計(jì)算機(jī)取證系統(tǒng)中的電子證據(jù)防篡改系統(tǒng)設(shè)計(jì)

郭杰

摘要：文章綜合考慮混沌系統(tǒng)的加密技術(shù)與分片Hashing技術(shù)等先進(jìn)的信息安全技術(shù)，設(shè)計(jì)了一種能夠應(yīng)用于計(jì)算機(jī)取證中防篡改與保全電子證據(jù)的系統(tǒng)，實(shí)踐表明，系統(tǒng)可良好地應(yīng)用于計(jì)算機(jī)取證電子證據(jù)防篡改工作。

關(guān)鍵詞：計(jì)算機(jī)取證；電子證據(jù)；防暮改系統(tǒng)

作為一種新的犯罪形式，計(jì)算機(jī)犯罪表現(xiàn)出犯罪主體專業(yè)化、行為智能化、客體復(fù)雜化、對(duì)象多樣化、后果潛藏化等特征，依靠傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)進(jìn)行計(jì)算機(jī)犯罪防范的難度日益增加。計(jì)算機(jī)取證是獲取、保存、分析與出示電子證據(jù)的過(guò)程，以對(duì)犯罪分子犯罪線索的挖掘與收集，對(duì)計(jì)算機(jī)犯罪的有效打擊與預(yù)防為目的。以往，計(jì)算機(jī)取證多借助靜態(tài)取證技術(shù)，在事后分析時(shí)進(jìn)行相關(guān)證據(jù)的提取，采集的數(shù)據(jù)欠缺及時(shí)性與全面性，恢復(fù)的數(shù)據(jù)面臨在之前就己被篡改的風(fēng)險(xiǎn)，法律效力并不高。文章進(jìn)行計(jì)算機(jī)主動(dòng)取證系統(tǒng)的設(shè)計(jì)，對(duì)于解決數(shù)據(jù)傳輸前與傳輸過(guò)程中證據(jù)的保全、防篡改方案的設(shè)計(jì)、證據(jù)的存儲(chǔ)與訪問(wèn)管理等多種問(wèn)題有非常重要的作用[1]。

1電子證據(jù)的性質(zhì)與證明力

計(jì)算機(jī)、存儲(chǔ)、網(wǎng)絡(luò)等技術(shù)是電子證據(jù)產(chǎn)生、存儲(chǔ)與傳輸?shù)鹊谋匾ぞ撸c高科技含量的技術(shù)設(shè)備相脫離，電子證據(jù)便無(wú)法實(shí)現(xiàn)保存與傳輸。所以，電子證據(jù)具有以下特性：（1）是一種根據(jù)編碼規(guī)則處理的，用“0”或“1”來(lái)表示的二進(jìn)制信息，由計(jì)算機(jī)語(yǔ)言記載，磁性介質(zhì)對(duì)其進(jìn)行保存，無(wú)形，不連續(xù)，易受到人為篡改；（2）對(duì)多種形式的信息予以綜合，外在表現(xiàn)形式多樣化；（3）直觀，收集迅速，方便保存與傳送，經(jīng)復(fù)制后可以反復(fù)重現(xiàn)，操作簡(jiǎn)便。

電子證據(jù)的證明力可通過(guò)其與待證事項(xiàng)的關(guān)聯(lián)性、證據(jù)自身的可靠性以及完整性來(lái)判斷。很明顯，若電子證據(jù)與待證事項(xiàng)之間的關(guān)聯(lián)度極高，那么其對(duì)該事項(xiàng)的說(shuō)服力也會(huì)非常強(qiáng)，有極高的證明價(jià)值。由此，證明力必然會(huì)很強(qiáng)。

2系統(tǒng)設(shè)計(jì)

2.1需求分析

為了更好地保證計(jì)算機(jī)取證后電子證據(jù)的原始性與可靠性，對(duì)其進(jìn)行安全保存，系統(tǒng)設(shè)計(jì)需滿足以下需求[2]。

（1）當(dāng)取證人員在現(xiàn)場(chǎng)取得相應(yīng)證據(jù)并提交入庫(kù)時(shí)，需在這些數(shù)據(jù)上進(jìn)行數(shù)字簽名，同時(shí)，接受現(xiàn)場(chǎng)監(jiān)督人員的簽名，嚴(yán)格保證電子證據(jù)的完整性與不可否認(rèn)性。

（2）電子數(shù)據(jù)需一次性提交，如果要對(duì)涉案計(jì)算機(jī)施以二次調(diào)查與取證，則需辦理并出示相關(guān)的手續(xù)，如果第二次得到的取證結(jié)果與第一次取證結(jié)果存在沖突，取證人員作出刪除第一次取證部分電子證據(jù)的決定，則需要進(jìn)行刪除流程的設(shè)置：首先，由取證人員向?qū)徟峤坏诙稳∽C獲取的數(shù)據(jù)；然后，刪除的文件信息，取證人員向?qū)徟藛T進(jìn)行匯報(bào)，解釋刪除的原因，接著，審批人員審批取證人員提交的二次證據(jù)以及相應(yīng)的刪除需求；最后，若刪除需求合理，則由審批人員執(zhí)行對(duì)第一次取證相應(yīng)電子證據(jù)的刪除操作。

（3）證據(jù)要具有安全保密性，未經(jīng)授權(quán)的人員不能獲取系統(tǒng)中的電子證據(jù)，即使獲取，也不能正常查閱。

（4）簽名與加密電子證據(jù)之后，應(yīng)由系統(tǒng)對(duì)其進(jìn)行保存與鏡像備份，同時(shí)，系統(tǒng)生成的日志同樣需要備份。

（5）門限身份認(rèn)證，經(jīng)過(guò)授權(quán)的人員在登錄系統(tǒng)進(jìn)行相應(yīng)電子證據(jù)查閱之時(shí)，要有第二人在場(chǎng)。具體而言，在第一用戶登錄系統(tǒng)之后并不能馬上行使相應(yīng)的權(quán)限，其權(quán)限的實(shí)現(xiàn)必須在第二用戶輸入密碼之后，為了保證系統(tǒng)使用過(guò)程中不會(huì)出現(xiàn)人員長(zhǎng)期離幵的問(wèn)題，需設(shè)計(jì)實(shí)現(xiàn)要求，若用戶在一定時(shí)間內(nèi)并未對(duì)系統(tǒng)執(zhí)行任何操作，系統(tǒng)會(huì)自動(dòng)鎖定，再次使用必須重新登錄。

（6）設(shè)置讀取與刪除權(quán)限，對(duì)電子證據(jù)的讀/寫訪問(wèn)等進(jìn)行控制，嚴(yán)格規(guī)范授權(quán)人員對(duì)系統(tǒng)與系統(tǒng)中電子證據(jù)的操作。

（7）對(duì)系統(tǒng)上全部操作進(jìn)行記錄，從用戶登錄系統(tǒng)開始，直到退出，全部操作都應(yīng)記錄下來(lái)，并保存到日志中。

（8）當(dāng)電子證據(jù)出現(xiàn)問(wèn)卷?yè)p壞、校驗(yàn)不符等問(wèn)題時(shí)，應(yīng)利用備份鏡像對(duì)證據(jù)予以恢復(fù)，恢復(fù)過(guò)程中，對(duì)操作系統(tǒng)、文件系統(tǒng)、系統(tǒng)狀態(tài)、相關(guān)設(shè)置等進(jìn)行自動(dòng)檢測(cè)，同時(shí)，一并記錄操作用戶名、時(shí)間戳等于日志文件中。

2.2系統(tǒng)功能架構(gòu)

根據(jù)上述系統(tǒng)功能需求，設(shè)計(jì)系統(tǒng)功能架構(gòu)如圖1所示。

2.2.1身份管理

管理取證系統(tǒng)中的人員身份信息，提供用戶登錄管理服務(wù)。

2.2.2訪問(wèn)控制

按照用戶在案件中擔(dān)任的角色進(jìn)行對(duì)應(yīng)權(quán)限的分配，限制、審計(jì)并記錄人員使用系統(tǒng)的行為。

2.2.3證據(jù)安全

采用加密、分片Hashing等技術(shù)處理與存儲(chǔ)電子證據(jù)，對(duì)證據(jù)完整性、機(jī)密性、不可篡改與抵賴性予以保證。

2.2.4審計(jì)備份

審計(jì)模塊產(chǎn)生取證代理、取證中心與取證管理平臺(tái)的運(yùn)行日志，以輔助證據(jù)的形式對(duì)取證工作的環(huán)境、流程與司法取證流程規(guī)范的相符性等加以解釋，具有監(jiān)督功能；備份模塊則負(fù)責(zé)遠(yuǎn)程備份電子證據(jù)與審計(jì)日志。

3系統(tǒng)證據(jù)安全模塊功能實(shí)現(xiàn)

己有研究與設(shè)計(jì)成果表明，電子證據(jù)防篡改系統(tǒng)設(shè)計(jì)

中的身份管理、訪問(wèn)控制與審計(jì)備份模塊取得的進(jìn)展己較為明顯，技術(shù)方面相對(duì)成熟，因此文章對(duì)系統(tǒng)證據(jù)安全模塊的實(shí)現(xiàn)進(jìn)行分析。

3.1數(shù)據(jù)加解密模塊實(shí)現(xiàn)——混沌分組密碼

以混沌映射對(duì)初值的敏感依賴性為依據(jù)，可生成大量不相關(guān)、類隨機(jī)且可再生的信息。混沌分組密碼的設(shè)計(jì)與模塊實(shí)現(xiàn)思路為：Lorenz映射具有混迭特性，利用這一特性可生成強(qiáng)度高且非線性的替換表，在Arnold映射置換、非線性表替換以及加密擴(kuò)散變換等的影響下取得單輪加密效果，然后利用多輪迭代對(duì)計(jì)算機(jī)證據(jù)進(jìn)行置亂與擴(kuò)散。

Arnold映射數(shù)學(xué)表達(dá)式為：

設(shè)[0，1]取值空間為，取任意初始值，在Lorenz映射多次迭代后，得到混純序列，整數(shù)化處理后剔除重復(fù)數(shù)據(jù)。由此。與之間可構(gòu)成一個(gè)高強(qiáng)度且非線性的替換表，實(shí)現(xiàn)對(duì)函數(shù)結(jié)構(gòu)建。

設(shè)B，K是長(zhǎng)度為64bit的證據(jù)，在Arnold映射置換之后劃分為8個(gè)字節(jié)，分別為。由此，加密變換為：

8次加密變換后可得到連接生成長(zhǎng)度為

64bit的密文匕此時(shí)，可通過(guò)得到函數(shù)/前結(jié)果。實(shí)際上，在完成Arnold映射擴(kuò)展、Lorenz射以及加密變換之后，只會(huì)得到單個(gè)分組數(shù)據(jù)的單輪加密效果，為了獲得完整的密文，還需利用替換表循環(huán)Arnold映射擴(kuò)展與加密變r(jià)輪，之后，重新組合全部的分組數(shù)據(jù)。

3.2密鑰保管模塊實(shí)現(xiàn)——分片Hashing算法

在該系統(tǒng)中，需利用分片Hashmg將電子證據(jù)文件生成2?4個(gè)散列摘要。具體的散列摘要數(shù)量由證據(jù)文件的大小決定。分片Hashing算法如下：

4結(jié)語(yǔ)

計(jì)算機(jī)取證技術(shù)的不斷發(fā)展，其操作中各個(gè)環(huán)節(jié)的完善性均日益提升。文章進(jìn)行計(jì)算機(jī)取證系統(tǒng)中的電子證據(jù)防篡改系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)研究，是對(duì)相關(guān)部門需求的滿足。系統(tǒng)對(duì)一些較為前沿的技術(shù)予以采用，例如混沌分組密碼技術(shù)、分片Hashing技術(shù)等，與當(dāng)前己有的電子證據(jù)防篡改系統(tǒng)相比實(shí)現(xiàn)了一定的創(chuàng)新，可對(duì)電子證據(jù)的保全需求予以滿足。為了進(jìn)一步保證證據(jù)防篡改與保全服務(wù)的安全性與可靠性，相關(guān)人員在今后需加強(qiáng)將系統(tǒng)服務(wù)器部署至Linux環(huán)境中的研究。

[參考文獻(xiàn)]

[1]周榮.計(jì)算機(jī)取證系統(tǒng)中的電子證據(jù)防篡改研究[D].成都：電子科技大學(xué)，2009.

[2]張士斌，張廳鋒，王世元，等電子證據(jù)收集與還原系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2013（8）：5-9.endprint