基于物聯網的電子取證研究

◆徐達

（湖南省公安廳刑偵總隊 湖南 410000）

信息化程度越高，電子數據將越多，電子取證發展會有更大潛力，同時對電子物證檢驗能力要求越高。信息新技術的應用都將對電子物證檢驗能力提出新的挑戰，物聯網技術將人、物無差別組網，帶來數據量呈爆炸型增長，現有電子物證檢驗技術能力并不完全匹配信息技術的發展。分析基于物聯網技術帶來的安全風險，比較現有云環境下電子物證檢驗技術的優劣勢，要提升基于物聯網電子物證檢驗能力主要在于電子物證檢驗技術能力和流程規范兩個方面。基于物聯網電子物證檢驗要實現“案件中檢得出、法庭上信得過”的目標，要善于創新、使用新技術，更要嚴格遵守電子物證檢驗的工作流程。

1 物聯網技術與風險分析

物聯網是指將各種傳感器與互聯網相連接起來而構成一個巨大的網絡。物聯網要實現物與物之間聯系的目標，成為一個真正意義上的有效的物聯網，文獻[1]提到有兩個重要因素：一是規模性，在一定規模下才能發揮智能的作用；二是流動性，實現物在運動狀態下隨時的對話。現階段最具有代表性的物聯網體系架構是EPC Global，該系統核心構成為EPC編碼體系、射頻識別系統和信息網絡系統三部分。從物聯網的體系架構分析可知，物聯網技術必須依托大數據技術、人工智能和云計算等技術，而技術的集成相應也帶來了安全威脅的集中，因此物聯網技術面臨的挑戰前所未有。實現物與物之間連接，將原本較為封閉的網絡，變得更為開放，因此物聯網將更容易面臨信息泄露、信息篡改、偽造、冒名頂替、服務欺騙、病毒木馬等威脅。通過物聯網實現的違法犯罪活動，其證據的主要存在形式將以電子數據的形式存在，加強對物聯網的電子取證已經迫在眉睫。

2 物聯網下電子取證挑戰

電子物證檢驗技術是信息時代公安機關的一項重要基礎技術，是打擊涉及網絡各類違法犯罪的撒手锏。電子物證檢驗已經在偵辦案件中廣泛應用，從大量案件來看，電子物證在案件的偵辦過程中有著無可替代的位置。傳統電子取證的基本步驟包括收集犯罪現場的電子設備，保存電子設備的內容，經證明、分析、解釋形成報告并在法庭上展示結果。隨著大數據、云計算、物聯網等技術的興起，傳統電子物證檢驗技術主要業務諸如在電子物證提取與固定、現場保護、易失數據提取、數據恢復、數據檢索、即時通訊檢驗、手機檢驗和視頻設備檢驗等技術都面臨巨大的挑戰。物聯網取證過程主要挑戰來源有兩個方面：一方面是物聯網中涉案高價值電子數據的獲取，另一方面是物聯網技術下電子物證的法律可靠性。在電子物證獲取的挑戰方面主要為：（1）物聯網技術加強物與物、物與人之間的聯系，在各節點進行通訊必將產生海量數據，證據發現難、定位難的問題給高價值涉案電子數據的固定、提取和數據檢索、電子物證檢驗帶來巨量冗余工作；[2]（2）物聯網涉及繁雜的物、人等之間聯系，高強度的流動性給電子物證檢驗的現場保護、電子物證固定與提取造成極大壓力；（3）物聯網之間不再是單純的通訊設備間關系，將涉及更多物，各類物之間異構數據、內置設備差異都將給電子物證檢驗帶來挑戰；（4）物聯網中多用戶信息間高強度的關聯，如何在保證其他用戶隱私的前提下提取完整的電子數據、形成證據鏈也是現階段面臨的一大挑戰。在電子數據法律的可靠性方面主要為：（1）物聯網電子數據在重構案件過程中覆蓋面廣、涉及度深，信息溯源和案件重構具有一定難度，容易出現證據鏈環節的缺失，而導致電子數據證據的不可信；（2）在大量的刑事案件中，電子數據作為證據在刑事訴訟過程中要堅持以審判為中心，遵守嚴格的程序原則和相關技術標準，電子物證檢驗在刑事訴訟過程中違背程序性將直接導致電子物證不可信[3]。

物聯網電子物證檢驗技術上的瓶頸和法庭對電子數據的收集、提取、勘察、保管、鑒定等更高的要求，促使基于物聯網的電子物證需要統一規范的電子物證檢驗標準和合理檢驗流程。近幾年，針對電子物證取證的發展形勢，國內外許多學者提出了許多對未來電子物證檢驗技術發展具有建設性意見和技術。Hirano等人[4]提出一種名為LogDrive的框架，通過虛擬塊設備主動收集數據，來監測云環境中數據異常，采取虛擬存儲的日志記錄方式來記錄證據，并以時間序列的調查方式來呈現被覆蓋或刪除的證據文件。Kao等人[5]基于時間戳建立時間序列表記錄異常行為，提出一種可訪問修改CAM（created-accessed-modified）模型來提高電子證據分析的有效性。Jin Li等人[6]提出了一種基于群簽名和屬性簽名技術來對云環境中敏感文檔保密、來源記錄不可偽造、匿名云服務器的身份驗證，從而能為后續電子物證檢驗提供保障。丁麗萍等人[7]提出一種主動式從云中抓取數據的ICFF架構來提前預警分析的取證方式來對云環境進行電子取證。林青山等人[8]提出了一種基于物聯網的云端取證技術體系架構，通過建成基于小物聯傳輸網絡環境的遠程取證裝置以及取證分析中心來對物聯網環境下數據進行取證分析。王丹琛等人[9]結合木馬技術提出了基于業務用戶行為的計算機動態取證評估模型，構建基于云模型的業務用戶行為定量評估方法，隱蔽地記錄用戶行為并將獲取的信息反饋給取證控制端。黃曉芳等人[10]提出一種基于Merkle Tree的證據保全及改進的共識算法來實現云計算環境下的去中心化電子取證，用以防止任何參與方（包括取證調查者、云服務提供商、用戶等）對取證信息的共謀篡改。綜上研究發現，國內與云環境、物聯網取證相關的研究主要集中在虛擬機取證、虛擬機遷移技術、虛擬身份追蹤等方面，基于物聯網的電子取證技術從服務端獲取數據的方式較為普遍，鮮有從客戶端入手的取證方式，這也是物聯網高流動性、服務端數據遠多于客戶端等客觀原因造成的。

3 基于物聯網電子取證技術

基于物聯網的電子物證檢驗主要從兩個方面開展，一方面是通過提取物端的數據，從而逐步關聯更多數據，另一方面是從云端海量數據中通過技術手段提取相關數據。從云端獲取數據可通過在云服務端設計方案事前記錄方式并提供接口給取證人員完成物聯網的電子取證，也可通過物端提取用戶的日志、數據、痕跡等數據的方式來相互關聯來重構用戶行為時間線，進而分析用戶的數據操作行為規律。現階段，電子物證檢驗的基礎技術包括：電子物證提取與固定、現場保全、易失性數據提取、數據恢復、數據搜索、文件一致性檢驗、時間屬性檢驗、上網記錄檢驗、即時通訊檢驗、手機檢驗、視頻監控設備檢驗、介質數據擦除等。面對日益更新的技術，基于物聯網的電子取證不但是需要技術的更新，還需要一個嚴格的基于物聯網的取證流程。如圖1所示，基于物聯網的電子物證檢驗主要分為四個步驟：數據收集、數據檢驗、證據分析和檢驗報告。收集是指從物聯網中將相關數據集中提取，提取對象不限于數據中心、智能汽車端、PC、建筑等智能終端；檢驗是指通過專業設備對采集的數據進行檢驗，將數據直觀展現；分析是指通過專業人員對所檢出的數據進行研判、篩選重要信息；報告是物聯網電子物證檢驗技術的最終環節，將電子數據形成具有法律效力的鑒定文書。

圖1 基于物聯網的電子取證步驟

當前信息技術的高速發展，對電子物證檢驗能力提出了新的要求和挑戰，以現有的電子物證取證技術來從物聯網中快速完成電子物證檢驗明顯不能勝任，通過分布式計算智能分配負載，搭建高效的取證架構是未來電子物證檢驗的一個發展趨勢。搭建分布式取證架構也符合當前省、市、縣電子物證檢驗能力分三級建設中“省級做精做專、地市做大做強、區縣做專做實”的目標。電子物證檢驗最根本的目的是將電子數據轉化成為證據，不論是從云端采取的事前取證，還是從易提取存儲介質或客戶端提取的數據信息，都需要對用戶行為進行行為重構，為用戶的行為的認定提供有力的依據。一方面物聯網電子取證涉及方眾多，彼此間利益不一，有可能致使服務商、外部攻擊者合謀篡改數據等問題，另一方面物聯網中數據量大且格式眾多，電子物證檢驗所涉及的數據量遠多于傳統數字取證，在格式雜亂、海量數據中容易發生數據丟失、篡改等問題從而導致證據不可信。由文獻[11-15]可知，刑事訴訟過程中也更加注重證據形成的程序性，基于物聯網的電子取證需要嚴格的取證流程，因此提出圖2所示基于物聯網的電子取證流程。

圖2 基于物聯網的電子取證流程

基于物聯網的電子數據要經過分析、識別、證據分類、證據比較、證據定位等環節將相關的違法犯罪行為進行重構，從法律意義上認定其行為具有犯罪行為后才能將所取得的電子數據認定成證據。物聯網中電子數據轉變成證據的過程中，首先數據的固定需要將從物聯網取得的相關電子數據，在安全的條件下進行存儲、固定，再通過專業分析技術手段對已固定好的數據進行分析。通過分析后，能夠從固定的數據中識別到涉案電子數據，在此基礎上對已識別的數據初步預判相關電子數據所屬證據類別，然后通過比較和定位將犯罪嫌疑人的犯罪行為進行重構。當行為重構成功，能夠認定犯罪行為，相關的電子數據才具備法律效力，若在過程重構過程中，相關電子數據不具有法律效力或重構犯罪行為過程中證據鏈缺失，則應當重新進行證據識別過程。從整個物聯網的電子取證流程中可發現，取得數據是物理網電子取證的基礎環節，在此環節中需要將工作做扎實，保證取得的電子數據覆蓋面廣、縱橫深。在整個取證流程中，由于電子數據具有脆弱性、易失性、多態性、復合性等特點，要保證其合法性、及時性、準確性、環境安全性就必須嚴格遵守取證流程。

4 結語

電子物證檢驗技術雖然是一項新型刑事科學技術，但電子物證檢驗技術發展的勢頭越來越好、地位越來越重要。在不久的將來，物聯網技術真正將人、物之間組網，電子數據量將呈現爆炸型增長，對物聯網電子物證檢驗的挑戰將越來越多。大力提倡科學謀劃、創新技術、規范流程對基于物聯網電子物證取證發展大有益處，刑事科學技術要有啃最硬的骨頭的勇氣，挑最重擔子的擔當，謀求電子物證檢驗在5G時代取得更大的進步。