孫國梓,耿偉明,陳丹偉,林清秀

(1.南京郵電大學(xué)計算機(jī)技術(shù)研究所,南京 210003;2.南京郵電大學(xué)計算機(jī)學(xué)院,南京 210003)

電子數(shù)據(jù)取證的可信固定方法

孫國梓1,2,耿偉明2,陳丹偉1,2,林清秀2

(1.南京郵電大學(xué)計算機(jī)技術(shù)研究所,南京 210003;2.南京郵電大學(xué)計算機(jī)學(xué)院,南京 210003)

在介紹傳統(tǒng)電子數(shù)據(jù)固定方法的基礎(chǔ)上,針對可信取證理念,給出電子數(shù)據(jù)靜態(tài)屬性可信的支撐框架和可信固定方法.運(yùn)用DSA數(shù)字簽名、時間戳技術(shù),并結(jié)合基于證實(shí)數(shù)字簽名的第 3方保證方案,研究電子數(shù)據(jù)具體的可信固定算法.通過形式化分析,定義并描述電子數(shù)據(jù)靜態(tài)屬性可信的約束規(guī)則,為電子數(shù)據(jù)可信固定提供支持.結(jié)合取證實(shí)例,運(yùn)用已總結(jié)的公理和規(guī)則進(jìn)行可信取證的形式化分析.結(jié)果表明,該方法能對電子證據(jù)進(jìn)行可信固定.

電子數(shù)據(jù)取證;可信取證;可信固定;形式化分析

目前,網(wǎng)絡(luò)和計算機(jī)犯罪的數(shù)量逐年增加.打擊犯罪的關(guān)鍵在于獲得充分、可靠和強(qiáng)有力的證據(jù).信息犯罪的很多證據(jù)是以電子數(shù)據(jù)的形式通過計算機(jī)或網(wǎng)絡(luò)進(jìn)行存儲和傳輸?shù)?因此需要采用計算機(jī)對電子數(shù)據(jù)進(jìn)行取證(digital data forensics)[1].對計算機(jī)取證的研究,一直以來重點(diǎn)都是放在電子數(shù)據(jù)的獲取和對所取得數(shù)據(jù)的分析上.對于電子數(shù)據(jù)取證的有效性或可信性還缺乏相應(yīng)的論證,這樣取得的數(shù)據(jù)容易受到質(zhì)疑,其采信度也會降低.電子證據(jù)固定是司法鑒定工作的開始,同時也是后續(xù)所有鑒定工作的基礎(chǔ),因此電子證據(jù)的固定工作是否能使電子證據(jù)可信是至關(guān)重要的.

1 電子數(shù)據(jù)固定方法

電子證據(jù)的固定是指采用流程化的、標(biāo)準(zhǔn)的、合法的手段,使用專業(yè)的設(shè)備和軟件,在不修改原始介質(zhì)數(shù)據(jù)的前提下,創(chuàng)建出一個原始介質(zhì)的副本供后期工作使用.

1.1 傳統(tǒng)固定方法

根據(jù)固定時機(jī)的不同,電子證據(jù)固定分為靜態(tài)固定法和動態(tài)固定法.靜態(tài)固定一般是針對靜態(tài)的相對穩(wěn)定的數(shù)據(jù)進(jìn)行的固定.一般說來,靜態(tài)固定的工作相對簡單,因?yàn)榇鎯橘|(zhì)及電子數(shù)據(jù)已經(jīng)處于靜止?fàn)顟B(tài),不存在外在破壞威脅因素,只要設(shè)備和方法得當(dāng),就可以很好地進(jìn)行固定工作.而動態(tài)固定,由于存在外在攻擊及破壞性,電子證據(jù)的固定相對較難.對于動態(tài)固定,一般固定流程[2]為:記錄現(xiàn)場計算機(jī)的連接狀態(tài)—固定易失數(shù)據(jù)—關(guān)閉當(dāng)前計算機(jī)系統(tǒng)—取出硬盤介質(zhì)—對硬盤介質(zhì)進(jìn)行寫保護(hù)—使用專用設(shè)備進(jìn)行硬盤復(fù)制—數(shù)字簽名并封存保護(hù)—固定結(jié)束.硬盤復(fù)制機(jī)固定法和“只讀鎖 +軟件”固定法是常用的 2種電子證據(jù)固定方法.前者采用基于位對位復(fù)制原理的高速硬盤設(shè)備進(jìn)行復(fù)制,并使用 MD5算法進(jìn)行一致性驗(yàn)證;后者是在原始硬盤的接口與所帶的硬盤復(fù)制機(jī)接口不匹配或副本硬盤的容量比原始硬盤小等情況下使用的方法,例如,可通過 Encase的獲取功能,將硬盤介質(zhì)的內(nèi)容生成符合國際慣例的 E01文件,并通過 MD5算法進(jìn)行一致性驗(yàn)證.

1.2 可信取證與可信固定方法

針對目前計算機(jī)取證中“人 +工具”的取證現(xiàn)狀和取證模式,考慮將當(dāng)前的取證模式擴(kuò)充為“人 +工具 +證明”,即在著眼于利用工具取得證據(jù)的同時,盡可能分享經(jīng)驗(yàn)豐富的取證人員的知識和經(jīng)驗(yàn),并建立一套以邏輯、自動機(jī)等數(shù)學(xué)理論為基礎(chǔ)的形式化取證模型,同時從理論上證明模型在取證中的有效性(即取證是可信的),最終形成一套可信取證的證明體系,以使電子數(shù)據(jù)的取證系統(tǒng)更加完備,所取得的數(shù)據(jù)更具說服力.借鑒可信計算的思想,文獻(xiàn)[2]提出“可信取證”(trusted forensics)理念,結(jié)合電子數(shù)據(jù)的固有特征和取證行為,將電子數(shù)據(jù)可信取證宏觀分為 2個方面:1)可信的靜態(tài)屬性(電子數(shù)據(jù)本身的靜態(tài)特征可信);2)可信的動態(tài)行為(由電子數(shù)據(jù)轉(zhuǎn)換為證據(jù)所需的過程或行為可信).以此為基礎(chǔ),實(shí)現(xiàn)指定電子數(shù)據(jù)可信獲取(發(fā)現(xiàn)、固定、提取)和可信展現(xiàn)(分析、表達(dá)).本文所指的電子證據(jù)的固定,是指在電子證據(jù)可信發(fā)現(xiàn)(在不破壞電子證據(jù)靜態(tài)屬性前提下,采用一定的嗅探技術(shù)或匹配檢索技術(shù)對電子證據(jù)進(jìn)行發(fā)現(xiàn)的過程)的假設(shè)前提下,對電子證據(jù)進(jìn)行固定備份,以備后續(xù)電子證據(jù)的可信提取和可信展現(xiàn)等過程.針對圖 1所示的可信支撐框架,給出其形式化的描述過程.

定義 1 支撐層次模型,定義 6元組來表示電子數(shù)據(jù)靜態(tài)屬性可信的支撐層次模型(Trusted Discovery,Trusted Fix,Trusted Extraction,Rule Storage,Tools＆Sofewares,Evidence Collected Machine,Evidence Collected-Machine Transcription,Operation Set).

其中,TrustedDiscovery是可信發(fā)現(xiàn),指在不破壞電子數(shù)據(jù)靜態(tài)特征的前提下,對可能的電子證據(jù)進(jìn)行發(fā)現(xiàn)的過程,當(dāng)有取證需求時,可信發(fā)現(xiàn)模塊的工作引擎觸發(fā)相應(yīng)的工作模塊,對被取證機(jī)進(jìn)行分析,并把分析的結(jié)果報告給可信固定模塊;TrustedFix指可信固定,即在不破壞電子數(shù)據(jù)靜態(tài)屬性的前提下或者為了能保證電子證據(jù)靜態(tài)屬性的可信性而采取的固定手段或方法;Evidence Collected Machine是被取證機(jī);Evidence Collected Machine Transcription是被取證機(jī)副本,它具有與Evidence Collected Machine同樣的有效性,是后續(xù)取證操作的副本;Trusted Extraction指可信提取,是使用相應(yīng)的技術(shù)手段從被取證機(jī)副本中提取出有效的證據(jù)信息,以便提供給相關(guān)的司法部門作為證據(jù);Rule Storage是操作規(guī)則庫,根據(jù)具體情況給出對應(yīng)的操作規(guī)則;Tools＆Sofewares是進(jìn)行操作可以調(diào)用的工具和軟件;Operation Set是操作集合,起到信息反饋和各個模塊之間的連接作用.

定義該模型及其模型組元之間的關(guān)系規(guī)則:

規(guī)則 1 fbj(j=1,2,3,…,n)表示某一特定的取證活動,fs為某取證操作服務(wù),FB為全部取證操作集合,則?fs,?fb1,fb2,fb3,…,fbn∈FB,滿足(fb1,fb2,fb3,…,fbn)→fs.

即每個取證操作服務(wù)都要由 1個取證行為序列完成.

規(guī)則 2 設(shè) fsj(j=1,2,3,…,n)表示一系列特定的取證操作服務(wù),fg表示某個取證操作的目的,則?fg,?fs1,fs2,fs3,…,fsn,滿足

即某個取證操作目的由 1個或多個取證操作服務(wù)達(dá)到.

圖1 電子數(shù)據(jù)靜態(tài)屬性可信的支撐框架Fig.1 Framework of trusted static-attribute for digital data

2 基于時間戳的可信固定方法

為了研究方便,把前面電子證據(jù)可信固定的方法定義為函數(shù) TF().例如,對于電子證據(jù) X,TF(X)表示采用此種方法對電子證據(jù) X進(jìn)行固定.本節(jié)在計算機(jī)取證的基礎(chǔ)上,以確定目標(biāo)信息可信性為目的,運(yùn)用 DSA(digital signature algorithm)數(shù)字簽名機(jī)制及簡單時間戳技術(shù)[3-9],提出一種保證和證明電子證據(jù)完整性、可信性的方案.在基于密碼學(xué)及簡單時間戳的前提下,證明方案的安全性和可信性.

2.1 理論基礎(chǔ)

時間戳機(jī)制包括 3方:1)時間戳服務(wù)機(jī)構(gòu) TSA;2)時間戳申請者 A;3)時間戳信賴者 R.

本文把即時產(chǎn)生的信息文檔記為 fi;單向哈希函數(shù)記為 h();h()生成的消息摘要記為 d;時間戳簽名記為 tsd;時間戳函數(shù)記為 sig();t為 TSA收到時間戳請求的時間;被取證機(jī)記為 S;使用‖表示字符串連接操作;C表示信息記錄一致性驗(yàn)證者.關(guān)于時間戳簽名協(xié)議的描述參見文獻(xiàn)[3-4],另外可參考文獻(xiàn)[5-8]了解數(shù)字簽名的 DSA算法.

2.2 電子數(shù)據(jù)可信固定流程

計算機(jī)系統(tǒng)中需安全轉(zhuǎn)移的關(guān)鍵性文件主要有系統(tǒng)安全日志、入侵檢測日志以及各種重要應(yīng)用程序安全記錄等.這些文件信息記錄是逐條產(chǎn)生的,網(wǎng)絡(luò)惡意入侵者成功入侵后的第一件事就是刪除其中與其入侵過程有關(guān)的信息記錄或者直接刪除文件.因此相應(yīng)的信息記錄必須在產(chǎn)生之后盡快復(fù)制、簽名,并進(jìn)行安全轉(zhuǎn)移.為了快速地對新產(chǎn)生的信息記錄 fi進(jìn)行安全轉(zhuǎn)移,必須在 fi生成的時候就進(jìn)行復(fù)制、簽名和安全存儲,見圖 2[9].1)生成新紀(jì)錄 fi,即時轉(zhuǎn)移該信息到安全存儲器,并用數(shù)字簽名軟件進(jìn)行哈希值計算,di=h(fi);發(fā)送到權(quán)威時間戳服務(wù)器 TSA進(jìn)行

數(shù)字簽名,并回送到安全存儲器 S,進(jìn)行安全保存.2)針對 p、q、g公開的要求,產(chǎn)生滿足條件的素數(shù) p和 q,計算 g=h(p-1)/qmod p.同時,產(chǎn)生隨機(jī)的小于q的 k值,計算出對應(yīng)的 r和 k-1.3)由上述一組結(jié)果(ki,,ri),根據(jù)公式 y=gxmod p計算相應(yīng)的公開密鑰 yi.根據(jù)公式 s=(k-1(SHA(f)+xr))mod q計算相應(yīng)的 si.至此,得到的 ri和 si就是被取證機(jī) S對第 i條信息記錄 fi的數(shù)字簽名.當(dāng) 1條新的信息記錄

的簽名完成,S就將簽名ri、si、信息記錄f′i、記錄序列號i以及該記錄生成的時間ti發(fā)送到安全存儲對象M中.可以驗(yàn)證 S簽名的有效性,也可以驗(yàn)證第 i條簽名所對應(yīng)的信息摘要有效,有效防止第 i條簽名與第 i-1條簽名之間被刪除或添加任何記錄,具體電子數(shù)據(jù)信息簽名的驗(yàn)證參考文獻(xiàn)[9].

2.3 基于證實(shí)數(shù)字簽名的第 3方保證

圖2 電子數(shù)據(jù)可信固定流程Fig.2 Workflow of trusted fixing for digital data

上述電子證據(jù)的固定方案,某種程度上而言,已經(jīng)可以保證電子數(shù)據(jù)經(jīng)簽名后的有效性.為了更好地進(jìn)行電子數(shù)據(jù)的可信固定,與前面的方案相結(jié)合,參考文獻(xiàn)[5],本文繼續(xù)引入一種證實(shí)數(shù)字簽名的方案,從第 3方(或稱證實(shí)者)的角度來加以保證.在電子數(shù)據(jù)取證的過程中,證實(shí)數(shù)字簽名的參與方有簽名者S(犯罪嫌疑人),證實(shí)者 C(第 3方的司法鑒定機(jī)構(gòu))以及驗(yàn)證者 V(公檢法等相關(guān)職能部門).由此,構(gòu)建數(shù)字簽名的相應(yīng)算法.圖 3給出了第 3方保證的算法流程.

1)犯罪嫌疑人 S的密鑰生成算法 針對(p,q,g)的公開要求,假定 y是犯罪嫌疑人的公開鑰,x是對應(yīng)的秘密鑰,且 y=gxmod p.由此得到CKGS(1l)=SKG(1l)→(p,q,g,y,x).

2)第 3方司法鑒定機(jī)構(gòu) C的密鑰生成算法 設(shè)n是2個大素數(shù)的乘積,(n,e)是公開鑰,d是相應(yīng)秘密鑰,則有 CKGC(1l)=EKG(1l)→(n,e,d).

3)犯罪嫌疑人S的簽名算法 使用DSA中的普通數(shù)字簽名算法 Sig對信息簽名,得到關(guān)于信息 m={0,1}*的簽名,再利用 RSA對簽名(r,s)進(jìn)行加密,得到證實(shí)簽名 σ=(c1,c2)=(remod n,semod n).文獻(xiàn)[5]給出了證實(shí)與否認(rèn)算法.另外,也可考慮利用文獻(xiàn)[6]的有效群簽名方案進(jìn)行第 3方的公正鑒定,限于篇幅,本文不再深入討論.

圖3 第 3方保證流程Fig.3 Workflow of third party guarantee

3 電子數(shù)據(jù)靜態(tài)屬性可信的約束規(guī)則

以下列出的是規(guī)范電子數(shù)據(jù)靜態(tài)屬性可信約束的部分定義、公理和規(guī)則.首先對它們進(jìn)行形式化的描述.

定義 2 電子數(shù)據(jù)取證操作,指運(yùn)用一定的合乎規(guī)范的方法和流程,從計算機(jī)或計算機(jī)網(wǎng)絡(luò)中獲取數(shù)據(jù)的過程.

定義 3 電子數(shù)據(jù)取證規(guī)范,指為了保證電子數(shù)據(jù)的可信性,在取證過程中,必須遵循的一系列行為準(zhǔn)則.

定義 4 電子數(shù)據(jù)取證可信,指所取得的數(shù)據(jù)具有完整性和原始數(shù)據(jù)的一致性.

定義 5 電子數(shù)據(jù)靜態(tài)特征可信,指與原始數(shù)據(jù)相比較,復(fù)件電子證據(jù)的屬性沒有發(fā)生變化.

定義 6 原始數(shù)據(jù),指計算機(jī)或計算機(jī)網(wǎng)絡(luò)中所包含的所有數(shù)據(jù),記為 D={d1,d2,d3,… ,dm}.

定義7 所取數(shù)據(jù),指運(yùn)用一定的取證手段從原始數(shù)據(jù)中提取出的數(shù)據(jù),記為D′={d′1,d′2,d′3,…,d′m},其中m＞=1.

定義 8 電子證據(jù)類型,指 estyle={efstyle,evolatile},其中,efstyle為固定型數(shù)據(jù),evolatile為易于揮發(fā)的電子數(shù)據(jù),也即非固定型數(shù)據(jù).

定義 9 電子證據(jù)創(chuàng)建時間,記作 EST={est1,est2,est3,…,estr}.其中,r＞=1,r是自然數(shù).

定義 10 可信發(fā)現(xiàn) TD={td1,td2,td3,…,tdn},是指在保證電子證據(jù)不被破壞的前提下,對可能的電子證據(jù)進(jìn)行發(fā)現(xiàn)的操作.例如,在預(yù)見可能存在易失數(shù)據(jù)的前提下,不能采取關(guān)機(jī)操作,而要采取安全的措施獲取易失數(shù)據(jù).

定義 11 可信固定 TF={tf1,tf2,tf3,…,tfm},是指在從 TD→TD′的過程中,保證 SD′EST?SDEST,即保證SD′EST與 SDEST具有一致性 .

定義12 可信操作TO={to1,to2,to3,…,tok},TF?TO∧TD?TO,指能保證電子證據(jù)靜態(tài)屬性可信的操作;

定義 13 取證開始時,計算機(jī)所處的狀態(tài)集合為 S={s,r,c,?c},其中,s表示關(guān)閉,r表示運(yùn)行,c表示聯(lián)網(wǎng),?c表示未聯(lián)網(wǎng).

定義 14 電子證據(jù)轉(zhuǎn)換模型,是指電子證據(jù)由原始證據(jù)到所取證據(jù)的轉(zhuǎn)換過程流程.其形式化的轉(zhuǎn)換如圖 4所示.其中,轉(zhuǎn)換工作指由 D→D′的過程中所有的工作.

定義 15 定義 es為 D的載體,es′為 es的副本.

下面給出電子數(shù)據(jù)可信取證中的一些公理、規(guī)則.

公理 1 ?di∈ D,dj=TF(di),則 di.lmt=dj.lmt,di.lvt≠ dj.lvt,di.est≠ dj.est,di.ctxt≠ dj.ctxt(lmt為最后一次更改的日期時間;lvt為最后一次訪問時間;est為創(chuàng)建的日期時間;ctxt為電子證據(jù)內(nèi)容).

公理 2 ?di∈ D,dj=copy(di),則 di.lmt=dj.lmt,di.lvt≠ dj.lvt,di.est≠ dj.est,di.ctxt≠ dj.ctxt.

公理 3 ?di∈D,dj=open(di),則 di文件的訪問時間屬性發(fā)生變化.

公理 4 ?di∈ D∧ ?dj∈ D′,若 E(di)=E(dj),則 E可信 .

規(guī)則 3 ?di∈ D∧ ?dj∈ D′,若 MD5(di)=MD5(dj),則 di≡ dj,取證可信.

規(guī)則 4 ?di∈ D∧ ?dj∈ D′,若 dj=m irror(di),則 di≡ dj,即 di與 dj可看作完全一致.

規(guī)則 5 if(M=C)then D.R=D′.R(如果文件的最后寫或修改時間等于創(chuàng)建時間,則認(rèn)為文件的靜態(tài)屬性可信).

規(guī)則 6 ?di∈D∧di.estyle=evolatile,如果關(guān)閉電源,則 di丟失取證無效.

圖4 電子證據(jù)轉(zhuǎn)換流程Fig.4 Conver flow of digital evidence

規(guī)則 7 取證檢查時,保證目標(biāo)計算機(jī)系統(tǒng),避免發(fā)生任何改變、傷害、數(shù)據(jù)破壞或病毒感染.

規(guī)則 8 所有的取證分析必須是在復(fù)制的硬盤上進(jìn)行的.

規(guī)則 9 如果 es′=bitmirror(es),則取證可信,即比特級別的鏡像載質(zhì)與原載質(zhì)完全等同.

規(guī)則 10 取證工具處于安全的環(huán)境中,取證工具沒有破壞或者被病毒感染.

規(guī)則 11 盡力搜索所有可能存在證據(jù)的地方.

規(guī)則 12 分析電子數(shù)據(jù)要在磁盤的鏡像拷貝介質(zhì)里進(jìn)行,而不能在原始介質(zhì)上進(jìn)行分析.

規(guī)則 13 加解密技術(shù)對數(shù)據(jù)進(jìn)行安全保護(hù)主要有 2種方式:保密和證明數(shù)據(jù)的完整性.

規(guī)則 14 ?di∈ D,?aj,ak∈ A,若 ai(di)? aj(di),則 aj、ak有效 .

4 實(shí)例分析

下面給出文獻(xiàn)[10]中描述的華盛頓大學(xué)計算機(jī)安全服務(wù)小組的資深專家 Dave Dittrich對計算機(jī)取證的實(shí)例分析.Dave Dittrich在有證據(jù)顯示計算機(jī)系統(tǒng)正在被入侵時切斷了系統(tǒng)的電源,之后對原始硬盤進(jìn)行物理拷貝,并用 MD5對硬盤上的數(shù)據(jù)信息進(jìn)行摘要.在遵循一系列計算機(jī)取證原則的基礎(chǔ)上,他首先使用標(biāo)準(zhǔn)的 UNIX工具進(jìn)行分析,發(fā)現(xiàn) passwd文件中出現(xiàn)了 3個可疑的賬號,于是以此為線索,進(jìn)一步發(fā)現(xiàn)了入侵者在受害機(jī)器上安裝黑客工具 rootkit的證據(jù).接下來,Dave Dittrich使用 TCT工具,對系統(tǒng)中所有文件進(jìn)行 MAC時間排序,并恢復(fù)被刪除的文件,隨后,他開始從大量的數(shù)據(jù)中尋找入侵證據(jù),最后形成完整的最終調(diào)查報告.Dave Dittrich所作的主要工作:1)馬上切斷系統(tǒng)電源;2)對原始硬盤進(jìn)行物理拷貝;3)同時用 MD5對原始硬盤上的數(shù)據(jù)做摘要,保存原始證據(jù)和摘要信息;4)在取證的過程中,對取證中的每個步驟和發(fā)現(xiàn)都進(jìn)行詳細(xì)的記錄;5)將物理復(fù)制的磁盤以只讀方式安裝在取證系統(tǒng)上;6)使用標(biāo)準(zhǔn)的 Unix工具進(jìn)行分析,發(fā)現(xiàn)可疑賬號和與這些賬號相關(guān)的可疑文件,找到了安裝黑客文件的證據(jù)及黑客文件;7)使用 TCT(the coroner's toolkit)工具,對系統(tǒng)中所有文件按 MAC時間進(jìn)行排序,并恢復(fù)出所有被刪除的文件,尋找線索;8)匯總所有證據(jù),形成取證報告.后續(xù)的調(diào)查也證明,該次計算機(jī)取證為確定犯罪嫌疑人提供了進(jìn)一步的證據(jù).

分析該次計算機(jī)取證和分析過程,結(jié)合上文的取證步驟、公理和規(guī)則,證明取證過程可信.取證開始,計算機(jī)的初始狀態(tài)為 r(運(yùn)行狀態(tài))和 c(聯(lián)網(wǎng)狀態(tài)).

取證步驟 1),保證了接下來要取得的數(shù)據(jù)與原始數(shù)據(jù)一致(若采取正常方式關(guān)閉 Unix系統(tǒng),系統(tǒng)的緩存文件將被清除;采用斷電的非正常關(guān)閉系統(tǒng)方式,則不會丟失這些文件).取證過程可信.

取證步驟 2),在此次取證過程中,重點(diǎn)是要發(fā)現(xiàn)入侵者,拷貝中會改變的文件屬性對最后結(jié)果無影響,過程可信.

取證步驟 3),根據(jù)規(guī)則 3,過程可信.

取證步驟 5),根據(jù)公理 4,在對證據(jù)的分析過程中,取證人員以只讀方式分析所取證據(jù),分析過程可信.

取證步驟 6)和 7),滿足公理 3及規(guī)則 14,取證人員先后運(yùn)用了標(biāo)準(zhǔn) Unix工具和 TCT工具對所取數(shù)據(jù)進(jìn)行分析,2種工具的分析方法互補(bǔ),分析過程可信.

綜合對于取證過程及分析過程的形式化分析,可知取證方法和所取數(shù)據(jù)均可信,因此可得此次計算機(jī)取證可信.事實(shí)也證明,此次取證達(dá)到了要求,確定了犯罪嫌疑人.

5 結(jié)束語

本文針對電子數(shù)據(jù)靜態(tài)特征進(jìn)行了抽象和描述,給出一種保證電子證據(jù)可信的電子證據(jù)的固定方法和體系,描述了電子證據(jù)的形式化表達(dá)方法,并通過電子證據(jù)的取證實(shí)例進(jìn)行了分析.本文僅針對可信固定的相關(guān)方面進(jìn)行了研究,對于電子數(shù)據(jù)取證的有效性,即可信取證的其他方面仍需進(jìn)一步研究.

[1]麥永浩,孫國梓,許榕生,等.計算機(jī)取證與司法鑒定[M].北京:清華大學(xué)出版社,2009:1-9.

[2]林清秀.電子數(shù)據(jù)可信取證的形式化方法研究[D].南京:南京郵電大學(xué)計算機(jī)學(xué)院,2009.LIN Qing-xiu.Research on the formalism of trusted forensics on digital data[D].Nanjing:College of Computer,Nan jing University of Posts＆Telecommunications,2009.(in Chinese)

[3]薛金蓉,張洪斌.可信時間戳的網(wǎng)絡(luò)服務(wù)器取證技術(shù)研究[J].電子科技大學(xué)學(xué)報,2007,36(6):1404-1406.XUE Jin-rong,ZHANG Hong-bin.Technical research of reliable time stamp based network server forensics[J].Journal of University of Electronic Science and Technology of China,2007,36(6):1404-1406.(in Chinese)

[4]BRADLEY S,GEORGE M,ANDREW C.A correlation method for establishing provenance of timestamps in digital evidence[J].Digital Investigation,2006,3(1):98-107.

[5]王尚平,王育民,張亞玲.基于 DSA及RSA的證實(shí)數(shù)字簽名方案[J].軟件學(xué)報,2003,14(3):588-593.WANG Shang-ping,WANG Yu-min,ZHANG Ya-ling.A con firmer signature scheme based on DSA and RSA[J].Journal of Software,2003,14(3):588-593.(in Chinese)

[6]陳少真,李大興.基于DSA的適合大群體的有效群簽名[J].計算機(jī)研究與發(fā)展,2004,41(2):282-286.CHEN Shao-zhen,LI Da-xing.An efficient group signature scheme for large group on DSA[J].Journal of Computer Research and Development,2004,41(2):282-286.(in Chinese)

[7]BRUCE J,NIKKEL.A portable network forensic evidence collector[J].Digital Investigation,2006,3(3):127-135.

[8]ZOU C,CHIGAN C X.On game theoretic DSA-driven MAC for cognitive radio networks[J].Computer Communications,2009,32(18):1944-1954.

[9]綦朝暉,孫濟(jì)洲,郭琳琳.一種基于計算機(jī)取證的信息一致性方案[J].計算機(jī)工程,2006,32(11):172-173,176.QIZhao-hui,SUN Ji-zhou,GUO Lin-lin.Message integrity scheme on computer forensics[J].Computer Engineering,2006,32(11):172-173,176.(in Chinese)

[10]DITTRICH D.Basic steps in forensic analysis of Unix systems[EB/OL].(2001-12-09)[2009-02-06]http:∥staff.washing ton.edu/dittrich/misc/forensics/.

(責(zé)任編輯 劉 瀟)

One Trusted Fix Method of Digital Data Forensics

SUNGuo-zi1,2,GENGWei-ming2,CHEN Dan-wei1,2,LIN Qing-xiu2
(1.Institute of Computer Technology,Nan jing University of Posts and Telecommunications,Nan jing 210003,China;2.College of Computer,Nanjing University of Posts and Telecommunications,Nanjing 210003,China)

After an introduction of the traditional fix method of digital data,in view of trusted forensics,a framework and its corresponding trusted fixmethod which supports the digital data's static properties is provided.Using DSA digital signature,timestamp,and the third confirmer signature scheme,the specific trusted fix algorithm of digital data is studied.Via formalized analyzing,the constraint rules for the digital data's static propertieshave been defined to be trusted,which also supports to the trusted fix.At last,with introduced axioms,theorems and rules,the formalized analyzing of trusted forensics is validated by certain examples.

digital data forensics;trusted forensics;trusted fix;formalized analyzing

TP 309

A

0254-0037(2010)05-0621-06

2009-12-10.

國家“十一五”計劃資助項目(2007BAK34B06);國家自然科學(xué)基金資助項目(60703086);南京郵電大學(xué)樊登計劃資助項目(NY 208009).

孫國梓(1972—),男,安徽天長人,副教授.

book=93,ebook=93