计算机取证系统中的电子证据防篡改系统设计
郭杰
摘要:文章综合考虑混沌系统的加密技术与分片Hashing技术等先进的信息安全技术,设计了一种能够应用于计算机取证中防篡改与保全电子证据的系统,实践表明,系统可良好地应用于计算机取证电子证据防篡改工作。
关键词:计算机取证;电子证据;防暮改系统
作为一种新的犯罪形式,计算机犯罪表现出犯罪主体专业化、行为智能化、客体复杂化、对象多样化、后果潜藏化等特征,依靠传统网络安全技术进行计算机犯罪防范的难度日益增加。计算机取证是获取、保存、分析与出示电子证据的过程,以对犯罪分子犯罪线索的挖掘与收集,对计算机犯罪的有效打击与预防为目的。以往,计算机取证多借助静态取证技术,在事后分析时进行相关证据的提取,采集的数据欠缺及时性与全面性,恢复的数据面临在之前就己被篡改的风险,法律效力并不高。文章进行计算机主动取证系统的设计,对于解决数据传输前与传输过程中证据的保全、防篡改方案的设计、证据的存储与访问管理等多种问题有非常重要的作用[1]。
1电子证据的性质与证明力
计算机、存储、网络等技术是电子证据产生、存储与传输等的必要工具,与高科技含量的技术设备相脱离,电子证据便无法实现保存与传输。所以,电子证据具有以下特性:(1)是一种根据编码规则处理的,用“0”或“1”来表示的二进制信息,由计算机语言记载,磁性介质对其进行保存,无形,不连续,易受到人为篡改;(2)对多种形式的信息予以综合,外在表现形式多样化;(3)直观,收集迅速,方便保存与传送,经复制后可以反复重现,操作简便。
电子证据的证明力可通过其与待证事项的关联性、证据自身的可靠性以及完整性来判断。很明显,若电子证据与待证事项之间的关联度极高,那么其对该事项的说服力也会非常强,有极高的证明价值。由此,证明力必然会很强。
2系统设计
2.1需求分析
为了更好地保证计算机取证后电子证据的原始性与可靠性,对其进行安全保存,系统设计需满足以下需求[2]。
(1)当取证人员在现场取得相应证据并提交入库时,需在这些数据上进行数字签名,同时,接受现场监督人员的签名,严格保证电子证据的完整性与不可否认性。
(2)电子数据需一次性提交,如果要对涉案计算机施以二次调查与取证,则需办理并出示相关的手续,如果第二次得到的取证结果与第一次取证结果存在冲突,取证人员作出删除第一次取证部分电子证据的决定,则需要进行删除流程的设置:首先,由取证人员向审批提交第二次取证获取的数据;然后,删除的文件信息,取证人员向审批人员进行汇报,解释删除的原因,接着,审批人员审批取证人员提交的二次证据以及相应的刪除需求;最后,若删除需求合理,则由审批人员执行对第一次取证相应电子证据的删除操作。
(3)证据要具有安全保密性,未经授权的人员不能获取系统中的电子证据,即使获取,也不能正常查阅。
(4)签名与加密电子证据之后,应由系统对其进行保存与镜像备份,同时,系统生成的日志同样需要备份。
(5)门限身份认证,经过授权的人员在登录系统进行相应电子证据查阅之时,要有第二人在场。具体而言,在第一用户登录系统之后并不能马上行使相应的权限,其权限的实现必须在第二用户输入密码之后,为了保证系统使用过程中不会出现人员长期离幵的问题,需设计实现要求,若用户在一定时间内并未对系统执行任何操作,系统会自动锁定,再次使用必须重新登录。
(6)设置读取与删除权限,对电子证据的读/写访问等进行控制,严格规范授权人员对系统与系统中电子证据的操作。
(7)对系统上全部操作进行记录,从用户登录系统开始,直到退出,全部操作都应记录下来,并保存到日志中。
(8)当电子证据出现问卷损坏、校验不符等问题时,应利用备份镜像对证据予以恢复,恢复过程中,对操作系统、文件系统、系统状态、相关设置等进行自动检测,同时,一并记录操作用户名、时间戳等于日志文件中。
2.2系统功能架构
根据上述系统功能需求,设计系统功能架构如图1所示。
2.2.1身份管理
管理取证系统中的人员身份信息,提供用户登录管理服务。
2.2.2访问控制
按照用户在案件中担任的角色进行对应权限的分配,限制、审计并记录人员使用系统的行为。
2.2.3证据安全
采用加密、分片Hashing等技术处理与存储电子证据,对证据完整性、机密性、不可篡改与抵赖性予以保证。
2.2.4审计备份
审计模块产生取证代理、取证中心与取证管理平台的运行日志,以辅助证据的形式对取证工作的环境、流程与司法取证流程规范的相符性等加以解释,具有监督功能;备份模块则负责远程备份电子证据与审计日志。
3系统证据安全模块功能实现
己有研究与设计成果表明,电子证据防篡改系统设计
中的身份管理、访问控制与审计备份模块取得的进展己较为明显,技术方面相对成熟,因此文章对系统证据安全模块的实现进行分析。
3.1数据加解密模块实现——混沌分组密码
以混沌映射对初值的敏感依赖性为依据,可生成大量不相关、类随机且可再生的信息。混沌分组密码的设计与模块实现思路为:Lorenz映射具有混迭特性,利用这一特性可生成强度高且非线性的替换表,在Arnold映射置换、非线性表替换以及加密扩散变换等的影响下取得单轮加密效果,然后利用多轮迭代对计算机证据进行置乱与扩散。
Arnold映射数学表达式为:
设[0,1]取值空间为,取任意初始值,在Lorenz映射多次迭代后,得到混纯序列,整数化处理后剔除重复数据。由此。与之间可构成一个高强度且非线性的替换表,实现对函数结构建。
设B,K是长度为64bit的证据,在Arnold映射置换之后划分为8个字节,分别为。由此,加密变换为:
8次加密变换后可得到连接生成长度为
64bit的密文匕此时,可通过得到函数/前结果。实际上,在完成Arnold映射扩展、Lorenz射以及加密变换之后,只会得到单个分组数据的单轮加密效果,为了获得完整的密文,还需利用替换表循环Arnold映射扩展与加密变r轮,之后,重新组合全部的分组数据。
3.2密钥保管模块实现——分片Hashing算法
在该系统中,需利用分片Hashmg将电子证据文件生成2?4个散列摘要。具体的散列摘要数量由证据文件的大小决定。分片Hashing算法如下:
4结语
计算机取证技术的不断发展,其操作中各个环节的完善性均日益提升。文章进行计算机取证系统中的电子证据防篡改系统设计与实现研究,是对相关部门需求的满足。系统对一些较为前沿的技术予以采用,例如混沌分组密码技术、分片Hashing技术等,与当前己有的电子证据防篡改系统相比实现了一定的创新,可对电子证据的保全需求予以满足。为了进一步保证证据防篡改与保全服务的安全性与可靠性,相关人员在今后需加强将系统服务器部署至Linux环境中的研究。
[参考文献]
[1]周荣.计算机取证系统中的电子证据防篡改研究[D].成都:电子科技大学,2009.
[2]张士斌,张厅锋,王世元,等电子证据收集与还原系统的设计与实现[J].信息网络安全,2013(8):5-9.