[发明专利]一种云计算环境下的取证方法及系统

权利要求书

1.一种云计算环境下的取证方法，其步骤包括：

1）云服务提供商在其虚拟服务器中设置用于取证的应用程序编程接口；

2）云应用直接调用所述应用程序编程接口，对传输的可疑数据进行签名并生成校验值，然后将所述可疑数据传输至一取证虚拟机；

3）所述取证虚拟机对所述可疑数据进行重新校验，并存储通过校验的可疑数据；

4）对所述取证虚拟机中存储的可疑数据进行分析，获取数字证据。

2.如权利要求1所述的方法，其特征在于，所述可疑数据是指可能含有犯罪证据的数据，包括登录日志、交易日志和虚拟服务器系统日志。

3.如权利要求1所述的方法，其特征在于，所述重新校验的方法为：所述取证虚拟机重新计算所述可疑数据的校验值，如果与步骤2）生成的校验值相同，则校验通过；如果与步骤2）生成的校验值不同，则校验不通过。

4.如权利要求1所述的方法，其特征在于，所述取证虚拟机将接收的可疑数据设定为只读，并只允许单个进程对可疑数据进行访问。

5.如权利要求1所述的方法，其特征在于，若所述取证虚拟机中发现未签名的数据，则通知取证虚拟机的管理域并报警。

6.如权利要求1所述的方法，其特征在于：取证虚拟机的管理域定时向云服务提供商发送请求，云服务提供商收到后进行回复；若没收到回复，取证虚拟机的管理域报警且启动虚拟机重放器，记录云服务提供商的虚拟服务器的运行信息，并在事后进行回放取证。

7.如权利要求6所述的方法，其特征在于，所述运行信息包括系统运行的线程、程序发起的系统调用和用户对系统的操作记录。

8.如权利要求1所述的方法，其特征在于，通过在虚拟监控机中设置一取证虚拟机保护模块，防止其它虚拟机加载所述取证虚拟机的磁盘并对可疑数据进行修改。

9.一种云计算环境下的取证系统，其特征在于，包括虚拟服务器、取证虚拟机和云应用，其间建立通信连接；

所述虚拟服务器由云服务提供商运行，其内设置用于取证的应用程序编程接口；

所述云应用直接调用所述应用程序编程接口，对传输的可疑数据进行签名并生成校验值，然后将所述可疑数据传输至所述取证虚拟机；

所述取证虚拟机对所述可疑数据进行重新校验，并存储通过校验的可疑数据，用于获取数字证据。

10.如权利要求9所述的系统，其特征在于：还包括一取证虚拟机保护模块，设于虚拟监控机内，用于防止其它虚拟机加载所述取证虚拟机的磁盘并对可疑数据进行修改。