张萌 上海市信息安全测评认证中心

一、前言

目前，随着越来越多的研究人员进入云计算领域，针对移动云计算（Mobile Cloud Computing ，MCC）的攻击也愈发频繁，攻击类型愈发多样，如僵尸网络、DoS、DDoS、应用层攻击、网络层攻击及物理层攻击等。

对于公安取证人员来说，云正如一个黑盒子，盒子中的一切都是不可见的，取证人员无法通过物理接口进入云系统获取证据，这是公安取证人员在MCC进行数字取证所面对的第一个问题。此外，攻击者可通过各种反取证技术来消除MCC中的攻击痕迹，使得数字取证更加困难。MCC环境中的安全威胁和取证面临的挑战已引起了业界的高度关注，对MCC环境下的取证挑战进行梳理和分析具有现实意义。

二、移动云计算

MCC是指通过移动网络以按需、易扩展的方式获得所需的基础设施、平台、软件(或应用)等的一种IT资源或(信息)服务的交付与使用模式[1]。移动终端用户可通过智能移动终端（Smart Mobile Device，SMD）直接在云上执行高密度计算型应用，并将执行结果返回到SMD，从而方便的获取数据、应用，享受各种云服务。

事实上，固定终端用户也可通过Web浏览器访问MCC，但移动用户因不受时间空间限制，故而在访问的便捷性上更具优势。随着云计算技术的进一步发展，MCC将成为SMD用户大规模增长的首要原因，据市场调查预测，至2018年全球通信网络用户数量将从现在的32亿增长至40亿，这种巨大的转变表明用户对SMD的依赖程度越来越强[2]。SMD通过高速数据传输网络连接到Internet，与传统手机设备相比，SMD除了拥有智能操作系统之外还具有高容量嵌入式存储以及高速连接功能。但与传统计算机相比SMD仍存在不少弱点，如内存容量、处理器速度以及电池续航时间等。

MCC恰好可以补足SMD自身的弱点（如内存容量不足、处理器速度有限等），数据的存储和处理过程都通过MCC的云资源进行。SMD通过Wi-Fi、LTE和其他无线网络上网并连接云资源，原本SMD上安装的CPU及内存占用率较高的应用均可在MCC的云端保存并执行。综上，MCC实际上是通过移动网络连接SMD和云计算的枢纽，SMD的功能通过云计算得到改善。

MCC主要可分为以下三个组件：SMD、通信网络和云计算。SMD连接到附近的基站或接入点，继而再连入Internet；网络运营商通过Internet连接SMD用户和云端；云服务提供商（Cloud Service Provider，CSP）作为用户和云之间的代理人提供用户所需的云服务，其运营的云数据中心负责数据的存储，此外，CSP还负责一些辅助性的系统维护、硬件容错、软件更新等云端的实时服务。

三、移动云环境下的取证

MCC的取证在打击恶意入侵行为上起了至关重要的作用，与传统网络相比，MCC取证将面临许多困难与挑战。MCC取证可分为三个方向：移动取证、网络取证、云取证。

（一）移动取证

SMD连接云平台时需通过MCC，这给入侵者在云端实施攻击提供了入口，他们使用SMD非法连接MCC资源并发起恶意攻击，给其他合法用户造成危害。许多企业允许员工在工作场所使用私有移动设备，并允许设备连入公司网络，如邮件系统、数据库系统或其他应用程序，一个新的理念随机诞生：使用个人设备办公（Bring Your Own Device，BYOD），这些个人设备包括笔记本电脑、智能手机、平板电脑等。

然而，在方便办公的同时，员工SMD上遗留的痕迹和操作日志给企业带来了安全风险。举一个简单的例子，员工使用自己的智能手机通过Internet访问企业网络，一旦手机丢失，由于手机中仍留有登录访问企业网络的日志数据，企业重要信息便岌岌可危了。此外，若手机曾访问过可疑云资源，也会给企业网络带来风险。移动取证随机诞生，通过访问SMD获取攻击证据从而对上述情况进行防范。SMD中保存的联系人列表、通话历史（呼出、呼入、漏接）、日期时间、短信、彩信、照片、视频、音频、邮件、cookies、URL、安装程序记录、日历、便签、数据库等，均可作为数字证据。移动取证工具有Cellebrite手机取证分析系统、盘石手机取证分析系统等。

（二）网络取证

SMD连接MCC云资源的途径多种多样，可以是3G/4G网络、LTE、Wifi或其他无线网络，数据包由SMD传输到云端会经过各种网络设备，如路由器、防火墙、入侵检测设备、交换机等。这些设备以及网络链路都可能是攻击者实施云攻击的目标，云攻击的类型多种多样，有DoS、DDoS、网络钓鱼、中间人、内部攻击等。入侵者发动云攻击的同时会留下攻击痕迹，哪怕尝试清除痕迹的行为又可能留下新的痕迹，因此网络取证在追溯入侵行为以及加固网络安全性等方面都有着举足轻重的意义。

目前在传统网络中，取证工作已经取得了一定的成绩，然而在MCC等高速网中，取证工作仍处于摸索阶段。现有的网络取证方法大致可分为以下几类：审计取证、IP追踪技术、蜜罐技术、数据包标记及攻击图技术。MCC的取证技术与传统取证将有所不同，如何从分布式的MCC网络中提取有效证据亟待研究。

（三）云取证

基于云计算多租户、可扩展、虚拟化、分布式等特点，要想在云架构中从数字设备识别、收集、保护并完整保存数字证据是相当困难的。入侵者冒充合法用户访问云系统并执行恶意操作，从而破坏云资源可用性或损害其他用户的利益。云取证的目的在于精确地追踪出入侵者的破坏行为，尽管研究人员在如何解决云取证挑的问题上已经做了许多工作，但收效并不令人满意。云取证技术的发展需要公安机关的持续关注以及云服务商的进一步支持。

四、移动云环境取证的挑战

在过去的几年中，MCC的出现吸引了大量人群的关注，许多PC用户转而使用SMD。这种改变要求CSP、SMD用户以及网络管理员在安全及隐私保护方面有更高的敏感度。攻击者使用便携设备如智能手机或其他移动设备对MCC实施匿名攻击，并且通常会使用反取证工具消除攻击痕迹。由于云计算的虚拟性及分布式特性，此类攻击往往很难识别。因此我们需要一个全面而又有效的解决方法来面对MCC环境的电子取证挑战。

（一）数据识别

MCC的多租户、虚拟化及分布性使得取证过程中，取证人员需要跟踪和分析的数据量大大上升。如何访问MCC的物理设备并获取数据成为了数据识别过程中的重大挑战之一。在云计算中，由CSP提供物理设备往往分散地部署在不同的物理位置，访问这些设备需要CSP授权，那么问题来了，取证人员在无法访问设备的条件下如何获取攻击数据？此外，一个云用户可能同时使用多个CSP的服务，由于云资源有限，用户数据可能存储在多个相邻的云上，通过数据迁徙可以将用户的全部数据或者一部分数据转移到另一个云上，要从多个地方进行数据检索无疑大大增加了取证耗时，再加上远程云数据中心上的数据极有可能已经被攻击者篡改了。因此要向多个CSP获取数字证据时，取证人员必须克服地理因素、技术因素及法律因素等多个难题。

MCC中数据识别过程必须依赖CSP的支持，因此在取证前就应向CSP书面申请访问权限，阐明取证的必要性。同时应在法律法规层面对云计算、移动云计算相关的取证工作时，CSP所承担的责任进行明确。另外，可以利用云计算的先天优势，建立专门的取证服务器，当发生攻击事件时，对可能包含数字证据的服务器进行克隆，并将克隆后的服务器磁盘对取证服务器开放，既大大节省了寻找并准备临时存储服务器的时间，又降低了取证成本。

（二）时间不匹配

时间同步问题是取证者面临的第二个难题，由于日志数据可能存储在不同国家的不同数据中心，日志间的时差便不可避免了。如何解释同一个攻击事件的两个日志证据有着不同的时间记录，对取证人员来说也是个挑战。此外，从不同数据中心进行日志检索也可能带来问题，例如离攻击位置较远的数据中心所保存的日志极有可能已被攻击者篡改。

通过引入可信时间戳服务器可解决上述问题，该服务器隶属于第三方权威机构，提供时间戳服务。在获取数字证据的同时应第一时间同时获取该证据的时间戳信息，并应对时间戳进行归一化处理，包括时间戳格式的归一化以及所使用时间的归一化，可统一使用UTC时间以规避不同经度间的时差问题，同时也应记录下计算机系统的时间及所在位置的当地时间。另外还可将可信时间戳结合数字签名技术已达到数字证据完整性保护已经抗抵赖的目的。

（三）多租户

多租户是MCC区别与其他网络环境的重要特性之一。MCC中，多个用户在访问同一资源时可能通过同一个访问点，攻击者的访问点也可能随时发生变化，如何在众多用户中定位攻击者将是一个挑战。

可以通过虚拟蜜罐HONEYD技术应对上述困难，HONEYD可以通过大量模拟云系统各种类型的脆弱点，给攻击者一个相当具有诱惑力的攻击目标，达到迷惑攻击者的目的，但同时HONEYD又是经过精心部署的，因此攻击者任何一个真实的攻击行为都可以被捕获下来，既降低了MCC有价值的系统遭受攻击的可能性，为云系统作出预防攻击响应提供足够的时间，又为定位攻击者，分析攻击行为提供了足够的信息。

（四）现场取证

现场取证工作是在实时网络流量中进行的，数据流正常波动。高速数据流网络因其吞吐能力高因此对取证工具的要求也就更高，然而由于接入权限问题，在MCC中进行实时流量捕获几乎是不可能的。云端整个网络的拥有者都是CSP，取证人员无法接入网络，大部分虚拟设备都会在关闭的时候进行数据清除。

因此，取证方需与CSP需建立一种强信任关系，将现场取证策略应用到实施网络流量中。此外，在制定MCC现场取证策略时还需考虑到MCC网络分布式特性、高速数据流、网络设备类型多样、数据格式多样的特点。

（五）隐私保护

隐私保护是MMC数字取证所面临的最大挑战，MCC下用户数据在云端存储，且有可能被进一步迁徙到不同CSP的其他云中。大部分用户愿意在云端存储数据正是由于CSP与用户之间达成并签署了隐私保护的协议，一旦CSP可以查看用户数据，那么用户对CSP的信任程度将大大降低。几乎所有企业都非常注重隐私，尤其对重要数据的隐私保护更是重中之重。这种现象使得取证人员想通过CSP获取用户数据变得极为困难。

对此可以采用数据加密技术，CSP可对用户信息进行全数据加密，并在信息中定义若干关键字，仅关键字可以被检索，且只有包含关键字的信息才能被解密。当需要进行数字取证时，将关键字检索权限赋予取证人员，当取证结束时立即回收权限，如此既可保护用户的敏感信息又可使得取证工作顺利开展。

（六）手机操作系统

SMD使用的操作系统类型繁多，目前应用在手机上的操作系统主要有Android（安卓）、iOS（苹果）、Windows phone（微软）、Symbian（塞班）、BlackBerry OS（黑莓）、Windows mobile（微软）等。大部分的操作系统都是开发公司所有的，且多为非开源系统，这就使得取证人员要想从不同的SMD中获取数字证据变得较为困难。取证人员必须熟悉各种类型操作系统的最新版本，然而操作系统又是频繁更新的，增加了SMD检索追踪日志的难度。

对于上述问题，可通过管理层面与技术层面来应对。法律层面：加紧制定并完善MCC取证相关的法律规范，并加强配套行政执法，为取证工作提供强有力的法律支持。同时加强与各SMD生产商的交流合作，尽量统一生产标准，包括存储数据的格式、存储卡数据线接口格式等。技术层面：收集并及时更新现有SMD的各类技术参数，建立MCC取证数据库并不断补充完善，提高MCC取证的工作效率。同时加强MCC取证工具、取证方法的投入研究，提高对数字证据的分析能力。

五、结束语

本文对MCC环境下电子取证面临的挑战进行了研究并提出了简要的解决方案。MCC的分布式与虚拟化的特性，导致取证人员在工作中遭遇到种种局限，因此，通过建立专门的取证服务器及可信时间戳服务器，与CSP建立强信任关系并通过加密技术限制取证人员权限，同时制定一套健全的政策法规等手段来规范MCC取证显得尤为重要。MCC数字取证尚在起步阶段，其具体的框架结构，及在仿真环境下的使用情况都将成为未来的研究热点。

[1] J. Lee, "Pervasive Forensic Analysis Based on Mobile Cloud Computing,"in Multimedia Information Networking and Security(MINES), 2011 Third International Conference on, 2011, pp. 572-576.

[2] 宋蕾, 李俊莉. 云计算环境下的计算机取证[J]. 河南科技,2011(01):56-57.

[3] A. Gani, G. M. Nayeem, M. Shiraz, M. Sookhak, M.Whaiduzzaman, S. Khan, "A Review on Interworking and Mobility Techniques for Seamless Connectivity In Mobile Cloud Computing," Journal of Network and Computer Applications, 2014.

[4] Хі. ФјЛ»ѕПµµЧКѕµІУИЦ[J]. РПНВ°И,2010(11):52-54.

[5] K. Kent, S. Chevalier, T. Grance, H. Dang, "Guide to Integrating Forensic Techniques into Incident Response," NIST Special Publication, pp. 800-86, 2006.