日志处理方法、装置、加密服务系统、设备及存储介质制造方法及图纸

本公开提供一种日志处理方法、装置、加密服务系统、设备及存储介质，方法应用于加密服务系统中的管控节点，方法包括：获取针对目标虚拟密码机的日志拉取任务，向目标虚拟密码机所在的目标密码机请求目标虚拟密码机的日志文件；根据目标密码机的响应结果，获取目标虚拟密码机的日志文件；确定目标存储节点，将日志文件存储至目标存储节点中；目标存储节点还存储审计数据；首个设定时间周期的审计数据，是利用该设定时间周期内产生的日志文件的验证数据生成的，其他设定时间周期的审计数据，是利用该其他设定时间周期及上一设定时间周期的日志文件的验证数据生成的，验证数据用于验证日志文件的签名和/或完整性。验证日志文件的签名和/或完整性。验证日志文件的签名和/或完整性。

【技术实现步骤摘要】
日志处理方法、装置、加密服务系统、设备及存储介质


[0001]本公开涉及云计算
，尤其涉及日志处理方法、装置、加密服务系统、设备及存储介质。

技术介绍

[0002]目前，一些云服务提供商提供了云上的加密服务，其使用经检测认证的硬件密码机作为服务底层，通过虚拟化技术创建出虚拟密码机供用户使用，能帮助用户满足数据安全方面的监管合规要求，保护云上业务数据隐私。由于虚拟密码机运行在云端，一些用户具有审计虚拟密码机的操作的需求，如何向用户提供对虚拟密码机的操作的审计功能，是亟待解决的技术问题。

技术实现思路

[0003]为克服相关技术中存在的问题，本公开提供了日志处理方法、装置、加密服务系统、设备及存储介质。
[0004]根据本说明书实施例的第一方面，提供一种日志处理方法，所述方法应用于加密服务系统中的管控节点，所述加密服务系统包括存储集群和密码机集群，所述存储集群包括至少一个存储节点；所述密码机集群包括至少一个密码机，所述密码机用于运行至少一个虚拟密码机，所述虚拟密码机在运行过程中产生日志文件；所述方法包括：
[0005]获取针对目标虚拟密码机的日志拉取任务，向所述目标虚拟密码机所在的目标密码机请求所述目标虚拟密码机的日志文件；
[0006]根据所述目标密码机的响应结果，获取所述目标虚拟密码机的日志文件；
[0007]确定所述目标虚拟密码机的用户所使用的目标存储节点，将所述日志文件存储至所述目标存储节点中；其中，所述目标存储节点还存储至少一份审计数据；首个设定时间周期的审计数据，是利用该设定时间周期内产生的至少一份日志文件的验证数据生成的，其他设定时间周期的审计数据，是利用该其他设定时间周期及上一设定时间周期的至少一份日志文件的验证数据生成的，所述验证数据用于验证所述日志文件的签名和/或完整性。
[0008]根据本说明书实施例的第二方面，提供一种加密服务系统，所述系统包括：管控节点、存储集群和密码机集群；所述存储集群包括至少一个存储节点；所述密码机集群包括至少一个密码机，所述密码机用于运行至少一个虚拟密码机；
[0009]所述虚拟密码机，用于在运行过程中产生日志文件；
[0010]所述密码机，用于在接收到所述管控节点的针对目标虚拟密码机的日志请求时，向所述管控节点发送响应结果；
[0011]所述管控节点，用于执行第一方面所述方法的步骤。
[0012]根据本说明书实施例的第三方面，提供一种日志处理装置，所述装置应用于加密服务系统中的管控节点，所述加密服务系统包括存储集群和密码机集群，所述存储集群包括至少一个存储节点；所述密码机集群包括至少一个密码机，所述密码机用于运行至少一
个虚拟密码机，所述虚拟密码机在运行过程中产生日志文件并存储于本地存储器中；所述装置包括：
[0013]任务获取模块，用于：获取针对目标虚拟密码机的日志拉取任务，向所述目标虚拟密码机所在的目标密码机请求所述目标虚拟密码机的日志文件；
[0014]日志获取模块，用于：根据所述目标密码机的响应结果，获取所述目标虚拟密码机的日志文件；
[0015]存储模块，用于：确定所述目标虚拟密码机的用户所使用的目标存储节点，将所述日志文件存储至所述目标存储节点中；其中，所述目标存储节点还存储至少一份审计数据；首个设定时间周期的审计数据，是利用该设定时间周期内产生的至少一份日志文件的验证数据生成的，其他设定时间周期的审计数据，是利用该其他设定时间周期及上一设定时间周期的至少一份日志文件的验证数据生成的，所述验证数据用于验证所述日志文件的签名和/或完整性。
[0016]根据本说明书实施例的第四方面，提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，所述处理器执行所述计算机程序时实现第一方面所述方法的步骤。
[0017]根据本说明书实施例的第五方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第一方面所述方法的步骤。
[0018]本说明书的实施例提供的技术方案可以包括以下有益效果：
[0019]本说明书实施例中，加密服务系统中设计了管控节点，加密服务系统包括存储集群和密码机集群，存储集群包括至少一个存储节点；密码机集群包括至少一个密码机，密码机用于运行至少一个虚拟密码机，虚拟密码机在运行过程中产生日志文件；获取针对目标虚拟密码机的日志拉取任务，向目标虚拟密码机所在的目标密码机请求目标虚拟密码机的日志文件；根据目标密码机的响应结果，获取目标虚拟密码机的日志文件；确定目标虚拟密码机的用户所使用的目标存储节点，将日志文件存储至目标存储节点中；其中，目标存储节点还存储至少一份审计数据；首个设定时间周期的审计数据，是利用该设定时间周期内产生的至少一份日志文件的验证数据生成的，其他设定时间周期的审计数据，是利用该其他设定时间周期及上一设定时间周期的至少一份日志文件的验证数据生成的，验证数据用于验证日志文件的签名和/或完整性。
[0020]基于此，本说明书实施例为用户提供了虚拟密码机的日志文件，向用户提供了对虚拟密码机的操作的审计功能，各个设定时间周期的审计数据，均结合上一设定时间周期的日志文件的验证数据生成；如此，对一个设定时间周期的日志文件的篡改会影响到各份审计数据，因此篡改难度较大，保障了日志文件的审计数据的可靠性。
[0021]应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。
附图说明
[0022]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本说明书的实施例，并与说明书一起用于解释本公开的原理。
[0023]图1A是本说明书根据一示例性实施例示出的一种加密服务的场景示意图。
[0024]图1B是本说明书根据一示例性实施例示出的一种加密服务系统的示意图。
[0025]图1C是本说明书根据一示例性实施例示出的另一种加密服务系统的示意图。
[0026]图2A至图2D分别是本说明书根据一示例性实施例示出的一种日志处理方法的流程图。
[0027]图2E是本说明书根据一示例性实施例示出的一种数据示意图。
[0028]图3是本说明书根据一示例性实施例示出的一种日志处理装置所在计算机设备的一种硬件结构图。
[0029]图4是本说明书根据一示例性实施例示出的一种日志处理装置的框图。
具体实施方式
[0030]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
[0031]在本说明书使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种日志处理方法，所述方法应用于加密服务系统中的管控节点，所述加密服务系统包括存储集群和密码机集群，所述存储集群包括至少一个存储节点；所述密码机集群包括至少一个密码机，所述密码机用于运行至少一个虚拟密码机，所述虚拟密码机在运行过程中产生日志文件；所述方法包括：获取针对目标虚拟密码机的日志拉取任务，向所述目标虚拟密码机所在的目标密码机请求所述目标虚拟密码机的日志文件；根据所述目标密码机的响应结果，获取所述目标虚拟密码机的日志文件；确定所述目标虚拟密码机的用户所使用的目标存储节点，将所述日志文件存储至所述目标存储节点中；其中，所述目标存储节点还存储至少一份审计数据；首个设定时间周期的审计数据，是利用该设定时间周期内产生的至少一份日志文件的验证数据生成的，其他设定时间周期的审计数据，是利用该其他设定时间周期及上一设定时间周期的至少一份日志文件的验证数据生成的，所述验证数据用于验证所述日志文件的签名和/或完整性。2.根据权利要求1所述的方法，所述密码机集群包括文件服务器；所述响应结果包括：由所述目标密码机将所述日志文件存储至所述文件服务器后生成的下载链接；所述获取所述目标虚拟密码机的日志文件，包括：利用所述下载链接访问所述文件服务器，在通过所述文件服务器的身份验证后，获取所述目标虚拟密码机的日志文件。3.根据权利要求1所述的方法，所述将所述日志文件存储于所述目标存储节点中，包括：生成所述日志文件的验证数据，将所述日志文件和所述验证数据存储于所述目标存储节点中；其中，所述验证数据包括：用于验证所述日志文件的签名者的签名信息，和/或，用于验证所述日志文件的完整性的摘要信息。4.根据权利要求1所述的方法，所述审计数据包括摘要数据和所述摘要数据的签名数据；所述首个设定时间周期的审计数据中，摘要数据包括日志哈希信息；所述其他设定时间周期的审计数据中，摘要数据包括上一设定时间周期的审计数据的摘要数据、上一设定时间周期的审计数据的签名数据和日志哈希信息；所述日志哈希信息通过如下方式生成：针对当前设定时间周期内的每份日志文件，将每份日志文件及其签名信息生成摘要信息；对生成的各份摘要信息进行哈希计算，得到所述日志哈希信息。5.根据权利要求1所述的方法，所述加密服务系统还包括调度节点，所述调度节点连接至少一个管控节点，每个所述管控节点用于管理至少一个密码机集群；所述获取针对目标虚拟密码机的日志拉取任务，包括：响应于当前满足设定拉取条件，从数据库中预先存储的任务集合中获取针对目标虚拟密码机的日...

【专利技术属性】
技术研发人员：陈莹波，胡非池，
申请(专利权)人：阿里云计算有限公司，
类型：发明
国别省市：