基于物聯(lián)網(wǎng)的電子取證研究

◆徐達

（湖南省公安廳刑偵總隊 湖南 410000）

信息化程度越高，電子數(shù)據(jù)將越多，電子取證發(fā)展會有更大潛力，同時對電子物證檢驗能力要求越高。信息新技術的應用都將對電子物證檢驗能力提出新的挑戰(zhàn)，物聯(lián)網(wǎng)技術將人、物無差別組網(wǎng)，帶來數(shù)據(jù)量呈爆炸型增長，現(xiàn)有電子物證檢驗技術能力并不完全匹配信息技術的發(fā)展。分析基于物聯(lián)網(wǎng)技術帶來的安全風險，比較現(xiàn)有云環(huán)境下電子物證檢驗技術的優(yōu)劣勢，要提升基于物聯(lián)網(wǎng)電子物證檢驗能力主要在于電子物證檢驗技術能力和流程規(guī)范兩個方面。基于物聯(lián)網(wǎng)電子物證檢驗要實現(xiàn)“案件中檢得出、法庭上信得過”的目標，要善于創(chuàng)新、使用新技術，更要嚴格遵守電子物證檢驗的工作流程。

1 物聯(lián)網(wǎng)技術與風險分析

物聯(lián)網(wǎng)是指將各種傳感器與互聯(lián)網(wǎng)相連接起來而構成一個巨大的網(wǎng)絡。物聯(lián)網(wǎng)要實現(xiàn)物與物之間聯(lián)系的目標，成為一個真正意義上的有效的物聯(lián)網(wǎng)，文獻[1]提到有兩個重要因素：一是規(guī)模性，在一定規(guī)模下才能發(fā)揮智能的作用；二是流動性，實現(xiàn)物在運動狀態(tài)下隨時的對話?，F(xiàn)階段最具有代表性的物聯(lián)網(wǎng)體系架構是EPC Global，該系統(tǒng)核心構成為EPC編碼體系、射頻識別系統(tǒng)和信息網(wǎng)絡系統(tǒng)三部分。從物聯(lián)網(wǎng)的體系架構分析可知，物聯(lián)網(wǎng)技術必須依托大數(shù)據(jù)技術、人工智能和云計算等技術，而技術的集成相應也帶來了安全威脅的集中，因此物聯(lián)網(wǎng)技術面臨的挑戰(zhàn)前所未有。實現(xiàn)物與物之間連接，將原本較為封閉的網(wǎng)絡，變得更為開放，因此物聯(lián)網(wǎng)將更容易面臨信息泄露、信息篡改、偽造、冒名頂替、服務欺騙、病毒木馬等威脅。通過物聯(lián)網(wǎng)實現(xiàn)的違法犯罪活動，其證據(jù)的主要存在形式將以電子數(shù)據(jù)的形式存在，加強對物聯(lián)網(wǎng)的電子取證已經(jīng)迫在眉睫。

2 物聯(lián)網(wǎng)下電子取證挑戰(zhàn)

電子物證檢驗技術是信息時代公安機關的一項重要基礎技術，是打擊涉及網(wǎng)絡各類違法犯罪的撒手锏。電子物證檢驗已經(jīng)在偵辦案件中廣泛應用，從大量案件來看，電子物證在案件的偵辦過程中有著無可替代的位置。傳統(tǒng)電子取證的基本步驟包括收集犯罪現(xiàn)場的電子設備，保存電子設備的內容，經(jīng)證明、分析、解釋形成報告并在法庭上展示結果。隨著大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)等技術的興起，傳統(tǒng)電子物證檢驗技術主要業(yè)務諸如在電子物證提取與固定、現(xiàn)場保護、易失數(shù)據(jù)提取、數(shù)據(jù)恢復、數(shù)據(jù)檢索、即時通訊檢驗、手機檢驗和視頻設備檢驗等技術都面臨巨大的挑戰(zhàn)。物聯(lián)網(wǎng)取證過程主要挑戰(zhàn)來源有兩個方面：一方面是物聯(lián)網(wǎng)中涉案高價值電子數(shù)據(jù)的獲取，另一方面是物聯(lián)網(wǎng)技術下電子物證的法律可靠性。在電子物證獲取的挑戰(zhàn)方面主要為：（1）物聯(lián)網(wǎng)技術加強物與物、物與人之間的聯(lián)系，在各節(jié)點進行通訊必將產(chǎn)生海量數(shù)據(jù)，證據(jù)發(fā)現(xiàn)難、定位難的問題給高價值涉案電子數(shù)據(jù)的固定、提取和數(shù)據(jù)檢索、電子物證檢驗帶來巨量冗余工作；[2]（2）物聯(lián)網(wǎng)涉及繁雜的物、人等之間聯(lián)系，高強度的流動性給電子物證檢驗的現(xiàn)場保護、電子物證固定與提取造成極大壓力；（3）物聯(lián)網(wǎng)之間不再是單純的通訊設備間關系，將涉及更多物，各類物之間異構數(shù)據(jù)、內置設備差異都將給電子物證檢驗帶來挑戰(zhàn)；（4）物聯(lián)網(wǎng)中多用戶信息間高強度的關聯(lián)，如何在保證其他用戶隱私的前提下提取完整的電子數(shù)據(jù)、形成證據(jù)鏈也是現(xiàn)階段面臨的一大挑戰(zhàn)。在電子數(shù)據(jù)法律的可靠性方面主要為：（1）物聯(lián)網(wǎng)電子數(shù)據(jù)在重構案件過程中覆蓋面廣、涉及度深，信息溯源和案件重構具有一定難度，容易出現(xiàn)證據(jù)鏈環(huán)節(jié)的缺失，而導致電子數(shù)據(jù)證據(jù)的不可信；（2）在大量的刑事案件中，電子數(shù)據(jù)作為證據(jù)在刑事訴訟過程中要堅持以審判為中心，遵守嚴格的程序原則和相關技術標準，電子物證檢驗在刑事訴訟過程中違背程序性將直接導致電子物證不可信[3]。

物聯(lián)網(wǎng)電子物證檢驗技術上的瓶頸和法庭對電子數(shù)據(jù)的收集、提取、勘察、保管、鑒定等更高的要求，促使基于物聯(lián)網(wǎng)的電子物證需要統(tǒng)一規(guī)范的電子物證檢驗標準和合理檢驗流程。近幾年，針對電子物證取證的發(fā)展形勢，國內外許多學者提出了許多對未來電子物證檢驗技術發(fā)展具有建設性意見和技術。Hirano等人[4]提出一種名為LogDrive的框架，通過虛擬塊設備主動收集數(shù)據(jù)，來監(jiān)測云環(huán)境中數(shù)據(jù)異常，采取虛擬存儲的日志記錄方式來記錄證據(jù)，并以時間序列的調查方式來呈現(xiàn)被覆蓋或刪除的證據(jù)文件。Kao等人[5]基于時間戳建立時間序列表記錄異常行為，提出一種可訪問修改CAM（created-accessed-modified）模型來提高電子證據(jù)分析的有效性。Jin Li等人[6]提出了一種基于群簽名和屬性簽名技術來對云環(huán)境中敏感文檔保密、來源記錄不可偽造、匿名云服務器的身份驗證，從而能為后續(xù)電子物證檢驗提供保障。丁麗萍等人[7]提出一種主動式從云中抓取數(shù)據(jù)的ICFF架構來提前預警分析的取證方式來對云環(huán)境進行電子取證。林青山等人[8]提出了一種基于物聯(lián)網(wǎng)的云端取證技術體系架構，通過建成基于小物聯(lián)傳輸網(wǎng)絡環(huán)境的遠程取證裝置以及取證分析中心來對物聯(lián)網(wǎng)環(huán)境下數(shù)據(jù)進行取證分析。王丹琛等人[9]結合木馬技術提出了基于業(yè)務用戶行為的計算機動態(tài)取證評估模型，構建基于云模型的業(yè)務用戶行為定量評估方法，隱蔽地記錄用戶行為并將獲取的信息反饋給取證控制端。黃曉芳等人[10]提出一種基于Merkle Tree的證據(jù)保全及改進的共識算法來實現(xiàn)云計算環(huán)境下的去中心化電子取證，用以防止任何參與方（包括取證調查者、云服務提供商、用戶等）對取證信息的共謀篡改。綜上研究發(fā)現(xiàn)，國內與云環(huán)境、物聯(lián)網(wǎng)取證相關的研究主要集中在虛擬機取證、虛擬機遷移技術、虛擬身份追蹤等方面，基于物聯(lián)網(wǎng)的電子取證技術從服務端獲取數(shù)據(jù)的方式較為普遍，鮮有從客戶端入手的取證方式，這也是物聯(lián)網(wǎng)高流動性、服務端數(shù)據(jù)遠多于客戶端等客觀原因造成的。

3 基于物聯(lián)網(wǎng)電子取證技術

基于物聯(lián)網(wǎng)的電子物證檢驗主要從兩個方面開展，一方面是通過提取物端的數(shù)據(jù)，從而逐步關聯(lián)更多數(shù)據(jù)，另一方面是從云端海量數(shù)據(jù)中通過技術手段提取相關數(shù)據(jù)。從云端獲取數(shù)據(jù)可通過在云服務端設計方案事前記錄方式并提供接口給取證人員完成物聯(lián)網(wǎng)的電子取證，也可通過物端提取用戶的日志、數(shù)據(jù)、痕跡等數(shù)據(jù)的方式來相互關聯(lián)來重構用戶行為時間線，進而分析用戶的數(shù)據(jù)操作行為規(guī)律?，F(xiàn)階段，電子物證檢驗的基礎技術包括：電子物證提取與固定、現(xiàn)場保全、易失性數(shù)據(jù)提取、數(shù)據(jù)恢復、數(shù)據(jù)搜索、文件一致性檢驗、時間屬性檢驗、上網(wǎng)記錄檢驗、即時通訊檢驗、手機檢驗、視頻監(jiān)控設備檢驗、介質數(shù)據(jù)擦除等。面對日益更新的技術，基于物聯(lián)網(wǎng)的電子取證不但是需要技術的更新，還需要一個嚴格的基于物聯(lián)網(wǎng)的取證流程。如圖1所示，基于物聯(lián)網(wǎng)的電子物證檢驗主要分為四個步驟：數(shù)據(jù)收集、數(shù)據(jù)檢驗、證據(jù)分析和檢驗報告。收集是指從物聯(lián)網(wǎng)中將相關數(shù)據(jù)集中提取，提取對象不限于數(shù)據(jù)中心、智能汽車端、PC、建筑等智能終端；檢驗是指通過專業(yè)設備對采集的數(shù)據(jù)進行檢驗，將數(shù)據(jù)直觀展現(xiàn)；分析是指通過專業(yè)人員對所檢出的數(shù)據(jù)進行研判、篩選重要信息；報告是物聯(lián)網(wǎng)電子物證檢驗技術的最終環(huán)節(jié)，將電子數(shù)據(jù)形成具有法律效力的鑒定文書。

圖1 基于物聯(lián)網(wǎng)的電子取證步驟

當前信息技術的高速發(fā)展，對電子物證檢驗能力提出了新的要求和挑戰(zhàn)，以現(xiàn)有的電子物證取證技術來從物聯(lián)網(wǎng)中快速完成電子物證檢驗明顯不能勝任，通過分布式計算智能分配負載，搭建高效的取證架構是未來電子物證檢驗的一個發(fā)展趨勢。搭建分布式取證架構也符合當前省、市、縣電子物證檢驗能力分三級建設中“省級做精做專、地市做大做強、區(qū)縣做專做實”的目標。電子物證檢驗最根本的目的是將電子數(shù)據(jù)轉化成為證據(jù)，不論是從云端采取的事前取證，還是從易提取存儲介質或客戶端提取的數(shù)據(jù)信息，都需要對用戶行為進行行為重構，為用戶的行為的認定提供有力的依據(jù)。一方面物聯(lián)網(wǎng)電子取證涉及方眾多，彼此間利益不一，有可能致使服務商、外部攻擊者合謀篡改數(shù)據(jù)等問題，另一方面物聯(lián)網(wǎng)中數(shù)據(jù)量大且格式眾多，電子物證檢驗所涉及的數(shù)據(jù)量遠多于傳統(tǒng)數(shù)字取證，在格式雜亂、海量數(shù)據(jù)中容易發(fā)生數(shù)據(jù)丟失、篡改等問題從而導致證據(jù)不可信。由文獻[11-15]可知，刑事訴訟過程中也更加注重證據(jù)形成的程序性，基于物聯(lián)網(wǎng)的電子取證需要嚴格的取證流程，因此提出圖2所示基于物聯(lián)網(wǎng)的電子取證流程。

圖2 基于物聯(lián)網(wǎng)的電子取證流程

基于物聯(lián)網(wǎng)的電子數(shù)據(jù)要經(jīng)過分析、識別、證據(jù)分類、證據(jù)比較、證據(jù)定位等環(huán)節(jié)將相關的違法犯罪行為進行重構，從法律意義上認定其行為具有犯罪行為后才能將所取得的電子數(shù)據(jù)認定成證據(jù)。物聯(lián)網(wǎng)中電子數(shù)據(jù)轉變成證據(jù)的過程中，首先數(shù)據(jù)的固定需要將從物聯(lián)網(wǎng)取得的相關電子數(shù)據(jù)，在安全的條件下進行存儲、固定，再通過專業(yè)分析技術手段對已固定好的數(shù)據(jù)進行分析。通過分析后，能夠從固定的數(shù)據(jù)中識別到涉案電子數(shù)據(jù)，在此基礎上對已識別的數(shù)據(jù)初步預判相關電子數(shù)據(jù)所屬證據(jù)類別，然后通過比較和定位將犯罪嫌疑人的犯罪行為進行重構。當行為重構成功，能夠認定犯罪行為，相關的電子數(shù)據(jù)才具備法律效力，若在過程重構過程中，相關電子數(shù)據(jù)不具有法律效力或重構犯罪行為過程中證據(jù)鏈缺失，則應當重新進行證據(jù)識別過程。從整個物聯(lián)網(wǎng)的電子取證流程中可發(fā)現(xiàn)，取得數(shù)據(jù)是物理網(wǎng)電子取證的基礎環(huán)節(jié)，在此環(huán)節(jié)中需要將工作做扎實，保證取得的電子數(shù)據(jù)覆蓋面廣、縱橫深。在整個取證流程中，由于電子數(shù)據(jù)具有脆弱性、易失性、多態(tài)性、復合性等特點，要保證其合法性、及時性、準確性、環(huán)境安全性就必須嚴格遵守取證流程。

4 結語

電子物證檢驗技術雖然是一項新型刑事科學技術，但電子物證檢驗技術發(fā)展的勢頭越來越好、地位越來越重要。在不久的將來，物聯(lián)網(wǎng)技術真正將人、物之間組網(wǎng)，電子數(shù)據(jù)量將呈現(xiàn)爆炸型增長，對物聯(lián)網(wǎng)電子物證檢驗的挑戰(zhàn)將越來越多。大力提倡科學謀劃、創(chuàng)新技術、規(guī)范流程對基于物聯(lián)網(wǎng)電子物證取證發(fā)展大有益處，刑事科學技術要有啃最硬的骨頭的勇氣，挑最重擔子的擔當，謀求電子物證檢驗在5G時代取得更大的進步。