[发明专利]具有额外安全性的用于低熵输入记录的核验系统和方法

说明书

相关申请的交叉引用

本申请要求提交于2013年2月22日的申请号为61/768,386的美国临时专利申请的优先权。

技术领域

本发明涉及一种用于核验任何一组数字记录未被更改的系统和方法，不会泄漏任何关于其他记录内容的信息。

背景技术

数字世界是由事件限定的，许多事件都能够被日志化。例如，在计算机系统的内容中，系统日志可以用作“用于计算机数据日志的标准。所述系统日志将生成讯息的软件独立于存储讯息的系统以及报告和分析讯息的软件。系统日志能够用于计算机系统管理以及安全性审计以及归纳信息、分析以及调试讯息。系统日志由多个平台上的多种设备(例如打印机和路由器)和接收器支持。由于此，系统日志能够用于将来自许多不同类型系统的记录数据整合至中央储存库”(http://en.wikipia.org/wiki/Syslog).

RainerGerhards开发的Rsyslog将系统日志扩展为“用于UNIX和类Unix计算机系统的开源软件实用程序，用于在IP网络上转发日志消息。它实施基本系统日志协议，扩展了基于内容的过滤、丰富的过滤能力、灵活的配置选项，并且增加了重要特性,比如使用TCP传输”(http://en.wikipia.org/wiki/Rsyslog)。

这种日志可以维持不仅用于“真正的”计算机系统而且用于虚拟的计算机(“虚拟机”-VM)；事实上，VM它们自身的系统以及状态改变可以登记作为事件日志。当然，事件并不限于计算机。作为另一例子，电话公司常规性登记它们用户电话的所有使用，包括任何声音、文本、网络通信的交换，通常包括时间跟踪，这不仅用于计费目的。简言之，任何能够以数字形式记录以及存储的活动能够被考虑为可日志事件。

许多公知的方法用于对各种记录进行数字标记。可日志事件-单独的或者分组的-能够被处理作为这种记录以及被标记为任何其他记录以便提供特定水平的保证，这些事件的日志或者一些个别标记子集(稍后提出的)正确匹配标记的内容。但是，一个潜在问题是包含在事件日志或者其他输入数据组的数据会显示不可接受的低熵，也即，可能的输入数据会太被限制或者是太“组织化”；例如，其可能具有相对较少的可能变量或者具有发生一个条目给定另一条目的相对更高可能性。因而，尽管宇宙中有所有的可能，但是一般文献或者其他数字记录对于穷举分析来说是太巨大的以至于不能成功(尝试所有可能)，这可能不是真的-或者不能被证明是很多用户期望的置信度-在事件的情形下。系统事件日志通常会具有可能性范围足够小的属性，穷举“暴力”破解可以成功击败任何数据标记规划的其他固有安全性。当然，即使在一般高熵环境下，额外被证明安全性的保证始终是受欢迎的。

来自各种信息系统的日志越来越多地被用作证据。随着该趋势，维护以及呈现日志数据的要求也在增加。完整性和真实性，也即，日志中的信息未被另一信息篡改或者替换的置信度，是显而易见的要求，尤其如果日志数据是用于纠纷调解或者作为法律程序、税务审计等中的证据，以确保虚拟机未被更改，例如在迁移时提供金融交易的证据，核验电话使用等。由于信息系统以连续方式登记它们的所有活动，通常包括在争论中的交易细节穿插在日志中的其他信息中。为了保护不相关事件的机密性，于是期望能够从标记的日志中仅提取一些记录以及仍证明它们的完整性。鉴于所述，因此需要解决用于日志标记规划的所有或者至少一些以下设计目的：

·整个日志的完整性应该是可核验的，使得没有记录能够以不被检测到的方式被添加、移除或者更改。

·任何记录的完整性应该是可证明的，无需泄漏任何关于日志中其他记录的内容的信息。

·标记处理在时间以及空间上都应该是有效的。(理想地，每个记录处理开销应该是小常数，每个日志存储开销应该是小常数)。

·提取处理在时间以及空间上都应该是有效的。(理想地，对于日志尺寸中的时间次线性中的任何记录，应该能够提取完整性的小常数尺寸的证据)

·核验处理在时间上应该是有效的。(理想地，要核验数据尺寸中的时间线性运行，是否核验整个日志或者单个记录。)

附图说明

图1示出了核验树结构内的盲掩膜的内含物。

图2示出了规范的二叉树。

图3示出了本发明的计数器模式实施例。

图4示出了通用数字记录核验以及标记基础设施的各种层。

图5示出了核验基础设施以及各种数据，阐明了不同层内维护和计算的计算结构。