計算機取證系統中的電子證據防篡改系統設計

郭杰

摘要：文章綜合考慮混沌系統的加密技術與分片Hashing技術等先進的信息安全技術，設計了一種能夠應用于計算機取證中防篡改與保全電子證據的系統，實踐表明，系統可良好地應用于計算機取證電子證據防篡改工作。

關鍵詞：計算機取證；電子證據；防暮改系統

作為一種新的犯罪形式，計算機犯罪表現出犯罪主體專業化、行為智能化、客體復雜化、對象多樣化、后果潛藏化等特征，依靠傳統網絡安全技術進行計算機犯罪防范的難度日益增加。計算機取證是獲取、保存、分析與出示電子證據的過程，以對犯罪分子犯罪線索的挖掘與收集，對計算機犯罪的有效打擊與預防為目的。以往，計算機取證多借助靜態取證技術，在事后分析時進行相關證據的提取，采集的數據欠缺及時性與全面性，恢復的數據面臨在之前就己被篡改的風險，法律效力并不高。文章進行計算機主動取證系統的設計，對于解決數據傳輸前與傳輸過程中證據的保全、防篡改方案的設計、證據的存儲與訪問管理等多種問題有非常重要的作用[1]。

1電子證據的性質與證明力

計算機、存儲、網絡等技術是電子證據產生、存儲與傳輸等的必要工具，與高科技含量的技術設備相脫離，電子證據便無法實現保存與傳輸。所以，電子證據具有以下特性：（1）是一種根據編碼規則處理的，用“0”或“1”來表示的二進制信息，由計算機語言記載，磁性介質對其進行保存，無形，不連續，易受到人為篡改；（2）對多種形式的信息予以綜合，外在表現形式多樣化；（3）直觀，收集迅速，方便保存與傳送，經復制后可以反復重現，操作簡便。

電子證據的證明力可通過其與待證事項的關聯性、證據自身的可靠性以及完整性來判斷。很明顯，若電子證據與待證事項之間的關聯度極高，那么其對該事項的說服力也會非常強，有極高的證明價值。由此，證明力必然會很強。

2系統設計

2.1需求分析

為了更好地保證計算機取證后電子證據的原始性與可靠性，對其進行安全保存，系統設計需滿足以下需求[2]。

（1）當取證人員在現場取得相應證據并提交入庫時，需在這些數據上進行數字簽名，同時，接受現場監督人員的簽名，嚴格保證電子證據的完整性與不可否認性。

（2）電子數據需一次性提交，如果要對涉案計算機施以二次調查與取證，則需辦理并出示相關的手續，如果第二次得到的取證結果與第一次取證結果存在沖突，取證人員作出刪除第一次取證部分電子證據的決定，則需要進行刪除流程的設置：首先，由取證人員向審批提交第二次取證獲取的數據；然后，刪除的文件信息，取證人員向審批人員進行匯報，解釋刪除的原因，接著，審批人員審批取證人員提交的二次證據以及相應的刪除需求；最后，若刪除需求合理，則由審批人員執行對第一次取證相應電子證據的刪除操作。

（3）證據要具有安全保密性，未經授權的人員不能獲取系統中的電子證據，即使獲取，也不能正常查閱。

（4）簽名與加密電子證據之后，應由系統對其進行保存與鏡像備份，同時，系統生成的日志同樣需要備份。

（5）門限身份認證，經過授權的人員在登錄系統進行相應電子證據查閱之時，要有第二人在場。具體而言，在第一用戶登錄系統之后并不能馬上行使相應的權限，其權限的實現必須在第二用戶輸入密碼之后，為了保證系統使用過程中不會出現人員長期離幵的問題，需設計實現要求，若用戶在一定時間內并未對系統執行任何操作，系統會自動鎖定，再次使用必須重新登錄。

（6）設置讀取與刪除權限，對電子證據的讀/寫訪問等進行控制，嚴格規范授權人員對系統與系統中電子證據的操作。

（7）對系統上全部操作進行記錄，從用戶登錄系統開始，直到退出，全部操作都應記錄下來，并保存到日志中。

（8）當電子證據出現問卷損壞、校驗不符等問題時，應利用備份鏡像對證據予以恢復，恢復過程中，對操作系統、文件系統、系統狀態、相關設置等進行自動檢測，同時，一并記錄操作用戶名、時間戳等于日志文件中。

2.2系統功能架構

根據上述系統功能需求，設計系統功能架構如圖1所示。

2.2.1身份管理

管理取證系統中的人員身份信息，提供用戶登錄管理服務。

2.2.2訪問控制

按照用戶在案件中擔任的角色進行對應權限的分配，限制、審計并記錄人員使用系統的行為。

2.2.3證據安全

采用加密、分片Hashing等技術處理與存儲電子證據，對證據完整性、機密性、不可篡改與抵賴性予以保證。

2.2.4審計備份

審計模塊產生取證代理、取證中心與取證管理平臺的運行日志，以輔助證據的形式對取證工作的環境、流程與司法取證流程規范的相符性等加以解釋，具有監督功能；備份模塊則負責遠程備份電子證據與審計日志。

3系統證據安全模塊功能實現

己有研究與設計成果表明，電子證據防篡改系統設計

中的身份管理、訪問控制與審計備份模塊取得的進展己較為明顯，技術方面相對成熟，因此文章對系統證據安全模塊的實現進行分析。

3.1數據加解密模塊實現——混沌分組密碼

以混沌映射對初值的敏感依賴性為依據，可生成大量不相關、類隨機且可再生的信息?；煦绶纸M密碼的設計與模塊實現思路為：Lorenz映射具有混迭特性，利用這一特性可生成強度高且非線性的替換表，在Arnold映射置換、非線性表替換以及加密擴散變換等的影響下取得單輪加密效果，然后利用多輪迭代對計算機證據進行置亂與擴散。

Arnold映射數學表達式為：

設[0，1]取值空間為，取任意初始值，在Lorenz映射多次迭代后，得到混純序列，整數化處理后剔除重復數據。由此。與之間可構成一個高強度且非線性的替換表，實現對函數結構建。

設B，K是長度為64bit的證據，在Arnold映射置換之后劃分為8個字節，分別為。由此，加密變換為：

8次加密變換后可得到連接生成長度為

64bit的密文匕此時，可通過得到函數/前結果。實際上，在完成Arnold映射擴展、Lorenz射以及加密變換之后，只會得到單個分組數據的單輪加密效果，為了獲得完整的密文，還需利用替換表循環Arnold映射擴展與加密變r輪，之后，重新組合全部的分組數據。

3.2密鑰保管模塊實現——分片Hashing算法

在該系統中，需利用分片Hashmg將電子證據文件生成2?4個散列摘要。具體的散列摘要數量由證據文件的大小決定。分片Hashing算法如下：

4結語

計算機取證技術的不斷發展，其操作中各個環節的完善性均日益提升。文章進行計算機取證系統中的電子證據防篡改系統設計與實現研究，是對相關部門需求的滿足。系統對一些較為前沿的技術予以采用，例如混沌分組密碼技術、分片Hashing技術等，與當前己有的電子證據防篡改系統相比實現了一定的創新，可對電子證據的保全需求予以滿足。為了進一步保證證據防篡改與保全服務的安全性與可靠性，相關人員在今后需加強將系統服務器部署至Linux環境中的研究。

[參考文獻]

[1]周榮.計算機取證系統中的電子證據防篡改研究[D].成都：電子科技大學，2009.

[2]張士斌，張廳鋒，王世元，等電子證據收集與還原系統的設計與實現[J].信息網絡安全，2013（8）：5-9.endprint