??

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)數(shù)字化信息管理領(lǐng)域，特別是涉及計(jì)算機(jī)證據(jù)的安全管理領(lǐng)域。

背景技術(shù)

最近幾年來，計(jì)算機(jī)網(wǎng)絡(luò)犯罪愈發(fā)猖狂，網(wǎng)絡(luò)犯罪已經(jīng)成為普遍關(guān)心的國際性問題。而如何收集犯罪分子的犯罪證據(jù)成為打擊計(jì)算機(jī)網(wǎng)絡(luò)犯罪的關(guān)鍵，也就是電子證據(jù)。因此，計(jì)算機(jī)取證受到了越來越多的關(guān)注，并成為計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。

計(jì)算機(jī)取證就是對(duì)計(jì)算機(jī)犯罪的證據(jù)進(jìn)行獲取、保存、分析和出示，主要包括物理證據(jù)和數(shù)字證據(jù)兩個(gè)方面。物理證據(jù)就是指合法的調(diào)查人員來到計(jì)算機(jī)犯罪或者入侵現(xiàn)場(chǎng)，尋找并扣留相關(guān)的計(jì)算機(jī)硬件；數(shù)字證據(jù)是指從原始數(shù)據(jù)（包括文件、日志等）中尋找用來證明某種具體犯罪行為的電子證據(jù)。與其他合法的證據(jù)一樣，這些電子證據(jù)必須真實(shí)、合法。

一般來說，物理證據(jù)的安全性保護(hù)比較容易。而電子證據(jù)由于自身具有易修改、易刪除等特點(diǎn)，使得它們的安全性保護(hù)變得困難。如果這些電子證據(jù)從產(chǎn)生的時(shí)刻到提交到合法的調(diào)查人員手中這一過程中發(fā)生了任何一點(diǎn)改變，都將使它們失去法律效力。因此，如何保存電子證據(jù)，以及如何保證所提交的電子證據(jù)與原始的電子信息完全一致，變得十分重要。

當(dāng)前，在這一研究領(lǐng)域中，國內(nèi)外的理論研究狀況大都是跟蹤研究居多、源頭創(chuàng)新思想較少，許多研究成果都是停留在一個(gè)統(tǒng)一的模式上：被取證機(jī)、取證機(jī)和分析機(jī)。這樣的研究模式幾乎是跟蹤入侵檢測(cè)系統(tǒng)的框架結(jié)構(gòu)，沒有體現(xiàn)入侵取證的具體目標(biāo)，反倒是繼承了入侵檢測(cè)系統(tǒng)的一些安全缺陷，如自身安全保護(hù)不力、漏報(bào)和誤報(bào)率高、資源消耗龐大、所保留的證據(jù)文件不具有嚴(yán)格的法律效力且易于被篡改。與具體的理論研究工作進(jìn)展不同的是，已經(jīng)出現(xiàn)了不少的取證工具軟件，如TCT（The?Coronor’s?Toolkit）和Encase等取證軟件。但是，這些工具軟件的重點(diǎn)都是如何恢復(fù)被刪除的文件，如何在事后文件信息中提取證據(jù)。隨著網(wǎng)絡(luò)入侵形式的多樣化和反取證技術(shù)的出現(xiàn)，它們的實(shí)用性將受到大的限制。并且，一旦包含入侵信息的數(shù)據(jù)被刪除或者在正式提交之前就已經(jīng)被惡意篡改的話，它們將失去法律效力。

發(fā)明內(nèi)容

基于上述現(xiàn)有技術(shù)，本發(fā)明提出一種基于計(jì)算機(jī)取證的數(shù)字證據(jù)動(dòng)態(tài)保存及驗(yàn)證方法，通過能夠在計(jì)算機(jī)被入侵的全過程的前兩個(gè)階段（入侵前、入侵中）實(shí)時(shí)地對(duì)可能的犯罪證據(jù)進(jìn)行保護(hù)，實(shí)時(shí)地對(duì)被保護(hù)計(jì)算機(jī)系統(tǒng)中所產(chǎn)生的可能的犯罪證據(jù)進(jìn)行處理并將其安全保存，然后傳到服務(wù)器端，服務(wù)器端對(duì)接受到的信息進(jìn)行一致性驗(yàn)證，實(shí)現(xiàn)計(jì)算機(jī)犯罪證據(jù)的原始性保護(hù)。

本發(fā)明提出的一種基于計(jì)算機(jī)取證的數(shù)字證據(jù)動(dòng)態(tài)保存方法，在客戶端收集信息后，將采集到的取證信息按時(shí)間順序進(jìn)行一致性加密操作，并且序列化保存起來，實(shí)現(xiàn)取證信息的動(dòng)態(tài)保存，該方法包括以下步驟：

設(shè)置客戶端信息發(fā)送方的客戶端私鑰SK，加密函數(shù)E，獲取第1條取證信息數(shù)據(jù)m₁后，利用h₁=H(m₁)獲得數(shù)據(jù)m₁的哈希值h₁，以及利用n₁=ESK(h₁)進(jìn)行相應(yīng)的哈希值的私鑰加密計(jì)算，添加對(duì)數(shù)據(jù)m₁的簽名n₁，將數(shù)據(jù)m₁的簽名n₁暫時(shí)存儲(chǔ)到安全地方，保存數(shù)據(jù)m₁及其簽名n₁為m₁||n₁，用于傳送回服務(wù)器；

同理，獲取到第2條取證信息數(shù)據(jù)m₂后，利用h₂=H(m₂)獲得數(shù)據(jù)m₂的哈希值h₂，以及利用n₂=ESK(h₂)?進(jìn)行相應(yīng)的哈希值的發(fā)送私鑰加密計(jì)算，添加對(duì)數(shù)據(jù)m₂的簽名n₂，并取出數(shù)據(jù)m₁的簽名n₁，保存數(shù)據(jù)m₂、數(shù)據(jù)m₂的簽名以及上一條數(shù)據(jù)m₁數(shù)據(jù)的簽名n₁的簽名為m₂||n₂||n₁傳送回服務(wù)器，并用當(dāng)前簽名n₂覆蓋上一簽名n₁；