基于智能密码安全设备数据防篡改方法、装置及系统与流程

本技术涉及数据安全存储，尤其是涉及一种基于智能密码安全设备数据防篡改方法、装置及系统。

背景技术：

1、日志生成设备可以采集本日志生成设备对应的日志数据，并将日志数据发送给日志服务器，由日志服务器存储日志生成设备对应的日志数据。其中，日志数据是按照时间顺序追加的、完全有序的记录序列，日志数据是一种特殊的文件格式，日志数据的文件是一个字节数组，这里的日志数据是一个记录数据，只是相对于文件来说，每条日志数据都是按照时间的相对顺序排列。

2、在日志生成设备将日志数据发送给日志服务器时，若第三方设备拦截日志数据，并将篡改后的日志数据发送给日志服务器，则日志服务器存储的是被篡改后的日志数据，即日志数据存在被篡改风险，无法保证日志数据的安全。

技术实现思路

1、有鉴于此，本技术提供一种基于智能密码安全设备数据防篡改方法、装置及系统，能够使日志服务器存储未被篡改的日志数据，保证日志数据的安全。

2、本技术提供一种基于智能密码安全设备数据防篡改方法，日志管理系统包括目标设备和日志服务器，目标设备上部署有智能密码安全设备，包括：

3、所述智能密码安全设备获取所述目标设备对应的日志数据；

4、所述智能密码安全设备对所述日志数据中的关键信息进行签名得到第一签名值，将所述日志数据和所述第一签名值发送给所述日志服务器；

5、所述日志服务器基于所述日志数据中的关键信息和所述第一签名值进行验签；若验签成功，则对已获取的审计数据进行签名得到第二签名值，将所述审计数据和所述第二签名值发送给所述智能密码安全设备；

6、所述智能密码安全设备基于所述审计数据和所述第二签名值进行验签；若验签成功，则向所述日志服务器发送双向认证完成消息；所述日志服务器接收到所述双向认证完成消息之后，在指定存储介质中存储所述日志数据。

7、本技术提供一种基于智能密码安全设备数据防篡改方法，应用于智能密码安全设备，所述智能密码安全设备部署在目标设备上，包括：

8、获取所述目标设备对应的日志数据；

9、对所述日志数据中的关键信息进行签名得到第一签名值，并将所述日志数据和所述第一签名值发送给所述日志服务器；

10、接收所述日志服务器发送的审计数据和第二签名值，所述第二签名值是对所述审计数据进行签名得到；其中，审计数据和第二签名值是所述日志服务器基于所述日志数据中的关键信息和所述第一签名值验签成功时发送；

11、基于所述审计数据和所述第二签名值进行验签；若验签成功，则向所述日志服务器发送双向认证完成消息，以使所述日志服务器在接收到所述双向认证完成消息之后，在指定存储介质中存储所述日志数据。

12、本技术提供一种基于智能密码安全设备数据防篡改方法，目标设备上部署有智能密码安全设备，所述方法应用于日志服务器，包括：

13、接收所述智能密码安全设备发送的日志数据和第一签名值；其中，所述日志数据是所述目标设备对应的日志数据，所述第一签名值是所述智能密码安全设备对所述日志数据中的关键信息进行签名得到；

14、基于所述日志数据中的关键信息和所述第一签名值进行验签；

15、若验签成功，则对已获取的审计数据进行签名得到第二签名值，并将所述审计数据和所述第二签名值发送给所述智能密码安全设备；

16、接收所述智能密码安全设备发送的双向认证完成消息，所述双向认证完成消息是所述智能密码安全设备基于审计数据和第二签名值验签成功时发送；

17、在接收到所述双向认证完成消息后，在指定存储介质中存储所述日志数据。

18、本技术提供一种基于智能密码安全设备数据防篡改装置，应用于智能密码安全设备，所述智能密码安全设备部署在目标设备上，包括：

19、获取模块，用于获取所述目标设备对应的日志数据；

20、发送模块，用于对所述日志数据中的关键信息进行签名得到第一签名值，并将所述日志数据和所述第一签名值发送给所述日志服务器；

21、接收模块，用于接收日志服务器发送的审计数据和第二签名值，所述第二签名值是对所述审计数据进行签名得到；其中，审计数据和第二签名值是所述日志服务器基于所述日志数据中的关键信息和所述第一签名值验签成功时发送；

22、所述发送模块，用于基于所述审计数据和所述第二签名值进行验签；若验签成功，则向所述日志服务器发送双向认证完成消息，以使所述日志服务器在接收到所述双向认证完成消息之后，在指定存储介质中存储所述日志数据。

23、本技术提供一种基于智能密码安全设备数据防篡改装置，目标设备上部署有智能密码安全设备，所述装置应用于日志服务器，包括：

24、接收模块，用于接收所述智能密码安全设备发送的日志数据和第一签名值；其中，所述日志数据是所述目标设备对应的日志数据，所述第一签名值是所述智能密码安全设备对所述日志数据中的关键信息进行签名得到；

25、发送模块，用于基于所述日志数据中的关键信息和所述第一签名值进行验签；若验签成功，则对已获取的审计数据进行签名得到第二签名值，并将所述审计数据和所述第二签名值发送给所述智能密码安全设备；

26、所述接收模块，还用于接收所述智能密码安全设备发送的双向认证完成消息，在指定存储介质中存储所述日志数据；所述双向认证完成消息是所述智能密码安全设备基于所述审计数据和所述第二签名值验签成功时发送。

27、本技术提供一种日志管理系统，所述日志管理系统包括目标设备和日志服务器，所述目标设备上部署有智能密码安全设备，其中：

28、所述智能密码安全设备，用于获取所述目标设备对应的日志数据；

29、所述智能密码安全设备，用于对所述日志数据中的关键信息进行签名得到第一签名值，将所述日志数据和所述第一签名值发送给所述日志服务器；

30、所述日志服务器，用于基于所述日志数据中的关键信息和所述第一签名值进行验签；若验签成功，则对已获取的审计数据进行签名得到第二签名值，将所述审计数据和所述第二签名值发送给所述智能密码安全设备；

31、所述智能密码安全设备，用于基于所述审计数据和所述第二签名值进行验签；若验签成功，则向所述日志服务器发送双向认证完成消息；

32、所述日志服务器，用于接收到所述双向认证完成消息之后，在指定存储介质中存储所述日志数据。

33、本技术提供一种智能密码安全设备，包括：处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令；其中，处理器用于执行机器可执行指令，以实现基于智能密码安全设备数据防篡改方法。

34、本技术提供一种日志服务器，包括：处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令；其中，处理器用于执行机器可执行指令，以实现基于智能密码安全设备数据防篡改方法。

35、本技术提供一种机器可读存储介质，所述机器可读存储介质存储有能够被处理器执行的机器可执行指令；其中，所述处理器用于执行所述机器可执行指令，以实现上述的基于智能密码安全设备数据防篡改方法。

36、本技术提供一种计算机程序，所述计算机程序存储于机器可读存储介质，当处理器执行所述机器可读存储介质中的所述计算机程序时，促使所述处理器实现上述的基于智能密码安全设备数据防篡改方法。

37、由以上技术方案可见，本技术实施例中，在目标设备部署智能密码安全设备，由智能密码安全设备进行签名得到第一签名值，将日志数据和第一签名值发送给日志服务器，日志服务器接收到日志数据之后，不是直接存储该日志数据，而是进行验签，若验签成功，则将审计数据和第二签名值发送给智能密码安全设备，由智能密码安全设备进行验签，若验签成功，则向日志服务器发送双向认证完成消息。日志服务器接收到双向认证完成消息之后，才存储日志数据。这样，通过双向认证和双向签名的方式，保证日志数据的完整性，使得日志服务器存储未被篡改的日志数据，保证日志数据的安全性和完整性，防止日志数据被第三方截获并篡改。通过在目标设备部署智能密码安全设备，只需要安装智能密码安全设备就可以完成日志数据的签名和验签，日志数据更加安全，目标设备不需要执行签名和验签等繁琐流程，方便日志数据的管理。