JP4999484B2 - 通信システム及びサーバ装置 - Google Patents
通信システム及びサーバ装置 Download PDFInfo
- Publication number
- JP4999484B2 JP4999484B2 JP2007028704A JP2007028704A JP4999484B2 JP 4999484 B2 JP4999484 B2 JP 4999484B2 JP 2007028704 A JP2007028704 A JP 2007028704A JP 2007028704 A JP2007028704 A JP 2007028704A JP 4999484 B2 JP4999484 B2 JP 4999484B2
- Authority
- JP
- Japan
- Prior art keywords
- detection
- log data
- log
- storage
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
図11では、従来技術に係るデータ改ざん検出装置の構成例を示す。当該データ改ざん検出装置は、データ改ざん検出コード算出手段と、データ間改ざん検出コード算出手段と、データ書込み手段と、データ改ざん検出コード検証手段と、データ間改ざん検出手段とを備える。
また、データ間改ざん検出コード算出手段は、書き込もうとするデータの少なくとも1つ前のデータ(最新保管データ)のデータ改ざん検出コードと、今回書き込もうとするデータのデータ改ざん検出コードとに基づいてデータ間改ざん検出コードを算出する。
データ書込み手段は、前記データと前記データ改ざん検出コードと前記データ間改ざん検出コードとを対応付けて前記データ記憶手段に書き込む。
また、図示していないデータ読み出し手段は、前記データ記憶手段からデータを読み出す。
また、図示していないデータ改ざん検出コード検証手段は、読み出されたデータのデータ改ざん検出コードを算出し、算出したデータ改ざん検出コードが、読み出されたデータと対応づけて記憶されているデータ改ざん検出コードと一致するか否かを検証する。
また、図示していないデータ間改ざん検出手段は、読み出されたデータのデータ改ざん検出コードと該データの少なくとも1つ前のデータ(最新保管データ)のデータ改ざん検出コードとに基づいてデータ間改ざん検出コードを算出し、算出したデータ間改ざん検出コードが、読み出されたデータと対応づけて記憶されているデータ間改ざん検出コードと一致するか否かを検証する。
このため、多数のクライアントから収集したログのデータをサーバにて集中管理する用途に適用する場合、サーバの負荷が増大し、処理能力の限界から多数のクライアントへの対応が困難という課題があった。
また、単にクライアントとサーバに処理を分散すると、不正なログのデータの送付が生じる可能性があるという課題があった。
そして、ログのデータの発生に応じて、クライアントの検知コードの生成処理やサーバへの通信処理が頻発するという課題があった。
クライアントからサーバへのログの収集を効率的かつ安全に行えるログ改ざん検知システムを提供することを主な目的とする。
複数のクライアント装置と、前記複数のクライアント装置からデータを受信するサーバ装置とを有する通信システムであって、
各クライアント装置と前記サーバ装置は、検知コード鍵を秘密に共有し、
各クライアント装置は、
前記サーバ装置に送信する送信データと前記検知コード鍵とを用いて、前記送信データの改ざん検知のための検知コードを生成する検知コード生成部と、
前記送信データと前記検知コードとを対応づけて検知送信データとして前記サーバ装置に対して送信するデータ送信部とを有し、
前記サーバ装置は、
いずれかのクライアント装置から送信された検知送信データを受信するデータ受信部と、
前記検知送信データと、前記検知送信データの送信元のクライアント装置と共有している検知コード鍵とを用いて、前記検知送信データにおける改ざんの有無を検証するデータ検証部と、
前記データ検証部により改ざんがないと判断された場合に前記検知送信データを格納するデータ格納部とを有することを特徴とする。
以下、この発明の実施の形態1を説明する。
図1は、実施の形態1に係るログ収集システム100(通信システム)の構成例を示す概略図である。
ログ収集システム100では、多数のクライアント装置1(以下、単にクライアントともいう)と、サーバ装置2(以下、単にサーバともいう)がネットワーク3に接続され、多数のクライアント1のログをサーバ2で収集する。
図1では、複数のクライアント装置1が示されるが、それぞれのクライアント装置1の構成は、図2に示したものと同様である。
また、図3は、図1に示したサーバ装置2の構成例を示す。
そして、クライアント装置1は、差分ログ19と検知コード14が含まれる検知ログ20をサーバ装置2に送信する。サーバ装置2では、検知ログ20の改ざん検知を行った後に、検知ログ20の格納を行う。
なお、図4は、クライアント1及びサーバ2における処理の対象となるデータ間の関係を示している。
プログラムの動作状況や処理結果、外部との入出力情報、内部または外部の状態の変化により、ログ生成部5が、データ6を生成し、データ6をログ4としてログファイル7(ログ蓄積部)に書き込む。
この際、クライアント1からサーバ2へのログ4の収集は、クライアント1におけるログ4の発生に応じて逐次行うことはせず、定期的、または一定量のログ4が蓄積された場合などに、前回送付したログと、その後新たに発生したログの差分のみを送ることで、効率化を図る。
検知コード生成部21は、ログ収集クライアント部16により抽出された差分ログ19(送信データ)に対して検知コード鍵15を用いて、差分ログ19の改ざん検知のための検知コード14を生成する。
そして、ログ収集クライアント部16(データ送信部)は、差分ログ19と検知コード14とを対応づけて検知ログ20(検知送信データ)としてサーバ2に対して送信する。
そして、検知ログ検証部25(データ検証部)は、受信された検知ログ20と、当該検知ログ20の送信元のクライアント1と共有している検知コード鍵15とを用いて、検知ログ20における改ざんの有無を検証する。
具体的には、検知ログ検証部25は、検知ログ20に含まれている差分ログ19(送信データ)と、検知ログ20の送信元のクライアント1と共有している検知コード鍵15とを用いて検知コード14を生成し、生成した検知コード14と、検知ログ20に含まれている検知コード14とを比較して、検知ログ20における改ざんの有無を検証する。
そして、保管ログDB29(データ格納部)は、検知ログ検証部25により改ざんがないと判断された場合に検知ログ20と保管コード31とを対応づけて新規保管ログ22として格納する。
サーバ2は、保管コード31を生成するための保管コード鍵23を秘密に保持している。
前述したように、検知ログ検証部25は、ログ収集サーバ部24によりクライアント1から新たに検知ログ20が受信された場合に、新たに受信された検知ログ20(新規受信検知差分ログデータ)における改ざんの有無を検証し、検知ログ検証部25により検知ログ20に改ざんがないと検証された場合に、保管ログ検証部36(連結検証部)が、当該検知ログ20の1つ前に保管ログDB29に格納されている最新保管ログ(直前格納検知差分ログデータ)の保管コード31と、最新保管ログ32の一つ前に格納されている前回保管ログ33(格納検知差分ログデータ)の保管コード31とを用いて、最新保管ログ32が前回保管ログ33に正しく連結しているか否かを検証する。
ここで、正しく連結されているか否かは、前回保管ログ33の保管コード31をもとに保管コード鍵23により検証用の保管コードを生成し、最新保管ログ32の保管コード31と検証用の保管コードを比較し、一致したかどうかで判定する。
最新保管ログ32の保管コード31と検証用の保管コードとが一致する場合は、前回保管ログ33の次の保管ログとして正しい最新保管ログ32が改ざんなく格納されていること、つまり、前回保管ログ33と最新保管ログ32とが正しく連結されていることが検証される。
そして、保管ログ検証部36により最新保管ログ32がその一つ前に格納された前回保管ログ33に正しく連結していると判断された場合に、保管コード生成部28が、保管コード鍵23と、最新保管ログ32の保管コード31と、新たに受信された検知ログ20とを用いて、新たに受信された検知ログ20の保管コード31を生成する。
保管ログDB29は、このようにして生成された保管コード31と新たに受信された検知ログ20とを対応づけて新規保管ログ22として格納する。
また、改ざん検知部8(不正アクセス検知部)は、アクセス監査部9の監視結果に基づき、ログファイル7への不正アクセスを検知する。
そして、ログ収集クライアント部16は、改ざん検知部8により不正アクセスがなかったと判断されたログ4であって、サーバ2に対して未送信である差分ログ19を抽出する。
また、アクセス監査部9も同様にOSの機能としてアクセス監査モジュールの形で実現されていてもよい。
改ざん検知部8は、アクセス監査部9が監視しているログファイル7へのアクセスが発生した場合にイベントログ10に記録するイベント11を監視し、イベント11の内容から不正アクセス12と判断した場合に改ざん検知シグナル13を発生する。
以下に処理手順について説明する。
手順F−1にて、クライアント1の起動とともに処理を開始する。
手順F−2にて、アクセス監査部9が、ログファイル7へのアクセスを監視する。
手順F−3にて、改ざん検知部8が、イベントログ10の変化を監視する。
手順F−4にて、ログ生成部5がデータ6をログファイル7のログ4に書き込んだり、不正アクセス12によりログファイル7の内容が改ざんされることで、ログファイル7へのアクセスが発生する。
手順F−5にて、アクセス監査部9がログファイル7へのアクセスを検出し、イベント11をイベントログ10に出力する。
手順F−6にて、改ざん検知部8がイベントログ10の変化を検出する。
手順F−7にて、改ざん検知部8がイベントログ10からイベント11を入手する。
手順F−8にて、改ざん検知部8は、イベント11の原因がログ生成部5によるものかどうかを判定する。
手順F−8の判定がYesの場合、以下の処理を行う。
手順F−9にて、改ざん検知部8は、改ざんではないと判定し、手順F−10に処理を移す。
手順F−8の判定がNoの場合、以下の処理を行う。
手順F−11にて、改ざん検知部8は、不正アクセス12による改ざんと判定する。
手順F−12にて、改ざん検知部8が、改ざん検知シグナル13をログ収集クライアント部16へ送付する。
手順F−13にて、ログ収集クライアント部16が、サーバ2へ改ざんの発生を通知し、手順F−10に処理を移す。
手順F−10にて、手順F−2からの手順を繰り返す。
前述したように、クライアント1からサーバ2に送付した検知ログ20が改ざんされていないことを確認可能とする為に、クライアント1は検知コード14を検知ログ20に含める。
以下に処理手順について説明する。
手順A−1で、検知コード14の生成処理を開始する。
手順A−2で、ログ収集クライアント部16が、ログファイル7よりログ4を入手する。
手順A−3で、ログ収集クライアント部16が、前回ログファイル17より前回ログ18を入手する。
手順A−4で、ログ収集クライアント部16が、ログ4と前回ログ18との差分から差分ログ19を算出する。
手順A−5で、ログ収集クライアント部16が、差分ログ19を検知コード生成部21へ送付する。
手順A−6で、検知コード生成部21が、差分ログ19をもとに検知コード鍵15により検知コード14を生成する(検知コード生成ステップ)。
なお、この検知コード14の生成アルゴリズムについては、参考文献:RFC2104,“HMAC:Keyed−Hashing for Message Authentication”,1997などに記載の方式、または同様な処理を実現する、HASH関数と秘密鍵暗号方式の組み合わせにより実現される。
次に、手順A−7で、検知コード生成部21が、検知コード14をログ収集クライアント部16へ送付する(データ送信ステップ)。
手順A−8で、ログ収集クライアント部16が、差分ログ19と検知コード14を1つにまとめて検知ログ20を生成する。
手順A−9で、ログ収集クライアント部16が、検知ログ20をサーバ2へ送付する。
手順A−10で、ログ収集クライアント部16が、ログ4を前回ログ18として前回ログファイル17に格納する。
手順A−11で、検知コード14の生成処理を終了する。
図6は、本実施の形態に係る新規保管ログ22の生成処理手順を示すフローチャートである。
以下に処理手順について説明する。
サーバ2は、クライアント1とサーバ2が共有し、秘密に保持する検知コード鍵15を予め共有しておく。
また、保管コード鍵23を秘密に保持しておく。
手順E−1で、新規保管ログ22の生成処理を開始する。
手順E−2で、ログ収集サーバ部24が、検知ログ20を入手する(データ受信ステップ)。
手順E−3で、クライアント1から収集した検知ログ20が改ざんされていないことを確認する為に、ログ収集サーバ部24が検知ログ検証部25へ検知ログ20を送付する。
手順E−4で、検知ログ検証部25が検知ログ20の検証処理を行う(データ検証ステップ)。
手順E−4における検知ログ20の検証処理の詳細は後述する。
次に、手順E−5で、ログ収集サーバ部24が、検知ログ検証部25から検知ログ検証結果27を入手する。
手順E−6で、ログ収集サーバ部24は、検知ログ検証結果27から検知ログ20の改ざんが無いかどうかを判定する。
手順E−6の判定がYesの場合、以下の処理を行う。
手順E−7で、ログ収集サーバ部24が、保管コード生成部28へ検知ログ20を送付する。
次に、手順E−9に処理を移す。
手順E−6の判定がNoの場合、以下の処理を行う。
手順E−8で、検知ログ20の改ざんが検知されたとして、エラー処理を行う。
手順E−9では、保管コード生成部28が保管コードを生成する処理を行う。
手順E−9における保管コードの生成処理の詳細は後述する。
次に、手順E−10で、ログ収集サーバ部24が、保管コード生成部28から保管コード31を入手する。
手順E−11で、ログ収集サーバ部24が、検知ログ20と保管コード31から新規保管ログ22を生成する。
手順E−12で、ログ収集サーバ部24が、新規保管ログ22を保管ログDB29へ送付する。
手順E−13で、保管ログDB29が、新規保管ログ22を最新保管ログ32として格納し、保管ログDB29を更新する(データ格納ステップ)。
手順E−14で、新規保管ログ22の生成処理を終了する。
図7は、検知ログ検証部の処理(E−4)、すなわち検知コード14の検証処理手順を示すフローチャートである。
手順B−1で、検知コード14の検証処理を開始する。
手順B−2で、検知ログ検証部25が、検知ログ20を入手する。
手順B−3で、検知ログ検証部25が、検知ログ20の差分ログ19をもとに検知コード鍵15により検証用の検知コードを生成する。
手順B−4で、検知ログ検証部25が、検知ログ20に含まれる検知コード14と生成した検証用の検知コードを比較し、一致したかどうかを判定する。
手順B−4の判定がYesの場合、以下の処理を行う。
手順B−5で、検知ログ20の改ざん無しと判定し、検知ログ検証結果27を生成する。
次に、手順B−7に処理を移す。
他方、手順B−4の判定がNoの場合、以下の処理を行う。
手順B−6で、検知ログ検証部25は、検知ログ20の改ざん有りと判定し、検知ログ検証結果27を生成する。
次に、手順B−7に処理を移す。
手順B−7では、検知ログ検証部25は、検知ログ検証結果27をログ収集サーバ部24へ送付する。
そして、手順B−8で、検知ログの検証処理を終了する。
図8は、保管コード生成部の処理(E−9)、すなわち保管コード31の生成処理手順を示すフローチャートである。
ここでは、保管ログDB29に保管された保管ログが改ざんされていないことを確認可能とする為に、保管コード31を生成する。
手順C−2で、保管コード生成部28が検知ログ20を入手する。
手順C−3で、保管ログ検証部36が保管ログの検証処理を行う。
手順C−3における保管ログの検証処理について、以下に説明する。
サーバ2は、保管ログDB29に保管された保管ログが改ざんされていないことを確認する為に、保管ログ検証部36を備える。
手順D−1で、保管コード31の検証処理を開始する。
手順D−2で、保管ログ検証部36が、最新保管ログ32を保管ログDB29から入手する。この最新保管ログ32は、新たに受信した検知ログ20の一つ前に保管ログDB29に格納された保管ログである。最新保管ログ32には、検知ログ20(差分ログ、検知コード)及び保管コード31が含まれている。
手順D−3で、保管ログ検証部36が、最新保管ログ32の検知ログ20を検知ログ検証部25へ送付する。
手順D−4で、最新保管ログ32の検知ログ20について検知ログ検証部25が処理を行う。
手順D−4では、検証の対象が、最新保管ログ32の検知ログ20となっている点及び最新保管ログ32の検知ログ検証結果27の送付先が保管ログ検証部36となっている点以外は、図7について前述した通りである。
つまり、手順B−1で、検知コード14の検証処理を開始する。
手順B−2で、検知ログ検証部25が、最新保管ログ32の検知ログ20を入手する。
手順B−3で、検知ログ検証部25が、最新保管ログ32の検知ログ20の差分ログ19をもとに検知コード鍵15により検証用の検知コードを生成する。
手順B−4で、検知ログ検証部25が、最新保管ログ32の検知ログ20の検知コード14と検証用の検知コードを比較し、一致したかどうかを判定する。
手順B−4の判定がYesの場合、以下の処理を行う。
手順B−5で、最新保管ログ32の検知ログ20の改ざん無しと判定し、最新保管ログ32の検知ログ検証結果27を生成する。
次に、手順B−7に処理を移す。
他方、手順B−4の判定がNoの場合、以下の処理を行う。
手順B−6で、検知ログ検証部25は、最新保管ログ32の検知ログ20の改ざん有りと判定し、最新保管ログ32の検知ログ検証結果27を生成する。
次に、手順B−7に処理を移す。
手順B−7では、検知ログ検証部25は、最新保管ログ32の検知ログ検証結果27を保管ログ検証部36へ送付する。
そして、手順B−8で、検知ログの検証処理を終了する。
手順D−6にて、検知ログ検証結果27から最新保管ログ32の検知ログ20の改ざんが無いかどうかを判定する。
手順D−6の判定がYesの場合、以下の処理を行う。
手順D−7で、保管ログ検証部36は、最新保管ログ32の検知ログ20は改ざん無しと判定する。
手順D−8で、保管ログ検証部36が、前回保管ログ33を保管ログDB29から入手する。前回保管ログ33は、最新保管ログ32の一つ前に保管ログDB29に保管されている保管ログである。
前回保管ログ33には、検知ログ20(差分ログ、検知コード)及び保管コード31が含まれている。
手順D−9で、保管ログ検証部36が最新保管ログ32の検知ログ20と前回保管ログ33の保管コード31をもとに保管コード鍵23により検証用の保管コードを生成する。
なお、この検証用の保管コードの生成アルゴリズムについては、参考文献:RFC2104,“HMAC:Keyed−Hashing for Message Authentication”,1997などに記載の方式、または同様な処理を実現する、HASH関数と秘密鍵暗号方式の組み合わせにより実現される。
次に、手順D−10にて、保管ログ検証部36が、最新保管ログ32の保管コード31と検証用の保管コードを比較し、一致したかどうかを判定する。
手順D−10の判定がYesの場合、以下の処理を行う。
手順D−11で、保管ログ検証部36は、最新保管ログ32の改ざん無しと判定し、保管ログ検証結果37を生成する。
次に、手順D−13に処理を移す。
他方、手順D−6の判定がNoの場合、または手順D−10の判定がNoの場合、手順D−12に処理を移す。
手順D−12で、保管ログ検証部36は、最新保管ログ32の改ざん有りと判定し、保管ログ検証結果37を生成する。
次に、手順D−13に処理を移す。
手順D−13では、保管ログ検証部36が、保管ログ検証結果37と最新保管ログ32の保管コード31を送付する。
次に、手順D−14で、処理を終了する。
手順C−5で、保管コード生成部28は、最新保管ログ32の保管ログ検証結果37から最新保管ログ32の改ざんが無いかどうかを判定する。
手順C−5の判定がYesの場合、以下の処理を行う。
手順C−6で、保管コード生成部28が、検知ログ20と最新保管ログ32の保管コード31をもとに保管コード鍵23により保管コード31を生成する。
なお、この保管コード31の生成アルゴリズムについては、参考文献:RFC2104,“HMAC:Keyed−Hashing for Message Authentication”,1997などに記載の方式、または同様な処理を実現する、HASH関数と秘密鍵暗号方式の組み合わせにより実現される。
次に、手順C−7で、保管コード生成部28が、ログ収集サーバ部24に保管コード31を送付する。
次に、手順C−9に処理を移す。
手順C−5の判定がNoの場合、以下の処理を行う。
手順C−8で、最新保管ログ32の改ざんを検知したとして、エラー処理を行う。
次に、手順C−9に処理を移す。
最後に、手順C−9で、処理を終了する。
従来の技術では、データに対する改ざんの検出用のコードの算出と保管するデータ間の改ざん検出用のコードの算出が1台の装置の中で行われていた。
この為、処理すべきデータの増加に対応するには、装置をより高性能な物に交換する以外に方法が無く多額な出費が必要となった。
また、装置の高性能化による対応には自ずと限界があった。
本実施の形態に係るログ収集システム100においては、多数のクライアントからデータをサーバへ収集する為、1台の装置の中で行われていた処理を、クライアントとサーバで分散することが可能である。
そこで、クライアントにてデータの改ざんの検出用の検知コードを算出し、サーバにてデータ間の改ざんの検出用の保管コードを算出することとした。
しかしながら、第1の問題として、単純にクライアントとサーバに処理を分散しただけでは、偽のデータがサーバに送付される恐れがある。
また、クライアントがデータの発生ごとにサーバにログを送付すると、クライアントとサーバ間の通信が頻発して、サーバの負荷の増大や、ネットワークのトラフィック増加という新たな悪影響が発生してしまうことが懸念される。
そこで、クライアントにて、一定期間ごと、または一定のログが蓄積された場合に、前回送付したログと、その後新たに発生したログの差分のみを送ることで、効率化を図ることとした。
しかしながら、第2の問題として、送付するまでクライアントに蓄積されたログに対して、改ざんの行われる恐れがある。
このように、第1の問題、および第2の問題に対処する目的で、ログ収集クライアント部16を設けた。
ログ収集クライアント部16は、蓄積されたログに対する改ざんを監視する改ざん検知部8と連携し、改ざん検知シグナルが発生しなかった場合にのみ、ログは前回の収集から今回まで改ざんがされていないと判断し、検知コードの生成を行う。
また、検知コードの生成の際は、サーバに対して改ざんのされていない正しいログを送っていることを保証する為に検知コード生成部と連携し、改ざんがされていないと判断したログと前回ログとの差分ログを算出し、この差分ログをもとにクライアントとサーバの間で共有し、ログ収集クライアント部が秘密に保持している検知コード鍵により検知コードを検知コード生成部に生成させる。
そして、差分ログと検知コードをあわせた検知ログを生成し、サーバへと送付する。
したがって、このように動作するログ収集クライアント部16を設けたことにより、多数のクライアントからサーバへ収集するログのデータの改ざん検知が可能で、クライアントからサーバへのログの収集を効率的かつ安全に行うことが可能となった。
図12は、本実施の形態のクライアント装置1及びサーバ装置2のハードウェア資源の一例を示す図である。なお、図12の構成は、あくまでもクライアント装置1及びサーバ装置2のハードウェア構成の一例を示すものであり、クライアント装置1及びサーバ装置2のハードウェア構成は図12に記載の構成に限らず、他の構成であってもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915、キーボード902、スキャナ装置907、FDD904などは、入力部、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
ファイル群924には、本実施の形態の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の生成」、「〜の更新」、「〜の設定」、「〜の登録」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、本実施の形態で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、クライアントは、サーバに送付する検知ログの改ざんを検知することができるサーバとクライアントが共有しログ収集クライアント部が秘密に保管する検知コード鍵を用いて、検知コードを生成する検知コード生成部を備えたものである。
また、クライアントは、差分ログのみを安全に効率的にサーバに送付することができるログ収集クライアント部を備えたものである。
また、サーバが、クライアントから収集した検知ログの改ざんを検知することができるサーバとクライアントが共有し秘密に保管する検知コード鍵を用いて検知コードを検証する検知ログ検証部を備えたものである。
また、サーバは、保管ログDBに保管する保管ログの改ざんを検知することができる保管コード鍵であってサーバが秘密に保持する保管コード鍵を用いて保管コードを生成する保管コード生成部を備えたものである。
また、サーバは、保管ログDBに保管する保管ログの改ざんを検知することができる保管コード鍵であってサーバが秘密に保持する保管コード鍵を用いて保管コードを検証する保管コード検証部を備えたものである。
データを生成し、前記データをログとしてログファイルに書き込むログ生成部と、
ログファイルへの不正アクセスが発生した場合に、改ざん検知シグナルを発生する改ざん検知部と、
ログファイルから前回収集した前回ログと、
前回ログを保管する前回ログファイルと、
ログと前回ログの差分から算出される差分ログと、
クライアントとサーバが共有し、秘密に保持する検知コード鍵と、
差分ログをもとに検知コード鍵により検知コードを生成する検知コード生成部と、
差分ログと検知コードから生成される検知ログと、
ログファイルからログを収集し、前回ログファイルから前回ログを入手し、ログと前回ログの差分から差分ログを算出し、差分ログを検知コード生成部へ送付し、検知コード生成部から検知コードを入手し、
差分ログと検知コードをあわせて検知ログを生成し、検知ログをサーバへ送付し、ログを前回ログとして前回ログファイルに格納するログ収集クライアント部からなるクライアントを持つことを特徴とするログ収集システムについて説明した。
クライアントから収集した検知ログと、
クライアントとサーバが共有し、秘密に保持する検知コード鍵と、
検知ログをもとに検知コード鍵により検知ログの改ざんの有無を検証し、検査ログ検証結果を生成する検知ログ検証部と、
サーバが秘密に保持する保管コード鍵と、
保管する検知ログの改ざんを検出する為に、検知ログと前回の検知ログの改ざんを検出する為に生成された保管コードをもとに保管コード鍵により新たな保管コードを生成する保管コード生成部と、
検知ログと保管コードから生成される保管ログと、
保管ログを保管する保管ログDBと、
最新の保管ログを入手し、最新の保管ログに含まれる検知ログを検知ログ検証部へ送付し、
検知ログ検証部から検知ログ検証結果を入手し、前回の保管ログを入手し、最新の保管ログと前回の保管ログをもとに保管コード鍵により最新の保管ログの改ざんの有無を検証し、保管ログ検証結果を生成し、
更に保管ログの改ざんが無い場合は最新の保管ログの保管コードを新たな保管コードの生成の為の保管コードとし、保管ログ検証結果と新たな保管コードの生成の為の保管コードを送付する保管ログ検証部と、
クライアントから検知ログを収集し、検知ログを検知ログ検証部へ送付し、検知ログ検証部から検知ログ検証結果を入手し、改ざんが無い場合は検知ログを保管コード生成部へ送付し、保管コード生成部から保管コードを入手し、検知ログと保管コードから新規保管ログを生成し、新規保管ログを保管ログDBへ送付するログ収集サーバ部からなるサーバを持つことを特徴とするログ収集システムについて説明した。
Claims (7)
- クライアント装置と、前記クライアント装置からログデータを受信するサーバ装置とを有する通信システムであって、
前記クライアント装置と前記サーバ装置は、検知コード鍵を秘密に共有し、
前記クライアント装置は、
前記サーバ装置に送信するログデータと前記検知コード鍵とを用いて、前記ログデータの改ざん検知のための検知コードを生成する検知コード生成部と、
前記ログデータと前記検知コードとを対応づけて検知ログデータとして前記サーバ装置に対して送信するデータ送信部とを有し、
前記サーバ装置は、
前記クライアント装置から送信された検知ログデータを受信するデータ受信部と、
前記検知ログデータと、前記検知コード鍵とを用いて、前記検知ログデータにおける改ざんの有無を検証するデータ検証部と、
前記データ検証部により改ざんがないと判断された場合に前記検知ログデータを格納するデータ格納部とを有し、
前記サーバ装置において、
前記データ格納部は、
検知ログデータと、当該検知ログデータが当該検知ログデータに先行する検知ログデータに正しく連結しているか否かを検証するための保管コードとを対応づけて格納し、
前記データ検証部は、
前記データ受信部により前記クライアント装置から新たに検知ログデータが受信された場合に、新たに受信された新規受信検知ログデータにおける改ざんの有無を検証し、
前記サーバ装置は、
前記保管コードを生成するための保管コード鍵を秘密に保持し、
前記サーバ装置は、更に、
前記データ検証部により前記新規受信検知ログデータに改ざんがないと検証された場合に、前記新規受信検知ログデータの1つ前に前記データ格納部に格納されている直前格納検知ログデータの保管コードと、前記直前格納検知ログデータの一つ前に格納されている格納検知ログデータの保管コードとを用いて、前記直前格納検知ログデータがその一つ前に格納されている格納検知ログデータに正しく連結しているか否かを検証する連結検証部と、
前記連結検証部により前記直前格納検知ログデータがその一つ前に格納された格納検知ログデータに正しく連結していると判断された場合に、前記保管コード鍵と、前記直前格納検知ログデータの保管コードと、前記新規受信検知ログデータとを用いて、前記新規受信検知ログデータの保管コードを生成する保管コード生成部とを有することを特徴とする通信システム。 - 前記データ検証部は、
前記新規受信検知ログデータに改ざんがないと判断した場合に、前記直前格納検知ログデータと前記検知コード鍵とを用いて、前記直前格納検知ログデータにおける改ざんの有無を検証し、
前記連結検証部は、
前記データ検証部により前記新規受信検知ログデータに改ざんがないと判断され、前記直前格納検知ログデータに改ざんがないと判断された場合に、前記直前格納検知ログデータがその一つ前に格納されている格納検知ログデータに正しく連結しているか否かを検証することを特徴とする請求項1に記載の通信システム。 - 前記サーバ装置において、
前記データ検証部は、
前記検知ログデータに含まれているログデータと、前記検知コード鍵とを用いて検知コードを生成し、生成した検知コードと、前記検知ログデータに含まれている検知コードとを比較して、前記検知ログデータにおける改ざんの有無を検証することを特徴とする請求項1に記載の通信システム。 - 前記クライアント装置は、更に、
ログデータを蓄積するログ蓄積部と、
前記ログ蓄積部に対するアクセス状況を監視するアクセス監査部と、
前記アクセス監査部の監視結果に基づき、前記ログ蓄積部への不正アクセスを検知する不正アクセス検知部とを有し、
前記検知コード生成部は、
前記不正アクセス検知部により不正アクセスがなかったと判断されたログデータに対して、検知コードを生成することを特徴とする請求項1に記載の通信システム。 - 前記クライアント装置は、更に、
前記不正アクセス検知部により不正アクセスがなかったと判断されたログデータであって、前記サーバ装置に対して未送信である差分ログデータを抽出する差分ログデータ抽出部を有し、
前記検知コード生成部は、
前記差分ログデータ抽出部により抽出された差分ログデータに対して、検知コードを生成することを特徴とする請求項4に記載の通信システム。 - ログデータを送信するクライアント装置と検知コード鍵を秘密に共有し、
前記クライアント装置においてログデータと前記検知コード鍵を用いて前記ログデータの改ざん検知のために生成された検知コードと、前記ログデータとが対応づけられた検知ログデータを、前記クライアント装置から受信するデータ受信部と、
前記検知ログデータと、前記検知コード鍵とを用いて、前記検知ログデータにおける改ざんの有無を検証するデータ検証部と、
前記データ検証部により改ざんがないと判断された場合に前記検知ログデータを格納するデータ格納部とを有するサーバ装置であって、
前記データ格納部は、
検知ログデータと、当該検知ログデータが当該検知ログデータに先行する検知ログデータに正しく連結しているか否かを検証するための保管コードとを対応づけて格納し、
前記データ検証部は、
前記データ受信部により前記クライアント装置から新たに検知ログデータが受信された場合に、新たに受信された新規受信検知ログデータにおける改ざんの有無を検証し、
前記サーバ装置は、
前記保管コードを生成するための保管コード鍵を秘密に保持し、
前記サーバ装置は、更に、
前記データ検証部により前記新規受信検知ログデータに改ざんがないと検証された場合に、前記新規受信検知ログデータの1つ前に前記データ格納部に格納されている直前格納検知ログデータの保管コードと、前記直前格納検知ログデータの一つ前に格納されている格納検知ログデータの保管コードとを用いて、前記直前格納検知ログデータがその一つ前に格納されている格納検知ログデータに正しく連結しているか否かを検証する連結検証部と、
前記連結検証部により前記直前格納検知ログデータがその一つ前に格納された格納検知ログデータに正しく連結していると判断された場合に、前記保管コード鍵と、前記直前格納検知ログデータの保管コードと、前記新規受信検知ログデータとを用いて、前記新規受信検知ログデータの保管コードを生成する保管コード生成部とを有することを特徴とするサーバ装置。 - 前記データ検証部は、
前記新規受信検知ログデータに改ざんがないと判断した場合に、前記直前格納検知ログデータと前記検知コード鍵とを用いて、前記直前格納検知ログデータにおける改ざんの有無を検証し、
前記連結検証部は、
前記データ検証部により前記新規受信検知ログデータに改ざんがないと判断され、前記直前格納検知ログデータに改ざんがないと判断された場合に、前記直前格納検知ログデータがその一つ前に格納されている格納検知ログデータに正しく連結しているか否かを検証することを特徴とする請求項6に記載のサーバ装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007028704A JP4999484B2 (ja) | 2007-02-08 | 2007-02-08 | 通信システム及びサーバ装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007028704A JP4999484B2 (ja) | 2007-02-08 | 2007-02-08 | 通信システム及びサーバ装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008192094A JP2008192094A (ja) | 2008-08-21 |
JP4999484B2 true JP4999484B2 (ja) | 2012-08-15 |
Family
ID=39752112
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007028704A Expired - Fee Related JP4999484B2 (ja) | 2007-02-08 | 2007-02-08 | 通信システム及びサーバ装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4999484B2 (ja) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000286839A (ja) * | 1999-03-31 | 2000-10-13 | Ricoh Co Ltd | 情報記録装置、真正性検証方法およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体 |
JP4811840B2 (ja) * | 2001-03-29 | 2011-11-09 | 株式会社日本総合研究所 | ログ収集システムならびにログ収集システムに用いられるサーバおよびサーバを制御するプログラムを記録した媒体 |
WO2004068350A1 (ja) * | 2003-01-30 | 2004-08-12 | Fujitsu Limited | データ改ざん検出方法、データ改ざん検出装置及びデータ改ざん検出プログラム |
JP4547861B2 (ja) * | 2003-03-20 | 2010-09-22 | 日本電気株式会社 | 不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラム |
JP4099510B2 (ja) * | 2005-06-03 | 2008-06-11 | 株式会社エヌ・ティ・ティ・ドコモ | 通信端末装置 |
-
2007
- 2007-02-08 JP JP2007028704A patent/JP4999484B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2008192094A (ja) | 2008-08-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6719079B2 (ja) | 情報機器、データ処理システム、データ処理方法およびコンピュータプログラム | |
JP3748155B2 (ja) | 改ざん防止/検出機能を有するファイル管理システム | |
JP4116024B2 (ja) | ペリフェラルの使用管理方法、電子システム及びその構成装置 | |
WO2018032376A1 (zh) | 一种用于区块链自安全存储系统及其方法 | |
JP2006511877A (ja) | ソフトウェアの改ざんを事前に対処することによって検出するためのシステムおよび方法 | |
CN102236750A (zh) | 在云存储系统中进行权限控制的方法和装置 | |
US10073980B1 (en) | System for assuring security of sensitive data on a host | |
US11803461B2 (en) | Validation of log files using blockchain system | |
Chen et al. | Auditable Version Control Systems. | |
CN111787092A (zh) | 重复提交请求的过滤方法、装置及可读介质 | |
CN115001766A (zh) | 一种高效的多节点批量远程证明方法 | |
CN111865924B (zh) | 一种监控用户端方法及系统 | |
JP4999484B2 (ja) | 通信システム及びサーバ装置 | |
US8341428B2 (en) | System and method to protect computing systems | |
JP2010182020A (ja) | 不正検知装置およびプログラム | |
CN113821446A (zh) | 一种交易系统的测试验证方法及装置 | |
CN111984605A (zh) | 小文件管理方法、电子设备及存储装置 | |
JP4765262B2 (ja) | 電子データ保管装置、プログラム | |
CN111740817A (zh) | 电力数据采集系统中集中器的代码篡改检测方法及系统 | |
KR100632204B1 (ko) | 네트워크 상의 공격 탐지 장치 및 그 방법 | |
JP4862619B2 (ja) | ログ管理方式及びログ管理方法 | |
CN111200741A (zh) | 一种视频处理方法、装置和机器可读存储介质 | |
CN114095175B (zh) | 一种可灰度校验的数据保密方法、装置及存储介质 | |
KR101650445B1 (ko) | 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법 | |
JP2005182509A (ja) | 計算機システム並びにデータ改竄検出方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091027 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120131 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120221 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120417 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120515 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120515 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4999484 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150525 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |