| 发明名称 | 一种云计算环境下的取证方法及系统 | ||
| 摘要 | 本发明提供一种云计算环境下的取证方法,其步骤包括:云服务提供商在其虚拟服务器中设置用于取证的应用程序编程接口;云应用直接调用所述应用程序编程接口,对传输的可疑数据进行签名并生成校验值,然后将所述可疑数据传输至一取证虚拟机;所述取证虚拟机对所述可疑数据进行重新校验,并存储通过校验的可疑数据;对可疑数据进行分析,获取数字证据。本发明将可能含有犯罪证据的可疑数据存储在专门的取证虚拟机中,大大提高了云计算环境下取证的效率。 | ||
| 申请公布号 | CN102739774B | 申请公布日期 | 2015.05.27 |
| 申请号 | CN201210170280.1 | 申请日期 | 2012.05.28 |
| 申请人 | 中国科学院软件研究所 | 发明人 | 丁丽萍;谢亚龙 |
| 分类号 | H04L29/08(2006.01)I;H04L29/06(2006.01)I;G06F9/455(2006.01)I | 主分类号 | H04L29/08(2006.01)I |
| 代理机构 | 北京君尚知识产权代理事务所(普通合伙) 11200 | 代理人 | 余长江 |
| 主权项 | 一种云计算环境下的取证方法,其步骤包括:1)云服务提供商在其虚拟服务器中设置用于取证的应用程序编程接口;2)云服务供应商为每一个经过审核的云应用颁发数字证书,云应用直接调用所述应用程序编程接口,利用所述数字证书对传输的可疑数据进行签名并生成校验值,然后将所述可疑数据传输至一取证虚拟机,所述取证虚拟机将接收的可疑数据设定为只读,并只允许单个进程对可疑数据进行访问;所述可疑数据是指可能含有犯罪证据的定制的数据,包括某种日志或者某种内存易失性数据;3)所述取证虚拟机对所述可疑数据进行重新校验,并存储通过校验的可疑数据;若所述取证虚拟机中发现未签名的数据,则通知取证虚拟机的管理域并报警;在虚拟监控机中设有取证虚拟机保护模块,防止其它虚拟机加载所述取证虚拟机的磁盘并对可疑数据进行修改;4)对所述取证虚拟机中存储的可疑数据进行分析,获取数字证据;取证虚拟机的管理域定时向云服务提供商发送请求,云服务提供商收到后进行回复;若没收到回复,取证虚拟机的管理域报警且启动虚拟机重放器,记录云服务提供商的虚拟服务器的运行信息,包括系统运行的线程、程序发起的系统调用和用户对系统的操作记录,并在事后进行回放取证。 | ||
| 地址 | 100190 北京市海淀区中关村南四街4号 | ||