□朱颮凱，劉三滿，張順利

(1.山西警察學院 太原 030401；2.山西省空間信息網(wǎng)絡(luò)工程技術(shù)研究中心，晉中 030600)

一、引言

隨著無線技術(shù)，移動通信技術(shù)和新型傳感器技術(shù)的快速發(fā)展，[1]物聯(lián)網(wǎng)技術(shù)將“萬物互聯(lián)”變成了現(xiàn)實，無線節(jié)點能夠被大量部署在監(jiān)測區(qū)域，用以實現(xiàn)監(jiān)測區(qū)域感知信息的收集。[2]節(jié)點之間通過無線自組網(wǎng)的方式，通過多跳的傳輸方式，將感知信息傳回收集處或者基站系統(tǒng)處。[3]越來越多的物聯(lián)網(wǎng)技術(shù)被廣泛運用于日常生活的各個領(lǐng)域，例如智能家居，[4]智慧醫(yī)療，[5]農(nóng)業(yè)監(jiān)測，[6]動物檢測，[7]結(jié)構(gòu)體健康監(jiān)測，[8]智慧交通，[9]智慧警務(wù)，[10]智慧城市等領(lǐng)域。[11]

電子數(shù)據(jù)取證分為兩種，一種是可以作為犯罪認定的一切以電子形式組成的文本、音視頻等電子數(shù)據(jù)材料，另一種定義是犯罪分子在進行違法犯罪過程中，在網(wǎng)絡(luò)上或者電子設(shè)備上留下的痕跡。電子證據(jù)由于其特殊的性質(zhì)，具體特點如下：(1)易破壞性。電子證據(jù)通常處于電子設(shè)備、網(wǎng)絡(luò)中，很容易被人刪除或者惡意篡改；(2)不易恢復(fù)性。電子設(shè)備很容易受到暴力破壞或者腐蝕性破壞等，一旦破壞，將無法恢復(fù)；(3)無實物性。電子證據(jù)多數(shù)存于電子設(shè)備或者網(wǎng)絡(luò)中，這些數(shù)字編碼都是無形的，只有通過某些設(shè)備或數(shù)據(jù)呈現(xiàn)方式才能顯示出來；(4)高技術(shù)性。高級技術(shù)人員可以通過網(wǎng)絡(luò)將聯(lián)網(wǎng)的電子數(shù)據(jù)銷毀和篡改，好多技術(shù)都是最新黑客技術(shù)。[12]

在傳統(tǒng)的電子取證中，取證對象是我們?nèi)粘Ｉ钪休^為成熟的電子設(shè)備，例如，手機、筆記本、計算機、掌上電腦等。物聯(lián)網(wǎng)電子取證一方面是電子設(shè)備的取證，例如，可穿戴設(shè)備、聯(lián)網(wǎng)車輛、各種傳感器設(shè)備等；一方面包括物聯(lián)網(wǎng)設(shè)備在虛擬化網(wǎng)絡(luò)中共享網(wǎng)絡(luò)資源的云取證，此外還包括不同類型的網(wǎng)絡(luò)連接，例如，家庭網(wǎng)、小范圍局域網(wǎng)、工業(yè)控制網(wǎng)絡(luò)，城域網(wǎng)和廣域網(wǎng)等等。[13]

無線網(wǎng)狀網(wǎng)絡(luò)具有傳統(tǒng)的無線傳感器網(wǎng)絡(luò)的自組織網(wǎng)絡(luò)的優(yōu)點的同時，不需要依托基站或者接入點等設(shè)施就能夠?qū)崿F(xiàn)數(shù)據(jù)的傳輸。傳統(tǒng)的無線網(wǎng)絡(luò)采用的是中心式的網(wǎng)絡(luò)結(jié)構(gòu)，無線網(wǎng)狀網(wǎng)絡(luò)中每個節(jié)點既可以作為用戶端，也可以作為其他節(jié)點用戶的接入端，能夠被用于其他節(jié)點用戶的通信中繼器。無線網(wǎng)狀節(jié)點采用雙網(wǎng)口設(shè)計，既可以獨立于傳統(tǒng)無線網(wǎng)絡(luò)，多節(jié)點之間自組織網(wǎng)絡(luò)完成數(shù)據(jù)的傳輸；又可以與傳統(tǒng)的無線網(wǎng)絡(luò)相融合。[14]鑒于網(wǎng)狀網(wǎng)絡(luò)這一特性，無線網(wǎng)狀網(wǎng)絡(luò)常被用于災(zāi)后通信、應(yīng)急通信等領(lǐng)域，降低了有線網(wǎng)絡(luò)建設(shè)和維護費用。因此，無線網(wǎng)狀網(wǎng)絡(luò)也是當前的研究熱點和無線接入的重要設(shè)施，所以有必要對網(wǎng)狀網(wǎng)絡(luò)的電子取證進行研究。[15]

在大數(shù)據(jù)、物聯(lián)網(wǎng)技術(shù)等網(wǎng)絡(luò)技術(shù)迅猛發(fā)展的今天，計算機網(wǎng)絡(luò)的安全問題已經(jīng)受到了廣泛的關(guān)注。在享受科技給我們生活帶來便利的同時，[13]這種便利也是一把雙刃劍，在網(wǎng)絡(luò)犯罪規(guī)模逐漸呈現(xiàn)上升趨勢的背景下，在傳統(tǒng)電子取證的基礎(chǔ)上，深入研究當今時代較為火熱的物聯(lián)網(wǎng)技術(shù)，尤其是研究可以同時作為路由器和客戶端接入的網(wǎng)狀網(wǎng)絡(luò)，促使網(wǎng)狀網(wǎng)絡(luò)大面積普及帶來新的電子取證技術(shù)難度的提高，對適應(yīng)大數(shù)據(jù)、物聯(lián)網(wǎng)時代的犯罪新變化，維護社會和諧穩(wěn)定具有重要的意義。[16]

二、無線網(wǎng)狀網(wǎng)絡(luò)概述

(一)技術(shù)原理

無線網(wǎng)狀網(wǎng)絡(luò)是由無線網(wǎng)狀節(jié)點組成，多個節(jié)點之間通過多跳的連接方式，將數(shù)據(jù)信息從一個節(jié)點處到達另一個節(jié)點處。每個節(jié)點可以作為信息接收的接入端，也可以作為接入設(shè)備。無線網(wǎng)狀節(jié)點可以采用無線自組織網(wǎng)絡(luò)的方式傳遞信息，可以接入因特網(wǎng)，其工作方式與互聯(lián)網(wǎng)相似。但又不限于此，當某條傳輸路徑阻塞無法傳輸信息時，網(wǎng)狀節(jié)點會自動地改變信息傳輸路徑，保證信息的傳輸，即無線網(wǎng)狀網(wǎng)絡(luò)具有自愈合的特點。

在傳統(tǒng)的無線局域網(wǎng)中，用戶需要接入網(wǎng)絡(luò)時候，基本是訪問一個固定的接入端，用戶通過無線的接入方式實現(xiàn)網(wǎng)絡(luò)訪問，這個接入端的另一頭直接用網(wǎng)線與互聯(lián)網(wǎng)相連接。在無線網(wǎng)狀網(wǎng)絡(luò)中，每個無線節(jié)點可以與一個或者多個節(jié)點之間通信，在網(wǎng)絡(luò)中的節(jié)點既可以作為信息的接收者，也可以作為信息的發(fā)送者。這種多跳的方式能夠盡最大程度避免節(jié)點之間的延時，提高通信傳輸?shù)匿N量和系統(tǒng)的總吞吐量。

(二)網(wǎng)絡(luò)結(jié)構(gòu)

1.客戶端結(jié)構(gòu)

客戶端網(wǎng)絡(luò)結(jié)構(gòu)是單純的由網(wǎng)狀節(jié)點之間相互連接組成的對等網(wǎng)絡(luò)結(jié)構(gòu)，多個節(jié)點之間支持端到端的服務(wù)，應(yīng)用于在不使用現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的情況下，提供一種節(jié)點之間的通信連接，如圖1所示。

圖1 網(wǎng)狀節(jié)點客戶端網(wǎng)絡(luò)結(jié)構(gòu)圖

2.骨干網(wǎng)結(jié)構(gòu)

骨干網(wǎng)結(jié)構(gòu)是由網(wǎng)狀節(jié)點之間相互連接構(gòu)成，骨干網(wǎng)狀節(jié)點接入網(wǎng)絡(luò)提供商，此時網(wǎng)狀節(jié)點既充當路由器的功能，又具有網(wǎng)關(guān)和中繼的功能。網(wǎng)狀節(jié)點之間通過無線多跳的傳輸方式，在低功率發(fā)射信息的同時，將數(shù)據(jù)信息傳輸出去，如圖2所示。

圖2 網(wǎng)狀節(jié)點骨干網(wǎng)絡(luò)結(jié)構(gòu)圖

3.混合網(wǎng)絡(luò)結(jié)構(gòu)

混合網(wǎng)絡(luò)結(jié)構(gòu)是客戶端結(jié)構(gòu)和骨干網(wǎng)結(jié)構(gòu)共同混合構(gòu)成的，網(wǎng)狀節(jié)點之間既能和其他網(wǎng)狀節(jié)點直接通信，形成網(wǎng)狀網(wǎng)絡(luò)，又能通過網(wǎng)狀節(jié)點充當?shù)穆酚善鹘尤刖W(wǎng)絡(luò)。這種網(wǎng)絡(luò)結(jié)構(gòu)在實際網(wǎng)路連接時，增強了節(jié)點和網(wǎng)絡(luò)之間的連續(xù)性，擴大了節(jié)點的通信范圍。

(三)工作模式

無線網(wǎng)狀網(wǎng)絡(luò)通信的工作模式，決定了網(wǎng)狀網(wǎng)絡(luò)中各節(jié)點之間的通信連接方式，具體的工作模式如下：Station模式，默認工作模式，多個網(wǎng)狀節(jié)點之間不能互相連接，需要另一個工作在Access Point模式下的節(jié)點提供無線接入，多個網(wǎng)狀節(jié)點之間才能相互通信；Access Point模式，網(wǎng)狀節(jié)點可以作為接入設(shè)備，為其他節(jié)點提供網(wǎng)絡(luò)接入，需要維護和管理接入的設(shè)備列表；Monitor模式，能夠?qū)⑽唇?jīng)過濾的數(shù)據(jù)包全部傳入主機，任何故障都能在該種工作模式下查看，該種模式既可以實現(xiàn)數(shù)據(jù)包的注入，又可以實現(xiàn)媒體訪問控制層(Media Access Control ，MAC)的子層管理，進而實現(xiàn)對整個網(wǎng)絡(luò)的有效監(jiān)控；Ad Hoc模式，對等網(wǎng)絡(luò)工作模式，兩臺節(jié)點在直接相連的過程中采用這種工作模式，節(jié)點直接發(fā)射的功率在彼此的接收范圍之內(nèi)，不需要搭建過多的設(shè)施就能夠?qū)崿F(xiàn)臨時性的節(jié)點之間的互通；Wireless Distribution System模式，這種工作模式能夠擴展無線網(wǎng)絡(luò)部署，支持多個無線網(wǎng)絡(luò)的相互連接，能夠使無線接入點和無線路由器之間無線中繼橋接，在不影響設(shè)備覆蓋效果的同時，使節(jié)點之間相互通信，實現(xiàn)了大型無線網(wǎng)絡(luò)的延展和覆蓋。

三、無線網(wǎng)狀節(jié)點

無線網(wǎng)狀節(jié)點主要包含主節(jié)點模塊、供電模塊和通信天線模塊，各模塊具體功能如下：

(1)主節(jié)點模塊主要包括：無線網(wǎng)卡和路由子板等，網(wǎng)卡可以根據(jù)實際覆蓋范圍的需要，具體調(diào)節(jié)網(wǎng)卡發(fā)射功率。路由支持自有網(wǎng)狀網(wǎng)絡(luò)協(xié)議、多跳自組網(wǎng)協(xié)議、多路徑協(xié)議、Qos路徑路由協(xié)議和多網(wǎng)關(guān)路由協(xié)議。

(2)供電模塊可以選擇移動電源、太陽能電池或電源供電的方式，為網(wǎng)狀節(jié)點的正常工作提供持續(xù)電量供應(yīng)，POE(Power Over Ethernet)基于IP的終端提供傳輸數(shù)據(jù)與維持在12V的直流供電。

(3)通信天線為了避開通用頻段，選擇5.8GHz的全向天線和802.11n的工作模式。

網(wǎng)狀節(jié)點結(jié)構(gòu)如圖3所示。

圖3 網(wǎng)狀節(jié)點系統(tǒng)結(jié)構(gòu)圖

四、網(wǎng)狀節(jié)點電子取證

(一)文件存儲

無線網(wǎng)狀節(jié)點的內(nèi)部操作系統(tǒng)是Linux，文件結(jié)構(gòu)采用樹形方式，支持多種常用文件系統(tǒng)，其中包括ext，ext2，ext3，JFS，位于節(jié)點內(nèi)部的文件存儲中最上層為根目錄，其他目錄都是從根目錄處產(chǎn)生的，網(wǎng)狀節(jié)點目錄存放樹形結(jié)構(gòu)網(wǎng)狀節(jié)點常見目錄總結(jié)如下：

/根目錄，所有文件都是從此處產(chǎn)生的；/root超級用戶目錄，節(jié)點被授予最高的權(quán)限允許修改內(nèi)部的配置文件；/bin 存放節(jié)點系統(tǒng)中最基礎(chǔ)的操作命令，節(jié)點支持普通用戶可以使用此處命令；/dev 存放了節(jié)點必要的設(shè)備信息，例如聲卡，磁盤信息，調(diào)試信息等，此文件夾在電子取證中尤為重要，應(yīng)該重點關(guān)注文件夾中的每處信息；/etc 節(jié)點的配置文件存放處，該文件中應(yīng)該重點關(guān)注wireless子目錄，節(jié)點經(jīng)常作為無線設(shè)配的接入點，此處存放了無線的配置；/lib 是庫文件的存放處，提供了bin和sbin的庫文件存儲；/proc 提供了節(jié)點運行中過程中的信息和內(nèi)核信息，例如，CPU信息、硬盤信息、分區(qū)信息和內(nèi)存信息等，這個文件在取證中尤為值得關(guān)注。

(二)節(jié)點信息收集

為了避免網(wǎng)狀節(jié)點原始數(shù)據(jù)的破壞，在電子取證時，不應(yīng)該使用原始介質(zhì)，需要對原始介質(zhì)的鏡像文件和字節(jié)流文件進行備份。無線網(wǎng)狀節(jié)點的內(nèi)部操作性系統(tǒng)是Linux，我們可以使用很多專用工具對節(jié)點中的文件備份，方便下一步對于文件介質(zhì)和CRC數(shù)據(jù)信息的校驗。常用工具包括：sleuth Kit，Autopsy和SMART for Linux等，[17]這些取證工具增加了對FAT和NTFS文件的支持。因此，我們在網(wǎng)狀節(jié)點的rrd數(shù)據(jù)庫中，對配置文件進行收集，例如CPU、memory和interfaces信息等。

網(wǎng)狀節(jié)點還提供了采用Web瀏覽的方式訪問collected信息，例如在主機的瀏覽器采用如下方法：http://網(wǎng)狀節(jié)點IP/cgi-bin/目錄/文件名。但是，在電子取證中，不推薦采用這種操作方法。

(三)節(jié)點信息通用取證方法

無線網(wǎng)狀節(jié)點的操作系統(tǒng)是OpenWrt，該系統(tǒng)是Linux的嵌入式版本，結(jié)合網(wǎng)狀節(jié)點的特點和Linux操作，通用取證方法總結(jié)如下：

1.用戶登錄

網(wǎng)狀節(jié)點的系統(tǒng)是OpenWrt，該系統(tǒng)版本其實是一個嵌入式的Linux系統(tǒng)，Linux支持多任務(wù)、多用戶操作登錄，每個用戶登錄系統(tǒng)操作后，在系統(tǒng)中都有詳細記錄。當執(zhí)法人員獲取網(wǎng)狀節(jié)點后，就能夠檢查節(jié)點上用戶的登錄情況，搜尋可能發(fā)現(xiàn)的犯罪線索。

2.檢驗非授權(quán)用戶登錄

為了隱藏自己的犯罪記錄，犯罪人員在通過非法渠道登入系統(tǒng)后，會修改系統(tǒng)常用指令。但是，通過非法渠道進入系統(tǒng)后，犯罪人員會留下很多痕跡，最常見的就是修改配置文件和安裝非法后門。執(zhí)法人員在執(zhí)法取證時，需要采用來源可靠的信息指令。

3.檢驗系統(tǒng)配置

犯罪人員為了再次進入系統(tǒng)，通常會在系統(tǒng)中啟動非法進程。執(zhí)法人員需要對系統(tǒng)的配置文件和目錄進行篩查。檢查這些文件是否被篡改或者非法調(diào)用。同時，執(zhí)法人員在檢查的過程中，要注意應(yīng)用進程的檢查，因為節(jié)點的CPU與計算機的內(nèi)核體系不同，很多應(yīng)用程序不能直接從計算機中移植，這點尤為重要。

4.檢驗網(wǎng)絡(luò)連接

犯罪人員通過非法入侵系統(tǒng)后獲取網(wǎng)絡(luò)數(shù)據(jù)，需要通過網(wǎng)絡(luò)將數(shù)據(jù)傳輸出去。執(zhí)法人員在執(zhí)法取證時尤其要注意網(wǎng)絡(luò)連接的狀態(tài)，必要情況下采取斷網(wǎng)操作。而且，對于OpenWrt系統(tǒng)沒有開放網(wǎng)絡(luò)組件的部分驅(qū)動程序，對于ADSL一體無線路由模塊無法正常工作。

5.檢驗操作日志

如果在上述檢查的過程中發(fā)現(xiàn)有非法人員侵入系統(tǒng)，執(zhí)法人員需要對犯罪人員的登錄情況進行檢查，對節(jié)點系統(tǒng)中的操作日志文件進行分析，檢查犯罪人員的具體操作。

6.檢驗臨時文件

系統(tǒng)的臨時文件是系統(tǒng)臨時操作緩存的文件，很多臨時文件在系統(tǒng)再次啟動時會被系統(tǒng)清空，執(zhí)法人員需要及時對臨時文件目錄進行檢查，而且，此處的文件需要及時備份。

五、亟待解決的問題

(一)網(wǎng)絡(luò)接入的不確定性和安全性

無線網(wǎng)狀節(jié)點相比傳統(tǒng)的有線接入的組網(wǎng)方式更靈活，傳統(tǒng)的組網(wǎng)中，設(shè)備之間只能通過單一節(jié)點接入網(wǎng)絡(luò)，如果發(fā)生故障，需要人為手工操作。在無線網(wǎng)狀網(wǎng)絡(luò)中，只要節(jié)點部署下去，節(jié)點之間就能夠通過多跳自組網(wǎng)的方式進行數(shù)據(jù)傳輸。如果有某個節(jié)點發(fā)生故障，節(jié)點的數(shù)據(jù)傳輸依然不會受到影響。但是，如果單純發(fā)送端和接收端來看的話，信息能夠正常傳輸，但是如果處于某個用戶覆蓋范圍內(nèi)的節(jié)點遇到故障，且其他節(jié)點的通信范圍又不包含用戶所在區(qū)域，則會造成用戶信息傳輸?shù)膯栴}。而且，無線網(wǎng)狀節(jié)點的操作系統(tǒng)其實是Linux的嵌入式版本，現(xiàn)階段安全軟件基本停留在Windows操作系統(tǒng)中，對Linux系統(tǒng)的研究較少，未來多用戶都要接入無線接入點，用戶使用無線網(wǎng)絡(luò)進行數(shù)據(jù)傳輸和交易，對網(wǎng)狀節(jié)點的安全問題要極為慎重。

(二)分布式存儲與共享

網(wǎng)狀節(jié)點在有條件接入因特網(wǎng)時，可以與其他分部在各地的節(jié)點建立通信信道。在無條件接入網(wǎng)絡(luò)時，節(jié)點能夠同周圍的網(wǎng)狀節(jié)點建立本地局域網(wǎng)絡(luò)，進行點對點通信，且這種局域網(wǎng)的私密性更高，網(wǎng)絡(luò)也更加穩(wěn)定。用戶能夠通過網(wǎng)狀節(jié)點將數(shù)據(jù)存儲在本地，無需多次上傳數(shù)據(jù)至服務(wù)器端。用戶只要根據(jù)實際情況設(shè)置訪問策略即可。這樣進一步減少了資源的占用，同時，對個人隱私和安全性也得到了保證。

(三)流量分析及用戶行為特征分析

未來更多大型區(qū)域的無線網(wǎng)絡(luò)覆蓋采用網(wǎng)狀節(jié)點來組網(wǎng)，網(wǎng)狀節(jié)點中能夠存儲用戶的流量信息、網(wǎng)絡(luò)日志和數(shù)據(jù)、數(shù)據(jù)庫日志和數(shù)據(jù)等。用戶不斷的產(chǎn)生海量網(wǎng)絡(luò)日志，在未來的研究中需要對這些數(shù)據(jù)進行數(shù)據(jù)發(fā)掘和關(guān)聯(lián)性分析，并對這些數(shù)據(jù)進行分析，尤其是弱關(guān)聯(lián)分析，再配合傳統(tǒng)的電子取證方法，能夠?qū)Ψ缸锶藛T進行更準確的行為特征分析，讓網(wǎng)絡(luò)數(shù)據(jù)和日志數(shù)據(jù)發(fā)揮出更大的價值。

六、結(jié)語

本文對無線網(wǎng)狀節(jié)點的電子數(shù)據(jù)取證問題進行了研究，介紹了無線網(wǎng)狀網(wǎng)絡(luò)的節(jié)點結(jié)構(gòu)、網(wǎng)絡(luò)結(jié)構(gòu)和工作模式。在執(zhí)法人員對網(wǎng)狀節(jié)點電子取證的過程中，要注意做好數(shù)據(jù)保護，尤其是易失數(shù)據(jù)和臨時數(shù)據(jù)的保護，結(jié)合當前的研究熱點，尤其是數(shù)據(jù)分析挖掘，查找犯罪人員留下的操作痕跡，進一步提高取證工作的準確性，對公安機關(guān)執(zhí)法人員實戰(zhàn)具有指導意義。