一种包含多个取证节点设备的分布式文件取证系统的制作方法

本实用新型涉及计算机病毒防范领域，特别涉及一种包含多个取证节点设备的分布式文件取证系统。

背景技术：

在随着网络的普及，数字证据的往往成为了维权的关键证据，

现有的数据证据取证往往是取证人员现场在单个可靠终端上获取原始的数据证据，以提高该数据证据的可信度。

但是由于单个可靠终端也存在数据被篡改的可靠性，从而使得取证人员现场在单个可靠终端上获取原始的数据证据的过程中，无法保证该数据证据的可信度和可靠度。

技术实现要素：

为了解决现有技术的问题，本实用新型实施例提供了一种包含多个取证节点设备的分布式文件取证系统。所述技术方案如下：

一种包含多个取证节点设备的分布式文件取证系统，包括：

第一授时组件、第一数字证据存储设备、第二授时组件、第二数字证据存储设备、网络交换机、授时比较设备、文件比较设备以及多个取证节点设备；

所述第一授时组件与第一授时服务器通信连接；

所述第二授时组件与第二授时服务器通信连接；

所述第一授时组件和所述第二授时组件分别与所述授时比较设备连接；

所述第一数字证据存储设备和所述第二数字证据存储设备分别与所述文件比较设备通信连接；

所述授时比较设备和文件比较设备与所述网络交换机通信连接；

所述网络交换机与所述多个取证节点设备通信连接。

可选的，所述系统还包括第一事件检测器和第二事件检测器，所述第一事件检测器与所述第一授时组件和所述第一数字证据存储设备连接；

所述第二事件检测器与所述第二授时组件和所述第二数字证据存储设备连接。

可选的，

所述授时比较设备与第一指示灯连接；

所述文件比较设备与第二指示灯连接。

可选的，

取证节点设备与输入装置和显示装置连接。

可选的，所述系统还包括镜像服务器，所述镜像服务器与所述网络交换机连接。

可选的，所述网络交换机通过数据开关与所述授时比较设备和所述文件比较设备通信连接。

本发明实施例所提供技术方案所达到的有益效果是：

1、通过多个取证节点的设置，可以实现多个人员，在不同的地域对同一个数据证据进行取证，方便了用户的使用；

2、通过设置授时比较设备对比时间，以及文件比较设备对比数据证据与其对应别的复制文件，可以避免由于文件恶意篡改所导致的数据证据不可信，提高了可靠性。

附图说明

为了更清楚地说明本实用新型实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本实用新型的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种包含多个取证节点设备的分布式文件取证系统示意图。

具体实施方式

为使本实用新型的目的、技术方案和优点更加清楚，下面将结合本实用新型实施例中的附图，对本实用新型实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本实用新型一部分实施例，而不是全部的实施例。基于本实用新型中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本实用新型保护的范围。

以下将配合附图及实施例来详细说明本申请的实施方式，藉此对本申请如何应用技术手段来解决技术问题并达成技术功效的实现过程能充分理解并据以实施。

参照图1所示，提供了一种包含多个取证节点设备的分布式文件取证系统，包括：

第一授时组件、第一数字证据存储设备、第二授时组件、第二数字证据存储设备、网络交换机、授时比较设备、文件比较设备以及多个取证节点设备；

第一授时组件与第一授时服务器通信连接；其中，授时服务器加载卫星授时时钟的时间同步服务器，授时组件可以为接收该授时服务器的时间，并同步该时间的组件；该组件至少包括与服务器之间进行通信的通信模组，以及本地时钟。

第二授时组件与第二授时服务器通信连接；

第一授时组件和第二授时组件分别与授时比较设备连接；

第一数字证据存储设备和第二数字证据存储设备分别与文件比较设备通信连接；

授时比较设备和文件比较设备与网络交换机通信连接；

网络交换机与多个取证节点设备通信连接，该取证节点设备可以为个人主机，该个人主机仅配置文件读取和复制权限。

该技术方案的原理为：

第一数字证据存储设备存储原始数字证据，第二数字证据存储设备存储该原始数据证据的备份数据，在多个取证节点设备中的任意一个发起数字证据复制请求后，第一授时组件和第二授时组件将时间信号发送至授时比较设备，第一数字证据存储设备和第二数字证据存储设备将数字证据发送至文件比较设备，授时比较设备和文件比较设备分别将比较结果发送至网络交换机，该网络交换机将该数据证据传输至发起数字证据复制请求的取证节点设备，以方便取证人员判断同一时间的数据证据是否一致，以及时间是否一致，并进一步判断该数据证据是否被篡改。

可选的，系统还包括第一事件检测器和第二事件检测器，第一事件检测器与第一授时组件和第一数字证据存储设备连接；第一事件检测器与第二事件检测器，分别和网络交换机通信连接；

第二事件检测器与第二授时组件和第二数字证据存储设备连接。

该事件检测器存储和维护，数字证据存储设备，以及授时组件上的所有事件，当数字证据存储设备和授时组件被篡改时，事件检测器会记录篡改时间以及篡改事件，并传输至网络交换机，该网络交换机将该篡改时间以及篡改事件，传输至发起数字证据复制请求的取证节点设备，以提醒取证人员。

可选的，

授时比较设备与第一指示灯连接；当授时比较设备检测到时间不一致时，第一指示灯亮起，以提醒取证人员；

文件比较设备与第二指示灯连接。当文件比较设备检测到数字证据不一致时，第二指示灯亮起，以提醒取证人员

可选的，

取证节点设备与输入装置和显示装置连接。

可选的，系统还包括镜像服务器，镜像服务器与网络交换机连接。

该镜像服务器复制该数据证据，多个取证节点设备中的任意一个发起数字证据复制请求后，复制该镜像服务器中的数据证据，以避免由多个取证节点设备对数字证据存储设备上原始数据证据的恶意修改。

可选的，网络交换机通过数据开关与授时比较设备和文件比较设备通信连接。

若监测到数字证据不一致，或者时间不一致时，取证节点设备通过交换机发关闭指令，数据开关断开，以避免该被篡改的数据证据继续上传。

上述说明示出并描述了本申请的若干优选实施例，但如前所述，应当理解本申请并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述申请构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本申请的精神和范围，则都应在本申请所附权利要求的保护范围内。

以上所述仅为本实用新型的较佳实施例，并不用以限制本实用新型，凡在本实用新型的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本实用新型的保护范围之内。