物聯(lián)網(wǎng)取證綜述

2022-04-21 05:11:38梁廣俊辛建芳倪雪莉郭向民夏玲玲

計(jì)算機(jī)工程與應(yīng)用 2022年8期

關(guān)鍵詞：設(shè)備模型

梁廣俊，辛建芳，王群，倪雪莉，4，郭向民，5，夏玲玲

1.江蘇警官學(xué)院計(jì)算機(jī)信息與網(wǎng)絡(luò)安全系，南京 210031

2.南京郵電大學(xué) 射頻集成與微組裝技術(shù)國(guó)家地方聯(lián)合工程實(shí)驗(yàn)室，南京 210003

3.南京鐵道職業(yè)技術(shù)學(xué)院智能工程學(xué)院，南京 210031

4.江蘇省電子數(shù)據(jù)取證分析工程研究中心，南京 210031

5.江蘇省公安廳數(shù)字取證重點(diǎn)實(shí)驗(yàn)室，南京 210031

隨著物聯(lián)網(wǎng)（Internet of Things，IoT）已滲透到人們的日常生活中，人們?cè)絹?lái)越依賴各種智能IoT服務(wù)。海量的IoT設(shè)備保留了豐富的數(shù)字痕跡，這對(duì)于數(shù)字取證具有重要意義[1]。另一方面，涉及IoT設(shè)備或服務(wù)的各類民事和刑事案件數(shù)量均在增加。物聯(lián)網(wǎng)設(shè)備不僅可以成為攻擊的目標(biāo)，而且可以成為犯罪的工具。因此，迫切需要進(jìn)行物聯(lián)網(wǎng)取證研究，以幫助確定案件的人員、地點(diǎn)、時(shí)間和方式。

近年來(lái)，全球物聯(lián)網(wǎng)行業(yè)仍保持高速增長(zhǎng)，物聯(lián)網(wǎng)領(lǐng)域仍具備巨大的發(fā)展空間。Cisco公司預(yù)測(cè)，到2030年，全球?qū)⒂? 000億個(gè)物聯(lián)網(wǎng)對(duì)象連接和鏈接到Internet。物聯(lián)網(wǎng)設(shè)備與全球數(shù)以億計(jì)的其他設(shè)備交換數(shù)據(jù)，這種開(kāi)放式大規(guī)模通信方式，特別容易受到具有非法意圖的用戶訪問(wèn)，從而遭受攻擊。同時(shí)，網(wǎng)絡(luò)犯罪已成為全球第二大報(bào)告的犯罪[2]。物聯(lián)網(wǎng)系統(tǒng)似乎很容易成為攻擊者的目標(biāo)，主要是因?yàn)橹圃煳锫?lián)網(wǎng)設(shè)備時(shí)，制造商通常將重點(diǎn)放在成本、外形和可用性上，而忽視了安全性。

物聯(lián)網(wǎng)取證是指以具有法律約束力的方式在物聯(lián)網(wǎng)設(shè)備內(nèi)收集、分析、存儲(chǔ)和提供數(shù)字證據(jù)的過(guò)程。與傳統(tǒng)的計(jì)算機(jī)和智能手機(jī)取證不同，物聯(lián)網(wǎng)取證特別要保持證據(jù)的可追溯性、完整性和出處。但是，資源受限的物聯(lián)網(wǎng)設(shè)備可能難以實(shí)現(xiàn)這些目標(biāo)。例如，內(nèi)存不足可能會(huì)導(dǎo)致數(shù)據(jù)頻繁更改或覆蓋。此外，某些設(shè)備可能僅在本地連接，并且缺乏將證據(jù)迅速轉(zhuǎn)移給研究人員的能力。

近年來(lái)，物聯(lián)網(wǎng)取證逐漸引起學(xué)術(shù)界的關(guān)注，早在2009年，黃芹華等[3]在《計(jì)算機(jī)工程與應(yīng)用》期刊發(fā)表《手機(jī)及小型手持?jǐn)?shù)字設(shè)備數(shù)字取證研究綜述》一文，引發(fā)國(guó)人對(duì)數(shù)字取證領(lǐng)域的關(guān)注。2012年，程琳[4]在《中國(guó)人民公安大學(xué)學(xué)報(bào)》發(fā)表《加強(qiáng)計(jì)算機(jī)數(shù)字取證研究提高數(shù)字化犯罪偵查能力》，凸顯數(shù)字取證對(duì)公安機(jī)關(guān)打擊數(shù)字化犯罪的重要性。2015年，丁麗萍等[5]發(fā)表《移動(dòng)數(shù)字取證技術(shù)》，重點(diǎn)研究以智能手機(jī)為代表的數(shù)字終端的取證技術(shù)。張笑魯[6]和黃澤民[7]針對(duì)Android移動(dòng)設(shè)備為目標(biāo)研究數(shù)字取證方法。文獻(xiàn)[6]提出一個(gè)Android移動(dòng)設(shè)備取證的新框架，將取證過(guò)程劃分階段，給出根據(jù)所獲取設(shè)備的狀態(tài)選擇數(shù)據(jù)轉(zhuǎn)儲(chǔ)方法的取證方法。文獻(xiàn)[7]對(duì)Android手機(jī)數(shù)據(jù)采集技術(shù)進(jìn)行了深入研究，包括邏輯獲取、臨時(shí)Root獲取、JTAG獲取、ISP獲取，從數(shù)據(jù)采集、數(shù)據(jù)分析、數(shù)據(jù)存儲(chǔ)三個(gè)角度出發(fā)設(shè)計(jì)實(shí)現(xiàn)電子商務(wù)類應(yīng)用程序的取證。蘇芊[8]和許正達(dá)[9]針對(duì)iOS移動(dòng)設(shè)備為目標(biāo)研究數(shù)字取證方法。文獻(xiàn)[8]研究實(shí)現(xiàn)了iOS設(shè)備N(xiāo)AND閃存芯片上的原始數(shù)據(jù)鏡像提取，實(shí)現(xiàn)了基于NAND原始數(shù)據(jù)鏡像的數(shù)據(jù)恢復(fù)，關(guān)鍵文件的提取解析和真實(shí)性鑒定，并通過(guò)實(shí)驗(yàn)對(duì)iOS設(shè)備數(shù)據(jù)恢復(fù)率的影響因素做了研究和分析。文獻(xiàn)[9]對(duì)于iSO設(shè)備關(guān)鍵數(shù)據(jù)進(jìn)行分析，利用加權(quán)樸素貝葉斯模型設(shè)計(jì)一種分類算法，對(duì)手機(jī)數(shù)據(jù)中的聯(lián)系人按照親密度進(jìn)行分類，為司法部分提供幫助。2020年，李萌等[10]發(fā)表《基于區(qū)塊鏈的安全車(chē)聯(lián)網(wǎng)數(shù)字取證系統(tǒng)》，初步探討了物聯(lián)網(wǎng)時(shí)代下基于區(qū)塊鏈技術(shù)的智能網(wǎng)聯(lián)汽車(chē)的取證場(chǎng)景。2020年IEEE頂級(jí)期刊IEEE Internet of Things Journal和IEEE Communications Surveys&Tutorials分別發(fā)表長(zhǎng)篇綜述論文，國(guó)內(nèi)這方面尚屬空白。發(fā)表于期刊IEEE Internet of Things Journal上的論文A Survey on Digital Forensics in Internet of Things，從物聯(lián)網(wǎng)對(duì)數(shù)字取證的影響入手，凝練時(shí)間、空間和技術(shù)三個(gè)維度對(duì)物聯(lián)網(wǎng)中的數(shù)字取證進(jìn)行了系統(tǒng)的概括，重點(diǎn)分析了2010年到2018年的相關(guān)學(xué)術(shù)成果，但是缺乏最近3年的研究成果分析，也沒(méi)有針對(duì)物聯(lián)網(wǎng)取證模型的深入研究。發(fā)表于期刊IEEE Communications Surveys&Tutorials上的論文A Survey on the Internet of Things（IoT）Forensics：Challenges，Approaches and Open Issues，探討了基于物聯(lián)網(wǎng)的調(diào)查取證涉及的法律、隱私保護(hù)和云安全等問(wèn)題，并對(duì)物聯(lián)網(wǎng)取證的挑戰(zhàn)做出展望。但是缺乏對(duì)物聯(lián)網(wǎng)取證文獻(xiàn)的系統(tǒng)梳理，也沒(méi)有針對(duì)物聯(lián)網(wǎng)取證模型展開(kāi)深入研究。

為了填補(bǔ)國(guó)內(nèi)關(guān)于物聯(lián)網(wǎng)取證綜述的空白，同時(shí)針對(duì)2020年的2篇國(guó)外綜述文獻(xiàn)的不足，本文從數(shù)字取證以及物聯(lián)網(wǎng)對(duì)數(shù)字取證的影響入手，討論數(shù)字取證和物聯(lián)網(wǎng)取證的關(guān)系，引出物聯(lián)網(wǎng)取證的定義，通過(guò)一個(gè)物聯(lián)網(wǎng)取證的實(shí)例，進(jìn)一步指出物聯(lián)網(wǎng)取證的必要性。在充分梳理、對(duì)比分析2013年到2021年的相關(guān)文獻(xiàn)的基礎(chǔ)上，總結(jié)歸納了物聯(lián)網(wǎng)取證模型及其關(guān)鍵技術(shù)，最后針對(duì)物聯(lián)網(wǎng)取證標(biāo)準(zhǔn)化、證據(jù)效用、隱私保護(hù)等問(wèn)題進(jìn)行初步探討，指出將來(lái)的機(jī)遇與挑戰(zhàn)。

1 物聯(lián)網(wǎng)取證的興起

1.1 數(shù)字取證概述

數(shù)字取證旨在通過(guò)發(fā)現(xiàn)和分析與事件相關(guān)的事實(shí)，更好地了解事件[11]。數(shù)字取證調(diào)查人員通過(guò)發(fā)現(xiàn)和暴露遺留在數(shù)字系統(tǒng)上的事件的殘余（腳印或文物）來(lái)揭示事件的真相。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院建議將數(shù)字法證調(diào)查過(guò)程分為四個(gè)連續(xù)（或必要時(shí)迭代）階段，即收集、檢查、分析和報(bào)告[12]。盡管不同的證據(jù)來(lái)源可能需要不同的方法和產(chǎn)生不同證據(jù)類型，但物聯(lián)網(wǎng)環(huán)境中的數(shù)字取證仍需要在此過(guò)程中進(jìn)行，以支持證據(jù)在法律處理中的可采性。

作為傳統(tǒng)取證學(xué)的一個(gè)分支，數(shù)字取證（digital forensic，DF）學(xué)科涉及電子數(shù)據(jù)的發(fā)現(xiàn)和解釋，DF專業(yè)人員處理在各種類型的電子設(shè)備上發(fā)現(xiàn)的數(shù)字證據(jù)并進(jìn)行識(shí)別、收集、恢復(fù)、分析和保存[13]。連續(xù)執(zhí)行所有上述步驟便構(gòu)成了取證調(diào)查生命周期[14-15]。盡管不同學(xué)者將調(diào)查周期劃分為不同階段的方式有所不同，但絕不應(yīng)錯(cuò)過(guò)一個(gè)重要的細(xì)節(jié)：整個(gè)周期應(yīng)使用經(jīng)過(guò)驗(yàn)證的工具和科學(xué)證明的方法來(lái)執(zhí)行[16]。如今，有了基于嵌入式技術(shù)的新平臺(tái)，DF研究人員開(kāi)發(fā)并驗(yàn)證了新工具，以便與時(shí)俱進(jìn)，并確保準(zhǔn)確，及時(shí)地提取數(shù)據(jù)[17]。如圖1所示，美國(guó)司法部的《電子犯罪現(xiàn)場(chǎng)調(diào)查：第一響應(yīng)指南》中將數(shù)字取證調(diào)查分成7個(gè)領(lǐng)域/范疇[18]。

圖1 數(shù)字取證調(diào)查分成的7個(gè)領(lǐng)域/范疇Fig.1 7 areas/categories divided into digital forensic investigations

1.2 物聯(lián)網(wǎng)取證對(duì)數(shù)字取證的影響

物聯(lián)網(wǎng)使越來(lái)越多的設(shè)備保持“在線”狀態(tài)，提供各種與人們生活息息相關(guān)的智能服務(wù)（如智能城市、醫(yī)療保健和智能家居）。如圖2所示的是物聯(lián)網(wǎng)的基本特征對(duì)數(shù)字取證的影響。

圖2 物聯(lián)網(wǎng)對(duì)數(shù)字取證的影響Fig.2 Impact of Internet of Things on digital forensics

（1）無(wú)所不在的感知。單獨(dú)的數(shù)字設(shè)備借助其內(nèi)置的傳感器，可以感知周邊環(huán)境。物聯(lián)網(wǎng)設(shè)備具有萬(wàn)物互聯(lián)的特性，普遍存在的海量物聯(lián)網(wǎng)設(shè)備構(gòu)建成無(wú)所不在的感知能力，它們包含與所有者及其環(huán)境中其他設(shè)備的行為密切相關(guān)的潛在證據(jù)[19]。物聯(lián)網(wǎng)中更多的證據(jù)來(lái)源和細(xì)粒度的感知有助于重構(gòu)案例的背景，這也產(chǎn)生了大量需要處理的取證數(shù)據(jù)。

（2）動(dòng)態(tài)變化的網(wǎng)絡(luò)。物聯(lián)網(wǎng)涵蓋海量的數(shù)字設(shè)備，其狀態(tài)動(dòng)態(tài)變化，設(shè)備可以自動(dòng)或隨用戶移動(dòng)加入或離開(kāi)網(wǎng)絡(luò)。由于這種時(shí)空變化特性，網(wǎng)絡(luò)拓?fù)鋾?huì)動(dòng)態(tài)變化，網(wǎng)絡(luò)邊界變得模糊，這將使識(shí)別證據(jù)的邊界更加困難[20]。物聯(lián)網(wǎng)的動(dòng)態(tài)變化特性對(duì)時(shí)間取證提出更高要求，例如修改時(shí)間、訪問(wèn)時(shí)間和創(chuàng)建時(shí)間，它們可以幫助人們更好地梳理證據(jù)鏈。

（3）自動(dòng)化執(zhí)行。物聯(lián)網(wǎng)設(shè)備之間存在實(shí)時(shí)和自動(dòng)化交互，以促進(jìn)不同物聯(lián)網(wǎng)應(yīng)用之間的協(xié)作[21]。設(shè)備可以根據(jù)來(lái)自周?chē)h(huán)境或其他實(shí)體的信息自動(dòng)運(yùn)行，從而減少了人為干預(yù)。在自動(dòng)化系統(tǒng)中，存在控制行為和責(zé)任的問(wèn)題，而交互作用的增加使得通過(guò)一系列不同的設(shè)備追溯事件變得異常復(fù)雜。

（4）受限的設(shè)備資源。以智能手機(jī)和筆記本為代表的數(shù)字設(shè)備，本地存儲(chǔ)資源和計(jì)算資源都比較豐富。然而大多數(shù)物聯(lián)網(wǎng)設(shè)備的資源有限，由于存儲(chǔ)空間小，數(shù)據(jù)在被最新數(shù)據(jù)覆蓋之前可能具有較短的生存期，通常會(huì)發(fā)送到云或其他數(shù)據(jù)中心，從而增加了物聯(lián)網(wǎng)設(shè)備的取證難度。絕大多數(shù)物聯(lián)網(wǎng)設(shè)備都會(huì)配備手機(jī)APP應(yīng)用，因此手機(jī)APP取證是首選，但是一旦不能獲得手機(jī)，那就需要直接從物聯(lián)網(wǎng)設(shè)備或者云端取證。另一方面，這些資源受限的設(shè)備可能沒(méi)有足夠的安全保證，因此惡意用戶可能會(huì)輕易地修改或銷(xiāo)毀設(shè)備上的日志和相關(guān)數(shù)據(jù)[22]。

（5）高度異構(gòu)。物聯(lián)網(wǎng)設(shè)備是多種數(shù)字設(shè)備的集合，基于不同的硬件、軟件和網(wǎng)絡(luò)，具有多種協(xié)議、多種數(shù)據(jù)格式和專有接口。這種高度的異構(gòu)特性會(huì)對(duì)物聯(lián)網(wǎng)取證造成很多困擾，數(shù)據(jù)類型可能會(huì)因供應(yīng)商特定格式而異。異構(gòu)的物聯(lián)網(wǎng)設(shè)備可能需要不同工具或方法用于數(shù)據(jù)收集、檢查和分析，這需要取證人員付出更多的努力。目前的取證工具可能無(wú)法處理較新的物聯(lián)網(wǎng)設(shè)備所產(chǎn)生的證據(jù)，因此需要新的工具。新工具在使用前應(yīng)進(jìn)行適當(dāng)?shù)臏y(cè)試和評(píng)估[23]，因?yàn)椴豢煽康墓ぞ呖赡軙?huì)導(dǎo)致不確定性和損失，并影響證據(jù)的正確性甚至最終結(jié)論。

（6）特殊的安全特性。物聯(lián)網(wǎng)彌合了網(wǎng)絡(luò)世界與物理世界之間的鴻溝，網(wǎng)絡(luò)世界中的安全威脅可以給現(xiàn)實(shí)世界帶來(lái)安全威脅，反之亦然[24]。物聯(lián)網(wǎng)使人們能夠與各種智能設(shè)備進(jìn)行通信，并將其連接到網(wǎng)絡(luò)，這可能會(huì)導(dǎo)致更為廣泛的攻擊面同時(shí)增加取證的復(fù)雜性。此外，由于網(wǎng)絡(luò)世界和物理世界的集成，在物聯(lián)網(wǎng)設(shè)備上的不安全和不安全的操作可能會(huì)導(dǎo)致服務(wù)的真正損失，甚至生命損失。越來(lái)越需要取證來(lái)重建安全/安全事件或?qū)ξ锫?lián)網(wǎng)系統(tǒng)中的操作問(wèn)題進(jìn)行故障排除。

2 物聯(lián)網(wǎng)取證概述

2.1 物聯(lián)網(wǎng)取證的定義

盡管DF學(xué)科在學(xué)術(shù)界和工業(yè)界都已存在很長(zhǎng)時(shí)間，但I(xiàn)oT取證是一個(gè)相對(duì)較新且尚未探索的領(lǐng)域，物聯(lián)網(wǎng)取證可以看作是數(shù)字取證在萬(wàn)物互聯(lián)時(shí)代的一種拓展。物聯(lián)網(wǎng)取證的目的類似于數(shù)字取證的，即以合法且具有法律鑒識(shí)力的方式識(shí)別和提取物聯(lián)網(wǎng)設(shè)備的信息。除了從特定的物聯(lián)網(wǎng)設(shè)備或傳感器中，取證數(shù)據(jù)還可以從內(nèi)部網(wǎng)絡(luò)（例如防火墻或路由器）或云中收集[25]。2015年，Zawoad和Hasan第一次正式給出物聯(lián)網(wǎng)取證的架構(gòu)，并完善了Edewede Oriwoh的1-2-3區(qū)域方法模型，首次明確提出物聯(lián)網(wǎng)取證是三種數(shù)字取證方案的組合：設(shè)備級(jí)取證、網(wǎng)絡(luò)取證和云取證，如圖3所示。

圖3 物聯(lián)網(wǎng)取證架構(gòu)Fig.3 Internet of Things forensics architecture

物聯(lián)網(wǎng)取證是一個(gè)司法層面的概念，是傳統(tǒng)取證科學(xué)的一個(gè)分支，是電子數(shù)據(jù)取證在物聯(lián)網(wǎng)終端上的延展，隸屬刑事科學(xué)技術(shù)下物證鑒定。具體講，物聯(lián)網(wǎng)取證是指具備資質(zhì)的專業(yè)人員運(yùn)用計(jì)算機(jī)和通信等學(xué)科的專業(yè)技術(shù)，按照法律法規(guī)的程序發(fā)現(xiàn)、固定、提取、分析、檢驗(yàn)、記錄和展示物聯(lián)網(wǎng)終端中存儲(chǔ)的電子證據(jù)，找出與案件事實(shí)之間的客觀關(guān)系，確定其證明力并提供鑒定意見(jiàn)的活動(dòng)。簡(jiǎn)單而言，物聯(lián)網(wǎng)取證是將計(jì)算機(jī)和通信技術(shù)運(yùn)用到物聯(lián)網(wǎng)設(shè)備上，分析、再現(xiàn)犯罪行為和過(guò)程，搜尋罪犯及犯罪證據(jù)[26]。

在證據(jù)來(lái)源方面，可以看到數(shù)字取證和物聯(lián)網(wǎng)取證之間的根本區(qū)別。與傳統(tǒng)的DF不同，后者通常檢查的對(duì)象是計(jì)算機(jī)、智能手機(jī)、平板電腦、服務(wù)器或網(wǎng)關(guān)等設(shè)備，而IoT取證中的證據(jù)來(lái)源可能更為廣泛，包括智慧家居的各種智能電器、智慧交通的車(chē)載系統(tǒng)等、智能穿戴的各種智能終端，甚至是人類和動(dòng)物身上的醫(yī)療植入物。

2.2 數(shù)字取證和物聯(lián)網(wǎng)取證的關(guān)系

物聯(lián)網(wǎng)拓展了人們身邊事物的維度，包括設(shè)備數(shù)量、種類以及由此衍生出的新的DF視角，這些維度將影響DF的常規(guī)做法，物聯(lián)網(wǎng)中的取證可能會(huì)在以下方面與傳統(tǒng)取證有所不同。表1重點(diǎn)討論了這些差異。

表1 物聯(lián)網(wǎng)取證VS.傳統(tǒng)的數(shù)字取證Table 1 IoT forensics VS.traditional digital forensics

（1）證據(jù)源。基于物聯(lián)網(wǎng)犯罪現(xiàn)場(chǎng)的證據(jù)收集將面對(duì)更多的證據(jù)來(lái)源。除了典型的數(shù)字設(shè)備，如臺(tái)式機(jī)電腦、筆記本、手機(jī)和優(yōu)盤(pán)等，像智能電器這樣的設(shè)備也會(huì)成為取證關(guān)注的對(duì)象，如智能電視、智能門(mén)鎖和智能攝像頭等。這種物聯(lián)網(wǎng)設(shè)備類型的差異將為物聯(lián)網(wǎng)取證帶來(lái)有趣的挑戰(zhàn)。文獻(xiàn)[27]提出一個(gè)用于實(shí)體識(shí)別和開(kāi)源信息聚合的框架，對(duì)現(xiàn)實(shí)世界海量數(shù)據(jù)進(jìn)行取證分析。文獻(xiàn)[28]提出一種記錄數(shù)據(jù)對(duì)象所有權(quán)和過(guò)程歷史的安全來(lái)源方法，嘗試解決隱私保護(hù)云環(huán)境中數(shù)據(jù)取證的困境。

（2）設(shè)備數(shù)量。從互聯(lián)的角度來(lái)看，對(duì)于DF，焦點(diǎn)從一些設(shè)備開(kāi)始，典型的是臺(tái)式電腦，然后擴(kuò)展到桌上的設(shè)備和其他感興趣的物品，如USB驅(qū)動(dòng)器、外置硬盤(pán)驅(qū)動(dòng)器和移動(dòng)計(jì)算設(shè)備，如平板電腦和電子書(shū)閱讀器。對(duì)于IoTF，因?yàn)榛ヂ?lián)太過(guò)復(fù)雜，設(shè)備的重要性差異并不明顯，所以通常找不到固定的焦點(diǎn)設(shè)備入手。針對(duì)海量互聯(lián)的物聯(lián)網(wǎng)設(shè)備，如何快速準(zhǔn)確地分析，是一個(gè)非常有價(jià)值的研究課題。

（3）證據(jù)類型和數(shù)據(jù)大小。海量物聯(lián)網(wǎng)的信息交互會(huì)產(chǎn)生“數(shù)據(jù)爆炸”，Coetzee討論了這種數(shù)據(jù)爆炸，預(yù)計(jì)物聯(lián)網(wǎng)領(lǐng)域?qū)⒊霈F(xiàn)“數(shù)據(jù)洪水”。Gantz和Reinsel在IDC（國(guó)際數(shù)據(jù)公司）報(bào)告中指出，從2005年到2020年，預(yù)計(jì)IoT數(shù)據(jù)的增長(zhǎng)將達(dá)到40 000 EB[29]。文獻(xiàn)[30]針對(duì)取證數(shù)據(jù)類型的分類展開(kāi)研究，包括決策樹(shù)、貝葉斯分類器、基于規(guī)則、人工神經(jīng)網(wǎng)絡(luò)和基于最近鄰的幾種方法。文獻(xiàn)[31]提出一種基于Hadoop MapReduce的并行分布式SVM（PDSVM），可用于可擴(kuò)展的數(shù)據(jù)取證的類型分類。

（4）網(wǎng)絡(luò)類型和協(xié)議。傳統(tǒng)的數(shù)字取證，主要的取證對(duì)象是計(jì)算機(jī)設(shè)備和智能手機(jī)等設(shè)備，采用的協(xié)議也是以以太網(wǎng)、HTTP、TCP/IP和802.11a/b/g/n無(wú)線接入?yún)f(xié)議為主。

物聯(lián)網(wǎng)的設(shè)備和種類繁多，協(xié)議也非常多，并且還在不斷的增加中。主要的物聯(lián)網(wǎng)協(xié)議包括RFID、藍(lán)牙、ZigBee、CoAP、TCP/IP、Ajax、Websocket、MQTT等。

（5）證據(jù)擁有者。由于物聯(lián)網(wǎng)絡(luò)異構(gòu)且極其復(fù)雜，用戶數(shù)據(jù)存儲(chǔ)在可能會(huì)有多個(gè)司法管轄的多個(gè)地點(diǎn)，這些不同地點(diǎn)的法律適用可能存在差異。例如，物聯(lián)網(wǎng)設(shè)備的存儲(chǔ)空間有限，經(jīng)常會(huì)存到云端，而云服務(wù)器的位置不同就會(huì)導(dǎo)致證據(jù)司法管轄的問(wèn)題。隨著數(shù)字設(shè)備在網(wǎng)絡(luò)之間移動(dòng)并跨越各種障礙，司法復(fù)雜性隨之增加，物聯(lián)網(wǎng)的出現(xiàn)使得人們?cè)趥€(gè)人和公共網(wǎng)絡(luò)之間使用的設(shè)備增加了一個(gè)維度。文獻(xiàn)[32]針對(duì)流行的云存儲(chǔ)服務(wù)CloudMe進(jìn)行研究，討論了支持云的大數(shù)據(jù)端點(diǎn)取證調(diào)查的工具和技術(shù)的未來(lái)發(fā)展。

（6）證據(jù)涉及的網(wǎng)絡(luò)界限。在傳統(tǒng)的網(wǎng)絡(luò)取證調(diào)查中，例如以計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)的取證調(diào)查，界限通常是明確的，包括獲得的裝置數(shù)目、參與通訊的人數(shù)等。然而，物聯(lián)網(wǎng)的情況要復(fù)雜得多，與之互聯(lián)的終端難以準(zhǔn)確統(tǒng)計(jì)，尤其是當(dāng)人們攜帶設(shè)備工作或者旅行時(shí)，異構(gòu)的物聯(lián)網(wǎng)絡(luò)相互耦合嚴(yán)重，會(huì)產(chǎn)生很多新的問(wèn)題。一個(gè)有趣的研究課題是如何處理開(kāi)發(fā)出的有效方法，從一個(gè)在多個(gè)網(wǎng)絡(luò)間傳遞、留下多個(gè)數(shù)字指紋的取證對(duì)（multiple digital fingerprint objects，MDFO）收集所有相關(guān)證據(jù)，從而可以促進(jìn)MDFO的可追溯性。文獻(xiàn)[33]提出一種將網(wǎng)絡(luò)取證與犯罪數(shù)據(jù)挖掘相結(jié)合的新工具，旨在查找一段時(shí)間內(nèi)發(fā)生的網(wǎng)絡(luò)攻擊的動(dòng)機(jī)、模式和攻擊類型的計(jì)數(shù)。文獻(xiàn)[34]結(jié)合網(wǎng)絡(luò)漏洞和網(wǎng)絡(luò)證據(jù)圖提出一種新的網(wǎng)絡(luò)取證方法，通過(guò)使用漏洞證據(jù)和推理算法來(lái)重建攻擊場(chǎng)景，然后回溯網(wǎng)絡(luò)數(shù)據(jù)包以找到原始證據(jù)。

（7）司法和隱私[35]。在物聯(lián)網(wǎng)發(fā)展的過(guò)程中，獲取正確類型的取證許可來(lái)獲取和調(diào)查這些信息將是一個(gè)需要討論的主題，這涉及很多司法和隱私問(wèn)題。這是一個(gè)復(fù)雜的領(lǐng)域，需要進(jìn)一步的探索。文獻(xiàn)[36]呼吁司法機(jī)構(gòu)和執(zhí)法機(jī)構(gòu)的成員需要了解數(shù)字取證，以便確定數(shù)字證據(jù)的可接受性并在法庭上有效呈現(xiàn)數(shù)字證據(jù)。文獻(xiàn)[37]旨在解釋三個(gè)概念：云計(jì)算、僵尸網(wǎng)絡(luò)和取證文件恢復(fù)，研究通過(guò)視頻形式播放增加了專業(yè)人士對(duì)數(shù)字取證技術(shù)術(shù)語(yǔ)和概念的方法。

2.3 物聯(lián)網(wǎng)取證的必要性

2.3.1IoT使得網(wǎng)絡(luò)攻擊范圍更廣

人類世界正迎來(lái)百年一遇的大變局，以互聯(lián)網(wǎng)、5G、人工智能技術(shù)的發(fā)展與普及為代表的第四次工業(yè)革命的浪潮，已經(jīng)把所有人帶入到了物聯(lián)網(wǎng)的時(shí)代。而這種大環(huán)境的變化，也讓網(wǎng)絡(luò)安全行業(yè)面臨著前所未有的巨變。

設(shè)備到設(shè)備（D2D）通信技術(shù)作為IoT的一種典型表現(xiàn)形式，在最近幾年迅速發(fā)展，但隨著物聯(lián)網(wǎng)成為網(wǎng)絡(luò)攻擊新領(lǐng)域，也成為易受網(wǎng)絡(luò)攻擊類型通信影響的一個(gè)典型場(chǎng)景。一方面，D2D與大量終端和嵌入式硬件相關(guān)聯(lián)，這增加了攻擊面；另一方面，由于D2D終端價(jià)格低廉、安全防護(hù)措施不到位，也使得其處于更高的風(fēng)險(xiǎn)中[38]，具有公共接口的物聯(lián)網(wǎng)設(shè)備面臨更高的風(fēng)險(xiǎn)水平，因?yàn)樗鼈兛赡軐阂廛浖陌踩暂^低的公共空間帶入專用網(wǎng)絡(luò)[39]。常見(jiàn)安全事件包括身份盜竊和數(shù)據(jù)泄漏SQL注入、網(wǎng)絡(luò)釣魚(yú)，與保險(xiǎn)有關(guān)的欺詐、網(wǎng)絡(luò)欺凌、勒索軟件等等。

網(wǎng)絡(luò)攻擊也可能具有大規(guī)模的性質(zhì)，并影響全球企業(yè)或在股票市場(chǎng)造成混亂[40]。例如，物聯(lián)網(wǎng)設(shè)備可用于對(duì)第三方網(wǎng)站、公司網(wǎng)絡(luò)或政府機(jī)構(gòu)發(fā)起分布式拒絕服務(wù)（DDoS）攻擊[41]。迄今為止，第二大DDoS攻擊發(fā)生在2016年10月，針對(duì)的是成熟的DNS提供商Dyn。通過(guò)使用一種稱為Mirai的惡意軟件，攻擊者利用受感染的IoT設(shè)備（例如智能電視、IP攝像機(jī)、打印機(jī)等）創(chuàng)建了一個(gè)僵尸網(wǎng)絡(luò)[42]。結(jié)果，許多站點(diǎn)都存在違規(guī)行為，包括亞馬遜、Twitter、PayPal、Visa、AirBnB、Netflix、Spotify、Tumblr、《紐約時(shí)報(bào)》、Reddit和GitHub等平臺(tái)。據(jù)權(quán)威機(jī)構(gòu)估計(jì)，到2020年，超過(guò)四分之一的攻擊將涉及被破壞的不同設(shè)備[43]。

未來(lái)很長(zhǎng)一段時(shí)間，物聯(lián)網(wǎng)安全威脅都將是最大的安全威脅之一，物聯(lián)網(wǎng)安全支出在信息安全整體市場(chǎng)的占比也將快速提升。

2.3.2新的網(wǎng)絡(luò)空間安全威脅

利用物聯(lián)網(wǎng)技術(shù)，虛擬犯罪可以跨越網(wǎng)絡(luò)空間的限制，威脅人類的生命[6]。例如，心律失常患者會(huì)使用心臟起搏器調(diào)節(jié)心肌收縮，美國(guó)食品和藥物管理局（FDA）曾于2017年1月發(fā)布警告稱，某些起搏器模型容易受到攻擊[19]。智能鎖是物聯(lián)網(wǎng)智能家居的典型應(yīng)用，然而黑客可以通過(guò)編程在某一特定設(shè)備被建筑物的無(wú)線網(wǎng)絡(luò)探測(cè)到時(shí)解鎖，從而進(jìn)入某人的家或辦公室。如果智能鎖經(jīng)過(guò)編程，在檢測(cè)到火災(zāi)或煤氣泄漏時(shí)自動(dòng)鎖上，那么就有可能導(dǎo)致致命后果。

網(wǎng)絡(luò)攝像頭是另一個(gè)高發(fā)的安全問(wèn)題。LG智能吸塵器的門(mén)戶登錄過(guò)程中檢測(cè)到一個(gè)漏洞，該漏洞允許一組研究人員從用戶家中訪問(wèn)實(shí)時(shí)視頻流。2020年9月，浙江省臺(tái)州市黃巖區(qū)人民法院宣判一起非法控制計(jì)算機(jī)信息系統(tǒng)案件，楊某在網(wǎng)上學(xué)習(xí)用黑客軟件控制攝像頭偷窺隱私，依照附贈(zèng)的使用教程，他開(kāi)始針對(duì)某品牌的網(wǎng)絡(luò)攝像頭進(jìn)行破解掃描，其中沒(méi)有更改過(guò)默認(rèn)賬號(hào)密碼的網(wǎng)絡(luò)攝像頭會(huì)在列表中出現(xiàn)。借助黑客軟件，楊某能獲取列表中的攝像頭畫(huà)面，甚至可以調(diào)整攝像頭監(jiān)控角度。截止被查獲時(shí)，楊某非法控制至少128臺(tái)他人攝像設(shè)備，窺探陌生人的生活隱私，并下載了部分視頻。

雖然表2所述的攻擊類型已經(jīng)出現(xiàn)，但物聯(lián)網(wǎng)給用戶和取證調(diào)查人員帶來(lái)了新的網(wǎng)絡(luò)物理威脅。換句話說(shuō)，物聯(lián)網(wǎng)可以將一些現(xiàn)有的數(shù)字風(fēng)險(xiǎn)從網(wǎng)絡(luò)安全威脅轉(zhuǎn)變?yōu)槲锢戆踩{[44-46]。

表2 物聯(lián)網(wǎng)攻擊類型Table 2 Types of IoT attacks

以表中社會(huì)工程這種攻擊形式為例，攻擊者掌握一定的心理學(xué)、人際關(guān)系、行為學(xué)等知識(shí)和技能，結(jié)合實(shí)際環(huán)境滲透，利用物聯(lián)網(wǎng)設(shè)備中海量數(shù)據(jù)，從中篩選出所需的情報(bào)貨敏感信息，對(duì)受害人實(shí)施引誘、偽裝欺騙、說(shuō)服、恐嚇、恭維等系列犯罪手段，以達(dá)成其犯罪目的。

3 物聯(lián)網(wǎng)取證的模型、方法及關(guān)鍵技術(shù)

3.1 數(shù)字取證基礎(chǔ)模型

3.1.1數(shù)字取證調(diào)查模型

1999年，F(xiàn)armer等提出數(shù)字取證調(diào)查基本過(guò)程模型，包含：（1）保證安全和全面隔離；（2）記錄現(xiàn)場(chǎng)信息；（3）全面搜查證據(jù)；（4）收集提取證據(jù)并打包；（5）維護(hù)監(jiān)督鏈。該模型對(duì)整個(gè)取證過(guò)程進(jìn)行界定，并提出每個(gè)步驟的操作原則，為后續(xù)研究提供很好的基礎(chǔ)。

2011年，Yusoff等[47]提出改進(jìn)的數(shù)字取證調(diào)查模型（digital forensic investigate model，DFIM），如圖4所示。該模型從數(shù)字證據(jù)的一般取證過(guò)程入手，并沒(méi)有考慮富含數(shù)字證據(jù)的物聯(lián)網(wǎng)取證，而物聯(lián)網(wǎng)設(shè)備的差異性也會(huì)物聯(lián)網(wǎng)取證重點(diǎn)考慮的問(wèn)題之一[48]。

圖4 數(shù)字取證調(diào)查模型Fig.4 Digital forensic investigation model

DFIM模型包括：（1）開(kāi)始階段，做好充分的數(shù)字取證調(diào)查準(zhǔn)備；（2）相互作用階段，考慮數(shù)字證據(jù)相應(yīng)影響、相互印證的情況下，進(jìn)行數(shù)字取證工作；（3）重建階段，在分析數(shù)字取證結(jié)果的基礎(chǔ)上，重建、還原案件事實(shí)；（4）保護(hù)階段，得出最終的取證分析、重建結(jié)論，做好取證鑒定結(jié)論文書(shū)。DFIM模型作為符合司法標(biāo)準(zhǔn)的數(shù)字取證基礎(chǔ)模型，優(yōu)勢(shì)在于簡(jiǎn)答、可靠，但是由于該模型只是提供DF框架，缺乏對(duì)IoT的支持。

3.1.2混合數(shù)字取證調(diào)查模型

混合數(shù)字取證調(diào)查模型（hybrid digital forensic investigation model，HDFIM）是在DFIM模型的基礎(chǔ)上進(jìn)行了一些改進(jìn)，考慮生物檢材和數(shù)字證據(jù)同時(shí)存在的情況。如圖5說(shuō)明了混合模型HDFIM的架構(gòu)[49]，首先開(kāi)展（1）準(zhǔn)備工作階段，做好充分的數(shù)字取證調(diào)查準(zhǔn)備；不同的是（2）犯罪現(xiàn)場(chǎng)調(diào)查階段和（3）實(shí)驗(yàn)測(cè)試階段是平行進(jìn)行的，實(shí)質(zhì)上是指在分析犯罪證據(jù)、重建案件事實(shí)的過(guò)程中需要反復(fù)取證、分析，這更加符合現(xiàn)場(chǎng)辦案的情形。最后的階段（4）得出結(jié)論，呈現(xiàn)出取證鑒定的結(jié)果。

圖5 混合數(shù)字取證調(diào)查模型Fig.5 Hybrid digital forensic investigation model

HDFIM這種DF模型可以一次分析僅生物檢材證據(jù)或僅數(shù)字證據(jù)，就在物聯(lián)網(wǎng)平臺(tái)中尋找證據(jù)而言，這種調(diào)查方法似乎非常狹窄[50]。因?yàn)槊慨?dāng)涉及到物聯(lián)網(wǎng)犯罪時(shí)，往往數(shù)據(jù)是混合的，同時(shí)也希望盡快獲得取證結(jié)果。HDFIM模型考慮實(shí)際犯罪現(xiàn)場(chǎng)中數(shù)字?jǐn)?shù)據(jù)和生物檢材的混合場(chǎng)景，但是因?yàn)樘岢鲚^早，同樣沒(méi)有考慮物聯(lián)網(wǎng)取證的特殊性。

3.1.3數(shù)字取證處理模型

維護(hù)證據(jù)的完整性是取證的首要前提，以確保收集到的證據(jù)具有司法效用。如圖6所示，數(shù)字取證處理模型（digital forensic process model，DFPM）[51]包括四個(gè)階段：（1）收集階段；（2）檢測(cè)階段；（3）分析階段；（4）匯報(bào)階段。

圖6 數(shù)字取證處理模型（DFPM）Fig.6 Digital forensic processing model（DFPM）

當(dāng)發(fā)生犯罪時(shí)，第一響應(yīng)者（通常是接警的民警和數(shù)字取證調(diào)查人員）會(huì)到達(dá)現(xiàn)場(chǎng)，第一時(shí)間識(shí)別并保護(hù)犯罪現(xiàn)場(chǎng)。在確保數(shù)字設(shè)備安全之后，數(shù)字取證調(diào)查人員將收集數(shù)字證據(jù)以進(jìn)行進(jìn)一步檢測(cè)和分析。簡(jiǎn)單來(lái)說(shuō)就是直接在數(shù)字設(shè)備上查找與犯罪相關(guān)的數(shù)據(jù)，例如在被入侵的智能電視的內(nèi)存中查找攻擊的痕跡及其時(shí)間戳。

在收集、檢測(cè)和分析階段，取證調(diào)查人員使用數(shù)字取證工具查找和追回可能為偽造（證明有罪的證據(jù)）和無(wú)罪（證明無(wú)罪的證據(jù)）的數(shù)字證據(jù)。在匯報(bào)階段，取證調(diào)查人員準(zhǔn)備一份報(bào)告作為鑒定結(jié)論文書(shū)。當(dāng)要求取證調(diào)查人員在法庭上作證并出示證據(jù)時(shí)，取證過(guò)程中對(duì)數(shù)字設(shè)備和操作流程以及設(shè)備在取證過(guò)程中是否被更改等諸多因素，都會(huì)影響到鑒定文書(shū)的可采納性[52]。

與DFIM和HDFIM模型相比較，DFPM模型考慮到了物聯(lián)網(wǎng)設(shè)備的特殊性，但是沒(méi)有制定相關(guān)物聯(lián)網(wǎng)數(shù)據(jù)收集、分析、檢材的具體方法。此外，DFPM模型指出，在分析數(shù)據(jù)之后，可能根據(jù)線索返回犯罪現(xiàn)場(chǎng)二次搜證，更具實(shí)踐指導(dǎo)意義。

3.1.4數(shù)字取證模型小結(jié)

以上三個(gè)小節(jié)分別針對(duì)主流的三種DF取證模型進(jìn)行說(shuō)明，表3做出一些對(duì)比說(shuō)明。

表3 數(shù)字取證模型對(duì)比Table 3 Summary of digital forensics model

3.2 基于分層的物聯(lián)網(wǎng)取證模型

3.2.11-2-3區(qū)域模型

1-2-3區(qū)域模型是Oriwoh等于2013年提出的數(shù)字取證模型[26]，這是最早的物聯(lián)網(wǎng)取證模型，后人在此基礎(chǔ)模型不斷完善。

在物聯(lián)網(wǎng)場(chǎng)景下，數(shù)字取證將涉及在哪里尋找證據(jù)，因?yàn)镮oT設(shè)備太多太雜，有效數(shù)據(jù)淹沒(méi)在海量數(shù)據(jù)當(dāng)中，如果不清楚要找什么，會(huì)浪費(fèi)寶貴的時(shí)間在錯(cuò)誤的地方尋找不相關(guān)的證據(jù)。因此Oriwoh等提出一種物聯(lián)網(wǎng)取證三層區(qū)域模型（IoT forensics three-tier regional model，IoTFTRM）來(lái)進(jìn)行物聯(lián)網(wǎng)相關(guān)調(diào)查取證，如圖7所示。

圖7 物聯(lián)網(wǎng)取證三層區(qū)域模型Fig.7 IoT forensics three-tier regional model

區(qū)域1：內(nèi)部網(wǎng)絡(luò)。在其中對(duì)與犯罪現(xiàn)場(chǎng)相關(guān)的所有硬件、軟件和網(wǎng)絡(luò)（例如，藍(lán)牙和Wi-Fi）進(jìn)行分類，并作出那些內(nèi)容與案件相關(guān)的判斷，從而針對(duì)性地篩查跟案件有關(guān)的證據(jù)。即使一些小型的IoT設(shè)備，例如射頻識(shí)別（radio frequency identification，RFID）標(biāo)簽和智能溫度控制器，也會(huì)存在很多對(duì)案件有幫助的數(shù)據(jù)。

區(qū)域2：中間層。位于該區(qū)域中的所有設(shè)備和軟件均位于網(wǎng)絡(luò)邊界，并提供內(nèi)部和外部網(wǎng)絡(luò)之間的通信介質(zhì)。取證通常將涉及識(shí)別一些有問(wèn)題的網(wǎng)絡(luò)設(shè)備，對(duì)其進(jìn)行分類并從中檢索任何可用的相關(guān)證據(jù)。該區(qū)域中的設(shè)備可能包括入侵防御和檢測(cè)系統(tǒng)以及網(wǎng)絡(luò)防火墻、路由器、網(wǎng)關(guān)等。

區(qū)域3：外部網(wǎng)絡(luò)。該區(qū)域涵蓋所討論網(wǎng)絡(luò)之外的所有硬件和軟件。該區(qū)域包括來(lái)自所有云、社交網(wǎng)絡(luò)、Internet服務(wù)提供商和移動(dòng)網(wǎng)絡(luò)提供商的證據(jù)；基于Internet和Web的服務(wù)、對(duì)象虛擬在線身份、邊緣網(wǎng)絡(luò)、互聯(lián)網(wǎng)絡(luò)證據(jù)，例如RFID標(biāo)簽和讀取器的日志、網(wǎng)關(guān)或邊緣設(shè)備等。

IoTFTRM模型首次提出基于分層方法的IoT取證架構(gòu)，充分考慮IoT的復(fù)雜環(huán)境和海量數(shù)據(jù)，確保取證人員快速、高效的現(xiàn)場(chǎng)搜證，為后續(xù)的物聯(lián)網(wǎng)取證提出一種指導(dǎo)性的架構(gòu)。不足之處在于IoTFTRM模型三層架構(gòu)的分割不夠清晰，部分分層有重疊。

3.2.2取證感知的物聯(lián)網(wǎng)模型

2015年，Zawoad和Hasan完善1-2-3區(qū)域模型，提出一種取證感知的物聯(lián)網(wǎng)模型（forensic-aware IoT model，F(xiàn)AIoT）[53]。將物聯(lián)網(wǎng)取證定義為數(shù)字取證的一個(gè)特殊分支，通過(guò)識(shí)別、收集、分析和展示等流程對(duì)物聯(lián)網(wǎng)基礎(chǔ)設(shè)施進(jìn)行處理，以建立有關(guān)犯罪事件的事實(shí)。將物聯(lián)網(wǎng)取證識(shí)別為三種數(shù)字取證方案的組合：設(shè)備取證、網(wǎng)絡(luò)取證和云取證，如圖8所示。

圖8 取證感知的物聯(lián)網(wǎng)模型Fig.8 Forensic-aware IoT model

（1）設(shè)備取證。IoT設(shè)備數(shù)量巨大且種類繁多，對(duì)IoT設(shè)備取證是最簡(jiǎn)單直接的手段，從這個(gè)角度看，IoTF和DF差別不大，只是針對(duì)不同的數(shù)字設(shè)備而言，IoTF需要考慮IoT設(shè)備的特殊協(xié)議和規(guī)程。

（2）網(wǎng)絡(luò)取證。取證人員需要從網(wǎng)絡(luò)日志中識(shí)別不同攻擊的來(lái)源，這對(duì)于鎖定或排除犯罪嫌疑人至關(guān)重要。物聯(lián)網(wǎng)基礎(chǔ)設(shè)施包括不同形式的網(wǎng)絡(luò)，例如人體局域網(wǎng)（body area network，BAN）、個(gè)人局域網(wǎng)（personal area network，PAN）、家庭/醫(yī)院局域網(wǎng)（home/hospital area network，HAN）、局域網(wǎng)（local area network，LAN）和廣域網(wǎng)（wide area network，WAN），可以從這些網(wǎng)絡(luò)中的任何一個(gè)收集重要的證據(jù)。

（3）云取證。云取證是IoTF中特別重要的一個(gè)環(huán)節(jié)，由于大多數(shù)IoT設(shè)備的存儲(chǔ)和計(jì)算能力較低，因此從IoT設(shè)備和IoT網(wǎng)絡(luò)生成的數(shù)據(jù)將存儲(chǔ)在云中并進(jìn)行處理。云解決方案為IoT設(shè)備提供了各種便利，包括大容量、可伸縮性和按需訪問(wèn)能力。

FAIoT模型繼承并優(yōu)化了IoTFTRM模型的三層取證架構(gòu)，首次明確物聯(lián)網(wǎng)取證的“設(shè)備-網(wǎng)絡(luò)-云”架構(gòu)，不足之處在于沒(méi)有制定更加詳盡的各層取證方法。

3.2.3改進(jìn)的物聯(lián)網(wǎng)取證數(shù)字證據(jù)獲取模型

Harbawi等[54]繼承并發(fā)展1-2-3區(qū)域模型，提出一種改進(jìn)的物聯(lián)網(wǎng)取證數(shù)字證據(jù)獲取模型（improved digital evidence acquisition model for the Internet of Things forensic，IDEAM-IoTF），分兩步走，首先進(jìn)行IoT證據(jù)鑒別，然后再進(jìn)行數(shù)字取證流程。

（1）IoT證據(jù)鑒別。識(shí)別物聯(lián)網(wǎng)中數(shù)字證據(jù)的主要來(lái)源所面臨的挑戰(zhàn)首先是確定產(chǎn)生證據(jù)最初痕跡的場(chǎng)景，提出“最后場(chǎng)景”（last of scenario，LoS）算法按以下程序步驟開(kāi)展證據(jù)鑒別，如圖9所示。

圖9 IDEAM-IoTF模型Fig.9 IDEAM-IoTF model

步驟1運(yùn)用基于LoS算法追蹤感興趣的IoT設(shè)備。

步驟2假定應(yīng)首先調(diào)查在通信中發(fā)現(xiàn)的最后一件事情。

步驟3一旦完成對(duì)IoT設(shè)備的識(shí)別，則通過(guò)在區(qū)域1中的個(gè)人區(qū)域網(wǎng)進(jìn)行傳播以識(shí)別圍繞LoS的所有證據(jù)。

步驟4在區(qū)域2中間區(qū)域網(wǎng)絡(luò)中標(biāo)識(shí)第二級(jí)連接，以便在需要時(shí)更新數(shù)字取證程序級(jí)別，主要包括網(wǎng)關(guān)、防火墻、服務(wù)器等。

步驟5在區(qū)域3擴(kuò)展區(qū)域網(wǎng)中標(biāo)識(shí)第三級(jí)連接，以便通知云服務(wù)商保留從已實(shí)施的IoT犯罪的時(shí)間段內(nèi)的相關(guān)數(shù)據(jù)。

步驟6數(shù)字取證調(diào)查規(guī)程，采用調(diào)查數(shù)字犯罪所采取的正式程序，然后應(yīng)考慮扣押可能包含證據(jù)的設(shè)備，需要排查諸如植入芯片之類的特殊物品。

步驟7數(shù)字取證調(diào)查規(guī)程不得占用不相干設(shè)備，以減少調(diào)查時(shí)間和精力，也避免涉及公民隱私。

（2）數(shù)字取證流程。如圖10所示，采用LoS算法將大大方便并進(jìn)一步縮小數(shù)字取證調(diào)查人員的程序化工作，包括：

圖10 IDEAM-IoTF流程圖Fig.10 IDEAM-IoTF flowchart

步驟1檢查扣押物，并就適用于IoT取證的可能工具和方法生成報(bào)告。

步驟2根據(jù)時(shí)間相關(guān)性事項(xiàng)生成數(shù)字證據(jù)檢索。例如，假定犯罪分子在格林尼治標(biāo)準(zhǔn)時(shí)間13：10開(kāi)始進(jìn)行IoT犯罪，取證分析應(yīng)從格林尼治標(biāo)準(zhǔn)時(shí)間13：10開(kāi)始。

步驟3檢查與感興趣的物品直接相關(guān)的任何犯罪行為，并確定是否需要重復(fù)數(shù)字取證程序。

步驟4獲取所需的數(shù)字證據(jù)并生成備份副本以進(jìn)一步分析。

步驟5根據(jù)數(shù)字取證分析結(jié)果，可以對(duì)1區(qū)中的任何IoT設(shè)備進(jìn)行扣押。

步驟6基于1區(qū)數(shù)字取證分析結(jié)果，如有必要，進(jìn)一步對(duì)2區(qū)或3區(qū)數(shù)字取證進(jìn)行處理。

步驟7生成最終報(bào)告并更新安全措施。

IDEAM-IoTF模型分兩步走，先IoT證據(jù)鑒別再按照提出的規(guī)程進(jìn)行IoT取證，過(guò)程比FAIoT模型詳盡。但由于分層架構(gòu)是在IoTFTRM模型的基礎(chǔ)上，因此同樣存在分層不夠清晰的缺陷。

3.2.4區(qū)域取證方法模型小結(jié)

以上三個(gè)小節(jié)分別針對(duì)主流的三種區(qū)域取證方法模型進(jìn)行說(shuō)明，表4做出一些對(duì)比說(shuō)明。

表4 區(qū)域取證方法模型對(duì)比Table 4 Summary of regional forensic method model

3.3 并行結(jié)構(gòu)的物聯(lián)網(wǎng)取證方法

3.3.1基于物聯(lián)網(wǎng)的數(shù)字取證模型

2015年，Perumal等[55]基于DF模型的深入研究，提出一種基于物聯(lián)網(wǎng)的數(shù)字取證模型（Internet of Things based digital forensic model，IoTBDFM）。從數(shù)字取證調(diào)查模型的標(biāo)準(zhǔn)操作程序（investigation standard operating procedure，SOP）的授權(quán)、計(jì)劃和獲得授權(quán)開(kāi)始，一步步拓展到物聯(lián)網(wǎng)取證的范疇，如圖11所示。

圖11 IoTBDFM模型Fig.11 IoTBDFM model

IoTBDFM從授權(quán)、計(jì)劃和獲取授權(quán)書(shū)開(kāi)始。進(jìn)入具體的物聯(lián)網(wǎng)取證環(huán)節(jié)后，需要查看物聯(lián)網(wǎng)設(shè)備標(biāo)識(shí)，基本設(shè)備標(biāo)識(shí)將涉及設(shè)備到設(shè)備（device to device，D2D）通信，這是IoT主流的通信協(xié)議。

一旦取證調(diào)查人員找到了與相關(guān)設(shè)備通信的可疑設(shè)備，取證調(diào)查人員便可以進(jìn)行分類檢查。IoT設(shè)備的數(shù)據(jù)存儲(chǔ)分散且協(xié)議復(fù)雜，需要進(jìn)行非常仔細(xì)的調(diào)查。海量IoT設(shè)備的大數(shù)據(jù)平臺(tái)更多的是非結(jié)構(gòu)化數(shù)據(jù)。常見(jiàn)設(shè)備包括路由器、網(wǎng)關(guān)、云平臺(tái)和霧平臺(tái)等服務(wù)器群集。

最后，針對(duì)選定區(qū)域中選定設(shè)備開(kāi)展電子數(shù)據(jù)取證，整個(gè)取證過(guò)程又恢復(fù)為通用的數(shù)字取證程序，該程序包括監(jiān)管鏈、實(shí)驗(yàn)室分析、結(jié)果、證明以及歸檔和存儲(chǔ)。

IoTBDFM模型首次引入并遵循ISO/IEC 27043標(biāo)準(zhǔn)，從授權(quán)、計(jì)劃和獲取授權(quán)書(shū)開(kāi)始，逐步拓展到，物聯(lián)網(wǎng)取證環(huán)節(jié)，但是授權(quán)、監(jiān)管過(guò)程不夠具體。

3.3.2通用的物聯(lián)網(wǎng)數(shù)字取證調(diào)查框架

2016年，Kebande等指出當(dāng)前的DF工具和過(guò)程無(wú)法滿足IoT基礎(chǔ)架構(gòu)的異構(gòu)性和分布式特性，提出一種通用的物聯(lián)網(wǎng)數(shù)字取證調(diào)查框架（digital forensic investigate frame for Internet of Things，DFIF-IoT）[56]，該框架能夠一定程度地支持未來(lái)的物聯(lián)網(wǎng)調(diào)查能力，且符合有關(guān)信息安全技術(shù)、事件調(diào)查原則和國(guó)際標(biāo)準(zhǔn)ISO/IEC 27043：2015[57]。

如圖12所示，提出的DFIF-IoT數(shù)字取證模型包括四個(gè)模塊：準(zhǔn)備過(guò)程、IoT取證、分析過(guò)程和并發(fā)過(guò)程。準(zhǔn)備過(guò)程與為物聯(lián)網(wǎng)環(huán)境提供取證準(zhǔn)備，物聯(lián)網(wǎng)取證是選擇不同的取證方案用于提取物聯(lián)網(wǎng)證據(jù)，分析過(guò)程表示在識(shí)別出潛在安全事件后可能觸發(fā)的數(shù)字取證調(diào)查過(guò)程。與此同時(shí)，并發(fā)進(jìn)程表示與上述三個(gè)進(jìn)程一起執(zhí)行的進(jìn)程。

圖12 物聯(lián)網(wǎng)取證DFIF-IoT模型Fig.12 DFIF-IoT model for IoT forensics

（1）準(zhǔn)備過(guò)程

準(zhǔn)備過(guò)程涉及在潛在安全性IoT事件發(fā)生之前進(jìn)行計(jì)劃和準(zhǔn)備，包含IoT場(chǎng)景定義、IoT證據(jù)源識(shí)別、計(jì)劃事件檢測(cè)、潛在的數(shù)字證據(jù)收集、數(shù)字保存和潛在證據(jù)的存儲(chǔ)。值得注意的是，準(zhǔn)備過(guò)程中使用的方法是在ISO/IEC 27043：2015國(guó)際標(biāo)準(zhǔn)中定義的標(biāo)準(zhǔn)化過(guò)程，旨在基于物聯(lián)網(wǎng)的環(huán)境中執(zhí)行以下功能：

物聯(lián)網(wǎng)場(chǎng)景定義：通過(guò)定義這些場(chǎng)景可以識(shí)別潛在的數(shù)字證據(jù)，針對(duì)可能的物聯(lián)網(wǎng)場(chǎng)景進(jìn)行風(fēng)險(xiǎn)評(píng)估，使得后續(xù)的取證、分析過(guò)程能夠識(shí)別風(fēng)險(xiǎn)成本，以便計(jì)劃如何實(shí)現(xiàn)取證準(zhǔn)備。

物聯(lián)網(wǎng)證據(jù)來(lái)源識(shí)別：證據(jù)來(lái)源代表潛在的基于物聯(lián)網(wǎng)的犯罪現(xiàn)場(chǎng)，包括從智能環(huán)境（例如家用電器、個(gè)人計(jì)算機(jī)、云資源、健康設(shè)備、智慧城市設(shè)備、移動(dòng)設(shè)備等等）到其他基于IoT的基礎(chǔ)設(shè)施。

計(jì)劃事件檢測(cè)：計(jì)劃事件檢測(cè)涉及如何定義具有潛在安全事件的數(shù)據(jù)的IoT環(huán)境，并進(jìn)一步規(guī)范檢測(cè)到事件時(shí)可能執(zhí)行的操作。

潛在的數(shù)字證據(jù)收集：根據(jù)從給定的基于IoT的環(huán)境中評(píng)估的風(fēng)險(xiǎn)來(lái)收集和保留不同類型的數(shù)據(jù)。考慮業(yè)務(wù)因素影響，不同管轄區(qū)的法律，評(píng)估的風(fēng)險(xiǎn)以及其他可能影響此流程的有效性和成本的因素來(lái)保留數(shù)據(jù)。

數(shù)字證據(jù)保存：收集數(shù)據(jù)后，應(yīng)在執(zhí)行分析之前將其保留為原始形式，通過(guò)數(shù)字保存以保持收集到的證據(jù)的完整性，潛在證據(jù)保存同樣適用。ISO/IEC 27037：2012強(qiáng)調(diào)處理PDE的準(zhǔn)則[58]，ISO/IEC 10118-2：2010[59]重點(diǎn)介紹了哈希函數(shù)的使用。

（2）物聯(lián)網(wǎng)取證

物聯(lián)網(wǎng)取證采用基于IoT的基礎(chǔ)架構(gòu)，以及可能使用的取證方法進(jìn)行數(shù)字取證調(diào)查。三個(gè)取證層面可以表示為：云取證、網(wǎng)絡(luò)取證和設(shè)備取證，這部分借鑒了Zawoad等的FAIoT模型。

（3）分析過(guò)程

在基于IoT的環(huán)境中確定事件后，參照DF調(diào)查過(guò)程進(jìn)行IoTF的分析過(guò)程。

初始化：針對(duì)基于IoT環(huán)境中的事件啟動(dòng)數(shù)字調(diào)查。ISO/IEC 27043特別強(qiáng)調(diào)初始化過(guò)程中事件檢測(cè)，第一響應(yīng)處置，計(jì)劃和準(zhǔn)備調(diào)查。

獲取：與負(fù)責(zé)從物聯(lián)網(wǎng)環(huán)境中獲取潛在證據(jù)的活動(dòng)有關(guān)。潛在的數(shù)字證據(jù)識(shí)別、收集、運(yùn)輸和存儲(chǔ)等活動(dòng)也在此階段執(zhí)行。

調(diào)查：開(kāi)展有關(guān)調(diào)查物聯(lián)網(wǎng)環(huán)境事件的活動(dòng)，對(duì)收集的包含潛在事件的證據(jù)進(jìn)行分析，并進(jìn)行解釋和報(bào)告。

（4）并發(fā)過(guò)程

為了全面、統(tǒng)一地進(jìn)行物聯(lián)網(wǎng)數(shù)字取證調(diào)查，模型定義了并發(fā)過(guò)程，可以輕松地將其合并到IoT環(huán)境中以增加可接納性和有效性。授權(quán)是一個(gè)過(guò)程，涉及獲得執(zhí)行數(shù)字調(diào)查過(guò)程的法律授權(quán)，而每個(gè)過(guò)程都必須記錄在案，以確保其可重復(fù)性。接下來(lái)，在利益相關(guān)者和調(diào)查之間進(jìn)行確保流程安全的取證調(diào)查。保管鏈顯示所開(kāi)展處理數(shù)字證據(jù)的程序化日志。最后，物理檢驗(yàn)及相關(guān)操作提供了用于調(diào)查事件的過(guò)程與物理調(diào)查本身之間的聯(lián)系。

DFIF-IoT模型增加并發(fā)過(guò)程，拓展模型的接納性和有效性，不足之處在于IoTF過(guò)程的研究不夠深入，沒(méi)有進(jìn)一步探討IoT設(shè)備特殊性對(duì)取證的影響。

3.3.3綜合數(shù)字取證調(diào)查框架

2018年，Kebande等[60]在DFIF-IoT的基礎(chǔ)上進(jìn)一步改進(jìn)，提出一種綜合數(shù)字取證調(diào)查框架（integrated digital forensics investigation framework，IDFIF）。IDFIF-IoT的高級(jí)視圖已在圖13中使用9個(gè)不同的子流程進(jìn)行了展示：

圖13 框架級(jí)的IDFIF-IoTFig.13 Framework-level IDFIF-IoT

事物（1），設(shè)備連接和通信網(wǎng)絡(luò)（2），準(zhǔn)備流程（3），IoT取證（4），數(shù)字調(diào)查流程（5），并發(fā)流程（6），物聯(lián)網(wǎng)管理平臺(tái)（7），物聯(lián)網(wǎng)策略（8）和IoT標(biāo)準(zhǔn)（9）。

下面結(jié)合圖14對(duì)IDFIF-IoT框架中的9個(gè)組件分別簡(jiǎn)要闡述：

圖14 詳細(xì)角度的IDFIF-IoTFig.14 IDFIF-IoT from detailed perspective

（1）事物。具有唯一身份的實(shí)體、物理對(duì)象或連接的對(duì)象/設(shè)備，能夠在網(wǎng)絡(luò)上移動(dòng)數(shù)據(jù)和信息。

（2）設(shè)備連接和網(wǎng)絡(luò)通信。包含多個(gè)傳感器或設(shè)備，可以將它們組合在一起以實(shí)現(xiàn)特定功能。例如，傳感器能夠通過(guò)WiFi、藍(lán)牙、蜂窩連接、衛(wèi)星或RFID進(jìn)行連接，并通過(guò)互聯(lián)網(wǎng)完成數(shù)據(jù)傳輸。

（3）準(zhǔn)備過(guò)程。通過(guò)計(jì)劃和準(zhǔn)備工作來(lái)實(shí)現(xiàn)取證準(zhǔn)備。

（4）物聯(lián)網(wǎng)取證。涉及各種互連物聯(lián)網(wǎng)事物的取證。

（5）數(shù)字取證調(diào)查。作為取證后的響應(yīng)過(guò)程呈現(xiàn)，二次調(diào)查。

（6）并發(fā)過(guò)程。與其他處理并行發(fā)生，這部分類似DFIF-IoT模型的并發(fā)過(guò)程。

（7）物聯(lián)網(wǎng)管理平臺(tái)。管理與物聯(lián)網(wǎng)智能設(shè)備的連接方式及其運(yùn)營(yíng)模式有關(guān)的策略。

（8）物聯(lián)網(wǎng)策略。旨在指導(dǎo)如何實(shí)現(xiàn)物聯(lián)網(wǎng)。

（9）物聯(lián)網(wǎng)標(biāo)準(zhǔn)和協(xié)議。提供了物聯(lián)網(wǎng)中涉及的不同協(xié)議和標(biāo)準(zhǔn)，以幫助闡明物聯(lián)網(wǎng)相關(guān)技術(shù)。

DFIF-IoT模型相對(duì)較為完備，并行過(guò)程，授權(quán)、監(jiān)管過(guò)程考慮得比較全面，與FAIoT模型有同樣的問(wèn)題，IoTF過(guò)程未做深入研究。

3.3.4并行結(jié)構(gòu)的物聯(lián)網(wǎng)取證模型小結(jié)

以上三個(gè)小節(jié)分別針對(duì)主流的三種并行結(jié)構(gòu)的物聯(lián)網(wǎng)取證模型進(jìn)行說(shuō)明，表5做出一些對(duì)比說(shuō)明。

表5 并行結(jié)構(gòu)的物聯(lián)網(wǎng)取證模型對(duì)比Table 5 Summary of parallel structured IoT forensics model

3.4 隱私保護(hù)物聯(lián)網(wǎng)取證方法

3.4.1數(shù)字證人嵌入式安全體系

針對(duì)物聯(lián)網(wǎng)取證中出現(xiàn)的隱私保護(hù)問(wèn)題，Nieto等撰寫(xiě)了3篇論文進(jìn)行開(kāi)拓式研究。

2016年，Nieto等發(fā)表一篇關(guān)于“數(shù)字證人”的期刊長(zhǎng)文，提出“數(shù)字證人”嵌入式安全體系（“digital witness”embedded security system，DWESS），這是關(guān)于物聯(lián)網(wǎng)取證研究的第一篇期刊文獻(xiàn)。該文首次提出“數(shù)字證人”的概念并給出其正式定義，討論這一新概念在個(gè)人設(shè)備中的可行性，進(jìn)一步定義在未來(lái)工作中實(shí)現(xiàn)這一概念的基本組件[19]。

隨著區(qū)塊鏈技術(shù)的發(fā)展，使得定義多個(gè)設(shè)備充當(dāng)數(shù)字證人成為可能。Nieto將數(shù)字證人定義為一種能夠從技術(shù)和法律角度協(xié)作管理電子證據(jù)的設(shè)備，進(jìn)一步定義了相關(guān)的安全和法律組件，并擴(kuò)展了各種概念和外延主題，如圖15所示。

圖15 “數(shù)字證人”嵌入式安全體系Fig.15“Digital witness”embedded security system

IoT設(shè)備的異質(zhì)性要求針對(duì)性的解決方案，并盡可能保證透明的對(duì)數(shù)字證人安全系統(tǒng)實(shí)現(xiàn)訪問(wèn)。

數(shù)字證人還需要證明用戶知道他/她的設(shè)備正在執(zhí)行的程序，否則沒(méi)辦法授權(quán)該設(shè)備執(zhí)行證據(jù)獲取、處理和處理的行為。這涉及到用戶的責(zé)任問(wèn)題，數(shù)字證人是獲取數(shù)字證據(jù)的有力工具，必須控制其使用方式和原因。綁定證書(shū)有助于解決此問(wèn)題，并在委派過(guò)程中增加對(duì)證據(jù)的可追溯性。此外，將根據(jù)用戶接受或不接受的政策來(lái)確保用戶的隱私。需要強(qiáng)調(diào)的是這種證書(shū)也需要認(rèn)證并設(shè)置失效性和權(quán)限，如果丟失也要掛失或注銷(xiāo)。

數(shù)字證人具備協(xié)作屬性，允許參與主要網(wǎng)絡(luò)并維持自身的獨(dú)立性，能夠?qū)?shù)字證據(jù)發(fā)送給其他有權(quán)保護(hù)電子證據(jù)的數(shù)字證人或任何其他實(shí)體。在這種證據(jù)授權(quán)期間，諸如歷史記錄維護(hù)之類的程序的存在也將有助于保持?jǐn)?shù)字證據(jù)的可追溯性[61]。

Nieto等根據(jù)用戶個(gè)人資料定義兩種類型的數(shù)字證人：公民和保管人。第一個(gè)是指具有基本屬性的數(shù)字證人，第二個(gè)是具有特權(quán)的數(shù)字證人。保管人可以執(zhí)行更多操作，其中一些操作取決于設(shè)備正確處理的搜索授權(quán)等等。

DWESSS首次提出“數(shù)字證人”的概念并給出其正式定義，探討了隱私保護(hù)的需求，但是沒(méi)有針對(duì)具體的IoT取證需求展開(kāi)深入研究。

3.4.2隱私感知的物聯(lián)網(wǎng)取證模型

2017年，Nieto等在分析ESDFIM[62]的基礎(chǔ)上，在整個(gè)取證調(diào)查生命周期中納入1974年的《美國(guó)隱私法》和ISO/IEC 29100：2011[63]的關(guān)于隱私保護(hù)的要求，提出一種隱私感知的物聯(lián)網(wǎng)取證模型（privacy-aware IoTforensic model，PRoFIT）[64]。

考慮到ISO/IEC 29100：2011建立的隱私要求，并參照ESDFIM模型下幾個(gè)階段：（1）準(zhǔn)備（規(guī)劃和環(huán)境設(shè)置）；（2）基于上下文的收集；（3）數(shù)據(jù)分析和關(guān)聯(lián)；（4）信息共享；（5）呈現(xiàn)；（6）回顧。PRoFIT的最后三個(gè)階段的定義，PRoFIT模型定義了以模型工作流程如圖16所示。

圖16 PRoFIT模型工作流程Fig.16 PRoFIT model workflow

更準(zhǔn)確地說(shuō)，PRoFIT模型中的階段（1）分為兩條線或平臺(tái)相關(guān)。（2）到（6）階段與取證調(diào)查有關(guān)，因此，即使由于隱私原則的實(shí)施也涉及到設(shè)備和用戶，調(diào)查人員仍是主要參與者。（4）到（6）階段是從ESDFIM模型繼承的，但已進(jìn)行了修改，并考慮了相應(yīng)的隱私原則。值得注意的是，如果將新信息提供給調(diào)查人員，則可能需要多次訪問(wèn)階段（2）至（4）。下面分別介紹各階段的主要目標(biāo)：

（1）準(zhǔn)備：與ESDFIM模型不同，準(zhǔn)備階段將涉及研究人員的任務(wù)與準(zhǔn)備IoT環(huán)境的設(shè)備和平臺(tái)的任務(wù)分開(kāi)。研究人員在進(jìn)行任何調(diào)查之前都要詳細(xì)說(shuō)明計(jì)劃，PRoFIT模型旨在簡(jiǎn)化調(diào)查的后續(xù)階段。

如圖17所示的IoT設(shè)備和平臺(tái)的預(yù)配置，準(zhǔn)備工作可能需要安裝一個(gè)中間件，以根據(jù)隱私政策和司法限制協(xié)助和建議用戶設(shè)備中包含的信息，并根據(jù)提供的數(shù)據(jù)來(lái)管理向請(qǐng)求者提供的數(shù)據(jù)，例如簽名的授權(quán)書(shū)。

圖17 IoT設(shè)備和平臺(tái)的預(yù)配置Fig.17 Pre-configuration of IoT devices and platforms

需要特別強(qiáng)調(diào)的是，PRoFIT模型試圖促使用戶自愿提供信息，在保護(hù)用戶隱私的同時(shí)促進(jìn)設(shè)備間的協(xié)作，從而減少請(qǐng)求收集數(shù)字證據(jù)授權(quán)的繁瑣而耗時(shí)的過(guò)程。

（2）基于上下文的收集：類似傳統(tǒng)的數(shù)字取證，此階段是從案件中涉及的設(shè)備收集數(shù)據(jù)，可能需要像傳統(tǒng)方法一樣要求法院下達(dá)命令，但是PRoFIT模型專門(mén)用于促進(jìn)用戶的合作，盡量避免直接征用個(gè)人設(shè)備。設(shè)備可能已經(jīng)或可能未預(yù)先安裝PRoFIT軟件。

（3）數(shù)據(jù)分析和關(guān)聯(lián)：此步驟專用于上一階段中獲得數(shù)據(jù)的分析和關(guān)聯(lián)，也可以是從新設(shè)備來(lái)源接收的信息。與ESDFIM模型不同，在PRoFIT模型認(rèn)為所有輸入都是數(shù)字證據(jù)，既可能是直接關(guān)聯(lián)設(shè)備產(chǎn)生的數(shù)據(jù)，也可能是從協(xié)作設(shè)備收集的原始數(shù)據(jù)。

（4）信息共享：此階段保持ESDFIM模型的主要目標(biāo)，增加了考慮隱私要求的行為。

（5）呈現(xiàn)：這一階段的重點(diǎn)是向司法機(jī)關(guān)呈現(xiàn)調(diào)查結(jié)果的可采性。但是，PRoFIT模型增加考慮了隱私要求。

（6）回顧：該階段仍是以ESDFIM模型，同樣是增加了隱私保護(hù)的考量。

PRoFIT模型融合了DW的理念，考慮了隱私保護(hù)下的物聯(lián)網(wǎng)取證，但是對(duì)IoTF過(guò)程未做深入研究。

3.4.3隱私保護(hù)IoTF模型小結(jié)

以上三個(gè)小節(jié)分別針對(duì)主流的三種隱私保護(hù)IoTF模型進(jìn)行說(shuō)明，表6做出一些對(duì)比說(shuō)明。

表6 隱私保護(hù)IoTF模型對(duì)比Table 6 Summary of privacy protection IoTF model

3.5 針對(duì)特殊應(yīng)用的物聯(lián)網(wǎng)取證模型

物聯(lián)網(wǎng)安全最大的挑戰(zhàn)是IoT設(shè)備的異構(gòu)性和缺乏統(tǒng)一的標(biāo)準(zhǔn)，這為IoTF帶來(lái)新的研究問(wèn)題[65]。文獻(xiàn)[66]提出一種不僅適用于傳統(tǒng)取證的模型，還適用于數(shù)字以及特定于應(yīng)用的取證過(guò)程，通過(guò)針對(duì)特定應(yīng)用的取證，以確保在特定物聯(lián)網(wǎng)應(yīng)用的背景下收集證據(jù)的重要性。

如圖18所示，“物聯(lián)網(wǎng)中的特定應(yīng)用數(shù)字取證調(diào)查模型”由三個(gè)獨(dú)立的組件組成：特定應(yīng)用取證，數(shù)字取證和取證過(guò)程。這些組件之間的信息流取決于所調(diào)查應(yīng)用程序的類型。在大多數(shù)情況下，數(shù)據(jù)將從“特定于應(yīng)用程序的取證”組件中流出，并饋入“數(shù)字取證”組件中。這兩個(gè)部分的結(jié)果將通過(guò)“取證過(guò)程”轉(zhuǎn)化為證據(jù)。

圖18 物聯(lián)網(wǎng)中的特定應(yīng)用數(shù)字取證調(diào)查模型Fig.18 Digital forensics investigation model for specific applications in Internet of Things

3.5.1Smart Home取證模型

以Nest Smart Thermostat[67]的一種應(yīng)用為例，智能家居應(yīng)用包括溫度控制、智能電表以監(jiān)控功率和水消耗、空氣質(zhì)量、煙霧或氣體泄漏檢測(cè)等等。Nest Smart推出了第三代Nest Smart模型，該模型具有增強(qiáng)的學(xué)習(xí)能力，可以學(xué)習(xí)家庭的日常活動(dòng)，并根據(jù)使用情況自動(dòng)調(diào)節(jié)溫度。

文獻(xiàn)[67-68]針對(duì)智能家居環(huán)境的取證展開(kāi)研究。文獻(xiàn)[68]提出一種新型的智能環(huán)境數(shù)字取證框架，如圖19所示，該取證框架分成5個(gè)相位。

圖19 智能環(huán)境數(shù)字取證框架Fig.19 Smart environment digital forensics framework

相位1，用戶從免費(fèi)在線存儲(chǔ)庫(kù)中下載原始的智能應(yīng)用程序源。

相位2，自動(dòng)分析和檢測(cè)智能應(yīng)用程序并合法收集與取證相關(guān)數(shù)據(jù)的取證日志。

相位3，涉及（1）智能應(yīng)用程序的源代碼分析和（2）智能應(yīng)用程序工具，修改后的應(yīng)用程序?qū)⑷∽C日志發(fā)送到安全數(shù)據(jù)庫(kù)。

相位4，在進(jìn)行取證調(diào)查的基礎(chǔ)下，執(zhí)行數(shù)據(jù)處理并應(yīng)用機(jī)器學(xué)習(xí)技術(shù)來(lái)二次收集數(shù)據(jù)。

相位5，框架與安全策略，可以檢測(cè)到用戶與智能環(huán)境相互作用的系列活動(dòng)，并可能與用戶與智能環(huán)境相互作用。

3.5.2Wearables取證模型

可穿戴物聯(lián)網(wǎng)的應(yīng)用范圍包括增強(qiáng)可穿戴生物傳感器技術(shù)、無(wú)線人體局域網(wǎng)、電子醫(yī)療、遠(yuǎn)程醫(yī)療、專業(yè)醫(yī)療以及健身類運(yùn)動(dòng)追蹤器。以VitalPatch[69]為例，它提供了對(duì)生理數(shù)據(jù)的實(shí)時(shí)、無(wú)人值守的監(jiān)視，例如呼吸頻率、心率、皮膚溫度、體位以及其他生理活動(dòng)監(jiān)測(cè)，甚至包括跌倒檢測(cè)，也包含用于檢測(cè)心率的ECG電極、用于檢測(cè)運(yùn)動(dòng)的3軸MEMS加速度計(jì)以及用于檢測(cè)皮膚溫度的熱敏電阻。可穿戴物聯(lián)網(wǎng)的組件一般較小且功率低，可通過(guò)2.4～2.5 GHz的藍(lán)牙提供連接。Wearables取證主要就是針對(duì)實(shí)現(xiàn)特定功能系統(tǒng)的取證調(diào)查，其實(shí)質(zhì)是取證各類傳感器數(shù)據(jù)和日志。

3.5.3Smart City取證模型

作為智能城市應(yīng)用的示例，考慮Manikonda等[70]的智能交通管理系統(tǒng)，該系統(tǒng)旨在智能交通技術(shù)來(lái)改善交通流量，避免交通擁堵和道路擁堵，并提供到目的地的實(shí)時(shí)、最佳和最快的路線，從而優(yōu)化整體交通流量。智能交通技術(shù)基于路邊單位的地下傳感器和微型雷達(dá)，以及位于各個(gè)位置的無(wú)線接入點(diǎn)，這些接入點(diǎn)連接到智能車(chē)輛在線通信系統(tǒng)。統(tǒng)計(jì)數(shù)據(jù)表明，智能交通管理系統(tǒng)可將行駛時(shí)間減少20%，速度提高25%，節(jié)省燃油15%，信號(hào)延遲減少41%，停車(chē)次數(shù)減少44%。Smart City取證內(nèi)涵及其豐富，但可以將智能車(chē)取證作為一個(gè)重要突破點(diǎn)，智能車(chē)內(nèi)傳感器豐富，主要采用CAN總線協(xié)議，目前智能車(chē)廠家將接口協(xié)議作為行業(yè)秘密，取證難以順利開(kāi)展。

3.5.4針對(duì)特殊應(yīng)用的IoT取證模型小結(jié)

以上三個(gè)小節(jié)分別針對(duì)主流的三種特殊應(yīng)用的IoT取證取證模型進(jìn)行說(shuō)明，表7做出一些對(duì)比說(shuō)明。

表7 特殊應(yīng)用的IoT取證模型對(duì)比Table 7 Summary of IoTF model for special applications

4 總結(jié)與展望

為便于讀者學(xué)習(xí)和研究，圖20列出了取證技術(shù)的過(guò)程，表8對(duì)重要的研究文獻(xiàn)進(jìn)行了歸納。結(jié)合技術(shù)、應(yīng)用及產(chǎn)業(yè)發(fā)展，對(duì)物聯(lián)網(wǎng)取證的發(fā)展提出以下展望。

圖20 IoT取證的研究趨勢(shì)Fig.20 Research trends in IoT forensics

表8 研究論文分類Table 8 Research paper classification

4.1 物聯(lián)網(wǎng)取證標(biāo)準(zhǔn)化問(wèn)題

我國(guó)一直在探索電子數(shù)據(jù)取證技術(shù)與法律規(guī)制的完善。自從2005年公安部發(fā)布我國(guó)第一部電子數(shù)據(jù)標(biāo)準(zhǔn)化規(guī)范文件——《計(jì)算機(jī)犯罪現(xiàn)場(chǎng)勘驗(yàn)與電子數(shù)據(jù)檢查規(guī)則》以來(lái)，對(duì)電子數(shù)據(jù)現(xiàn)場(chǎng)取證、檢查、鑒定的內(nèi)容與程序等進(jìn)行了規(guī)定；2012年底公安部修正《公安機(jī)關(guān)辦理刑事案件程序規(guī)定》，將電子郵件與普通郵件、電報(bào)等并列，確定為查封、扣押的對(duì)象；2014年，兩高一部發(fā)布《關(guān)于辦理網(wǎng)絡(luò)犯罪案件適用刑事訴訟程序若干問(wèn)題的意見(jiàn)》，強(qiáng)化電子數(shù)據(jù)效用；2016年，兩高一部再次發(fā)布《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問(wèn)題的規(guī)定，對(duì)電子數(shù)據(jù)取證的對(duì)象、條件及程序等進(jìn)行了全面、明確的規(guī)定，對(duì)指導(dǎo)、規(guī)范刑事電子數(shù)據(jù)取證起到了重要作用；2019年，公安部制定《公安機(jī)關(guān)辦理刑事案件電子數(shù)據(jù)取證規(guī)則》（下文簡(jiǎn)稱《公安電子數(shù)據(jù)規(guī)則》），對(duì)電子數(shù)據(jù)取證的概念、原則，收集、提取的基本方法，尤其是現(xiàn)場(chǎng)一并提取、現(xiàn)場(chǎng)單獨(dú)提取、在線單獨(dú)提取（包括遠(yuǎn)程勘驗(yàn)、網(wǎng)絡(luò)技術(shù)偵查）、凍結(jié)、調(diào)取、檢查、檢驗(yàn)、鑒定的條件、方法及程序等做出詳細(xì)規(guī)定；2021年，公安部發(fā)布《法庭科學(xué)電子數(shù)據(jù)收集提取技術(shù)規(guī)范》做了進(jìn)一步規(guī)定。

盡管近幾年已經(jīng)有針對(duì)物聯(lián)網(wǎng)取證的案件順利結(jié)案，例如，大量打擊收繳用于電信網(wǎng)絡(luò)詐騙的物聯(lián)網(wǎng)卡、貓池、GOIP等設(shè)備。但這些案件的辦理是將其作為電子數(shù)據(jù)取證在物聯(lián)網(wǎng)終端的延伸。事實(shí)上如前文所述，物聯(lián)網(wǎng)取證本身產(chǎn)生新的特點(diǎn)和問(wèn)題，需要進(jìn)一步規(guī)范并推動(dòng)標(biāo)準(zhǔn)化進(jìn)程，從而提高辦案效率，更好地打擊以物聯(lián)網(wǎng)犯罪為特征的新型網(wǎng)絡(luò)犯罪。在國(guó)內(nèi)，IoTF的取證標(biāo)準(zhǔn)尚在研究當(dāng)中，IoTF標(biāo)準(zhǔn)及其衍生出來(lái)司法實(shí)踐問(wèn)題，相對(duì)于傳統(tǒng)的電子數(shù)據(jù)取證，物聯(lián)網(wǎng)取證的證據(jù)效用問(wèn)題會(huì)比較突出，證據(jù)的一并提取原則、保存原則等等，都具有非常重要的研究?jī)r(jià)值。

4.2 取證過(guò)程中的隱私保護(hù)問(wèn)題

在基于RFID和IoT取證系統(tǒng)的背景下，如何緩解隱私風(fēng)險(xiǎn)尚未得到充分研究。特別要關(guān)注的是對(duì)來(lái)自以智能手機(jī)和智能手表等為代表的IoT終端的數(shù)據(jù)分析，因?yàn)檫@些設(shè)備往往擁有大量有關(guān)狀態(tài)、活動(dòng)、偏好和資源的個(gè)人信息，但是這些信息遠(yuǎn)遠(yuǎn)超出了取證調(diào)查的明確需求。在保護(hù)用戶隱私和獲取關(guān)鍵證據(jù)之間尋求平衡，將繼續(xù)是物聯(lián)網(wǎng)取證領(lǐng)域的主要挑戰(zhàn)[79]。

在《公安電子數(shù)據(jù)規(guī)則》所列五種收集、提取電子數(shù)據(jù)方式中，向第三方調(diào)取是一種很常用的手段。但是對(duì)調(diào)取程序的規(guī)定較為粗略。那些至關(guān)重要的提供哪些信息、如何提供信息、如何使用信息、使用的邊界和期限等諸多問(wèn)題均語(yǔ)焉不詳。隨著《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的相繼出臺(tái)，公民隱私問(wèn)題越來(lái)越受到重視，相信會(huì)有更多學(xué)者加入到這個(gè)領(lǐng)域的研究當(dāng)中。

4.3 物聯(lián)網(wǎng)反取證

在計(jì)算機(jī)犯罪取證技術(shù)不斷發(fā)展的同時(shí)，計(jì)算機(jī)反取證技術(shù)也悄然而生。所謂計(jì)算機(jī)反取證技術(shù)即通過(guò)刪除或隱藏電子數(shù)據(jù)等技術(shù)手段，導(dǎo)致偵查人員在調(diào)查取證時(shí)無(wú)法找到有效的電子證據(jù)，比如“數(shù)據(jù)敲詐者病毒”它是以犯罪分子以勒索錢(qián)財(cái)為目的，將病毒植入到計(jì)算機(jī)用戶中，并對(duì)其數(shù)據(jù)進(jìn)行隱藏或篡改，甚至導(dǎo)致用戶數(shù)據(jù)丟失，如果使用該病毒，用戶數(shù)據(jù)一般很難恢復(fù)。雖然可通過(guò)哈希函數(shù)用于校驗(yàn)數(shù)據(jù)完整性證明電子數(shù)據(jù)是否發(fā)生變化，但是電子數(shù)據(jù)一旦進(jìn)行了數(shù)據(jù)隱藏、被擦除和加密等反取證技術(shù)，甚至各種技術(shù)結(jié)合使用，使得取證工作變得更加困難。從計(jì)算機(jī)取證衍生而來(lái)的物聯(lián)網(wǎng)取證，涉及的數(shù)以萬(wàn)計(jì)的物聯(lián)網(wǎng)設(shè)備種類，隸屬于不同的廠家，因此產(chǎn)生的物聯(lián)網(wǎng)反取證會(huì)更加復(fù)雜多變。

物聯(lián)網(wǎng)反取證，實(shí)質(zhì)上是各種應(yīng)用到物聯(lián)網(wǎng)領(lǐng)域計(jì)算機(jī)和通信技術(shù)的攻防博弈，這方面的研究一直都是技術(shù)前沿，技術(shù)領(lǐng)域的攻擊與防御永遠(yuǎn)是值得深入研究的方向。

4.4 車(chē)聯(lián)網(wǎng)取證

未來(lái)的汽車(chē)不再只是提供交通運(yùn)輸?shù)墓δ埽峭高^(guò)網(wǎng)絡(luò)與各式電子裝置互連溝通，成為一種新時(shí)代的人工智能產(chǎn)品。而隨著車(chē)聯(lián)網(wǎng)技術(shù)的發(fā)展，人們和車(chē)輛結(jié)合的程度更加緊密，取證需求也就越來(lái)越迫切。早期的車(chē)輛取證關(guān)注于碰撞數(shù)據(jù)記錄系統(tǒng)（event data recorder，EDR）、行車(chē)記錄儀、行駛記錄儀等。目前針對(duì)智能汽車(chē)的取證主要集中在車(chē)載電腦上。然而，車(chē)載電腦取證的進(jìn)展緩慢，車(chē)載電腦的大量數(shù)據(jù)因?yàn)樯婕皬S家商業(yè)秘密和用戶個(gè)人隱私，目前沒(méi)有合適的兼顧方案。

未來(lái)的智能網(wǎng)聯(lián)汽車(chē)，或者說(shuō)車(chē)聯(lián)網(wǎng)系統(tǒng)，取證會(huì)更加復(fù)雜，因?yàn)槿∽C的主體除了各種汽車(chē)的車(chē)載單元以外，各種路基單位，比如路邊單元RRU、車(chē)聯(lián)網(wǎng)基站、車(chē)聯(lián)網(wǎng)中繼、車(chē)聯(lián)網(wǎng)邊緣計(jì)算模塊、云端等等，都是需要關(guān)注的取證對(duì)象。

4.5 工業(yè)物聯(lián)網(wǎng)取證

工業(yè)物聯(lián)網(wǎng)（industrial Internet of Things，IIoT）可以定義為“機(jī)器、計(jì)算機(jī)和人員使用業(yè)務(wù)轉(zhuǎn)型所取得的先進(jìn)的數(shù)據(jù)分析成果來(lái)實(shí)現(xiàn)智能化的工業(yè)操作”。IIoT取證最大的問(wèn)題在于數(shù)據(jù)，工業(yè)數(shù)據(jù)采集是導(dǎo)致工業(yè)物聯(lián)網(wǎng)發(fā)展受阻的原因之一。由于IIoT取證現(xiàn)場(chǎng)環(huán)境復(fù)雜、接口和協(xié)議種類繁多，多數(shù)情況下IIoT設(shè)備還不能關(guān)閉，對(duì)現(xiàn)場(chǎng)取證人員的能力要求比較高，既要具備取證現(xiàn)勘的技術(shù)，同時(shí)還要熟悉工廠環(huán)境，掌握強(qiáng)電、弱電的基本知識(shí)和技能。

工業(yè)物聯(lián)網(wǎng)涉及國(guó)家工業(yè)安全，是網(wǎng)絡(luò)安全領(lǐng)域中的重點(diǎn)研究對(duì)象，因?yàn)檠芯款I(lǐng)域比較敏感，網(wǎng)上能搜索到的學(xué)術(shù)成果不多，但是IIoT取證具有重大的研究?jī)r(jià)值。

4.6 區(qū)塊鏈取證

區(qū)塊鏈起源于比特幣，是一個(gè)分布式的共享賬本和數(shù)據(jù)庫(kù)，具有去中心化、不可篡改、全程留痕、可以追溯、集體維護(hù)、公開(kāi)透明等特點(diǎn)。這些特點(diǎn)保證了區(qū)塊鏈的“誠(chéng)實(shí)”與“透明”，為區(qū)塊鏈創(chuàng)造信任奠定基礎(chǔ)。

然而，隨著區(qū)塊鏈成為社會(huì)關(guān)注的焦點(diǎn)，涉及區(qū)塊鏈違法犯罪的類型顛覆人們的想象，盜竊、騙取數(shù)字貨幣和數(shù)字資產(chǎn)；違法開(kāi)設(shè)交易所及管理亂象；以“割韭菜”為目的發(fā)行競(jìng)爭(zhēng)幣、山寨幣；通過(guò)數(shù)字貨幣渠道進(jìn)行勒索、非法交易和洗錢(qián)；“挖礦”相關(guān)的違法犯罪；“存證”相關(guān)的違法犯罪；偽存證淵源項(xiàng)目；與資金池相關(guān)的違法犯罪；“智能合約”相關(guān)的違法犯罪；分叉幣、聯(lián)盟鏈節(jié)點(diǎn)競(jìng)選等新概念相關(guān)違法犯罪等等。因此，打擊涉及區(qū)塊鏈犯罪、區(qū)塊鏈取證的研究迫在眉睫。

5 結(jié)語(yǔ)

正如互聯(lián)網(wǎng)，今天的物聯(lián)網(wǎng)正在改變著這個(gè)世界。隨著物聯(lián)網(wǎng)更加深入地滲透到人們生活的方方面面，不斷顛覆越來(lái)越多的行業(yè)，物聯(lián)網(wǎng)取證技術(shù)也將深刻地改變傳統(tǒng)的刑偵手段。物聯(lián)網(wǎng)取證能夠以具有法律約束力的方式在物聯(lián)網(wǎng)設(shè)備內(nèi)收集、分析、存儲(chǔ)和提供數(shù)字證據(jù)，因此應(yīng)保持證據(jù)的可追溯性和完整性。然而，目前的資源受限的物聯(lián)網(wǎng)設(shè)備可能難以實(shí)現(xiàn)這些目標(biāo)，物聯(lián)網(wǎng)取證技術(shù)的研究也任重而道遠(yuǎn)。