description 26
- 238000006243 chemical reaction Methods 0.000 claims description 24
- 238000004422 calculation algorithm Methods 0.000 claims description 19
- 230000008569 process Effects 0.000 claims description 16
- 238000012986 modification Methods 0.000 claims description 10
- 230000004048 modification Effects 0.000 claims description 10
- 238000004364 calculation method Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 description 7
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种可信工控系统操作日志防篡改方法、系统、设备及介质,方法包括:对初始的操作日志文件进行复制,获得操作日志文件备份;计算初始的操作日志文件的哈希消息验证码,获得验证码初始值;将操作日志文件备份和验证码初始值传输并加密存储至可信存储平台中;根据可信存储平台中加密存储的操作日志文件备份和加密存储的验证码初始值,判断当前时刻的操作日志文件是否发生篡改;若发生篡改,则从可信存储平台中读取加密存储的操作日志文件备份并进行解密,获得解密后的操作日志文件,并利用解密后的操作日志文件对当前时刻的操作日志文件进行替换;本发明大大降低了操作日志被篡改的风险,有效保证了可信工控系统的运行安全。
Description
技术领域
本发明属于工控系统的操作处理技术领域,特别涉及一种可信工控系统操作日志防篡改方法、系统、设备及介质。
背景技术
可信工控系统,作为一种具有高度可靠性和安全性的工业控制系统,通常被用于监测和控制关键的基础设施,例如:电力系统设施、能源设施以及军事设施;可信工控系统可以保证数据的完整性、机密性和可用性,能够在面对各种故障和攻击时保持正常运行;同时,具有系统响应时间短、适应不断变化的环境要求以及在长时间运行后方便维护升级和扩展的特点。
可信工控系统的操作日志文件,用于详细记录对系统中某个对象或对整个系统修改操作后的信息;操作日志文件一旦被非法篡改后,系统的安全将受到极大的安全威胁;目前,针对操作日志文件的保护手段普遍采用设置访问权限或访问密码;而在实际使用中,访问权限极易被人为修改,且访问密码也容易遭到非法破解,导致现有操作日志的保护手段安全性低,操作日志容易发生篡改的风险,大大降低了可信工控系统的安全性。
发明内容
针对现有技术中存在的技术问题,本发明提供了一种可信工控系统操作日志防篡改方法、系统、设备及介质,以解决现有操作日志的保护手段安全性低、操作日志容易发生篡改的技术问题。
为达到上述目的,本发明采用的技术方案为:
本发明提供了一种可信工控系统操作日志防篡改方法,包括:
对初始的操作日志文件进行复制,获得操作日志文件备份;其中,所述初始的操作日志文件为记录可信工控系统中修改操作的原始信息文件;
计算所述初始的操作日志文件的哈希消息验证码,获得验证码初始值;
将所述操作日志文件备份和所述验证码初始值传输并加密存储至可信存储平台中;
根据可信存储平台中加密存储的操作日志文件备份和加密存储的验证码初始值,判断当前时刻的操作日志文件是否发生篡改;其中,所述当前时刻的操作日志文件为当前时刻可信工控系统中可信服务器数据库存储的操作日志文件;
若发生篡改,则从可信存储平台中读取所述加密存储的操作日志文件备份并进行解密,获得解密后的操作日志文件,并利用所述解密后的操作日志文件对所述当前时刻的操作日志文件进行替换。
进一步的,计算所述初始的操作日志文件的哈希消息验证码,获得验证码初始值的过程,具体如下:
利用哈希算法,对所述初始的操作日志文件的哈希值进行计算,得到验证码初始值。
进一步的,所述可信存储平台为可信云端平台或可信工控系统中的另一台可信服务器数据库。
进一步的,将所述操作日志文件备份和所述验证码初始值传输并加密存储至可信存储平台中的过程,具体如下:
利用非对称加密方法,分别对所述操作日志文件备份和所述验证码初始值进行加密处理,获得加密的操作日志文件和加密的验证码初始值;
将所述加密的操作日志文件和所述加密的验证码初始值传输并存储至可信存储平台中。
进一步的,根据可信存储平台中加密存储的操作日志文件备份和加密存储的验证码初始值,判断当前时刻的操作日志文件是否发生篡改的过程,具体如下:
对所述当前时刻的操作日志文件与可信存储平台中加密存储的操作日志文件备份进行文件属性验证,得到文件属性验证结果;若文件属性验证结果一致,则所述当前时刻的操作日志文件未发生篡改,文件属性验证通过;否则,所述当前的操作日志文件发生篡改;
文件属性验证通过之后,计算所述当前时刻的操作日志文件的哈希消息验证码,获得验证码实时值;对所述验证码实时值与可信存储平台中加密存储的验证码初始值进行消息验证,得到消息验证结果;若消息验证结果一致,则所述当前时刻的操作日志文件未发生篡改,消息验证通过;否则,所述当前的操作日志文件发生篡改。
进一步的,对所述当前时刻的操作日志文件与可信存储平台中加密存储的操作日志文件备份进行文件属性验证,得到文件属性验证结果的过程,具体如下:
对所述当前时刻的操作日志文件的属性信息及文件内容数据进行二进制转换,获得当前日志文件的二进制转换结果;
对可信存储平台中加密存储的操作日志文件备份的属性信息及文件内容数据进行二进制转换,获得日志文件备份的二进制转换结果;
对所述当前日志文件的二进制转换结果与所述日志文件备份的二进制转换结果进行同或运算处理,得到文件属性验证结果。
进一步的,所述当前时刻的操作日志文件的属性信息包括当前时刻的操作日志文件的文件名称、文件大小、文件存储路径及文件存储日期;所述可信存储平台中加密存储的操作日志文件备份的属性信息包括加密存储的操作日志文件备份的文件名称、文件大小、文件存储路径及文件存储日期。
本发明还提供了一种可信工控系统操作日志防篡改系统,包括:
文件复制模块,用于对初始的操作日志文件进行复制,获得操作日志文件备份;其中,所述初始的操作日志文件为记录可信工控系统中修改操作的原始信息文件;
哈希计算模块,用于计算所述初始的操作日志文件的哈希消息验证码,获得验证码初始值;
加密存储模块,用于将所述操作日志文件备份和所述验证码初始值传输并加密存储至可信存储平台中;
篡改判断模块,用于根据可信存储平台中加密存储的操作日志文件备份和加密存储的验证码初始值,判断当前时刻的操作日志文件是否发生篡改;其中,所述当前时刻的操作日志文件为当前时刻可信工控系统中可信服务器数据库存储的操作日志文件;
文件替换模块,用于若发生篡改,则从可信存储平台中读取所述加密存储的操作日志文件备份并进行解密,获得解密后的操作日志文件,并利用所述解密后的操作日志文件对所述当前时刻的操作日志文件进行替换。
本发明还提供了一种可信工控系统操作日志防篡改设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现所述的可信工控系统操作日志防篡改方法的步骤。
本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现所述的可信工控系统操作日志防篡改方法的步骤。
与现有技术相比,本发明的有益效果为:
本发明提供了一种可信工控系统操作日志防篡改方法,将初始的操作日志文件进行备份,并计算初始的操作日志文件的哈希消息验证码,获得操作日志文件备份及验证码初始值;分别将操作日志文件备份和验证码初始值进行加密存储;利用加密存储的操作日志文件备份及加密存储的验证码初始值的双重验证手段,判断当前时刻的操作日志文件是否被篡改,篡改验证结果精确性及可靠性较高;其次,当操作日志发生篡改时,利用在可信存储平台中加密存储的操作日志文件备份进行替换,确保了操作日志文件的准确性和完整性;方法过程简单,能够有效避免人为攻击的风险,安全性高,大大降低了操作日志被篡改的风险,有效保证了可信工控系统的运行安全。
进一步的,利用非对称加密方法对操作日志文件备份和验证码初始值进行加密处理,并存储至可信存储平台中,确保了操作日志备份文件和验证码初始值的准确性和安全性。
进一步的,利用可信存储平台中加密存储的操作日志文件备份对当前时刻的操作日志文件进行文件属性验证,利用加密存储的验证码初始值对当前时刻的操作日志文件的哈希消息验证码进行消息验证,实现对当前时刻的操作日志文件是否发生篡改进行双重验证判断,确保了操作日志文件的安全性和可靠性。
附图说明
图1为本发明所述的可信工控系统操作日志防篡改方法的流程图;
图2为本发明所述的可信工控系统操作日志防篡改系统的结构框图;
图3为本发明所述的可信工控系统操作日志防篡改设备的结构框图。
具体实施方式
为了使本发明所解决的技术问题,技术方案及有益效果更加清楚明白,以下具体实施例,对本发明进行进一步的详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如附图1所示,本发明提供了一种可信工控系统操作日志防篡改方法,包括以下步骤:
步骤1、对初始的操作日志文件进行复制,获得操作日志文件备份。其中,所述初始的操作日志文件为记录可信工控系统中修改操作的原始文件。
步骤2、计算所述初始的操作日志文件的哈希消息验证码,获得验证码初始值。
具体的,利用哈希算法,对所述初始的操作日志文件的哈希值进行计算,获得初始的操作日志文件的哈希消息验证码,即得到所述验证码初始值;优选的,所述哈希算法采用MD5算法、SHA-1算法或SHA-256算法。
步骤3、将所述操作日志文件备份和所述验证码初始值传输并加密存储至可信存储平台中。
具体的,利用非对称加密方法,分别对所述操作日志文件备份和所述验证码初始值进行加密处理,获得加密的操作日志文件和加密的验证码初始值;将所述加密的操作日志文件和所述加密的验证码初始值传输并存储至可信存储平台中;其中,所述可信存储平台为可信云端平台或可信工控系统中的另一台可信服务器数据库。
步骤4、根据可信存储平台中加密存储的操作日志文件备份和加密存储的验证码初始值,判断当前时刻的操作日志文件是否发生篡改;其中,所述当前时刻的操作日志文件为当前时刻可信工控系统中可信服务器数据库存储的操作日志文件。
其中,判断当前时刻的操作日志文件是否发生篡改的过程,具体包括以下步骤:
步骤41、对所述当前时刻的操作日志文件与可信存储平台中加密存储的操作日志文件备份进行文件属性验证,得到文件属性验证结果;若文件属性验证结果一致,则所述当前时刻的操作日志文件未发生篡改,文件属性验证通过,并跳转至步骤42;否则,所述当前的操作日志文件发生篡改,并跳转至步骤5。
具体的,所述文件属性验证的过程,具体如下:
对所述当前时刻的操作日志文件的属性信息及文件内容数据进行二进制转换,获得当前日志文件的二进制转换结果;对可信存储平台中加密存储的操作日志文件备份的属性信息及文件内容数据进行二进制转换,获得日志文件备份的二进制转换结果;对所述当前日志文件的二进制转换结果与所述日志文件备份的二进制转换结果进行同或运算处理,得到文件属性验证结果;其中,所述当前时刻的操作日志文件的属性信息包括当前时刻的操作日志文件的文件名称、文件大小、文件存储路径及文件存储日期;所述可信存储平台中加密存储的操作日志文件备份的属性信息包括加密存储的操作日志文件备份的文件名称、文件大小、文件存储路径及文件存储日期。
步骤42、文件属性验证通过之后,计算所述当前时刻的操作日志文件的哈希消息验证码,获得验证码实时值;对所述验证码实时值与可信存储平台中加密存储的验证码初始值进行消息验证,得到消息验证结果;若消息验证结果一致,则所述当前时刻的操作日志文件未发生篡改,消息验证通过,则方法结束;否则,所述当前的操作日志文件发生篡改,并跳转至步骤5。
步骤5、若发生篡改,则从可信存储平台中读取所述加密存储的操作日志文件备份并进行解密,获得解密后的操作日志文件,并利用所述解密后的操作日志文件对所述当前时刻的操作日志文件进行替换。
如附图2所示,本发明还提供了一种可信工控系统操作日志防篡改系统,包括文件复制模块、哈希计算模块、加密存储模块、篡改判断模块及文件替换模块;所述文件复制模块,用于对初始的操作日志文件进行复制,获得操作日志文件备份;其中,所述初始的操作日志文件为记录可信工控系统中修改操作的原始信息文件;所述哈希计算模块,用于计算所述初始的操作日志文件的哈希消息验证码,获得验证码初始值;所述加密存储模块,用于将所述操作日志文件备份和所述验证码初始值传输并加密存储至可信存储平台中;所述篡改判断模块,用于根据可信存储平台中加密存储的操作日志文件备份和加密存储的验证码初始值,判断当前时刻的操作日志文件是否发生篡改;其中,所述当前时刻的操作日志文件为当前时刻可信工控系统中可信服务器数据库存储的操作日志文件;所述文件替换模块,用于若发生篡改,则从可信存储平台中读取所述加密存储的操作日志文件备份并进行解密,获得解密后的操作日志文件,并利用所述解密后的操作日志文件对所述当前时刻的操作日志文件进行替换。
本发明所述的可信工控系统操作日志防篡改方法及系统,在可信工控系统中可信服务器数据库的基础上引入可信存储平台,利用可信存储平台对操作日志文件备份和验证码初始值进行加密存储,利用可信服务器数据库对当前时刻的操作日志文件进行存储,实现对操作日志文件的双重存储机制,确保了操作日志文件数据的机密性、完整性和可靠性;在判断当前时刻的操作日志文件是否发生篡改时,利用加密存储的操作日志文件备份及加密存储的验证码初始值的双重验证手段,确保了判断结果的准确性和可靠性;当操作日志发生篡改时,利用在可信存储平台中加密存储的操作日志文件备份进行替换,确保了操作日志文件的准确性和完整性,进而确保了可信工系统的运行安全。
如附图3所示,本发明还提供了一种可信工控系统操作日志防篡改设备,包括存储器、处理器及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现所述的一种可信工控系统操作日志防篡改方法的步骤;其中,附图3中的通讯接口,用于接入外部设备,以获取数据。
所述处理器执行所述计算机程序时实现上述可信工控系统操作日志防篡改方法的步骤,例如:对初始的操作日志文件进行复制,获得操作日志文件备份;其中,所述初始的操作日志文件为记录可信工控系统中修改操作的原始信息文件;计算所述初始的操作日志文件的哈希消息验证码,获得验证码初始值;将所述操作日志文件备份和所述验证码初始值传输并加密存储至可信存储平台中;根据可信存储平台中加密存储的操作日志文件备份和加密存储的验证码初始值,判断当前时刻的操作日志文件是否发生篡改;其中,所述当前时刻的操作日志文件为当前时刻可信工控系统中可信服务器数据库存储的操作日志文件;若发生篡改,则从可信存储平台中读取所述加密存储的操作日志文件备份并进行解密,获得解密后的操作日志文件,并利用所述解密后的操作日志文件对所述当前时刻的操作日志文件进行替换。
或者,所述处理器执行所述计算机程序时实现上述系统中各模块的功能,例如:文件复制模块,用于对初始的操作日志文件进行复制,获得操作日志文件备份;其中,所述初始的操作日志文件为记录可信工控系统中修改操作的原始信息文件;哈希计算模块,用于计算所述初始的操作日志文件的哈希消息验证码,获得验证码初始值;加密存储模块,用于将所述操作日志文件备份和所述验证码初始值传输并加密存储至可信存储平台中;篡改判断模块,用于根据可信存储平台中加密存储的操作日志文件备份和加密存储的验证码初始值,判断当前时刻的操作日志文件是否发生篡改;其中,所述当前时刻的操作日志文件为当前时刻可信工控系统中可信服务器数据库存储的操作日志文件;文件替换模块,用于若发生篡改,则从可信存储平台中读取所述加密存储的操作日志文件备份并进行解密,获得解密后的操作日志文件,并利用所述解密后的操作日志文件对所述当前时刻的操作日志文件进行替换。
示例性的,所述计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器中,并由所述处理器执行,以完成本发明。所述一个或多个模块/单元可以是能够完成预设功能的一系列计算机程序指令段,所述指令段用于描述所述计算机程序在所述可信工控系统操作日志防篡改设备中的执行过程。
例如,所述计算机程序可以被分割成文件复制模块、哈希计算模块、加密存储模块、篡改判断模块及文件替换模块;各模块具体功能如下:所述文件复制模块,用于对初始的操作日志文件进行复制,获得操作日志文件备份;其中,所述初始的操作日志文件为记录可信工控系统中修改操作的原始信息文件;所述哈希计算模块,用于计算所述初始的操作日志文件的哈希消息验证码,获得验证码初始值;所述加密存储模块,用于将所述操作日志文件备份和所述验证码初始值传输并加密存储至可信存储平台中;所述篡改判断模块,用于根据可信存储平台中加密存储的操作日志文件备份和加密存储的验证码初始值,判断当前时刻的操作日志文件是否发生篡改;其中,所述当前时刻的操作日志文件为当前时刻可信工控系统中可信服务器数据库存储的操作日志文件;所述文件替换模块,用于若发生篡改,则从可信存储平台中读取所述加密存储的操作日志文件备份并进行解密,获得解密后的操作日志文件,并利用所述解密后的操作日志文件对所述当前时刻的操作日志文件进行替换。
所述可信工控系统操作日志防篡改设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述可信工控系统操作日志防篡改设备可包括,但不仅限于处理器、存储器。本领域技术人员可以理解,所述附图3仅仅是可信工控系统操作日志防篡改设备的示例,并不构成对可信工控系统操作日志防篡改设备的限定,可以包括比图示更多的部件,或者组合某些部件,或者不同的部件,例如所述可信工控系统操作日志防篡改设备还可以包括输入输出设备、网络接入设备及总线等。
所称处理器可以是中央处理单元(CentralProcessingUnit,CPU),还可以是其他通用处理器、数字信号处理器(DigitalSignalProcessor,DSP)、专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、现成可编程门阵列(Field-ProgrammableGateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者所述处理器也可以是任何常规的处理器等,所述处理器是所述可信工控系统操作日志防篡改设备的控制中心,利用各种接口和线路连接整个可信工控系统操作日志防篡改设备的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述可信工控系统操作日志防篡改设备的各种功能。
所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(SmartMediaCard,SMC),安全数字(SecureDigital,SD)卡,闪存卡(FlashCard)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现所述的一种可信工控系统操作日志防篡改方法的步骤。
所述可信工控系统操作日志防篡改系统集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。
基于这样的理解,本发明实现上述可信工控系统操作日志防篡改方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,所述计算机程序在被处理器执行时,可实现上述可信工控系统操作日志防篡改方法的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或预设中间形式等。
所述计算机可读存储介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(RandomAccessMemory,RAM)、电载波信号、电信信号以及软件分发介质等。
需要说明的是,所述计算机可读存储介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读存储介质不包括电载波信号和电信信号。
实施例
本实施例提供了一种可信工控系统操作日志防篡改方法,包括以下步骤:
步骤1、对初始的操作日志文件进行复制,获得操作日志文件备份;其中,所述初始的操作日志文件为记录工控系统中修改操作的原始文件。
步骤2、利用哈希算法,对所述初始的操作日志文件的哈希值进行计算,得到初始的操作日志文件的哈希消息验证码,即得到验证码初始值;其中,所述验证码初始值,用于后续的消息验证过程;所述哈希算法采用MD5算法、SHA-1算法或SHA-256算法。
步骤3、将所述操作日志文件备份和所述验证码初始值,采用非对称加密方式传输并存储至可信存储平台中。
需要说明的是,所述可信存储平台为可信云端平台或可信工控系统中的另一台可信服务器数据库;其中,所述可信云端平台是指在云计算领域中对于计算、存储数据安全问题的云计算模式,所述可信云端平台能够实现云计算技术,并能够为用户提供稳定性高、扩展性强的存储服务,确保了数据的可用性和灵活性。
其中,将所述操作日志文件备份和所述验证码初始值,采用非对称加密方式传输并存储至可信存储平台中的过程,具体如下:
步骤31、利用非对称加密方法,对所述操作日志文件备份进行加密处理,获得加密的操作日志文件。
步骤32、利用非对称加密方法,对所述验证码初始值进行加密处理,获得加密的验证码初始值。
步骤33、将所述加密的操作日志文件和所述加密的验证码初始值传输并存储至可信存储平台中。
步骤4、根据可信存储平台中加密存储的操作日志文件备份和加密存储的验证码初始值,判断当前时刻的操作日志文件是否发生篡改;其中,所述当前时刻的操作日志文件为当前时刻可信工控系统中可信服务器数据库存储的操作日志文件。
具体的,判断当前时刻的操作日志文件是否发生篡改的过程,包括以下步骤:
步骤41、对所述当前时刻的操作日志文件与可信存储平台中加密存储的操作日志文件备份进行文件属性验证,得到文件属性验证结果;若文件属性验证结果一致,则所述当前时刻的操作日志文件未发生篡改,文件属性验证通过,并跳转至步骤42;否则,所述当前的操作日志文件发生篡改,并跳转至步骤5。
具体的,所述文件属性验证的过程,包括以下步骤:
步骤411、对所述当前时刻的操作日志文件的属性信息及文件内容数据进行二进制转换,获得当前日志文件的二进制转换结果。
步骤412、对可信存储平台中加密存储的操作日志文件备份的属性信息及文件内容数据进行二进制转换,获得日志文件备份的二进制转换结果。
步骤413、根据所述当前日志文件的二进制转换结果与所述日志文件备份的二进制转换结果进行同或运算处理,比较所述当前时刻的操作日志文件的属性信息与所述可信存储平台中加密存储的操作日志文件备份的属性信息是否相同,获得文件属性验证结果。
具体的,若文件属性验证结果一致,则所述文件属性验证结果的输出值为真,则说明所述当前时刻的操作日志文件的属性信息与所述可信存储平台中加密存储的操作日志文件备份的属性信息相同,表示当前时刻的操作日志文件未发生篡改,文件属性验证通过,并跳转至步骤42。
若所述文件属性验证结果不一致,则文件属性验证结果的输出值为假,则说明所述当前时刻的操作日志文件的属性信息与所述可信存储平台中加密存储的操作日志文件备份的属性信息不相同,表示所述当前的操作日志文件发生篡改,并跳转至步骤5;其中,所述文件属性验证结果的输出值被传输值可信工控系统上进行显示。
需要说明的是,所述当前时刻的操作日志文件的属性信息包括当前时刻的操作日志文件的文件名称、文件大小、文件存储路径及文件存储日期;所述可信存储平台中加密存储的操作日志文件备份的属性信息包括加密存储的操作日志文件备份的文件名称、文件大小、文件存储路径及文件存储日期。
步骤42、利用哈希算法,计算所述当前时刻的操作日志文件的哈希消息验证码,获得验证码实时值;其中,所述哈希算法采用MD5算法、SHA-1算法或SHA-256算法。
步骤43、对所述验证码实时值与可信存储平台中加密存储的验证码初始值进行消息验证,得到消息验证结果;具体的,将所述验证码实时值与可信存储平台中加密存储的验证码初始值进行对比,若对比结果一致,则消息验证结果的输出值为一致,表明当前时刻的操作日志文件保存正确,并未发生篡改,则方法结束;若对比结果不一致,则消息验证结果的输出值为不一致,表明当前时刻的操作日志文件遭到破坏,所述当前的操作日志文件发生篡改,并跳转至步骤5。
步骤5、所述当前的操作日志文件发生篡改,则从可信存储平台中读取所述加密存储的操作日志文件备份并进行解密,获得解密后的操作日志文件,并利用所述解密后的操作日志文件对所述当前时刻的操作日志文件进行替换;其中,具体包括以下步骤:
步骤51、从可信存储平台中读取所述加密存储的操作日志文件备份,获得加密的操作日志文件备份。
步骤52、利用非对称密钥加密的私钥对所述加密的操作日志文件备份进行解密处理,获得解密后的操作日志文件。
步骤53、利用哈希算法,计算所述解密后的操作日志文件的哈希消息验证码,获得验证码解密值。
步骤54、将所述验证码解密值与所述加密存储的验证码初始值进行对比,若对比结果一致,则利用所述解密后的操作日志文件对所述当前时刻的操作日志文件进行替换。
本实施例所述的可信工控系统操作日志防篡改方法,利用可信存储平台和可信服务器数据库分别对操作日志文件备份和当前时刻的操作日志文件进行双重存储,确保了当当前时刻的操作日志文件发生篡改时,能够利用完整且准确的操作日志文件备份进行替换;采用文件属性验证和消息验证的双重验证手段,判断当前时刻的操作日志文件是否发生篡改,实现对操作日志文件安全性的精确判断,具有更高的可靠性;最后,利用可信存储平台中加密存储的操作日志文件备份替换发生篡改的操作日志文件,确保可信服务器数据库中的操作日志文件的准确性完整性,从而保障可信工控系统的安全运行。
本实施例提供的一种可信工控系统操作日志防篡改系统、设备及存储介质中相关部分的说明可以参见本实施例所述的可信工控系统操作日志防篡改方法中对应部分的详细说明,在此不再赘述。
上述实施例仅仅是能够实现本发明技术方案的实施方式之一,本发明所要求保护的范围并不仅仅受本实施例的限制,还包括在本发明所公开的技术范围内,任何熟悉本技术领域的技术人员所容易想到的变化、替换及其他实施方式。
Claims (8)
1.一种可信工控系统操作日志防篡改方法,其特征在于,包括:
对初始的操作日志文件进行复制,获得操作日志文件备份;其中,所述初始的操作日志文件为记录可信工控系统中修改操作的原始信息文件;
计算所述初始的操作日志文件的哈希消息验证码,获得验证码初始值;
将所述操作日志文件备份和所述验证码初始值传输并加密存储至可信存储平台中;
根据可信存储平台中加密存储的操作日志文件备份和加密存储的验证码初始值,判断当前时刻的操作日志文件是否发生篡改;其中,所述当前时刻的操作日志文件为当前时刻可信工控系统中可信服务器数据库存储的操作日志文件;
若发生篡改,则从可信存储平台中读取所述加密存储的操作日志文件备份并进行解密,获得解密后的操作日志文件,并利用所述解密后的操作日志文件对所述当前时刻的操作日志文件进行替换;
计算所述初始的操作日志文件的哈希消息验证码,获得验证码初始值的过程,具体如下:
利用哈希算法,对所述初始的操作日志文件的哈希值进行计算,得到验证码初始值;
根据可信存储平台中加密存储的操作日志文件备份和加密存储的验证码初始值,判断当前时刻的操作日志文件是否发生篡改的过程,具体如下:
对所述当前时刻的操作日志文件与可信存储平台中加密存储的操作日志文件备份进行文件属性验证,得到文件属性验证结果;若文件属性验证结果一致,则所述当前时刻的操作日志文件未发生篡改,文件属性验证通过;否则,所述当前时刻的操作日志文件发生篡改;
文件属性验证通过之后,计算所述当前时刻的操作日志文件的哈希消息验证码,获得验证码实时值;对所述验证码实时值与可信存储平台中加密存储的验证码初始值进行消息验证,得到消息验证结果;若消息验证结果一致,则所述当前时刻的操作日志文件未发生篡改,消息验证通过;否则,所述当前时刻的操作日志文件发生篡改。
2.根据权利要求1所述的一种可信工控系统操作日志防篡改方法,其特征在于,所述可信存储平台为可信云端平台或可信工控系统中的另一台可信服务器数据库。
3.根据权利要求1所述的一种可信工控系统操作日志防篡改方法,其特征在于,将所述操作日志文件备份和所述验证码初始值传输并加密存储至可信存储平台中的过程,具体如下:
利用非对称加密方法,分别对所述操作日志文件备份和所述验证码初始值进行加密处理,获得加密的操作日志文件和加密的验证码初始值;
将所述加密的操作日志文件和所述加密的验证码初始值传输并存储至可信存储平台中。
4.根据权利要求1所述的一种可信工控系统操作日志防篡改方法,其特征在于,对所述当前时刻的操作日志文件与可信存储平台中加密存储的操作日志文件备份进行文件属性验证,得到文件属性验证结果的过程,具体如下:
对所述当前时刻的操作日志文件的属性信息及文件内容数据进行二进制转换,获得当前日志文件的二进制转换结果;
对可信存储平台中加密存储的操作日志文件备份的属性信息及文件内容数据进行二进制转换,获得日志文件备份的二进制转换结果;
对所述当前日志文件的二进制转换结果与所述日志文件备份的二进制转换结果进行同或运算处理,得到文件属性验证结果。
5.根据权利要求4所述的一种可信工控系统操作日志防篡改方法,其特征在于,所述当前时刻的操作日志文件的属性信息包括当前时刻的操作日志文件的文件名称、文件大小、文件存储路径及文件存储日期;所述可信存储平台中加密存储的操作日志文件备份的属性信息包括加密存储的操作日志文件备份的文件名称、文件大小、文件存储路径及文件存储日期。
6.一种可信工控系统操作日志防篡改系统,其特征在于,包括:
文件复制模块,用于对初始的操作日志文件进行复制,获得操作日志文件备份;其中,所述初始的操作日志文件为记录可信工控系统中修改操作的原始信息文件;
哈希计算模块,用于计算所述初始的操作日志文件的哈希消息验证码,获得验证码初始值;
加密存储模块,用于将所述操作日志文件备份和所述验证码初始值传输并加密存储至可信存储平台中;
篡改判断模块,用于根据可信存储平台中加密存储的操作日志文件备份和加密存储的验证码初始值,判断当前时刻的操作日志文件是否发生篡改;其中,所述当前时刻的操作日志文件为当前时刻可信工控系统中可信服务器数据库存储的操作日志文件;
文件替换模块,用于若发生篡改,则从可信存储平台中读取所述加密存储的操作日志文件备份并进行解密,获得解密后的操作日志文件,并利用所述解密后的操作日志文件对所述当前时刻的操作日志文件进行替换;
计算所述初始的操作日志文件的哈希消息验证码,获得验证码初始值的过程,具体如下:
利用哈希算法,对所述初始的操作日志文件的哈希值进行计算,得到验证码初始值;
根据可信存储平台中加密存储的操作日志文件备份和加密存储的验证码初始值,判断当前时刻的操作日志文件是否发生篡改的过程,具体如下:
对所述当前时刻的操作日志文件与可信存储平台中加密存储的操作日志文件备份进行文件属性验证,得到文件属性验证结果;若文件属性验证结果一致,则所述当前时刻的操作日志文件未发生篡改,文件属性验证通过;否则,所述当前时刻的操作日志文件发生篡改;
文件属性验证通过之后,计算所述当前时刻的操作日志文件的哈希消息验证码,获得验证码实时值;对所述验证码实时值与可信存储平台中加密存储的验证码初始值进行消息验证,得到消息验证结果;若消息验证结果一致,则所述当前时刻的操作日志文件未发生篡改,消息验证通过;否则,所述当前时刻的操作日志文件发生篡改。
7.一种可信工控系统操作日志防篡改设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1-5任一项所述的可信工控系统操作日志防篡改方法的步骤。
8.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-5任一项所述的可信工控系统操作日志防篡改方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311417256.8A CN117150575B (zh) | 2023-10-30 | 2023-10-30 | 可信工控系统操作日志防篡改方法、系统、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311417256.8A CN117150575B (zh) | 2023-10-30 | 2023-10-30 | 可信工控系统操作日志防篡改方法、系统、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117150575A CN117150575A (zh) | 2023-12-01 |
| CN117150575B true CN117150575B (zh) | 2024-02-23 |
Family
ID=88897129
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311417256.8A Active CN117150575B (zh) | 2023-10-30 | 2023-10-30 | 可信工控系统操作日志防篡改方法、系统、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117150575B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006031142A (ja) * | 2004-07-13 | 2006-02-02 | Toppan Printing Co Ltd | ログ検証システム、方法、プログラム、及びそのプログラムを記録した記録媒体 |
| CN107995148A (zh) * | 2016-10-27 | 2018-05-04 | 中国电信股份有限公司 | 文件防篡改的方法、系统、终端和可信云平台 |
| CN110189435A (zh) * | 2019-05-31 | 2019-08-30 | 西安电子科技大学 | 一种无人机日志存储和分析方法 |
| CN113254964A (zh) * | 2021-06-02 | 2021-08-13 | 杭州趣链科技有限公司 | 日志安全存证方法、装置、电子设备及存储介质 |
| CN114301705A (zh) * | 2021-12-31 | 2022-04-08 | 公安部第三研究所 | 一种基于可信计算的工控防御方法与系统 |
| CN114329622A (zh) * | 2021-12-20 | 2022-04-12 | 北京信安世纪科技股份有限公司 | 一种文件保护方法、验证方法、装置、设备和介质 |
| CN114629677A (zh) * | 2021-11-26 | 2022-06-14 | 中国大唐集团科学技术研究院有限公司火力发电技术研究院 | 一种用于火电机组电量计费系统的安全防护系统及方法 |
| CN115378671A (zh) * | 2022-08-09 | 2022-11-22 | 中国电子信息产业集团有限公司第六研究所 | 一种工程文件的可信检测系统、方法、设备以及存储介质 |
| CN115878383A (zh) * | 2022-12-19 | 2023-03-31 | 辅谦科技(上海)有限公司 | 一种基于区块链的日志文件备份方法与系统 |
| CN116305290A (zh) * | 2023-05-16 | 2023-06-23 | 北京安天网络安全技术有限公司 | 一种系统日志安全检测方法及装置、电子设备及存储介质 |
| CN116579026A (zh) * | 2023-05-24 | 2023-08-11 | 深圳大学 | 一种云数据完整性审计方法、装置、设备及存储介质 |
-
2023
- 2023-10-30 CN CN202311417256.8A patent/CN117150575B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006031142A (ja) * | 2004-07-13 | 2006-02-02 | Toppan Printing Co Ltd | ログ検証システム、方法、プログラム、及びそのプログラムを記録した記録媒体 |
| CN107995148A (zh) * | 2016-10-27 | 2018-05-04 | 中国电信股份有限公司 | 文件防篡改的方法、系统、终端和可信云平台 |
| CN110189435A (zh) * | 2019-05-31 | 2019-08-30 | 西安电子科技大学 | 一种无人机日志存储和分析方法 |
| CN113254964A (zh) * | 2021-06-02 | 2021-08-13 | 杭州趣链科技有限公司 | 日志安全存证方法、装置、电子设备及存储介质 |
| CN114629677A (zh) * | 2021-11-26 | 2022-06-14 | 中国大唐集团科学技术研究院有限公司火力发电技术研究院 | 一种用于火电机组电量计费系统的安全防护系统及方法 |
| CN114329622A (zh) * | 2021-12-20 | 2022-04-12 | 北京信安世纪科技股份有限公司 | 一种文件保护方法、验证方法、装置、设备和介质 |
| CN114301705A (zh) * | 2021-12-31 | 2022-04-08 | 公安部第三研究所 | 一种基于可信计算的工控防御方法与系统 |
| CN115378671A (zh) * | 2022-08-09 | 2022-11-22 | 中国电子信息产业集团有限公司第六研究所 | 一种工程文件的可信检测系统、方法、设备以及存储介质 |
| CN115878383A (zh) * | 2022-12-19 | 2023-03-31 | 辅谦科技(上海)有限公司 | 一种基于区块链的日志文件备份方法与系统 |
| CN116305290A (zh) * | 2023-05-16 | 2023-06-23 | 北京安天网络安全技术有限公司 | 一种系统日志安全检测方法及装置、电子设备及存储介质 |
| CN116579026A (zh) * | 2023-05-24 | 2023-08-11 | 深圳大学 | 一种云数据完整性审计方法、装置、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于区块链的可信日志存储与验证系统;韩菊茹;纪兆轩;李一鸣;马存庆;;计算机工程(第05期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117150575A (zh) | 2023-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108076057B (zh) | 一种基于区块链的数据保全系统及方法 | |
| CN109412812B (zh) | 数据安全处理系统、方法、装置和存储介质 | |
| US20040039932A1 (en) | Apparatus, system and method for securing digital documents in a digital appliance | |
| CN106919810B (zh) | 注册码生成方法及装置、软件注册方法及装置 | |
| CN101199159A (zh) | 安全引导 | |
| CN110598429B (zh) | 数据加密存储和读取的方法、终端设备及存储介质 | |
| CN113254407B (zh) | 基于区块链的招投标文件存储方法、系统、介质和设备 | |
| US20080313475A1 (en) | Methods and systems for tamper resistant files | |
| CN112346759A (zh) | 一种固件升级方法、装置及计算机可读存储介质 | |
| CN111538479A (zh) | 开标过程中的随机参数生成方法及装置 | |
| CN112685786A (zh) | 一种金融数据加密、解密方法、系统、设备及存储介质 | |
| CN111585995A (zh) | 安全风控信息传输、处理方法、装置、计算机设备及存储介质 | |
| CN113315745A (zh) | 一种数据处理方法、装置、设备及介质 | |
| CN115952552A (zh) | 远程数据销毁方法、系统及设备 | |
| CN114942729A (zh) | 一种计算机系统的数据安全存储与读取方法 | |
| CN110837634A (zh) | 基于硬件加密机的电子签章方法 | |
| CN110661621A (zh) | 一种基于hmac、aes、rsa的混合加解密方法 | |
| CN115935388B (zh) | 一种软件包安全发送方法、装置、设备及存储介质 | |
| CN117150575B (zh) | 可信工控系统操作日志防篡改方法、系统、设备及介质 | |
| KR102542213B1 (ko) | 네트워크 기반 스토리지의 데이터 실시간 암복호화 보안 시스템 및 방법 | |
| CN107391970B (zh) | Flash应用程序中的函数访问控制方法及装置 | |
| CN112968774B (zh) | 一种组态存档加密及解密方法、装置存储介质及设备 | |
| CN114491661A (zh) | 基于区块链的日志防篡改方法及系统 | |
| US20210111870A1 (en) | Authorizing and validating removable storage for use with critical infrastrcture computing systems | |
| CN111639353A (zh) | 一种数据管理方法、装置、嵌入式设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |