◆徐達(dá)

（湖南省公安廳刑偵總隊(duì) 湖南 410000）

信息化程度越高，電子數(shù)據(jù)將越多，電子取證發(fā)展會(huì)有更大潛力，同時(shí)對(duì)電子物證檢驗(yàn)?zāi)芰σ笤礁?。信息新技術(shù)的應(yīng)用都將對(duì)電子物證檢驗(yàn)?zāi)芰μ岢鲂碌奶魬?zhàn)，物聯(lián)網(wǎng)技術(shù)將人、物無差別組網(wǎng)，帶來數(shù)據(jù)量呈爆炸型增長，現(xiàn)有電子物證檢驗(yàn)技術(shù)能力并不完全匹配信息技術(shù)的發(fā)展。分析基于物聯(lián)網(wǎng)技術(shù)帶來的安全風(fēng)險(xiǎn)，比較現(xiàn)有云環(huán)境下電子物證檢驗(yàn)技術(shù)的優(yōu)劣勢，要提升基于物聯(lián)網(wǎng)電子物證檢驗(yàn)?zāi)芰χ饕谟陔娮游镒C檢驗(yàn)技術(shù)能力和流程規(guī)范兩個(gè)方面?；谖锫?lián)網(wǎng)電子物證檢驗(yàn)要實(shí)現(xiàn)“案件中檢得出、法庭上信得過”的目標(biāo)，要善于創(chuàng)新、使用新技術(shù)，更要嚴(yán)格遵守電子物證檢驗(yàn)的工作流程。

1 物聯(lián)網(wǎng)技術(shù)與風(fēng)險(xiǎn)分析

物聯(lián)網(wǎng)是指將各種傳感器與互聯(lián)網(wǎng)相連接起來而構(gòu)成一個(gè)巨大的網(wǎng)絡(luò)。物聯(lián)網(wǎng)要實(shí)現(xiàn)物與物之間聯(lián)系的目標(biāo)，成為一個(gè)真正意義上的有效的物聯(lián)網(wǎng)，文獻(xiàn)[1]提到有兩個(gè)重要因素：一是規(guī)模性，在一定規(guī)模下才能發(fā)揮智能的作用；二是流動(dòng)性，實(shí)現(xiàn)物在運(yùn)動(dòng)狀態(tài)下隨時(shí)的對(duì)話?，F(xiàn)階段最具有代表性的物聯(lián)網(wǎng)體系架構(gòu)是EPC Global，該系統(tǒng)核心構(gòu)成為EPC編碼體系、射頻識(shí)別系統(tǒng)和信息網(wǎng)絡(luò)系統(tǒng)三部分。從物聯(lián)網(wǎng)的體系架構(gòu)分析可知，物聯(lián)網(wǎng)技術(shù)必須依托大數(shù)據(jù)技術(shù)、人工智能和云計(jì)算等技術(shù)，而技術(shù)的集成相應(yīng)也帶來了安全威脅的集中，因此物聯(lián)網(wǎng)技術(shù)面臨的挑戰(zhàn)前所未有。實(shí)現(xiàn)物與物之間連接，將原本較為封閉的網(wǎng)絡(luò)，變得更為開放，因此物聯(lián)網(wǎng)將更容易面臨信息泄露、信息篡改、偽造、冒名頂替、服務(wù)欺騙、病毒木馬等威脅。通過物聯(lián)網(wǎng)實(shí)現(xiàn)的違法犯罪活動(dòng)，其證據(jù)的主要存在形式將以電子數(shù)據(jù)的形式存在，加強(qiáng)對(duì)物聯(lián)網(wǎng)的電子取證已經(jīng)迫在眉睫。

2 物聯(lián)網(wǎng)下電子取證挑戰(zhàn)

電子物證檢驗(yàn)技術(shù)是信息時(shí)代公安機(jī)關(guān)的一項(xiàng)重要基礎(chǔ)技術(shù)，是打擊涉及網(wǎng)絡(luò)各類違法犯罪的撒手锏。電子物證檢驗(yàn)已經(jīng)在偵辦案件中廣泛應(yīng)用，從大量案件來看，電子物證在案件的偵辦過程中有著無可替代的位置。傳統(tǒng)電子取證的基本步驟包括收集犯罪現(xiàn)場的電子設(shè)備，保存電子設(shè)備的內(nèi)容，經(jīng)證明、分析、解釋形成報(bào)告并在法庭上展示結(jié)果。隨著大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等技術(shù)的興起，傳統(tǒng)電子物證檢驗(yàn)技術(shù)主要業(yè)務(wù)諸如在電子物證提取與固定、現(xiàn)場保護(hù)、易失數(shù)據(jù)提取、數(shù)據(jù)恢復(fù)、數(shù)據(jù)檢索、即時(shí)通訊檢驗(yàn)、手機(jī)檢驗(yàn)和視頻設(shè)備檢驗(yàn)等技術(shù)都面臨巨大的挑戰(zhàn)。物聯(lián)網(wǎng)取證過程主要挑戰(zhàn)來源有兩個(gè)方面：一方面是物聯(lián)網(wǎng)中涉案高價(jià)值電子數(shù)據(jù)的獲取，另一方面是物聯(lián)網(wǎng)技術(shù)下電子物證的法律可靠性。在電子物證獲取的挑戰(zhàn)方面主要為：（1）物聯(lián)網(wǎng)技術(shù)加強(qiáng)物與物、物與人之間的聯(lián)系，在各節(jié)點(diǎn)進(jìn)行通訊必將產(chǎn)生海量數(shù)據(jù)，證據(jù)發(fā)現(xiàn)難、定位難的問題給高價(jià)值涉案電子數(shù)據(jù)的固定、提取和數(shù)據(jù)檢索、電子物證檢驗(yàn)帶來巨量冗余工作；[2]（2）物聯(lián)網(wǎng)涉及繁雜的物、人等之間聯(lián)系，高強(qiáng)度的流動(dòng)性給電子物證檢驗(yàn)的現(xiàn)場保護(hù)、電子物證固定與提取造成極大壓力；（3）物聯(lián)網(wǎng)之間不再是單純的通訊設(shè)備間關(guān)系，將涉及更多物，各類物之間異構(gòu)數(shù)據(jù)、內(nèi)置設(shè)備差異都將給電子物證檢驗(yàn)帶來挑戰(zhàn)；（4）物聯(lián)網(wǎng)中多用戶信息間高強(qiáng)度的關(guān)聯(lián)，如何在保證其他用戶隱私的前提下提取完整的電子數(shù)據(jù)、形成證據(jù)鏈也是現(xiàn)階段面臨的一大挑戰(zhàn)。在電子數(shù)據(jù)法律的可靠性方面主要為：（1）物聯(lián)網(wǎng)電子數(shù)據(jù)在重構(gòu)案件過程中覆蓋面廣、涉及度深，信息溯源和案件重構(gòu)具有一定難度，容易出現(xiàn)證據(jù)鏈環(huán)節(jié)的缺失，而導(dǎo)致電子數(shù)據(jù)證據(jù)的不可信；（2）在大量的刑事案件中，電子數(shù)據(jù)作為證據(jù)在刑事訴訟過程中要堅(jiān)持以審判為中心，遵守嚴(yán)格的程序原則和相關(guān)技術(shù)標(biāo)準(zhǔn)，電子物證檢驗(yàn)在刑事訴訟過程中違背程序性將直接導(dǎo)致電子物證不可信[3]。

物聯(lián)網(wǎng)電子物證檢驗(yàn)技術(shù)上的瓶頸和法庭對(duì)電子數(shù)據(jù)的收集、提取、勘察、保管、鑒定等更高的要求，促使基于物聯(lián)網(wǎng)的電子物證需要統(tǒng)一規(guī)范的電子物證檢驗(yàn)標(biāo)準(zhǔn)和合理檢驗(yàn)流程。近幾年，針對(duì)電子物證取證的發(fā)展形勢，國內(nèi)外許多學(xué)者提出了許多對(duì)未來電子物證檢驗(yàn)技術(shù)發(fā)展具有建設(shè)性意見和技術(shù)。Hirano等人[4]提出一種名為LogDrive的框架，通過虛擬塊設(shè)備主動(dòng)收集數(shù)據(jù)，來監(jiān)測云環(huán)境中數(shù)據(jù)異常，采取虛擬存儲(chǔ)的日志記錄方式來記錄證據(jù)，并以時(shí)間序列的調(diào)查方式來呈現(xiàn)被覆蓋或刪除的證據(jù)文件。Kao等人[5]基于時(shí)間戳建立時(shí)間序列表記錄異常行為，提出一種可訪問修改CAM（created-accessed-modified）模型來提高電子證據(jù)分析的有效性。Jin Li等人[6]提出了一種基于群簽名和屬性簽名技術(shù)來對(duì)云環(huán)境中敏感文檔保密、來源記錄不可偽造、匿名云服務(wù)器的身份驗(yàn)證，從而能為后續(xù)電子物證檢驗(yàn)提供保障。丁麗萍等人[7]提出一種主動(dòng)式從云中抓取數(shù)據(jù)的ICFF架構(gòu)來提前預(yù)警分析的取證方式來對(duì)云環(huán)境進(jìn)行電子取證。林青山等人[8]提出了一種基于物聯(lián)網(wǎng)的云端取證技術(shù)體系架構(gòu)，通過建成基于小物聯(lián)傳輸網(wǎng)絡(luò)環(huán)境的遠(yuǎn)程取證裝置以及取證分析中心來對(duì)物聯(lián)網(wǎng)環(huán)境下數(shù)據(jù)進(jìn)行取證分析。王丹琛等人[9]結(jié)合木馬技術(shù)提出了基于業(yè)務(wù)用戶行為的計(jì)算機(jī)動(dòng)態(tài)取證評(píng)估模型，構(gòu)建基于云模型的業(yè)務(wù)用戶行為定量評(píng)估方法，隱蔽地記錄用戶行為并將獲取的信息反饋給取證控制端。黃曉芳等人[10]提出一種基于Merkle Tree的證據(jù)保全及改進(jìn)的共識(shí)算法來實(shí)現(xiàn)云計(jì)算環(huán)境下的去中心化電子取證，用以防止任何參與方（包括取證調(diào)查者、云服務(wù)提供商、用戶等）對(duì)取證信息的共謀篡改。綜上研究發(fā)現(xiàn)，國內(nèi)與云環(huán)境、物聯(lián)網(wǎng)取證相關(guān)的研究主要集中在虛擬機(jī)取證、虛擬機(jī)遷移技術(shù)、虛擬身份追蹤等方面，基于物聯(lián)網(wǎng)的電子取證技術(shù)從服務(wù)端獲取數(shù)據(jù)的方式較為普遍，鮮有從客戶端入手的取證方式，這也是物聯(lián)網(wǎng)高流動(dòng)性、服務(wù)端數(shù)據(jù)遠(yuǎn)多于客戶端等客觀原因造成的。

3 基于物聯(lián)網(wǎng)電子取證技術(shù)

基于物聯(lián)網(wǎng)的電子物證檢驗(yàn)主要從兩個(gè)方面開展，一方面是通過提取物端的數(shù)據(jù)，從而逐步關(guān)聯(lián)更多數(shù)據(jù)，另一方面是從云端海量數(shù)據(jù)中通過技術(shù)手段提取相關(guān)數(shù)據(jù)。從云端獲取數(shù)據(jù)可通過在云服務(wù)端設(shè)計(jì)方案事前記錄方式并提供接口給取證人員完成物聯(lián)網(wǎng)的電子取證，也可通過物端提取用戶的日志、數(shù)據(jù)、痕跡等數(shù)據(jù)的方式來相互關(guān)聯(lián)來重構(gòu)用戶行為時(shí)間線，進(jìn)而分析用戶的數(shù)據(jù)操作行為規(guī)律?，F(xiàn)階段，電子物證檢驗(yàn)的基礎(chǔ)技術(shù)包括：電子物證提取與固定、現(xiàn)場保全、易失性數(shù)據(jù)提取、數(shù)據(jù)恢復(fù)、數(shù)據(jù)搜索、文件一致性檢驗(yàn)、時(shí)間屬性檢驗(yàn)、上網(wǎng)記錄檢驗(yàn)、即時(shí)通訊檢驗(yàn)、手機(jī)檢驗(yàn)、視頻監(jiān)控設(shè)備檢驗(yàn)、介質(zhì)數(shù)據(jù)擦除等。面對(duì)日益更新的技術(shù)，基于物聯(lián)網(wǎng)的電子取證不但是需要技術(shù)的更新，還需要一個(gè)嚴(yán)格的基于物聯(lián)網(wǎng)的取證流程。如圖1所示，基于物聯(lián)網(wǎng)的電子物證檢驗(yàn)主要分為四個(gè)步驟：數(shù)據(jù)收集、數(shù)據(jù)檢驗(yàn)、證據(jù)分析和檢驗(yàn)報(bào)告。收集是指從物聯(lián)網(wǎng)中將相關(guān)數(shù)據(jù)集中提取，提取對(duì)象不限于數(shù)據(jù)中心、智能汽車端、PC、建筑等智能終端；檢驗(yàn)是指通過專業(yè)設(shè)備對(duì)采集的數(shù)據(jù)進(jìn)行檢驗(yàn)，將數(shù)據(jù)直觀展現(xiàn)；分析是指通過專業(yè)人員對(duì)所檢出的數(shù)據(jù)進(jìn)行研判、篩選重要信息；報(bào)告是物聯(lián)網(wǎng)電子物證檢驗(yàn)技術(shù)的最終環(huán)節(jié)，將電子數(shù)據(jù)形成具有法律效力的鑒定文書。

圖1 基于物聯(lián)網(wǎng)的電子取證步驟

當(dāng)前信息技術(shù)的高速發(fā)展，對(duì)電子物證檢驗(yàn)?zāi)芰μ岢隽诵碌囊蠛吞魬?zhàn)，以現(xiàn)有的電子物證取證技術(shù)來從物聯(lián)網(wǎng)中快速完成電子物證檢驗(yàn)明顯不能勝任，通過分布式計(jì)算智能分配負(fù)載，搭建高效的取證架構(gòu)是未來電子物證檢驗(yàn)的一個(gè)發(fā)展趨勢。搭建分布式取證架構(gòu)也符合當(dāng)前省、市、縣電子物證檢驗(yàn)?zāi)芰Ψ秩?jí)建設(shè)中“省級(jí)做精做專、地市做大做強(qiáng)、區(qū)縣做專做實(shí)”的目標(biāo)。電子物證檢驗(yàn)最根本的目的是將電子數(shù)據(jù)轉(zhuǎn)化成為證據(jù)，不論是從云端采取的事前取證，還是從易提取存儲(chǔ)介質(zhì)或客戶端提取的數(shù)據(jù)信息，都需要對(duì)用戶行為進(jìn)行行為重構(gòu)，為用戶的行為的認(rèn)定提供有力的依據(jù)。一方面物聯(lián)網(wǎng)電子取證涉及方眾多，彼此間利益不一，有可能致使服務(wù)商、外部攻擊者合謀篡改數(shù)據(jù)等問題，另一方面物聯(lián)網(wǎng)中數(shù)據(jù)量大且格式眾多，電子物證檢驗(yàn)所涉及的數(shù)據(jù)量遠(yuǎn)多于傳統(tǒng)數(shù)字取證，在格式雜亂、海量數(shù)據(jù)中容易發(fā)生數(shù)據(jù)丟失、篡改等問題從而導(dǎo)致證據(jù)不可信。由文獻(xiàn)[11-15]可知，刑事訴訟過程中也更加注重證據(jù)形成的程序性，基于物聯(lián)網(wǎng)的電子取證需要嚴(yán)格的取證流程，因此提出圖2所示基于物聯(lián)網(wǎng)的電子取證流程。

圖2 基于物聯(lián)網(wǎng)的電子取證流程

基于物聯(lián)網(wǎng)的電子數(shù)據(jù)要經(jīng)過分析、識(shí)別、證據(jù)分類、證據(jù)比較、證據(jù)定位等環(huán)節(jié)將相關(guān)的違法犯罪行為進(jìn)行重構(gòu)，從法律意義上認(rèn)定其行為具有犯罪行為后才能將所取得的電子數(shù)據(jù)認(rèn)定成證據(jù)。物聯(lián)網(wǎng)中電子數(shù)據(jù)轉(zhuǎn)變成證據(jù)的過程中，首先數(shù)據(jù)的固定需要將從物聯(lián)網(wǎng)取得的相關(guān)電子數(shù)據(jù)，在安全的條件下進(jìn)行存儲(chǔ)、固定，再通過專業(yè)分析技術(shù)手段對(duì)已固定好的數(shù)據(jù)進(jìn)行分析。通過分析后，能夠從固定的數(shù)據(jù)中識(shí)別到涉案電子數(shù)據(jù)，在此基礎(chǔ)上對(duì)已識(shí)別的數(shù)據(jù)初步預(yù)判相關(guān)電子數(shù)據(jù)所屬證據(jù)類別，然后通過比較和定位將犯罪嫌疑人的犯罪行為進(jìn)行重構(gòu)。當(dāng)行為重構(gòu)成功，能夠認(rèn)定犯罪行為，相關(guān)的電子數(shù)據(jù)才具備法律效力，若在過程重構(gòu)過程中，相關(guān)電子數(shù)據(jù)不具有法律效力或重構(gòu)犯罪行為過程中證據(jù)鏈缺失，則應(yīng)當(dāng)重新進(jìn)行證據(jù)識(shí)別過程。從整個(gè)物聯(lián)網(wǎng)的電子取證流程中可發(fā)現(xiàn)，取得數(shù)據(jù)是物理網(wǎng)電子取證的基礎(chǔ)環(huán)節(jié)，在此環(huán)節(jié)中需要將工作做扎實(shí)，保證取得的電子數(shù)據(jù)覆蓋面廣、縱橫深。在整個(gè)取證流程中，由于電子數(shù)據(jù)具有脆弱性、易失性、多態(tài)性、復(fù)合性等特點(diǎn)，要保證其合法性、及時(shí)性、準(zhǔn)確性、環(huán)境安全性就必須嚴(yán)格遵守取證流程。

4 結(jié)語

電子物證檢驗(yàn)技術(shù)雖然是一項(xiàng)新型刑事科學(xué)技術(shù)，但電子物證檢驗(yàn)技術(shù)發(fā)展的勢頭越來越好、地位越來越重要。在不久的將來，物聯(lián)網(wǎng)技術(shù)真正將人、物之間組網(wǎng)，電子數(shù)據(jù)量將呈現(xiàn)爆炸型增長，對(duì)物聯(lián)網(wǎng)電子物證檢驗(yàn)的挑戰(zhàn)將越來越多。大力提倡科學(xué)謀劃、創(chuàng)新技術(shù)、規(guī)范流程對(duì)基于物聯(lián)網(wǎng)電子物證取證發(fā)展大有益處，刑事科學(xué)技術(shù)要有啃最硬的骨頭的勇氣，挑最重?fù)?dān)子的擔(dān)當(dāng)，謀求電子物證檢驗(yàn)在5G時(shí)代取得更大的進(jìn)步。