區(qū)塊鏈技術(shù)在電子數(shù)據(jù)云取證中的應(yīng)用

◆臧金明

(保定市公安局 河北 071000)

1 區(qū)塊鏈技術(shù)在電子數(shù)據(jù)云取證領(lǐng)域中的重要性

在當(dāng)今社會中，隨著科學(xué)技術(shù)蓬勃發(fā)展的熱潮，人們對新興事物的接受能力也有很大提高，我們國家正處于從 IT（Internet Technology，互聯(lián)網(wǎng)技術(shù)）過渡到DT（Data Technology，數(shù)據(jù)處理技術(shù)）的階段。同時，電子數(shù)據(jù)取證作為一種打擊追究計算機(jī)網(wǎng)絡(luò)犯罪的很關(guān)鍵的取證方法，具備數(shù)據(jù)集中、易采集、控制力強(qiáng)等特性，但在當(dāng)前大數(shù)據(jù)快速發(fā)展的背景下，依然面臨著許多威脅與挑戰(zhàn)。

傳統(tǒng)的取證方法大多是根據(jù)一些固定的儀器、設(shè)備和資料對要進(jìn)行取證的目標(biāo)實(shí)施收集、整理，而且在整個取證過程中，要求其空間上的封閉性以及時間上的精確性。而現(xiàn)如今，越來越多的數(shù)據(jù)存在云端，多個用戶公用分布式虛擬網(wǎng)絡(luò)空間資源，在電子數(shù)據(jù)取證的過程中，不僅需要對目標(biāo)數(shù)據(jù)進(jìn)行提取、固定，還有分析臨時產(chǎn)生的數(shù)據(jù)文件和訪問記錄，甚至還包括了云服務(wù)提供商、云存儲、虛擬機(jī)、網(wǎng)絡(luò)拓?fù)涞取?/p>

隨著區(qū)塊鏈的出現(xiàn)，給電子數(shù)據(jù)云取證帶來了新的難題。一些不法分子利用區(qū)塊鏈的技術(shù)特性，在互聯(lián)網(wǎng)上刮起了一陣“區(qū)塊鏈犯罪”的旋風(fēng)。操縱虛擬貨幣的詐騙、色情網(wǎng)站的傳播、黑客攻擊，當(dāng)然還包括暗網(wǎng)中的利用比特幣進(jìn)行的骯臟交易。他們利用區(qū)塊鏈的匿名特性隱藏真實(shí)身份，使執(zhí)法部門很難追蹤。

雖然困難重重，但可以根據(jù)區(qū)塊鏈技術(shù)具有數(shù)據(jù)分布式存儲的特性，可以把電子數(shù)據(jù)都收集并存儲在區(qū)塊鏈上，再通過去中心化、加密算法、Merkle樹技術(shù)、共識算法等方法，找到一套完整的能識別、能提取但無法人為修改的電子數(shù)據(jù)云取證思路。

2 相關(guān)理論與技術(shù)

2.1 電子數(shù)據(jù)云取證

電子數(shù)據(jù)取證就是根據(jù)計算機(jī)相關(guān)技術(shù)，采用一些在合法范圍內(nèi)的措施，對侵入、干擾、攻擊、毀壞計算機(jī)數(shù)據(jù)等違法操作進(jìn)行數(shù)據(jù)資料收集、儲存、觀察和得出結(jié)論的一系列過程。而云計算有“5-3-4”的特點(diǎn)。“5”是指云服務(wù)有 5個特征：按需自助服務(wù)、廣泛的網(wǎng)絡(luò)訪問性、動態(tài)的資源池、快速彈性、可計量的服務(wù)?！?”個發(fā)布模型：私有云、社區(qū)云、公有云、混合云?！?”種常見的服務(wù)模式：SaaS軟件即服務(wù)、PaaS平臺即服務(wù)、IaaS基礎(chǔ)設(shè)施即服務(wù)。

根據(jù)對比，云取證環(huán)境比傳統(tǒng)取證環(huán)境更復(fù)雜。傳統(tǒng)取證的環(huán)境通常為單機(jī)，目標(biāo)明確、環(huán)境單一，而云取證的三種架構(gòu)模式和三種服務(wù)模式可以組成九種組合，取證環(huán)境要困難得多。云取證證據(jù)獲取比傳統(tǒng)取證更困難。云取證一般不能扣押，只能在線取證，并且難以確定某個時間點(diǎn)確切的證據(jù)位置。

2.2 區(qū)塊鏈技術(shù)

2.2.1 工作原理

區(qū)塊鏈技術(shù)是一種根據(jù)去中心化原理來實(shí)現(xiàn)一個數(shù)據(jù)庫的管理的技術(shù)。區(qū)塊鏈技術(shù)的模型主要采用分布式數(shù)據(jù)存儲、點(diǎn)對點(diǎn)傳輸、加密算法等計算機(jī)技術(shù)，它其實(shí)就是一個去中心化的數(shù)據(jù)庫，然后使用加密算法形成一個一個的數(shù)據(jù)塊，每一個數(shù)據(jù)塊里都包含了許多小數(shù)據(jù)，可以檢驗(yàn)信息的真實(shí)性、可靠性。區(qū)塊鏈技術(shù)最重要的優(yōu)點(diǎn)是它的隨意一個區(qū)塊都可以存儲數(shù)據(jù)，有效地避免區(qū)塊鏈之間不互通而導(dǎo)致數(shù)據(jù)不流通等問題的發(fā)生。

區(qū)塊鏈技術(shù)完成了兩個記錄，即交易（transactions）和區(qū)塊（blocks）。交易是指那些被收集在區(qū)塊鏈上的真實(shí)數(shù)據(jù)，區(qū)塊是指確定一些數(shù)據(jù)進(jìn)入?yún)^(qū)塊鏈數(shù)據(jù)庫的時間以及區(qū)塊位置。

2.2.2 Merkle樹概念

Merkle樹結(jié)構(gòu)是用來同步電子數(shù)據(jù)的一種算法，使數(shù)據(jù)保持一致性。選擇 Merkle樹的方法來收集存儲區(qū)塊鏈的電子數(shù)據(jù)，當(dāng) Merkle樹的葉子節(jié)點(diǎn)存儲了一個假的數(shù)據(jù)時，該節(jié)點(diǎn)可能會導(dǎo)致其他層的節(jié)點(diǎn)也發(fā)生變化，甚至可能會造成根節(jié)點(diǎn)數(shù)據(jù)的錯誤。但當(dāng)處于電子數(shù)據(jù)環(huán)境中進(jìn)行檢驗(yàn)時，Merkle樹可以很方便地完成定位。

3 基于區(qū)塊鏈技術(shù)的電子數(shù)據(jù)云取證模型

3.1 電子數(shù)據(jù)取證模型及節(jié)點(diǎn)設(shè)計

電子數(shù)據(jù)取證模型能夠?qū)φ麄€區(qū)塊進(jìn)行取證，同時管理整個電子數(shù)據(jù)庫，電子數(shù)據(jù)取證模型如圖1所示。其中，所有的管理節(jié)點(diǎn)、普通節(jié)點(diǎn)都可以叫作計算節(jié)點(diǎn)。

圖1 電子數(shù)據(jù)取證模型

3.2 基于Merkle樹的算法設(shè)計

在基于區(qū)塊鏈的電子數(shù)據(jù)云取證系統(tǒng)中，需要采取一種取證算法進(jìn)行計算，使其形成一種數(shù)據(jù)結(jié)構(gòu)模型，其中每一個數(shù)據(jù)區(qū)塊都包含4個模塊，即區(qū)塊ID地址、區(qū)塊根部數(shù)據(jù)、數(shù)據(jù)特性以及區(qū)塊保全數(shù)據(jù)數(shù)量。

3.3 區(qū)塊共識算法設(shè)計

區(qū)塊一般采用共識算法的目的主要是為了解決區(qū)塊鏈網(wǎng)絡(luò)中存在的數(shù)據(jù)容量、存儲問題。傳統(tǒng)的算法計算時間長、計算容量小，因此在電子數(shù)據(jù)取證網(wǎng)絡(luò)中并不合適。在區(qū)塊共識算法中，要求計算的錯誤節(jié)點(diǎn)要小于一定值，就可以確保電子數(shù)據(jù)取證系統(tǒng)的正常狀態(tài)。在電子數(shù)據(jù)取證系統(tǒng)中，從頭到尾計算一次數(shù)據(jù)的結(jié)果被稱為視圖，每一個視圖設(shè)置一個編號，從0開始。假如某個視圖的區(qū)塊不能實(shí)現(xiàn)共識，就要進(jìn)行視圖的更換，這個時候編號也會往上遞增，直到實(shí)現(xiàn)共識，若使用新的區(qū)塊，則重新開始算法設(shè)計。