时间戳资料.docx

1、时间戳资料可信时间戳技术引入到电子物证取证环节,通过对电子物证本身的时间戳进行校验,以及对取证勘验行为进行权威时间戳认证,以时间的唯一性来证实电子物证的唯一性,提高其电子物证取证工作的可信性和不可抵赖性。一、基本概念时间戳（timestamp），可信时间戳相关概念时间戳时间戳通常是指描述某一事件发生时间的一串字符。通常是一个字符序列，唯一地标识某一刻的时间。数字时间戳技术是数字签名技术一种变种的应用。例如,在Windows系统中,对文件操作的描述分为创建、修改和访问,因此,WindowS系统中,每一个文件都拥有三个时间戳属性,如图1.1所示值得注意的是,时间戳记录的时间是计算机的操作系统中所记

2、录的时间值,而这个时间往往是和现实中的标准时间(国家授时中心标准时间)之间存在一定的偏差国家授时中心(National Time Service Center,NTSC)国家授时中心承担着我国的标准时间的产生!保持和发播任务,是我国的法定时间源其授时系统是国家不可缺少的基础性工程和社会公益设施,被列为由国家财政部专项经费支持的国家重大科学工程之一5国家授时中心负责确定和保持的我国原子时系统TA(NTSC)和协调世界时UTC(NTSC)处于国际先进水平,并代表我国参加国际原子时合作,它是由一组高精度艳原子钟通过精密比对和计算实现,并通过GPS共视比对!卫星双向传输比对法(TWSTFT)比对等手段

3、与国际原子时间标准相联系,对国际原子时的保持做出贡献,目前的稳定度为loE一14,准确度为loE一1351短波授时台(BpM)每天24小时连续不断地以四种频率(2.5M,SM,loM,zsM,同时保证3种频率)交替发播标准时间!标准频率信号,覆盖半径超过3000公里,授时精度为毫秒(千分之一秒)量级;长波授时台(BPL)每天24小时发播载频为IOOKHz的高精度长波时频信号,地波作用距离1000一2000公里,天地波结合,覆盖全国陆地和近海海域,授时精度为微秒(百万分之一秒)量级5可信时间戳可信时间戳是由权威!可信的第三方公共时间戳服务机构依据法定时间源颁发的,具有法律效力的电子凭证,时间戳与

4、电子数据唯一对应,其中包含电子数据的Hash值、产生时间、时间戳服务中心信息等0可信时间戳工作流程如图1.2所示可信时间戳技术在电子物证取证中的应用守权威时间源HASH第三方公共时间戳服务机构第三方公共时间戳服务机构是经过国家授时中心认证的,由国家授时中心负责对其时间戳进行国家标准时间溯源以及系统时间同步分配第三方公共事件戳服务机构的时间是由国家法定时间源来负责保障的,对其时间的进行授时和守时监测,任何机构包括第三方公共时间戳服务机构本身都不能对时间进行修改,以保障其时间的权威性,只有这样产生的时间戳才具有法律效力由于可信时间戳的核心是时间的权威可信,也就要求颁发可信时间戳的第三方公共时间戳认

5、证机构要求有以下特征:(1)由法定权威时间源来负责时间的溯源!同步和监测,确保时间戳服务系统的时间准确性、服务的稳定性和可审计性(2)有专门独立的安全机房和时间戳签发!密钥管理!时间戳验证等基础设施(3)有完善的运营管理体系第1章本文涉及的基本概念SNTP(Network Time Protoeol)网络时间协议网络时间协议(NTP)是一种通过因特网服务于计算机时钟的时间同步协议。它提供了一种同步时间机制,能在庞大而复杂多样的因特网中用光速调整时间分配NTP获得UTC的时间来源可以是原子钟、天文台、卫星,也可以从Intemet上获取。NTP技术提供了全面访问国家时间和频率传播服务的机制,组织时

6、间同步子网并且为参加子网每一个地方时钟调整时间的功能它改进测时质量并且减少了一些同步源中可能存在的错误为了获得因特网上主要路径的延时精确到毫秒级,从而为整个系统达到精准效果计算机主机一般同多个时间服务器连接,利用统计学的算法过滤来自不同服务器的时间,以选择最佳的路径和来源来校正主机时间8数字证书的概念数字证书是由权威公正的第三方机构即CA(Certificate Authority)中心签发的个人或企业在互联网上的身份标识网以数字证书为核心的加密技术可以对网络传输信息进行加密和解密!数字签名和签名验证,确保网上传递信息的机密性!完整性以及交易实体身份的真实性签名信息的不可否认性,从而保障网络应

7、用的安全性可信时间戳技术在电子物证取证中的应用。二、系统设计基于可信时间戳技术主要功能模块流程设计该电子物证取证系统具备以下基本功能模块:电子物证时间戳处理功能设计工作流程如下:(l)对指定电子物证提取Hash值,(摘要中包含原始文件信息!签名参数!签名时间等信息);(2)将Hash值提交到电子物证取证系统的时间戳服务器;(3)时间戳服务器通过API接口访问第三方公共时间戳服务中心,获取可信时间戳签名;(4)保存电子证据Hash值和时间戳到数据库(5)返回电子物证取证平台体系结构设计对已获取的电子物证进行可信时间戳验证设计工作流程如下:(1)指定电子证据Hash值;(2)提交证据指纹到电子物证

8、取证系统的时间戳服务器,请求验证证据有效性;(3)电子物证取证系统通过HAsH值调取证据数据库中的证据;(4)验证电子物证签名和时间戳签名;(5)返回电子证据有效性检查结果(文件内容是否被篡改!加盖时间戳时间信息是否一致)设计工作流程见图4.3标准时间校验电子物证取证系统本身的系统应通过第三方公共时间戳服务机构的时间服务器校准,由国家授时中心授予国家标准时间,并对取证时间进行基于国家标准时间的实时校验取证人员身份信息校验为保证取证员身份的合法性,可在本系统中采用数字签名技术目前比较有可信时间戳技术在电子物证取证中的应用效的电子签名技术就是基于P心技术的，利用数字证书所做的数字签名。取证员登录需

9、要出示国家合法数字证书机构签发的电子身份标识,并将取证员身份信息记录在取证报告中。远程电子物证IP地址(宿IP地址)的校验在进行远程电子物证取证时要保证获取IP地址的正确性和无篡改性,使得取得的证据真实远程电子物证访问地址URL校验在取证过程中对访问地址URL进行校验,保证了取得的证据与访问的地址内容的一致,保证了证据来源的可靠性和不可抵赖性,并将访问地址URL记录在电子物证取证系统中操作过程保护在取证过程中对生成的文件取Hash值,等生成完整的文件以后再取Hash值,判断两个Hash值是否一样,一样则证明文件没有被篡改,可以进行证据保全,不一样则证明文件被篡改了,不能作为证据被保全,以此保证

10、取得证据的真实性。电子物证快速检索可以根据案件名,取证时间,取证描述以及案件类型快速检索出有关电子物证的相关信息自动生成电子物证取证报告电子物证取证工作完成后,系统可根据内置的取证报告模板自动生成取证报告,取证报告中将记录取证时间,取证员,以及取证内容的描述等信息,所有的证据都可以通过详细电子报告的方式展示调查取证的结果本平台最终将案件的分析结果归纳为一个完整的报告。 三、电子物证取证平台的实现电子物证取证平台系统结构电子物证取证系统采用平台采用C/S和B/S相结合的多层的体系结构,采用C/S和B/S相结合的体系结构。服务器端采用JZEE(JavaZ平台企业版Java2PlatformEnte

11、rpriseEdition)技术体系,可部署在多种JZEE应用服务器之上,支持Window操作系统客户端软件采用VC+/Delphi技术实现,效率高,运行稳定,支持windows操作系统本地服务器及远程时间戳服务器均采用Oracle数据库电子物证取证平台技术路线1.IC/S客户端主要负责远程电子物证的采集!固定等操作具体使用的技术及完成的功能(l)通过C/s的方式登录电子物证取证系统,对取证人员进行角色管理和权限划分,并对各种操作日志进行全面记录以备查;(2)采用NTp单播方式技术来保证电子物证取证专用终端操作系统时间的权威性;(3)集成时间戳加盖接口,可对视频类!远程行为类电子物证进行实时获

12、取,并实时加盖时间戳2B/S远程电子物证取证平台通过B/S模式对远程服务器上实时存在的网页文件!音视频信息!图片等进行记录,并能实时显示当前访问服务器的IP地址IP地址和URL记录框均设计为不可输入字符,防止操作人员对远程服务器上电子物证的原始属性进行恶意篡改具备屏幕录像功能,并在屏幕录像中采用动态视频取证迭代哈希防篡改技术,即在录制过程中对生成的每一个静帧取Hash值,依次类推,文件即可生成一个总可信时间戳技术在电子物证取证中的应用的Hash值,再对生成的文件取Hash值,两个值对比,以此来防止在录制过程中篡改证据的可能性具备滚屏截屏以及屏幕打印(包含虚拟打印)等扩展取证功能3本地取证服务器

13、负责客户端登陆验证!用户管理!证据保存!时间戳申请提交!证据管理!生成报告等工作,本地服务器按照功能可划分为4个类别:(l)权限控制服务器具备严格的用户身份管理和权限划分功能,可有效阻挡非授权用户进入!并攫取电子物证取证信息建立基于角色的层级授权与访问控制,允许特定用户访问特定区域,对取证人员的身份进行了严格划分,电子物证的取证工作必须由监督员授权以后,取证员才能进行取证,取证员本身无法独立完成电子物证取证过程(2)数字证书管理服务器对取证员!监督员数据证书进行分配和管理(3)时间戳通讯接口服务器通过API接口与第三方公共时间戳认证机构的权威时间戳服务器对接,对本地电子物证和远程电子物证提取H

14、ash值,并提交到远程时间戳服务器加盖时间戳;反之,在电子物证的时间戳校验过程中,被校验的电子物证的Hash值也有该服务器提取,并提交到电子物证存储服务器中进行校验(4)电子物证存储服务器对加盖时间戳的电子物证进行存储,在保存原文件的同时,同步保存Hash值!时间戳信息和取证报告,并以案件为单位建立电子物证索引数据库,实现对电子物证的有效存储和高效管理4远程时间戳服务器架设在第三方公共时间戳服务机构的远程机房,以互联网为通讯信道,来接收电子物证的Hash值,并依据Hash值的接收时间生成唯一的权威时间戳信息,并将其返回本地电子物证取证系统进行封存第5章电子物证取证平台的实现整体系统拓扑见图5.

15、1系统各功能模块的操作流程及界面1取证员注册流程取证员在账户分配后需要首先登陆电子物证取证系统对数字证书进行注册,并申请管理员进行绑定,否则将无法开展取证工作在取证员登录后显示如下界面(见图5.2),注册前应将数字证书插入计算机的USB接口,然后按照提示进行注册即可当注册成功后,可以在系统中看到证书的相关信息注册申请经管理员批准后,就可以开始进行取证操作了,同时在系统中也可以看出取证员和数字证书的绑定情况以及有效期等信息当绑定的证书由于过期或存在安全问题时,取证员可以提交注销申请,请求管理员解除取证员与数字证书的绑定关系管理员通过浏览器登录电子物证平台的管理端,并对系统进行管理操作(l)登陆第

16、5章电子物证取证平台的实现在浏览器中输入系统界面服务器的地址,将可以访问用户登陆界面(见图5.3),在用户类型中选择管理员,然后输入用户名密码进行登录,管理员每次登录均强制修改登录密码 (2)人员管理登录到管理员主界面后,点击/人员管理0按钮,进入人员管理子界面,见图5.4可以对取证员进行增加和修改操作可以查看本系统的所有取证员信息和用户状态,当取证人员离职时,可以对该账户进行冻结,并提供解冻功能可以对取证人员的密码进行初始化操作出于对取证人员操作日志安全审计的考虑,本系统不设置取证人员的删除功能,将永久保存所有取证人员的用户信息和操作信息 (3)证书管理证书管理界面见图5.5,该子项目具有以

17、下功能:审核注册证书管理员使用本功能对取证员的数字证书绑定申请进行审批或驳回操作查询使用证书管理员使用此项功能来查看取证员信息和其所绑定的数据证书信息,当发现取证员信息和证书信息不符或证书失效时,可以通过此功能提供的注销证书功能解除取证员和证书的绑定关系审核注销证书当取证员证书过期或发现证书不安全时,可以提交注销请求,管理员通过此功能查看,并审核请求 (4)信息管理该管理子项目用来实现对机构信息的管理和修改,见图5.6可对个人信息进行管理和修改操作,对管理员登录密码进行修改,对系统信息进行记录系统公告: (5)取证查询管理员通过此功能查看本机构内取证员的取证工作情况并可根据取证员用户名、证据类

18、型、取证开始时间!取证结束时间对已经固定的电子物证进行查询提供证据导出功能,提供对电子文件原文件副本!时间戳文件和签名文件的导出操作具体界面见图5.7 5.3.3取证员操作流程取证人员在使用客户端之前需要对一下三点进行确认:(l)用户账号是否分配(2)取证员所用数字证书是否在系统中进行注册(3)专用数据证书是否通过审核员的审核具体操作流程见图5.8客户端在第一次登陆的时候必须选择参数设置,见图5.9,在参数设置窗口中,需填入代理服务器IP地址及端口,并按照第三方公共时间戳服务机构的要求对Nfs路径和socket通信端口进行配置,见图5.10取证员客户端主界面含有以下功能:(1)系统本模块提供以

19、下两部分功能:重新登录第5章电子物证取证平台的实现当取证员长时间没有操作时,可以通过重新登录来注销系统,并可以通过更换用户来选择其他用户进行登录操作退出当取证人员完成电子物证的采集等相关操作,可以通过此功能安全的退出系统(2)用户管理可以查看用户的个人信息!数字证书信息,并可通过此模块修改自己的用户名和登录密码可对自己的个人信息进行修改和完善,可以显示取证员绑定数字证书的一些相关信息,如果发现错误,可以发出数字证书的注销申请,请求管理员对数字证书进行重新绑定(3)取证操作操作选项里主要完成对远程电子物证的取证工作,具体取证流程见图5.12可信时间戳技术在电子物证取证中的应用 保存网页 适用于对

20、远程静态页面，以及一些采用非框架技术建设的网页进行取证。可将网页内容下载为mht文件格式进行保存。 在地址栏输入网址并确认，将转到取证目标网页。确定页面内容正确后，点击保存网页按钮，选择本地存储路径进行取证操作。在本地保存成功后将弹出保全操作对话框,见图5.13,在对话框中分别输入证据别名和证据描述后,点击/确定0按钮,当提示框提示/证据保全成功0,则取证完毕抓图适用于对使用框架技术建设的网页进行取证,或者对网页的一部分内容进行取证,可将窗口的内容转成JPG等图片文件格式进行保存录屏适用于对含有音视频信息的网站进行取证,同样使用于对行为类电子物证的取证可以通过录像功能,将窗口显示的内容(包括鼠

21、标移动轨迹),录制成avi格式进行保存固化文件(电子证据固定)点击/固化文件0按钮,将弹出固化文件对话框,见图5.14,选择要固化的文件可信时间戳技术在电子物证取证中的应用后,可对文件进行固化操作此时,电子物证取证平台将会提取电子物证的Hash值,并将其提交给时间戳认证服务器进行认证,固化之后的证据包中将含有电子物证源文件!时间戳文件和数字签名文件同时,在证据数据库中将对取证人员的所属机构名称!真实姓名!证书机构!证书序列号,以及取证时间(国家授时中心标准时间)和被取证网页相关信息进行详细记录,以确保文件的真实性时间戳文件和数字签名文件则负责对证据的有效性进行校验 (4)设置对电子物证取证平台运行所必须的参数进行设置(5)帮助