一种集中管控的可信的数据采集的加密方法技术

本发明专利技术公开了一种集中管控的可信的数据采集的加密方法，其特征在于，所述方法，包括步骤：(1)将大小为Dsz

【技术实现步骤摘要】
一种集中管控的可信的数据采集的加密方法


[0001]本专利技术涉及网络安全、SOC(Security operation center)、数据采集、操作系统、文件系统和数据加密的
，尤其涉及到一种集中管控的可信的数据采集的加密方法。

技术介绍

[0002]一般来说，攻击者对一个企业网络发起的攻击，其攻击的全过程，可以被划分成如下三个阶段：
[0003]1、企业网络运营正常，在此阶段，攻击者会侦察和探测企业网络的弱点/或漏洞，并根据攻击向量尝试不同的远程或本地攻击。日志文件能够在这个阶段捕获攻击类型和攻击者的信息。
[0004]2、企业网络受到威胁，攻击者在企业网络内，但没有完全控制企业网络(或者说，攻击者没有管理权限)。在此阶段，攻击者试图提升权限。日志可能会捕获此阶段的一些痕迹，但攻击者可能更容易隐藏恶意操作。
[0005]3、攻击者提升权限并完全控制机器。攻击者可以删除和操纵日志，以使攻击痕迹消失。
[0006]为此，如何保障第一阶段和第二阶段的日志数据不被攻击者所篡改；否则，则无法检测到攻击者的痕迹；另一方面，如何保障日志数据生成安全、传输安全和存储安全；否则则无法保护日志数据的完整性和不可篡改性，因而也无法建立可信环境。因此，迫切需要研究出一种采集数据的加密方法，以实现集中管控的可信的数据采集。

技术实现思路

[0007]为了解决上述技术问题，本专利技术提供了一种集中管控的可信的数据采集的加密方法，对所采集数据进行加密，以保障集中管控在日志生成阶段、日志传输阶段和日志存储阶段的数据完整性和不可篡改性。
[0008]一种集中管控的可信的数据采集的加密方法，其特征在于，所述方法，包括以下步骤：
[0009](1)将大小为Dsz
i
的数据D
i
添加到偏移量为Loff
i
的日志文件L中；
[0010](2)K
α
的当前偏移量从其头header读取；
[0011](3)K
α
的一个分块C
i
被读取，这个分块大小为常量Csz，且决定了每次写入日志文件L所消耗的密钥长度，与写入日志的大小无关；
[0012](4)K
α
的对应区域被添加数据D
i
；
[0013](5)K
α
的最新偏移量写入其头header；
[0014](6)日志文件L的id的拼接(concatenation)的HMAC，它唯一地标识了日志文件，并计算日志文件L的偏移量Loff
i
、数据长度Dsz
i
、K
α
中的C
i
分块的偏移量Coff
i
和数据D
i
，分块C
i
被加密，且不同分块C
i
被加密的密钥是各不相同的；
[0015](7)该分块C
i
从内存中被删除；
[0016](8)创建带有字段L、Loff
i
、Dsz
i
、Coff
i
和HMAC的记录R；
[0017](9)记录R被附加到ASEAL
log
中。
[0018]进一步地，所述步骤(2)
–
(9)，必须以原子方式执行。
[0019]本专利技术的技术效果在于：
[0020]在本专利技术中，提供了一种集中管控的可信的数据采集的加密方法，其特征在于，所述方法，当把大小为Dsz
i
的数据D
i
附加到偏移量为Loff
i
处的日志文件L时，包括步骤：(1)数据被附加到日志中；(2)K
α
的当前偏移量从其头header读取；(3)K
α
的一个分块C
i
被读取，块大小(决定每次写入所消耗的密钥长度)是常量(Csz)，与写入日志的大小无关；(4)K
α
的对应区域被烧了；(5)K
α
的最新偏移量写入其头header；(6)日志id(L)的关联的HMAC，它唯一地标识日志文件、日志中的偏移量(Loff
i
)、数据长度(Dsz
i
)、对于C
i
(Coff
i
)和计算数据(D
i
)在K
α
中的偏移量被计算了。块C
i
被用作密钥；(7)该块从内存中被删除；(8)创建带有字段L、Loff
i
、Dsz
i
、Coff
i
和HMAC的记录R；(9)记录R被附加到ASEAL
log
中。通过本专利技术，能够保障集中管控在日志生成阶段、日志传输阶段和日志存储阶段的数据完整性和不可篡改性。
附图说明
[0021]图1是一种集中管控的可信的数据采集的加密方法的端到端可信的示意图；
[0022]图2是一种集中管控的可信的数据采集的加密方法的步骤示意图；
[0023]图3是一种集中管控的可信的数据采集的加密方法的示意图。
具体实施方式
[0024]下面是根据附图和实例对本专利技术的进一步详细说明：
[0025]集中管控的可信数据采集的需求，就是维护所采集的日志数据的可用性和完整性，以及不可否认性。这意味着日志可验证地对应于特定系统上发生的事件。也就是说，集中管控的可信数据采集的需求为如图1所示的四个阶段。在安全日志中，验证发生在争议解决期间。
[0026]图1是一种集中管控的可信的数据采集的加密方法的端到端可信的示意图，包括日志生成阶段、日志传输阶段、日志存储阶段和争议解决。下面分别加以描述：
[0027]日志生成阶段，发生在日志源上，为了保障日志生成阶段的数据完整性，日志诸如使用生成系统的私钥签名的数字签名，为每个系统生成一个唯一的公钥/私钥对。
[0028]日志传输阶段，日志事件将从其源传输到存储系统，为了保障日志传输阶段的数据完整性，使用诸如加密连接是维护监护链的必要条件。
[0029]日志存储阶段，为了保障日志存储阶段的数据完整性，接收到的任何日志数据都应以保留可用性和完整性的方式存储，使用诸如修改操作系统内核文件系统的方法等。
[0030]当发生入侵并记录在日志文件中时，就会发生争议。入侵者和受害者都可能试图否认证据的真实性。然后，审计员必须能够验证日志是否在生成后未被任何人修改。
[0031]图2是一种集中管控的可信的数据采集的加密方法的步骤示意图，使用两种不同的存储设备：α以及β.β是将来用于验证日志的外部存储设备，涉及到如下参数：
[0032]1、生成随机Keystream(密钥流)K；
[0033]2、K存储在两个设备中(二进制格式的文件，且包含一个头header)。K<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种集中管控的可信的数据采集的加密方法，其特征在于，所述方法，包括以下步骤：(1)将大小为Dsz
i
的数据D
i
添加到偏移量为Loff
i
的日志文件L中；(2)K
α
的当前偏移量从其头header读取；(3)K
α
的一个分块C
i
被读取，这个分块大小为常量Csz，且决定了每次写入日志文件L所消耗的密钥长度，与写入日志的大小无关；(4)K
α
的对应区域被添加数据D
i
；(5)K
α
的最新偏移量写入其头header；(6)日志文件L的id的拼接的HMAC，它唯一地标识了日志文件，并计算日志文件L的偏移量Loff
i

【专利技术属性】
技术研发人员：凌飞，
申请(专利权)人：南京联成科技发展股份有限公司，
类型：发明
国别省市：