物联网取证综述

梁广俊，辛建芳，王 群，倪雪莉，4，郭向民，5，夏玲玲

1.江苏警官学院 计算机信息与网络安全系，南京 210031

2.南京邮电大学 射频集成与微组装技术国家地方联合工程实验室，南京 210003

3.南京铁道职业技术学院 智能工程学院，南京 210031

4.江苏省电子数据取证分析工程研究中心，南京 210031

5.江苏省公安厅 数字取证重点实验室，南京 210031

随着物联网（Internet of Things，IoT）已渗透到人们的日常生活中，人们越来越依赖各种智能IoT服务。海量的IoT设备保留了丰富的数字痕迹，这对于数字取证具有重要意义[1]。另一方面，涉及IoT设备或服务的各类民事和刑事案件数量均在增加。物联网设备不仅可以成为攻击的目标，而且可以成为犯罪的工具。因此，迫切需要进行物联网取证研究，以帮助确定案件的人员、地点、时间和方式。

近年来，全球物联网行业仍保持高速增长，物联网领域仍具备巨大的发展空间。Cisco公司预测，到2030年，全球将有5 000亿个物联网对象连接和链接到Internet。物联网设备与全球数以亿计的其他设备交换数据，这种开放式大规模通信方式，特别容易受到具有非法意图的用户访问，从而遭受攻击。同时，网络犯罪已成为全球第二大报告的犯罪[2]。物联网系统似乎很容易成为攻击者的目标，主要是因为制造物联网设备时，制造商通常将重点放在成本、外形和可用性上，而忽视了安全性。

物联网取证是指以具有法律约束力的方式在物联网设备内收集、分析、存储和提供数字证据的过程。与传统的计算机和智能手机取证不同，物联网取证特别要保持证据的可追溯性、完整性和出处。但是，资源受限的物联网设备可能难以实现这些目标。例如，内存不足可能会导致数据频繁更改或覆盖。此外，某些设备可能仅在本地连接，并且缺乏将证据迅速转移给研究人员的能力。

近年来，物联网取证逐渐引起学术界的关注，早在2009年，黄芹华等[3]在《计算机工程与应用》期刊发表《手机及小型手持数字设备数字取证研究综述》一文，引发国人对数字取证领域的关注。2012年，程琳[4]在《中国人民公安大学学报》发表《加强计算机数字取证研究提高数字化犯罪侦查能力》，凸显数字取证对公安机关打击数字化犯罪的重要性。2015年，丁丽萍等[5]发表《移动数字取证技术》，重点研究以智能手机为代表的数字终端的取证技术。张笑鲁[6]和黄泽民[7]针对Android移动设备为目标研究数字取证方法。文献[6]提出一个Android移动设备取证的新框架，将取证过程划分阶段，给出根据所获取设备的状态选择数据转储方法的取证方法。文献[7]对Android手机数据采集技术进行了深入研究，包括逻辑获取、临时Root获取、JTAG获取、ISP获取，从数据采集、数据分析、数据存储三个角度出发设计实现电子商务类应用程序的取证。苏芊[8]和许正达[9]针对iOS移动设备为目标研究数字取证方法。文献[8]研究实现了iOS设备NAND闪存芯片上的原始数据镜像提取，实现了基于NAND原始数据镜像的数据恢复，关键文件的提取解析和真实性鉴定，并通过实验对iOS设备数据恢复率的影响因素做了研究和分析。文献[9]对于iSO设备关键数据进行分析，利用加权朴素贝叶斯模型设计一种分类算法，对手机数据中的联系人按照亲密度进行分类，为司法部分提供帮助。2020年，李萌等[10]发表《基于区块链的安全车联网数字取证系统》，初步探讨了物联网时代下基于区块链技术的智能网联汽车的取证场景。2020年IEEE顶级期刊IEEE Internet of Things Journal和IEEE Communications Surveys&Tutorials分别发表长篇综述论文，国内这方面尚属空白。发表于期刊IEEE Internet of Things Journal上的论文A Survey on Digital Forensics in Internet of Things，从物联网对数字取证的影响入手，凝练时间、空间和技术三个维度对物联网中的数字取证进行了系统的概括，重点分析了2010年到2018年的相关学术成果，但是缺乏最近3年的研究成果分析，也没有针对物联网取证模型的深入研究。发表于期刊IEEE Communications Surveys&Tutorials上的论文A Survey on the Internet of Things（IoT）Forensics：Challenges，Approaches and Open Issues，探讨了基于物联网的调查取证涉及的法律、隐私保护和云安全等问题，并对物联网取证的挑战做出展望。但是缺乏对物联网取证文献的系统梳理，也没有针对物联网取证模型展开深入研究。

为了填补国内关于物联网取证综述的空白，同时针对2020年的2篇国外综述文献的不足，本文从数字取证以及物联网对数字取证的影响入手，讨论数字取证和物联网取证的关系，引出物联网取证的定义，通过一个物联网取证的实例，进一步指出物联网取证的必要性。在充分梳理、对比分析2013年到2021年的相关文献的基础上，总结归纳了物联网取证模型及其关键技术，最后针对物联网取证标准化、证据效用、隐私保护等问题进行初步探讨，指出将来的机遇与挑战。

1 物联网取证的兴起

1.1 数字取证概述

数字取证旨在通过发现和分析与事件相关的事实，更好地了解事件[11]。数字取证调查人员通过发现和暴露遗留在数字系统上的事件的残余（脚印或文物）来揭示事件的真相。美国国家标准与技术研究院建议将数字法证调查过程分为四个连续（或必要时迭代）阶段，即收集、检查、分析和报告[12]。尽管不同的证据来源可能需要不同的方法和产生不同证据类型，但物联网环境中的数字取证仍需要在此过程中进行，以支持证据在法律处理中的可采性。

作为传统取证学的一个分支，数字取证（digital forensic，DF）学科涉及电子数据的发现和解释，DF专业人员处理在各种类型的电子设备上发现的数字证据并进行识别、收集、恢复、分析和保存[13]。连续执行所有上述步骤便构成了取证调查生命周期[14-15]。尽管不同学者将调查周期划分为不同阶段的方式有所不同，但绝不应错过一个重要的细节：整个周期应使用经过验证的工具和科学证明的方法来执行[16]。如今，有了基于嵌入式技术的新平台，DF研究人员开发并验证了新工具，以便与时俱进，并确保准确，及时地提取数据[17]。如图1所示，美国司法部的《电子犯罪现场调查：第一响应指南》中将数字取证调查分成7个领域/范畴[18]。

图1 数字取证调查分成的7个领域/范畴Fig.1 7 areas/categories divided into digital forensic investigations

1.2 物联网取证对数字取证的影响

物联网使越来越多的设备保持“在线”状态，提供各种与人们生活息息相关的智能服务（如智能城市、医疗保健和智能家居）。如图2所示的是物联网的基本特征对数字取证的影响。

图2 物联网对数字取证的影响Fig.2 Impact of Internet of Things on digital forensics

（1）无所不在的感知。单独的数字设备借助其内置的传感器，可以感知周边环境。物联网设备具有万物互联的特性，普遍存在的海量物联网设备构建成无所不在的感知能力，它们包含与所有者及其环境中其他设备的行为密切相关的潜在证据[19]。物联网中更多的证据来源和细粒度的感知有助于重构案例的背景，这也产生了大量需要处理的取证数据。

（2）动态变化的网络。物联网涵盖海量的数字设备，其状态动态变化，设备可以自动或随用户移动加入或离开网络。由于这种时空变化特性，网络拓扑会动态变化，网络边界变得模糊，这将使识别证据的边界更加困难[20]。物联网的动态变化特性对时间取证提出更高要求，例如修改时间、访问时间和创建时间，它们可以帮助人们更好地梳理证据链。

（3）自动化执行。物联网设备之间存在实时和自动化交互，以促进不同物联网应用之间的协作[21]。设备可以根据来自周围环境或其他实体的信息自动运行，从而减少了人为干预。在自动化系统中，存在控制行为和责任的问题，而交互作用的增加使得通过一系列不同的设备追溯事件变得异常复杂。

（4）受限的设备资源。以智能手机和笔记本为代表的数字设备，本地存储资源和计算资源都比较丰富。然而大多数物联网设备的资源有限，由于存储空间小，数据在被最新数据覆盖之前可能具有较短的生存期，通常会发送到云或其他数据中心，从而增加了物联网设备的取证难度。绝大多数物联网设备都会配备手机APP应用，因此手机APP取证是首选，但是一旦不能获得手机，那就需要直接从物联网设备或者云端取证。另一方面，这些资源受限的设备可能没有足够的安全保证，因此恶意用户可能会轻易地修改或销毁设备上的日志和相关数据[22]。

（5）高度异构。物联网设备是多种数字设备的集合，基于不同的硬件、软件和网络，具有多种协议、多种数据格式和专有接口。这种高度的异构特性会对物联网取证造成很多困扰，数据类型可能会因供应商特定格式而异。异构的物联网设备可能需要不同工具或方法用于数据收集、检查和分析，这需要取证人员付出更多的努力。目前的取证工具可能无法处理较新的物联网设备所产生的证据，因此需要新的工具。新工具在使用前应进行适当的测试和评估[23]，因为不可靠的工具可能会导致不确定性和损失，并影响证据的正确性甚至最终结论。

（6）特殊的安全特性。物联网弥合了网络世界与物理世界之间的鸿沟，网络世界中的安全威胁可以给现实世界带来安全威胁，反之亦然[24]。物联网使人们能够与各种智能设备进行通信，并将其连接到网络，这可能会导致更为广泛的攻击面同时增加取证的复杂性。此外，由于网络世界和物理世界的集成，在物联网设备上的不安全和不安全的操作可能会导致服务的真正损失，甚至生命损失。越来越需要取证来重建安全/安全事件或对物联网系统中的操作问题进行故障排除。

2 物联网取证概述

2.1 物联网取证的定义

尽管DF学科在学术界和工业界都已存在很长时间，但IoT取证是一个相对较新且尚未探索的领域，物联网取证可以看作是数字取证在万物互联时代的一种拓展。物联网取证的目的类似于数字取证的，即以合法且具有法律鉴识力的方式识别和提取物联网设备的信息。除了从特定的物联网设备或传感器中，取证数据还可以从内部网络（例如防火墙或路由器）或云中收集[25]。2015年，Zawoad和Hasan第一次正式给出物联网取证的架构，并完善了Edewede Oriwoh的1-2-3区域方法模型，首次明确提出物联网取证是三种数字取证方案的组合：设备级取证、网络取证和云取证，如图3所示。

图3 物联网取证架构Fig.3 Internet of Things forensics architecture

物联网取证是一个司法层面的概念，是传统取证科学的一个分支，是电子数据取证在物联网终端上的延展，隶属刑事科学技术下物证鉴定。具体讲，物联网取证是指具备资质的专业人员运用计算机和通信等学科的专业技术，按照法律法规的程序发现、固定、提取、分析、检验、记录和展示物联网终端中存储的电子证据，找出与案件事实之间的客观关系，确定其证明力并提供鉴定意见的活动。简单而言，物联网取证是将计算机和通信技术运用到物联网设备上，分析、再现犯罪行为和过程，搜寻罪犯及犯罪证据[26]。

在证据来源方面，可以看到数字取证和物联网取证之间的根本区别。与传统的DF不同，后者通常检查的对象是计算机、智能手机、平板电脑、服务器或网关等设备，而IoT取证中的证据来源可能更为广泛，包括智慧家居的各种智能电器、智慧交通的车载系统等、智能穿戴的各种智能终端，甚至是人类和动物身上的医疗植入物。

2.2 数字取证和物联网取证的关系

物联网拓展了人们身边事物的维度，包括设备数量、种类以及由此衍生出的新的DF视角，这些维度将影响DF的常规做法，物联网中的取证可能会在以下方面与传统取证有所不同。表1重点讨论了这些差异。

表1 物联网取证VS.传统的数字取证Table 1 IoT forensics VS.traditional digital forensics

（1）证据源。基于物联网犯罪现场的证据收集将面对更多的证据来源。除了典型的数字设备，如台式机电脑、笔记本、手机和优盘等，像智能电器这样的设备也会成为取证关注的对象，如智能电视、智能门锁和智能摄像头等。这种物联网设备类型的差异将为物联网取证带来有趣的挑战。文献[27]提出一个用于实体识别和开源信息聚合的框架，对现实世界海量数据进行取证分析。文献[28]提出一种记录数据对象所有权和过程历史的安全来源方法，尝试解决隐私保护云环境中数据取证的困境。

（2）设备数量。从互联的角度来看，对于DF，焦点从一些设备开始，典型的是台式电脑，然后扩展到桌上的设备和其他感兴趣的物品，如USB驱动器、外置硬盘驱动器和移动计算设备，如平板电脑和电子书阅读器。对于IoTF，因为互联太过复杂，设备的重要性差异并不明显，所以通常找不到固定的焦点设备入手。针对海量互联的物联网设备，如何快速准确地分析，是一个非常有价值的研究课题。

（3）证据类型和数据大小。海量物联网的信息交互会产生“数据爆炸”，Coetzee讨论了这种数据爆炸，预计物联网领域将出现“数据洪水”。Gantz和Reinsel在IDC（国际数据公司）报告中指出，从2005年到2020年，预计IoT数据的增长将达到40 000 EB[29]。文献[30]针对取证数据类型的分类展开研究，包括决策树、贝叶斯分类器、基于规则、人工神经网络和基于最近邻的几种方法。文献[31]提出一种基于Hadoop MapReduce的并行分布式SVM（PDSVM），可用于可扩展的数据取证的类型分类。

（4）网络类型和协议。传统的数字取证，主要的取证对象是计算机设备和智能手机等设备，采用的协议也是以以太网、HTTP、TCP/IP和802.11a/b/g/n无线接入协议为主。

物联网的设备和种类繁多，协议也非常多，并且还在不断的增加中。主要的物联网协议包括RFID、蓝牙、ZigBee、CoAP、TCP/IP、Ajax、Websocket、MQTT等。

（5）证据拥有者。由于物联网络异构且极其复杂，用户数据存储在可能会有多个司法管辖的多个地点，这些不同地点的法律适用可能存在差异。例如，物联网设备的存储空间有限，经常会存到云端，而云服务器的位置不同就会导致证据司法管辖的问题。随着数字设备在网络之间移动并跨越各种障碍，司法复杂性随之增加，物联网的出现使得人们在个人和公共网络之间使用的设备增加了一个维度。文献[32]针对流行的云存储服务CloudMe进行研究，讨论了支持云的大数据端点取证调查的工具和技术的未来发展。

（6）证据涉及的网络界限。在传统的网络取证调查中，例如以计算机网络为基础的取证调查，界限通常是明确的，包括获得的装置数目、参与通讯的人数等。然而，物联网的情况要复杂得多，与之互联的终端难以准确统计，尤其是当人们携带设备工作或者旅行时，异构的物联网络相互耦合严重，会产生很多新的问题。一个有趣的研究课题是如何处理开发出的有效方法，从一个在多个网络间传递、留下多个数字指纹的取证对（multiple digital fingerprint objects，MDFO）收集所有相关证据，从而可以促进MDFO的可追溯性。文献[33]提出一种将网络取证与犯罪数据挖掘相结合的新工具，旨在查找一段时间内发生的网络攻击的动机、模式和攻击类型的计数。文献[34]结合网络漏洞和网络证据图提出一种新的网络取证方法，通过使用漏洞证据和推理算法来重建攻击场景，然后回溯网络数据包以找到原始证据。

（7）司法和隐私[35]。在物联网发展的过程中，获取正确类型的取证许可来获取和调查这些信息将是一个需要讨论的主题，这涉及很多司法和隐私问题。这是一个复杂的领域，需要进一步的探索。文献[36]呼吁司法机构和执法机构的成员需要了解数字取证，以便确定数字证据的可接受性并在法庭上有效呈现数字证据。文献[37]旨在解释三个概念：云计算、僵尸网络和取证文件恢复，研究通过视频形式播放增加了专业人士对数字取证技术术语和概念的方法。

2.3 物联网取证的必要性

2.3.1IoT使得网络攻击范围更广

人类世界正迎来百年一遇的大变局，以互联网、5G、人工智能技术的发展与普及为代表的第四次工业革命的浪潮，已经把所有人带入到了物联网的时代。而这种大环境的变化，也让网络安全行业面临着前所未有的巨变。

设备到设备（D2D）通信技术作为IoT的一种典型表现形式，在最近几年迅速发展，但随着物联网成为网络攻击新领域，也成为易受网络攻击类型通信影响的一个典型场景。一方面，D2D与大量终端和嵌入式硬件相关联，这增加了攻击面；另一方面，由于D2D终端价格低廉、安全防护措施不到位，也使得其处于更高的风险中[38]，具有公共接口的物联网设备面临更高的风险水平，因为它们可能将恶意软件从安全性较低的公共空间带入专用网络[39]。常见安全事件包括身份盗窃和数据泄漏SQL注入、网络钓鱼，与保险有关的欺诈、网络欺凌、勒索软件等等。

网络攻击也可能具有大规模的性质，并影响全球企业或在股票市场造成混乱[40]。例如，物联网设备可用于对第三方网站、公司网络或政府机构发起分布式拒绝服务（DDoS）攻击[41]。迄今为止，第二大DDoS攻击发生在2016年10月，针对的是成熟的DNS提供商Dyn。通过使用一种称为Mirai的恶意软件，攻击者利用受感染的IoT设备（例如智能电视、IP摄像机、打印机等）创建了一个僵尸网络[42]。结果，许多站点都存在违规行为，包括亚马逊、Twitter、PayPal、Visa、AirBnB、Netflix、Spotify、Tumblr、《纽约时报》、Reddit和GitHub等平台。据权威机构估计，到2020年，超过四分之一的攻击将涉及被破坏的不同设备[43]。

未来很长一段时间，物联网安全威胁都将是最大的安全威胁之一，物联网安全支出在信息安全整体市场的占比也将快速提升。

2.3.2新的网络空间安全威胁

利用物联网技术，虚拟犯罪可以跨越网络空间的限制，威胁人类的生命[6]。例如，心律失常患者会使用心脏起搏器调节心肌收缩，美国食品和药物管理局（FDA）曾于2017年1月发布警告称，某些起搏器模型容易受到攻击[19]。智能锁是物联网智能家居的典型应用，然而黑客可以通过编程在某一特定设备被建筑物的无线网络探测到时解锁，从而进入某人的家或办公室。如果智能锁经过编程，在检测到火灾或煤气泄漏时自动锁上，那么就有可能导致致命后果。

网络摄像头是另一个高发的安全问题。LG智能吸尘器的门户登录过程中检测到一个漏洞，该漏洞允许一组研究人员从用户家中访问实时视频流。2020年9月，浙江省台州市黄岩区人民法院宣判一起非法控制计算机信息系统案件，杨某在网上学习用黑客软件控制摄像头偷窥隐私，依照附赠的使用教程，他开始针对某品牌的网络摄像头进行破解扫描，其中没有更改过默认账号密码的网络摄像头会在列表中出现。借助黑客软件，杨某能获取列表中的摄像头画面，甚至可以调整摄像头监控角度。截止被查获时，杨某非法控制至少128台他人摄像设备，窥探陌生人的生活隐私，并下载了部分视频。

虽然表2所述的攻击类型已经出现，但物联网给用户和取证调查人员带来了新的网络物理威胁。换句话说，物联网可以将一些现有的数字风险从网络安全威胁转变为物理安全威胁[44-46]。

表2 物联网攻击类型Table 2 Types of IoT attacks

以表中社会工程这种攻击形式为例，攻击者掌握一定的心理学、人际关系、行为学等知识和技能，结合实际环境渗透，利用物联网设备中海量数据，从中筛选出所需的情报货敏感信息，对受害人实施引诱、伪装欺骗、说服、恐吓、恭维等系列犯罪手段，以达成其犯罪目的。

3 物联网取证的模型、方法及关键技术

3.1 数字取证基础模型

3.1.1数字取证调查模型

1999年，Farmer等提出数字取证调查基本过程模型，包含：（1）保证安全和全面隔离；（2）记录现场信息；（3）全面搜查证据；（4）收集提取证据并打包；（5）维护监督链。该模型对整个取证过程进行界定，并提出每个步骤的操作原则，为后续研究提供很好的基础。

2011年，Yusoff等[47]提出改进的数字取证调查模型（digital forensic investigate model，DFIM），如图4所示。该模型从数字证据的一般取证过程入手，并没有考虑富含数字证据的物联网取证，而物联网设备的差异性也会物联网取证重点考虑的问题之一[48]。

图4 数字取证调查模型Fig.4 Digital forensic investigation model

DFIM模型包括：（1）开始阶段，做好充分的数字取证调查准备；（2）相互作用阶段，考虑数字证据相应影响、相互印证的情况下，进行数字取证工作；（3）重建阶段，在分析数字取证结果的基础上，重建、还原案件事实；（4）保护阶段，得出最终的取证分析、重建结论，做好取证鉴定结论文书。DFIM模型作为符合司法标准的数字取证基础模型，优势在于简答、可靠，但是由于该模型只是提供DF框架，缺乏对IoT的支持。

3.1.2混合数字取证调查模型

混合数字取证调查模型（hybrid digital forensic investigation model，HDFIM）是在DFIM模型的基础上进行了一些改进，考虑生物检材和数字证据同时存在的情况。如图5说明了混合模型HDFIM的架构[49]，首先开展（1）准备工作阶段，做好充分的数字取证调查准备；不同的是（2）犯罪现场调查阶段和（3）实验测试阶段是平行进行的，实质上是指在分析犯罪证据、重建案件事实的过程中需要反复取证、分析，这更加符合现场办案的情形。最后的阶段（4）得出结论，呈现出取证鉴定的结果。

图5 混合数字取证调查模型Fig.5 Hybrid digital forensic investigation model

HDFIM这种DF模型可以一次分析仅生物检材证据或仅数字证据，就在物联网平台中寻找证据而言，这种调查方法似乎非常狭窄[50]。因为每当涉及到物联网犯罪时，往往数据是混合的，同时也希望尽快获得取证结果。HDFIM模型考虑实际犯罪现场中数字数据和生物检材的混合场景，但是因为提出较早，同样没有考虑物联网取证的特殊性。

3.1.3数字取证处理模型

维护证据的完整性是取证的首要前提，以确保收集到的证据具有司法效用。如图6所示，数字取证处理模型（digital forensic process model，DFPM）[51]包括四个阶段：（1）收集阶段；（2）检测阶段；（3）分析阶段；（4）汇报阶段。

图6 数字取证处理模型（DFPM）Fig.6 Digital forensic processing model（DFPM）

当发生犯罪时，第一响应者（通常是接警的民警和数字取证调查人员）会到达现场，第一时间识别并保护犯罪现场。在确保数字设备安全之后，数字取证调查人员将收集数字证据以进行进一步检测和分析。简单来说就是直接在数字设备上查找与犯罪相关的数据，例如在被入侵的智能电视的内存中查找攻击的痕迹及其时间戳。

在收集、检测和分析阶段，取证调查人员使用数字取证工具查找和追回可能为伪造（证明有罪的证据）和无罪（证明无罪的证据）的数字证据。在汇报阶段，取证调查人员准备一份报告作为鉴定结论文书。当要求取证调查人员在法庭上作证并出示证据时，取证过程中对数字设备和操作流程以及设备在取证过程中是否被更改等诸多因素，都会影响到鉴定文书的可采纳性[52]。

与DFIM和HDFIM模型相比较，DFPM模型考虑到了物联网设备的特殊性，但是没有制定相关物联网数据收集、分析、检材的具体方法。此外，DFPM模型指出，在分析数据之后，可能根据线索返回犯罪现场二次搜证，更具实践指导意义。

3.1.4数字取证模型小结

以上三个小节分别针对主流的三种DF取证模型进行说明，表3做出一些对比说明。

表3 数字取证模型对比Table 3 Summary of digital forensics model

3.2 基于分层的物联网取证模型

3.2.11-2-3区域模型

1-2-3区域模型是Oriwoh等于2013年提出的数字取证模型[26]，这是最早的物联网取证模型，后人在此基础模型不断完善。

在物联网场景下，数字取证将涉及在哪里寻找证据，因为IoT设备太多太杂，有效数据淹没在海量数据当中，如果不清楚要找什么，会浪费宝贵的时间在错误的地方寻找不相关的证据。因此Oriwoh等提出一种物联网取证三层区域模型（IoT forensics three-tier regional model，IoTFTRM）来进行物联网相关调查取证，如图7所示。

图7 物联网取证三层区域模型Fig.7 IoT forensics three-tier regional model

区域1：内部网络。在其中对与犯罪现场相关的所有硬件、软件和网络（例如，蓝牙和Wi-Fi）进行分类，并作出那些内容与案件相关的判断，从而针对性地筛查跟案件有关的证据。即使一些小型的IoT设备，例如射频识别（radio frequency identification，RFID）标签和智能温度控制器，也会存在很多对案件有帮助的数据。

区域2：中间层。位于该区域中的所有设备和软件均位于网络边界，并提供内部和外部网络之间的通信介质。取证通常将涉及识别一些有问题的网络设备，对其进行分类并从中检索任何可用的相关证据。该区域中的设备可能包括入侵防御和检测系统以及网络防火墙、路由器、网关等。

区域3：外部网络。该区域涵盖所讨论网络之外的所有硬件和软件。该区域包括来自所有云、社交网络、Internet服务提供商和移动网络提供商的证据；基于Internet和Web的服务、对象虚拟在线身份、边缘网络、互联网络证据，例如RFID标签和读取器的日志、网关或边缘设备等。

IoTFTRM模型首次提出基于分层方法的IoT取证架构，充分考虑IoT的复杂环境和海量数据，确保取证人员快速、高效的现场搜证，为后续的物联网取证提出一种指导性的架构。不足之处在于IoTFTRM模型三层架构的分割不够清晰，部分分层有重叠。

3.2.2取证感知的物联网模型

2015年，Zawoad和Hasan完善1-2-3区域模型，提出一种取证感知的物联网模型（forensic-aware IoT model，FAIoT）[53]。将物联网取证定义为数字取证的一个特殊分支，通过识别、收集、分析和展示等流程对物联网基础设施进行处理，以建立有关犯罪事件的事实。将物联网取证识别为三种数字取证方案的组合：设备取证、网络取证和云取证，如图8所示。

图8 取证感知的物联网模型Fig.8 Forensic-aware IoT model

（1）设备取证。IoT设备数量巨大且种类繁多，对IoT设备取证是最简单直接的手段，从这个角度看，IoTF和DF差别不大，只是针对不同的数字设备而言，IoTF需要考虑IoT设备的特殊协议和规程。

（2）网络取证。取证人员需要从网络日志中识别不同攻击的来源，这对于锁定或排除犯罪嫌疑人至关重要。物联网基础设施包括不同形式的网络，例如人体局域网（body area network，BAN）、个人局域网（personal area network，PAN）、家庭/医院局域网（home/hospital area network，HAN）、局域网（local area network，LAN）和广域网（wide area network，WAN），可以从这些网络中的任何一个收集重要的证据。

（3）云取证。云取证是IoTF中特别重要的一个环节，由于大多数IoT设备的存储和计算能力较低，因此从IoT设备和IoT网络生成的数据将存储在云中并进行处理。云解决方案为IoT设备提供了各种便利，包括大容量、可伸缩性和按需访问能力。

FAIoT模型继承并优化了IoTFTRM模型的三层取证架构，首次明确物联网取证的“设备-网络-云”架构，不足之处在于没有制定更加详尽的各层取证方法。

3.2.3改进的物联网取证数字证据获取模型

Harbawi等[54]继承并发展1-2-3区域模型，提出一种改进的物联网取证数字证据获取模型（improved digital evidence acquisition model for the Internet of Things forensic，IDEAM-IoTF），分两步走，首先进行IoT证据鉴别，然后再进行数字取证流程。

（1）IoT证据鉴别。识别物联网中数字证据的主要来源所面临的挑战首先是确定产生证据最初痕迹的场景，提出“最后场景”（last of scenario，LoS）算法按以下程序步骤开展证据鉴别，如图9所示。

图9 IDEAM-IoTF模型Fig.9 IDEAM-IoTF model

步骤1运用基于LoS算法追踪感兴趣的IoT设备。

步骤2假定应首先调查在通信中发现的最后一件事情。

步骤3一旦完成对IoT设备的识别，则通过在区域1中的个人区域网进行传播以识别围绕LoS的所有证据。

步骤4在区域2中间区域网络中标识第二级连接，以便在需要时更新数字取证程序级别，主要包括网关、防火墙、服务器等。

步骤5在区域3扩展区域网中标识第三级连接，以便通知云服务商保留从已实施的IoT犯罪的时间段内的相关数据。

步骤6数字取证调查规程，采用调查数字犯罪所采取的正式程序，然后应考虑扣押可能包含证据的设备，需要排查诸如植入芯片之类的特殊物品。

步骤7数字取证调查规程不得占用不相干设备，以减少调查时间和精力，也避免涉及公民隐私。

（2）数字取证流程。如图10所示，采用LoS算法将大大方便并进一步缩小数字取证调查人员的程序化工作，包括：

图10 IDEAM-IoTF流程图Fig.10 IDEAM-IoTF flowchart

步骤1检查扣押物，并就适用于IoT取证的可能工具和方法生成报告。

步骤2根据时间相关性事项生成数字证据检索。例如，假定犯罪分子在格林尼治标准时间13：10开始进行IoT犯罪，取证分析应从格林尼治标准时间13：10开始。

步骤3检查与感兴趣的物品直接相关的任何犯罪行为，并确定是否需要重复数字取证程序。

步骤4获取所需的数字证据并生成备份副本以进一步分析。

步骤5根据数字取证分析结果，可以对1区中的任何IoT设备进行扣押。

步骤6基于1区数字取证分析结果，如有必要，进一步对2区或3区数字取证进行处理。

步骤7生成最终报告并更新安全措施。

IDEAM-IoTF模型分两步走，先IoT证据鉴别再按照提出的规程进行IoT取证，过程比FAIoT模型详尽。但由于分层架构是在IoTFTRM模型的基础上，因此同样存在分层不够清晰的缺陷。

3.2.4区域取证方法模型小结

以上三个小节分别针对主流的三种区域取证方法模型进行说明，表4做出一些对比说明。

表4 区域取证方法模型对比Table 4 Summary of regional forensic method model

3.3 并行结构的物联网取证方法

3.3.1基于物联网的数字取证模型

2015年，Perumal等[55]基于DF模型的深入研究，提出一种基于物联网的数字取证模型（Internet of Things based digital forensic model，IoTBDFM）。从数字取证调查模型的标准操作程序（investigation standard operating procedure，SOP）的授权、计划和获得授权开始，一步步拓展到物联网取证的范畴，如图11所示。

图11 IoTBDFM模型Fig.11 IoTBDFM model

IoTBDFM从授权、计划和获取授权书开始。进入具体的物联网取证环节后，需要查看物联网设备标识，基本设备标识将涉及设备到设备（device to device，D2D）通信，这是IoT主流的通信协议。

一旦取证调查人员找到了与相关设备通信的可疑设备，取证调查人员便可以进行分类检查。IoT设备的数据存储分散且协议复杂，需要进行非常仔细的调查。海量IoT设备的大数据平台更多的是非结构化数据。常见设备包括路由器、网关、云平台和雾平台等服务器群集。

最后，针对选定区域中选定设备开展电子数据取证，整个取证过程又恢复为通用的数字取证程序，该程序包括监管链、实验室分析、结果、证明以及归档和存储。

IoTBDFM模型首次引入并遵循ISO/IEC 27043标准，从授权、计划和获取授权书开始，逐步拓展到，物联网取证环节，但是授权、监管过程不够具体。

3.3.2通用的物联网数字取证调查框架

2016年，Kebande等指出当前的DF工具和过程无法满足IoT基础架构的异构性和分布式特性，提出一种通用的物联网数字取证调查框架（digital forensic investigate frame for Internet of Things，DFIF-IoT）[56]，该框架能够一定程度地支持未来的物联网调查能力，且符合有关信息安全技术、事件调查原则和国际标准ISO/IEC 27043：2015[57]。

如图12所示，提出的DFIF-IoT数字取证模型包括四个模块：准备过程、IoT取证、分析过程和并发过程。准备过程与为物联网环境提供取证准备，物联网取证是选择不同的取证方案用于提取物联网证据，分析过程表示在识别出潜在安全事件后可能触发的数字取证调查过程。与此同时，并发进程表示与上述三个进程一起执行的进程。

图12 物联网取证DFIF-IoT模型Fig.12 DFIF-IoT model for IoT forensics

（1）准备过程

准备过程涉及在潜在安全性IoT事件发生之前进行计划和准备，包含IoT场景定义、IoT证据源识别、计划事件检测、潜在的数字证据收集、数字保存和潜在证据的存储。值得注意的是，准备过程中使用的方法是在ISO/IEC 27043：2015国际标准中定义的标准化过程，旨在基于物联网的环境中执行以下功能：

物联网场景定义：通过定义这些场景可以识别潜在的数字证据，针对可能的物联网场景进行风险评估，使得后续的取证、分析过程能够识别风险成本，以便计划如何实现取证准备。

物联网证据来源识别：证据来源代表潜在的基于物联网的犯罪现场，包括从智能环境（例如家用电器、个人计算机、云资源、健康设备、智慧城市设备、移动设备等等）到其他基于IoT的基础设施。

计划事件检测：计划事件检测涉及如何定义具有潜在安全事件的数据的IoT环境，并进一步规范检测到事件时可能执行的操作。

潜在的数字证据收集：根据从给定的基于IoT的环境中评估的风险来收集和保留不同类型的数据。考虑业务因素影响，不同管辖区的法律，评估的风险以及其他可能影响此流程的有效性和成本的因素来保留数据。

数字证据保存：收集数据后，应在执行分析之前将其保留为原始形式，通过数字保存以保持收集到的证据的完整性，潜在证据保存同样适用。ISO/IEC 27037：2012强调处理PDE的准则[58]，ISO/IEC 10118-2：2010[59]重点介绍了哈希函数的使用。

（2）物联网取证

物联网取证采用基于IoT的基础架构，以及可能使用的取证方法进行数字取证调查。三个取证层面可以表示为：云取证、网络取证和设备取证，这部分借鉴了Zawoad等的FAIoT模型。

（3）分析过程

在基于IoT的环境中确定事件后，参照DF调查过程进行IoTF的分析过程。

初始化：针对基于IoT环境中的事件启动数字调查。ISO/IEC 27043特别强调初始化过程中事件检测，第一响应处置，计划和准备调查。

获取：与负责从物联网环境中获取潜在证据的活动有关。潜在的数字证据识别、收集、运输和存储等活动也在此阶段执行。

调查：开展有关调查物联网环境事件的活动，对收集的包含潜在事件的证据进行分析，并进行解释和报告。

（4）并发过程

为了全面、统一地进行物联网数字取证调查，模型定义了并发过程，可以轻松地将其合并到IoT环境中以增加可接纳性和有效性。授权是一个过程，涉及获得执行数字调查过程的法律授权，而每个过程都必须记录在案，以确保其可重复性。接下来，在利益相关者和调查之间进行确保流程安全的取证调查。保管链显示所开展处理数字证据的程序化日志。最后，物理检验及相关操作提供了用于调查事件的过程与物理调查本身之间的联系。

DFIF-IoT模型增加并发过程，拓展模型的接纳性和有效性，不足之处在于IoTF过程的研究不够深入，没有进一步探讨IoT设备特殊性对取证的影响。

3.3.3综合数字取证调查框架

2018年，Kebande等[60]在DFIF-IoT的基础上进一步改进，提出一种综合数字取证调查框架（integrated digital forensics investigation framework，IDFIF）。IDFIF-IoT的高级视图已在图13中使用9个不同的子流程进行了展示：

图13 框架级的IDFIF-IoTFig.13 Framework-level IDFIF-IoT

事物（1），设备连接和通信网络（2），准备流程（3），IoT取证（4），数字调查流程（5），并发流程（6），物联网管理平台（7），物联网策略（8）和IoT标准（9）。

下面结合图14对IDFIF-IoT框架中的9个组件分别简要阐述：

图14 详细角度的IDFIF-IoTFig.14 IDFIF-IoT from detailed perspective

（1）事物。具有唯一身份的实体、物理对象或连接的对象/设备，能够在网络上移动数据和信息。

（2）设备连接和网络通信。包含多个传感器或设备，可以将它们组合在一起以实现特定功能。例如，传感器能够通过WiFi、蓝牙、蜂窝连接、卫星或RFID进行连接，并通过互联网完成数据传输。

（3）准备过程。通过计划和准备工作来实现取证准备。

（4）物联网取证。涉及各种互连物联网事物的取证。

（5）数字取证调查。作为取证后的响应过程呈现，二次调查。

（6）并发过程。与其他处理并行发生，这部分类似DFIF-IoT模型的并发过程。

（7）物联网管理平台。管理与物联网智能设备的连接方式及其运营模式有关的策略。

（8）物联网策略。旨在指导如何实现物联网。

（9）物联网标准和协议。提供了物联网中涉及的不同协议和标准，以帮助阐明物联网相关技术。

DFIF-IoT模型相对较为完备，并行过程，授权、监管过程考虑得比较全面，与FAIoT模型有同样的问题，IoTF过程未做深入研究。

3.3.4并行结构的物联网取证模型小结

以上三个小节分别针对主流的三种并行结构的物联网取证模型进行说明，表5做出一些对比说明。

表5 并行结构的物联网取证模型对比Table 5 Summary of parallel structured IoT forensics model

3.4 隐私保护物联网取证方法

3.4.1数字证人嵌入式安全体系

针对物联网取证中出现的隐私保护问题，Nieto等撰写了3篇论文进行开拓式研究。

2016年，Nieto等发表一篇关于“数字证人”的期刊长文，提出“数字证人”嵌入式安全体系（“digital witness”embedded security system，DWESS），这是关于物联网取证研究的第一篇期刊文献。该文首次提出“数字证人”的概念并给出其正式定义，讨论这一新概念在个人设备中的可行性，进一步定义在未来工作中实现这一概念的基本组件[19]。

随着区块链技术的发展，使得定义多个设备充当数字证人成为可能。Nieto将数字证人定义为一种能够从技术和法律角度协作管理电子证据的设备，进一步定义了相关的安全和法律组件，并扩展了各种概念和外延主题，如图15所示。

图15 “数字证人”嵌入式安全体系Fig.15“Digital witness”embedded security system

IoT设备的异质性要求针对性的解决方案，并尽可能保证透明的对数字证人安全系统实现访问。

数字证人还需要证明用户知道他/她的设备正在执行的程序，否则没办法授权该设备执行证据获取、处理和处理的行为。这涉及到用户的责任问题，数字证人是获取数字证据的有力工具，必须控制其使用方式和原因。绑定证书有助于解决此问题，并在委派过程中增加对证据的可追溯性。此外，将根据用户接受或不接受的政策来确保用户的隐私。需要强调的是这种证书也需要认证并设置失效性和权限，如果丢失也要挂失或注销。

数字证人具备协作属性，允许参与主要网络并维持自身的独立性，能够将数字证据发送给其他有权保护电子证据的数字证人或任何其他实体。在这种证据授权期间，诸如历史记录维护之类的程序的存在也将有助于保持数字证据的可追溯性[61]。

Nieto等根据用户个人资料定义两种类型的数字证人：公民和保管人。第一个是指具有基本属性的数字证人，第二个是具有特权的数字证人。保管人可以执行更多操作，其中一些操作取决于设备正确处理的搜索授权等等。

DWESSS首次提出“数字证人”的概念并给出其正式定义，探讨了隐私保护的需求，但是没有针对具体的IoT取证需求展开深入研究。

3.4.2隐私感知的物联网取证模型

2017年，Nieto等在分析ESDFIM[62]的基础上，在整个取证调查生命周期中纳入1974年的《美国隐私法》和ISO/IEC 29100：2011[63]的关于隐私保护的要求，提出一种隐私感知的物联网取证模型（privacy-aware IoTforensic model，PRoFIT）[64]。

考虑到ISO/IEC 29100：2011建立的隐私要求，并参照ESDFIM模型下几个阶段：（1）准备（规划和环境设置）；（2）基于上下文的收集；（3）数据分析和关联；（4）信息共享；（5）呈现；（6）回顾。PRoFIT的最后三个阶段的定义，PRoFIT模型定义了以模型工作流程如图16所示。

图16 PRoFIT模型工作流程Fig.16 PRoFIT model workflow

更准确地说，PRoFIT模型中的阶段（1）分为两条线或平台相关。（2）到（6）阶段与取证调查有关，因此，即使由于隐私原则的实施也涉及到设备和用户，调查人员仍是主要参与者。（4）到（6）阶段是从ESDFIM模型继承的，但已进行了修改，并考虑了相应的隐私原则。值得注意的是，如果将新信息提供给调查人员，则可能需要多次访问阶段（2）至（4）。下面分别介绍各阶段的主要目标：

（1）准备：与ESDFIM模型不同，准备阶段将涉及研究人员的任务与准备IoT环境的设备和平台的任务分开。研究人员在进行任何调查之前都要详细说明计划，PRoFIT模型旨在简化调查的后续阶段。

如图17所示的IoT设备和平台的预配置，准备工作可能需要安装一个中间件，以根据隐私政策和司法限制协助和建议用户设备中包含的信息，并根据提供的数据来管理向请求者提供的数据，例如签名的授权书。

图17 IoT设备和平台的预配置Fig.17 Pre-configuration of IoT devices and platforms

需要特别强调的是，PRoFIT模型试图促使用户自愿提供信息，在保护用户隐私的同时促进设备间的协作，从而减少请求收集数字证据授权的繁琐而耗时的过程。

（2）基于上下文的收集：类似传统的数字取证，此阶段是从案件中涉及的设备收集数据，可能需要像传统方法一样要求法院下达命令，但是PRoFIT模型专门用于促进用户的合作，尽量避免直接征用个人设备。设备可能已经或可能未预先安装PRoFIT软件。

（3）数据分析和关联：此步骤专用于上一阶段中获得数据的分析和关联，也可以是从新设备来源接收的信息。与ESDFIM模型不同，在PRoFIT模型认为所有输入都是数字证据，既可能是直接关联设备产生的数据，也可能是从协作设备收集的原始数据。

（4）信息共享：此阶段保持ESDFIM模型的主要目标，增加了考虑隐私要求的行为。

（5）呈现：这一阶段的重点是向司法机关呈现调查结果的可采性。但是，PRoFIT模型增加考虑了隐私要求。

（6）回顾：该阶段仍是以ESDFIM模型，同样是增加了隐私保护的考量。

PRoFIT模型融合了DW的理念，考虑了隐私保护下的物联网取证，但是对IoTF过程未做深入研究。

3.4.3隐私保护IoTF模型小结

以上三个小节分别针对主流的三种隐私保护IoTF模型进行说明，表6做出一些对比说明。

表6 隐私保护IoTF模型对比Table 6 Summary of privacy protection IoTF model

3.5 针对特殊应用的物联网取证模型

物联网安全最大的挑战是IoT设备的异构性和缺乏统一的标准，这为IoTF带来新的研究问题[65]。文献[66]提出一种不仅适用于传统取证的模型，还适用于数字以及特定于应用的取证过程，通过针对特定应用的取证，以确保在特定物联网应用的背景下收集证据的重要性。

如图18所示，“物联网中的特定应用数字取证调查模型”由三个独立的组件组成：特定应用取证，数字取证和取证过程。这些组件之间的信息流取决于所调查应用程序的类型。在大多数情况下，数据将从“特定于应用程序的取证”组件中流出，并馈入“数字取证”组件中。这两个部分的结果将通过“取证过程”转化为证据。

图18 物联网中的特定应用数字取证调查模型Fig.18 Digital forensics investigation model for specific applications in Internet of Things

3.5.1Smart Home取证模型

以Nest Smart Thermostat[67]的一种应用为例，智能家居应用包括温度控制、智能电表以监控功率和水消耗、空气质量、烟雾或气体泄漏检测等等。Nest Smart推出了第三代Nest Smart模型，该模型具有增强的学习能力，可以学习家庭的日常活动，并根据使用情况自动调节温度。

文献[67-68]针对智能家居环境的取证展开研究。文献[68]提出一种新型的智能环境数字取证框架，如图19所示，该取证框架分成5个相位。

图19 智能环境数字取证框架Fig.19 Smart environment digital forensics framework

相位1，用户从免费在线存储库中下载原始的智能应用程序源。

相位2，自动分析和检测智能应用程序并合法收集与取证相关数据的取证日志。

相位3，涉及（1）智能应用程序的源代码分析和（2）智能应用程序工具，修改后的应用程序将取证日志发送到安全数据库。

相位4，在进行取证调查的基础下，执行数据处理并应用机器学习技术来二次收集数据。

相位5，框架与安全策略，可以检测到用户与智能环境相互作用的系列活动，并可能与用户与智能环境相互作用。

3.5.2Wearables取证模型

可穿戴物联网的应用范围包括增强可穿戴生物传感器技术、无线人体局域网、电子医疗、远程医疗、专业医疗以及健身类运动追踪器。以VitalPatch[69]为例，它提供了对生理数据的实时、无人值守的监视，例如呼吸频率、心率、皮肤温度、体位以及其他生理活动监测，甚至包括跌倒检测，也包含用于检测心率的ECG电极、用于检测运动的3轴MEMS加速度计以及用于检测皮肤温度的热敏电阻。可穿戴物联网的组件一般较小且功率低，可通过2.4～2.5 GHz的蓝牙提供连接。Wearables取证主要就是针对实现特定功能系统的取证调查，其实质是取证各类传感器数据和日志。

3.5.3Smart City取证模型

作为智能城市应用的示例，考虑Manikonda等[70]的智能交通管理系统，该系统旨在智能交通技术来改善交通流量，避免交通拥堵和道路拥堵，并提供到目的地的实时、最佳和最快的路线，从而优化整体交通流量。智能交通技术基于路边单位的地下传感器和微型雷达，以及位于各个位置的无线接入点，这些接入点连接到智能车辆在线通信系统。统计数据表明，智能交通管理系统可将行驶时间减少20%，速度提高25%，节省燃油15%，信号延迟减少41%，停车次数减少44%。Smart City取证内涵及其丰富，但可以将智能车取证作为一个重要突破点，智能车内传感器丰富，主要采用CAN总线协议，目前智能车厂家将接口协议作为行业秘密，取证难以顺利开展。

3.5.4针对特殊应用的IoT取证模型小结

以上三个小节分别针对主流的三种特殊应用的IoT取证取证模型进行说明，表7做出一些对比说明。

表7 特殊应用的IoT取证模型对比Table 7 Summary of IoTF model for special applications

4 总结与展望

为便于读者学习和研究，图20列出了取证技术的过程，表8对重要的研究文献进行了归纳。结合技术、应用及产业发展，对物联网取证的发展提出以下展望。

图20 IoT取证的研究趋势Fig.20 Research trends in IoT forensics

表8 研究论文分类Table 8 Research paper classification

4.1 物联网取证标准化问题

我国一直在探索电子数据取证技术与法律规制的完善。自从2005年公安部发布我国第一部电子数据标准化规范文件——《计算机犯罪现场勘验与电子数据检查规则》以来，对电子数据现场取证、检查、鉴定的内容与程序等进行了规定；2012年底公安部修正《公安机关办理刑事案件程序规定》，将电子邮件与普通邮件、电报等并列，确定为查封、扣押的对象；2014年，两高一部发布《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》，强化电子数据效用；2016年，两高一部再次发布《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定，对电子数据取证的对象、条件及程序等进行了全面、明确的规定，对指导、规范刑事电子数据取证起到了重要作用；2019年，公安部制定《公安机关办理刑事案件电子数据取证规则》（下文简称《公安电子数据规则》），对电子数据取证的概念、原则，收集、提取的基本方法，尤其是现场一并提取、现场单独提取、在线单独提取（包括远程勘验、网络技术侦查）、冻结、调取、检查、检验、鉴定的条件、方法及程序等做出详细规定；2021年，公安部发布《法庭科学电子数据收集提取技术规范》做了进一步规定。

尽管近几年已经有针对物联网取证的案件顺利结案，例如，大量打击收缴用于电信网络诈骗的物联网卡、猫池、GOIP等设备。但这些案件的办理是将其作为电子数据取证在物联网终端的延伸。事实上如前文所述，物联网取证本身产生新的特点和问题，需要进一步规范并推动标准化进程，从而提高办案效率，更好地打击以物联网犯罪为特征的新型网络犯罪。在国内，IoTF的取证标准尚在研究当中，IoTF标准及其衍生出来司法实践问题，相对于传统的电子数据取证，物联网取证的证据效用问题会比较突出，证据的一并提取原则、保存原则等等，都具有非常重要的研究价值。

4.2 取证过程中的隐私保护问题

在基于RFID和IoT取证系统的背景下，如何缓解隐私风险尚未得到充分研究。特别要关注的是对来自以智能手机和智能手表等为代表的IoT终端的数据分析，因为这些设备往往拥有大量有关状态、活动、偏好和资源的个人信息，但是这些信息远远超出了取证调查的明确需求。在保护用户隐私和获取关键证据之间寻求平衡，将继续是物联网取证领域的主要挑战[79]。

在《公安电子数据规则》所列五种收集、提取电子数据方式中，向第三方调取是一种很常用的手段。但是对调取程序的规定较为粗略。那些至关重要的提供哪些信息、如何提供信息、如何使用信息、使用的边界和期限等诸多问题均语焉不详。随着《数据安全法》和《个人信息保护法》的相继出台，公民隐私问题越来越受到重视，相信会有更多学者加入到这个领域的研究当中。

4.3 物联网反取证

在计算机犯罪取证技术不断发展的同时，计算机反取证技术也悄然而生。所谓计算机反取证技术即通过删除或隐藏电子数据等技术手段，导致侦查人员在调查取证时无法找到有效的电子证据，比如“数据敲诈者病毒”它是以犯罪分子以勒索钱财为目的，将病毒植入到计算机用户中，并对其数据进行隐藏或篡改，甚至导致用户数据丢失，如果使用该病毒，用户数据一般很难恢复。虽然可通过哈希函数用于校验数据完整性证明电子数据是否发生变化，但是电子数据一旦进行了数据隐藏、被擦除和加密等反取证技术，甚至各种技术结合使用，使得取证工作变得更加困难。从计算机取证衍生而来的物联网取证，涉及的数以万计的物联网设备种类，隶属于不同的厂家，因此产生的物联网反取证会更加复杂多变。

物联网反取证，实质上是各种应用到物联网领域计算机和通信技术的攻防博弈，这方面的研究一直都是技术前沿，技术领域的攻击与防御永远是值得深入研究的方向。

4.4 车联网取证

未来的汽车不再只是提供交通运输的功能，而是透过网络与各式电子装置互连沟通，成为一种新时代的人工智能产品。而随着车联网技术的发展，人们和车辆结合的程度更加紧密，取证需求也就越来越迫切。早期的车辆取证关注于碰撞数据记录系统（event data recorder，EDR）、行车记录仪、行驶记录仪等。目前针对智能汽车的取证主要集中在车载电脑上。然而，车载电脑取证的进展缓慢，车载电脑的大量数据因为涉及厂家商业秘密和用户个人隐私，目前没有合适的兼顾方案。

未来的智能网联汽车，或者说车联网系统，取证会更加复杂，因为取证的主体除了各种汽车的车载单元以外，各种路基单位，比如路边单元RRU、车联网基站、车联网中继、车联网边缘计算模块、云端等等，都是需要关注的取证对象。

4.5 工业物联网取证

工业物联网（industrial Internet of Things，IIoT）可以定义为“机器、计算机和人员使用业务转型所取得的先进的数据分析成果来实现智能化的工业操作”。IIoT取证最大的问题在于数据，工业数据采集是导致工业物联网发展受阻的原因之一。由于IIoT取证现场环境复杂、接口和协议种类繁多，多数情况下IIoT设备还不能关闭，对现场取证人员的能力要求比较高，既要具备取证现勘的技术，同时还要熟悉工厂环境，掌握强电、弱电的基本知识和技能。

工业物联网涉及国家工业安全，是网络安全领域中的重点研究对象，因为研究领域比较敏感，网上能搜索到的学术成果不多，但是IIoT取证具有重大的研究价值。

4.6 区块链取证

区块链起源于比特币，是一个分布式的共享账本和数据库，具有去中心化、不可篡改、全程留痕、可以追溯、集体维护、公开透明等特点。这些特点保证了区块链的“诚实”与“透明”，为区块链创造信任奠定基础。

然而，随着区块链成为社会关注的焦点，涉及区块链违法犯罪的类型颠覆人们的想象，盗窃、骗取数字货币和数字资产；违法开设交易所及管理乱象；以“割韭菜”为目的发行竞争币、山寨币；通过数字货币渠道进行勒索、非法交易和洗钱；“挖矿”相关的违法犯罪；“存证”相关的违法犯罪；伪存证渊源项目；与资金池相关的违法犯罪；“智能合约”相关的违法犯罪；分叉币、联盟链节点竞选等新概念相关违法犯罪等等。因此，打击涉及区块链犯罪、区块链取证的研究迫在眉睫。

5 结语

正如互联网，今天的物联网正在改变着这个世界。随着物联网更加深入地渗透到人们生活的方方面面，不断颠覆越来越多的行业，物联网取证技术也将深刻地改变传统的刑侦手段。物联网取证能够以具有法律约束力的方式在物联网设备内收集、分析、存储和提供数字证据，因此应保持证据的可追溯性和完整性。然而，目前的资源受限的物联网设备可能难以实现这些目标，物联网取证技术的研究也任重而道远。