电子数据防篡改系统和方法与流程

本发明属于信息安全技术领域，涉及电子数据保护和验证技术领域，具体涉及一种电子数据防篡改系统和方法。

背景技术：
随着计算机犯罪个案数字不断上升和犯罪手段的数字化，搜集电子证据的工作成为提供重要线索及破案的关键。由于电子证据的特殊性，在收集电子证据时，首先需由提供证据单位的计算机操作人员打开电脑，查找所需收集的证据。当找到证据时，取证人员应通过显示器观察和确认该文件的形成时间，然后由操作人员打开文件，由取证人员确认该文件系所要收集的证据后，采用相应的方式予以提取固定。现有的电子数据取证方法，主要有打印和拷贝两种，对于少量数据的证据性文件，采用现场打印方式，对于包含大量数据的证据资料采用拷贝方式，具体过程如图1、2所示，即利用U盘拷贝，硬盘拷贝等方式获得的数据，就能够进入司法取证流程。但是若采用拷贝方式，会有许多不确定因素，例如文件存在病毒，目标计算机硬盘存在坏道，或数据被篡改，这些情况将会导致证据性资料无法正常读取。

技术实现要素：
为了解决现有技术存在的上述问题，本发明提出了一种电子数据防篡改方法，具体包括如下步骤：S1.采用只读技术对目标计算机电子数据进行拷贝；S2.对步骤S1拷贝后的数据进行数据唯一性校验；S3.将数据与校验结果封装加密为数据包；S4.将封装加密后的数据包传回取证计算机端；S5.在取证计算机端对封装加密后的数据包进行解密；S6.采取与步骤S2相同的校验方法对解密后的数据内容进行校验，若校验结果相同，视为有效数据，否则视为无效数据。基于上述方法，本发明还提出一种电子数据防篡改系统，具体包括：拷贝单元，所述拷贝单元用只读技术对目标计算机电子数据进行拷贝；第一校验单元，用于对拷贝单元拷贝后的数据进行数据唯一性校验；封装加密单元，用于对拷贝单元拷贝后的数据和第一校验单元的校验结果封装加密为数据包；存储单元，用于将封装加密后的数据包传回取证计算机端；解密单元，用于对取证计算机端封装加密后的数据包进行解密；第二校验单元，用于对解密单元解密后的数据内容进行校验，若校验结果相同，视为有效数据，否则视为无效数据。本发明的有益效果：本发明的电子数据防篡改方法和系统，在对目标计算机电子数据进行拷贝时采用只读技术，对拷贝后的数据进行唯一性校验，并对校验结果和拷贝后的数据进行加密，然后再进行传输，进而能够安全地拷贝数据且防止数据被篡改。附图说明图1是现有的电子数据取证系统的结构示意图。图2是现有的电子数据取证方法的主流程图。图3是本发明实施例的电子数据防篡改方法的流程示意图。图4是采用本发明实施例的电子数据防篡改方法的具体操作示意图。图5是本发明实施例的电子数据防篡改系统结构示意图。具体实施方式下面结合附图对本发明的实施例做进一步的说明。本发明的电子数据防篡改方法的流程示意图如图3所示，具体包括如下步骤：S1.采用只读技术对目标计算机电子数据进行拷贝；S2.对步骤S1拷贝后的数据进行数据唯一性校验；S3.将数据与校验结果封装加密为数据包；S4.将封装加密后的数据包传回取证计算机端；S5.在取证计算机端对封装加密后的数据包进行解密；S6.采取与步骤S2相同的校验方法对解密后的数据内容进行校验，若校验结果相同，视为有效数据，否则视为无效数据。在步骤S1中采用只读技术对目标计算机电子数据进行拷贝，具体可以利用只读卡对目标计算机硬盘中的数据进行只读拷贝，此只读卡只能读取硬盘数据，不能对硬盘中的数据进行任何更改，且对于存在坏道的硬盘，此只读卡可将其伪装成正常的扇区数据，跳过Windows系统对坏道数据的处理机制，正常读取数据，且能防止计算机读取过程中死机。在本实施例中采用USB3.0技术高速读取目标计算机硬盘数据。PC读取硬盘数据分为三个步骤：USB协议指令-->固件解析指令-->ATA协议指令-->硬盘；数据分为两个步骤返回：硬盘-->USBFIFO-->PC；这两个过程都是缺一不可的，在硬盘完好无损的情况下，每一个步骤都不会被中断，但是当硬盘有坏道情况时，ATA协议指令发送给硬盘，硬盘无响应数据返回，无数据返回情况PC就处于等待状态，然后超时，影响读取数据速度；硬盘有坏道情况下，造成ATA访问出错，大多数硬盘就会持续处于出错状态，造成正常区域数据不能正常读取。只读卡在固件程序中集成了硬盘固件处理指令，在访问ATA协议发送读取命令到硬盘物理坏扇区出错时，修复硬盘出错状态，同时返回虚拟出错数据给PC，保证硬盘处于就绪状态的同时避免PC处于长时间等待数据返回，硬盘的就绪保证下一次指令的正常执行，PC无需长时间等待提高坏道硬盘读取的速度。USB协议中，硬盘读取和写入指令时两个不同指令，固件程序会接受到PC发送给只读盒设备的读取指令和写入指令，固件程序内部会监听指令类型，当接收到读取指令时，根据ATA协议发送指令读取硬盘数据，并返回数据以及状态给PC；当接收到写入指令时，固件程序接受PC传输的数据，抛弃处理，不发送ATA写入指令给硬盘，数据就不会写入到硬盘中，当固件程序接受完PC传输数据后，返回给PC一个正常接受状态，保证USB协议的正常通讯。在步骤S2中唯一性校验和步骤S3中的封装加密具体可以采用MD5算法，信息加密防篡改的具体过程为：首先对信息进行填充，在信息的后面填充一个1和无数个0，直到满足信息的位长对512求余的结果等于448时，停止填充；然后在填充后的结果后面附加一个以64位二进制表示的填充前信息长度。经过上述两步处理，信息位长度是512的整数倍，使得信息位长度满足后续处理的要求，把处理后的信息拆分成N个512位的数据块，每个512位的数据块拆分成4个128为的数据，分别对其用4个不同的散列函数进行4轮循环计算。第一轮进行16次操作；每次操作对这4个128位中的其中三个作一次非线性函数运算，然后将所得结果加上第四个变量、文本的一个子分组和一个常数，再将所得结果向左移一个不定的数，并与上述4个128位数据中的一个相加；最后用该结果取代4个数据中的一个。完成之后，将4个变换前的数据分别按序加上变换后的数据，然后用下一分组数据继续运行上述过程，最后输出4位数据的级联散列。在步骤S4中，具体可以采用存储介质将封装加密后的数据包传回取证计算机端，这里的存储介质可以是U盘或硬盘等移动设备，也可以采用其它方式，比如无线传输的方式进行数据的传送。采用本发明实施例方法的具体操作示意图如图4所示，具体的，在前端，即目标计算机，执行现场数据提取操作，前端带有输入、输出、交互、连接线等接口；然后利用存储介质进行数据传输，存储介质带有输入、输出等接口；在局端，即取证计算机端，执行取回的数据解码校验操作，局端带有输入、输出、交互等接口。在上述方法的基础之上，这里还提出了一种电子数据防篡改系统，具体结构示意图如图5所示，包括：拷贝单元，所述拷贝单元用只读技术对目标计算机电子数据进行拷贝；第一校验单元，用于对拷贝单元拷贝后的数据进行数据唯一性校验；封装加密单元，用于对拷贝单元拷贝后的数据和第一校验单元的校验结果封装加密为数据包；存储单元，用于将封装加密后的数据包传回取证计算机端；解密单元，用于对取证计算机端封装加密后的数据包进行解密；第二校验单元，用于对解密单元解密后的数据内容进行校验，若校验结果相同，视为有效数据，否则视为无效数据。本实施例中，拷贝单元具体可以采用只读卡。只读卡可以对数据进行屏蔽虚拟，达到无法对目标硬盘内数据进行写入操作的目的；并且可对存在坏道的硬盘的数据进行虚拟读取，伪装成正常扇区数据，跳过windows系统对坏道数据的处理机制，达到能正常读取存在坏道硬盘数据的目的，即对硬盘数据进行只读，不能写入，若用计算机正常读取有坏道的硬盘，读到坏道时会出现计算机死机的情况，在这里即使有坏道也能正常读取。本发明的电子数据防篡改方法和系统，在对目标计算机电子数据进行拷贝时采用只读技术，对拷贝后的数据进行唯一性校验，并对校验结果和拷贝后的数据进行加密，然后再进行传输，进而能够安全地拷贝数据且防止数据被篡改。本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的原理，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。