[发明专利]一种面向数字取证的数字证据监管链的实现方法

说明书

技术领域

本发明涉及数字取证技术领域，尤其涉及一种面向数字取证的数字证据监管链的实现方法，通过利用时间戳及Hash算法形成监管链，有效提高数字取证的效率。

背景技术

数字取证技术包括电子取证、网络取证、计算机取证等，是从计算机、移动电子设备等相关电子设备中收集和发现证据的技术和工具。其目的是调查与数字技术相关的电子商务诈骗、侵占知识产权、入侵计算机等数字犯罪，有效确保计算机、移动手机以及通讯网络等数字设备中相关信息的安全，并进而构建出一个整体信息安全架构，以防止网络安全等相关攻击，协助企业、司法机构收集数字犯罪证据。

具体到实际的应用中，保证数据的原始性和不可栽赃性是数字取证技术中十分重要而迫切需要解决但却尚未有效解决的问题。取证过程中，在取证技术人员不注意的任何时刻，数据都有可能被有意或无意修改。数据在整个取证过程中，作为独立个体与载体设备分离，就有可能使原始数据被篡改或栽赃至其他设备上被故意用作伪证；数据从取证终端设备上传至服务器的过程中，在非专用网络即公共网络上进行传输时，在没有加密保护的情况下，数据泄露和网络攻击的恶意行为容易发生。

针对上述场景，Me G.and Rossi M.提出对作为数字证据载体的电子设备中的内存进行整体镜像，再用MD5算法哈希加密镜像文件来生成整体Hash值，然后把移动设备封存起来的方法对数字证据进行保护。然而，加密后的文件可以被任意地再哈希或再加密，无法在之后的时间里保证数据来源的准确性和唯一性，数据的防栽赃性更是无法得到保证。

此外，Chet提出在数字取证过程中加入访问控制技术对用户进行操作限制。但是攻击者通过使用网络代理或广播监听等技术手段仍可以绕过安全访问控制，导致数据在从取证客户端到服务器端的网络上被不法分子非法获取。

也就是说，数字证据在整个取证过程中都面临着危险，且一旦发生错误或被篡改以后，从目前的研究成果来看，很难确定错误发生的时间与地点；一旦数据发生错误，将导致整个取证工作都要重新进行，费时费力，所以当下面临的亟待解决的一个技术问题就是：如何提出一种方法能够有效识别数字证据发生错误的时间与地点，有效提高数字取证的效率。

发明内容

针对现有技术中存在的不能唯一定位数字证据发生错误的时间与地点的问题，本发明提供一种面向数字的数字证据监管链的实现方法，通过利用时间戳及Hash算法形成监管链，有效提高数字取证的效率。

为了解决上述问题，本发明采用以下技术方案：提取时间戳信息、数据包及唯一设备标识号，并利用Hash算法进行加密形成校验，以此形成数据监管链信息，在数字证据发生错误的时候就能遵循数据监管链回溯找到问题发生的时间与地点，避免了对前期工作的全盘否定，从而有效提高数字取证工作的效率。

一种面向数字取证的数字证据监管链的实现方法，包括以下步骤：

S1，从电子设备中提取数据，得到时间戳信息和唯一设备标识号。

S2，运用数据校验技术，对提取出来的数据、时间戳信息和唯一设备标识号应用Hash算法，得到Hash值，附加到提取出的数据包上。

S3，若具有多个数据源时，提取其时间戳信息与监管链信息，按时间先后顺序排列监管链信息；若只是单一数据源，则直接进行S4。

S4，每一次对数据进行操作或者转换存储设备时，采集相应的时间戳信息和唯一设备标识号，并将时间戳信息与唯一设备标识号附加到上一步得到的Hash值上，做进一步Hash运算，得到新的Hash值。

S5，将固定格式的时间戳信息附加到每一步得到的Hash值后，形成新的校验值，并用对称加密算法，利用系统随机生成的密钥对校验值进行加密。

S6，将数字取证过程中每一步操作得到的校验值链接起来形成数字证据监管链。

S7，在使用数据监管链校验数据是否发生变化时，对校验值解密后，去掉时间戳信息，将校验得到的Hash值与原Hash值进行比对，若不正确，则依次向上进行校验，直到发现发生错误的时间与操作，即时间与地点，并从相应步骤开始重新执行。

进一步的，所述S1中通过调用Windows API中的GetLocalTime来获取时间戳信息。