張萌 上海市信息安全測(cè)評(píng)認(rèn)證中心

一、前言

目前，隨著越來(lái)越多的研究人員進(jìn)入云計(jì)算領(lǐng)域，針對(duì)移動(dòng)云計(jì)算（Mobile Cloud Computing ，MCC）的攻擊也愈發(fā)頻繁，攻擊類型愈發(fā)多樣，如僵尸網(wǎng)絡(luò)、DoS、DDoS、應(yīng)用層攻擊、網(wǎng)絡(luò)層攻擊及物理層攻擊等。

對(duì)于公安取證人員來(lái)說(shuō)，云正如一個(gè)黑盒子，盒子中的一切都是不可見的，取證人員無(wú)法通過(guò)物理接口進(jìn)入云系統(tǒng)獲取證據(jù)，這是公安取證人員在MCC進(jìn)行數(shù)字取證所面對(duì)的第一個(gè)問(wèn)題。此外，攻擊者可通過(guò)各種反取證技術(shù)來(lái)消除MCC中的攻擊痕跡，使得數(shù)字取證更加困難。MCC環(huán)境中的安全威脅和取證面臨的挑戰(zhàn)已引起了業(yè)界的高度關(guān)注，對(duì)MCC環(huán)境下的取證挑戰(zhàn)進(jìn)行梳理和分析具有現(xiàn)實(shí)意義。

二、移動(dòng)云計(jì)算

MCC是指通過(guò)移動(dòng)網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需的基礎(chǔ)設(shè)施、平臺(tái)、軟件(或應(yīng)用)等的一種IT資源或(信息)服務(wù)的交付與使用模式[1]。移動(dòng)終端用戶可通過(guò)智能移動(dòng)終端（Smart Mobile Device，SMD）直接在云上執(zhí)行高密度計(jì)算型應(yīng)用，并將執(zhí)行結(jié)果返回到SMD，從而方便的獲取數(shù)據(jù)、應(yīng)用，享受各種云服務(wù)。

事實(shí)上，固定終端用戶也可通過(guò)Web瀏覽器訪問(wèn)MCC，但移動(dòng)用戶因不受時(shí)間空間限制，故而在訪問(wèn)的便捷性上更具優(yōu)勢(shì)。隨著云計(jì)算技術(shù)的進(jìn)一步發(fā)展，MCC將成為SMD用戶大規(guī)模增長(zhǎng)的首要原因，據(jù)市場(chǎng)調(diào)查預(yù)測(cè)，至2018年全球通信網(wǎng)絡(luò)用戶數(shù)量將從現(xiàn)在的32億增長(zhǎng)至40億，這種巨大的轉(zhuǎn)變表明用戶對(duì)SMD的依賴程度越來(lái)越強(qiáng)[2]。SMD通過(guò)高速數(shù)據(jù)傳輸網(wǎng)絡(luò)連接到Internet，與傳統(tǒng)手機(jī)設(shè)備相比，SMD除了擁有智能操作系統(tǒng)之外還具有高容量嵌入式存儲(chǔ)以及高速連接功能。但與傳統(tǒng)計(jì)算機(jī)相比SMD仍存在不少弱點(diǎn)，如內(nèi)存容量、處理器速度以及電池續(xù)航時(shí)間等。

MCC恰好可以補(bǔ)足SMD自身的弱點(diǎn)（如內(nèi)存容量不足、處理器速度有限等），數(shù)據(jù)的存儲(chǔ)和處理過(guò)程都通過(guò)MCC的云資源進(jìn)行。SMD通過(guò)Wi-Fi、LTE和其他無(wú)線網(wǎng)絡(luò)上網(wǎng)并連接云資源，原本SMD上安裝的CPU及內(nèi)存占用率較高的應(yīng)用均可在MCC的云端保存并執(zhí)行。綜上，MCC實(shí)際上是通過(guò)移動(dòng)網(wǎng)絡(luò)連接SMD和云計(jì)算的樞紐，SMD的功能通過(guò)云計(jì)算得到改善。

MCC主要可分為以下三個(gè)組件：SMD、通信網(wǎng)絡(luò)和云計(jì)算。SMD連接到附近的基站或接入點(diǎn)，繼而再連入Internet；網(wǎng)絡(luò)運(yùn)營(yíng)商通過(guò)Internet連接SMD用戶和云端；云服務(wù)提供商（Cloud Service Provider，CSP）作為用戶和云之間的代理人提供用戶所需的云服務(wù)，其運(yùn)營(yíng)的云數(shù)據(jù)中心負(fù)責(zé)數(shù)據(jù)的存儲(chǔ)，此外，CSP還負(fù)責(zé)一些輔助性的系統(tǒng)維護(hù)、硬件容錯(cuò)、軟件更新等云端的實(shí)時(shí)服務(wù)。

三、移動(dòng)云環(huán)境下的取證

MCC的取證在打擊惡意入侵行為上起了至關(guān)重要的作用，與傳統(tǒng)網(wǎng)絡(luò)相比，MCC取證將面臨許多困難與挑戰(zhàn)。MCC取證可分為三個(gè)方向：移動(dòng)取證、網(wǎng)絡(luò)取證、云取證。

（一）移動(dòng)取證

SMD連接云平臺(tái)時(shí)需通過(guò)MCC，這給入侵者在云端實(shí)施攻擊提供了入口，他們使用SMD非法連接MCC資源并發(fā)起惡意攻擊，給其他合法用戶造成危害。許多企業(yè)允許員工在工作場(chǎng)所使用私有移動(dòng)設(shè)備，并允許設(shè)備連入公司網(wǎng)絡(luò)，如郵件系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)或其他應(yīng)用程序，一個(gè)新的理念隨機(jī)誕生：使用個(gè)人設(shè)備辦公（Bring Your Own Device，BYOD），這些個(gè)人設(shè)備包括筆記本電腦、智能手機(jī)、平板電腦等。

然而，在方便辦公的同時(shí)，員工SMD上遺留的痕跡和操作日志給企業(yè)帶來(lái)了安全風(fēng)險(xiǎn)。舉一個(gè)簡(jiǎn)單的例子，員工使用自己的智能手機(jī)通過(guò)Internet訪問(wèn)企業(yè)網(wǎng)絡(luò)，一旦手機(jī)丟失，由于手機(jī)中仍留有登錄訪問(wèn)企業(yè)網(wǎng)絡(luò)的日志數(shù)據(jù)，企業(yè)重要信息便岌岌可危了。此外，若手機(jī)曾訪問(wèn)過(guò)可疑云資源，也會(huì)給企業(yè)網(wǎng)絡(luò)帶來(lái)風(fēng)險(xiǎn)。移動(dòng)取證隨機(jī)誕生，通過(guò)訪問(wèn)SMD獲取攻擊證據(jù)從而對(duì)上述情況進(jìn)行防范。SMD中保存的聯(lián)系人列表、通話歷史（呼出、呼入、漏接）、日期時(shí)間、短信、彩信、照片、視頻、音頻、郵件、cookies、URL、安裝程序記錄、日歷、便簽、數(shù)據(jù)庫(kù)等，均可作為數(shù)字證據(jù)。移動(dòng)取證工具有Cellebrite手機(jī)取證分析系統(tǒng)、盤石手機(jī)取證分析系統(tǒng)等。

（二）網(wǎng)絡(luò)取證

SMD連接MCC云資源的途徑多種多樣，可以是3G/4G網(wǎng)絡(luò)、LTE、Wifi或其他無(wú)線網(wǎng)絡(luò)，數(shù)據(jù)包由SMD傳輸?shù)皆贫藭?huì)經(jīng)過(guò)各種網(wǎng)絡(luò)設(shè)備，如路由器、防火墻、入侵檢測(cè)設(shè)備、交換機(jī)等。這些設(shè)備以及網(wǎng)絡(luò)鏈路都可能是攻擊者實(shí)施云攻擊的目標(biāo)，云攻擊的類型多種多樣，有DoS、DDoS、網(wǎng)絡(luò)釣魚、中間人、內(nèi)部攻擊等。入侵者發(fā)動(dòng)云攻擊的同時(shí)會(huì)留下攻擊痕跡，哪怕嘗試清除痕跡的行為又可能留下新的痕跡，因此網(wǎng)絡(luò)取證在追溯入侵行為以及加固網(wǎng)絡(luò)安全性等方面都有著舉足輕重的意義。

目前在傳統(tǒng)網(wǎng)絡(luò)中，取證工作已經(jīng)取得了一定的成績(jī)，然而在MCC等高速網(wǎng)中，取證工作仍處于摸索階段?，F(xiàn)有的網(wǎng)絡(luò)取證方法大致可分為以下幾類：審計(jì)取證、IP追蹤技術(shù)、蜜罐技術(shù)、數(shù)據(jù)包標(biāo)記及攻擊圖技術(shù)。MCC的取證技術(shù)與傳統(tǒng)取證將有所不同，如何從分布式的MCC網(wǎng)絡(luò)中提取有效證據(jù)亟待研究。

（三）云取證

基于云計(jì)算多租戶、可擴(kuò)展、虛擬化、分布式等特點(diǎn)，要想在云架構(gòu)中從數(shù)字設(shè)備識(shí)別、收集、保護(hù)并完整保存數(shù)字證據(jù)是相當(dāng)困難的。入侵者冒充合法用戶訪問(wèn)云系統(tǒng)并執(zhí)行惡意操作，從而破壞云資源可用性或損害其他用戶的利益。云取證的目的在于精確地追蹤出入侵者的破壞行為，盡管研究人員在如何解決云取證挑的問(wèn)題上已經(jīng)做了許多工作，但收效并不令人滿意。云取證技術(shù)的發(fā)展需要公安機(jī)關(guān)的持續(xù)關(guān)注以及云服務(wù)商的進(jìn)一步支持。

四、移動(dòng)云環(huán)境取證的挑戰(zhàn)

在過(guò)去的幾年中，MCC的出現(xiàn)吸引了大量人群的關(guān)注，許多PC用戶轉(zhuǎn)而使用SMD。這種改變要求CSP、SMD用戶以及網(wǎng)絡(luò)管理員在安全及隱私保護(hù)方面有更高的敏感度。攻擊者使用便攜設(shè)備如智能手機(jī)或其他移動(dòng)設(shè)備對(duì)MCC實(shí)施匿名攻擊，并且通常會(huì)使用反取證工具消除攻擊痕跡。由于云計(jì)算的虛擬性及分布式特性，此類攻擊往往很難識(shí)別。因此我們需要一個(gè)全面而又有效的解決方法來(lái)面對(duì)MCC環(huán)境的電子取證挑戰(zhàn)。

（一）數(shù)據(jù)識(shí)別

MCC的多租戶、虛擬化及分布性使得取證過(guò)程中，取證人員需要跟蹤和分析的數(shù)據(jù)量大大上升。如何訪問(wèn)MCC的物理設(shè)備并獲取數(shù)據(jù)成為了數(shù)據(jù)識(shí)別過(guò)程中的重大挑戰(zhàn)之一。在云計(jì)算中，由CSP提供物理設(shè)備往往分散地部署在不同的物理位置，訪問(wèn)這些設(shè)備需要CSP授權(quán)，那么問(wèn)題來(lái)了，取證人員在無(wú)法訪問(wèn)設(shè)備的條件下如何獲取攻擊數(shù)據(jù)？此外，一個(gè)云用戶可能同時(shí)使用多個(gè)CSP的服務(wù)，由于云資源有限，用戶數(shù)據(jù)可能存儲(chǔ)在多個(gè)相鄰的云上，通過(guò)數(shù)據(jù)遷徙可以將用戶的全部數(shù)據(jù)或者一部分?jǐn)?shù)據(jù)轉(zhuǎn)移到另一個(gè)云上，要從多個(gè)地方進(jìn)行數(shù)據(jù)檢索無(wú)疑大大增加了取證耗時(shí)，再加上遠(yuǎn)程云數(shù)據(jù)中心上的數(shù)據(jù)極有可能已經(jīng)被攻擊者篡改了。因此要向多個(gè)CSP獲取數(shù)字證據(jù)時(shí)，取證人員必須克服地理因素、技術(shù)因素及法律因素等多個(gè)難題。

MCC中數(shù)據(jù)識(shí)別過(guò)程必須依賴CSP的支持，因此在取證前就應(yīng)向CSP書面申請(qǐng)?jiān)L問(wèn)權(quán)限，闡明取證的必要性。同時(shí)應(yīng)在法律法規(guī)層面對(duì)云計(jì)算、移動(dòng)云計(jì)算相關(guān)的取證工作時(shí)，CSP所承擔(dān)的責(zé)任進(jìn)行明確。另外，可以利用云計(jì)算的先天優(yōu)勢(shì)，建立專門的取證服務(wù)器，當(dāng)發(fā)生攻擊事件時(shí)，對(duì)可能包含數(shù)字證據(jù)的服務(wù)器進(jìn)行克隆，并將克隆后的服務(wù)器磁盤對(duì)取證服務(wù)器開放，既大大節(jié)省了尋找并準(zhǔn)備臨時(shí)存儲(chǔ)服務(wù)器的時(shí)間，又降低了取證成本。

（二）時(shí)間不匹配

時(shí)間同步問(wèn)題是取證者面臨的第二個(gè)難題，由于日志數(shù)據(jù)可能存儲(chǔ)在不同國(guó)家的不同數(shù)據(jù)中心，日志間的時(shí)差便不可避免了。如何解釋同一個(gè)攻擊事件的兩個(gè)日志證據(jù)有著不同的時(shí)間記錄，對(duì)取證人員來(lái)說(shuō)也是個(gè)挑戰(zhàn)。此外，從不同數(shù)據(jù)中心進(jìn)行日志檢索也可能帶來(lái)問(wèn)題，例如離攻擊位置較遠(yuǎn)的數(shù)據(jù)中心所保存的日志極有可能已被攻擊者篡改。

通過(guò)引入可信時(shí)間戳服務(wù)器可解決上述問(wèn)題，該服務(wù)器隸屬于第三方權(quán)威機(jī)構(gòu)，提供時(shí)間戳服務(wù)。在獲取數(shù)字證據(jù)的同時(shí)應(yīng)第一時(shí)間同時(shí)獲取該證據(jù)的時(shí)間戳信息，并應(yīng)對(duì)時(shí)間戳進(jìn)行歸一化處理，包括時(shí)間戳格式的歸一化以及所使用時(shí)間的歸一化，可統(tǒng)一使用UTC時(shí)間以規(guī)避不同經(jīng)度間的時(shí)差問(wèn)題，同時(shí)也應(yīng)記錄下計(jì)算機(jī)系統(tǒng)的時(shí)間及所在位置的當(dāng)?shù)貢r(shí)間。另外還可將可信時(shí)間戳結(jié)合數(shù)字簽名技術(shù)已達(dá)到數(shù)字證據(jù)完整性保護(hù)已經(jīng)抗抵賴的目的。

（三）多租戶

多租戶是MCC區(qū)別與其他網(wǎng)絡(luò)環(huán)境的重要特性之一。MCC中，多個(gè)用戶在訪問(wèn)同一資源時(shí)可能通過(guò)同一個(gè)訪問(wèn)點(diǎn)，攻擊者的訪問(wèn)點(diǎn)也可能隨時(shí)發(fā)生變化，如何在眾多用戶中定位攻擊者將是一個(gè)挑戰(zhàn)。

可以通過(guò)虛擬蜜罐HONEYD技術(shù)應(yīng)對(duì)上述困難，HONEYD可以通過(guò)大量模擬云系統(tǒng)各種類型的脆弱點(diǎn)，給攻擊者一個(gè)相當(dāng)具有誘惑力的攻擊目標(biāo)，達(dá)到迷惑攻擊者的目的，但同時(shí)HONEYD又是經(jīng)過(guò)精心部署的，因此攻擊者任何一個(gè)真實(shí)的攻擊行為都可以被捕獲下來(lái)，既降低了MCC有價(jià)值的系統(tǒng)遭受攻擊的可能性，為云系統(tǒng)作出預(yù)防攻擊響應(yīng)提供足夠的時(shí)間，又為定位攻擊者，分析攻擊行為提供了足夠的信息。

（四）現(xiàn)場(chǎng)取證

現(xiàn)場(chǎng)取證工作是在實(shí)時(shí)網(wǎng)絡(luò)流量中進(jìn)行的，數(shù)據(jù)流正常波動(dòng)。高速數(shù)據(jù)流網(wǎng)絡(luò)因其吞吐能力高因此對(duì)取證工具的要求也就更高，然而由于接入權(quán)限問(wèn)題，在MCC中進(jìn)行實(shí)時(shí)流量捕獲幾乎是不可能的。云端整個(gè)網(wǎng)絡(luò)的擁有者都是CSP，取證人員無(wú)法接入網(wǎng)絡(luò)，大部分虛擬設(shè)備都會(huì)在關(guān)閉的時(shí)候進(jìn)行數(shù)據(jù)清除。

因此，取證方需與CSP需建立一種強(qiáng)信任關(guān)系，將現(xiàn)場(chǎng)取證策略應(yīng)用到實(shí)施網(wǎng)絡(luò)流量中。此外，在制定MCC現(xiàn)場(chǎng)取證策略時(shí)還需考慮到MCC網(wǎng)絡(luò)分布式特性、高速數(shù)據(jù)流、網(wǎng)絡(luò)設(shè)備類型多樣、數(shù)據(jù)格式多樣的特點(diǎn)。

（五）隱私保護(hù)

隱私保護(hù)是MMC數(shù)字取證所面臨的最大挑戰(zhàn)，MCC下用戶數(shù)據(jù)在云端存儲(chǔ)，且有可能被進(jìn)一步遷徙到不同CSP的其他云中。大部分用戶愿意在云端存儲(chǔ)數(shù)據(jù)正是由于CSP與用戶之間達(dá)成并簽署了隱私保護(hù)的協(xié)議，一旦CSP可以查看用戶數(shù)據(jù)，那么用戶對(duì)CSP的信任程度將大大降低。幾乎所有企業(yè)都非常注重隱私，尤其對(duì)重要數(shù)據(jù)的隱私保護(hù)更是重中之重。這種現(xiàn)象使得取證人員想通過(guò)CSP獲取用戶數(shù)據(jù)變得極為困難。

對(duì)此可以采用數(shù)據(jù)加密技術(shù)，CSP可對(duì)用戶信息進(jìn)行全數(shù)據(jù)加密，并在信息中定義若干關(guān)鍵字，僅關(guān)鍵字可以被檢索，且只有包含關(guān)鍵字的信息才能被解密。當(dāng)需要進(jìn)行數(shù)字取證時(shí)，將關(guān)鍵字檢索權(quán)限賦予取證人員，當(dāng)取證結(jié)束時(shí)立即回收權(quán)限，如此既可保護(hù)用戶的敏感信息又可使得取證工作順利開展。

（六）手機(jī)操作系統(tǒng)

SMD使用的操作系統(tǒng)類型繁多，目前應(yīng)用在手機(jī)上的操作系統(tǒng)主要有Android（安卓）、iOS（蘋果）、Windows phone（微軟）、Symbian（塞班）、BlackBerry OS（黑莓）、Windows mobile（微軟）等。大部分的操作系統(tǒng)都是開發(fā)公司所有的，且多為非開源系統(tǒng)，這就使得取證人員要想從不同的SMD中獲取數(shù)字證據(jù)變得較為困難。取證人員必須熟悉各種類型操作系統(tǒng)的最新版本，然而操作系統(tǒng)又是頻繁更新的，增加了SMD檢索追蹤日志的難度。

對(duì)于上述問(wèn)題，可通過(guò)管理層面與技術(shù)層面來(lái)應(yīng)對(duì)。法律層面：加緊制定并完善MCC取證相關(guān)的法律規(guī)范，并加強(qiáng)配套行政執(zhí)法，為取證工作提供強(qiáng)有力的法律支持。同時(shí)加強(qiáng)與各SMD生產(chǎn)商的交流合作，盡量統(tǒng)一生產(chǎn)標(biāo)準(zhǔn)，包括存儲(chǔ)數(shù)據(jù)的格式、存儲(chǔ)卡數(shù)據(jù)線接口格式等。技術(shù)層面：收集并及時(shí)更新現(xiàn)有SMD的各類技術(shù)參數(shù)，建立MCC取證數(shù)據(jù)庫(kù)并不斷補(bǔ)充完善，提高M(jìn)CC取證的工作效率。同時(shí)加強(qiáng)MCC取證工具、取證方法的投入研究，提高對(duì)數(shù)字證據(jù)的分析能力。

五、結(jié)束語(yǔ)

本文對(duì)MCC環(huán)境下電子取證面臨的挑戰(zhàn)進(jìn)行了研究并提出了簡(jiǎn)要的解決方案。MCC的分布式與虛擬化的特性，導(dǎo)致取證人員在工作中遭遇到種種局限，因此，通過(guò)建立專門的取證服務(wù)器及可信時(shí)間戳服務(wù)器，與CSP建立強(qiáng)信任關(guān)系并通過(guò)加密技術(shù)限制取證人員權(quán)限，同時(shí)制定一套健全的政策法規(guī)等手段來(lái)規(guī)范MCC取證顯得尤為重要。MCC數(shù)字取證尚在起步階段，其具體的框架結(jié)構(gòu)，及在仿真環(huán)境下的使用情況都將成為未來(lái)的研究熱點(diǎn)。

[1] J. Lee, "Pervasive Forensic Analysis Based on Mobile Cloud Computing,"in Multimedia Information Networking and Security(MINES), 2011 Third International Conference on, 2011, pp. 572-576.

[2] 宋蕾, 李俊莉. 云計(jì)算環(huán)境下的計(jì)算機(jī)取證[J]. 河南科技,2011(01):56-57.

[3] A. Gani, G. M. Nayeem, M. Shiraz, M. Sookhak, M.Whaiduzzaman, S. Khan, "A Review on Interworking and Mobility Techniques for Seamless Connectivity In Mobile Cloud Computing," Journal of Network and Computer Applications, 2014.

[4] Х?. Ф?Л??ПμμЧК?μ?УИЦ[J]. РПНВ°И,2010(11):52-54.

[5] K. Kent, S. Chevalier, T. Grance, H. Dang, "Guide to Integrating Forensic Techniques into Incident Response," NIST Special Publication, pp. 800-86, 2006.