(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210809219.0 (22)申请日 2022.07.11 (65)同一申请的已公布的文献号 申请公布号 CN 114900373 A (43)申请公布日 2022.08.12 (73)专利权人 南京极域信息科技有限公司 地址 211100 江苏省南京市江宁开发区苏 源大道62号13 01室 （江宁开发区） (72)发明人 李永明　 (74)专利代理 机构 深圳市创富知识产权代理有 限公司 4 4367 专利代理师 林霞 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01)H04L 9/32(2006.01) (56)对比文件 CN 113747426 A,2021.12.0 3 CN 108833440 A,2018.1 1.16 CN 111368007 A,2020.07.0 3 CN 110310078 A,2019.10.08 US 696845 6 B1,2005.11.22 孔丹等.基 于云平台的安全审计系统设计与 实现. 《信息安全与通信保密》 .2013, 审查员 董玉慧 (54)发明名称 一种实现审计数据存储的动态加密系统及 方法 (57)摘要 本发明公开了一种实现审计数据存储的动 态加密系统及方法， 包括数据安全存储系统和服 务器秘钥管 理分发系统； 所述数据采集模块用来 采集认证数据和抓取流量并进行分析以获取上 网数据； 所述数据整合模块用来整合认证数据与 上网数据， 以形成完整的符合条件的审计数据； 所述数据存储模块用来压缩审计数据并通过与 服务器秘钥管理分发系统交互返回的秘钥对压 缩后的审计数据进行本地加密存储。 本发明采用 动态加密， 本地存储的方法存储数据， 数据在加 密的同时进行压缩， 以减少数据占用的系统资源 （磁盘） ； 由于采用动态加密， 每天随机更新数据 加密的秘钥， 极大的提高了数据存储的安全性； 由于是本地存储， 故而节省了服务器资源， 降低 了系统部署难度。 权利要求书1页 说明书4页 附图2页 CN 114900373 B 2022.10.14 CN 114900373 B 1.一种实现审计数据存储的动态加密系统， 其特征在于： 包括配置在用户端审计设备 上的数据安全 存储系统和服 务器秘钥管理分发系统； 所述审计设备的其中一个物理端口连接有用于过滤违法、 异常数据的过滤器， 所述过 滤器适用于BS D Packet Filte报文过 滤机制； 所述数据安全 存储系统与服 务器秘钥管理分发系统之间进行信息交 互； 所述数据安全 存储系统包括数据采集模块、 数据整合模块和数据存 储模块； 所述数据采集模块用来采集认证数据和抓取流量并进行分析以获取上网数据， 所述数 据采集模块采集的上网数据包括上网终端的上网日志、 NAT信息以及部分虚拟身份信息； 所述数据整合模块用来整合认证数据与上网数据， 以形成完整的符合条件的审计数 据； 所述数据存储模块用来压缩审计数据并检查与服务器秘钥管理分发系统交互返回的 秘钥的时效性， 当返回的秘钥无效则去服务器秘钥管理分发系统申请以获取新的秘钥； 当 返回的秘钥有效则直接使用； 所述数据存储模块使用检查后具有时效性的秘钥对压缩后的 审计数据进行本地加密存 储； 所述数据存储模块包括根目录配置单元， 所述根目录配置单元用于在根目录下创建以 当前日期命名的数据存储目录， 所述数据存储模块还包括解密单元， 所述解密单元用于获 取指定日期的待解密数据并对解密后的数据进行存放。 2.一种适用于权利要求1所述实现审计数据存储的动态加密系统的方法， 其特征在于： 包括以下步骤： 步骤 （A） 、 数据采集： 采集审计需要的认证数据和上网数据； 步骤 （B） 、 数据整合： 将认证数据与上网数据进行整合， 形成完整 的符合条件的审计数 据； 步骤 （C） 、 接收数据： 根据预设的规则决定是否存储接收的数据， 预设的规则包括采用 先进先出算法， 存 储最新5000万数据或存 储敏感词汇； 步骤 （C1） 、 检查数据并压缩： 对步骤 （C） 中接收的数据以日期命名并存储， 然后对该数 据进行检查， 若满足数据量或者数据超时， 对数据进行压缩； 步骤 （C2） 、 检查秘钥： 在步骤 （C1） 进行的同时检查当前秘钥的时效性； 步骤 （D） 、 如果 步骤 （C2） 中秘钥有效， 使用该秘钥对数据进行加密并写入磁 盘存储； 步骤 （E） 、 如果步骤 （C2） 中秘钥无效， 则去服务器秘钥管理分发系统申请以获取新的秘 钥， 获取新的秘钥过程全程加密和签名认证； 步骤 （F） 、 如果秘钥获取失败， 则相隔5分钟后， 再次尝试获取， 直到获取成功， 则更新当 前秘钥， 使用当前秘钥对数据进行加密并写入磁 盘存储； 步骤 （G） 、 定期检查秘钥是否失效， 对于失效的秘钥， 及时去服务器秘钥管理分发系统 申请并更新本地秘钥。权　利　要　求　书 1/1 页 2 CN 114900373 B 2一种实现审 计数据存 储的动态加密系统及方 法 技术领域 [0001]本发明涉及一种实现审计数据存 储的动态加密系统及方法。 背景技术 [0002]对于网络安全审计， 目前绝大多数安全厂商， 对于审计数据处理主要采用两种方 式： [0003]1） 对于已经在网安平台备案的场所， 则是直接将数据上报至指定的网安平台， 采 取tcp， udp， 或者ftp等方式上传。 [0004]2） 对于未备案的场所， 但是有需要临时存储审计数据的情况， 则是将数据临时上 传至指定服 务器， 该服 务器为临时部署， 非网安平台。 [0005]对于第2种情况， 传统审计数据存储， 需要申请服务器资源， 服务器部署相对复杂， 成本高昂且不够灵活； 由于通常采用固定加密方式和固定加密秘钥， 导致数据不够安全， 秘 钥容易泄露。 发明内容 [0006]本发明的目的在于提供一种实现审计数据存储的动态加 密系统及方法， 以解决上 述背景技术中提出的传统审 计数据存储， 需要申请服务器资源， 服务器部署相对复杂， 成本 高昂且不够灵活； 由于通常采用固定加密方式和固定加密秘钥， 导致数据不够安全， 秘钥容 易泄露的问题。 [0007]为实现上述目的， 本发明提供如下技术方案： 一种 实现审计数据存储的动态加密 系统及方法， 包括配置在用户端审计设备上的数据安全存储系统和服务器秘钥管理分发系 统； [0008]所述审计设备的其中一个物理端口连接有用于过滤违法、 异常数据的过滤器， 所 述过滤器适用于BS D Packet Filte报文过 滤机制； [0009]所述数据安全 存储系统与服 务器秘钥管理分发系统之间进行信息交 互； [0010]所述数据安全 存储系统包括数据采集模块、 数据整合模块和数据存 储模块； [0011]所述数据采集模块用来采集认证数据和抓取流量并进行分析以获取上网数据， 所 述数据采集模块采集的上网数据包括上网终端的上网日志、 NAT信息以及部分虚拟身份信 息； [0012]所述数据整合模块用来整合认证数据与上网数据， 以形成完整的符合条件的审计 数据； [0013]所述数据存储模块用来压缩审计数据并检查与服务器秘钥管理分发系统交互返 回的秘钥的时效性， 当返回的秘钥无效则去服务器秘钥管理分发系统申请以获取新的秘 钥； 当返回的秘钥有效则直接使用； 所述数据存储模块使用检查后具有时效性的秘钥对压 缩后的审计数据进行本地加密存 储； [0014]所述数据存储模块包括根目录配置单元， 所述根目录配置单元用于在 根目录下创说　明　书 1/4 页 3 CN 114900373 B 3