本发明专利技术提出一种数字水印日志的构造方法,属于信息安全领域。其特征在于将数字水印技术与加密技术应用于日志文件的操作之中,防止日志内容被第三方截获、修改和重构,确保日志文件的权威性、不可否认性以及完整性。本发明专利技术可广泛应用于计算机操作系统、网络系统、数据库系统、服务器以及各种应用系统的安全日志文件的构造,具有广阔的应用前景。(*该技术在2023年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术提出一种数字水印日志的构造方法,属于信息安全领域,实现计算机系统日志的权威性、不可否认性以及完整性。
技术介绍
目前,计算机系统的日志文件是以明文方式存于服务器中的,这种方式很不安全,日志记录容易被人非法篡改或破坏,不能作为法庭证据,这给日志审计以及计算机取证带来困难。中国专利公开号为CN 1317745的申请案,是将日志数据存入只容许数据被记录一次的记录介质中。这种方法虽然能防止非法修改,但是成本太高且不利于维护。中国专利公开号为CN 1341902A的申请案是对日志数据进行利用专用的电路及微处理器,对日志数据进行加密后存储在大容量的不可挥发的存储阵列中,可验证单条日志记录数据的真伪,不能对整个日志文件的完整性进行验证,且必须依赖专用设备,成本高,应用范围有很大的局限性。本专利技术将数字水印技术引入计算机系统日志文件中,通过在日志记录中嵌入秘密信息——水印来确保日志记录的权威性、不可否认性以及完整性。这种被嵌入的水印可以是一段文字、标识、序列号以及图像等,而且这种水印通常是不可见或不可察的,它与原始日志记录紧密结合并隐藏其中,不影响对日志记录的审计、查询等操作。构造数字水印日志,可防止日志内容被第三方修改和重构,确保日志文件的权威性、不可否认性以及完整性,能作为法庭证据,可广泛应用于计算机操作系统、网络系统、数据库系统、服务器以及各种应用系统的安全日志文件的构造,具有广阔的应用前景。
技术实现思路
数字水印日志文件是一个顺序的文件,结构上不同于普通的日志文件,其中分两个部分(详细介绍请参见附附图说明图1说明)1)文件头,包含五个部分文件标识符、摘要算法标识符、非对称加密算法标识符、水印、文件签名数据。2)数字水印日志记录,包含两个部分日志内容和记录签名数据。创建数字水印日志文件时,首先填写文件头的有关信息,如文件标识符、摘要算法标识符、非对称加密算法标识符、水印等;其中文件签名数据字段为空,以后每增加一个日志记录,该字段均相应发生变化(详细操作请参见附图3说明)。文件签名数据字段实质上是日志文件中所有日志的摘要信息的密文形式,任何日志记录的细微改变,均将导致摘要信息的巨大差异,因此,验证此字段的签名信息,可验证整个日志文件的完整性。数字水印日志文件创建后,每添加一项日志,根据文件头的相关信息,会产生一个记录签名数据(详细操作请参见附图2说明),然后把日志内容和记录签名数据合并成一个数字水印日志记录,写入文件末尾。其中,日志内容部分是明文,并且对用户是公开的,可以对其进行浏览、查询等操作;而记录签名数据部分是密文,对用户是透明的。记录签名数据实质上是该条日志摘要信息的密文形式,该日志的任何细微变化,均将导致摘要信息的巨大差异,因此,验证此字段的签名信息,可验证该记录的完整性、原始性和不可否认性等。当需要验证整个文件的完整性时,取出文件头的文件签名数据,验证其签名的正确性(详细操作请参见附图4说明),若通过签名验证,则说明所有日志记录没有遭到破坏,日志完整;否则,则说明日志文件已被破坏。当需要验证某条日志记录的权威性和不可否认性时,取出该条记录的记录签名数据,验证其签名的正确性(详细操作请参见附图5说明),若通过签名验证,则说明该条日志记录没有遭到破坏,可信;否则,则说明该条日志已被破坏或是伪造的,不可信。为了进一步说明本专利技术的原理及特征,以下结合附图进行说明。在说明之前,定义图中使用的名词和符号1)H摘要算法,由数字水印日志文件头的摘要算法标识符指定。2)KPV为数字水印日志文件的私钥。3)KPB为数字水印日志文件的公钥。备注KPV,KPB是一对密钥,如RSA密钥,与文件头指定的非对称加密算法相对应,KPV,KPB必须在安全的环境下产生,并须妥善保存。私钥KPV用于加密数据,公钥KPB用于解密数据。4)PKPV(D)表示利用私钥KPV,采用文件头指明的加密算法,对信息D进行加密运算,类似于数字签名过程。5)PKPB′(D)表示利用公钥KPB,采用文件头指明的加密算法,对信息D进行解密运算,类似于验证签名过程。6)W水印,由数字水印日志文件头的水印部分指定。7)+字符串连接运算。注意所有附图中,有阴影的框图表明框图内的数据是密文。图1为数字水印日志文件的结构图。一个数字水印日志文件包括文件头和数字水印日志记录两部分。其中文件头包含五部分内容1)文件标识符字符串,标识数字水印日志文件。2)摘要算法标识符字符串,表示数字水印日志文件使用的摘要算法。可采用目前国内外常用的摘要算法,如MD2、MD5及SHA1等。3)非对称加密算法标识符字符串,表示数字水印日志文件使用的非对称加密算法。可采用国内外常用的非对称加密算法,如RSA、DSA、ECC及DH等。4)水印二进制串,可以是一段文字、标识、序列号以及图象等。5)文件签名数据二进制串,用于检测日志文件的完整性。主要包含水印、所有日志记录摘要信息等,这些信息由上面非对称加密算法标识符指定的算法加密后存储。(请参见图3说明)数字水印日志记录包含两部分内容1)日志内容以明文方式存在,用于记录日志内容,提供用户浏览、查询等功能。2)记录签名数据二进制串,以密文方式存在,用于检测日志记录的权威性以及不可否认性。记录签名数据对用户是透明的,用户不能对其操作。图2为数字水印日志记录的生成模型。向数字水印日志文件中添加一项日志L,具体步骤如下①使用摘要算法H,对(L+W)进行散列运算,求出一个散列值D,即D=H(L+W)。②用私钥KPV加密(D+W),得到记录签名数据E,即E=PKPV(D+W).]]>③在数字水印文件尾创建一项新的数字水印日志记录R。④将日志L写入R的日志部分。⑤把记录签名数据E写入R的记录签名数据部分。图3为文件签名数据的生成模型。向数字水印日志文件添加一项日志L后,必须修改数字水印日志文件头的文件签名数据部分,具体步骤如下①从文件头读取文件签名数据S。②如果文件签名数据为空时(当且仅当创建数字水印文件的时候),令其散列值为空,即M=NULL;否则,用公钥KPB解密S,得到其中的散列值部分M(另一部分是水印W),即M=PKPB′(S)]]>的散列值部分。③利用摘要算法H对(M+L)进行散列运算,得到散列值Mnew,即Mnew=H(M+L)。④用私钥KPV加密散列值Mnew和水印W,得到Snew,即Snew=PKPV(Mnew+W)]]>⑤将Snew写回文件头的文件签名数据部分。图4为日志文件完整性的验证模型。由图3可以看出,数字水印日志文件头的文件签名数据部分与文件中所有数字水印日志记录密切相关。因此,通过完整性验证,可以防止对所有日志记录的非法增加、删除或修改。具体步骤如下 ①从文件头读取文件签名数据S。I.如果S为空,且文件记录数不为0,则验证失败,退出。II.如果S为空,且文件记录数为0,则验证成功,退出。III.如果S不为空,且文件记录数为0,则验证失败,退出。IV.如果S不为空,且文件记录数不为0,则用公钥KPB解密S,得到其散列值部分,即M=PKPB′(S)]]>的散列值部分。②读取文件中每一个数字水印日志记录的日志内容Li(i=1,2,…,n,n为记录数)。③利用本文档来自技高网...
【技术保护点】
一种数字水印日志的构造方法,其特征包括以下步骤:数字水印日志文件的结构;数字水印日志文件头生成的步骤;数字水印日志记录生成的步骤;数字水印日志文件完整性验证的步骤;数字水印日志记录的权威性和不可否认验证的步骤。
【技术特征摘要】
【专利技术属性】
技术研发人员:李涛,
申请(专利权)人:四川大学,
类型:发明
国别省市:90[中国|成都]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。