一种日志文件防篡改检测方法、装置、系统和介质与流程

本技术涉及计算机，特别涉及一种日志文件防篡改检测方法、装置、系统和介质。

背景技术：

1、计算机系统和各类软件应用运行的过程中，通常会将关键的操作记入审计日志中，系统审计日志包含计算系统中不同活动的跟踪，这对安全管理、审查和取证至关重要。

2、审计日志包括了各类计算机系统的系统日志，也包括计算机系统上运行的软件应用的应用日志。然而有经验的攻击者在完成攻击后可能会删除或修改审计日志，这使得审计日志在对攻击者的调查和追溯中不可用。

3、此外，按照我国网络安全法中等级保护测评的要求，需要对信息系统中软硬件的审计日志实现完整性保护，对于安全等级较高的系统，出于监管合规的要求，保证系统审计日志不被非法篡改也是一个强制监管要求。、

4、传统的信息系统通常包含各式各样的处理模块，产生不一样的且量比较大的审计日志，例如计算机系统会即记录自身系统的系统日志，计算机上运行的软件应用也记录自己的应用日志，关键的实现访问控制的信息系统模块，如视频监控、门禁记录也都会产生不一样的日志记录。

5、因此，如何实现各类日志文件有效的防篡改检测，提高系统的安全性，是本领域需要解决的技术问题。

技术实现思路

1、有鉴于此，提供该技术实现要素：部分以便以简要的形式介绍构思，这些构思将在后面的具体实施方式部分被详细描述。该发明内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征，也不旨在用于限制所要求的保护的技术方案的范围。

2、本技术的目的在于提供一种日志文件防篡改检测方法、装置、系统和介质，可以实现各类日志文件有效的防篡改检测，提高系统的安全性。

3、为实现上述目的，本技术有如下技术方案：

4、第一方面，本技术实施例提供了一种日志文件防篡改检测方法，包括：

5、利用预先注册的当前系统标识号和当前系统sm4密钥的对应关系，根据所述当前系统标识号，向加密机获取所述当前系统sm4密钥；

6、利用链式密码块消息认证码算法，根据所述当前系统sm4密钥以及当前系统的各个日志文件，生成所述各个日志文件的当前消息鉴定码；

7、基于所述各个日志文件的当前消息鉴定码，构建梅克尔树，以得到当前系统各层级目录的当前消息鉴定码；

8、将所述当前系统各层级目录的当前消息鉴定码，和所述当前系统各层级目录的原始消息鉴定码进行比对；将所述各个日志文件的当前消息鉴定码，和所述各个日志文件的原始消息鉴定码进行比对；以定位所述各个日志文件中被篡改的日志文件。

9、在一种可能的实现方式中，所述利用预先注册的当前系统标识号和当前系统sm4密钥的对应关系，根据所述当前系统标识号，向加密机获取所述当前系统sm4密钥，包括：

10、向加密机获取通信公钥；

11、利用会话密钥对所述当前系统标识号和所述当前系统sm4密钥进行加密，利用所述通信公钥对所述会话密钥进行加密，并发送到所述加密机；

12、所述加密机根据通信私钥解密所述会话密钥；

13、利用所述会话密钥对所述当前系统标识号和所述当前系统sm4密钥进行解密得到所述当前系统标识号和所述当前系统sm4密钥。

14、在一种可能的实现方式中，所述基于所述各个日志文件的当前消息鉴定码，构建梅克尔树，以得到当前系统各层级目录的当前消息鉴定码，包括：

15、所述当前系统各层级目录的当前消息鉴定码之和等于，所述各个日志文件的当前消息鉴定码之和。

16、在一种可能的实现方式中，在所述利用预先注册的当前系统标识号和当前系统sm4密钥的对应关系，根据所述当前系统标识号，向加密机获取所述当前系统sm4密钥之前，还包括：

17、判断随机标识号在所述加密机中是否已存在；

18、若不存在，则将所述随机标识号作为所述当前系统标识号。

19、第二方面，本技术实施例提供了一种日志文件防篡改检测装置，包括：

20、获取单元，用于利用预先注册的当前系统标识号和当前系统sm4密钥的对应关系，根据所述当前系统标识号，向加密机获取所述当前系统sm4密钥；

21、生成单元，用于利用链式密码块消息认证码算法，根据所述当前系统sm4密钥以及当前系统的各个日志文件，生成所述各个日志文件的当前消息鉴定码；

22、构建单元，用于基于所述各个日志文件的当前消息鉴定码，构建梅克尔树，以得到当前系统各层级目录的当前消息鉴定码；

23、比对单元，用于将所述当前系统各层级目录的当前消息鉴定码，和所述当前系统各层级目录的原始消息鉴定码进行比对；将所述各个日志文件的当前消息鉴定码，和所述各个日志文件的原始消息鉴定码进行比对；以定位所述各个日志文件中被篡改的日志文件。

24、在一种可能的实现方式中，所述获取单元，具体用于：

25、向加密机获取通信公钥；

26、利用会话密钥对所述当前系统标识号进行加密，利用所述通信公钥对所述会话密钥进行加密，并发送到所述加密机；

27、所述加密机根据通信私钥解密所述会话密钥；

28、利用所述会话密钥对所述当前系统标识号和所述当前系统sm4密钥进行解密得到所述当前系统标识号和所述当前系统sm4密钥。

29、在一种可能的实现方式中，所述构建单元，具体用于：

30、所述当前系统各层级目录的当前消息鉴定码之和等于，所述各个日志文件的当前消息鉴定码之和。

31、在一种可能的实现方式中，还包括：

32、判断单元，用于判断随机标识号在所述加密机中是否已存在；

33、作为单元，用于若不存在，则将所述随机标识号作为所述当前系统标识号。

34、第三方面，本技术实施例提供了一种日志文件防篡改检测系统，包括：

35、存储器，用于存储计算机程序；

36、处理器，用于执行所述计算机程序时实现如上述所述日志文件防篡改检测方法的步骤。

37、第四方面，本技术实施例提供了一种计算机可读介质，所述计算机可读介质上存储有计算机程序，所述计算机程序被处理执行时实现如上述所述日志文件防篡改检测方法的步骤。

38、与现有技术相比，本技术实施例具有以下有益效果：

39、本技术实施例提供了一种日志文件防篡改检测方法、装置、系统和介质，该方法包括：利用预先注册的当前系统标识号和当前系统sm4密钥的对应关系，根据当前系统标识号，向加密机获取当前系统sm4密钥；利用链式密码块消息认证码算法，根据当前系统sm4密钥以及当前系统的各个日志文件，生成各个日志文件的当前消息鉴定码；基于各个日志文件的当前消息鉴定码，构建梅克尔树，以得到当前系统各层级目录的当前消息鉴定码；将当前系统各层级目录的当前消息鉴定码，和当前系统各层级目录的原始消息鉴定码进行比对；将各个日志文件的当前消息鉴定码，和各个日志文件的原始消息鉴定码进行比对；以定位各个日志文件中被篡改的日志文件。本技术通过比对消息鉴定码的方式进行日志文件的防篡改检测，消息鉴定码在不知道秘钥的情况下，无法进行计算，不用担心消息鉴定码被攻击者篡改和伪造的问题，安全性较高，且通过梅克尔树可以快速准确的定位被篡改的日志文件，实现各类日志文件有效的防篡改检测。