【技术实现步骤摘要】
审计日志存储方法、验证方法、装置和计算机设备
[0001]本申请涉及信息安全
,特别是涉及一种审计日志存储方法、验证方法、装置、计算机设备、存储介质和计算机程序产品。
技术介绍
[0002]审计日志的安全存储更注重其内容的完整性,而非保密性。为了保护审计日志不会被篡改或重放攻击,通常会对审计日志进行哈希(Hash)计算,并对Hash值进行签名,以确保其完整性。
[0003]现有的基于可信计算技术的安全存储,包括审计日志的安全存储,主要采用了受硬件安全芯片保护的私钥对审计日志签名来确保完整性,然而,现有方法在每存储一条审核记录时,都要进行绑定签名,签名次数与审计记录条数相同,审计日志的高频更新将会导致造成签名过于频繁。而若每隔一段时间,对审计日志整体进行绑定签名,那么在最近一次签名后新产生的审计日志内容就可能被篡改,或重放攻击。
[0004]因此,不论是日志整体签名方式,还是单条日志签名方式,都不适合大规模审计日志的安全存储。
技术实现思路
[0005]基于此,有必要针对上述日志整体签名方...
【技术保护点】
【技术特征摘要】
1.一种审计日志存储方法,其特征在于,所述方法包括:获取待存储审计日志,生成所述待存储审计日志的单调计数信息;将所述待存储审计日志和所述单调计数信息,插入当前布隆过滤器;所述当前布隆过滤器存储在可信计算环境中;当所述当前布隆过滤器的存储状态为已存满时,生成所述当前布隆过滤器对应的签名,并确定所述当前布隆过滤器在存满状态下的数据信息,将所述数据信息插入根布隆过滤器中;所述根布隆过滤器存储在所述可信计算环境中;从所述可信计算环境中移除所述当前布隆过滤器,并创建新的当前布隆过滤器,将所述新的当前布隆过滤器存储至所述可信计算环境中,并获取下一个待存储审计日志,返回生成所述待存储日志的单调计数信息的步骤。2.根据权利要求1所述的方法,其特征在于,所述将所述待存储审计日志和所述单调计数信息,插入当前布隆过滤器,包括:将所述待存储审计日志与所述单调计数信息形成二元组;通过预设的哈希函数,对所述二元组进行哈希处理,得到所述二元组对应的哈希值;基于所述哈希值,确定所述二元组在所述当前布隆过滤器中的存储位置;将所述存储位置对应的数值标记为预设数值,实现待存储审计日志和所述单调计数信息的存储。3.根据权利要求1所述的方法,其特征在于,所述生成所述当前布隆过滤器对应的签名,包括:获取所述当前布隆过滤器中存储的各个审计日志的单调计数信息;通过所述可信计算环境对应的签名私钥,对所述各个审计日志的单调计数信息进行签名处理,得到所述当前布隆过滤器对应的签名。4.根据权利要求1所述的方法,其特征在于,所述将所述待存储审计日志和所述单调计数信息,插入当前布隆过滤器之后,还包括:确定所述当前布隆过滤器的存储状态;当所述当前布隆过滤器的存储状态为未存满时,获取下一个待存储审计日志,并返回生成所述待存储日志的单调计数信息的步骤。5.根据权利要求1所述的方法,其特征在于,所述新的当前布隆过滤器中存储的第一个审计日志的单调计数信息与所述当前布隆过滤器中存储的最后一个审计日志的单调计数信息相邻。6.一种审计日志验证方法,其特征在于,所述方法包括:接收审计终端发送的审计日志验证请求;所述审计日志验证请求携带有待验证的审计日志的单调计数信息;基于所述单调计数信息,查询存储在可信计算环境中的当前布隆过滤器;若所述当前布隆过滤器中不存在所述单调计数信息对应的审计日志,则基于所述单调计数信息,查询存储在所述可信环境之外的布隆过滤器,得到所述审计日志验证请求对应的验证结果;返回所述验证结果至所述审计终端。7.根据权利要求6所述的方法,其特征在于,所述基于所述单调计数信息,查询存储在
所述可信环境之外的布隆过滤器,得到所述...
【专利技术属性】
技术研发人员:范文婷,付新丽,鲍喆君,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。