审计信息的验证方法及装置制造方法及图纸

本发明专利技术公开了一种审计信息的验证方法及装置。该方法包括：审计系统基于公共盐值和独立盐值对初始审计信息进行哈希计算得到第一验证数据，审计节点对初始审计信息进行审核后反馈得到待验证的审计信息，验证节点至少基于独立盐值对待验证的审计信息进行哈希计算得到第二验证数据，并比对第二验证数据及第一验证数据，并根据比对结果验证待验证的审计信息是否发生过更改，其中，公共盐值为多个验证节点和审计节点共有的随机序列，独立盐值为目标验证节点具有的随机序列，不同的验证节点具有不同的独立盐值。本发明专利技术解决了相关技术中在对审计者反馈的数据进行验证的过程中所存在的审计信息安全性低的技术问题。审计信息安全性低的技术问题。审计信息安全性低的技术问题。

【技术实现步骤摘要】
审计信息的验证方法及装置


[0001]本专利技术涉及信息安全
，具体而言，涉及一种审计信息的验证方法及装置。

技术介绍

[0002]在保密系统管理中，系统管理员的管理角色有着重要作用。例如在三权分立的涉密系统中，系统管理员、安全保密管理员和安全审计员要求权限划分清晰，相互验证，相互监督，不得进行兼任，并且需要根据实际情况配备一定数量各个角色的管理员。在许多安全系统中，系统审计员能够对系统中的各类审计信息进行审计，但审计的可靠性仍然高度依赖系统审计员自己，对审计人员本身的信任也成为一个需要考虑的重要问题。如果审计员配置过少，可能会出现某个审计员审计出现纰漏，或者擅自伪造审计数据，复杂的管理系统通常会配置多位审计员，但审计员数量的增多又会加大审计信息泄露的风险，相应的人力成本支出也会增加。
[0003]此外，现有技术中还通过为设备设定一个私钥，公开其公钥，并产生审计日志时，用私钥为日志制作签名，将日志发给审计者，将签名发送给验证者，对于审计者任何公开的日志信息，验证者随时可以通过公钥验证签名与日志是否相符，从而判断该日志是否是设备真实产生的。但是通过上述方案会导致非对称加解密运算量大，只能基于固定范围的日志进行验证，这取决于制作签名的日志范围，私钥泄露将有可能导致签名被伪造，每个验证者拿到的签名都是一样的，验证者之间的验证没有独立性，公钥公开，使得每个人都可以验证，这同样会产生信息泄露风险，因为可以验证至少赋予了验证人员排除的权利等问题。
[0004]针对上述的问题，目前尚未提出有效的解决方案。r/>
技术实现思路

[0005]本专利技术实施例提供了一种审计信息的验证方法及装置，以至少解决相关技术中在对审计者反馈的数据进行验证的过程中所存在的审计信息安全性低的技术问题。
[0006]根据本专利技术实施例的一个方面，提供了一种审计信息的验证方法，包括：验证节点获取第一验证数据以及待验证的审计信息，其中，第一验证数据是审计系统基于公共盐值和独立盐值对初始审计信息进行哈希计算得到的，待验证的审计信息是审计节点对初始审计信息进行审核后所反馈的数据，公共盐值为多个验证节点和审计节点所共有的随机序列，独立盐值为目标验证节点所具有的随机序列，不同的验证节点具有不同的独立盐值；验证节点获取第二验证数据，其中，第二验证数据是至少基于独立盐值对待验证的审计信息进行哈希计算得到的；验证节点对第二验证数据以及第一验证数据进行比对，得到比对结果；验证节点根据比对结果验证待验证的审计信息是否为合法信息，其中，合法信息表征审计节点在对初始审计信息进行审核的过程中，未对初始审计信息进行更改。
[0007]进一步的，审计信息的验证方法还包括：所述审计系统生成初始审计信息，并对所述初始审计信息进行解析，得到所述初始审计信息对应的索引标识和内容部分；所述审计系统基于所述公共盐值对所述索引标识进行加盐哈希计算，得到所述索引标识的首次哈希
值；所述审计系统基于所述公共盐值对所述内容部分进行加盐哈希计算，得到所述内容部分的首次哈希值；所述审计系统基于所述独立盐值对所述索引标识的首次哈希值进行第二次哈希计算，得到所述第一验证数据的索引部分；所述审计系统基于所述独立盐值对所述内容部分的首次哈希值进行第二次哈希计算，得到所述第一验证数据的内容部分；所述审计系统将所述第一验证数据发送给所述验证节点，所述验证节点存储所述审计系统发送的第一验证数据，并基于所述第一验证数据的索引部分构建索引树；所述审计系统还将所述初始审计信息发送至所述审计节点中，并为所有的验证节点分发所述公共盐值，为每个验证节点单独分发所述独立盐值。
[0008]进一步的，审计信息的验证方法还包括：所述审计系统每间隔预设时间，将处于预设时长内的初始审计信息的索引标识的首次哈希值和所述初始审计信息的内容部分的首次哈希值分别进行汇总，得到汇总后的索引标识的首次哈希值和汇总后的内容部分的首次哈希值；所述审计系统基于所述独立盐值分别对所述汇总后的索引标识的首次哈希值和所述汇总后的内容部分的首次哈希值进行哈希计算，得到所述索引标识的第二次哈希值及所述内容部分的第二次哈希值，其中，所述第一验证数据至少包括所述索引标识的第二次哈希值及所述内容部分的第二次哈希值。
[0009]进一步的，审计信息的验证方法还包括：所述验证节点检测所述目标验证节点是否具有目标权限，其中，所述目标权限表征所述目标验证节点具有从所述审计节点获取所述待验证的审计信息的权限；所述验证节点在所述目标验证节点具有所述目标权限时，通过所述审计节点获取所述待验证的审计信息；所述验证节点基于所述公共盐值对所述待验证的审计信息进行哈希计算，得到处理后的验证数据；所述验证节点基于所述独立盐值对所述处理后的验证数据进行第二次哈希计算，得到所述第二验证数据。
[0010]进一步的，审计信息的验证方法还包括：在所述目标验证节点不具有所述目标权限时，所述验证节点通过监督节点获取首次哈希后的待验证的审计信息，其中，所述监督节点用于接收所述审计节点发送的待验证的审计信息，并基于所述公共盐值对所述待验证的审计信息进行哈希计算，得到处理后的待验证审计信息；所述验证节点基于所述独立盐值对所述处理后的待验证的审计信息进行第二次哈希计算，得到所述第二验证数据。
[0011]进一步的，审计信息的验证方法还包括：所述验证节点对所述待验证的审计信息进行解析，得到所述待验证的审计信息对应的索引标识及内容部分；所述验证节点基于所述公共盐值分别对所述索引标识和所述内容部分进行哈希计算，得到所述索引标识的首次哈希值及所述内容部分的首次哈希值，其中，所述处理后的验证数据至少包括所述索引标识的首次哈希值及所述内容部分的首次哈希值。
[0012]进一步的，审计信息的验证方法还包括：所述验证节点基于所述独立盐值分别对所述索引标识的首次哈希值及所述内容部分的首次哈希值进行哈希计算，得到所述索引标识的第二次哈希值及所述内容部分的第二次哈希值，其中，所述第二验证数据至少包括所述索引标识的第二次哈希值及所述内容部分的第二次哈希值。
[0013]进一步的，审计信息的验证方法还包括：在对所述第二验证数据以及所述第一验证数据进行比对，得到比对结果之前，所述验证节点构建所述目标验证节点所对应的索引树，其中，所述索引树由多个节点组成；所述验证节点对所述第一验证数据进行解析，得到目标索引标识和目标验证数据；所述验证节点对所述目标索引标识进行分解，得到多个字
符；所述验证节点根据当前字符在所述多个字符中的位置，确定所述当前字符在所述索引树中的节点位置，其中，所述当前字符为所述多个字符中的任意一个字符；所述验证节点从所述多个节点中确定目标节点，并将所述目标验证数据存储在所述目标节点中，其中，所述目标节点为所述多个字符中的最后一个字符所对应的节点的下一节点。
[0014]进一步的，审计信息的验证方法还包括：所述验证节点对所述第二验证数据进行解析，得到所述第二验证数据的索引标识和内容部分；所述验证节点基于所述第二验证数据的索引标识对所述索引树进行索引，得到所述第本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种审计信息的验证方法，其特征在于，包括：验证节点获取第一验证数据以及待验证的审计信息，其中，所述第一验证数据是审计系统基于公共盐值和独立盐值对初始审计信息进行哈希计算得到的，所述待验证的审计信息是审计节点对所述初始审计信息进行审核后所反馈的数据，所述公共盐值为多个验证节点和所述审计节点所共有的随机序列，所述独立盐值为目标验证节点所具有的随机序列，不同的验证节点具有不同的独立盐值；所述验证节点获取第二验证数据，其中，所述第二验证数据是至少基于所述独立盐值对所述待验证的审计信息进行哈希计算得到的；所述验证节点对所述第二验证数据以及所述第一验证数据进行比对，得到比对结果；所述验证节点根据所述比对结果验证所述待验证的审计信息是否为合法信息，其中，所述合法信息表征所述审计节点在对所述初始审计信息进行审核的过程中，未对所述初始审计信息进行更改。2.根据权利要求1所述的方法，其特征在于，所述审计系统生成初始审计信息，并对所述初始审计信息进行解析，得到所述初始审计信息对应的索引标识和内容部分；所述审计系统基于所述公共盐值对所述索引标识进行加盐哈希计算，得到所述索引标识的首次哈希值；所述审计系统基于所述公共盐值对所述内容部分进行加盐哈希计算，得到所述内容部分的首次哈希值；所述审计系统基于所述独立盐值对所述索引标识的首次哈希值进行第二次哈希计算，得到所述第一验证数据的索引部分；所述审计系统基于所述独立盐值对所述内容部分的首次哈希值进行第二次哈希计算，得到所述第一验证数据的内容部分；所述审计系统将所述第一验证数据发送给所述验证节点，所述验证节点存储所述审计系统发送的第一验证数据，并基于所述第一验证数据的索引部分构建索引树；所述审计系统还将所述初始审计信息发送至所述审计节点中，并为所有的验证节点分发所述公共盐值，为每个验证节点单独分发所述独立盐值。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：所述审计系统每间隔预设时间，将处于预设时长内的初始审计信息的索引标识的首次哈希值和所述初始审计信息的内容部分的首次哈希值分别进行汇总，得到汇总后的索引标识的首次哈希值和汇总后的内容部分的首次哈希值；所述审计系统基于所述独立盐值分别对所述汇总后的索引标识的首次哈希值和所述汇总后的内容部分的首次哈希值进行哈希计算，得到所述索引标识的第二次哈希值及所述内容部分的第二次哈希值，其中，所述第一验证数据至少包括所述索引标识的第二次哈希值及所述内容部分的第二次哈希值。4.根据权利要求1所述的方法，其特征在于，所述验证节点获取第二验证数据，包括：所述验证节点检测所述目标验证节点是否具有目标权限，其中，所述目标权限表征所述目标验证节点具有从所述审计节点获取所述待验证的审计信息的权限；所述验证节点在所述目标验证节点具有所述目标权限时，通过所述审计节点获取所述待验证的审计信息；所述验证节点基于所述公共盐值对所述待验证的审计信息进行哈希计算，得到处理后的验证数据；
所述验证节点基于所述独立盐值对所述处理后的验证数据进行第二次哈希计算，得到所述第二验证数据。5.根据权利要求4所述的方法，其特征在于，所述方法还包括：在所述目标验证节点不具有所述目标权限时，所述验证节点通过监督节点获取首次哈希后的待验证的审计信息，其中，所述监督节点用于接收所述审计节点发送的待验证的审计信息，并基于所述公共盐值对所述待验证的审计信息...

【专利技术属性】
技术研发人员：余祖愿，沈亚琪，李家顺，尹伟伟，吕硕，
申请(专利权)人：山石网科通信技术股份有限公司，
类型：发明
国别省市：