专利名称:一种拷贝审计卡的制作方法
技术领域:
本发明涉及一种电子数据信息的拷贝装置,具体涉及一种对硬盘 数据拷贝过程进行监测的拷贝审计卡。
技术背景近年来,随着信息网络的快速发展和广泛应用,针对和利用信息 网络实施的各类违法犯罪活动越来越多,计算机犯罪是一种新型的高 科技犯罪,它具有智能性、隐蔽性、异地性等特点。硬盘作为计算机最主要的信息存储介质,是计算机取证技术的重 要获取内容,也是目前各种计算机取证工具的主要方向。目前国内外 市场上,用于硬盘拷贝、数据获取的专业产品较多,但基本上都是美 国厂商研制和生产,国内的同类产品只是对国外产品进行了必要的汉 化,依然没有掌握电子数据取证核心技术。当前,电子数据采集的手段主要有两种。
一是通过软盘、硬盘、 外接硬盘、USB存储设备等外接媒质采集;二是直接封存嫌疑人的计算机。其中外接媒质采集装置主要包括逻辑控制器和CPU,逻辑控制 器设置有CPU接口与CPU进行双向控制指令传输,逻辑控制器设置有 源盘数据接口和目标盘数据接口,将源盘数据接口与源盘连接,目标 盘数据接口与目标盘连接,CPU控制逻辑控制器读取源盘中的数据信 息,并拷贝给目标盘,进行数据信息的传递。
但是,对电子证据的采集、提取、固定、保存和举证也面临若干 技术问题和法律问题。计算机取证的研究与实践尚在起歩阶段,技术 上还缺乏自主知识产权的计算机取证工具,电子数据取证技术的发展 需要取得的突破点主要在于对取证过程的监督和审计,以保证司法的 公证性。目前,国内公安机关在这方面也缺乏有效的技术手段,这不 仅影响到司法过程中电子数据作为证据的可信与公证性,同时也对计 算机犯罪立法产生了制约。现有技术的缺点是在对电子证据的采集、提取、固定、保存和 举证过程中缺少监督,从源盘向目标盘拷贝数据时,没有一种有效的 技术手段对拷贝过程进行监督和审计。 发明内容本发明的目的在于提供一种拷贝审计卡,它从源盘向目标盘拷贝 数据时,能对拷贝过程进行监督和审计。为达到上述目的,本发明是一种拷贝审计卡,其关键在于由 CPU控制器和审计卡座组成,其中CPU控制器的审计卡接口与所述审 计卡座的CPU接口连接;所述CPU控制器还设置有拷贝接口,该拷贝接口并列设置有地址总线端A0 16、状态信号端ST0 13, A画读信号端ARM—READ和ARM 写信号端ARM—WRITE;所述CPU控制器还设置有第一控制端TXD和第二控制端RXD,所 述第一控制端TXD和第二控制端RXD分别与接口芯片的输入端T2IN 和输出端R20UT连接,所述接口芯片设置有计算机插口 。
通过计算机插口,可以将复制和审计结果发送给计算机,实现人 机对话,易于操作和提取过程记录。现有的拷贝采集装置,如采集卡是连接在源盘与目标盘之间,采集卡从源盘采集数据,发送给目标盘。将本发明中CPU控制器的审计 卡接口与审计卡座连接,CPU控制器的拷贝接口与采集卡连接。采集卡每复制一组源盘数据后,就采用数据位对位Bit-to-bit 技术,把数据写入目标盘,同时,生成一个复制数据值a并发送给 CPU控制器,CPU控制器采用MD5 Hash算法对复制数据值a进行累计 运算,当源盘数据被采集完后,CPU控制器得出复制校验值A,并发 送给审计卡座予以保存。CPU控制器继续工作,控制采集卡只对源盘数据进行读取,同样 利用Bit-to-bit技术,每读取一组源盘数据,就生成一个审计数据 值b,并发给审CPU控制器,CPU控制器采用MD5 Hash算法对审计数 据值b进行累计运算,当源盘数据被采集完后,CPU控制器得出审计 校验值B,并发送给审计卡座予以保存。比较审计卡座的校验值A和B,当二者完全一致,就可以认定源 盘数据被完整无损地复制进了目标盘。如果在拷贝过程中出现干扰信 号或其他信息,将会引起A和B之间出现差异,需要重新拷贝。CPU控制器的具体工作机构是所述CPU控制器内设置有用于开始的装置; 用于硬件检测的装置;当硬件检测合格,CPU控制器开始搜索审 计卡座内是否有复制校验值A和审计校验值B;用于判断是否有复制校验值A的装置,首先搜索复制校验值A;如果没有复制校验值A,则进入复制校验值A的生成系统;由该 生成系统生成A;如果有复制校验值A,则进入用于判断是否有复制指令的装置; 复制指令由上位计算机人工干预给出;如果有复制指令,则进入用于复制校验值A及审计校验值B清零 的装置;再进入所述复制校验值A的生成系统;如果没有复制指令,则进入用于判断是否有审计校验值B的装 置;搜索审计卡座内是否有审计校验值B;如果没有审计校验值B,则进入审计校验值B的生成系统;由该 生成系统生成B;如果有审计校验值B,则进入用于判断是否有审计指令的装置; 审计指令由上位计算机人工干预给出;如果有审计指令,则进入用于审计校验值B清零的装置;再进入所述审计校验值B的生成系统;如果没有审计指令,则进入用于输出审计结果的装置;通过接口 芯片向计算机输出复制校验值A和审计校验值B,以及二者的比较结 果,由计算机显示或驱动打印; 再进入用于结束的装置; 所述复制校验值A的生成系统内设置有用于复制源盘数据的装置;CPU控制器控制采集卡复制源盘数据, 并把数据写入目标盘;用于获取复制数据值a的装置;每复制一组源盘数据后,采集卡 就采用数据位对位Bit-to-bit技术,把数据写入目标盘,同时,生 成一个复制数据值a, CPU控制器获取该复制数据值a,用于累计复制数据值a的装置;CPU控制器采用MD5 Hash算法 对复制数据值a进行累计运算;用于判断源盘数据是否复制完成的装置;如果源盘数据复制未完成,则返回所述用于复制源盘数据的装置;如果源盘数据复制完成,则进入用于保存复制校验值A的装置;源盘数据复制完成,复制数据值a自动转换为复制校验值A,并被CPU 控制器送入审计卡座予以保存;再进入用于结束的装置; 所述审计校验值B的生成系统内设置有用于审计源盘数据的装置;CPU控制器控制采集卡采用只读方式 审计源盘数据;用于获取审计数据值b的装置;每审计一组源盘数据后,采集卡 就采用数据位对位Bit-to-bit技术,生成一个审计数据值b, CPU控 制器获取该审计数据值b,
用于累计审计数据值b的装置;CPU控制器采用MD5 Hash算法对审计数据值b进行累计运算;用于判断审计数据是否复制完成的装置;如果源盘数据审计未完成,则返回所述用于审计源盘数据的装置;如果源盘数据审计完成,则进入用于保存审计校验值B的装置; 源盘数据审计完成,审计数据值b自动转换为审计校验值B,并被CPU 控制器送入审计卡座予以保存;用于比较复制校验值A和审计校验值B是否相等,得出审计结果 并保存的装置;CPU控制器从审计卡座中取出复制校验值A和审计校 验值B,并对二者进行比较,比较结果存入采集卡,当二者完全一致, 就可以认定源盘数据被完整无损地复制进了目标盘。如果在拷贝过程 中出现干扰信号或其他信息,将会引起A和B之间出现差异。再进入用于结束的装置。所述审计卡接口和CPU接口都并列设置有数字总线端D0 D15:对CPU控制器和审计卡座之间的数据双向 传送;CF中断请求信号端CF—INTRQ:审计卡座向CPU控制器发出中断 请求;ARM读信号端ARM_READ和ARM写信号端ARM—WRITE: CPU控制器 向审计卡座发出读控制指令和写控制指令;CF复位端R_CF: CPU控制器向审计卡座发出复位指令
还设置有采集卡的配置芯片,所述采集卡上设置的配置端口TDI、 TDO、 TCK和TMS连接在该配置芯片上。本发明可以对电子取证的行为进行实时审计,基于该设备具有 MD5 Hash算法的同步数据校验功能,可以精确的证明数据在取证过 程中有无改变。同时记录取证系统的每步操作指令,就如同使用"电 子摄像"方式全程实时记录取证过程。该系统具有数据位对位 (Bit-to-bit)精确复制的功能,可以根据审计记录自动重现电子取 证的过程。能够形成现场报告并可通过打印输出审计结果,以此保证 整个取证过程的唯一性、完整性和在取证过程中未受第三方干扰。提 供完整的电子数据提取过程审计功能。提高电子证据的法庭采信度和 电子证据的证明力。还设置有采集卡的配置芯片,所述采集卡上设置的配置端口 TDI、 TD0、 TCK和TMS连接在该配置芯片上。Bit-to-bit技术和MD5 Hash算法为现有成熟技术,也可以采用 其他算法进行审计和校验,只需对CPU控制器进行重新烧制入新的运 算方法。有益效果是提供了一种拷贝审计卡,在对电子证据的采集、提 取、固定、保存和举证过程中,从源盘向目标盘拷贝数据时,可以精 确的证明数据在取证过程中有无改变。同时记录取证系统的每步操作 指令,就如同使用"电子摄像"方式全程实时记录取证过程。对拷贝 过程进行监督和审计,还可以根据审计记录自动重现电子取证的过 程。
以下将结合附图对本发明的实施例作进一步的说明。图1为本发明工作原理框2为本发明的电路原理图;图3为CPU控制器的电路原理图;图4为审计卡座的电路原理图;图5为接口芯片的电路原理图;图6为CPU控制器内的工作流程图。
具体实施方式
如图l、 2、 3、 4、 5所示,本发明是一种拷贝审计卡,由CPU控 制器1和审计卡座2组成,其中CPU控制器1的审计卡接口 Ul与所 述审计卡座2的CPU接口 U2连接;所述CPU控制器1还设置有拷贝接口 U3,该拷贝接口 U3并列设 置有地址总线端A0 16、状态信号端ST0 13, ARM读信号端 A體一READ和ARM写信号端A固一WRITE;所述CPU控制器1还设置有第一控制端TXD和第二控制端RXD, 所述第一控制端TXD和第二控制端RXD分别与接口芯片3的输入端 T2IN和输出端R20UT连接,所述接口芯片3设置有计算机插口。通过计算机插口,可以将复制和审计结果发送给计算机,实现人 机对话,易于操作和提取过程记录。
现有的拷贝采集装置,如采集卡5是连接在源盘与目标盘之间, 采集卡从源盘采集数据,发送给目标盘。将本发明中CPU控制器1的 审计卡接口 Ul与审计卡座2连接,CPU控制器1的拷贝接口 U3与采 集卡5连接。采集卡5每复制一组源盘数据后,就采用数据位对位Bit-to-bit 技术,把数据写入目标盘,同时,生成一个复制数据值a并发送给 CPU控制器1, CPU控制器1采用MD5 Hash算法对复制数据值a进行 累计运算,当源盘数据被采集完后,CPU控制器1得出复制校验值A, 并发送给审计卡座2予以保存。CPU控制器1继续工作,控制采集卡只对源盘数据进行读取,同 样利用Bit-to-bit技术,每读取一组源盘数据,就生成一个审计数 据值b,并发给审CPU控制器1, CPU控制器1采用MD5 Hash算法对 审计数据值b进行累计运算,当源盘数据被采集完后,CPU控制器l 得出审计校验值B,并发送给审计卡座2予以保存。比较审计卡座2的校验值A和B,当二者完全一致,就可以认定 源盘数据被完整无损地复制进了目标盘。如果在拷贝过程中出现干扰 信号或其他信息,将会引起A和B之间出现差异,需要重新拷贝。如图6所示,CPU控制器1的具体工作机构是所述CPU控制器1内设置有用于开始的装置;用于硬件检测的装置;当硬件检测合格,CPU控制器1开始搜索 审计卡座2内是否有复制校验值A和审计校验值B; 用于判断是否有复制校验值A的装置,首先搜索复制校验值A;如果没有复制校验值A,则进入复制校验值A的生成系统;由该 生成系统生成A;如果有复制校验值A,则进入用于判断是否有复制指令的装置; 复制指令由上位计算机人工干预给出;如果有复制指令,则进入用于复制校验值A及审计校验值B清零 的装置;再进入所述复制校验值A的生成系统;如果没有复制指令,则进入用于判断是否有审计校验值B的装 置;搜索审计卡座2内是否有审计校验值B;如果没有审计校验值B,则进入审计校验值B的生成系统;由该生成系统生成B;如果有审计校验值B,则进入用于判断是否有审计指令的装置; 审计指令由上位计算机人工干预给出;如果有审计指令,则进入用于审计校验值B清零的装置;再进入所述审计校验值B的生成系统;如果没有审计指令,则进入用于输出审计结果的装置;通过接口 芯片3向计算机输出复制校验值A和审计校验值B,以及二者的比较 结果,由计算机显示或驱动打印;再进入用于结束的装置; 所述复制校验值A的生成系统内设置有用于复制源盘数据的装置;CPU控制器1控制采集卡复制源盘数 据,并把数据写入目标盘;用于获取复制数据值a的装置;每复制一组源盘数据后,采集卡 就采用数据位对位Bit-to-bit技术,把数据写入目标盘,同时,生 成一个复制数据值a, CPU控制器1获取该复制数据值a,用于累计复制数据值a的装置;CPU控制器1采用MD5 Hash算 法对复制数据值a进行累计运算;用于判断源盘数据是否复制完成的装置;如果源盘数据复制未完成,则返回所述用于复制源盘数据的装置;如果源盘数据复制完成,则进入用于保存复制校验值A的装置; 源盘数据复制完成,复制数据值a自动转换为复制校验值A,并被CPU 控制器1送入审计卡座2予以保存;再进入用于结束的装置; 所述审计校验值B的生成系统内设置有用于审计源盘数据的装置;CPU控制器1控制采集卡采用只读方 式审计源盘数据;用于获取审计数据值b的装置;每审计一组源盘数据后,采集卡 就采用数据位对位Bit-to-bit技术,生成一个审计数据值b, CPU控 制器1获取该审计数据值b,用于累计审计数据值b的装置;CPU控制器1采用MD5 Hash算 法对审计数据值b进行累计运算;
用于判断审计数据是否复制完成的装置;如果源盘数据审计未完成,则返回所述用于审计源盘数据的装置;如果源盘数据审计完成,则进入用于保存审计校验值B的装置;源盘数据审计完成,审计数据值b自动转换为审计校验值B,并被CPU控制器1送入审计卡座2予以保存;用于比较复制校验值A和审计校验值B是否相等,得出审计结果 并保存的装置;CPU控制器1从审计卡座2中取出复制校验值A和审 计校验值B,并对二者进行比较,比较结果存入采集卡,当二者完全 一致,就可以认定源盘数据被完整无损地复制进了目标盘。如果在拷 贝过程中出现干扰信号或其他信息,将会引起A和B之间出现差异。再进入用于结束的装置。所述审计卡接口 Ul和CPU接口 U2都并列设置有 数字总线端D0 D15:对CPU控制器1和审计卡座2之间的数据 双向传送;CF中断请求信号端CF_INTRQ:审计卡座2向CPU控制器1发出 中断请求;ARM读信号端A固—READ和ARM写信号端ARM—WRITE: CPU控制器1向审计卡座2发出读控制指令和写控制指令;CF复位端R一CF: CPU控制器向审计卡座2发出复位指令 还设置有采集卡5的配置芯片4,所述采集卡5上设置的配置端口 TDI、 TDO、 TCK和TMS连接在该配置芯片4上。 本发明可以对电子取证的行为进行实时审计,基于该设备具有MD5 Hash算法的同步数据校验功能,可以精确的证明数据在取证过 程中有无改变。同时记录取证系统的每步操作指令,就如同使用"电 子摄像"方式全程实时记录取证过程。该系统具有数据位对位 Bit-to-bit精确复制的功能,可以根据审计记录自动重现电子取证 的过程。能够形成现场报告并可通过打印输出审计结果,以此保证整 个取证过程的唯一性、完整性和在取证过程中未受第三方干扰。提供 完整的电子数据提取过程审计功能。提高电子证据的法庭采信度和电 子证据的证明力。本发明可以对电子取证的行为进行实时审计,基于该设备具有 MD5 Hash算法的同步数据校验功能,可以精确的证明数据在取证过 程中有无改变。同时记录取证系统的每步操作指令,就如同使用"电 子摄像"方式全程实时记录取证过程。该系统具有数据位对位 Bit-to-bit精确复制的功能,可以根据审计记录自动重现电子取证 的过程。能够形成现场报告并可通过打印输出审计结果,以此保证整 个取证过程的唯一性、完整性和在取证过程中未受第三方干扰。提供 完整的电子数据提取过程审计功能。提高电子证据的法庭采信度和电 子证据的证明力。所述采集卡为FPGA芯片,CPU控制器1为ARM芯片,所述接口 芯片3为232串口芯片,所述审计卡座2为CF审计卡。Bit-to-bit技术和MD5 Hash算法为现有成熟技术,也可以采用 其他算法进行审计和校验,只需对CPU控制器1进行重新烧制入新的 运算方法。
其工作原理是现有的拷贝采集装置,如采集卡是连接在源盘与目标盘之间,采 集卡从源盘采集数据,发送给目标盘。将本发明中审计卡座2的审计卡接口 U3与采集卡连接,CPU控制器1的拷贝接口 U4与采集卡连接。 采集卡每复制一组源盘数据后,就采用数据位对位Bit-to-bit 技术,把数据写入目标盘,同时,生成一个复制数据值a并发送给 CPU控制器1, CPU控制器1采用MD5 Hash算法对复制数据值a进行 累计运算,当源盘数据被采集完后,CPU控制器1得出复制校验值A, 并发送给审计卡座2予以保存。移走源盘,将复制完成后的目标盘接入到源盘位置,CPU控制器 1控制采集卡只对目标盘数据进行读取,同样利用Bit-to-bit技术, 每读取一组目标盘数据,就生成一个审计数据值b,并发给审CPU控 制器1, CPU控制器1采用MD5 Hash算法对审计数据值b进行累计运 算,当源盘数据被采集完后,CPU控制器1得出审计校验值B,并发 送给审计卡座2予以保存。审计卡座2比较A和B,当二者完全一致,就可以认定源盘数据 被完整无损地复制进了目标盘。如果在拷贝过程中出现干扰信号或其 他信息,将会引起A和B之间出现差异,需要重新拷贝。
权利要求
1.一种拷贝审计卡,其特征在于由CPU控制器(1)和审计卡座(2)组成,其中CPU控制器(1)的审计卡接口(U1)与所述审计卡座(2)的CPU接口(U2)连接;所述CPU控制器(1)还设置有拷贝接口(U3),该拷贝接口(U3)并列设置有地址总线端A0~16、状态信号端ST0~13,ARM读信号端ARM_READ和ARM写信号端ARM_WRITE;所述CPU控制器(1)还设置有第一控制端TXD和第二控制端RXD,所述第一控制端TXD和第二控制端RXD分别与接口芯片(3)的输入端T2工N和输出端R2OUT连接,所述接口芯片(3)设置有计算机插口。
2、 根据权利要求1所述的一种拷贝审计卡,其特征在于所述 CPU控制器(1)内设置有用于开始的装置; 用于硬件检测的装置; 用于判断是否有复制校验值A的装置; 如果没有复制校验值A,则进入复制校验值A的生成系统; 如果有复制校验值A,则进入用于判断是否有复制指令的装置; 如果有复制指令,则进入用于复制校验值A及审计校验值B清零 的装置;再进入所述复制校验值A的生成系统; 如果没有复制指令,则进入用于判断是否有审计校验值B的装置;如果没有审计校验值B,则进入审计校验值B的生成系统; 如果有审计校验值B,则进入用于判断是否有审计指令的装置; 如果有审计指令,则进入用于审计校验值B清零的装置; 再进入所述审计校验值B的生成系统; 如果没有审计指令,则进入用于输出审计结果的装置; 再进入用于结束的装置; 所述复制校验值A的生成系统内设置有 用于复制源盘数据的装置; 用于获取复制数据值a的装置; 用于累计复制数据值a的装置; 用于判断源盘数据是否复制完成的装置;如果源盘数据复制未完成,则返回所述用于复制源盘数据的装置;如果源盘数据复制完成,则进入用于保存复制校验值A的装置; 再进入用于结束的装置; 所述审计校验值B的生成系统内设置有-用于审计源盘数据的装置; 用于获取审计数据值b的装置; 用于累计审计数据值b的装置; 用于判断审计数据是否复制完成的装置;如果源盘数据审计未完成,则返回所述用于审计源盘数据的装置;如果源盘数据审计完成,则进入用于保存审计校验值B的装置;用于比较复制校验值A和审计校验值B是否相等,得出审计结果 并保存的装置;再进入用于结束的装置。
3、根据权利要求1所述的一种拷贝审计卡,其特征在于所述 审计卡接口 (Ul)和CPU接口 (U2)都并列设置有数字总线端D0 D15:对CPU控制器(1)和审计卡座(2)之间 的数据双向传送;CF中断请求信号端CF—INTRQ:审计卡座(2)向CPU控制器(1) 发出中断请求;A體读信号端ARM_READ和ARM写信号端ARM—WRITE: CPU控制器 (1)向审计卡座(2)发出读控制指令和写控制指令;CF复位端R—CF: CPU控制器向审计卡座(2)发出复位指令。
全文摘要
一种拷贝审计卡,其特征在于由CPU控制器和审计卡座组成,其中CPU控制器的审计卡接口与所述审计卡座的CPU接口连接;所述CPU控制器还设置有拷贝接口,所述CPU控制器还与接口芯片的输入端T2IN和输出端R20UT连接,所述接口芯片设置有计算机插口。有益效果是在对电子证据的采集、提取、固定、保存和举证过程中,从源盘向目标盘拷贝数据时,可以精确的证明数据在取证过程中有无改变。同时记录取证系统的每步操作指令,就如同使用“电子摄像”方式全程实时记录取证过程。对拷贝过程进行监督和审计,还可以根据审计记录自动重现电子取证的过程。
文档编号G06F13/40GK101158933SQ200710092950
公开日2008年4月9日 申请日期2007年11月8日 优先权日2007年11月8日
发明者刘红兵, 勤 曾, 江 杜, 杜子兵 申请人:重庆爱思网安信息技术有限公司