一种日志访问方法、装置、设备及计算机可读存储介质与流程

1.本发明涉及信息安全技术领域，尤其涉及一种日志访问方法、装置、设备及计算机可读存储介质。


背景技术：

2.目前，对于日志的管理，通常是，态势感知系统采集日志并将采集的日志统一发送到日志服务器，由日志服务器对采集的日志进行处理和存储。然而，这种日志管理方式对日志进行管理时，在日志传输、存储以及访问过程中均可能存在信息安全问题，比如，可能会出现日志泄露等情况。


技术实现要素：

3.有鉴于此，本发明的主要目的在于提供一种日志访问方法、装置、设备及计算机可读存储介质，能够用于解决现有技术中可能存在的信息安全问题。
4.为达到上述目的，本发明的技术方案是这样实现的：
5.第一方面，本发明实施例提供一种日志访问方法，所述方法包括：
6.获得日志访问请求，所述日志访问请求至少包括搜索认证信息和关键词信息；
7.对所述关键词信息进行变换处理，获得与所述关键词信息对应的查询向量；
8.确定与所述查询向量匹配的索引向量，基于存储的第一关联关系获得所述索引向量对应的加密日志；
9.在基于所述搜索认证信息获得访问权限的情况下，对所述加密日志进行解密处理，获得目标日志；其中，所述目标日志为与所述日志访问请求匹配的日志。
10.在上述方案中，所述对所述关键词信息进行变换处理，获得与所述关键词信息对应的查询向量，包括：
11.基于多个哈希函数分别对所述关键词信息进行哈希处理，获得每一个哈希数值；
12.将所述每一个哈希数值映射到设定布隆过滤器，获得所述与所述关键词信息对应的查询向量，其中，所述哈希函数的个数不大于所述设定布隆过滤器比特位数。
13.在上述方案中，所述确定与所述查询向量匹配的索引向量，包括：
14.确定所述查询向量与存储的每一个索引向量的匹配度；
15.确定匹配度满足预设阈值的索引向量为与所述查询向量匹配的索引向量。
16.在上述方案中，所述搜索认证信息至少包括用户标识信息和用户密钥信息，所述基于所述搜索认证信息获得访问权限，包括：
17.确定所述用户标识信息是否为设定标识信息；
18.在所述用户标识信息为所述设定标识信息的情况下，基于存储的第二关联关系获得所述加密日志对应的授权凭证信息；
19.确定所述用户密钥信息和所述授权凭证信息是否满足设定条件；
20.在所述用户密钥信息和所述授权凭证信息满足设定条件的情况下，获得所述访问
权限；所述访问权限用于指示用户具有访问所述加密日志的权限。
21.在上述方案中，所述对所述加密日志进行解密处理，获得目标日志，包括：
22.基于所述用户密钥信息和所述授权凭证信息获得与所述加密日志对应的密钥信息；基于所述密钥信息对所述加密日志进行解密处理获得所述目标日志。
23.在上述方案中，所述关键词信息包括多个子关键词信息，所述多个子关键词信息中的每一个子关键词信息不同，所述方法还包括：
24.在基于所述搜索认证信息获得访问权限的情况下，对所述多个子关键词信息中的每一个子关键词信息进行变换处理，获得与每一个子关键词信息对应的子查询向量；
25.确定与每一个子查询向量匹配的子索引向量，以及确定每一个子索引向量对应的子加密日志；
26.基于所述每一个子索引向量对应的子加密日志获得目标日志。
27.在上述方案中，在获得日志访问请求之前，所述方法包括：
28.接收第一设备发送的所述目标日志，按照设定加密方式对所述目标日志进行加密处理获得所述加密日志；
29.识别所述目标日志对应的所述关键词信息，确定与所述关键词信息对应的索引向量；
30.确定所述加密日志和所述索引向量的关联关系，存储所述加密日志、所述索引向量以及所述关联关系。
31.第二方面，本发明实施例还提供一种日志访问装置，所述装置包括：获得单元、变换单元、确定单元和解密单元，其中，
32.所述获得单元，用于获得日志访问请求，所述日志访问请求至少包括搜索认证信息和关键词信息；
33.所述变换单元，用于对所述关键词信息进行变换处理，获得与所述关键词信息对应的查询向量；
34.所述确定单元，用于确定与所述查询向量匹配的索引向量，基于存储的第一关联关系获得所述索引向量对应的加密日志；
35.所述解密单元，用于在基于所述搜索认证信息获得访问权限的情况下，对所述加密日志进行解密处理，获得目标日志；其中，所述目标日志为与所述日志访问请求匹配的日志。
36.在上述方案中，所述变换单元，具体用于：基于多个哈希函数分别对所述关键词信息进行哈希处理，获得每一个哈希数值；将所述每一个哈希数值映射到设定布隆过滤器，获得所述与所述关键词信息对应的查询向量，其中，所述哈希函数的个数不大于所述设定布隆过滤器比特位数。
37.在上述方案中，所述确定单元，具体用于：确定所述查询向量与存储的每一个索引向量的匹配度；确定匹配度满足预设阈值的索引向量为与所述查询向量匹配的索引向量。
38.在上述方案中，所述装置还包括：认证单元，用于在所述搜索认证信息至少包括用户标识信息和用户密钥信息的情况下，确定所述用户标识信息是否为设定标识信息；在所述用户标识信息为所述设定标识信息的情况下，基于存储的第二关联关系获得所述加密日志对应的授权凭证信息；确定所述用户密钥信息和所述授权凭证信息是否满足设定条件；
在所述用户密钥信息和所述授权凭证信息满足设定条件的情况下，获得所述访问权限；所述访问权限用于指示用户具有访问所述加密日志的权限。
39.在上述方案中，所述解密单元，具体用于：基于所述用户密钥信息和所述授权凭证信息获得与所述加密日志对应的密钥信息；基于所述密钥信息对所述加密日志进行解密处理获得所述目标日志。
40.在上述方案中，所述变换单元，还用于在所述关键词信息包括多个子关键词信息，所述多个子关键词信息中的每一个子关键词信息不同，在基于所述搜索认证信息获得访问权限的情况下，对所述多个子关键词信息中的每一个子关键词信息进行变换处理，获得与每一个子关键词信息对应的子查询向量；
41.所述确定单元，还用于确定与每一个子查询向量匹配的子索引向量，以及确定每一个子索引向量对应的子加密日志；基于所述每一个子索引向量对应的子加密日志获得目标日志。
42.在上述方案中，所述装置还包括：加密单元和识别单元；
43.其中，所述加密单元，用于接收第一设备发送的所述目标日志，按照设定加密方式对所述目标日志进行加密处理获得所述加密日志；
44.所述识别单元，用于识别所述目标日志对应的所述关键词信息，确定与所述关键词信息对应的索引向量；
45.所述确定单元，还用于确定所述加密日志和所述索引向量的关联关系，存储所述加密日志、所述索引向量以及所述关联关系。
46.第三方面，本发明实施还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被至少一个处理器执行时实现上述所述方法的任一步骤。
47.第四方面，本发明实施例还提供一种日志访问设备，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执行上述所述方法的步骤。
48.本发明实施例提供一种日志访问方法、装置、设备及计算机可读存储介质，所述方法包括：获得日志访问请求，所述日志访问请求至少包括搜索认证信息和关键词信息；对所述关键词信息进行变换处理，获得与所述关键词信息对应的查询向量；确定与所述查询向量匹配的索引向量，基于存储的第一关联关系获得所述索引向量对应的加密日志；在基于所述搜索认证信息获得访问权限的情况下，对所述加密日志进行解密处理，获得目标日志；其中，所述目标日志为与所述日志访问请求匹配的日志。其中，本发明实施例首先通过将访问的关键词信息进行变换，获得查询向量以及索引向量，进而根据第一关联关系获得加密日志，然后在通过搜索认证信息获得访问权限后，才能进行解密以获得目标日志，这样，可有效保护日志信息的安全，避免非授权用户获得该目标日志，从而解决现有技术中的问题。
附图说明
49.图1为相关技术中态势感知系统的日志管理方法示意图；
50.图2为本发明实施例提供的一种日志访问方法流程示意图；
51.图3为本发明实施例提供的一种具体实现方式的流程示意图；
52.图4为本发明实施例提供的一种日志访问装置结构示意图；
53.图5为本发明实施例提供的一种日志访问设备的硬件结构示意图。
具体实施方式
54.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对发明的具体技术方案做进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。
55.为了便于理解本发明，先对态势感知系统的相关技术作简单的介绍。
56.根据《中华人民共和国网络安全法规定》第二十一条的要求：网络运营者应当采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。
57.态势感知系统通过集中收集和存储网络设备、安全设备的大量日志信息，并利用大数据分析技术实现对系统安全风险的发现和预测。这些日志信息需要按照规定存储6个月甚至更久，同时要满足系统、用户和审计人员对日志信息的搜索和查看需求。
58.基于此，需要对这些大量的日志信息进行管理。目前，日志管理方法是将日志信息进行日志采集，然后经过日志采集处理模块将采集的日志信息进行格式化处理，将格式化的日志信息统一发送到日志服务器，日志服务器对日志信息进行解析和分类存储，并创建日志分类索引目录。用户根据自己的查看权限，在态势感知系统的日志展示页面(也可以称为门户界面)通过分类索引目录搜索和查看日志信息，并支持将日志信息导出为不同的形式进行下载，其具体过程如下图1所示。
59.由图1可知，将态势感知系统中采集的日志信息统一发送到日志服务器进行处理和存储，可以缓解系统本身的日志信息分析和存储压力，但引入了更多日志信息的安全问题。日志信息在传输、存储、搜索和查看的过程中，都会面临数据机密性问题，很难保证日志信息的安全。
60.其中，目前态势感知系统的日志管理方法主要有以下缺点：日志信息传输过程中安全性无法保证。现有方案中将处理过后的格式化日志信息传输到日志服务器，由日志服务器进行解析并生成日志分类索引目录，再将目录传输到门户界面供用户检索使用。传输信道是及其脆弱的，攻击者可以通过窃听、中间人攻击等手段捕获格式化日志和分类索引目录，很容易通过分析两者之间的关联，还原出明文日志信息，造成日志信息的泄露和篡改。
61.基于此，如图2所示，其示出本发明实施例提供一种日志访问方法，所述方法包括：
62.s201：获得日志访问请求，所述日志访问请求至少包括搜索认证信息和关键词信息；
63.s202：对所述关键词信息进行变换处理，获得与所述关键词信息对应的查询向量；
64.s203：确定与所述查询向量匹配的索引向量，基于存储的第一关联关系获得所述索引向量对应的加密日志；
65.s204：在基于所述搜索认证信息获得访问权限的情况下，对所述加密日志进行解密处理，获得目标日志；其中，所述目标日志为与所述日志访问请求匹配的日志。
66.需要说明的是，在获得日志访问请求之前，所述方法包括：
67.接收第一设备发送的所述目标日志，按照设定加密方式对所述目标日志进行加密
system for mobile communications)模块、通用分组无线服务(gprs，general packet radio service)模块等等。
80.在一些实施例中，所述关键词信息是用于表征目标日志的关键信息，比如，关键词信息可以为目标日志被采集的设备类型、源互联网协议(ip，internetprotocol)地址、源端口、目的ip地址、目的端口、安全事件类型、被采集事件等等；所述搜索认证信息用于获得用户的访问目标日志的权限。
81.在一些实施例中，对于s202，包括：
82.基于多个哈希函数分别对所述关键词信息进行哈希处理，获得每一个哈希数值；
83.将所述每一个哈希数值映射到设定布隆过滤器，获得所述与所述关键词信息对应的查询向量，其中，所述哈希函数的个数不大于所述设定布隆过滤器比特位数。
84.需要说明的是，设定布隆过滤器是一个数据结构，也可称为概率性数据结构(probabilistic data structure)，特点是高效的插入和查询。设定布隆过滤器的数据结构是一个比特(bit)向量或者说bit数组，该bit向量(bit数组)中的每个元素都只占1比特(bit)空间，并且每个元素只能为0或1。设定布隆过滤器还需要拥有k(k为任一正整数)个哈希函数，在这种情况下，当要将一个关键词信息存储在设定布隆过滤器中时，需要使用k个哈希函数对该关键词信息进行哈希计算，得到k个哈希值，并且根据得到的哈希值，将设定布隆过滤器中对应的下标置位1。在后续若要判断某一关键词信息是否在设定布隆过滤器中，就对该某一关键词信息采用上述同样的k个哈希函数对该某一关键词信息进行哈希计算，判断得到的k个哈希值在设定布隆过滤器中对应的位是否都为1，若都为1，则就说明该某一关键词信息在该设定布隆过滤器中。
85.这里，设定布隆过滤器的bit向量(bit数组)的长度会直接影响查询已经存储在设定布隆过滤器中的信息的准确性，一般情况下，设定布隆过滤器的长度越长其查询的准确性越高。此外，哈希函数的个数会影响查询已经存储在设定布隆过滤器中的信息的效率和准确性，一般情况下，哈希函数的个数越多，则查询的准确性越高但查询的效率越低。因此，在实际应用过程中，设定布隆过滤器的长度和选用哈希函数的个数需要根据用户对查询效率和查询准确性的实际要求进行设定。
86.这里，所说的与所述关键词信息对应的查询向量可以是指将所述关键词信息经过多个哈希函数进行哈希处理后，获得每一个哈希值，然后将设定布隆过滤器中每一个哈希值对应的位置1后，得到的bit向量，其实质为二进制矢量。
87.举例来说，假设设定布隆过滤器的长度为8位，且采用三个哈希函数对关键词信息进行哈希处理之后获得的哈希值分别为1、4、7时，此时，与所述关键词信息对应的查询向量就为(10010010)。
88.在一些实施例中，所述确定与所述查询向量匹配的索引向量，包括：
89.确定所述查询向量与存储的每一个索引向量的匹配度；
90.确定匹配度满足预设阈值的索引向量为与所述查询向量匹配的索引向量。
91.需要说明的是，这里所说的存储的每一个索引向量是指已经存储的每一个加密的日志信息对应的向量，加密的日志信息与索引向量一一对应，其中，索引向量的格式与前述的查询向量的格式一样，也即，索引向量也是二进制矢量。
92.这里，所说的确定所述查询向量与存储的每一个索引向量的匹配度可以是指将确
定所述查询向量与存储的每一个索引向量进行内积计算，得到的每一个索引向量对应的内积值就是查询向量与存储的每一个索引向量的匹配度。
93.需要说明的是，预设阈值可以是指所述查询向量与其本身的内积值。这样，所说的确定匹配度满足预设阈值的索引向量为与所述查询向量匹配的索引向量可以是指所述查询向量与存储的每一个索引向量的内积值越接近预设阈值，此时，对应的索引向量就是与所述查询向量匹配的索引向量。
94.在实际应用过程中，在获得与所述查询向量匹配的索引向量后，基于存储的第一关联关系获得所述索引向量对应的加密日志，其中，所述第一关联关系是指索引向量与加密日志之间一一对应的关系。
95.在一些实施例中，所述搜索认证信息至少包括用户标识信息和用户密钥信息，所述基于所述搜索认证信息获得访问权限，包括：
96.确定所述用户标识信息是否为设定标识信息；
97.在所述用户标识信息为所述设定标识信息的情况下，基于存储的第二关联关系获得所述加密日志对应的授权凭证信息；
98.确定所述用户密钥信息和所述授权凭证信息是否满足设定条件；
99.在所述用户密钥信息和所述授权凭证信息满足设定条件的情况下，获得所述访问权限；所述访问权限用于指示用户具有访问所述加密日志的权限；
100.其中，确定所述用户密钥信息和所述授权凭证信息是否满足设定条件，包括：将所述用户密钥信息和所述授权凭证信息代入特定等式，若所述用户密钥信息和所述授权凭证信息使得所述特定等式两边相等，则确定所述用户密钥信息和所述授权凭证信息满足设定条件；若所述用户密钥信息和所述授权凭证信息不能使所述特定等式两边相等，则确定所述用户密钥信息和所述授权凭证信息不满足设定条件。
101.需要说明的是，所说的用户标识信息是表征用户身份的唯一标识，换句话说，用户标识信息就像用户的身份证类似，用于证明该用户的身份。在这种情况下，这里所说的确定所述用户标识信息是否为设定标识信息可以是确定态势感知系统中是否含有与所述用户标识信息匹配的标识信息，若存在，该用户标识信息就是设定标识信息；若不存在，该用户标识信息不是设定标识信息。
102.在实际应用过程中，在所述用户标识信息为所述设定标识信息的情况下，基于存储在态势感知系统中的第二关联关系获得所述加密日志对应的授权凭证信息，其中，所述第二关联关系可以是指加密日志与用户的授权凭证信息之间一一对应的关系。
103.在一些实施例中，这里所说的用户密钥信息是在日志存储过程中，由态势感知系统根据采用的访问控制策略生成的密钥信息，并将其发送给用户，使得用户可以基于该密钥信息和后续的授权凭证信息获得访问加密日志的权限。所述授权凭证信息可以是指保留在态势感知系统中的允许用户查询加密日志的凭证。这里所指的设定条件根据不同的访问控制策略进行设置；所说的特定等式也随不同访问控制策略而变化。
104.作为一种实施方式，当访问控制策略采用基于密文策略的属性加密 (cp-abe，ciphertext policy attribute-based encryption)时，该cp-abe工作的基本原理是：将访问结构和加密数据相关联，属性集合与用户私钥相关联，实现对加密数据的访问控制，其中，所述访问结构用于表示访问控制策略中制定的策略，通过定义授权集合和非授权集合，
实现秘密共享的访问控制，其包括两种类型：1)访问树，利用访问树构造的cp-abe方案结构简单，安全性低； 2)线性秘密共享方案(lsss，linear secret sharing scheme)，利用lsss构造的cp-abe方案复杂度较高，安全性高；所述加密数据可以是指要访问的数据，比如，加密数据可以是指本发明中的日志信息；也可以是指加密本发明的日志信息的密钥等等；所述属性集合可以是指根据用户属性集合，比如，身份识别号、角色等。
105.这里，本发明采用混合加密方式，将设定加密方式和cp-abe算法相结合，在有效保护设定加密方式的密钥安全的同时，实现对日志搜索的权限控制，有效防止数据泄露，换句话说，将设定加密方式的加密密钥作为加密数据，采用 cp-abe算法作为获得能够解密前述加密的目标日志的加密密钥的算法，二者共同实现对日志搜索的权限控制。
106.举例来说，采用基于aes算法和cp-abe算法获得日志搜索访问权限时：
107.系统公钥和主密钥可以为：
[0108][0109]
其中，pk为系统公钥，msk为系统主密钥；α，β为随机数属于zn；n为合数阶双线性群g的阶，g、x1、x3、x4为群g的生成元，t＝x1x4；h为哈希函数，对于属性集合中任意属性i，计算h(i)，选择随机数s
h(i)
∈zn。
[0110]
用户密钥信息的结构可以为：
[0111][0112]
其中，sk为用户密钥信息；s为用户属性集合；h(x)为任意用户属性x对应的哈希值，取自系统公钥；r
x
，r为随机数，属于zn；r，r’为随机数，属于 g；g为群g的生成元；α，β为随机数，取自系统公钥和系统主密钥。
[0113]
日志信息的授权凭证信息的结构可以为：
[0114][0115]
其中，ct为授权凭证信息；c0为授权凭证组成部分；k为对称加密密钥； e(g，g)
α
取自系统公钥；s为随机数；l为lsss访问控制矩阵；g为群的生成元，s为随机数，v
x
为随机数，a
x
为a的第x行，a为l
×
n的访问控制矩阵，行映射函数为ρ:a
x
→
ρ(x),ρ(x)∈h(u)，每个ρ(x)对应一个用户属性。对于任意x∈l，选择随机数w
x
,v
x
∈g；u为n维向量，其第一项为α，其他项为随机数；x1取自系统公钥；t
ρ(x)
取自系统公钥；s为随机数，w
x
为随机数。
[0116]
此时，访问权限的审计利用授权凭证ct和用户私钥sk进行计算，h(s)为关于用户的属性集合s的哈希值，(a,ρ)为关于日志的访问结构和行映射函数。若用户访问权限满足日志的授权集合，即h(s)能满足访问结构a，则可以找到常数ω
x
使得v为一个向量，其中第一项为1，其他项为0。
[0117]
也即：将ct结构和sk结构中各元素，代入如下特定等式进行验证，
[0118][0119]
若上述特定等式成立，则表明所述用户密钥信息和所述授权凭证信息满足设定条件，也即：表明搜索用户有权限访问该日志，其具体验证过程可参考现有技术中的验证过程，在此不再赘述。
[0120]
在一些实施例中，所述对所述加密日志进行解密处理，获得目标日志，包括：
[0121]
基于所述用户密钥信息和所述授权凭证信息获得与所述加密日志对应的密钥信息；基于所述密钥信息对所述加密日志进行解密处理获得所述目标日志。
[0122]
这里，在上述验证了搜索用户有权限访问该日志后，可以根据态势感知系统利用权限审计的计算结果和授权凭证，计算得到aes加密密钥k，也即：目标日志对应的密钥信息：
[0123][0124]
然后，用加密密钥对加密日志进行解密，获得用户想要查询的所述目标日志。
[0125]
在一些实施例中，所述关键词信息包括多个子关键词信息，所述多个子关键词信息中的每一个子关键词信息不同，所述方法还包括：
[0126]
在基于所述搜索认证信息获得访问权限的情况下，对所述多个子关键词信息中的每一个子关键词信息进行变换处理，获得与每一个子关键词信息对应的子查询向量；
[0127]
确定与每一个子查询向量匹配的子索引向量，以及确定每一个子索引向量对应的子加密日志；
[0128]
基于所述每一个子索引向量对应的子加密日志获得目标日志。
[0129]
需要说明的是，为了查询的更准确时，可以采用日志信息对应的多个子关键词信息，然后对每一个子关键词信息进行如前述的变换处理，获得与每一个子关键词信息对应的子查询向量，确定与每一个子查询向量匹配的子索引向量，以及确定每一个子索引向量对应的子加密日志；在获得每一个子索引向量对应的子加密日志后，基于所述每一个子索引向量对应的子加密日志获得目标日志。
[0130]
在一些实施例中，基于所述每一个子索引向量对应的子加密日志获得目标日志可以是指统计相同子加密日志数量最多的，将该子加密日志作为要查询的加密日志，然后对该加密日志进行如前述方式的解密，获得目标日志，其中，加密过程与前述一样在此不再赘述。
[0131]
本发明实施例提供的日志访问方法，首先通过将访问的关键词信息进行变换，获得查询向量以及索引向量，进而根据第一关联关系获得加密日志，然后在通过搜索认证信息获得访问权限后，才能进行解密以获得目标日志，这样，可有效保护日志信息搜索的安全，避免非授权用户访问日志信息。
[0132]
为了理解本发明，如图3所示，其示出本发明实施例提供的一种具体实现方式的流程示意图。在该实现方式中，仅在原有的态势感知系统中新增日志安全处理模块，对原始日志信息进行安全处理后再传输和上传到日志服务器，更好的保护态势感知系统日志信息的安全。同时不会增加额外的计算和存储开销，保证态势感知系统正常业务的同时，增强日志信息的机密性和完整性。其中，新增的日志安全处理模块，主要负责日志信息加密、日志信息解密、生成日志信息的索引向量、生成查询向量、访问权限审计等工作。换句话说，前述的日志访问方法就是在该安全处理模块中完成的。
[0133]
其中，日志安全处理模块实现前述的日志访问方法的主要过程大致如下：根据日志采集处理模块提取出的日志信息关键字，日志安全处理模块将关键字映射到布隆过滤器中构成日志索引向量。布隆过滤器是一种存储有效的向量型数据结构，标准的布隆过滤器是一个n位的比特位数组，用它来构造日志索引向量，可以有效的隐藏日志关键字信息，空间占用很少。在搜索时，日志安全处理模块根据用户搜索关键字，用同样的方式生成查询向量。日志服务器只需要将查询向量和日志索引向量做内积运算，即可得到包含这些关键字的索引向量，进而根索引向量匹配到加密的原始日志。日志安全处理模块还负责日志的加解密和访问权限审计，通过混合加密的方式，用aes对称加密日志信息，再用cp-abe加密算法将aes对称加密密钥包含在授权凭证中，搜索时需要验证用户的访问权限通过才能得到搜索结果，实现日志的访问控制，在保护日志数据安全的同时，防止非授权用户获得原始日志信息，有效防止日志泄露。其具体获得访问权限的过程，在前述已经详细说明，在此不再赘述。
[0134]
与现有技术相比，本发明实施例的优点主要体现在：
[0135]
(1)所有日志查询和匹配操作，不再需要维护一个日志分类索引目录，引入索引向量和查询向量直接进行匹配。基于布隆过滤器构造的向量已打乱原始信息的频率分布信息，而且是不可恢复的，在传输过程中可以有效避免攻击者的窃听等攻击，同时可以避免日志服务器获取到关键字信息而做进一步的分析，避免信息泄露。
[0136]
(2)为了保护原始日志数据安全，本发明实施例对日志进行对称加密处理，对称加密的运算速度很快，不会增加系统额外的计算开销，并且日志的加解密过程都是在态势感知系统中完成，在传输和日志服务器存储中，都是以密文的形式存在，可以有效保护日志文件数据隐私。而在现有技术中是直接将格式化日志传输到日志服务器，
[0137]
(3)本发明实施例利用混合加密方式，将aes加密算法和cp-abe算法相结合，在有效保护aes密钥安全的同时，实现对日志搜索的权限控制，有效防止数据泄露。
[0138]
基于相同的发明构思，如图4所示，其示出本发明实施例提供的一种日志访问装置，所述装置40包括：获得单元401、变换单元402、确定单元403和解密单元404，其中，
[0139]
所述获得单元401，用于获得日志访问请求，所述日志访问请求至少包括搜索认证信息和关键词信息；
[0140]
所述变换单元402，用于对所述关键词信息进行变换处理，获得与所述关键词信息对应的查询向量；
[0141]
所述确定单元403，用于确定与所述查询向量匹配的索引向量，基于存储的第一关联关系获得所述索引向量对应的加密日志；
[0142]
所述解密单元404，用于在基于所述搜索认证信息获得访问权限的情况下，对所述
加密日志进行解密处理，获得目标日志；其中，所述目标日志为与所述日志访问请求匹配的日志。
[0143]
在一些实施例中，所述变换单元402，具体用于：基于多个哈希函数分别对所述关键词信息进行哈希处理，获得每一个哈希数值；将所述每一个哈希数值映射到设定布隆过滤器，获得所述与所述关键词信息对应的查询向量，其中，所述哈希函数的个数不大于所述设定布隆过滤器比特位数。
[0144]
在一些实施例中，所述确定单元403，具体用于：确定所述查询向量与存储的每一个索引向量的匹配度；确定匹配度满足预设阈值的索引向量为与所述查询向量匹配的索引向量。
[0145]
在一些实施例中，所述装置40还包括：认证单元，用于在所述搜索认证信息至少包括用户标识信息和用户密钥信息的情况下，确定所述用户标识信息是否为设定标识信息；在所述用户标识信息为所述设定标识信息的情况下，基于存储的第二关联关系获得所述加密日志对应的授权凭证信息；确定所述用户密钥信息和所述授权凭证信息是否满足设定条件；在所述用户密钥信息和所述授权凭证信息满足设定条件的情况下，获得所述访问权限；所述访问权限用于指示用户具有访问所述加密日志的权限。
[0146]
在一些实施例中，所述解密单元404，具体用于：基于所述用户密钥信息和所述授权凭证信息获得与所述加密日志对应的密钥信息；基于所述密钥信息对所述加密日志进行解密处理获得所述目标日志。
[0147]
在一些实施例中，所述变换单元402，还用于在所述关键词信息包括多个子关键词信息，所述多个子关键词信息中的每一个子关键词信息不同，在基于所述搜索认证信息获得访问权限的情况下，对所述多个子关键词信息中的每一个子关键词信息进行变换处理，获得与每一个子关键词信息对应的子查询向量；
[0148]
所述确定单元403，还用于确定与每一个子查询向量匹配的子索引向量，以及确定每一个子索引向量对应的子加密日志；基于所述每一个子索引向量对应的子加密日志获得目标日志。
[0149]
在一些实施例中，所述装置40还包括：加密单元和识别单元；
[0150]
其中，所述加密单元，用于接收第一设备发送的所述目标日志，按照设定加密方式对所述目标日志进行加密处理获得所述加密日志；
[0151]
所述识别单元，用于识别所述目标日志对应的所述关键词信息，确定与所述关键词信息对应的索引向量；
[0152]
所述确定单元403，还用于确定所述加密日志和所述索引向量的关联关系，存储所述加密日志、所述索引向量以及所述关联关系。
[0153]
需要说明的是，本发明实施例提供的日志访问装置与前述的方法属于同样的发明构思，均是首先通过将访问的关键词信息进行变换，获得查询向量以及索引向量，进而根据第一关联关系获得加密日志，然后在通过搜索认证信息获得访问权限后，才能进行解密以获得目标日志，这样，可有效保护日志信息搜索的安全，避免非授权用户访问日志信息。前述各装置中出现名词的含义在前述日志访问方法中已经详细阐述，在此不再赘述。
[0154]
本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序处理器被处理器执行时实现上述方法实施例的步骤，而前述的存储介质包括：移
动存储设备、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0155]
本发明实施例还提供一种日志访问设备，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执行存储在存储器中的上述方法实施例的步骤。
[0156]
图5为本发明实施例日志访问设备的一种硬件结构示意图，该日志访问设备5包括：至少一个处理器501、存储器502，可选的，日志访问设备5还可进一步包括至少一个通信接口503，日志访问设备5中的各个组件通过总线系统 504耦合在一起，可理解，总线系统504用于实现这些组件之间的连接通信。总线系统504除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图5中将各种总线都标为总线系统504。
[0157]
可以理解，存储器502可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(rom，read only memory)、可编程只读存储器(prom，programmable read-onlymemory)、可擦除可编程只读存储器(eprom，erasable programmableread-only memory)、电可擦除可编程只读存储器(eeprom，electricallyerasable programmable read-only memory)、磁性随机存取存储器(fram， ferromagnetic random access memory)、快闪存储器(flash memory)、磁表面存储器、光盘、或只读光盘(cd-rom，compact disc read-only memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(ram，random access memory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(sram，static random access memory)、同步静态随机存取存储器(ssram， synchronous static random access memory)、动态随机存取存储器(dram， dynamic random access memory)、同步动态随机存取存储器(sdram， synchronous dynamic random access memory)、双倍数据速率同步动态随机存取存储器(ddrsdram，double data rate synchronous dynamic random accessmemory)、增强型同步动态随机存取存储器(esdram，enhanced synchronousdynamic random access memory)、同步连接动态随机存取存储器(sldram， synclink dynamic random access memory)、直接内存总线随机存取存储器 (drram，direct rambus random access memory)。本发明实施例描述的存储器502旨在包括但不限于这些和任意其它适合类型的存储器。
[0158]
本发明实施例中的存储器502用于存储各种类型的数据以支持日志访问设备5的操作。这些数据的示例包括：用于在日志访问设备5上操作的任何计算机程序，如对所述关键词信息进行变换处理，获得与所述关键词信息对应的查询向量等，实现本发明实施例方法的程序可以包含在存储器502中。
[0159]
上述本发明实施例揭示的方法可以应用于处理器501中，或者由处理器501 实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(dsp，digital signalprocessor)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器
等。结合本发明实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成前述方法的步骤。
[0160]
在示例性实施例中，日志访问设备5可以被一个或多个应用专用集成电路 (asic，application specific integrated circuit)、dsp、可编程逻辑器件(pld，programmable logic device)、复杂可编程逻辑器件(cpld，complexprogrammable logic device)、现场可编程门阵列(fpga，field-programmablegate array)、通用处理器、控制器、微控制器(mcu，micro controller unit)、微处理器(microprocessor)、或其他电子元件实现，用于执行上述方法。
[0161]
在本发明所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
[0162]
以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。