电子证据溯源研究　[www.dffy.com]

　　对于没有取证审计记录的电子证据必须有其他的证据能够证明其内容真实性、完整性，并且证明是来自于与争议事实有关联的信息系统中的。

　　6.2 内容信息的溯源分析

　　根据电子证据进行溯源分析，可以将数字信息分为三个层次：内容信息，元数据信息、信息系统环境信息。这是根据信息在信息处理过程中地位和作用的差别而进行的划分，是一种相对的划分。

　　电子证据的内容信息，是指信息系统信息处理的对象。以电子邮件和IP数据包为例，内容信息分别对应其中信体部分（message body）（见图 4 电子邮件示例）和IP数据包中的数据部分（见图 5 IP数据报结构）。

　　

　　图 4 电子邮件示例

　　

　　图 5 IP数据报结构

　　同样的信息内容可以使用不同的信息系统进行处理，因信息处理方式的不同，其表现形式和处理方式各异，这是由处理该信息的信息系统决定的。如一段语言文字内容可以以手机短信、word文档、txt文本、数据库记录等方式保存在手机存储器中、计算机存储器、数据库文件内，也可以是正在通过手机GSM网络、TCP/IP网络进行传输中的数据。

　　可以利用数字信息内容中包含的特征信息来进行电子证据溯源。信息内容中可能包含生成该信息内容的信息系统或者是制作人身份的特征信息，这是电子证据溯源的一种方法。比如利用电子文本中的语言特征或者是信息内容中包含的数字签名进行溯源。

　　电子文本制作人及信息系统的某些特征信息会在制作生成的数字电文中有所反映。对于记录语言文字内容的电子证据资料，文本作者使用计算机及其他有文字处理功能的数字设备制作电子文本时，电子文本中可以反映出作者的个体特征，如整体布局结构特征、惯用错别字特征、书面语言特征等、语言文字水平特征、惯用语特征、程式语言特征等。这些特征可以用于制作人的身份认定。对于计算机软件源程，不同的软件设计人员的编程习惯的各不相同，在变量命名、添加注释、程序结构设计等方面都具有各自的偏好和习惯，通过分析这种差异性可以分析作者身份。Georgia Frantzeskou等通过分析软件字节流层面的统计特征来识别软件作者的研究，也是属于这一类型的电子证据溯源。该研究借鉴了自然语言作者分析的方法，其基本思路是首先提取程序代码中代表作者编程风格差异性的变量，差异性越小，是同一作者的可能性就越大，然后采用统计分析或者是机器学习的方法得到程序作者的处理模型。⑦

　　密码学中的数字签名的作用与手写签名的作用类似，不同点在于电子文档可以很容易复制、传输和处理。因此数字签名必须为电子文档创建某种“数字封装”。数字签名使用指定的签名算法，利用签名人的密钥给要签名的消息产生一个数字签名。如Rabin签名、Lamport签名、RSA签名等。数字签名将消息和签名封装在一起，签名人的密钥是专属于签名人的，在签名不会伪造的情况下，可以根据电子证据信息内容中的数字签名来认定制作者的身份。

　　6.3 元数据信息的溯源分析

　　第二个层次是数据信息内容的元数据信息。元数据是关于数据的数据（Data about Data），按此定义，元数据信息就是关于信息内容的信息。

　　元数据在许多领域有不同的定义和应用。一般而言，元数据信息是为了处理信息内容的方便，而对信息内容进行结构化、标准化、格式化描述的信息，因此可看作是信息内容的属性数据。“它使信息的描述和分类可以实现格式化，从而为机器处理创造了可能”。⑧同样以电子邮件和IP数据包为例，该电子邮件中的元数据信息就是邮件头（图 4 电子邮件示例），IP数据包中的元数据就是IP数据包头，即图 5 IP数据报结构中前20个字节及选项部分。

　　元数据信息中包含了有关信息内容处理方面的相关信息，其中就有与电子证据来源有关的内容，可以依据这些信息进行溯源分析。比如通过分析电子邮件头和IP数据包中的IP地址信息，可以帮助确认该邮件及数据包的来源和目的地。有些元数据信息可能包含相关软件或硬件的id号使用者的id号，属于个体特征信息，据此也可以直接判断该电子证据的来源。

　　有些元数据信息虽然不直接包含个体特征信息，但是包含有信息系统的种属特征信息，可以帮助建立电子证据与信息系统或者制作者之间的关联关系。比如对文件元数据信息的溯源分析。数字信息一般以文件的形式存在，不同的文件格式保存不同类型的文件内容，被不同的信息系统处理。分析文件的格式可以确定处理该文件的信息系统的种类和版本、型号。在Dos及windows系统中使用文件扩展名来区分文件格式，在Unix系统中使用文件开头8个字节的特征签名来区分。比如gif文件的开头是GIF87a或者GIF89a⑨。公共语言运行库可移植可执行文件 (PE) 文件的元数据信息中包含有标识（名称、版本、区域性、公钥）、程序集所依赖的其他程序集、运行所需的安全权限、名称、可见性、基类和实现的接口等等。⑩通过对这些种属特征信息可以建立文件与信息系统之间的关联关系。。

　　6.4 系统环境信息的溯源分析

　　数字信息的系统环境信息是电子证据溯源的第三个层次，系统环境信息是数据电文在信息系统中生成、存储、传递、修改、增删引起的记录，如系统日志记录、信息系统运行所处的硬件和软件环境属性等。前述电子邮件的例子中发送接受电子邮件产生的日志记录是该电子邮件的系统环境信息。IP数据包的例子中，转发该IP数据包的日志记录是该ip数据包的系统环境信息。因为不同的信息系统其运行状态、运行环境各不相同，具备个体差异性，因此系统环境信息应属于个体特征信息，是建立数字信息与信息系统关联的重要手段。

　　将电子证据元数据信息中的某些信息与信息系统环境信息中的某些信息相互对照，可以建立起电子证据与信息系统之间的关联关系。如将上述电子邮件头包含的邮件id“Message-Id: client16544-45554@mail.domain1.com”与生成该id的邮件服务器日志相对照，如果在邮件服务器日志中有该id的发送记录，则可以认定该邮件是自该服务器发出的。

　　可以用于溯源分析的系统环境信息有很多，比如系统日志、系统环境中的身份标识等等。系统日志是非常重要的系统环境信息。系统日志是信息系统处理信息时对一些事件的记录，是对所指定对象的某些操作和其操作结果按时间有序的集合。日志文件由日志记录组成，每条日志记录描述了一次单独的系统事件，其中包含了时间戳和信息或者子系统所特有的其他信息。有些日志中记录有系统登录或者连接的帐号、IP地址、登录情况、文件上传下载的情况、运行程序情况等。这些信息都与分析电子证据来源有着密切的关系。将ftp日志中文件上传下载的记录内容与该文件的文件名、时间、大小等属性信息对照分析，可以帮助判断该文件是否来自该服务器。

此文章共有4页 [上一页] [1] [2] [3] [4] [下一页]

　　查看董健　杨永川的其他文章　本文关键词：证据

收藏到法律网摘　讨论　打印　页顶　关闭

你的位置：首页 >> 法学阶梯 >> 诉讼 >> 正文　　　　　　　　　　　　　　　　双击自动滚屏