計算機取證系統(tǒng)中的電子證據(jù)防篡改系統(tǒng)設計

郭杰

摘要：文章綜合考慮混沌系統(tǒng)的加密技術與分片Hashing技術等先進的信息安全技術，設計了一種能夠應用于計算機取證中防篡改與保全電子證據(jù)的系統(tǒng)，實踐表明，系統(tǒng)可良好地應用于計算機取證電子證據(jù)防篡改工作。

關鍵詞：計算機取證；電子證據(jù)；防暮改系統(tǒng)

作為一種新的犯罪形式，計算機犯罪表現(xiàn)出犯罪主體專業(yè)化、行為智能化、客體復雜化、對象多樣化、后果潛藏化等特征，依靠傳統(tǒng)網(wǎng)絡安全技術進行計算機犯罪防范的難度日益增加。計算機取證是獲取、保存、分析與出示電子證據(jù)的過程，以對犯罪分子犯罪線索的挖掘與收集，對計算機犯罪的有效打擊與預防為目的。以往，計算機取證多借助靜態(tài)取證技術，在事后分析時進行相關證據(jù)的提取，采集的數(shù)據(jù)欠缺及時性與全面性，恢復的數(shù)據(jù)面臨在之前就己被篡改的風險，法律效力并不高。文章進行計算機主動取證系統(tǒng)的設計，對于解決數(shù)據(jù)傳輸前與傳輸過程中證據(jù)的保全、防篡改方案的設計、證據(jù)的存儲與訪問管理等多種問題有非常重要的作用[1]。

1電子證據(jù)的性質與證明力

計算機、存儲、網(wǎng)絡等技術是電子證據(jù)產生、存儲與傳輸?shù)鹊谋匾ぞ?，與高科技含量的技術設備相脫離，電子證據(jù)便無法實現(xiàn)保存與傳輸。所以，電子證據(jù)具有以下特性：（1）是一種根據(jù)編碼規(guī)則處理的，用“0”或“1”來表示的二進制信息，由計算機語言記載，磁性介質對其進行保存，無形，不連續(xù)，易受到人為篡改；（2）對多種形式的信息予以綜合，外在表現(xiàn)形式多樣化；（3）直觀，收集迅速，方便保存與傳送，經復制后可以反復重現(xiàn)，操作簡便。

電子證據(jù)的證明力可通過其與待證事項的關聯(lián)性、證據(jù)自身的可靠性以及完整性來判斷。很明顯，若電子證據(jù)與待證事項之間的關聯(lián)度極高，那么其對該事項的說服力也會非常強，有極高的證明價值。由此，證明力必然會很強。

2系統(tǒng)設計

2.1需求分析

為了更好地保證計算機取證后電子證據(jù)的原始性與可靠性，對其進行安全保存，系統(tǒng)設計需滿足以下需求[2]。

（1）當取證人員在現(xiàn)場取得相應證據(jù)并提交入庫時，需在這些數(shù)據(jù)上進行數(shù)字簽名，同時，接受現(xiàn)場監(jiān)督人員的簽名，嚴格保證電子證據(jù)的完整性與不可否認性。

（2）電子數(shù)據(jù)需一次性提交，如果要對涉案計算機施以二次調查與取證，則需辦理并出示相關的手續(xù)，如果第二次得到的取證結果與第一次取證結果存在沖突，取證人員作出刪除第一次取證部分電子證據(jù)的決定，則需要進行刪除流程的設置：首先，由取證人員向審批提交第二次取證獲取的數(shù)據(jù)；然后，刪除的文件信息，取證人員向審批人員進行匯報，解釋刪除的原因，接著，審批人員審批取證人員提交的二次證據(jù)以及相應的刪除需求；最后，若刪除需求合理，則由審批人員執(zhí)行對第一次取證相應電子證據(jù)的刪除操作。

（3）證據(jù)要具有安全保密性，未經授權的人員不能獲取系統(tǒng)中的電子證據(jù)，即使獲取，也不能正常查閱。

（4）簽名與加密電子證據(jù)之后，應由系統(tǒng)對其進行保存與鏡像備份，同時，系統(tǒng)生成的日志同樣需要備份。

（5）門限身份認證，經過授權的人員在登錄系統(tǒng)進行相應電子證據(jù)查閱之時，要有第二人在場。具體而言，在第一用戶登錄系統(tǒng)之后并不能馬上行使相應的權限，其權限的實現(xiàn)必須在第二用戶輸入密碼之后，為了保證系統(tǒng)使用過程中不會出現(xiàn)人員長期離幵的問題，需設計實現(xiàn)要求，若用戶在一定時間內并未對系統(tǒng)執(zhí)行任何操作，系統(tǒng)會自動鎖定，再次使用必須重新登錄。

（6）設置讀取與刪除權限，對電子證據(jù)的讀/寫訪問等進行控制，嚴格規(guī)范授權人員對系統(tǒng)與系統(tǒng)中電子證據(jù)的操作。

（7）對系統(tǒng)上全部操作進行記錄，從用戶登錄系統(tǒng)開始，直到退出，全部操作都應記錄下來，并保存到日志中。

（8）當電子證據(jù)出現(xiàn)問卷損壞、校驗不符等問題時，應利用備份鏡像對證據(jù)予以恢復，恢復過程中，對操作系統(tǒng)、文件系統(tǒng)、系統(tǒng)狀態(tài)、相關設置等進行自動檢測，同時，一并記錄操作用戶名、時間戳等于日志文件中。

2.2系統(tǒng)功能架構

根據(jù)上述系統(tǒng)功能需求，設計系統(tǒng)功能架構如圖1所示。

2.2.1身份管理

管理取證系統(tǒng)中的人員身份信息，提供用戶登錄管理服務。

2.2.2訪問控制

按照用戶在案件中擔任的角色進行對應權限的分配，限制、審計并記錄人員使用系統(tǒng)的行為。

2.2.3證據(jù)安全

采用加密、分片Hashing等技術處理與存儲電子證據(jù)，對證據(jù)完整性、機密性、不可篡改與抵賴性予以保證。

2.2.4審計備份

審計模塊產生取證代理、取證中心與取證管理平臺的運行日志，以輔助證據(jù)的形式對取證工作的環(huán)境、流程與司法取證流程規(guī)范的相符性等加以解釋，具有監(jiān)督功能；備份模塊則負責遠程備份電子證據(jù)與審計日志。

3系統(tǒng)證據(jù)安全模塊功能實現(xiàn)

己有研究與設計成果表明，電子證據(jù)防篡改系統(tǒng)設計

中的身份管理、訪問控制與審計備份模塊取得的進展己較為明顯，技術方面相對成熟，因此文章對系統(tǒng)證據(jù)安全模塊的實現(xiàn)進行分析。

3.1數(shù)據(jù)加解密模塊實現(xiàn)——混沌分組密碼

以混沌映射對初值的敏感依賴性為依據(jù)，可生成大量不相關、類隨機且可再生的信息?；煦绶纸M密碼的設計與模塊實現(xiàn)思路為：Lorenz映射具有混迭特性，利用這一特性可生成強度高且非線性的替換表，在Arnold映射置換、非線性表替換以及加密擴散變換等的影響下取得單輪加密效果，然后利用多輪迭代對計算機證據(jù)進行置亂與擴散。

Arnold映射數(shù)學表達式為：

設[0，1]取值空間為，取任意初始值，在Lorenz映射多次迭代后，得到混純序列，整數(shù)化處理后剔除重復數(shù)據(jù)。由此。與之間可構成一個高強度且非線性的替換表，實現(xiàn)對函數(shù)結構建。

設B，K是長度為64bit的證據(jù)，在Arnold映射置換之后劃分為8個字節(jié)，分別為。由此，加密變換為：

8次加密變換后可得到連接生成長度為

64bit的密文匕此時，可通過得到函數(shù)/前結果。實際上，在完成Arnold映射擴展、Lorenz射以及加密變換之后，只會得到單個分組數(shù)據(jù)的單輪加密效果，為了獲得完整的密文，還需利用替換表循環(huán)Arnold映射擴展與加密變r輪，之后，重新組合全部的分組數(shù)據(jù)。

3.2密鑰保管模塊實現(xiàn)——分片Hashing算法

在該系統(tǒng)中，需利用分片Hashmg將電子證據(jù)文件生成2?4個散列摘要。具體的散列摘要數(shù)量由證據(jù)文件的大小決定。分片Hashing算法如下：

4結語

計算機取證技術的不斷發(fā)展，其操作中各個環(huán)節(jié)的完善性均日益提升。文章進行計算機取證系統(tǒng)中的電子證據(jù)防篡改系統(tǒng)設計與實現(xiàn)研究，是對相關部門需求的滿足。系統(tǒng)對一些較為前沿的技術予以采用，例如混沌分組密碼技術、分片Hashing技術等，與當前己有的電子證據(jù)防篡改系統(tǒng)相比實現(xiàn)了一定的創(chuàng)新，可對電子證據(jù)的保全需求予以滿足。為了進一步保證證據(jù)防篡改與保全服務的安全性與可靠性，相關人員在今后需加強將系統(tǒng)服務器部署至Linux環(huán)境中的研究。

[參考文獻]

[1]周榮.計算機取證系統(tǒng)中的電子證據(jù)防篡改研究[D].成都：電子科技大學，2009.

[2]張士斌，張廳鋒，王世元，等電子證據(jù)收集與還原系統(tǒng)的設計與實現(xiàn)[J].信息網(wǎng)絡安全，2013（8）：5-9.endprint