張萌 上海市信息安全測評認(rèn)證中心

一、前言

目前，隨著越來越多的研究人員進(jìn)入云計算領(lǐng)域，針對移動云計算（Mobile Cloud Computing ，MCC）的攻擊也愈發(fā)頻繁，攻擊類型愈發(fā)多樣，如僵尸網(wǎng)絡(luò)、DoS、DDoS、應(yīng)用層攻擊、網(wǎng)絡(luò)層攻擊及物理層攻擊等。

對于公安取證人員來說，云正如一個黑盒子，盒子中的一切都是不可見的，取證人員無法通過物理接口進(jìn)入云系統(tǒng)獲取證據(jù)，這是公安取證人員在MCC進(jìn)行數(shù)字取證所面對的第一個問題。此外，攻擊者可通過各種反取證技術(shù)來消除MCC中的攻擊痕跡，使得數(shù)字取證更加困難。MCC環(huán)境中的安全威脅和取證面臨的挑戰(zhàn)已引起了業(yè)界的高度關(guān)注，對MCC環(huán)境下的取證挑戰(zhàn)進(jìn)行梳理和分析具有現(xiàn)實(shí)意義。

二、移動云計算

MCC是指通過移動網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需的基礎(chǔ)設(shè)施、平臺、軟件(或應(yīng)用)等的一種IT資源或(信息)服務(wù)的交付與使用模式[1]。移動終端用戶可通過智能移動終端（Smart Mobile Device，SMD）直接在云上執(zhí)行高密度計算型應(yīng)用，并將執(zhí)行結(jié)果返回到SMD，從而方便的獲取數(shù)據(jù)、應(yīng)用，享受各種云服務(wù)。

事實(shí)上，固定終端用戶也可通過Web瀏覽器訪問MCC，但移動用戶因不受時間空間限制，故而在訪問的便捷性上更具優(yōu)勢。隨著云計算技術(shù)的進(jìn)一步發(fā)展，MCC將成為SMD用戶大規(guī)模增長的首要原因，據(jù)市場調(diào)查預(yù)測，至2018年全球通信網(wǎng)絡(luò)用戶數(shù)量將從現(xiàn)在的32億增長至40億，這種巨大的轉(zhuǎn)變表明用戶對SMD的依賴程度越來越強(qiáng)[2]。SMD通過高速數(shù)據(jù)傳輸網(wǎng)絡(luò)連接到Internet，與傳統(tǒng)手機(jī)設(shè)備相比，SMD除了擁有智能操作系統(tǒng)之外還具有高容量嵌入式存儲以及高速連接功能。但與傳統(tǒng)計算機(jī)相比SMD仍存在不少弱點(diǎn)，如內(nèi)存容量、處理器速度以及電池續(xù)航時間等。

MCC恰好可以補(bǔ)足SMD自身的弱點(diǎn)（如內(nèi)存容量不足、處理器速度有限等），數(shù)據(jù)的存儲和處理過程都通過MCC的云資源進(jìn)行。SMD通過Wi-Fi、LTE和其他無線網(wǎng)絡(luò)上網(wǎng)并連接云資源，原本SMD上安裝的CPU及內(nèi)存占用率較高的應(yīng)用均可在MCC的云端保存并執(zhí)行。綜上，MCC實(shí)際上是通過移動網(wǎng)絡(luò)連接SMD和云計算的樞紐，SMD的功能通過云計算得到改善。

MCC主要可分為以下三個組件：SMD、通信網(wǎng)絡(luò)和云計算。SMD連接到附近的基站或接入點(diǎn)，繼而再連入Internet；網(wǎng)絡(luò)運(yùn)營商通過Internet連接SMD用戶和云端；云服務(wù)提供商（Cloud Service Provider，CSP）作為用戶和云之間的代理人提供用戶所需的云服務(wù)，其運(yùn)營的云數(shù)據(jù)中心負(fù)責(zé)數(shù)據(jù)的存儲，此外，CSP還負(fù)責(zé)一些輔助性的系統(tǒng)維護(hù)、硬件容錯、軟件更新等云端的實(shí)時服務(wù)。

三、移動云環(huán)境下的取證

MCC的取證在打擊惡意入侵行為上起了至關(guān)重要的作用，與傳統(tǒng)網(wǎng)絡(luò)相比，MCC取證將面臨許多困難與挑戰(zhàn)。MCC取證可分為三個方向：移動取證、網(wǎng)絡(luò)取證、云取證。

（一）移動取證

SMD連接云平臺時需通過MCC，這給入侵者在云端實(shí)施攻擊提供了入口，他們使用SMD非法連接MCC資源并發(fā)起惡意攻擊，給其他合法用戶造成危害。許多企業(yè)允許員工在工作場所使用私有移動設(shè)備，并允許設(shè)備連入公司網(wǎng)絡(luò)，如郵件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)或其他應(yīng)用程序，一個新的理念隨機(jī)誕生：使用個人設(shè)備辦公（Bring Your Own Device，BYOD），這些個人設(shè)備包括筆記本電腦、智能手機(jī)、平板電腦等。

然而，在方便辦公的同時，員工SMD上遺留的痕跡和操作日志給企業(yè)帶來了安全風(fēng)險。舉一個簡單的例子，員工使用自己的智能手機(jī)通過Internet訪問企業(yè)網(wǎng)絡(luò)，一旦手機(jī)丟失，由于手機(jī)中仍留有登錄訪問企業(yè)網(wǎng)絡(luò)的日志數(shù)據(jù)，企業(yè)重要信息便岌岌可危了。此外，若手機(jī)曾訪問過可疑云資源，也會給企業(yè)網(wǎng)絡(luò)帶來風(fēng)險。移動取證隨機(jī)誕生，通過訪問SMD獲取攻擊證據(jù)從而對上述情況進(jìn)行防范。SMD中保存的聯(lián)系人列表、通話歷史（呼出、呼入、漏接）、日期時間、短信、彩信、照片、視頻、音頻、郵件、cookies、URL、安裝程序記錄、日歷、便簽、數(shù)據(jù)庫等，均可作為數(shù)字證據(jù)。移動取證工具有Cellebrite手機(jī)取證分析系統(tǒng)、盤石手機(jī)取證分析系統(tǒng)等。

（二）網(wǎng)絡(luò)取證

SMD連接MCC云資源的途徑多種多樣，可以是3G/4G網(wǎng)絡(luò)、LTE、Wifi或其他無線網(wǎng)絡(luò)，數(shù)據(jù)包由SMD傳輸?shù)皆贫藭?jīng)過各種網(wǎng)絡(luò)設(shè)備，如路由器、防火墻、入侵檢測設(shè)備、交換機(jī)等。這些設(shè)備以及網(wǎng)絡(luò)鏈路都可能是攻擊者實(shí)施云攻擊的目標(biāo)，云攻擊的類型多種多樣，有DoS、DDoS、網(wǎng)絡(luò)釣魚、中間人、內(nèi)部攻擊等。入侵者發(fā)動云攻擊的同時會留下攻擊痕跡，哪怕嘗試清除痕跡的行為又可能留下新的痕跡，因此網(wǎng)絡(luò)取證在追溯入侵行為以及加固網(wǎng)絡(luò)安全性等方面都有著舉足輕重的意義。

目前在傳統(tǒng)網(wǎng)絡(luò)中，取證工作已經(jīng)取得了一定的成績，然而在MCC等高速網(wǎng)中，取證工作仍處于摸索階段?，F(xiàn)有的網(wǎng)絡(luò)取證方法大致可分為以下幾類：審計取證、IP追蹤技術(shù)、蜜罐技術(shù)、數(shù)據(jù)包標(biāo)記及攻擊圖技術(shù)。MCC的取證技術(shù)與傳統(tǒng)取證將有所不同，如何從分布式的MCC網(wǎng)絡(luò)中提取有效證據(jù)亟待研究。

（三）云取證

基于云計算多租戶、可擴(kuò)展、虛擬化、分布式等特點(diǎn)，要想在云架構(gòu)中從數(shù)字設(shè)備識別、收集、保護(hù)并完整保存數(shù)字證據(jù)是相當(dāng)困難的。入侵者冒充合法用戶訪問云系統(tǒng)并執(zhí)行惡意操作，從而破壞云資源可用性或損害其他用戶的利益。云取證的目的在于精確地追蹤出入侵者的破壞行為，盡管研究人員在如何解決云取證挑的問題上已經(jīng)做了許多工作，但收效并不令人滿意。云取證技術(shù)的發(fā)展需要公安機(jī)關(guān)的持續(xù)關(guān)注以及云服務(wù)商的進(jìn)一步支持。

四、移動云環(huán)境取證的挑戰(zhàn)

在過去的幾年中，MCC的出現(xiàn)吸引了大量人群的關(guān)注，許多PC用戶轉(zhuǎn)而使用SMD。這種改變要求CSP、SMD用戶以及網(wǎng)絡(luò)管理員在安全及隱私保護(hù)方面有更高的敏感度。攻擊者使用便攜設(shè)備如智能手機(jī)或其他移動設(shè)備對MCC實(shí)施匿名攻擊，并且通常會使用反取證工具消除攻擊痕跡。由于云計算的虛擬性及分布式特性，此類攻擊往往很難識別。因此我們需要一個全面而又有效的解決方法來面對MCC環(huán)境的電子取證挑戰(zhàn)。

（一）數(shù)據(jù)識別

MCC的多租戶、虛擬化及分布性使得取證過程中，取證人員需要跟蹤和分析的數(shù)據(jù)量大大上升。如何訪問MCC的物理設(shè)備并獲取數(shù)據(jù)成為了數(shù)據(jù)識別過程中的重大挑戰(zhàn)之一。在云計算中，由CSP提供物理設(shè)備往往分散地部署在不同的物理位置，訪問這些設(shè)備需要CSP授權(quán)，那么問題來了，取證人員在無法訪問設(shè)備的條件下如何獲取攻擊數(shù)據(jù)？此外，一個云用戶可能同時使用多個CSP的服務(wù)，由于云資源有限，用戶數(shù)據(jù)可能存儲在多個相鄰的云上，通過數(shù)據(jù)遷徙可以將用戶的全部數(shù)據(jù)或者一部分?jǐn)?shù)據(jù)轉(zhuǎn)移到另一個云上，要從多個地方進(jìn)行數(shù)據(jù)檢索無疑大大增加了取證耗時，再加上遠(yuǎn)程云數(shù)據(jù)中心上的數(shù)據(jù)極有可能已經(jīng)被攻擊者篡改了。因此要向多個CSP獲取數(shù)字證據(jù)時，取證人員必須克服地理因素、技術(shù)因素及法律因素等多個難題。

MCC中數(shù)據(jù)識別過程必須依賴CSP的支持，因此在取證前就應(yīng)向CSP書面申請訪問權(quán)限，闡明取證的必要性。同時應(yīng)在法律法規(guī)層面對云計算、移動云計算相關(guān)的取證工作時，CSP所承擔(dān)的責(zé)任進(jìn)行明確。另外，可以利用云計算的先天優(yōu)勢，建立專門的取證服務(wù)器，當(dāng)發(fā)生攻擊事件時，對可能包含數(shù)字證據(jù)的服務(wù)器進(jìn)行克隆，并將克隆后的服務(wù)器磁盤對取證服務(wù)器開放，既大大節(jié)省了尋找并準(zhǔn)備臨時存儲服務(wù)器的時間，又降低了取證成本。

（二）時間不匹配

時間同步問題是取證者面臨的第二個難題，由于日志數(shù)據(jù)可能存儲在不同國家的不同數(shù)據(jù)中心，日志間的時差便不可避免了。如何解釋同一個攻擊事件的兩個日志證據(jù)有著不同的時間記錄，對取證人員來說也是個挑戰(zhàn)。此外，從不同數(shù)據(jù)中心進(jìn)行日志檢索也可能帶來問題，例如離攻擊位置較遠(yuǎn)的數(shù)據(jù)中心所保存的日志極有可能已被攻擊者篡改。

通過引入可信時間戳服務(wù)器可解決上述問題，該服務(wù)器隸屬于第三方權(quán)威機(jī)構(gòu)，提供時間戳服務(wù)。在獲取數(shù)字證據(jù)的同時應(yīng)第一時間同時獲取該證據(jù)的時間戳信息，并應(yīng)對時間戳進(jìn)行歸一化處理，包括時間戳格式的歸一化以及所使用時間的歸一化，可統(tǒng)一使用UTC時間以規(guī)避不同經(jīng)度間的時差問題，同時也應(yīng)記錄下計算機(jī)系統(tǒng)的時間及所在位置的當(dāng)?shù)貢r間。另外還可將可信時間戳結(jié)合數(shù)字簽名技術(shù)已達(dá)到數(shù)字證據(jù)完整性保護(hù)已經(jīng)抗抵賴的目的。

（三）多租戶

多租戶是MCC區(qū)別與其他網(wǎng)絡(luò)環(huán)境的重要特性之一。MCC中，多個用戶在訪問同一資源時可能通過同一個訪問點(diǎn)，攻擊者的訪問點(diǎn)也可能隨時發(fā)生變化，如何在眾多用戶中定位攻擊者將是一個挑戰(zhàn)。

可以通過虛擬蜜罐HONEYD技術(shù)應(yīng)對上述困難，HONEYD可以通過大量模擬云系統(tǒng)各種類型的脆弱點(diǎn)，給攻擊者一個相當(dāng)具有誘惑力的攻擊目標(biāo)，達(dá)到迷惑攻擊者的目的，但同時HONEYD又是經(jīng)過精心部署的，因此攻擊者任何一個真實(shí)的攻擊行為都可以被捕獲下來，既降低了MCC有價值的系統(tǒng)遭受攻擊的可能性，為云系統(tǒng)作出預(yù)防攻擊響應(yīng)提供足夠的時間，又為定位攻擊者，分析攻擊行為提供了足夠的信息。

（四）現(xiàn)場取證

現(xiàn)場取證工作是在實(shí)時網(wǎng)絡(luò)流量中進(jìn)行的，數(shù)據(jù)流正常波動。高速數(shù)據(jù)流網(wǎng)絡(luò)因其吞吐能力高因此對取證工具的要求也就更高，然而由于接入權(quán)限問題，在MCC中進(jìn)行實(shí)時流量捕獲幾乎是不可能的。云端整個網(wǎng)絡(luò)的擁有者都是CSP，取證人員無法接入網(wǎng)絡(luò)，大部分虛擬設(shè)備都會在關(guān)閉的時候進(jìn)行數(shù)據(jù)清除。

因此，取證方需與CSP需建立一種強(qiáng)信任關(guān)系，將現(xiàn)場取證策略應(yīng)用到實(shí)施網(wǎng)絡(luò)流量中。此外，在制定MCC現(xiàn)場取證策略時還需考慮到MCC網(wǎng)絡(luò)分布式特性、高速數(shù)據(jù)流、網(wǎng)絡(luò)設(shè)備類型多樣、數(shù)據(jù)格式多樣的特點(diǎn)。

（五）隱私保護(hù)

隱私保護(hù)是MMC數(shù)字取證所面臨的最大挑戰(zhàn)，MCC下用戶數(shù)據(jù)在云端存儲，且有可能被進(jìn)一步遷徙到不同CSP的其他云中。大部分用戶愿意在云端存儲數(shù)據(jù)正是由于CSP與用戶之間達(dá)成并簽署了隱私保護(hù)的協(xié)議，一旦CSP可以查看用戶數(shù)據(jù)，那么用戶對CSP的信任程度將大大降低。幾乎所有企業(yè)都非常注重隱私，尤其對重要數(shù)據(jù)的隱私保護(hù)更是重中之重。這種現(xiàn)象使得取證人員想通過CSP獲取用戶數(shù)據(jù)變得極為困難。

對此可以采用數(shù)據(jù)加密技術(shù)，CSP可對用戶信息進(jìn)行全數(shù)據(jù)加密，并在信息中定義若干關(guān)鍵字，僅關(guān)鍵字可以被檢索，且只有包含關(guān)鍵字的信息才能被解密。當(dāng)需要進(jìn)行數(shù)字取證時，將關(guān)鍵字檢索權(quán)限賦予取證人員，當(dāng)取證結(jié)束時立即回收權(quán)限，如此既可保護(hù)用戶的敏感信息又可使得取證工作順利開展。

（六）手機(jī)操作系統(tǒng)

SMD使用的操作系統(tǒng)類型繁多，目前應(yīng)用在手機(jī)上的操作系統(tǒng)主要有Android（安卓）、iOS（蘋果）、Windows phone（微軟）、Symbian（塞班）、BlackBerry OS（黑莓）、Windows mobile（微軟）等。大部分的操作系統(tǒng)都是開發(fā)公司所有的，且多為非開源系統(tǒng)，這就使得取證人員要想從不同的SMD中獲取數(shù)字證據(jù)變得較為困難。取證人員必須熟悉各種類型操作系統(tǒng)的最新版本，然而操作系統(tǒng)又是頻繁更新的，增加了SMD檢索追蹤日志的難度。

對于上述問題，可通過管理層面與技術(shù)層面來應(yīng)對。法律層面：加緊制定并完善MCC取證相關(guān)的法律規(guī)范，并加強(qiáng)配套行政執(zhí)法，為取證工作提供強(qiáng)有力的法律支持。同時加強(qiáng)與各SMD生產(chǎn)商的交流合作，盡量統(tǒng)一生產(chǎn)標(biāo)準(zhǔn)，包括存儲數(shù)據(jù)的格式、存儲卡數(shù)據(jù)線接口格式等。技術(shù)層面：收集并及時更新現(xiàn)有SMD的各類技術(shù)參數(shù)，建立MCC取證數(shù)據(jù)庫并不斷補(bǔ)充完善，提高M(jìn)CC取證的工作效率。同時加強(qiáng)MCC取證工具、取證方法的投入研究，提高對數(shù)字證據(jù)的分析能力。

五、結(jié)束語

本文對MCC環(huán)境下電子取證面臨的挑戰(zhàn)進(jìn)行了研究并提出了簡要的解決方案。MCC的分布式與虛擬化的特性，導(dǎo)致取證人員在工作中遭遇到種種局限，因此，通過建立專門的取證服務(wù)器及可信時間戳服務(wù)器，與CSP建立強(qiáng)信任關(guān)系并通過加密技術(shù)限制取證人員權(quán)限，同時制定一套健全的政策法規(guī)等手段來規(guī)范MCC取證顯得尤為重要。MCC數(shù)字取證尚在起步階段，其具體的框架結(jié)構(gòu)，及在仿真環(huán)境下的使用情況都將成為未來的研究熱點(diǎn)。

[1] J. Lee, "Pervasive Forensic Analysis Based on Mobile Cloud Computing,"in Multimedia Information Networking and Security(MINES), 2011 Third International Conference on, 2011, pp. 572-576.

[2] 宋蕾, 李俊莉. 云計算環(huán)境下的計算機(jī)取證[J]. 河南科技,2011(01):56-57.

[3] A. Gani, G. M. Nayeem, M. Shiraz, M. Sookhak, M.Whaiduzzaman, S. Khan, "A Review on Interworking and Mobility Techniques for Seamless Connectivity In Mobile Cloud Computing," Journal of Network and Computer Applications, 2014.

[4] Х?. Ф?Л??ПμμЧК?μ?УИЦ[J]. РПН?！悃?2010(11):52-54.

[5] K. Kent, S. Chevalier, T. Grance, H. Dang, "Guide to Integrating Forensic Techniques into Incident Response," NIST Special Publication, pp. 800-86, 2006.