CN103888241B - 一种面向数字取证的数字证据监管链的实现方法 - Google Patents
一种面向数字取证的数字证据监管链的实现方法 Download PDFInfo
- Publication number
- CN103888241B CN103888241B CN201410123110.7A CN201410123110A CN103888241B CN 103888241 B CN103888241 B CN 103888241B CN 201410123110 A CN201410123110 A CN 201410123110A CN 103888241 B CN103888241 B CN 103888241B
- Authority
- CN
- China
- Prior art keywords
- data
- digital evidence
- chain
- digital
- custody
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种面向数字取证的数字证据监管链的实现方法。首先提取时间戳信息、数据包及唯一设备标识号,然后利用Hash算法进行加密形成校验,以此形成数据监管链信息,在数字证据发生错误的时候就能遵循数据监管链回溯找到问题发生的时间与地点。本发明所述方法在监管链信息中加入时间戳信息,记录数据发生变化的时间,若有第三方对数据作出篡改或删减等操作时,能够记录下时间,同时利用Hash算法,对取证过程的每一步都进行签名校验,从而对数字证据发生错误的地点进行有效定位。解决了现有技术中存在的不能唯一定位数字证据发生错误的时间与地点的问题,提高了数字取证工作的效率。
Description
技术领域
本发明涉及数字取证技术领域,尤其涉及一种面向数字取证的数字证据监管链的实现方法,通过利用时间戳及Hash算法形成监管链,有效提高数字取证的效率。
背景技术
数字取证技术包括电子取证、网络取证、计算机取证等,是从计算机、移动电子设备等相关电子设备中收集和发现证据的技术和工具。其目的是调查与数字技术相关的电子商务诈骗、侵占知识产权、入侵计算机等数字犯罪,有效确保计算机、移动手机以及通讯网络等数字设备中相关信息的安全,并进而构建出一个整体信息安全架构,以防止网络安全等相关攻击,协助企业、司法机构收集数字犯罪证据。
具体到实际的应用中,保证数据的原始性和不可栽赃性是数字取证技术中十分重要而迫切需要解决但却尚未有效解决的问题。取证过程中,在取证技术人员不注意的任何时刻,数据都有可能被有意或无意修改。数据在整个取证过程中,作为独立个体与载体设备分离,就有可能使原始数据被篡改或栽赃至其他设备上被故意用作伪证;数据从取证终端设备上传至服务器的过程中,在非专用网络即公共网络上进行传输时,在没有加密保护的情况下,数据泄露和网络攻击的恶意行为容易发生。
针对上述场景,Me G.and Rossi M.提出对作为数字证据载体的电子设备中的内存进行整体镜像,再用MD5算法哈希加密镜像文件来生成整体Hash值,然后把移动设备封存起来的方法对数字证据进行保护。然而,加密后的文件可以被任意地再哈希或再加密,无法在之后的时间里保证数据来源的准确性和唯一性,数据的防栽赃性更是无法得到保证。
此外,Chet提出在数字取证过程中加入访问控制技术对用户进行操作限制。但是攻击者通过使用网络代理或广播监听等技术手段仍可以绕过安全访问控制,导致数据在从取证客户端到服务器端的网络上被不法分子非法获取。
也就是说,数字证据在整个取证过程中都面临着危险,且一旦发生错误或被篡改以后,从目前的研究成果来看,很难确定错误发生的时间与地点;一旦数据发生错误,将导致整个取证工作都要重新进行,费时费力,所以当下面临的亟待解决的一个技术问题就是:如何提出一种方法能够有效识别数字证据发生错误的时间与地点,有效提高数字取证的效率。
发明内容
针对现有技术中存在的不能唯一定位数字证据发生错误的时间与地点的问题,本发明提供一种面向数字的数字证据监管链的实现方法,通过利用时间戳及Hash算法形成监管链,有效提高数字取证的效率。
为了解决上述问题,本发明采用以下技术方案:提取时间戳信息、数据包及唯一设备标识号,并利用Hash算法进行加密形成校验,以此形成数据监管链信息,在数字证据发生错误的时候就能遵循数据监管链回溯找到问题发生的时间与地点,避免了对前期工作的全盘否定,从而有效提高数字取证工作的效率。
一种面向数字取证的数字证据监管链的实现方法,包括以下步骤:
S1,从电子设备中提取数据,得到时间戳信息和唯一设备标识号。
S2,运用数据校验技术,对提取出来的数据、时间戳信息和唯一设备标识号应用Hash算法,得到Hash值,附加到提取出的数据包上。
S3,若具有多个数据源时,提取其时间戳信息与监管链信息,按时间先后顺序排列监管链信息;若只是单一数据源,则直接进行S4。
S4,每一次对数据进行操作或者转换存储设备时,采集相应的时间戳信息和唯一设备标识号,并将时间戳信息与唯一设备标识号附加到上一步得到的Hash值上,做进一步Hash运算,得到新的Hash值。
S5,将固定格式的时间戳信息附加到每一步得到的Hash值后,形成新的校验值,并用对称加密算法,利用系统随机生成的密钥对校验值进行加密。
S6,将数字取证过程中每一步操作得到的校验值链接起来形成数字证据监管链。
S7,在使用数据监管链校验数据是否发生变化时,对校验值解密后,去掉时间戳信息,将校验得到的Hash值与原Hash值进行比对,若不正确,则依次向上进行校验,直到发现发生错误的时间与操作,即时间与地点,并从相应步骤开始重新执行。
进一步的,所述S1中通过调用Windows API中的GetLocalTime来获取时间戳信息。
进一步的,所述S1中通过调用相应的API(Application Programming Interface,应用程序编程接口)来获取唯一设备标识号,例如,Android系统中,通过调用TelephonyManager.getDeviceId和Android.Build.SERIAL两个Android提供的类来获取IMEI号和序列号,并将两个号组合构成唯一设备标识号。
进一步的,对校验值进行加密的对称加密算法可以采用DES(Data EncryptionStandard,数据加密标准)、AES(Advanced Encryption Standard,高级加密标准)等算法。
与现有技术相比,本发明具有以下明显优点:
本发明所述方法在监管链信息中加入时间戳信息,记录数据发生变化的时间,若有第三方对数据作出篡改或删减等操作时,能够记录下时间,同时利用Hash算法,对取证过程的每一步都进行签名校验,从而对数字证据发生错误的地点进行有效定位,提高数字取证工作的效率。
附图说明
图1是本发明所涉及方法的流程图;
图2是本发明最终形成的数字证据监管链示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图与实例对本发明作进一步详细说明。但所举实例不作为对本发明的限定。
如图1所示,本发明提供一种面向数字的数字证据监管链的实现方法的流程示意图,包括:
S1,从电子设备中提取数据,得到时间戳信息和唯一设备标识号。
S2,运用数据校验技术,对提取出来的数据、时间戳信息和唯一设备标识号应用Hash算法,得到Hash值,附加到提取出的数据包上。
S3,若具有多个数据源时,提取其时间戳信息与监管链信息,按时间先后顺序排列监管链信息;若只是单一数据源,则直接进行S4。
S4,每一次对数据进行操作或者转换存储设备时,采集相应的时间戳信息和唯一设备标识号,并将时间戳信息与唯一设备标识号附加到上一步得到的Hash值上,做进一步Hash运算,得到新的Hash值。
S5,将固定格式的时间戳信息附加到每一步得到的Hash值后,形成新的校验值,并用对称加密算法,利用系统随机生成的密钥对校验值进行加密。
S6,将数字取证过程中每一步操作得到的校验值链接起来形成数字证据监管链。
S7,在使用数据监管链校验数据是否发生变化时,对校验值解密后,去掉时间戳信息,将校验得到的Hash值与原Hash值进行比对,若不正确,则依次向上进行校验,直到发现发生错误的时间与操作,即时间与地点,并从相应步骤开始重新执行。
本发明最终形成的数字证据监管链如图2所示。
本方案适用于具有对称加密系统的取证系统。
在整个取证过程中,数字证据的原始性和不可抵赖性都必须得到很好的保证,一旦发生错误,要能及时地寻找到发生错误的时间与地点,并从该步骤开始继续进行取证工作,避免了一旦发生数据错误就需要全部重新进行取证工作的麻烦,提高了取证工作的效率。
在本方案中,从取证的角度来讲,取证终端是可信的,其本身具备了对称加密系统,并且可以对数据进行Hash运算。
在取证工作开始进行之前,须保证取证终端及待取证设备处于安全的取证环境中。安全的取证环境是指隔绝外部网络,设备无法以任何形式与外界网络进行链接,并且不能被任何人所接触。此时将取证终端与待取证的设备进行链接,取证终端开始进行取证工作,并构建数字证据监管链。
利用前述的API接口函数来提取时间戳信息与唯一设备标识码,具体代码不再一一赘述。然后将提取的数据、时间戳信息与唯一设备标识码打包进行Hash运算,得到Hash值,并将固定格式的时间戳信息附加在Hash值后,形成校验值。在下一个取证步骤中,首先判断数据源是否有多个,若有,则按照时间戳信息进行排列,并提取其监管链信息,依次渐进式进行Hash运算,并将时间戳信息附加与Hash值之后;若只有单一数据源,则直接进行二次Hash,并构建校验值。在取证工作完成后,对所有的监管链信息进行对称加密,密钥由取证终端随机生成。这样,将所有的监管链信息链接起来,形成一条完整的数字证据监管链,一旦发现数据有错误,则循着监管链倒序进行校验,直到发现问题为止。
Claims (4)
1.一种面向数字取证的数字证据监管链的实现方法,其特征在于,包括以下步骤:
步骤1,从电子设备中提取数据,得到时间戳信息和唯一设备标识号;
步骤2,运用数据校验技术,对提取出来的数据、时间戳信息和唯一设备标识号应用Hash算法,得到Hash值,附加到提取出的数据上;
步骤3,若具有多个数据源时,提取其时间戳信息与监管链信息,按时间先后顺序排列监管链信息;若只是单一数据源,则直接进行步骤4;
步骤4,每一次对数据进行操作或者转换存储设备时,采集相应的时间戳信息和唯一设备标识号,并将时间戳信息与唯一设备标识号附加到上一步得到的Hash值上,做进一步Hash运算,得到新的Hash值;
步骤5,将固定格式的时间戳信息附加到每一步得到的Hash值后,形成新的校验值,并用对称加密算法,利用系统随机生成的密钥对校验值进行加密;
步骤6,将数字取证过程中每一步操作得到的校验值链接起来形成数字证据监管链;
步骤7,在使用数字证据监管链校验数据是否发生变化时,对校验值解密后,去掉时间戳信息,将校验得到的Hash值与原Hash值进行比对;若不正确,则依次向上进行校验,直到发现发生错误的时间与操作,即时间与地点,并从相应步骤开始重新执行。
2.根据权利要求1所述的一种面向数字取证的数字证据监管链的实现方法,其特征在于,所述步骤1中通过调用Windows API中的GetLocalTime来获取时间戳信息。
3.根据权利要求1所述的一种面向数字取证的数字证据监管链的实现方法,其特征在于,所述步骤1中通过调用相应的应用程序编程接口来获取唯一设备标识号,Android系统中,通过调用TelephonyManager.getDeviceId和Android.Build.SERIAL两个Android提供的类来获取IMEI号和序列号,并将两个号组合构成唯一设备标识号。
4.根据权利要求1所述的一种面向数字取证的数字证据监管链的实现方法,其特征在于,所述步骤5对校验值进行加密的对称加密算法采用数据加密标准算法和高级加密标准算法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410123110.7A CN103888241B (zh) | 2014-03-28 | 2014-03-28 | 一种面向数字取证的数字证据监管链的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410123110.7A CN103888241B (zh) | 2014-03-28 | 2014-03-28 | 一种面向数字取证的数字证据监管链的实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103888241A CN103888241A (zh) | 2014-06-25 |
| CN103888241B true CN103888241B (zh) | 2017-04-19 |
Family
ID=50956969
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410123110.7A Active CN103888241B (zh) | 2014-03-28 | 2014-03-28 | 一种面向数字取证的数字证据监管链的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103888241B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580240A (zh) * | 2015-01-22 | 2015-04-29 | 杭州安存网络科技有限公司 | 聊天证据固定方法及装置 |
| CN104778422B (zh) * | 2015-04-10 | 2017-12-15 | 北京工业大学 | 一种具有标识信息的物品在使用分析中的隐私保护方法 |
| CN105611428A (zh) * | 2015-12-22 | 2016-05-25 | 北京安寻网络科技有限公司 | 视频证据保全、校验方法及装置 |
| CN105959328B (zh) * | 2016-07-15 | 2019-03-12 | 北京工业大学 | 证据图与漏洞推理相结合的网络取证方法及系统 |
| CN106850793A (zh) * | 2017-01-23 | 2017-06-13 | 重庆邮电大学 | 一种面向Android手机的远程可信取证的方法 |
| CN108197262A (zh) * | 2017-12-30 | 2018-06-22 | 惠龙易通国际物流股份有限公司 | 一种交易记录存储方法、设备及计算机存储介质 |
| CN108418813B (zh) * | 2018-02-12 | 2020-11-06 | 北京工业大学 | 一种基于可信时间戳的电子证据监管链的实现方法 |
| CN109861956B (zh) * | 2018-10-29 | 2021-08-20 | 梁伟 | 基于状态通道的数据验证系统、方法、装置及设备 |
| CN109960922B (zh) * | 2019-03-11 | 2021-09-07 | 北京三快在线科技有限公司 | 一种识别新激活设备的方法及装置 |
| CN109992963B (zh) * | 2019-04-12 | 2023-02-17 | 长沙理工大学 | 一种电力终端及其嵌入式系统的信息安全防护方法与体系 |
| CN112562271B (zh) * | 2020-11-29 | 2022-06-28 | 北京市安全生产科学技术研究院 | 一种事故现场用综合数据采集取证装备 |
| CN116155633B (zh) * | 2023-04-23 | 2023-06-27 | 农数源(成都)科技有限公司 | 一种传感器外置数据安全保护与双向鉴别方法、系统、装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2378865A (en) * | 2001-06-04 | 2003-02-19 | Hewlett Packard Co | Packaging evidence for long term validation |
| CN101369276A (zh) * | 2008-09-28 | 2009-02-18 | 杭州电子科技大学 | 一种Web浏览器缓存数据的取证方法 |
| CN103475664A (zh) * | 2013-09-18 | 2013-12-25 | 北京工业大学 | 面向Android的数字证据的可信提取方法 |
-
2014
- 2014-03-28 CN CN201410123110.7A patent/CN103888241B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2378865A (en) * | 2001-06-04 | 2003-02-19 | Hewlett Packard Co | Packaging evidence for long term validation |
| CN101369276A (zh) * | 2008-09-28 | 2009-02-18 | 杭州电子科技大学 | 一种Web浏览器缓存数据的取证方法 |
| CN103475664A (zh) * | 2013-09-18 | 2013-12-25 | 北京工业大学 | 面向Android的数字证据的可信提取方法 |
Non-Patent Citations (2)
| Title |
|---|
| 电子证据监督链可视化平台研究;郭志博等;《全国计算机安全学术交流会论文集》;20100917;第25卷;第231-235页 * |
| 电子邮件取证模型的研究;郭秋香等;《计算机安全》;20070105(第1期);第21-23页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103888241A (zh) | 2014-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103888241B (zh) | 一种面向数字取证的数字证据监管链的实现方法 | |
| CN103475664B (zh) | 面向Android的数字证据的可信提取方法 | |
| CN102325139B (zh) | 电子文件的处理方法、处理系统和验证系统 | |
| CN110324143A (zh) | 数据传输方法、电子设备及存储介质 | |
| US20120216043A1 (en) | Method for Securely Dematerializing the Transfer of Evidence in Data-Stream Production Systems, In Particular Video-Surveillance Systems | |
| EP2864923B1 (en) | Secure user presence detection and authentication | |
| CN104219228A (zh) | 一种用户注册、用户识别方法及系统 | |
| CN103279693A (zh) | 一种文件加密方法 | |
| CN106603561B (zh) | 一种云存储中的块级加密方法及多粒度去重复方法 | |
| CN111882233A (zh) | 基于区块链的仓储风险预警方法、系统、装置和存储介质 | |
| RU2014136397A (ru) | Законный перехват зашифрованных обменов данными | |
| CN110035058B (zh) | 资源请求方法、设备及存储介质 | |
| WO2020232854A1 (zh) | 车辆解锁方法、装置、计算机设备及存储介质 | |
| CN115499844B (zh) | 一种移动终端信息安全防护系统及方法 | |
| Cha et al. | An ISO/IEC 15408-2 compliant security auditing system with blockchain technology | |
| CN103516522A (zh) | 一种基于零知识证明协议的芯核水印盲检测方法 | |
| CN105432092A (zh) | 用于对通过至少一个内容密钥加密的压缩内容加水印的方法 | |
| KR101358375B1 (ko) | 스미싱 방지를 위한 문자메시지 보안 시스템 및 방법 | |
| US10783278B2 (en) | Signature generation device, signature verification device, signature generation method, and signature verification method | |
| US20240205204A1 (en) | Data transmission protocol execution methods and apparatuses | |
| CN112583772A (zh) | 一种数据采集存储平台 | |
| KR102013415B1 (ko) | 개인정보 접속기록 무결성 검증시스템 및 검증방법 | |
| CN103368926A (zh) | 一种防止文件篡改的方法和防止文件篡改的装置 | |
| CN113434474A (zh) | 基于联邦学习的流量审计方法、设备、存储介质 | |
| Morio et al. | Automated security analysis of exposure notification systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210119 Address after: 276000 west side of north section of Industrial Road, Lanshan District, Linyi, Shandong Patentee after: LINYI University Address before: 100124 No. 100 Chaoyang District Ping Tian Park, Beijing Patentee before: Beijing University of Technology |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210323 Address after: 276000 1318, No. 100, Lingong Road, comprehensive bonded zone, Linyi City, Shandong Province Patentee after: Linyi City Investment Information Technology Co.,Ltd. Address before: 276000 west side of north section of Industrial Road, Lanshan District, Linyi, Shandong Patentee before: LINYI University |
|
| TR01 | Transfer of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: An Implementation Method of Digital Evidence Chain of Custody for Digital Forensics Effective date of registration: 20230817 Granted publication date: 20170419 Pledgee: Postal Savings Bank of China Co.,Ltd. Linyi Luozhuang District Sub branch Pledgor: Linyi City Investment Information Technology Co.,Ltd. Registration number: Y2023980052771 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |