智能門鎖的電子數(shù)據(jù)檢驗方法研究*

薛秋爽 湯艷君 錢麗納 中國刑事警察學(xué)院

引言

2018年的小黑盒事件、2019年京津冀三地消協(xié)對28個品牌38款智能門鎖的測試結(jié)果揭露了智能門鎖存在的安全性問題。據(jù)調(diào)查發(fā)現(xiàn)，部分品牌的智能門鎖僅是將指紋識別模塊、遠程互聯(lián)解鎖模塊置入鎖體芯片，其在聯(lián)網(wǎng)控制的情況下存在重大的安全隱患。目前，智能門鎖電子數(shù)據(jù)檢驗研究較少，現(xiàn)有研究多采用Edewede Oriwoh模型進行檢驗，該模型分為三個部分，即底層的終端檢驗、中層的網(wǎng)絡(luò)檢驗和上層的云檢驗。雖然該模型為智能門鎖電子數(shù)據(jù)檢驗提供了參考，但此模型主要從整體角度對物聯(lián)網(wǎng)檢驗進行研究，較泛化地概括了檢驗的過程，尚未形成完整的體系。此外，目前專門針對智能門鎖電子數(shù)據(jù)檢驗的研究較為不充分，仍處于起步階段，具有較大的研究空間。

本文根據(jù)智能門鎖電子數(shù)據(jù)檢驗的現(xiàn)狀，基于工作原理和電子數(shù)據(jù)存儲來源分析，提出了智能門鎖的電子數(shù)據(jù)檢驗?zāi)Ｐ停υ撃Ｐ椭械臋z驗方法進行重點剖析。實驗部分重點對智能門鎖存儲芯片、智能門鎖網(wǎng)關(guān)、智能門鎖控制端APP及路由器等重要電子數(shù)據(jù)來源進行檢驗。

一、智能門鎖的工作原理及電子數(shù)據(jù)的存儲來源

掌握智能門鎖的工作原理及電子數(shù)據(jù)的存儲來源不僅是用戶安全使用門鎖、提升安全防范意識的基礎(chǔ)，還是檢驗人員及時保護、提取涉案智能門鎖電子數(shù)據(jù)的關(guān)鍵。因此，對智能門鎖的工作原理及電子數(shù)據(jù)的存儲來源進行重點分析是研究智能門鎖電子數(shù)據(jù)檢驗的前提。

（一）智能門鎖的工作原理

以目前市面上銷量最多且客戶需求最大的多種功能聯(lián)網(wǎng)型智能門鎖為研究對象，智能門鎖的核心部件基本一致，主要為主電路板、離合器、指紋采集器、數(shù)據(jù)存儲器、微處理器（CPU）和智能應(yīng)急鑰匙，其系統(tǒng)構(gòu)成如圖1所示。

從智能門鎖系統(tǒng)構(gòu)成的邏輯結(jié)構(gòu)層次來說，可將其分為感知層、網(wǎng)絡(luò)層、應(yīng)用層。 感知層由智能門鎖設(shè)備構(gòu)成，包括物理硬件和智能化模塊，其通過物理硬件感知生物特征并實現(xiàn)指紋、語音、人臉等特征識別功能。網(wǎng)絡(luò)層由通信系統(tǒng)構(gòu)成，包括路由器和智能網(wǎng)關(guān)，主要實現(xiàn)通信及信息傳輸功能，并使感知層的數(shù)據(jù)信息傳輸?shù)綉?yīng)用層中的云服務(wù)系統(tǒng)中。應(yīng)用層由云服務(wù)器系統(tǒng)組成，包括應(yīng)用系統(tǒng)、數(shù)據(jù)庫和應(yīng)用服務(wù)器，其主要通過云服務(wù)系統(tǒng)實現(xiàn)與云服務(wù)器及數(shù)據(jù)庫的交互。

智能門鎖的數(shù)據(jù)傳輸流程如下：智能門鎖通過內(nèi)置ZigBee或者Z-Wave硬件模塊，與智能網(wǎng)關(guān)進行數(shù)據(jù)傳輸，然后智能網(wǎng)關(guān)將數(shù)據(jù)通過Wi-Fi與家庭Wi-Fi路由器進行數(shù)據(jù)交互，家庭Wi-Fi路由器再將數(shù)據(jù)上傳到云服務(wù)器中。智能門鎖也可通過Bluetooth、NFC或Wi-Fi等方式與智能終端連接并進行數(shù)據(jù)傳輸，智能終端再通過Wi-Fi與家庭Wi-Fi路由器進行數(shù)據(jù)交互，也可在聯(lián)網(wǎng)狀態(tài)下直接通過3G、4G、5G等通信方式與云服務(wù)器端進行數(shù)據(jù)傳輸。其工作流程如圖2所示。

（二）智能門鎖電子數(shù)據(jù)的存儲來源

《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》第二十九條第一款中定義，存儲介質(zhì)是指具備數(shù)據(jù)信息存儲功能的電子設(shè)備、硬盤、光盤、優(yōu)盤、記憶棒、存儲卡、存儲芯片等載體。通過分析智能門鎖的系統(tǒng)構(gòu)成和工作流程可知，智能門鎖的電子數(shù)據(jù)傳輸及存儲過程主要存在于以下幾部分：

1. 智能門鎖存儲芯片

智能門鎖的存儲功能主要由其內(nèi)置的存儲芯片實現(xiàn)，該芯片中存有相關(guān)生物特征信息、數(shù)據(jù)交互信息等關(guān)鍵數(shù)據(jù)。

2. 智能門鎖網(wǎng)關(guān)

智能門鎖需要配備智能網(wǎng)關(guān)才能實現(xiàn)聯(lián)網(wǎng)控制功能。智能網(wǎng)關(guān)具備轉(zhuǎn)存功能，智能門鎖連入智能網(wǎng)關(guān)后，智能門鎖與智能網(wǎng)關(guān)產(chǎn)生數(shù)據(jù)交互，智能門鎖能夠?qū)崟r將開鎖關(guān)鎖記錄、模式設(shè)定等數(shù)據(jù)信息轉(zhuǎn)存至網(wǎng)關(guān)中，因此智能門鎖網(wǎng)關(guān)中也存有相關(guān)數(shù)據(jù)信息。

3. 智能門鎖控制終端

智能門鎖控制終端是搭載智能門鎖控制APP的設(shè)備，主要包括智能手機、計算機、平板等。不同的智能門鎖控制終端，其操作界面、實現(xiàn)功能雖存在一定的差異，但都存在利用網(wǎng)絡(luò)與智能門鎖進行交互的過程。用戶可使用智能手機、平板等移動控制終端或計算機端對智能門鎖設(shè)備進行控制并實現(xiàn)數(shù)據(jù)交互，該交互過程產(chǎn)生的數(shù)據(jù)會留存在控制終端中，因此在智能手機、計算機、平板等不同類型的控制終端內(nèi)也會留有智能門鎖記錄的相關(guān)數(shù)據(jù)。

4. 智能門鎖控制APP

智能門鎖控制APP可通過發(fā)送相關(guān)指令實現(xiàn)遠程控制智能門鎖，并可查看智能門鎖的基本信息。智能門鎖控制APP還可實現(xiàn)手機APP開鎖、密碼開鎖、指紋開鎖等通知信息的推送功能，防脅迫開鎖通知、門鈴?fù)ㄖ榷绦磐ㄖδ芤约皥鼍敖壎?、用戶管理、遠程臨時用戶開鎖、報警消息等功能。智能門鎖控制APP作為控制終端與智能門鎖交互的軟件媒介，存儲著大量用戶數(shù)據(jù)信息，因此智能門鎖控制APP也是檢驗的關(guān)鍵數(shù)據(jù)來源。

5. 路由器

路由器是控制端實現(xiàn)對智能門鎖遠程控制流程中的一個關(guān)鍵節(jié)點，其主要實現(xiàn)智能門鎖與控制終端的數(shù)據(jù)交互過程。交互的數(shù)據(jù)主要包括網(wǎng)關(guān)配置數(shù)據(jù)、數(shù)據(jù)傳輸日志記錄、網(wǎng)絡(luò)異常記錄等。由于路由器也具有一定的存儲功能，其可能存有與智能門鎖相關(guān)的數(shù)據(jù)信息，故路由器也是檢驗人員收集證據(jù)時不可忽略的一部分。

6. 廠商云服務(wù)器

云服務(wù)器是智能門鎖的數(shù)據(jù)傳輸工作流程中的重要組成部分，主要實現(xiàn)存儲用戶數(shù)據(jù)的功能。智能門鎖廠商總部設(shè)有云服務(wù)器，可將智能門鎖控制端APP與智能門鎖的數(shù)據(jù)傳輸至云端保存。智能門鎖的用戶端一般擁有清空本地存儲數(shù)據(jù)的權(quán)限，因此僅僅從用戶端入手對智能門鎖進行檢驗具有一定的局限性。但由于用戶使用智能門鎖時，數(shù)據(jù)會與云服務(wù)器產(chǎn)生交互，其相關(guān)數(shù)據(jù)可能存于云服務(wù)器中，這部分數(shù)據(jù)用戶并不具備刪除權(quán)限，因此在對智能門鎖進行檢驗時，也需要對廠商的云服務(wù)器進行檢驗分析。

二、智能門鎖的電子數(shù)據(jù)檢驗方法

（一）智能門鎖的電子數(shù)據(jù)檢驗?zāi)Ｐ?/h3>

通過對智能門鎖系統(tǒng)構(gòu)成、智能門鎖的工作原理及電子數(shù)據(jù)的存儲來源的分析并結(jié)合智能門鎖電子數(shù)據(jù)檢驗規(guī)范，構(gòu)建智能門鎖的電子數(shù)據(jù)檢驗?zāi)Ｐ?，如圖3所示。該模型結(jié)合智能門鎖的特點，在檢驗過程中保證數(shù)據(jù)的客觀性、關(guān)聯(lián)性和合法性，同時也體現(xiàn)針對性和適用性的特點，保證最終證據(jù)能夠被法庭所接受。

智能門鎖的電子數(shù)據(jù)檢驗?zāi)Ｐ椭饕齻€階段：準(zhǔn)備階段、檢驗階段以及后處理階段。

準(zhǔn)備階段和后處理階段都是電子數(shù)據(jù)檢驗的常規(guī)階段，根據(jù)公安部發(fā)布的《公安機關(guān)辦理刑事案件電子數(shù)據(jù)取證規(guī)則》等規(guī)定進行準(zhǔn)備與處理。

檢驗階段是智能門鎖的電子數(shù)據(jù)檢驗?zāi)Ｐ偷暮诵牟糠帧z驗階段根據(jù)檢驗條件不同分為現(xiàn)場檢驗和實驗室檢驗。其中，現(xiàn)場檢驗首先是現(xiàn)場檢驗評估，其次是固定現(xiàn)場設(shè)備狀態(tài)，最后是提取、固定被檢驗設(shè)備的易失性數(shù)據(jù)。實驗室檢驗針對的是現(xiàn)場不能直接獲取的電子數(shù)據(jù)，這些數(shù)據(jù)檢驗解析可能耗時較長，故將其帶回實驗室進行檢驗分析，如門鎖存儲芯片、網(wǎng)關(guān)存儲卡、控制端（手機、計算機）及其應(yīng)用程序APP中的數(shù)據(jù)?？紤]到智能門鎖電子數(shù)據(jù)的易失性及其檢驗的復(fù)雜度，將被檢驗對象按照智能門鎖自身、門鎖網(wǎng)關(guān)設(shè)備（含存儲卡）、控制終端設(shè)備（手機、計算機）、路由器、云服務(wù)器、APP的順序進行檢驗分析。

（二）智能門鎖網(wǎng)關(guān)設(shè)備檢驗

智能門鎖網(wǎng)關(guān)是用戶遠程控制、實時互動的關(guān)鍵，智能門鎖配套的網(wǎng)關(guān)中存儲智能門鎖的相關(guān)數(shù)據(jù)，故可對其進行數(shù)據(jù)檢驗分析。

對智能門鎖網(wǎng)關(guān)設(shè)備的檢驗主要采取提取智能門鎖網(wǎng)關(guān)設(shè)備中的存儲卡，將其與電子數(shù)據(jù)檢驗設(shè)備連接并使用相關(guān)工具進行解析。解析后的存儲卡具有一個磁盤分區(qū)，該分區(qū)中包含Picture文件夾、System Volume Information 文件夾、Video文件夾，這三個文件夾主要存儲圖片、系統(tǒng)信息、視頻等數(shù)據(jù)。以Picture文件夾為例，該文件夾中包含以時間命名的子文件夾，對子文件夾（如“2022-03-07”）進行分析，可以查看到圖片的具體屬性信息如圖片名稱、恢復(fù)狀態(tài)、創(chuàng)建時間、修改時間、訪問時間等。檢驗人員需對子文件夾中包含的圖片進行人工篩選，若圖片中有面部特征或手部特征，可將相關(guān)文件作為證據(jù)文件導(dǎo)出。在提取證據(jù)文件后，需對相關(guān)證據(jù)進行完整性校驗，按照規(guī)范要求制作電子數(shù)據(jù)檢查報告。

周恩來和郭沫若此時正在武漢組織紀(jì)念抗戰(zhàn)一周年群眾歌詠大會，得知桂濤聲和冼星海創(chuàng)作了這首《在太行山上》，便前往冼星海住所先睹為快。

（三）智能門鎖APP控制終端設(shè)備檢驗

智能門鎖的一大特點是用戶需將智能門鎖與其控制終端綁定，并可通過綁定控制終端中的智能門鎖APP實現(xiàn)特定的功能，如控制智能網(wǎng)關(guān)及其相關(guān)設(shè)備的啟用、查看智能門鎖系統(tǒng)設(shè)置、對智能門鎖的數(shù)據(jù)進行同步等。目前智能手機、平板、計算機等終端均可作為智能門鎖APP的控制端，由于控制終端的操作系統(tǒng)不同，需根據(jù)控制終端的操作系統(tǒng)選擇相應(yīng)的檢驗方法。

1. 智能手機端電子數(shù)據(jù)檢驗

智能手機控制端是用戶控制智能門鎖、查看或設(shè)置智能門鎖狀態(tài)的重要設(shè)備。用戶可以通過智能手機控制端設(shè)置智能化“回家”“離家”模式，也可以隨時查看門鎖狀態(tài)以及遠程修改用戶、開關(guān)門鎖。智能手機控制端能夠在非正常開啟情況下為用戶提供實時報警服務(wù)，可自動錄像并抓拍照片，并向用戶控制端發(fā)送實時照片。智能手機控制端存在大量智能門鎖相關(guān)數(shù)據(jù)信息，因此對智能手機進行檢驗十分必要。

（1）對智能手機現(xiàn)場檢驗

智能手機現(xiàn)場檢驗的主要檢驗對象是案發(fā)現(xiàn)場受害人的智能手機。辦案人員可通過人工篩選的方式，查看智能手機中與智能門鎖相關(guān)的數(shù)據(jù)，如智能門鎖的狀態(tài)、開鎖記錄、警報日志及用戶管理等。同時對智能門鎖狀態(tài)、門鎖警報日志、臨時用戶創(chuàng)建及其行為等數(shù)據(jù)進行提取固定，利用關(guān)聯(lián)分析法對數(shù)據(jù)的時間以及狀態(tài)進行分析，若存在多個新創(chuàng)建的臨時用戶，則有作案同伙的可能性大大增加。

（2）對智能手機實驗室檢驗

首先將智能手機與電子數(shù)據(jù)檢驗設(shè)備相連，并使用電子數(shù)據(jù)檢驗工具對控制智能門鎖的智能手機以及手機上的“智能家居”APP進行檢驗。對智能手機重點提取的數(shù)據(jù)如下：

①手機基本信息。通過手機MAC地址確認嫌疑人手機是否遠程登錄過被害人網(wǎng)絡(luò)。在檢驗結(jié)果中首先查看被檢驗手機的基本信息，包括手機品牌、型號、操作系統(tǒng)以及與案件相關(guān)聯(lián)的手機的無線局域網(wǎng)地址（Wi-Fi MAC地址、藍牙MAC地址），并以此為依據(jù)對手機進行關(guān)聯(lián)性認定?？赏ㄟ^手機品牌、型號、操作系統(tǒng)、IMEI、Wi-Fi MAC地址以及藍牙MAC地址進行溯源，尋找關(guān)聯(lián)交叉的地點和人物，從而對手機進行關(guān)聯(lián)性認定。

2. 計算機端電子數(shù)據(jù)檢驗

對控制終端計算機的檢驗主要是針對存儲和記錄的開鎖日志、警報日志、攝像機網(wǎng)關(guān)抓拍的圖片、視頻流等文件及相應(yīng)的時間屬性進行檢驗。

（1）對計算機現(xiàn)場檢驗

在案發(fā)現(xiàn)場，檢驗調(diào)查人員首先進行現(xiàn)場評估，查看涉案計算機的狀態(tài)，并對其狀態(tài)進行拍照固定。查看受害人的計算機是否被網(wǎng)絡(luò)攻擊，遭到破壞。如果計算機被破壞，則對其進行封裝、編號，帶回實驗室進行檢驗。

對計算機進行現(xiàn)場檢驗時，應(yīng)全程錄像，重點查看Windows日志，從日志中查看應(yīng)用程序“智能家居”APP的使用記錄，如具體的開鎖日期和時間、任務(wù)類別、級別、操作代碼等，并將相關(guān)數(shù)據(jù)進行提取固定。

（2）對計算機實驗室檢驗

對計算機實驗室檢驗的主要步驟如下：先使用備份工具對其進行鏡像備份，其次使用相關(guān)檢驗工具對備份的鏡像文件進行檢驗，在檢驗結(jié)果中查看Windows日志及涉案的圖片、短信息、即時通訊（微信、QQ）等信息內(nèi)容。在檢驗過程中，要注意對已刪除文件的恢復(fù)。

（四）路由器檢驗

路由器作為網(wǎng)絡(luò)層的一種互聯(lián)設(shè)備，是智能門鎖通過無線網(wǎng)絡(luò)進行連接以實現(xiàn)遠程控制的必要設(shè)備。

以TP-LINK品牌家庭路由器為例進行檢驗研究。對路由器設(shè)備的檢驗步驟如下：

首先，在與路由器同一局域網(wǎng)下的PC端瀏覽器中輸入默認網(wǎng)關(guān)192.168.0.1。進入路由器的Web界面，查看當(dāng)前路由器的連接設(shè)備及可訪問網(wǎng)絡(luò)。點擊應(yīng)用管理，進入IP與MAC綁定進行查看，可以看到匿名主機192.168. 0.100連接了家庭網(wǎng)絡(luò)，但未綁定。點擊路由設(shè)置，可以查看路由器的型號、管理員賬戶、上網(wǎng)設(shè)置、無線網(wǎng)絡(luò)設(shè)置、LAN口設(shè)置、備份和載入配置以及系統(tǒng)日志等信息，其中上網(wǎng)設(shè)置記錄了該路由器的IP地址及網(wǎng)關(guān)。對路由器存儲的數(shù)據(jù)進行備份、解析，尋找案件線索，備份文件為config.bin。系統(tǒng)日志記錄了連接路由器的主機及網(wǎng)絡(luò)狀態(tài)信息，也可為案件提供線索，保存系統(tǒng)日志文件為syslog.txt。打開路由器系統(tǒng)日志，可以查看到默認網(wǎng)關(guān)、匿名主機192.168.0.100的訪問信息。

該方法適用于能夠正常打開路由器Web界面，且路由器的系統(tǒng)日志未被清除，提取入侵痕跡，并對提取電子數(shù)據(jù)進行完整性校驗。

（五）控制終端APP檢驗

智能門鎖APP在正常情況下（智能網(wǎng)關(guān)未斷電斷網(wǎng)）實時記錄著門鎖的狀態(tài)、開鎖方式，還可發(fā)出開鎖、創(chuàng)建臨時用戶等指令，這一系列的數(shù)據(jù)都以.database文件形式存儲在APP數(shù)據(jù)庫中。控制終端APP的檢驗步驟如下：

對控制終端APP進行數(shù)據(jù)備份后解析，根據(jù)智能手機系統(tǒng)版本對手機助手更新到相應(yīng)的版本，通過USB接口將智能手機連接到電腦上，開始對智能手機端APP“智能家居”進行數(shù)據(jù)備份。

對備份的電子數(shù)據(jù)進行分析，每個文件都有對應(yīng)的詳細信息，如文件大小、文件創(chuàng)建及修改時間、原始路徑等。經(jīng)分析，在原始路徑cc.wulian.smarthomev6files .umengexchangeIdentity.json下找到“APPkey”，即智能門鎖的密鑰信息。通常日志文件包含重要信息，在原始路徑cc.wulian.smarthomev6APP_webviewLocalStorage levedb LOG.old下找到智能門鎖APP發(fā)送密鑰的日志，日志中記錄著打開門鎖的時間以及門鎖狀態(tài)，且有刪除記錄。

若提取不到與案件相關(guān)的直接信息，就需要通過底層數(shù)據(jù)分析找到與案件相關(guān)聯(lián)的信息。導(dǎo)出數(shù)據(jù)庫wl-testdb，并對其進行解析，解析結(jié)果如圖4所示。在表GATEWAY_DATA_ENTITY中找到智能門鎖的控制網(wǎng)關(guān)信息，其登錄用戶名及密碼采用了加密算法，顯示為“suid：us653400gcca2ac479ae”“spassword：ac08d36721 b90886”。在配置文件“cc.wulian. Smarthomev6”中找到定義登錄ID轉(zhuǎn)換方法，將加密的數(shù)據(jù)進行解密。對上述證據(jù)文件進行提取完成后，生成證據(jù)報告，可以選擇html或者word等形式，并對其進行完整性校驗。

三、結(jié)語

在5G、物聯(lián)網(wǎng)技術(shù)快速發(fā)展的背景下，智能門鎖應(yīng)用也愈發(fā)廣泛，其安全性問題應(yīng)引起重視。本文在對智能門鎖的工作原理、數(shù)據(jù)存儲來源分析的基礎(chǔ)上，提出了智能門鎖電子數(shù)據(jù)檢驗?zāi)Ｐ图胺椒?，為公安機關(guān)辦理涉智能門鎖案件提取固定電子數(shù)據(jù)提供借鑒。