一種現(xiàn)場(chǎng)勘查電子記錄可信化模型

吳育寶，楊一濤

(南京森林警察學(xué)院，信息技術(shù)學(xué)院，江蘇 南京 210023)

1 引言與研究背景

犯罪現(xiàn)場(chǎng)勘查通常指刑事案件發(fā)生后，偵査人員為了査明犯罪事實(shí)，收集犯罪證據(jù)，揭露證實(shí)犯罪人，依法對(duì)與犯罪有關(guān)的人和事以及場(chǎng)所、物品、人身、尸體等所進(jìn)行的現(xiàn)場(chǎng)訪問(wèn)和勘驗(yàn)檢査工作，必須依據(jù)國(guó)家法律、法規(guī)，運(yùn)用刑事科學(xué)技術(shù)手段在特定空間領(lǐng)域內(nèi)進(jìn)行[1]。隨著科技的進(jìn)步，公安的各項(xiàng)警務(wù)工作也進(jìn)入了數(shù)字化時(shí)代，現(xiàn)場(chǎng)勘查中的現(xiàn)場(chǎng)記錄也全面轉(zhuǎn)身電子化、數(shù)字化形式，這對(duì)現(xiàn)場(chǎng)勘查記錄的有效性、真實(shí)性和合法性提出了新的挑戰(zhàn)。本文首先闡述現(xiàn)場(chǎng)勘查電子記錄在案件證據(jù)鏈中的作用，結(jié)合我國(guó)司法制度解釋保證現(xiàn)勘記錄客觀、準(zhǔn)確的重要性和必要性；然后根據(jù)現(xiàn)場(chǎng)勘查的特點(diǎn)，結(jié)合時(shí)、空、人三維數(shù)據(jù)提出現(xiàn)場(chǎng)勘查電子記錄的可信化模型，確?，F(xiàn)勘記錄的制作時(shí)間、制作地點(diǎn)和制作人員的客觀性及準(zhǔn)確性，同時(shí)保證該記錄從制作的時(shí)間開始到最終都是完整的和不變的；最后論證該模型的正確性。

2 現(xiàn)場(chǎng)勘查電子記錄

黨的十八屆四中全會(huì)《決定》提出：“推進(jìn)以審判為中心的訴訟制度改革，確保偵查、審查起訴的案件事實(shí)證據(jù)經(jīng)得起法律的檢驗(yàn)。”即要求以法為中心，我國(guó)憲法規(guī)定的公檢法等部門分工負(fù)責(zé)、互相配合、互相制約的前提下，訴訟的證據(jù)經(jīng)法庭的舉證、質(zhì)證、查證，訴訟的過(guò)程要以法庭的庭審和裁決關(guān)于事實(shí)認(rèn)定和法律適用的要求和標(biāo)準(zhǔn)進(jìn)行，疑罪從無(wú)[2]。證據(jù)鏈?zhǔn)撬痉▽?shí)踐中的一個(gè)重要概念，從結(jié)構(gòu)上看，證據(jù)鏈?zhǔn)怯啥鄠€(gè)證據(jù)鏈節(jié)通過(guò)聯(lián)結(jié)點(diǎn)連接而成的具有一定證明方向的且可排除所有假設(shè)合理懷疑的證明載體，能夠完整、準(zhǔn)確地還原案件發(fā)生的過(guò)程并指明其中的主客觀要素。

現(xiàn)場(chǎng)勘查是偵查機(jī)關(guān)對(duì)犯罪處所及其遺留痕跡和其他物證所進(jìn)行的勘驗(yàn)和調(diào)查。目的是發(fā)現(xiàn)、收取犯罪痕跡和其他物證，了解和研究罪犯實(shí)施犯罪的情況和案件性質(zhì)，確定偵查方向和范圍，為偵查和審判案件提供線索和證據(jù)[3]。整個(gè)現(xiàn)場(chǎng)勘查過(guò)程里，現(xiàn)場(chǎng)記錄是一項(xiàng)最耗時(shí)的工作，也是犯罪現(xiàn)場(chǎng)勘查工作最為重要的步驟之一?，F(xiàn)場(chǎng)記錄的目的在于記錄和保存犯罪現(xiàn)場(chǎng)物證的位置、物證之間的相互關(guān)系以及犯罪現(xiàn)場(chǎng)的狀況?，F(xiàn)勘記錄是現(xiàn)場(chǎng)勘查工作結(jié)束后形成的文檔和附件的集合，主要包括：現(xiàn)場(chǎng)筆錄、現(xiàn)場(chǎng)照片、現(xiàn)場(chǎng)視頻、現(xiàn)場(chǎng)音頻、痕跡、各類物證、各類電子數(shù)據(jù)證據(jù)、繪圖等。

現(xiàn)場(chǎng)記錄是證據(jù)鏈上的重要鏈節(jié)點(diǎn)，如果收集的證據(jù)在合法性、真實(shí)性和關(guān)聯(lián)性存在疑問(wèn)，那么從證據(jù)里提取出的證據(jù)鏈節(jié)必然不穩(wěn)定，證據(jù)鏈的方向就可能出現(xiàn)偏差，導(dǎo)致最后的結(jié)論不正確。因此，現(xiàn)場(chǎng)勘查是一項(xiàng)程序性很強(qiáng)的工作，工作流程出現(xiàn)任何一個(gè)小瑕疵，都會(huì)導(dǎo)致很嚴(yán)重的后果，比如證據(jù)采集不充分、痕跡物證損壞等。其中，現(xiàn)勘記錄可信度失效是災(zāi)難性的結(jié)果，這將導(dǎo)致整個(gè)證據(jù)鏈的起點(diǎn)就不被采納，進(jìn)而致使整個(gè)現(xiàn)勘工作無(wú)效[4]。

隨著科技發(fā)展，現(xiàn)今的現(xiàn)勘記錄大多是數(shù)字化形式，如照片、視頻、音頻等記錄是實(shí)時(shí)采集的數(shù)字化信息，筆錄、繪圖等形式的現(xiàn)勘記錄由勘查人員事后手工錄入現(xiàn)場(chǎng)勘驗(yàn)信息系統(tǒng)實(shí)現(xiàn)數(shù)字化[5]。傳統(tǒng)現(xiàn)勘記錄的可信機(jī)制是依靠“簽名”，每份紙質(zhì)形式現(xiàn)勘記錄、痕跡物證收集清單均需要偵查人員親筆簽署姓名來(lái)保證記錄的可信性，為了防止記錄被篡改，一般需要兩名以上的偵查人員簽名。但是在實(shí)際的現(xiàn)場(chǎng)勘查工作中，“簽名”這一規(guī)范存在很著很多的問(wèn)題，如“補(bǔ)簽名”和“代簽名”，這顯然破壞了證據(jù)鏈的完整性。伴隨著現(xiàn)勘電子記錄的出現(xiàn)，傳統(tǒng)的簽名方法已經(jīng)不再適用，現(xiàn)勘設(shè)備也經(jīng)常混用，證據(jù)鏈的可信程度受到質(zhì)疑，給后續(xù)的司法工作埋下隱患。

面對(duì)大量的數(shù)字化現(xiàn)勘記錄，如何高效并有效地保證其可信性也是擺在大家面前的一個(gè)重要課題。本文基于通用的現(xiàn)場(chǎng)勘查專用設(shè)備，提出一種數(shù)字現(xiàn)勘記錄可信化軟件模型，使用密碼學(xué)中的數(shù)字簽名、哈希等方法，針對(duì)數(shù)字化的現(xiàn)勘記錄數(shù)據(jù)進(jìn)行可信化處理，目的是保證所有的數(shù)字現(xiàn)勘記錄從開始記錄到呈遞法庭的整個(gè)過(guò)程中，記錄的內(nèi)容、記錄的人、記錄地點(diǎn)、記錄時(shí)間等數(shù)字化信息是完整的并保持不變的。

3 現(xiàn)勘記錄可信化模型

3.1 模型結(jié)構(gòu)

現(xiàn)有的現(xiàn)場(chǎng)勘查設(shè)備是專用設(shè)備，是基于Android平臺(tái)的智能終端，設(shè)備包含如下組件：高清攝像頭、全指向麥克風(fēng)、指紋識(shí)別模塊、安全存儲(chǔ)區(qū)域、定位模塊(北斗+GPS)、藍(lán)牙模塊、Wi-Fi模塊、5G通訊模塊[6]。每臺(tái)現(xiàn)勘設(shè)備和一名現(xiàn)勘人員綁定，使用指紋識(shí)別模塊進(jìn)行身份綁定[7]，人員身份認(rèn)證在線下完成；安全存儲(chǔ)區(qū)域是設(shè)備專用的存儲(chǔ)設(shè)備，只有通過(guò)指紋驗(yàn)證才可以被訪問(wèn)，用于存儲(chǔ)終端的數(shù)字證書；攝像頭和麥克風(fēng)用于采集現(xiàn)場(chǎng)照片、視頻和音頻；定位模塊收集現(xiàn)場(chǎng)記錄的地理位置信息；Wi-Fi模塊可用于輔助定位以及與后臺(tái)服務(wù)器傳輸數(shù)據(jù)；藍(lán)牙模塊用于終端與服務(wù)器交換認(rèn)證數(shù)據(jù)；5G通訊模塊用于連接授時(shí)服務(wù)器。

定義1T是一個(gè)可信化模型，T=(EN ,A ,DR,TR,TOP)，其中EN是模型中的實(shí)體，EN=S,C，S為服務(wù)器，C={C1,C2,…Ci}為現(xiàn)勘終端設(shè)備集合；A為模型中的密碼算法集合；DR是所有數(shù)字現(xiàn)勘記錄集合，DR={dri|dri∈{數(shù)字照片,數(shù)字筆錄,視頻,音頻}}；TOP是可信化操作。

圖1描述了該數(shù)據(jù)可信化模型結(jié)構(gòu)，其中DT是日期時(shí)間；LO是C的當(dāng)前地理位置信息；CER是S頒發(fā)給C的數(shù)字證書；TR是可信化處理后的現(xiàn)勘記錄集合，即TR=TOP(DR)。

圖1 數(shù)字現(xiàn)勘記錄可信化模型結(jié)構(gòu)圖

1.2 終端注冊(cè)

通過(guò)線下身份認(rèn)證將現(xiàn)勘終端綁定人員后就可以進(jìn)行注冊(cè)過(guò)程，目的是獲取服務(wù)器的公鑰證書并申請(qǐng)自己的數(shù)字證書，注冊(cè)過(guò)程如圖2所示。服務(wù)器S的公鑰和私鑰分別記作PKs和SKs，Keyi是用于保護(hù)終端私鑰的隨機(jī)數(shù)串，E/D分別是一種對(duì)稱密碼算法的加密算法和解密算法，H是一種散列函數(shù)算法，Sign是一種簽名算法。

圖2 終端注冊(cè)流程圖

終端注冊(cè)步驟如下：

(1) Ci向S發(fā)送注冊(cè)請(qǐng)求，包括終端持有人的基本信息(姓名、性別、部門、聯(lián)系方式、級(jí)別……)，并附帶隨機(jī)數(shù)串Keyi；

(2) S為Ci生成密鑰對(duì)SKci和PKci并生成證書；

(3) S將SKci使用Ci的Keyi加密后附帶S的簽名發(fā)回給Ci；

(4) Ci解開SKci，并使用PKs驗(yàn)證消息的有效性后將SKci存入終端的安全存儲(chǔ)區(qū)。

3.3 可信化操作

可信化操作TOP在終端Ci上完成，接受來(lái)自終端采集的數(shù)字化記錄作為輸入，并結(jié)合終端設(shè)備采集數(shù)據(jù)時(shí)的地點(diǎn)、時(shí)間和采集人身份對(duì)原始記錄進(jìn)行可信化處理，使得處理后的現(xiàn)勘記錄數(shù)據(jù)可防篡改及不可否認(rèn)(見圖3)。

圖3 可信化操作TOP流程圖

終端Ci采集到的現(xiàn)勘記錄數(shù)據(jù)記作drn(n=1,2,…)，該數(shù)據(jù)可以是文字、圖片、音頻、視頻；終端Ci采集記錄drn時(shí)的實(shí)時(shí)地理位置信息記作LOn；終端Ci采集記錄drn時(shí)從授時(shí)服務(wù)器得到的時(shí)間戳記作dtn；“+”表示數(shù)據(jù)的連接；Sign是一種簽名算法，H是一種散列函數(shù)算法。

可信化操作步驟如下：

(1) Ci采集到現(xiàn)勘記錄drn；

(2) Ci獲取此時(shí)的地理位置信息LOn；

(3) Ci向授時(shí)服務(wù)器獲得此時(shí)的時(shí)間戳dtn，并簽名得到Timestampn：Sign(SKci,dtn) ；

(4)Ci執(zhí)行操作：drn+LOn+Timestampn+Sign(SKci,H(drn)+LOn+dtn)，計(jì)算結(jié)果記作trn，trn即為drn的可信化結(jié)果；

(5) TR是所有tr的集合，即TR={tr1,tr2,…,trn}。

該可信記錄中除了數(shù)據(jù)現(xiàn)勘數(shù)據(jù)本身外，添加了采集地、采集時(shí)間，并使用終端私鑰對(duì)記錄簽名，保存了該記錄的采集記錄人。該記錄的可信度表現(xiàn)在防篡改和不可否認(rèn)性，因?yàn)榻K端是專人專用，數(shù)字簽名保證了數(shù)據(jù)采自于哪一臺(tái)終端，終端持有人無(wú)法否認(rèn)，此外，若現(xiàn)勘記錄被篡改，通過(guò)驗(yàn)證過(guò)程就會(huì)被發(fā)現(xiàn)出來(lái)。

3.4 驗(yàn)證過(guò)程

假設(shè)可信記錄是由終端Ci采集和生成的，驗(yàn)證工作由圖2的服務(wù)器S完成，圖4描述了一個(gè)可信現(xiàn)勘記錄trn被驗(yàn)證的全過(guò)程：

圖4 數(shù)據(jù)可信驗(yàn)證流程圖

(1) 可信記錄trn會(huì)被拆成兩個(gè)部分O和V，其中O:trn:(drn+LOn+Timestampn)，V:Sign(SKci,H(drn)+LOn+dtn) ；

(2) 對(duì)trn的時(shí)間戳Timestampn使用PKci進(jìn)行簽名驗(yàn)證，如果合法(Valid)則進(jìn)入第(3)步，否則“驗(yàn)證失敗(Failure)”。

(3) 對(duì)V使用PKci進(jìn)行簽名驗(yàn)證，如果不合法(Invalid)則“驗(yàn)證失敗(Failure)”，否則“驗(yàn)證成功(Success)”。

4 模型特性

4.1 可信鏈

在討論現(xiàn)勘電子記錄的可信性之前，我們作如下假設(shè)：

(1) 勘查人員是可信的；

(2) 服務(wù)器及其安裝的操作系統(tǒng)是可信的；

(3) 勘查人員的勘查終端設(shè)備及其安裝的操作系統(tǒng)是可信的。

那么，通過(guò)可信服務(wù)器頒發(fā)的終端證書也是可信的，可信終端和勘查人員是一一對(duì)應(yīng)，終端的安全措施由勘查人員負(fù)責(zé)，在實(shí)際工作中，終端被盜用采集現(xiàn)場(chǎng)數(shù)據(jù)的可能性很低，該部分安全性靠規(guī)章制度保證。

如圖5所示，通過(guò)3.3節(jié)的可信化操作，可以將現(xiàn)場(chǎng)電子記錄的采集時(shí)間、空間和人員進(jìn)行可信化處理，保證電子記錄的可信性，整個(gè)現(xiàn)場(chǎng)電子記錄的可信鏈條構(gòu)建完畢。

圖5 現(xiàn)場(chǎng)電子記錄可信鏈

4.2 協(xié)議安全性

在引言中我們提到模型可信化協(xié)議的目的是保證現(xiàn)勘記錄的制作時(shí)間、制作地點(diǎn)和制作人員的客觀性及準(zhǔn)確性，同時(shí)保證該記錄從制作的時(shí)間開始到最終都是完整的和不變的，本節(jié)從防篡改和抗抵賴兩個(gè)方面闡述可信化協(xié)議的安全性。

(1) 防篡改(Tamper resistance)。現(xiàn)場(chǎng)電子記錄的篡改包括對(duì)記錄本身、記錄時(shí)間、記錄地點(diǎn)、記錄人員等數(shù)據(jù)的篡改，該協(xié)議可以提供防止上述篡改的機(jī)制[8][9]。設(shè)tr′為篡改后的可信記錄，參考圖4流程分別討論不同篡改場(chǎng)景下協(xié)議的安全性。

a.對(duì)記錄本身和記錄地點(diǎn)的篡改。

tr′≠tr是因?yàn)?dr′≠dr,LO′≠LO)

∵dr′≠dr或LO′≠LO

∴V′≠V,則Validate(PKci,V′)=Invalid

因此該篡改場(chǎng)景協(xié)議驗(yàn)證結(jié)果是失敗(Failure)。

b.對(duì)記錄時(shí)間的篡改。

tr′≠tr是因?yàn)?dt′≠dt)

∵Timestamp′≠Timestamp

∴Validate(PKci,Timestamp′)Z=Invalid

因此該篡改場(chǎng)景協(xié)議驗(yàn)證結(jié)果是失敗(Failure)。

c.對(duì)于記錄人員的篡改。即記錄終端被盜用，在4.1節(jié)已經(jīng)說(shuō)明該情形由規(guī)章制度保證。

因此，該可信化協(xié)議滿足防篡改的需求，在驗(yàn)證過(guò)程中可以發(fā)現(xiàn)篡改行為。

(2) 抗抵賴(Non-Repudiation)?？沟仲囂匦灾荚谏?、收集、維護(hù)、利用和驗(yàn)證有關(guān)已聲稱的事件或動(dòng)作的證據(jù)，以解決關(guān)于此事件或動(dòng)作的已發(fā)生或未發(fā)生的爭(zhēng)議[10-11]。在現(xiàn)場(chǎng)勘查過(guò)程，需要抗抵賴保護(hù)的對(duì)象是現(xiàn)勘電子記錄，本文模型可以提供通用的抗抵賴機(jī)制，確保電子記錄的合法性。

由4.1節(jié)可知，因?yàn)榻K端的數(shù)字證書是由可信服務(wù)器頒發(fā)，終端設(shè)備和終端設(shè)備通過(guò)指紋或人臉生物識(shí)別特征和勘查人員一對(duì)一綁定，因此除非終端被授權(quán)冒用因素外，PKc和SKc是無(wú)法被替換的。那對(duì)于一個(gè)給定的可信記錄tr，分離出來(lái)的V部分(圖4)一定是使用操作員的SKc進(jìn)行的數(shù)字簽名，因此如果Validate(PKc,V)=valid，那么該tr一定是私鑰為SKc所對(duì)應(yīng)的操作員所制作。

在該協(xié)議下，由該終端采集和生成的可信現(xiàn)場(chǎng)電子記錄就視同由綁定人員的操作，具備抗抵賴能力，同時(shí)省去了費(fèi)時(shí)費(fèi)力的人工簽名過(guò)程。

5 總結(jié)

為保證犯罪現(xiàn)場(chǎng)勘查中采集的電子記錄的可信性，本文提出了一個(gè)可信化模型，可以構(gòu)建現(xiàn)場(chǎng)電子記錄的可信鏈條，完成對(duì)電子記錄的可信處理，通過(guò)驗(yàn)證過(guò)程可以實(shí)現(xiàn)電子記錄的防篡改和抗抵賴性，同時(shí)為提高了現(xiàn)場(chǎng)勘查的工作效率，減少出錯(cuò)機(jī)率，對(duì)司法實(shí)踐提供了有益方案。