系统日志的安全审计方法技术方案

本发明专利技术属于计算机技术领域，涉及一种系统日志的安全审计方法，在基于可信计算的虚拟平台上创建系统日志和访问系统日志。本发明专利技术借助于可信平台模块这个硬件信任根，系统日志的创建过程都是在本地以可信的方式创建的，可以将以前对服务器的信任转移到可信平台上来，利用可信平台提供的远程证明和封装存储性质，提高可信平台日志存储的可信度，不需要依赖于可信的第三方服务器，本机平台便可完成高可信的安全审计。可广泛用于计算机系统的安全审计。

【技术实现步骤摘要】

【技术保护点】
一种系统日志的安全审计方法，其步骤包括：创建系统日志１）运行于可信虚拟平台操作系统层用户模式下的安全审计守护模块请求运行于可信硬件层安全内核上的可信日志服务模块产生秘密控制信息；２）可信日志服务模块生成秘密控制信息，该秘密控制信息中包括用于加密系统日志的加密密钥，用于保护系统日志完整性的认证密钥，并向安全审计守护模块发送秘密控制信息，由安全审计守护模块存储该秘密控制信息；３）安全审计守护模块生成日志明文信息，创建系统日志，系统日志包括访问控制信息，日志明文信息，和完整性保护信息，其中访问控制信息和日志明文信息由加密密钥加密，完整性保护信息由认证密钥认证；４）该条系统日志存储在本地安全守护进程所在的文件系统中；５）按照１）－４）步骤继续创建下条系统日志；访问系统日志６）验证者向可信日志服务模块发送查看某条系统日志的请求消息；７）可信日志服务模块向安全审计守护模块请求传送该条系统日志；８）安全审计守护模块将该条系统日志发送给可信日志服务模块；９）可信日志服务模块根据该条系统日志的访问控制信息检查验证者是否符合访问控制的要求，将系统日志、该条系统日志的加密密钥和认证密钥发送给符合条件的验证者；１０）验证者通过该条系统日志的完整性保护信息验证该条系统日志的完整性，解密得到日志明文信息。...

【技术特征摘要】

【专利技术属性】
技术研发人员：冯登国，陈小峰，张立武，
申请(专利权)人：中国科学院软件研究所，
类型：发明
国别省市：11[中国|北京]