一種現場勘查電子記錄可信化模型

吳育寶，楊一濤

(南京森林警察學院，信息技術學院，江蘇 南京 210023)

1 引言與研究背景

犯罪現場勘查通常指刑事案件發生后，偵査人員為了査明犯罪事實，收集犯罪證據，揭露證實犯罪人，依法對與犯罪有關的人和事以及場所、物品、人身、尸體等所進行的現場訪問和勘驗檢査工作，必須依據國家法律、法規，運用刑事科學技術手段在特定空間領域內進行[1]。隨著科技的進步，公安的各項警務工作也進入了數字化時代，現場勘查中的現場記錄也全面轉身電子化、數字化形式，這對現場勘查記錄的有效性、真實性和合法性提出了新的挑戰。本文首先闡述現場勘查電子記錄在案件證據鏈中的作用，結合我國司法制度解釋保證現勘記錄客觀、準確的重要性和必要性；然后根據現場勘查的特點，結合時、空、人三維數據提出現場勘查電子記錄的可信化模型，確保現勘記錄的制作時間、制作地點和制作人員的客觀性及準確性，同時保證該記錄從制作的時間開始到最終都是完整的和不變的；最后論證該模型的正確性。

2 現場勘查電子記錄

黨的十八屆四中全會《決定》提出：“推進以審判為中心的訴訟制度改革，確保偵查、審查起訴的案件事實證據經得起法律的檢驗。”即要求以法為中心，我國憲法規定的公檢法等部門分工負責、互相配合、互相制約的前提下，訴訟的證據經法庭的舉證、質證、查證，訴訟的過程要以法庭的庭審和裁決關于事實認定和法律適用的要求和標準進行，疑罪從無[2]。證據鏈是司法實踐中的一個重要概念，從結構上看，證據鏈是由多個證據鏈節通過聯結點連接而成的具有一定證明方向的且可排除所有假設合理懷疑的證明載體，能夠完整、準確地還原案件發生的過程并指明其中的主客觀要素。

現場勘查是偵查機關對犯罪處所及其遺留痕跡和其他物證所進行的勘驗和調查。目的是發現、收取犯罪痕跡和其他物證，了解和研究罪犯實施犯罪的情況和案件性質，確定偵查方向和范圍，為偵查和審判案件提供線索和證據[3]。整個現場勘查過程里，現場記錄是一項最耗時的工作，也是犯罪現場勘查工作最為重要的步驟之一。現場記錄的目的在于記錄和保存犯罪現場物證的位置、物證之間的相互關系以及犯罪現場的狀況。現勘記錄是現場勘查工作結束后形成的文檔和附件的集合，主要包括：現場筆錄、現場照片、現場視頻、現場音頻、痕跡、各類物證、各類電子數據證據、繪圖等。

現場記錄是證據鏈上的重要鏈節點，如果收集的證據在合法性、真實性和關聯性存在疑問，那么從證據里提取出的證據鏈節必然不穩定，證據鏈的方向就可能出現偏差，導致最后的結論不正確。因此，現場勘查是一項程序性很強的工作，工作流程出現任何一個小瑕疵，都會導致很嚴重的后果，比如證據采集不充分、痕跡物證損壞等。其中，現勘記錄可信度失效是災難性的結果，這將導致整個證據鏈的起點就不被采納，進而致使整個現勘工作無效[4]。

隨著科技發展，現今的現勘記錄大多是數字化形式，如照片、視頻、音頻等記錄是實時采集的數字化信息，筆錄、繪圖等形式的現勘記錄由勘查人員事后手工錄入現場勘驗信息系統實現數字化[5]。傳統現勘記錄的可信機制是依靠“簽名”，每份紙質形式現勘記錄、痕跡物證收集清單均需要偵查人員親筆簽署姓名來保證記錄的可信性，為了防止記錄被篡改，一般需要兩名以上的偵查人員簽名。但是在實際的現場勘查工作中，“簽名”這一規范存在很著很多的問題，如“補簽名”和“代簽名”，這顯然破壞了證據鏈的完整性。伴隨著現勘電子記錄的出現，傳統的簽名方法已經不再適用，現勘設備也經常混用，證據鏈的可信程度受到質疑，給后續的司法工作埋下隱患。

面對大量的數字化現勘記錄，如何高效并有效地保證其可信性也是擺在大家面前的一個重要課題。本文基于通用的現場勘查專用設備，提出一種數字現勘記錄可信化軟件模型，使用密碼學中的數字簽名、哈希等方法，針對數字化的現勘記錄數據進行可信化處理，目的是保證所有的數字現勘記錄從開始記錄到呈遞法庭的整個過程中，記錄的內容、記錄的人、記錄地點、記錄時間等數字化信息是完整的并保持不變的。

3 現勘記錄可信化模型

3.1 模型結構

現有的現場勘查設備是專用設備，是基于Android平臺的智能終端，設備包含如下組件：高清攝像頭、全指向麥克風、指紋識別模塊、安全存儲區域、定位模塊(北斗+GPS)、藍牙模塊、Wi-Fi模塊、5G通訊模塊[6]。每臺現勘設備和一名現勘人員綁定，使用指紋識別模塊進行身份綁定[7]，人員身份認證在線下完成；安全存儲區域是設備專用的存儲設備，只有通過指紋驗證才可以被訪問，用于存儲終端的數字證書；攝像頭和麥克風用于采集現場照片、視頻和音頻；定位模塊收集現場記錄的地理位置信息；Wi-Fi模塊可用于輔助定位以及與后臺服務器傳輸數據；藍牙模塊用于終端與服務器交換認證數據；5G通訊模塊用于連接授時服務器。

定義1T是一個可信化模型，T=(EN ,A ,DR,TR,TOP)，其中EN是模型中的實體，EN=S,C，S為服務器，C={C1,C2,…Ci}為現勘終端設備集合；A為模型中的密碼算法集合；DR是所有數字現勘記錄集合，DR={dri|dri∈{數字照片,數字筆錄,視頻,音頻}}；TOP是可信化操作。

圖1描述了該數據可信化模型結構，其中DT是日期時間；LO是C的當前地理位置信息；CER是S頒發給C的數字證書；TR是可信化處理后的現勘記錄集合，即TR=TOP(DR)。

圖1 數字現勘記錄可信化模型結構圖

1.2 終端注冊

通過線下身份認證將現勘終端綁定人員后就可以進行注冊過程，目的是獲取服務器的公鑰證書并申請自己的數字證書，注冊過程如圖2所示。服務器S的公鑰和私鑰分別記作PKs和SKs，Keyi是用于保護終端私鑰的隨機數串，E/D分別是一種對稱密碼算法的加密算法和解密算法，H是一種散列函數算法，Sign是一種簽名算法。

圖2 終端注冊流程圖

終端注冊步驟如下：

(1) Ci向S發送注冊請求，包括終端持有人的基本信息(姓名、性別、部門、聯系方式、級別……)，并附帶隨機數串Keyi；

(2) S為Ci生成密鑰對SKci和PKci并生成證書；

(3) S將SKci使用Ci的Keyi加密后附帶S的簽名發回給Ci；

(4) Ci解開SKci，并使用PKs驗證消息的有效性后將SKci存入終端的安全存儲區。

3.3 可信化操作

可信化操作TOP在終端Ci上完成，接受來自終端采集的數字化記錄作為輸入，并結合終端設備采集數據時的地點、時間和采集人身份對原始記錄進行可信化處理，使得處理后的現勘記錄數據可防篡改及不可否認(見圖3)。

圖3 可信化操作TOP流程圖

終端Ci采集到的現勘記錄數據記作drn(n=1,2,…)，該數據可以是文字、圖片、音頻、視頻；終端Ci采集記錄drn時的實時地理位置信息記作LOn；終端Ci采集記錄drn時從授時服務器得到的時間戳記作dtn；“+”表示數據的連接；Sign是一種簽名算法，H是一種散列函數算法。

可信化操作步驟如下：

(1) Ci采集到現勘記錄drn；

(2) Ci獲取此時的地理位置信息LOn；

(3) Ci向授時服務器獲得此時的時間戳dtn，并簽名得到Timestampn：Sign(SKci,dtn) ；

(4)Ci執行操作：drn+LOn+Timestampn+Sign(SKci,H(drn)+LOn+dtn)，計算結果記作trn，trn即為drn的可信化結果；

(5) TR是所有tr的集合，即TR={tr1,tr2,…,trn}。

該可信記錄中除了數據現勘數據本身外，添加了采集地、采集時間，并使用終端私鑰對記錄簽名，保存了該記錄的采集記錄人。該記錄的可信度表現在防篡改和不可否認性，因為終端是專人專用，數字簽名保證了數據采自于哪一臺終端，終端持有人無法否認，此外，若現勘記錄被篡改，通過驗證過程就會被發現出來。

3.4 驗證過程

假設可信記錄是由終端Ci采集和生成的，驗證工作由圖2的服務器S完成，圖4描述了一個可信現勘記錄trn被驗證的全過程：

圖4 數據可信驗證流程圖

(1) 可信記錄trn會被拆成兩個部分O和V，其中O:trn:(drn+LOn+Timestampn)，V:Sign(SKci,H(drn)+LOn+dtn) ；

(2) 對trn的時間戳Timestampn使用PKci進行簽名驗證，如果合法(Valid)則進入第(3)步，否則“驗證失敗(Failure)”。

(3) 對V使用PKci進行簽名驗證，如果不合法(Invalid)則“驗證失敗(Failure)”，否則“驗證成功(Success)”。

4 模型特性

4.1 可信鏈

在討論現勘電子記錄的可信性之前，我們作如下假設：

(1) 勘查人員是可信的；

(2) 服務器及其安裝的操作系統是可信的；

(3) 勘查人員的勘查終端設備及其安裝的操作系統是可信的。

那么，通過可信服務器頒發的終端證書也是可信的，可信終端和勘查人員是一一對應，終端的安全措施由勘查人員負責，在實際工作中，終端被盜用采集現場數據的可能性很低，該部分安全性靠規章制度保證。

如圖5所示，通過3.3節的可信化操作，可以將現場電子記錄的采集時間、空間和人員進行可信化處理，保證電子記錄的可信性，整個現場電子記錄的可信鏈條構建完畢。

圖5 現場電子記錄可信鏈

4.2 協議安全性

在引言中我們提到模型可信化協議的目的是保證現勘記錄的制作時間、制作地點和制作人員的客觀性及準確性，同時保證該記錄從制作的時間開始到最終都是完整的和不變的，本節從防篡改和抗抵賴兩個方面闡述可信化協議的安全性。

(1) 防篡改(Tamper resistance)。現場電子記錄的篡改包括對記錄本身、記錄時間、記錄地點、記錄人員等數據的篡改，該協議可以提供防止上述篡改的機制[8][9]。設tr′為篡改后的可信記錄，參考圖4流程分別討論不同篡改場景下協議的安全性。

a.對記錄本身和記錄地點的篡改。

tr′≠tr是因為(dr′≠dr,LO′≠LO)

∵dr′≠dr或LO′≠LO

∴V′≠V,則Validate(PKci,V′)=Invalid

因此該篡改場景協議驗證結果是失敗(Failure)。

b.對記錄時間的篡改。

tr′≠tr是因為(dt′≠dt)

∵Timestamp′≠Timestamp

∴Validate(PKci,Timestamp′)Z=Invalid

因此該篡改場景協議驗證結果是失敗(Failure)。

c.對于記錄人員的篡改。即記錄終端被盜用，在4.1節已經說明該情形由規章制度保證。

因此，該可信化協議滿足防篡改的需求，在驗證過程中可以發現篡改行為。

(2) 抗抵賴(Non-Repudiation)。抗抵賴特性旨在生成、收集、維護、利用和驗證有關已聲稱的事件或動作的證據，以解決關于此事件或動作的已發生或未發生的爭議[10-11]。在現場勘查過程，需要抗抵賴保護的對象是現勘電子記錄，本文模型可以提供通用的抗抵賴機制，確保電子記錄的合法性。

由4.1節可知，因為終端的數字證書是由可信服務器頒發，終端設備和終端設備通過指紋或人臉生物識別特征和勘查人員一對一綁定，因此除非終端被授權冒用因素外，PKc和SKc是無法被替換的。那對于一個給定的可信記錄tr，分離出來的V部分(圖4)一定是使用操作員的SKc進行的數字簽名，因此如果Validate(PKc,V)=valid，那么該tr一定是私鑰為SKc所對應的操作員所制作。

在該協議下，由該終端采集和生成的可信現場電子記錄就視同由綁定人員的操作，具備抗抵賴能力，同時省去了費時費力的人工簽名過程。

5 總結

為保證犯罪現場勘查中采集的電子記錄的可信性，本文提出了一個可信化模型，可以構建現場電子記錄的可信鏈條，完成對電子記錄的可信處理，通過驗證過程可以實現電子記錄的防篡改和抗抵賴性，同時為提高了現場勘查的工作效率，減少出錯機率，對司法實踐提供了有益方案。