一种集中管控的可信的数据采集的加密方法与流程

1.本发明涉及网络安全、soc(security operation center)、数据采集、操作系统、文件系统和数据加密的技术领域，尤其涉及到一种集中管控的可信的数据采集的加密方法。


背景技术：

2.一般来说，攻击者对一个企业网络发起的攻击，其攻击的全过程，可以被划分成如下三个阶段：
3.1、企业网络运营正常，在此阶段，攻击者会侦察和探测企业网络的弱点/或漏洞，并根据攻击向量尝试不同的远程或本地攻击。日志文件能够在这个阶段捕获攻击类型和攻击者的信息。
4.2、企业网络受到威胁，攻击者在企业网络内，但没有完全控制企业网络(或者说，攻击者没有管理权限)。在此阶段，攻击者试图提升权限。日志可能会捕获此阶段的一些痕迹，但攻击者可能更容易隐藏恶意操作。
5.3、攻击者提升权限并完全控制机器。攻击者可以删除和操纵日志，以使攻击痕迹消失。
6.为此，如何保障第一阶段和第二阶段的日志数据不被攻击者所篡改；否则，则无法检测到攻击者的痕迹；另一方面，如何保障日志数据生成安全、传输安全和存储安全；否则则无法保护日志数据的完整性和不可篡改性，因而也无法建立可信环境。因此，迫切需要研究出一种采集数据的加密方法，以实现集中管控的可信的数据采集。


技术实现要素：

7.为了解决上述技术问题，本发明提供了一种集中管控的可信的数据采集的加密方法，对所采集数据进行加密，以保障集中管控在日志生成阶段、日志传输阶段和日志存储阶段的数据完整性和不可篡改性。
8.一种集中管控的可信的数据采集的加密方法，其特征在于，所述方法，包括以下步骤：
9.(1)将大小为dszi的数据di添加到偏移量为loffi的日志文件l中；
10.(2)k
α
的当前偏移量从其头header读取；
11.(3)k
α
的一个分块ci被读取，这个分块大小为常量csz，且决定了每次写入日志文件l所消耗的密钥长度，与写入日志的大小无关；
12.(4)k
α
的对应区域被添加数据di；
13.(5)k
α
的最新偏移量写入其头header；
14.(6)日志文件l的id的拼接(concatenation)的hmac，它唯一地标识了日志文件，并计算日志文件l的偏移量loffi、数据长度dszi、k
α
中的ci分块的偏移量coffi和数据di，分块ci被加密，且不同分块ci被加密的密钥是各不相同的；
15.(7)该分块ci从内存中被删除；
16.(8)创建带有字段l、loffi、dszi、coffi和hmac的记录r；
17.(9)记录r被附加到aseal
log
中。
18.进一步地，所述步骤(2)
–
(9)，必须以原子方式执行。
19.本发明的技术效果在于：
20.在本发明中，提供了一种集中管控的可信的数据采集的加密方法，其特征在于，所述方法，当把大小为dszi的数据di附加到偏移量为loffi处的日志文件l时，包括步骤：(1)数据被附加到日志中；(2)k
α
的当前偏移量从其头header读取；(3)k
α
的一个分块ci被读取，块大小(决定每次写入所消耗的密钥长度)是常量(csz)，与写入日志的大小无关；(4)k
α
的对应区域被烧了；(5)k
α
的最新偏移量写入其头header；(6)日志id(l)的关联的hmac，它唯一地标识日志文件、日志中的偏移量(loffi)、数据长度(dszi)、对于ci(coffi)和计算数据(di)在k
α
中的偏移量被计算了。块ci被用作密钥；(7)该块从内存中被删除；(8)创建带有字段l、loffi、dszi、coffi和hmac的记录r；(9)记录r被附加到aseal
log
中。通过本发明，能够保障集中管控在日志生成阶段、日志传输阶段和日志存储阶段的数据完整性和不可篡改性。
附图说明
21.图1是一种集中管控的可信的数据采集的加密方法的端到端可信的示意图；
22.图2是一种集中管控的可信的数据采集的加密方法的步骤示意图；
23.图3是一种集中管控的可信的数据采集的加密方法的示意图。
具体实施方式
24.下面是根据附图和实例对本发明的进一步详细说明：
25.集中管控的可信数据采集的需求，就是维护所采集的日志数据的可用性和完整性，以及不可否认性。这意味着日志可验证地对应于特定系统上发生的事件。也就是说，集中管控的可信数据采集的需求为如图1所示的四个阶段。在安全日志中，验证发生在争议解决期间。
26.图1是一种集中管控的可信的数据采集的加密方法的端到端可信的示意图，包括日志生成阶段、日志传输阶段、日志存储阶段和争议解决。下面分别加以描述：
27.日志生成阶段，发生在日志源上，为了保障日志生成阶段的数据完整性，日志诸如使用生成系统的私钥签名的数字签名，为每个系统生成一个唯一的公钥/私钥对。
28.日志传输阶段，日志事件将从其源传输到存储系统，为了保障日志传输阶段的数据完整性，使用诸如加密连接是维护监护链的必要条件。
29.日志存储阶段，为了保障日志存储阶段的数据完整性，接收到的任何日志数据都应以保留可用性和完整性的方式存储，使用诸如修改操作系统内核文件系统的方法等。
30.当发生入侵并记录在日志文件中时，就会发生争议。入侵者和受害者都可能试图否认证据的真实性。然后，审计员必须能够验证日志是否在生成后未被任何人修改。
31.图2是一种集中管控的可信的数据采集的加密方法的步骤示意图，使用两种不同的存储设备：α以及β.β是将来用于验证日志的外部存储设备，涉及到如下参数：
32.1、生成随机keystream(密钥流)k；
33.2、k存储在两个设备中(二进制格式的文件，且包含一个头header)。k
α
密钥流(keystream)被存储在α中，k
β
密钥流(keystream)被存储在β中。
34.3、k
α
和k
β
的头header已被初始化。它们有两个字段，一个字段是：k
α
header.id，它是密钥流的id号，其中k
α
和k
β
将共享之以配对它们；另一个字段是：k
α
header.off，它是密钥流的当前偏移量，在α和β上都被初始化为零。
35.4、β与系统被断开物理连接，并保存在安全的地方。
36.5、系统创建一个文件aseal
log
来存储日志的身份认证数据和元数据。
37.图3是一种集中管控的可信的数据采集的加密方法的示意图，当写入日志时，涉及hmac(key，msg)：hmac(key，msg)是一种安全密钥哈希消息认证码算法(keyed-hash message authentica-tion code algorithm)。函数的输入是一个密钥和一条消息。输出是依赖于密钥的消息的安全摘要。
38.如图3的加密算法，仅允许附加写操作(即日志末尾的写操作)。当一些大小为dszi的数据di必须附加到偏移量为loffi处的日志文件l时，执行以下操作步骤：
39.一种集中管控的可信的数据采集的加密方法，其特征在于，所述方法，包括以下步骤：
40.(1)将大小为dszi的数据di添加到偏移量为loffi的日志文件l中；
41.(2)k
α
的当前偏移量从其头header读取；
42.(3)k
α
的一个分块ci被读取，这个分块大小为常量csz，且决定了每次写入日志文件l所消耗的密钥长度，与写入日志的大小无关；
43.(4)k
α
的对应区域被添加数据di；
44.(5)k
α
的最新偏移量写入其头header；
45.(6)日志文件l的id的拼接的hmac，它唯一地标识了日志文件，并计算日志文件l的偏移量loffi、数据长度dszi、k
α
中的ci分块的偏移量coffi和数据di，分块ci被加密，且不同分块ci被加密的密钥各不相同，否则会被攻击者解密，从而攻击者可以修改所有有关的该攻击者的日志；
46.(7)该分块ci从内存中被删除；
47.(8)创建带有字段l、loffi、dszi、cofii和hmac的记录r；
48.(9)记录r被附加到aseal
log
中。
49.上述步骤(2)
–
(9)必须以原子方式执行，以保持k
α
header.off的完整性和aseal
log
的顺序。这是从算法并发性的角度出发的。如果这个不变量未能被保留，它仍然会在审计中被检测到。
50.系统需要额外的空间来存储四个整数值和每次写入操作的hmac摘要(与每次附加操作写入日志文件的字节数无关)。
51.以上所述仅为本发明的较佳实施例，并非用来限定本发明的实施范围；凡是依本发明所作的等效变化与修改，都被视为本发明的专利范围所涵盖。