(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210950741.0 (22)申请日 2022.08.09 (71)申请人 安徽师范大学 地址 241000 安徽省芜湖市九华 南路189号 (72)发明人 张爱清　代雅琳　曹圣昊　罗惠宁　 陶馨雅　 (74)专利代理 机构 马鞍山诗韬知识产权代理事 务所(普通 合伙) 34245 专利代理师 章丽霞 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 67/1097(2022.01) (54)发明名称 一种基于区块链的堡垒机日志安全加密日 志记录系统、 方法 (57)摘要 本发明实施例提供基于区块链的堡垒机日 志安全加密日志记录系统、 方法， 属于互联网技 术领域。 包括： 堡垒机客户端， 用于： 加密原始日 志数据， 并将加密后的原始日志数据发送到星际 文件系统； 对原始日志数据进行结构化解析， 将 加密的解析日志、 星际文件地址以及聚合签名上 传至区块链以进行共享； 数据用户端， 用于： 向堡 垒机客户端发送注册申请并被授权， 获得重加密 密钥和搜索令牌； 通过重加密密钥对查找得到的 加密的密钥密文进行二次加密， 得到所需解密密 钥对获得从星际文件系统访问解密后的堡垒机 客户端的原始日志数据的权限。 本发 明保障了日 志数据的真实性和不可篡改性， 避免了数据丢 失， 提供了 完整的数据备份方案 。 权利要求书3页 说明书8页 附图3页 CN 115314224 A 2022.11.08 CN 115314224 A 1.一种基于区块链的堡垒机日志安全加密日志记录系统， 其特征在于， 所述基于区块 链的堡垒机日志安全加密日志 记录系统包括： 堡垒机客户端， 用于： 加密原始日志数据， 并将加密后的所述原 始日志数据发送到星际文件系统； 对所述原始日志数据进行结构化解析， 将加密的解析日志、 星际文件地址以及聚合签 名上传至区块链以进 行共享， 其中， 所述堡垒机客户端对数据用户端完成授权， 使 得所述数 据用户端能够搜索出 预期结果并解密得到原 始日志数据； 数据用户端， 用于： 向所述堡垒机客户端发送注册申请并被授权， 获得重加密密钥和搜索令牌， 其中， 所述 搜索令牌包括身份验证码和搜索陷门； 通过所需解析 日志和公钥生成陷门集， 调用所述 区块链上的查询智能合约进行搜索得 到搜索结果， 验证 签名是否正确； 通过重加密密钥对查找得到的加密的密钥密文进行二 次加密， 得到所需解密密钥对获 得从所述星际文件系统访问解密后的所述 堡垒机客户端的原 始日志数据的权限。 2.一种基于区块链的堡垒机日志安全记录方法， 其特征在于， 所述基于区块链的堡垒 机日志安全记录方法使用权利要求1所述的基于区块链的堡垒机日志安全记录系统， 该方 法包括： 步骤1， 初始化 堡垒机日志系统参数； 步骤2， 生成所述 堡垒机客户端和所述数据用户端各自的密钥； 步骤3， 生成所述 堡垒机客户端的原 始日志数据加密文件和签名； 步骤4， 生成所述 堡垒机客户端的可搜索加密的解析日志； 步骤5， 生成所述数据用户端的重加密 密钥和搜索令牌； 步骤6， 所述数据用户端进行搜索并验证搜索结果的正确性， 并对所述堡垒机客户端的 加密密文进行重加密和解密， 得到所述 堡垒机客户端的对称密钥； 步骤7， 所述堡垒机客户端完成对日志的安全加密记录， 保证所述数据用户端获得从所 述星际文件系统访问原始日志数据密文的权限， 并对原始日志数据进行解密， 以完成日志 的安全记录 。 3.根据权利要求2所述的基于区块链的堡垒机日志安全记录方法， 其特征在于， 所述初 始化所述 堡垒机日志系统参数包括： 配置有安全参数λ为输入， 选择两个大素数p和q， 输出素数阶为p的乘法循环群G1、 G2和 双线性配对e： G1×G2→G2， g为乘法循环群G1、 G2上的一个生成元， G为G1上的一个生成元， 随 机选择h1， h2←G2， 计算L＝e(h1， h2)， 选择以下Hash函数： H1： {0， 1}|sk|→{0， 1}|q|； H2： {0， 1}*→{0， 1}|q|； H3： {0， 1}*→G1； 初始化所述 堡垒机日志系统的公共参数为： param＝(g， G， h1， h2， G1， G2， e， H1， H2， H3， L)。 4.根据权利要求3所述的基于区块链的堡垒机日志安全记录方法， 其特征在于， 所述生 成所述堡垒机客户端和所述数据用户端的密钥包括：权　利　要　求　书 1/3 页 2 CN 115314224 A 2所述堡垒机客户端IDi随机选择 计算 其中所述数据客户端IDi的公 钥和私钥分别为pki＝Xi， ski＝xi； 所述数据用户端IDu随机选择 计算 其中所述数据用户端IDu的公钥 和私钥分别为pku＝Yu， sku＝yu。 5.根据权利要求4所述的基于区块链的堡垒机日志安全记录方法， 其特征在于， 所述生 成所述堡垒机客户端的原 始日志数据密文和 加密的密钥密文包括： 所述堡垒机客户端随机选择 为对称加密密钥； 加密原始日志d＝＜d0， d1， ...dl ＞， (dl∈{0， 1}*， l＝0， 1， ...， n)生成密文Dl， 并计算对称密钥密文C1； 通过以下公式生成密文Dl： Dl＝AES(ks， dl)； 所述堡垒机客户端上传密文Cd＝＜D0， D1， ...Dl＞， 到星际文件系统， 并得到 所述原始日 志数据密文的文件地址IPFSAddr； 所述堡垒机客户端随机 选择 计算C1＝(c0， c1， c2)； c0＝Lr·ks； c1＝gr； 6.根据权利要求5所述的基于区块链的堡垒机日志安全记录方法， 其特征在于， 所述堡 垒机客户端的可搜索加密解析日志生成包括： 所述堡垒机客户端对原始数据进行日志解析， 得到解析后的日志文件为W＝＜w0， w1，. . .wn＞ ，( wl∈ { 0 ，1 }*，l ＝ 0 ，1 ，. . .，n ) ，计 算 加 密 解 析 日 志 其中 7.根据权利要求6所述的基于区块链的堡垒机日志安全记录方法， 其特征在于， 所述堡 垒机客户端对加密的原 始日志数据进行聚合签名包括： 所述堡垒机客户端随生成a0、 b0两个随机盲密钥和索引 对原始日志数据签名 使用， 通过H1对盲密钥进行密钥更新， 计算Aj＝ajG， Bj＝bjG。 对原始日志密文D＝＜D0， D1， ...Dl＞进行签名， 对加密的原 始日志进行签名； 单个签名为： σl＝alH2(Dl||(l+m))+blmod； 聚合签名为： 所述堡垒机客户端将 上传至区块链。 8.根据权利要求7所述的基于区块链的堡垒机日志安全记录方法， 其特征在于， 所述堡 垒机客户端生成重加密 密钥和所述数据用户端的搜索令牌包括： 所述数据用户端完成注册后， 通过所述堡垒机客户端的私钥ski和数据用户端的公钥Yu 来生成重加密 密钥； 通过下述公式获得重加密 密钥rk：权　利　要　求　书 2/3 页 3 CN 115314224 A 3