可信时间戳动态电子物证取证平台的设计

米 佳， 卢 睿

(辽宁警官高等专科学校，辽宁大连 116036)

0 引言

电子物证是电子技术发展到一定水平的产物，其在司法实践活动中的取证、保全、认定及使用等问题是目前法学、侦查、计算机等领域共同关心和亟待解决的问题。动态电子物证是指那些处于变化中的数字证据，因其具有产生时间不确定、易被无痕篡改、取证主体身份不明确等关系到电子物证法律效力的重大问题，亟需在电子物证的采集和固定阶段确保其权威性和可信性。

1 可信时间戳

可信时间戳是由权威可信的时间戳服务中心(Time－Stamp Authority，TSA)颁发的证明电子文件产生时间及内容未被篡改和伪造的具有法律效力的电子凭证。除了具有法律有效性外，还具备时间及时间戳的权威性和可靠性、不可否认和抗抵赖性、保密性、易操作性和高效性等特点。常见的时间戳机制包括四类：简单时间戳、线性连接机制、树形机制以及分布式协议。可信时间戳工作流程如图1所示。

国家授时中心是我国唯一权威的时间服务机构，承担着我国标准时间的产生、保持和发播任务，其授时系统是国家不可缺少的基础性工程和社会公益设施，保持UTC(NTSC)与UTC之差优于20 ns，年稳定度优于2×10－15，居世界第3位。可信时间戳的可信时间来源于国家授时中心，并由其监控保障，保证了权威可信性，从而避免当事人对于电子物证的争议与抵赖，强化了电子物证取证行为的严肃性与公信力。

图1 时间戳工作流程

本文采用的可信时间戳技术仅保存因数字签名而产生的数字签名文件的HASH值，在整个运转过程中，作为时间戳服务中心本身无法接触鉴定电子数据的实体内容，从信息安全、机密保护方面提供了更妥善的稳定保障。

2 主要创新技术

本系统中使用了多项核心技术，创新性地用于解决可信时间戳动态取证平台的多项可靠性和一致性要求。

2.1 NTP单播方式技术在客户端的应用

客户端采用权威、法定的时间源时间，提供全面地访问国家时间和频率传播服务的机制，组织时间同步子网，并且为子网中的每个地方时钟调整时间。这一技术改进了测时质量，减少了一些同步源中可能存在的错误，使获得因特网上主要路径的延时精确到毫秒级，从而为整个系统达到精准效果。

2.2 动态视频取证迭代哈希防篡改技术

在录制过程中对生成的每一个静帧取hash值，依次类推，即可生成一个总的hash值。然后对生成的文件取hash值，两个值进行对比，以此来防止在录制过程中篡改证据的可能性。

2.3 虚拟声卡获取技术

录制声音时，声音通常会从声音设备Line out获取，因而在录屏取证过程中，获取的声音可能被伪造。本技术具备音频输入/输出功能，上层应用程序(取证录屏功能)自动地默认选择该虚拟设备作为音频输入/输出设备。上层应用程序要录制的声音内容会被虚拟声卡驱动截获，作为录制视频的音频数据，并将其声音内容传送到真正的声卡。本技术开创性地解决了在线取证中音频获取的易篡改和伪造、来源不可靠的关键问题，保证了获取音频证据的真实性。

2.4 防虚拟网址取证技术

在取证时限制同一局域网内的网站不能访问，只能对外网进行访问，有效地防止了取证人员伪造证据的可能性，确保取证来源没有被篡改，保证了取证目标的不可抵赖性。

3 可信时间戳动态电子物证取证平台

本文提出的基于可信时间戳技术的动态电子物证取证平台，不但涵盖了计算机取证工作的常规任务，如网络证据采集固化、聊天记录证据采集固化、在线视频记录证据采集固化、指定关键字搜索、证据包下载、哈希验算、文件签名验证、取证操作日志记录等证据采集工作，而且还同时支持在线、离线方式取证，并将采集后的证据有效地固定，保证了证据采集途径的合法，采集电子证据的不可否认，有效提高并增强了数字信息环境下取证工作的能力和权威可信性。

3.1 可信时间戳电子物证取证平台的体系结构

可信时间戳电子物证取证平台的体系结构主要针对电子物证的采集和固化阶段，主要工作集中在三部分，即平台客户端、平台服务器端和时间戳服务中心，如图2所示。

其中时间戳服务中心是第三方机构，提供时间戳服务，是通过我国法定时间源和现代密码技术相结合而提供的一种第三方服务。通过国家授时中心提供的时间授时、发布和监控服务，利用时间戳授时监测系统、TSA时间戳签发系统，以及TSA时间戳密钥管理系统进行相关的应用。这一层级的操作集中于系统的时间戳服务器上。

平台客户端承担着取证的所有交互操作，在网站、论坛等动态电子物证源上发现取证线索、进行电子物证取证的授权、对涉案电子物证进行检索，以及涉案电子物证的固化等操作。

客户端将服务请求发送到平台的服务器端，在服务器端执行相关的处理，如涉案电子物证的存储、涉案电子物证的时间戳固化、执法人员的角色管理、执法操作的监控、电子物证权限访问等，同时服务器端也进行涉案的电子物证的保全工作，将相关的电子物证存入数据库服务器中。

3.2 系统的功能结构

本文所提出的取证平台包括了取证工作的核心内容，分别由身份效验、授权访问控制、电子物证采集固化和可靠性验证、标准时间效验、URL和IP效验、数字签名、操作过程保护、基于角色的身份管理、快速查询检索、自动报告生成和时间戳电子物证固化等部份组成，如图3所示。

电子物证固化模块通过时间戳服务中心颁发可信时间戳，始终以确定目标信息的可信性为目的，运用DSA(digital signature algorithm)数字签名机制及简单时间戳技术，确保和证明电子物证完整性和可信性。签名的对象包括原始文件信息、签名参数、签名时间等信息。可信时间戳的产生要求可信时间的源头来源于国家授时中心，并由其监控保障。

电子物证提取和检验模块在接收检验请求后，验证可信时间合法性，检查可信时间戳内容是否有错误。提取其中时间戳服务中心公钥证书中的公钥信息，利用公钥对数字签名进行逆运算，提取出hash值;然后对提交的电子物证重新提取数字指纹，从而得出hash1;通过比较其结果是否与Hash一致来检查电子物证的完整真实性。电子物证提取和检验模块具备数据管理功能，保存已取证的电子物证划分区域。支持自建存储单元，保存进存储单元的电子物证具备安全保护功能。防止第三方的非法访问及篡改，支持设定定时电子物证完整性效验或随时发起效验操作，检查和管理电子凭证。

图2 可信时间戳动态电子物证取证平台体系结构图

图3 系统功能结构图

标准时间校验功能保证取证固化电子物证的时间来源于国家授时中心，并由国家授时中心保持并监控精准时间。对取证时间进行实时校验可以保证取证时间的不可篡改性，并将时间信息记录在证据里，出现纠纷时可以作为推翻抵赖的有力证据之一。

访问IP的校验不能访问同一局域网内网站，保证虚拟地址不可用，即可保证取得IP地址的正确性和无篡改性，使取得的证据真实可靠，并将IP信息记录在证据里面，一旦出现纠纷，可以作为有力证据之一。通过对URL进行校验，保证在取证过程中所取得的证据与访问的地址内容一致，保证证据来源的可靠性和不可抵赖性。同样，将URL记录于证据中，从而防止抵赖。

身份信息校验模块保证了取证主体在登录时需要出示国家授权的合法的数字证书机构所签发的电子身份标识，其目的是保证取证主体的合法性。取证人员的身份信息也将记录在证据中，必要时作为有力证据防止抵赖。

操作过程保护模块在取证过程中对生成的文件提取hash，待生成完整文件后再次取hash，判断两个hash是否相同。如果两个hash相同，则证明文件没有被篡改，可以进行电子物证保全;否则证明文件被“污染”，不能作为证据进行保全，以此保证所得证据的真实性。

在快速检索功能模块中，可以根据案件名、取证时间、取证描述以及案件类型进行快速查询，从而检索出有关证据的相关信息。平台提供了下载功能，电子物证可以方便地从证据库下载到本地电脑上。

对计算机犯罪的电子物证进行获取、保存分析和出示，实际上是一个详细扫描计算机系统以及重建入侵事件的过程。取证完成，需要自动生成取证报告。取证报告会记录取证时间、取证主体，以及取证内容的描述等信息。所有的电子物证都可以通过详细电子报告的方式展示调查取证的结果。最终将案件的分析结果归纳为一个完整的报告，这一报告将成为打击犯罪嫌疑人的重要依据。

4 电子物证固化的应用

本节以取证平台中的动态电子物证固化过程为例，简要说明取证平台的应用。用户进入电子物证取证平台需持数字证书，并交由服务器验证通过后方可进入系统，如图4所示。进入系统后，选择欲进行取证的案件，进入取证过程，如图5所示。

图4 动态电子物证取证平台的验证

图5 选择欲进行取证的案件

系统提供了3种电子物证的固化方式，即网页格式、图片格式和录像格式，用户可以根据需要在几种方式之间选择。

网页格式允许用户将网站以mth的格式存储，并在这一过程中记录本机IP和访问IP。记录访问IP的目的是为了确保取证人员访问的是网络上的网站，如图6(a)所示。图片格式允许取证人员将访问网页截图以JPG的格式保存在本地，并且提供所固化证据的相关信息，以及对证据的描述，如图6(b)所示。录像格式允许取证人员将整个取证过程以录屏的方式记录下来，以avi格式保存，提供多种形式的压缩方式以及预览功能，并允许在录像过程中截取一些图片以方便以后查看证据，如图6(c)所示。

5 结论

随着涉及网络和计算机犯罪的不断增加，各种高科技智能犯罪手段日趋多样化，依法有据地查处打击计算机网络上有害信息和计算机违法犯罪，保卫信息网络安全，是维护社会和谐稳定的重要工作。本文采用权威可信的时间戳技术和电子签名技术，提出的可信时间戳动态电子物证取证平台，重点应用在公安执法部门公共信息网络安全监察、情报部门、经济犯罪侦查领域，还可以广泛应用于计算机法证、金融业、信息安全、海关、反贪等领域。这一平台的提出和使用对日益变化的社会治安形势以及公安机关打击犯罪能力的提高具有重要意义。

图6 电子物证固化

［1］ 米佳，刘浩阳.计算机取证技术［M］.北京：群众出版社，2007.

［2］ 郑捷文，许榕生，杨泽明.计算机取证平台研究［J］.通讯和计算机，2005，2(4)：29－34.

［3］ 张科伟，唐晓波.时间戳协议研究［J］.计算机应用研究，2004，21(10)：100 －103.

［4］ FANG Y L，YANG T Y.A Host-based Real-time Intrusion Detection System with Data Mining and Forensic Techniques，Security Technology ［C］.Proceedings：IEEE 37thAnnual 2003 International carnahan Conference on Security Technology.Taipei，China：IEEE Press，2003：580 －586.

［5］ 孙国梓，耿伟明，陈丹伟，等.电子数据取证的可信固定方法［J］.北京工业大学学报，2010，36(5)：621－626.

［6］ 薛金蓉，张洪斌.可信时间戳的网络服务器取证技术研究［J］.电子科技大学学报，2007，36(6)：1404－1406.