移動云環境下數字取證的挑戰分析

張萌 上海市信息安全測評認證中心

一、前言

目前，隨著越來越多的研究人員進入云計算領域，針對移動云計算（Mobile Cloud Computing ，MCC）的攻擊也愈發頻繁，攻擊類型愈發多樣，如僵尸網絡、DoS、DDoS、應用層攻擊、網絡層攻擊及物理層攻擊等。

對于公安取證人員來說，云正如一個黑盒子，盒子中的一切都是不可見的，取證人員無法通過物理接口進入云系統獲取證據，這是公安取證人員在MCC進行數字取證所面對的第一個問題。此外，攻擊者可通過各種反取證技術來消除MCC中的攻擊痕跡，使得數字取證更加困難。MCC環境中的安全威脅和取證面臨的挑戰已引起了業界的高度關注，對MCC環境下的取證挑戰進行梳理和分析具有現實意義。

二、移動云計算

MCC是指通過移動網絡以按需、易擴展的方式獲得所需的基礎設施、平臺、軟件(或應用)等的一種IT資源或(信息)服務的交付與使用模式[1]。移動終端用戶可通過智能移動終端（Smart Mobile Device，SMD）直接在云上執行高密度計算型應用，并將執行結果返回到SMD，從而方便的獲取數據、應用，享受各種云服務。

事實上，固定終端用戶也可通過Web瀏覽器訪問MCC，但移動用戶因不受時間空間限制，故而在訪問的便捷性上更具優勢。隨著云計算技術的進一步發展，MCC將成為SMD用戶大規模增長的首要原因，據市場調查預測，至2018年全球通信網絡用戶數量將從現在的32億增長至40億，這種巨大的轉變表明用戶對SMD的依賴程度越來越強[2]。SMD通過高速數據傳輸網絡連接到Internet，與傳統手機設備相比，SMD除了擁有智能操作系統之外還具有高容量嵌入式存儲以及高速連接功能。但與傳統計算機相比SMD仍存在不少弱點，如內存容量、處理器速度以及電池續航時間等。

MCC恰好可以補足SMD自身的弱點（如內存容量不足、處理器速度有限等），數據的存儲和處理過程都通過MCC的云資源進行。SMD通過Wi-Fi、LTE和其他無線網絡上網并連接云資源，原本SMD上安裝的CPU及內存占用率較高的應用均可在MCC的云端保存并執行。綜上，MCC實際上是通過移動網絡連接SMD和云計算的樞紐，SMD的功能通過云計算得到改善。

MCC主要可分為以下三個組件：SMD、通信網絡和云計算。SMD連接到附近的基站或接入點，繼而再連入Internet；網絡運營商通過Internet連接SMD用戶和云端；云服務提供商（Cloud Service Provider，CSP）作為用戶和云之間的代理人提供用戶所需的云服務，其運營的云數據中心負責數據的存儲，此外，CSP還負責一些輔助性的系統維護、硬件容錯、軟件更新等云端的實時服務。

三、移動云環境下的取證

MCC的取證在打擊惡意入侵行為上起了至關重要的作用，與傳統網絡相比，MCC取證將面臨許多困難與挑戰。MCC取證可分為三個方向：移動取證、網絡取證、云取證。

（一）移動取證

SMD連接云平臺時需通過MCC，這給入侵者在云端實施攻擊提供了入口，他們使用SMD非法連接MCC資源并發起惡意攻擊，給其他合法用戶造成危害。許多企業允許員工在工作場所使用私有移動設備，并允許設備連入公司網絡，如郵件系統、數據庫系統或其他應用程序，一個新的理念隨機誕生：使用個人設備辦公（Bring Your Own Device，BYOD），這些個人設備包括筆記本電腦、智能手機、平板電腦等。

然而，在方便辦公的同時，員工SMD上遺留的痕跡和操作日志給企業帶來了安全風險。舉一個簡單的例子，員工使用自己的智能手機通過Internet訪問企業網絡，一旦手機丟失，由于手機中仍留有登錄訪問企業網絡的日志數據，企業重要信息便岌岌可危了。此外，若手機曾訪問過可疑云資源，也會給企業網絡帶來風險。移動取證隨機誕生，通過訪問SMD獲取攻擊證據從而對上述情況進行防范。SMD中保存的聯系人列表、通話歷史（呼出、呼入、漏接）、日期時間、短信、彩信、照片、視頻、音頻、郵件、cookies、URL、安裝程序記錄、日歷、便簽、數據庫等，均可作為數字證據。移動取證工具有Cellebrite手機取證分析系統、盤石手機取證分析系統等。

（二）網絡取證

SMD連接MCC云資源的途徑多種多樣，可以是3G/4G網絡、LTE、Wifi或其他無線網絡，數據包由SMD傳輸到云端會經過各種網絡設備，如路由器、防火墻、入侵檢測設備、交換機等。這些設備以及網絡鏈路都可能是攻擊者實施云攻擊的目標，云攻擊的類型多種多樣，有DoS、DDoS、網絡釣魚、中間人、內部攻擊等。入侵者發動云攻擊的同時會留下攻擊痕跡，哪怕嘗試清除痕跡的行為又可能留下新的痕跡，因此網絡取證在追溯入侵行為以及加固網絡安全性等方面都有著舉足輕重的意義。

目前在傳統網絡中，取證工作已經取得了一定的成績，然而在MCC等高速網中，取證工作仍處于摸索階段。現有的網絡取證方法大致可分為以下幾類：審計取證、IP追蹤技術、蜜罐技術、數據包標記及攻擊圖技術。MCC的取證技術與傳統取證將有所不同，如何從分布式的MCC網絡中提取有效證據亟待研究。

（三）云取證

基于云計算多租戶、可擴展、虛擬化、分布式等特點，要想在云架構中從數字設備識別、收集、保護并完整保存數字證據是相當困難的。入侵者冒充合法用戶訪問云系統并執行惡意操作，從而破壞云資源可用性或損害其他用戶的利益。云取證的目的在于精確地追蹤出入侵者的破壞行為，盡管研究人員在如何解決云取證挑的問題上已經做了許多工作，但收效并不令人滿意。云取證技術的發展需要公安機關的持續關注以及云服務商的進一步支持。

四、移動云環境取證的挑戰

在過去的幾年中，MCC的出現吸引了大量人群的關注，許多PC用戶轉而使用SMD。這種改變要求CSP、SMD用戶以及網絡管理員在安全及隱私保護方面有更高的敏感度。攻擊者使用便攜設備如智能手機或其他移動設備對MCC實施匿名攻擊，并且通常會使用反取證工具消除攻擊痕跡。由于云計算的虛擬性及分布式特性，此類攻擊往往很難識別。因此我們需要一個全面而又有效的解決方法來面對MCC環境的電子取證挑戰。

（一）數據識別

MCC的多租戶、虛擬化及分布性使得取證過程中，取證人員需要跟蹤和分析的數據量大大上升。如何訪問MCC的物理設備并獲取數據成為了數據識別過程中的重大挑戰之一。在云計算中，由CSP提供物理設備往往分散地部署在不同的物理位置，訪問這些設備需要CSP授權，那么問題來了，取證人員在無法訪問設備的條件下如何獲取攻擊數據？此外，一個云用戶可能同時使用多個CSP的服務，由于云資源有限，用戶數據可能存儲在多個相鄰的云上，通過數據遷徙可以將用戶的全部數據或者一部分數據轉移到另一個云上，要從多個地方進行數據檢索無疑大大增加了取證耗時，再加上遠程云數據中心上的數據極有可能已經被攻擊者篡改了。因此要向多個CSP獲取數字證據時，取證人員必須克服地理因素、技術因素及法律因素等多個難題。

MCC中數據識別過程必須依賴CSP的支持，因此在取證前就應向CSP書面申請訪問權限，闡明取證的必要性。同時應在法律法規層面對云計算、移動云計算相關的取證工作時，CSP所承擔的責任進行明確。另外，可以利用云計算的先天優勢，建立專門的取證服務器，當發生攻擊事件時，對可能包含數字證據的服務器進行克隆，并將克隆后的服務器磁盤對取證服務器開放，既大大節省了尋找并準備臨時存儲服務器的時間，又降低了取證成本。

（二）時間不匹配

時間同步問題是取證者面臨的第二個難題，由于日志數據可能存儲在不同國家的不同數據中心，日志間的時差便不可避免了。如何解釋同一個攻擊事件的兩個日志證據有著不同的時間記錄，對取證人員來說也是個挑戰。此外，從不同數據中心進行日志檢索也可能帶來問題，例如離攻擊位置較遠的數據中心所保存的日志極有可能已被攻擊者篡改。

通過引入可信時間戳服務器可解決上述問題，該服務器隸屬于第三方權威機構，提供時間戳服務。在獲取數字證據的同時應第一時間同時獲取該證據的時間戳信息，并應對時間戳進行歸一化處理，包括時間戳格式的歸一化以及所使用時間的歸一化，可統一使用UTC時間以規避不同經度間的時差問題，同時也應記錄下計算機系統的時間及所在位置的當地時間。另外還可將可信時間戳結合數字簽名技術已達到數字證據完整性保護已經抗抵賴的目的。

（三）多租戶

多租戶是MCC區別與其他網絡環境的重要特性之一。MCC中，多個用戶在訪問同一資源時可能通過同一個訪問點，攻擊者的訪問點也可能隨時發生變化，如何在眾多用戶中定位攻擊者將是一個挑戰。

可以通過虛擬蜜罐HONEYD技術應對上述困難，HONEYD可以通過大量模擬云系統各種類型的脆弱點，給攻擊者一個相當具有誘惑力的攻擊目標，達到迷惑攻擊者的目的，但同時HONEYD又是經過精心部署的，因此攻擊者任何一個真實的攻擊行為都可以被捕獲下來，既降低了MCC有價值的系統遭受攻擊的可能性，為云系統作出預防攻擊響應提供足夠的時間，又為定位攻擊者，分析攻擊行為提供了足夠的信息。

（四）現場取證

現場取證工作是在實時網絡流量中進行的，數據流正常波動。高速數據流網絡因其吞吐能力高因此對取證工具的要求也就更高，然而由于接入權限問題，在MCC中進行實時流量捕獲幾乎是不可能的。云端整個網絡的擁有者都是CSP，取證人員無法接入網絡，大部分虛擬設備都會在關閉的時候進行數據清除。

因此，取證方需與CSP需建立一種強信任關系，將現場取證策略應用到實施網絡流量中。此外，在制定MCC現場取證策略時還需考慮到MCC網絡分布式特性、高速數據流、網絡設備類型多樣、數據格式多樣的特點。

（五）隱私保護

隱私保護是MMC數字取證所面臨的最大挑戰，MCC下用戶數據在云端存儲，且有可能被進一步遷徙到不同CSP的其他云中。大部分用戶愿意在云端存儲數據正是由于CSP與用戶之間達成并簽署了隱私保護的協議，一旦CSP可以查看用戶數據，那么用戶對CSP的信任程度將大大降低。幾乎所有企業都非常注重隱私，尤其對重要數據的隱私保護更是重中之重。這種現象使得取證人員想通過CSP獲取用戶數據變得極為困難。

對此可以采用數據加密技術，CSP可對用戶信息進行全數據加密，并在信息中定義若干關鍵字，僅關鍵字可以被檢索，且只有包含關鍵字的信息才能被解密。當需要進行數字取證時，將關鍵字檢索權限賦予取證人員，當取證結束時立即回收權限，如此既可保護用戶的敏感信息又可使得取證工作順利開展。

（六）手機操作系統

SMD使用的操作系統類型繁多，目前應用在手機上的操作系統主要有Android（安卓）、iOS（蘋果）、Windows phone（微軟）、Symbian（塞班）、BlackBerry OS（黑莓）、Windows mobile（微軟）等。大部分的操作系統都是開發公司所有的，且多為非開源系統，這就使得取證人員要想從不同的SMD中獲取數字證據變得較為困難。取證人員必須熟悉各種類型操作系統的最新版本，然而操作系統又是頻繁更新的，增加了SMD檢索追蹤日志的難度。

對于上述問題，可通過管理層面與技術層面來應對。法律層面：加緊制定并完善MCC取證相關的法律規范，并加強配套行政執法，為取證工作提供強有力的法律支持。同時加強與各SMD生產商的交流合作，盡量統一生產標準，包括存儲數據的格式、存儲卡數據線接口格式等。技術層面：收集并及時更新現有SMD的各類技術參數，建立MCC取證數據庫并不斷補充完善，提高MCC取證的工作效率。同時加強MCC取證工具、取證方法的投入研究，提高對數字證據的分析能力。

五、結束語

本文對MCC環境下電子取證面臨的挑戰進行了研究并提出了簡要的解決方案。MCC的分布式與虛擬化的特性，導致取證人員在工作中遭遇到種種局限，因此，通過建立專門的取證服務器及可信時間戳服務器，與CSP建立強信任關系并通過加密技術限制取證人員權限，同時制定一套健全的政策法規等手段來規范MCC取證顯得尤為重要。MCC數字取證尚在起步階段，其具體的框架結構，及在仿真環境下的使用情況都將成為未來的研究熱點。

[1] J. Lee, "Pervasive Forensic Analysis Based on Mobile Cloud Computing,"in Multimedia Information Networking and Security(MINES), 2011 Third International Conference on, 2011, pp. 572-576.

[2] 宋蕾, 李俊莉. 云計算環境下的計算機取證[J]. 河南科技,2011(01):56-57.

[3] A. Gani, G. M. Nayeem, M. Shiraz, M. Sookhak, M.Whaiduzzaman, S. Khan, "A Review on Interworking and Mobility Techniques for Seamless Connectivity In Mobile Cloud Computing," Journal of Network and Computer Applications, 2014.

[4] Х?. Ф?Л??ПμμЧК?μ?УИЦ[J]. РПНВ°И,2010(11):52-54.

[5] K. Kent, S. Chevalier, T. Grance, H. Dang, "Guide to Integrating Forensic Techniques into Incident Response," NIST Special Publication, pp. 800-86, 2006.