一种无中心的安全可信审计系统的制作方法

本发明属于安全审计技术领域，是一种无中心的安全可信审计系统。

背景技术：

随着信息技术的发展，企事业单位等组织机构为了内部网络安全需要，部署了审计软件，用于集中管理审计内部网络安全设备、用户日常访问产生的安全事件，以便监测内部网络的整体安全态势。

图1所示为现有的审计系统的模块图，如图1所示，现有的安全审计类软件的主要功能是收集安全设备以及用户各类访问行为产生的安全事件并进行分析，它是一种以管理端为中心的架构，审计终端负责用户审计本地的行为以及远程访问行为，网络设备负责审计网络安全事件以及用户产生的网络访问行为。审计终端和网络设备审计日志通过主动或被动上报的方式上报审计系统管理端。

目前，审计类软件设计存在如下问题：

日志传输过程中，可能被篡改。

管理端作为中心点，一旦被攻击瘫痪后，整体软件将变为不可用。

集中管理模式的管理端运行维护人员由于知悉数据库访问密码，可以直接访问数据库，修改数据库，消除某些恶意行为的记录，这些行为无法得到审计。

技术实现要素：

本发明一种无中心的安全可信审计系统，用于解决上述现有技术的问题。

本发明一种无中心的安全可信审计方法，其中，包括：步骤1：进行管理端初始化，管理端通过若干个管理端节点通过策略形成一组互相关联的对等体；步骤2：进行认证注册，被审计对象将审计对象信息以及管理员信息注册到管理端，管理端通过内部协商机制，返回被审计对象以及管理员的匿名标识和密钥信息，被审计对象包括审计终端、网络设备和用户管理员；步骤3：进行日志上报，审计终端、网络设备将审计信息通过密钥进行加密、计算摘要值后，连同标识信息上报管理端；步骤4：进行日志存储，管理端收到上报日志后，同步备份到各对等体管理端节点上，进行冗余备份以及后续校验的篡改；步骤5：进行日志检索，经过注册的管理员通过日志检索功能，从管理端中检索到相应的审计数据；步骤6：进行日志审计，包括合法访问行为审计以及非法行为行为审计。

根据本发明的无中心的安全可信审计方法的一实施例，其中，管理端各节点根据需要部署在不同地域。

根据本发明的无中心的安全可信审计方法的一实施例，其中，审计终端、网络设备以及管理员访问通过访问网关将请求路由到管理端节点进行处理。

根据本发明的无中心的安全可信审计方法的一实施例，其中，审计终端、网络设备以及管理员首先通过访问网关注册到管理端，注册信息经过管理端各节点协商生成标识和密钥证书，审计终端、网络设备将采集或检测到的审计数据经过加密后上报管理端，管理端完成存储。

根据本发明的无中心的安全可信审计方法的一实施例，其中，步骤1包括：初始化管理端节点标识：系统初始化前，由访问网关选取一台管理端节点作为初始化发起者，自身开始初始化并通知其他各节点执行初始化，发起者将自己的mac地址、硬盘序列号、cpuid以及主板标识进行字符串拼接，生成一个唯一标识该主机唯一性的id，收到通知的用户信息进行同样的初始化操作，生成一个唯一性的主机id；交换管理端节点标识：各管理端节点完成标识后，通过广播的方式，将自己的唯一标识通知给其他管理端节点，作为后续通信的身份令牌，各管理端节点加密存储管理端节点信息。

根据本发明的无中心的安全可信审计方法的一实施例，其中，步骤2包括：注册信息发送到访问网关后，由访问网关随机选择一台管理端节点，完成注册认证过程；注册过程包括：生成管理端节点唯一标识：每个设备指定唯一的匿名标识：审计终端以及网络设备将mac地址、cpu序列号、主板信息以及硬盘序列号发送至管理端，生成唯一标识该对象的标识字符串；用户注册过程，将用户姓名、账号、身份证号以及组织机构信息，进行杂凑运算，生成唯一标识；审计终端、网络设备或用户信息生成注意唯一标识后，利用pki体系rsa算法生成公私钥对，将公私钥连同唯一标识值发送给审计终端、网络设备和用户，审计终端、网络设备以及用户所在主机收到后，将唯一标识、公私钥进行加密存储，防止非法篡改，注册完成后，产生注册信息的服务端节点将产生信息广播至其他管理端节点进行备份；认证过程包括：用户提交用户姓名、账号、身份证号、组织机构信息、身份标识以及公钥信息，访问网关根据用户信息，随机选择一台管理端节点作为发起者，发起者根据用户的id，查找生成该用户标识的管理端节点的信息，将信息发送给生成管理端节点，由该节点，比对标识和公钥，如果一致，则认证通过，不一致则认证失败。

根据本发明的无中心的安全可信审计方法的一实施例，其中，步骤3包括：审计终端或网络设备审计到日志，利用私钥对日志进行签名，同时利用公钥将终端日志进行加密，与数据头封装起来构成整个报文结构，数据头部分封装了审计终端或网络设备的唯一标识。

根据本发明的无中心的安全可信审计方法的一实施例，其中，步骤4包括：生成的日志上报到访问网关，访问网关随机选择一台服务端节点作为存储管理端节点的发起者，发起者首先将数据报文的头部进行解析，获取上报者的唯一标识，利用标识查找出该标识的公私钥对，对数据部分进行解密以及通过签名进行验签，将日志信息进行解析并存储，完成存储后，将日志信息广播到其他服务端节点，与其他服务端节点完成数据的同步存储，形成多处备份。

根据本发明的无中心的安全可信审计方法的一实施例，其中，步骤5包括：访问网关随机选择一台管理端节点进行作为检索操作处理的发起者，将检索条件发送给发起者，发起者收到处理参数后，利用参数查询本地数据库，获取满足检索条件的日志信息，并将日志信息广播到其他管理端节点，由其他管理端节点对日志信息进行确认，各管理端节点收到信息后，对日志信息进行确认，并返回确认结果，当所有51％的管理端节点确定信息没有被篡改，将日志结果返回；如果超过51％的管理端节点确定信息已被篡改，则显示修改后的信息，并提示日志已修改。

根据本发明的无中心的安全可信审计方法的一实施例，其中，步骤6包括：区分合法的访问行为和非法访问行为进行审计；合法的访问行为审计是记录经过认证的用户访问行为；非法的用户访问行为的检测及处置包括：审计用户绕过访问网关，未进行身份认证，直接操作管理端节点上的数据的访问行为；管理端各节点定期进行数据一致性检查，管理端节点广播自己被修改的数据信息到其他管理端节点，收到广播信息的管理端节点对比本地是否也存在同样的修改行为，如果未修改，则将确认结果以及当前数据信息返回广播者，如果已修改，则只返回确认结果，51％的其他节点确认未修改，则认为是非法篡改，并生成违规篡改日志审计记录，同时存储修改前后的数据信息，51％的其他节点确认修改，则本地数据同步修改。

本发明无中心的安全可信审计方法，解决传输过程中日志传输可信，管理员和运维人员操作可信，行为可以被审计。由于采取了无中心的架构，一方面，存储和传输均为加密的方式，传输过程不能被篡改；另一方面，合法用户和非法攻击不能找到数据的同时也不能更改各节点的数据，因此避免了非法操作。本发明由一组对等体组成去中心化的管理端，解决了中心化管理端存在的弊病。

附图说明

图1所示为现有的审计系统的模块图；

图2所示为本发明无中心的安全可信审计系统的组成框图；

图3所示为无中心的安全可信审计系统的工作流程图；

图4所示为节点广播示意图；

图5所示为管理端节点唯一标识生成的流程图；

图6所示为用户位置标识的生成方式的示意图；

图7所示为上报日志数据结构图。

具体实施方式

为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

图2所示为本发明无中心的安全可信审计系统的组成框图，如图2所示，管理端各节点可根据需要部署在不同地域，避免用户同时操作各管理端主机。审计终端、网络设备以及管理员访问通过访问网关将请求路由到某个管理端节点进行处理。由于审计终端、网络设备以及管理员并不知道响应请求的具体管理端地址，因此避免了用户直接远程篡改服务端上的信息的安全隐患。审计终端、网络设备以及管理员首先通过访问网关注册到管理端，注册信息经过管理端各节点协商生成标识和密钥证书，审计终端、网络设备将采集(具体采集过程略)或检测到的审计数据经过加密后上报管理端，管理端完成存储。

图3所示为无中心的安全可信审计系统的工作流程图，如图3所示，具体步骤如下：

1管理端初始化：管理端由若干个管理端节点通过一定策略形成一组互相关联的对等体过程。

2认证注册：被审计对象(审计终端、网络设备、用户管理员)需要将审计对象信息以及管理员信息注册到管理端，管理端通过内部协商机制，返回被审计对象以及管理员的匿名标识和密钥信息；

3日志上报：审计终端、网络设备将审计信息通过密钥进行加密、计算摘要值后，连同标识信息上报管理端；

4日志存储：管理端收到上报日志后，同步备份到各对等体管理端节点上，实现冗余备份以及后续校验的篡改；

5日志检索：经过注册的管理员可以通过日志检索功能，从管理端中检索到相应的审计数据；

6日志审计：合法访问行为审计以及非法行为行为审计。

如图1至图3所示，

步骤1：管理端初始化。

此步骤分为两个子步骤，分别是初始化管理端节点标识以及交换管理端节点标识。

(1)初始化管理端节点标识

图4所示为节点广播示意图，系统初始化前，由访问网关选取某台管理端节点作为初始化发起者，该节点自身开始初始化并通知其他各节点执行初始化，节点1作为发起者，广播通知其他节点开始初始化。

广播信息格式如下：

{

ip:…

mac:…

information：initializing

}

发起者将自己的mac地址、硬盘序列号、cpuid以及主板标识进行字符串拼接，生成一个唯一标识该主机唯一性的id。收到通知的用户信息进行同样的初始化操作，生成一个唯一性的主机id。

(2)交换管理端节点标识。各管理端节点完成标识后，通过广播的方式，将自己的唯一标识通知给其他管理端节点，作为后续通信的身份令牌。

{

ip:…

mac:…

hostid:…//管理端节点标识

infomation：exchangingtoken

}

各管理端节点加密存储管理端节点信息。

步骤2：注册认证。

注册信息发送到访问网关后，由访问网关随机选择一台管理端节点，完成注册认证过程。

此步骤分为注册和认证两个过程。

(1)注册是指审计终端、网络设备以及管理员向管理端注册获取匿名标识和秘钥的过程。为保护数据隐秘性，本系统为每个设备指定唯一的匿名标识。为了保护数据传递过程中的可信性，采用秘钥加密传输和签名验证技术。具体注册过程是：

图5所示为管理端节点唯一标识生成的流程图，如图5所示，审计终端、网络设备将mac地址、cpu序列号、主板信息以及硬盘序列号发送至管理端，生成唯一标识该对象的标识字符串。

说明：md5算法以及异或操作是成熟算法，不是本文描述重点，这里不做详细介绍。

图6所示为用户位置标识的生成方式的示意图，如图6所示，用户注册过程，将用户姓名、账号(系统内唯一)、身份证号以及组织机构信息，进行如下杂凑运算，生成唯一标识。

审计终端、网络设备或用户信息生成注意唯一标识后，利用pki体系rsa算法生成公私钥对，将公私钥连同唯一标识值发送给审计终端、网络设备和用户。审计终端、网络设备以及用户所在主机收到后，将唯一标识、公私钥进行加密存储，防止非法篡改。

注册完成后，产生注册信息的服务端节点将产生信息广播至其他管理端节点进行备份。数据格式为：

{

id:…//审计终端、网络设备和用户标识

publickey:…

privatekey:…

generatehostip:…//产生注册信息的服务端节点ip

generatehostid:…//产生注册信息的服务端节点标识

}

(2)认证过程

此过程主要是对用户身份进行确认，防止非授权用户访问系统。用户在检索审计日志前需要进行身份认证，具体的认证过程是用户提交用户姓名、账号(系统内唯一)、身份证号、组织机构信息、身份标识以及公钥信息，访问网关根据用户信息，随机选择一台管理端节点作为发起者，发起者根据用户的id，查找生成该用户标识的管理端节点的信息，将信息发送给生成管理端节点，由该节点，比对标识和公钥，如果一致，则认证通过，不一致则认证失败。

步骤3：日志上报

图7所示为上报日志数据结构图，如图7所示，审计终端或网络设备审计到日志，利用私钥对日志进行签名，同时利用公钥将争端日志进行加密，与数据头封装起来构成整个报文结构。数据头部分封装了审计终端或网络设备的唯一标识。

步骤4：日志存储

生成的日志上报到访问网关，访问网关随机选择一台服务端节点作为存储管理端节点的发起者，发起者首先将数据报文的头部进行解析，获取上报者的唯一标识，利用标识查找出该标识的公私钥对，对数据部分进行解密以及通过签名进行验签，保证数据在传输过程中未被篡改。然后将日志信息进行解析并存储。完成存储后，将日志信息广播到其他服务端节点，与其他服务端节点完成数据的同步存储，形成多处备份。

步骤5：日志检索

日志检索主要是指管理员或其他用户调查取证。日志在检索前，需要进行身份认证，认证过程见步骤2.

日志检索过程具体流程，访问网关随机选择一台管理端节点进行作为检索操作处理的发起者，将检索条件发送给发起者。发起者收到处理参数后，利用参数查询本地数据库，获取满足检索条件的日志信息。同时将上述日志信息广播到其他管理端节点，由其他管理端节点对日志信息进行确认，防止数据被篡改。各管理端节点收到信息后，对日志信息进行确认，并返回确认结果。当所有51％的管理端节点确定信息没有被篡改，将日志结果返回；如果超过51％的管理端节点确定信息已被篡改，则显示修改后的信息，并提示日志已修改，用户可根据需要对修改行为进行溯源。

步骤6：日志审计及违规检测和处置

区分合法的访问行为和非法访问行为进行审计。

(1)合法的访问行为审计

主要是记录经过认证的用户访问行为。

(2)非法的用户访问行为的检测及处置

非法的用户访问行为审计内容主要指用户绕过访问网关，未进行身份认证，直接操作管理端节点上的数据的访问行为，比如直接登录数据库，进行数据库操作。

管理端各节点定期进行数据一致性检查。管理端节点广播自己被修改的数据信息到其他管理端节点，收到广播信息的管理端节点对比本地是否也存在同样的修改行为，如果未修改，则将确认结果以及当前数据信息返回广播者，如果已修改，则只返回确认结果。51％的其他节点确认未修改，则认为是非法篡改，并生成违规篡改日志审计记录，同时存储修改前后的数据信息。51％的其他节点确认修改，则本地数据同步修改。

本发明无中心的安全可信审计方法，解决传输过程中日志传输可信，管理员和运维人员操作可信，行为可以被审计。由于采取了无中心的架构，一方面，存储和传输均为加密的方式，传输过程不能被篡改；另一方面，合法用户和非法攻击不能找到数据的同时也不能更改各节点的数据，因此避免了非法操作。本发明由一组对等体组成去中心化的管理端，解决了中心化管理端存在的弊病。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。