一種高效并行數據采集系統的設計和研究

呂小巧

廈門市美亞柏科信息股份有限公司，福建 廈門 361000

0 引言

隨著科技的發展，手機的應用越來越廣泛，作為新時代的一種重要媒介，集通信、娛樂等多種功能于一體，功能強大實用，手機里的SIM卡存儲著大量的信息，如通話記錄、短信、聯系人等，還有銀行卡記錄著卡號、有效日期、姓名、身份證、交易記錄等有價值信息，相關工作人員在面對案件處理時，這些信息的獲取可直接或間接的為案件提供線索或破案思路。所以對于這些信息采集[1-3]就顯得尤為重要，而且信息采集工作日益繁重[4]。

對此，本文提出一種高效并行的數據采集系統[5]，將采集裝備進行一體化設計，各種數據分析模塊無縫融入采集裝備中，實現全方位的取證分析能力。可支持多路手機、移動硬盤、SIM卡、銀行卡同時并行采集，提高數據采集工作的效率。同時硬件上采用雙網設計，軟件上可對雙網自由切換控制，用戶可根據需要選擇合適的網絡系統進行工作。

1 相關技術的不足之處和本方案的創新點

傳統的采集裝備[6]功能和采集方式都很單一，采集裝備種類繁多，而且不同密級網絡的設備分離，需要獨立使用，每種介質都只能用獨立的專用設備進行采集。比如：只能分別對手機、移動硬盤、SIM卡或者銀行卡用專門的采集裝備進行數據采集，功能接口單一，無法多路介質并行取證，工作效率低下。針對以上不足，本系統方案提出以下3點創新之處。

（1）硬件上采用雙網設計，可進行跨網自由切換[7]，客戶可根據需要選擇合適的網絡系統進行工作，同時在高密級網絡系統集成手機網絡隔離模塊[8]，在不影響手機數據采集的情況下，用于識別被采集手機的特征信息，并攔截手機上網絡設備，使被采集手機的網絡和計算機隔離。有效阻止手機通過網絡共享或者wifi熱點將手機網絡共享內網系統。

（2）通過多路并行采集，可實現對多個案件同時進行采集以及多路介質并行取證，可實現多路手機、SIM卡、銀行卡的同時并行采集，大大提高工作效率，縮短工作時間。

（3）采用模塊化設計，將多種功能接口融合一起，降低布置成本，同時方便維護。

2 系統方案設計

該系統裝置包含：主機、處理器、USB2.0擴展模塊、USB3.0擴展模塊、串口轉換模塊、檢測模塊、指示燈模塊、加密模塊、智能讀卡器模塊、藍牙模塊、電源模塊、USB2.0信號開關切換模塊、USB3.0信號開關切換模塊、USB2.0阻隔模塊、銀行卡控制模塊、NFC模塊、磁頭模塊、IC卡模塊等。系統功能模塊圖如圖1所示。

圖1 系統框圖

2.1 硬件設計

主機，分別通過USB2.0通道和USB3.0通道與處理器通信，用于發送指令給處理器，同時接收處理器反饋的信息，并做出相應提示，還將接入采集口上的手機、SIM卡、銀行卡，采集到的數據上傳到服務器。

處理器，采用8051單片機方案[9]。與主機、擴展模塊、檢測模塊、加密模塊、銀行卡控制模塊、電源模塊、藍牙模塊、指示燈模塊、USB2.0和USB3.0開關切換模塊相連接，用于響應擴展模塊、檢測模塊、加密模塊、銀行卡控制模塊、電源模塊、藍牙模塊、指示燈模塊、USB2.0和USB3.0信號開關切換模塊的輸入信息，并控制輸出信息至主機，同時解析并處理主機發送的指令。

擴展模塊，包含USB2.0和USB3.0兩個擴展模塊。其中2.0擴展模塊采用USB2.0 HUB控制器，其上行口與主機的USB2.0口相連，下行口擴展出5路的USB2.0的接口分別連接處理器、串口轉換模塊、智能讀卡器模塊、藍牙模塊，以及兩路的USB2.0開關切換模塊。通過處理器對這些模塊的電源或USB信號進行開關控制，從而控制各個模塊是否正常工作。USB3.0擴展模塊，采用USB3.0 HUB控制器，其上行口與主機的USB3.0口相連接，下行口擴展出4路的USB3.0接口。通過處理器對這些USB3.0接口的電源或USB信號進行開關控制。

檢測模塊，用于檢測手機是否接入，并將信息反饋給處理器，再由處理器將接收到的狀態信息反饋至主機。

指示燈模塊，每個手機采集口、藍牙采集功能、銀行卡采集功能和智能讀卡器采集功能都有一個指示燈的狀態顯示，當檢測到手機接入或者藍牙模塊、銀行卡控制模塊、智能讀卡器，對應功能的指示燈亮起，當檢測各個模塊停止工作，指示燈滅。每個指示燈都采用三極管MMBT9012的控制方案，通過三極管的第1腳B級連接到處理器的IO控制腳，當處理器檢測到手機接入或者某個模塊工作，將該控制腳拉低，三極管導通指示燈亮起。

加密模塊，與處理器相連，保護MCU內部存儲息數據不被非法讀取或者篡改，保證數據的安全和該系統的正常工作。

電源模塊，用于為該裝置的各個模塊提供電源。

串口轉換模塊，采用FT232RL芯片，將主機的USB信號轉換成串口信號與銀行卡模塊相連接，用于與上位機交互通信，發送指令給銀行卡模塊，同時接收該模塊反饋的信息，并做出相應提示。

銀行卡控制模塊，采用STM32系列[10-13]主控芯片，通過兩路的串口信號分別與NFC模塊和IC卡模塊連接，用DATA和STROBE信號與磁頭連接。通過USB轉串口轉換模塊負責與上位機連接，接收上位機數據并傳送給該模塊，負責進行NFC設備的掃描和連接，接收到上位機數據后將其按格式封包并通過NFC發送出去；同時通過該控制模塊，分別快速獲取非接觸銀行卡、IC卡、磁條卡的基本信息，并通過后臺銀行卡資源庫解析出對應的發卡行，卡片類型和地區。

NFC模塊，NFC收發器控制芯片采用PN7150，負責接收銀行卡控制模塊的通信指令,并經由NFC天線與接收端交互。

IC卡模塊，通過銀行卡控制模塊的串口信號與IC卡控制芯片TDA8029相連接。

智能讀卡器模塊[14]，采用Realtek的一款高性能USB2.0兼容讀卡器芯片RTS5169。在電路設計上主要是通過USB2.0數據通信信號與PC的USB口進行連接，通過芯片內部的8051微處理器與上位機交互通信，讀取不同類型的SIM卡的數據，包含SIM卡的短信息、通信錄、通話記錄等。處理器上的一個IO口對該模塊的電源進行開關控制。

藍牙模塊[14]，選用LWX0206模塊，通過串口信號與上位機通信，處理器的一個IO口對藍牙模塊進行電源控制，當需要用到藍牙功能時打開電源，藍牙模塊與手機藍牙進行配對連接，通過采集軟件對手機通信錄，短信等信息進行采集。

USB2.0信號開關切換模塊[15-16]如圖2所示，選用TS3USB221作為USB2.0信號開關芯片。OE腳為開關使能腳接地拉低處理，選擇輸入S腳默認上拉到VCC,處于高電平狀態，使USB信號DP0DM0信號選擇DP2DM2通道，連接到USB口直接連接手機，同時關閉DP1/DM1直通通道，整個系統屬于外網模式。處理器通過串口信號與阻隔模塊進行通信，當讀到阻隔模塊版本為阻隔模式時，處理器發出指令將使能S腳拉低，處于低電平狀態，USB信號DP0DM0信號選擇DP1DM1通道，通過阻隔模塊，在連接到USB2.0口連接手機，同時關閉DP2/DM2直通通道，整個系統屬于內網模式。

圖2 USB2.0信號切換模塊

USB3.0信號開關切換模塊[17]如圖3所示，選用HS3S6126作為USB3.0信號開關芯片，對高速的USB RX和TX以及USB2.0 DP和DM信號進行開關切換。芯片的OE腳為芯片的使能腳接地拉低處理，選擇輸入S1腳默認上拉到VCC，處于高電平狀態，使USB3.0信號PC_DP0PC_DM0PC_SSTX0PC_SSSRX0信號選擇DP2DM2SSTX2SSRX2通道，直接連接USB3.0擴展模塊到4個USB3.0口，同時處理器發出指令打開4個USB3.0口的電源，當接入手機或者移動硬盤，可被主機檢測并識別。同時關閉DP1DM1SSTX1SSRX1通道，使整個系統處于外網模式。處理器通過串口信號與阻隔模塊進行通信，當讀到阻隔模塊版本為阻隔模式時，將USB3.0信號開關切換模塊的控制腳S拉低，關閉DP2DM2SSTX2SSRX2信號通道，同時打開DP1DM1SSTX1SSRX1信號通道，由于該通道信號處于懸空狀態，相當于無信號輸出，導致經過USB3.0擴展模塊的4個USB3.0接口無數據信號輸出，使整個設備處于內網模式，USB3.0接口無法識別手機或者移動硬盤。由于此時處理器檢測到內網模式，發出指令打開4個USB3.0口的電源，因此在接入手機時可進行充電，但是無法被主機檢測識別。

圖3 USB3.0信號切換模塊

USB2.0網絡阻隔器模塊，采用模塊化設計如圖4所示，由PLX USB338X系列主控芯片和USB擴展芯片組成，主控芯片內部集成MCU，通過串口信號與處理器通信，模塊分為阻隔和直通兩種模式，通過存儲器燒錄不同模式的固件。當模塊上電后，處理器首先讀取模塊的版本號，以此判斷系統處于哪種工作模式。當存儲器上的固件為阻隔模式時，USB2.0通道切換到阻隔模式，USB2.0信號經過主控芯片，在通過PCIE信號與擴展芯片相連接。當手機接入阻隔模塊的USB2.0接口時，主控芯片內部集成MCU對接入手機的ADB設備、iOS設備、網絡設備或者其他設備進行處理，可以有效阻止手機通過網絡共享或者wifi熱點將手機網絡共享到內網系統。通過攔截手機上網絡設備和其他未知設備，使被采集手機的上網功能徹底和計算機隔離，有效防止內網系統下觸發“一機兩用”。當存儲器上的固件為直通模式時，USB2.0通道切換到直通模式，直接連接主機的USB通信通道，同時關閉與阻隔模塊連接的USB通信信道。

圖4 手機網絡阻隔模塊

2.2 軟件設計

該系統裝置總共有6個USB采集口，其中4個USB3.0接口和2個USB2.0接口。內部集成銀行卡、SIM卡、藍牙采集功能。處理器上電后，開始初始化，首先檢測網絡阻隔器模塊的固件版本號，然后讀取檢測到的版本號，并對版本號進行判斷。當檢測到的版本號為直通模式，處理器就發出指令，切換到外網模式，打開4個USB3.0采集口的電源，并將USB3.0信號開關切換模塊的控制腳S1拉高,處于高電平狀態，將主機的USB3.0信號直接連接到USB3.0擴展模塊，使擴展模塊4個下行口開始工作。同時打開2個USB2.0采集口的電源，并將USB2.0信號開關切換模塊的控制腳S拉高，處于高電平狀態，將主機的USB2.0信號直接連接到USB2.0采集口。當6個采集口接入手機時，將信息反饋給處理器，再由處理器將接收到的狀態信息反饋至主機，主機檢測識別到手機，即可進入工作狀態，同時進行取證。

當檢測到的版本號為阻隔模式，處理器就發出指令，切換到內網模式，打開4個USB3.0采集口的電源，并將USB3.0信號開關切換模塊的控制腳S1拉低，處于低電平狀態，將主機的USB3.0信號直接連接切換開關模塊的DP1DM1SSTX1SSRX1信號通道，由于該通道信號處于懸空狀態，相當于無信號輸出，因此USB3.0擴展模塊處于關閉狀態，停止工作。當這4個USB3.0口接入手機時，由于只有開啟電源，相當于只能給手機充電，而無法識別手機。同時處理器打開2個USB2.0采集口的電源，并將USB2.0信號開關切換模塊的控制腳S拉低，處于低電平狀態，將主機的USB2.0信號切換到DP1DM1通道，在經過網絡阻隔器，連接到USB2.0采集口。當這兩個USB2.0采集口接入手機時，主機即可識別到手機進行取證，同時由于網絡阻隔器的作用，可有效防止內網系統下接入手機觸發“一機兩用”，保證系統的安全性和數據的完整性。無論是在外網模式還是內網模式，銀行卡，SIM卡，藍牙采集功能，都可以根據需要自主選擇開啟或者關閉工作。軟件設計流程圖如圖5所示。

圖5 流程圖

3 實例測試

以內網模式下手機采集為例，該模式下支持兩路手機并行采集，實測數據見表1，當把Iphone 6s plus和VIVO X21兩部手機同時接入設備并行采集，總時長為21分5秒。而傳統設備只能支持單路采集，就必須一部一部手機單獨采集，考慮到對比有效性，在該設備上對這兩部手機單獨采集。采集同樣數據量Iphone 6s plus耗時9分17秒，VIVO X21耗時20分45秒，總時長為30分2秒。當兩部手機同時并行采集總時長為21分5秒。并行采集時間比單部手機采集時間縮短8分57秒，采集效率提高了42.4%，大大的縮短了取證時間。

表1 手機采集速度對比

4 結語

本文設計的系統可實現多路數據高效并行采集，傳輸速度快，實時性高，縮短取證時間，大大提供工作效率，同時保證數據的安全性和完整性。硬件上采用雙網設計，可根據需要進行內外網自由切換。在外網模式下，可同時支持6路手機、銀行卡、SIM卡數據并行取證。在內網模式下，由于集成2個手機網絡阻隔模塊，可同時支持2路手機、銀行卡、SIM卡的數據取證，并對其余4路手機進行充電，并行數據采集效率比傳統的單路數據采集效率提高40%以上，大大的縮短了取證時間。而且對于所獲取的數據，支持自動上傳到服務器，進行海量數據的關聯分析，為用戶提供更為詳細的數據信息。