[发明专利]一种基于第三方签名的协同网络电子取证技术

权利要求书

1.一种基于第三方签名的协同网络电子取证技术，制定一个严格的网络电子取证模型表。代理第三方签名网络电子取证系统模型基于需求分析的思想，从问题出发，瞄准网络电子取证中突出存在的两个问题，该系统由3个子系统组成：取证服务器子系统，取证代理子系统，和证据分析回放系统子系统。

2.取证服务器是第三方取证机构提供的在线服务器，通过互联网向取证代理系统提供时间戳、签名密钥发放等服务，并具有对取证代理身份认证以及取证信息维护等功能。取证时需要取证服务器向取证代理提供具有法定效力的时间戳，在交互过程中通过并加入公钥认证机制，防止黑客欺骗攻击，有效的保证标准时间的可靠性。

3.取证代理可以看作是一个双端口透明网桥，在数据链路层提供数据转发的功能。取证代理部署在受保护网络的网关处，任何与受保护网络交互的数据都需要通过取证代理转发。取证代理是整个取证系统的核心，主要包括以下几个模块：数据获取，缓存区管理，证据提取，特征提取，加密签名，时间戳申请，安全通信以及与用户的安全系统联动。

4.回放系统通过构造数据包的方法将取证系统取得的网络数据包重新发送到用户网络，通过观察用户系统的反应，直观再现网络入侵行为及其造成的危害，给法庭审判带来帮助。

5.取证服务器运行在Windows平台，基于微软MFC类库，采用Visual Studio.Net开发。作为服务端，为取证代理提供签名密钥发放和时间戳服务。取证服务器后台运行数据库，用于保存密钥发放和时间戳签发的日志。取证服务器运行后通过安全通信模块在线监听取证的服务请求，并调用相关模块为取证代理提供服务。在取证服务器的操作界面上，经过身份认证的取证工作人员可以对日志进行维护和查询。

6.取证代理在该取证系统中设计为一个专用的硬件设备，由取证机构授权，安放在用户的网络上。在现阶段，取证代理的硬件架构采用了PC的标准架构，操作系统采用经过精简定制的Linux操作系统，内核版本为2.4.6。取证代理的软件部分分别工作在系统内核层和用户层两个不同的层次，之间用共享内存的方式进行通信。