計算機(jī)取證系統(tǒng)中的電子證據(jù)防篡改系統(tǒng)設(shè)計

郭杰

摘要：文章綜合考慮混沌系統(tǒng)的加密技術(shù)與分片Hashing技術(shù)等先進(jìn)的信息安全技術(shù)，設(shè)計了一種能夠應(yīng)用于計算機(jī)取證中防篡改與保全電子證據(jù)的系統(tǒng)，實踐表明，系統(tǒng)可良好地應(yīng)用于計算機(jī)取證電子證據(jù)防篡改工作。

關(guān)鍵詞：計算機(jī)取證；電子證據(jù)；防暮改系統(tǒng)

作為一種新的犯罪形式，計算機(jī)犯罪表現(xiàn)出犯罪主體專業(yè)化、行為智能化、客體復(fù)雜化、對象多樣化、后果潛藏化等特征，依靠傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)進(jìn)行計算機(jī)犯罪防范的難度日益增加。計算機(jī)取證是獲取、保存、分析與出示電子證據(jù)的過程，以對犯罪分子犯罪線索的挖掘與收集，對計算機(jī)犯罪的有效打擊與預(yù)防為目的。以往，計算機(jī)取證多借助靜態(tài)取證技術(shù)，在事后分析時進(jìn)行相關(guān)證據(jù)的提取，采集的數(shù)據(jù)欠缺及時性與全面性，恢復(fù)的數(shù)據(jù)面臨在之前就己被篡改的風(fēng)險，法律效力并不高。文章進(jìn)行計算機(jī)主動取證系統(tǒng)的設(shè)計，對于解決數(shù)據(jù)傳輸前與傳輸過程中證據(jù)的保全、防篡改方案的設(shè)計、證據(jù)的存儲與訪問管理等多種問題有非常重要的作用[1]。

1電子證據(jù)的性質(zhì)與證明力

計算機(jī)、存儲、網(wǎng)絡(luò)等技術(shù)是電子證據(jù)產(chǎn)生、存儲與傳輸?shù)鹊谋匾ぞ撸c高科技含量的技術(shù)設(shè)備相脫離，電子證據(jù)便無法實現(xiàn)保存與傳輸。所以，電子證據(jù)具有以下特性：（1）是一種根據(jù)編碼規(guī)則處理的，用“0”或“1”來表示的二進(jìn)制信息，由計算機(jī)語言記載，磁性介質(zhì)對其進(jìn)行保存，無形，不連續(xù)，易受到人為篡改；（2）對多種形式的信息予以綜合，外在表現(xiàn)形式多樣化；（3）直觀，收集迅速，方便保存與傳送，經(jīng)復(fù)制后可以反復(fù)重現(xiàn)，操作簡便。

電子證據(jù)的證明力可通過其與待證事項的關(guān)聯(lián)性、證據(jù)自身的可靠性以及完整性來判斷。很明顯，若電子證據(jù)與待證事項之間的關(guān)聯(lián)度極高，那么其對該事項的說服力也會非常強(qiáng)，有極高的證明價值。由此，證明力必然會很強(qiáng)。

2系統(tǒng)設(shè)計

2.1需求分析

為了更好地保證計算機(jī)取證后電子證據(jù)的原始性與可靠性，對其進(jìn)行安全保存，系統(tǒng)設(shè)計需滿足以下需求[2]。

（1）當(dāng)取證人員在現(xiàn)場取得相應(yīng)證據(jù)并提交入庫時，需在這些數(shù)據(jù)上進(jìn)行數(shù)字簽名，同時，接受現(xiàn)場監(jiān)督人員的簽名，嚴(yán)格保證電子證據(jù)的完整性與不可否認(rèn)性。

（2）電子數(shù)據(jù)需一次性提交，如果要對涉案計算機(jī)施以二次調(diào)查與取證，則需辦理并出示相關(guān)的手續(xù)，如果第二次得到的取證結(jié)果與第一次取證結(jié)果存在沖突，取證人員作出刪除第一次取證部分電子證據(jù)的決定，則需要進(jìn)行刪除流程的設(shè)置：首先，由取證人員向?qū)徟峤坏诙稳∽C獲取的數(shù)據(jù)；然后，刪除的文件信息，取證人員向?qū)徟藛T進(jìn)行匯報，解釋刪除的原因，接著，審批人員審批取證人員提交的二次證據(jù)以及相應(yīng)的刪除需求；最后，若刪除需求合理，則由審批人員執(zhí)行對第一次取證相應(yīng)電子證據(jù)的刪除操作。

（3）證據(jù)要具有安全保密性，未經(jīng)授權(quán)的人員不能獲取系統(tǒng)中的電子證據(jù)，即使獲取，也不能正常查閱。

（4）簽名與加密電子證據(jù)之后，應(yīng)由系統(tǒng)對其進(jìn)行保存與鏡像備份，同時，系統(tǒng)生成的日志同樣需要備份。

（5）門限身份認(rèn)證，經(jīng)過授權(quán)的人員在登錄系統(tǒng)進(jìn)行相應(yīng)電子證據(jù)查閱之時，要有第二人在場。具體而言，在第一用戶登錄系統(tǒng)之后并不能馬上行使相應(yīng)的權(quán)限，其權(quán)限的實現(xiàn)必須在第二用戶輸入密碼之后，為了保證系統(tǒng)使用過程中不會出現(xiàn)人員長期離幵的問題，需設(shè)計實現(xiàn)要求，若用戶在一定時間內(nèi)并未對系統(tǒng)執(zhí)行任何操作，系統(tǒng)會自動鎖定，再次使用必須重新登錄。

（6）設(shè)置讀取與刪除權(quán)限，對電子證據(jù)的讀/寫訪問等進(jìn)行控制，嚴(yán)格規(guī)范授權(quán)人員對系統(tǒng)與系統(tǒng)中電子證據(jù)的操作。

（7）對系統(tǒng)上全部操作進(jìn)行記錄，從用戶登錄系統(tǒng)開始，直到退出，全部操作都應(yīng)記錄下來，并保存到日志中。

（8）當(dāng)電子證據(jù)出現(xiàn)問卷損壞、校驗不符等問題時，應(yīng)利用備份鏡像對證據(jù)予以恢復(fù)，恢復(fù)過程中，對操作系統(tǒng)、文件系統(tǒng)、系統(tǒng)狀態(tài)、相關(guān)設(shè)置等進(jìn)行自動檢測，同時，一并記錄操作用戶名、時間戳等于日志文件中。

2.2系統(tǒng)功能架構(gòu)

根據(jù)上述系統(tǒng)功能需求，設(shè)計系統(tǒng)功能架構(gòu)如圖1所示。

2.2.1身份管理

管理取證系統(tǒng)中的人員身份信息，提供用戶登錄管理服務(wù)。

2.2.2訪問控制

按照用戶在案件中擔(dān)任的角色進(jìn)行對應(yīng)權(quán)限的分配，限制、審計并記錄人員使用系統(tǒng)的行為。

2.2.3證據(jù)安全

采用加密、分片Hashing等技術(shù)處理與存儲電子證據(jù)，對證據(jù)完整性、機(jī)密性、不可篡改與抵賴性予以保證。

2.2.4審計備份

審計模塊產(chǎn)生取證代理、取證中心與取證管理平臺的運行日志，以輔助證據(jù)的形式對取證工作的環(huán)境、流程與司法取證流程規(guī)范的相符性等加以解釋，具有監(jiān)督功能；備份模塊則負(fù)責(zé)遠(yuǎn)程備份電子證據(jù)與審計日志。

3系統(tǒng)證據(jù)安全模塊功能實現(xiàn)

己有研究與設(shè)計成果表明，電子證據(jù)防篡改系統(tǒng)設(shè)計

中的身份管理、訪問控制與審計備份模塊取得的進(jìn)展己較為明顯，技術(shù)方面相對成熟，因此文章對系統(tǒng)證據(jù)安全模塊的實現(xiàn)進(jìn)行分析。

3.1數(shù)據(jù)加解密模塊實現(xiàn)——混沌分組密碼

以混沌映射對初值的敏感依賴性為依據(jù)，可生成大量不相關(guān)、類隨機(jī)且可再生的信息。混沌分組密碼的設(shè)計與模塊實現(xiàn)思路為：Lorenz映射具有混迭特性，利用這一特性可生成強(qiáng)度高且非線性的替換表，在Arnold映射置換、非線性表替換以及加密擴(kuò)散變換等的影響下取得單輪加密效果，然后利用多輪迭代對計算機(jī)證據(jù)進(jìn)行置亂與擴(kuò)散。

Arnold映射數(shù)學(xué)表達(dá)式為：

設(shè)[0，1]取值空間為，取任意初始值，在Lorenz映射多次迭代后，得到混純序列，整數(shù)化處理后剔除重復(fù)數(shù)據(jù)。由此。與之間可構(gòu)成一個高強(qiáng)度且非線性的替換表，實現(xiàn)對函數(shù)結(jié)構(gòu)建。

設(shè)B，K是長度為64bit的證據(jù)，在Arnold映射置換之后劃分為8個字節(jié)，分別為。由此，加密變換為：

8次加密變換后可得到連接生成長度為

64bit的密文匕此時，可通過得到函數(shù)/前結(jié)果。實際上，在完成Arnold映射擴(kuò)展、Lorenz射以及加密變換之后，只會得到單個分組數(shù)據(jù)的單輪加密效果，為了獲得完整的密文，還需利用替換表循環(huán)Arnold映射擴(kuò)展與加密變r輪，之后，重新組合全部的分組數(shù)據(jù)。

3.2密鑰保管模塊實現(xiàn)——分片Hashing算法

在該系統(tǒng)中，需利用分片Hashmg將電子證據(jù)文件生成2?4個散列摘要。具體的散列摘要數(shù)量由證據(jù)文件的大小決定。分片Hashing算法如下：

4結(jié)語

計算機(jī)取證技術(shù)的不斷發(fā)展，其操作中各個環(huán)節(jié)的完善性均日益提升。文章進(jìn)行計算機(jī)取證系統(tǒng)中的電子證據(jù)防篡改系統(tǒng)設(shè)計與實現(xiàn)研究，是對相關(guān)部門需求的滿足。系統(tǒng)對一些較為前沿的技術(shù)予以采用，例如混沌分組密碼技術(shù)、分片Hashing技術(shù)等，與當(dāng)前己有的電子證據(jù)防篡改系統(tǒng)相比實現(xiàn)了一定的創(chuàng)新，可對電子證據(jù)的保全需求予以滿足。為了進(jìn)一步保證證據(jù)防篡改與保全服務(wù)的安全性與可靠性，相關(guān)人員在今后需加強(qiáng)將系統(tǒng)服務(wù)器部署至Linux環(huán)境中的研究。

[參考文獻(xiàn)]

[1]周榮.計算機(jī)取證系統(tǒng)中的電子證據(jù)防篡改研究[D].成都：電子科技大學(xué)，2009.

[2]張士斌，張廳鋒，王世元，等電子證據(jù)收集與還原系統(tǒng)的設(shè)計與實現(xiàn)[J].信息網(wǎng)絡(luò)安全，2013（8）：5-9.endprint