祁凱

（上海市數(shù)字證書認(rèn)證中心有限公司，上海 200080）

1 引言

本文以國內(nèi)電子商務(wù)平臺和第三方信息安全保障機(jī)構(gòu)合作的實際項目為背景，分析原有電子商務(wù)應(yīng)用平臺在數(shù)據(jù)保全服務(wù)方面存在的問題。根據(jù)當(dāng)前信息化安全的需求及技術(shù)發(fā)展趨勢，采用數(shù)字證書、電子簽名、可信時間戳、分布式存儲等技術(shù)，設(shè)計一套針對敏感數(shù)據(jù)和電子證據(jù)的采集、管理、查詢、存儲及驗證的可信保全服務(wù)系統(tǒng)。同時面向責(zé)任認(rèn)定機(jī)構(gòu)提供合法、安全的電子證據(jù)，能夠成為該電子商務(wù)平臺中敏感數(shù)據(jù)托管、電子證據(jù)保全、司法鑒定和責(zé)任認(rèn)定的重要服務(wù)手段，提高平臺的社會公信力和市場競爭力。

2 現(xiàn)有電子商務(wù)平臺的數(shù)據(jù)保全服務(wù)分析

隨著數(shù)字證書在電子商務(wù)領(lǐng)域的不斷應(yīng)用，越來越多的關(guān)鍵業(yè)務(wù)數(shù)據(jù)使用了數(shù)字證書進(jìn)行加密和簽名等操作進(jìn)行記錄，這些技術(shù)很好的解決了電子商務(wù)平臺的數(shù)據(jù)的真實性、不可抵賴性、防篡改性等問題，但同時由于很多業(yè)務(wù)平臺的運(yùn)營商本身也在參與實際業(yè)務(wù)，導(dǎo)致所存管數(shù)據(jù)在舉證時產(chǎn)生法律價值缺失的問題。

一方面，我們的電子商務(wù)平臺將傳統(tǒng)的業(yè)務(wù)移植到了互聯(lián)網(wǎng)的平臺，并采用安全技術(shù)實現(xiàn)了平臺的用戶身份認(rèn)證，電子數(shù)據(jù)傳輸性安全和真實性、防抵賴、防篡改、防偽造。

另一方面，由于本身電子商務(wù)平臺對業(yè)務(wù)的參與甚至于獲利，且在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)信息本身的流動性、不穩(wěn)定性及目前對數(shù)據(jù)信息的儲存均以磁性介質(zhì)為載體，以這種方式儲存的數(shù)據(jù)信息內(nèi)容很容易被刪改且不留任何痕跡等特性，如果作為電子證據(jù)被出示，其內(nèi)容的真實性難以被訴訟參與人認(rèn)同，其法律效力無從保證。造成電子商務(wù)平臺電子數(shù)據(jù)本身法律價值的缺失。

經(jīng)過對原有傳統(tǒng)電子商務(wù)平臺進(jìn)行分析后，可以發(fā)現(xiàn)原有平臺存在以下主要問題：

（1）架構(gòu)的不合理性

原有傳統(tǒng)電子商務(wù)平臺往往由于投資、運(yùn)維的成本以及商業(yè)化運(yùn)作等因素，造成大多數(shù)電子商務(wù)平臺和客戶之間是一種買賣雙方的關(guān)系。而大量的電子數(shù)據(jù)保存在平臺方，這就造成一旦產(chǎn)生糾紛，雙方取證的不平等性和相關(guān)部門的取證很難保證電子證據(jù)的真實性、完整性、可靠性。

（2）信息安全技術(shù)水平參差不齊

原有傳統(tǒng)電子商務(wù)平臺由于開發(fā)水平、建設(shè)成本等原因，造成平臺自身的安全狀況各有不同。大多數(shù)會遇到密碼安全問題、網(wǎng)上認(rèn)證問題，電子數(shù)據(jù)的真實性、完整性、時效性問題等。

（3）電子數(shù)據(jù)的收集和保全不易

原有傳統(tǒng)電子商務(wù)平臺往往無法全面的收集電子數(shù)據(jù)以及對電子數(shù)據(jù)進(jìn)行有效的保全。信息系統(tǒng)運(yùn)行過程中產(chǎn)生的能夠證明業(yè)務(wù)事實的電子數(shù)據(jù)，與傳統(tǒng)數(shù)據(jù)不同，電子數(shù)據(jù)沒有具體的形態(tài)，需借助計算機(jī)才能運(yùn)行和重現(xiàn)，往往不能獨(dú)立于計算機(jī)之外存在，具有復(fù)合性、高科技性和無形性等獨(dú)特的特性。針對傳統(tǒng)的數(shù)據(jù)收集保全手段存在著許多局限性，很難保證電子證據(jù)真實性、完整性、可靠性。

（4）電子數(shù)據(jù)的保全規(guī)則差異化

各行各業(yè)的電子商務(wù)平臺對平臺上敏感數(shù)據(jù)和關(guān)鍵信息理解的差異化，造成電子數(shù)據(jù)保全規(guī)則的差異化。電子數(shù)據(jù)保全的目的是應(yīng)用于電子商務(wù)行為投訴證明和關(guān)鍵過程記錄，由于保全規(guī)則的差異，往往無法保證互聯(lián)網(wǎng)上電子數(shù)據(jù)的原始真實性（包含其內(nèi)容、格式、隱含信息等全部信息組合記錄）以及在傳輸和保管的整個過程中處于“保全”狀態(tài)，不能被刪除或者變更。

3 可信數(shù)據(jù)保全系統(tǒng)的設(shè)計

系統(tǒng)總體規(guī)劃如圖1所示，包含前置機(jī)系統(tǒng)、可信數(shù)據(jù)保全系統(tǒng)、時間戳服務(wù)系統(tǒng)。

圖1 可信數(shù)據(jù)保全系統(tǒng)總體規(guī)劃圖

前置機(jī)系統(tǒng)主要負(fù)責(zé)對接委托方的業(yè)務(wù)系統(tǒng)，完成前期數(shù)據(jù)采集工作。可信數(shù)據(jù)保全系統(tǒng)是關(guān)鍵主系統(tǒng)。前置機(jī)將數(shù)據(jù)同步給保全系統(tǒng)后，保全系統(tǒng)將數(shù)據(jù)安全存管。時間戳服務(wù)系統(tǒng)是輔助系統(tǒng)，主要負(fù)責(zé)為整個系統(tǒng)中需要獲得時間戳服務(wù)的關(guān)鍵節(jié)點(diǎn)提供可信的時間戳服務(wù)。

3.1 可信數(shù)據(jù)保全系統(tǒng)架構(gòu)

當(dāng)下業(yè)務(wù)系統(tǒng)的復(fù)雜度日趨增大，對系統(tǒng)開發(fā)的要求也不斷上升，系統(tǒng)的總體結(jié)構(gòu)設(shè)計的難度和采用技術(shù)的要求也在隨之不斷上升。結(jié)構(gòu)設(shè)計的重要性也日益顯現(xiàn)?？尚艛?shù)據(jù)保全系統(tǒng)的系統(tǒng)設(shè)計主要基于PKI技術(shù)和Web Service基礎(chǔ)之上。

可信數(shù)據(jù)保全系統(tǒng)是一個多層次面向服務(wù)的體系結(jié)構(gòu)。利用JAVA的現(xiàn)成框架，可以充分利用Web Service靈活易用的優(yōu)勢。將系統(tǒng)架構(gòu)分為四個層次，具體如圖2所示。

（1）數(shù)據(jù)庫層

數(shù)據(jù)庫層是整個系統(tǒng)的最底層，其完成了系統(tǒng)所有數(shù)據(jù)的各類操作，包括數(shù)據(jù)的添加、刪除、更新、插入等?？尚艛?shù)據(jù)保全系統(tǒng)將使用DB2數(shù)據(jù)庫。根據(jù)實際的可信數(shù)據(jù)保全系統(tǒng)需求，將制作多個數(shù)據(jù)庫表，包括角色表、用戶表、委托方信息表、保全數(shù)據(jù)信息表等。通過這些表將相關(guān)信息進(jìn)行分門別類的儲存，并為實現(xiàn)數(shù)據(jù)相關(guān)操作奠定基礎(chǔ)。

（2）數(shù)據(jù)訪問層

數(shù)據(jù)訪問層是負(fù)責(zé)向底層數(shù)據(jù)庫發(fā)出各類操作的指令，同時接收數(shù)據(jù)庫層的操作反饋結(jié)果，再提交給服務(wù)層。在設(shè)計的系統(tǒng)實現(xiàn)中，使用JDBC技術(shù)訪問數(shù)據(jù)庫。通過加載數(shù)據(jù)庫驅(qū)動實現(xiàn)對數(shù)據(jù)庫的鏈接和操作。

（3）服務(wù)層

系統(tǒng)服務(wù)層主要實現(xiàn)功能是通過業(yè)務(wù)邏輯和服務(wù)接口實現(xiàn)業(yè)務(wù)的主體功能。通過三層的軟件架構(gòu)設(shè)計，使得用戶無需直接與數(shù)據(jù)庫進(jìn)行交互操作，而是通過服務(wù)層承上啟下，實現(xiàn)了系統(tǒng)的各個功能邏輯處理，如系統(tǒng)管理、數(shù)據(jù)同步、獲取時間戳服務(wù)等。

（4）業(yè)務(wù)接口層

業(yè)務(wù)接口層是系統(tǒng)直接提供面向用戶服務(wù)的表現(xiàn)層。用戶通過調(diào)用這一層發(fā)布的We b Service接口，實現(xiàn)異源程序之間互操作和信息交換，建立了基于消息交換的通信模型，建立基于消息交換的通信模型定義松散關(guān)聯(lián)和文檔驅(qū)動的通信。

通過上述四層的系統(tǒng)體系結(jié)構(gòu)設(shè)計，系統(tǒng)具備有以下幾點(diǎn)優(yōu)勢：

（1）適應(yīng)性強(qiáng)

系統(tǒng)業(yè)務(wù)接口層和服務(wù)層采用Web Service技術(shù)，實現(xiàn)了跨平臺跨語言的信息交換解決方案。通過簡單的機(jī)制，使各個業(yè)務(wù)應(yīng)用系統(tǒng)輕松與可信數(shù)據(jù)保全系統(tǒng)實現(xiàn)通信。

（2）可靠性高

通過增加了數(shù)據(jù)訪問層，使得整個系統(tǒng)的核心數(shù)據(jù)庫安全性大幅提升。

（3）系統(tǒng)性能優(yōu)勢

可信數(shù)據(jù)保全系統(tǒng)中使用了大量組件和面向?qū)ο蟆⒚嫦蚍?wù)的程序設(shè)計思想，使得系統(tǒng)靈活、靈敏。而且系統(tǒng)中將大量的提交的可信文件采用獨(dú)立的文件服務(wù)器存儲，這樣的分布式存儲設(shè)計可以提高整體系統(tǒng)的性能。

（4）穩(wěn)定性好

各個模塊之間互相獨(dú)立，靈活集成，使得整個系統(tǒng)的穩(wěn)定性增加，大大降低了系統(tǒng)錯誤概率。

3.2 數(shù)據(jù)保全實現(xiàn)模式

圖2 可信數(shù)據(jù)保全系統(tǒng)結(jié)構(gòu)圖

可信數(shù)據(jù)保全系統(tǒng)調(diào)用邏輯架構(gòu)如圖3所示，主要是通過保全接口的調(diào)用，實現(xiàn)業(yè)務(wù)系統(tǒng)將數(shù)據(jù)提交可信數(shù)據(jù)保全系統(tǒng)，數(shù)據(jù)保全系統(tǒng)將通知回送業(yè)務(wù)系統(tǒng)，對于可信數(shù)據(jù)保全系統(tǒng)側(cè)，回送分為查詢和主動通知兩種方式。

圖3 可信數(shù)據(jù)保全系統(tǒng)調(diào)用邏輯架構(gòu)圖

數(shù)據(jù)保全調(diào)用主要分兩步進(jìn)行：

第一步，調(diào)用數(shù)據(jù)保全服務(wù)平臺提供的數(shù)據(jù)保全接口，將要保全的數(shù)據(jù)提交給數(shù)據(jù)保全服務(wù)平臺，數(shù)據(jù)保全服務(wù)平臺收到保全數(shù)據(jù)后會在將來的某個時候?qū)?shù)據(jù)發(fā)送到第三方具有法律效力的數(shù)據(jù)保全平臺進(jìn)行保全，因而業(yè)務(wù)系統(tǒng)提交保全數(shù)據(jù)后并不能立刻得知數(shù)據(jù)是否保全成功的結(jié)果，而要進(jìn)行第二步的結(jié)果查詢的動作；

第二步，獲取數(shù)據(jù)保全的結(jié)果有2種方式，第1種方式就是業(yè)務(wù)系統(tǒng)調(diào)用數(shù)據(jù)保全服務(wù)平臺提供的保全結(jié)果查詢接口進(jìn)行查詢，第2種是業(yè)務(wù)系統(tǒng)提供一個保全結(jié)果處理接口，數(shù)據(jù)保全服務(wù)平臺會在將數(shù)據(jù)發(fā)送到第三方平臺成功后自動調(diào)用業(yè)務(wù)系統(tǒng)提供的結(jié)果處理接口，主動通知業(yè)務(wù)系統(tǒng)數(shù)據(jù)保全成功。

3.3 保全數(shù)據(jù)管理模式

（1）保全數(shù)據(jù)處理

前置應(yīng)用系統(tǒng)部署在委托方網(wǎng)絡(luò)內(nèi)，對數(shù)據(jù)提交方不做認(rèn)證。

數(shù)據(jù)保全業(yè)務(wù)委托方提交某一條需要保全的數(shù)據(jù)至前置系統(tǒng)，包括原文數(shù)據(jù)以及對應(yīng)的檢索關(guān)鍵字，前置系統(tǒng)對數(shù)據(jù)原文進(jìn)行提取摘要，同時加蓋時間戳，將相關(guān)的證書、數(shù)據(jù)提交到時間戳服務(wù)器，同步返回一個時間戳回包，其中包括時間戳流水等信息，前置系統(tǒng)將摘要和時間戳流水記錄到數(shù)據(jù)庫，返回給委托方業(yè)務(wù)系統(tǒng)一個保全業(yè)務(wù)流水號，此時該條保全業(yè)務(wù)數(shù)據(jù)的狀態(tài)為“已提交”。

前置系統(tǒng)根據(jù)從主體端系統(tǒng)提取到的同步參數(shù)進(jìn)行調(diào)度，在任意調(diào)度觸發(fā)的時刻，將該時刻前置系統(tǒng)所有“已提交”狀態(tài)的保全數(shù)據(jù)進(jìn)行同步操作。

圖4 保全數(shù)據(jù)管理流程圖

數(shù)據(jù)保全業(yè)務(wù)委托方提交某一條需要保全的數(shù)據(jù)至前置系統(tǒng)，處理完成后，該條保全業(yè)務(wù)數(shù)據(jù)的狀態(tài)為“已提交”，所有“已提交”狀態(tài)的保全數(shù)據(jù)將會根據(jù)一定的處理節(jié)奏策略提交至主體端的系統(tǒng)，根據(jù)配置文件的配置，選擇提交該條數(shù)據(jù)的摘要還是原文（（明文只保留接口，不做實現(xiàn)），系統(tǒng)對該條數(shù)據(jù)的摘要或明文進(jìn)行簽名，返回簽名并在前置系統(tǒng)保存，前置系統(tǒng)將該條保全業(yè)務(wù)的狀態(tài)變?yōu)椤耙咽芾怼薄?/p>

同步流程圖如圖5所示。

（2）保全數(shù)據(jù)轉(zhuǎn)儲

轉(zhuǎn)儲邏輯：選取某一批保全數(shù)據(jù)，選取邏輯類似與保全數(shù)據(jù)查詢，先將保全數(shù)據(jù)表剪切到保全數(shù)據(jù)備份表（同一事務(wù)，保證數(shù)據(jù)不丟失），然后將保全數(shù)據(jù)備份表中的數(shù)據(jù)導(dǎo)出成文件另存。

原文的轉(zhuǎn)儲：原文內(nèi)容由于容量較大，采用存儲在OS文件系統(tǒng)的方式，在保全數(shù)據(jù)中記錄對應(yīng)的路徑，因此，系統(tǒng)不提供原文的轉(zhuǎn)儲采用直接從文件系統(tǒng)復(fù)制的方式。

導(dǎo)入邏輯：導(dǎo)入到另外的歷史庫，進(jìn)行舉證。

數(shù)據(jù)時效性：前置機(jī)上滿6個月、“已受理”的數(shù)據(jù)自動刪除。

保全數(shù)據(jù)同步參數(shù)獲?。呵爸孟到y(tǒng)每隔一小時（每次同步數(shù)據(jù)之后）從主體端系統(tǒng)取一次保全數(shù)據(jù)同步參數(shù)，獲取前先判斷狀態(tài)，狀態(tài)為“已下發(fā)”的數(shù)據(jù)不進(jìn)行獲取。

（3）保全數(shù)據(jù)舉證

保全數(shù)據(jù)舉證流程由委托方業(yè)務(wù)員填寫系統(tǒng)申請，發(fā)起請求，由受托方業(yè)務(wù)員在主體系統(tǒng)中操作，舉證的結(jié)果同樣通過系統(tǒng)外途徑返回委托方業(yè)務(wù)員。

舉證業(yè)務(wù)只能舉證保全業(yè)務(wù)記錄狀態(tài)為“已受理”的數(shù)據(jù)，而無法舉證記錄狀態(tài)為“已提交”的業(yè)務(wù)數(shù)據(jù)。一般“已提交”的數(shù)據(jù)會在24小時內(nèi)變成“已受理”狀態(tài)。

委托方提供流水號、保全數(shù)據(jù)檢索關(guān)鍵字、保全數(shù)據(jù)原文，提交到受托方，受托方將數(shù)據(jù)提交到主體系統(tǒng)，主體系統(tǒng)反饋舉證的結(jié)果，最終返回給委托方。

具體業(yè)務(wù)流程如圖6所示。

3.4 可信數(shù)據(jù)保全系統(tǒng)的應(yīng)用

可信數(shù)據(jù)保全系統(tǒng)主要為國內(nèi)的電子商務(wù)平臺提供數(shù)據(jù)保全服務(wù)。主要應(yīng)用于采購系統(tǒng)和招投標(biāo)系統(tǒng)的一些關(guān)鍵數(shù)據(jù)（如采購合同、投標(biāo)書、業(yè)務(wù)單據(jù)等）的保全。

圖5 保全數(shù)據(jù)同步流程圖（前置應(yīng)用端與主體端）

圖6 保全數(shù)據(jù)管理流程圖（主體端）

將前置機(jī)部署至各個需要使用保全系統(tǒng)的業(yè)務(wù)系統(tǒng)中，業(yè)務(wù)系統(tǒng)申請獲得各自的數(shù)字證書。調(diào)用前置機(jī)的web service接口，傳送數(shù)據(jù)采用數(shù)字簽名、數(shù)字信封技術(shù)進(jìn)行處理。前置機(jī)獲得數(shù)據(jù)后進(jìn)行處理，數(shù)據(jù)附加時間戳。前置機(jī)數(shù)據(jù)同樣采用數(shù)字簽名、數(shù)字信封處理上送可信數(shù)據(jù)保全系統(tǒng)。文件數(shù)據(jù)存儲至文件服務(wù)器，數(shù)字簽名、時間戳等數(shù)據(jù)存儲在系統(tǒng)數(shù)據(jù)庫中，這樣可以保證系統(tǒng)的高效性、安全性。

平臺采用了可信數(shù)據(jù)保全系統(tǒng)后，使得以前線下業(yè)務(wù)可以安全可靠的遷移到線上。采購、招投標(biāo)系統(tǒng)更加體現(xiàn)了公開、公平、公正。數(shù)字證書、時間戳服務(wù)都是第三方認(rèn)證機(jī)構(gòu)提供的，使系統(tǒng)更具公信力。

4 結(jié)束語

可信數(shù)據(jù)保全系統(tǒng)為電子商務(wù)平臺的各使用方提供了一套完整的數(shù)據(jù)可信證明、數(shù)據(jù)可靠保全、數(shù)據(jù)安全存儲、數(shù)據(jù)有效管理和電子舉證、責(zé)任認(rèn)定服務(wù)。目前，該系統(tǒng)已在國內(nèi)某知名電子商務(wù)交易平臺進(jìn)行了應(yīng)用，采用JAVA語言開發(fā)，采用四層架構(gòu)的B/S架構(gòu)技術(shù)，具有較強(qiáng)的響應(yīng)速度，保證了數(shù)據(jù)和系統(tǒng)的安全性和可擴(kuò)展性，提供了簡易方便的管理手段，同時降低了后期的維護(hù)升級成本。通過We b Service技術(shù)實現(xiàn)進(jìn)行系統(tǒng)間信息交互，采用MySQL數(shù)據(jù)庫作為數(shù)據(jù)支撐。系統(tǒng)中數(shù)據(jù)加密采用數(shù)字信封技術(shù)，采用數(shù)字簽名技術(shù)確保數(shù)據(jù)的防抵賴、防偽造，采用時間戳技術(shù)確保時間的有效性，操作的真實性。

可信數(shù)據(jù)保全系統(tǒng)對于電子商務(wù)平臺的應(yīng)用有著重要的使用價值，對平臺的可信性、可靠性進(jìn)行了有效提升，當(dāng)出現(xiàn)法律糾紛時能夠面向責(zé)任認(rèn)定機(jī)構(gòu)提供合法、安全的電子簽名證據(jù)和可靠的數(shù)據(jù)保全服務(wù)。特別是應(yīng)用于采購系統(tǒng)和招投標(biāo)系統(tǒng)的一些關(guān)鍵數(shù)據(jù)（如采購合同、投標(biāo)書、業(yè)務(wù)單據(jù)等）的保全方面，發(fā)揮了重要作用。查詢鑒證效果如圖7所示。

綜上，本文針對可信數(shù)據(jù)保全系統(tǒng)的系統(tǒng)設(shè)計和系統(tǒng)實現(xiàn)進(jìn)行了較為全方位的分析和描述，使用數(shù)字信封技術(shù)、數(shù)字簽名技術(shù)、時間戳技術(shù)、加解密技術(shù)等PKI相關(guān)密碼技術(shù)，使得系統(tǒng)數(shù)據(jù)更加安全、可靠、真實。在系統(tǒng)設(shè)計過程中，所采用的電子認(rèn)證相關(guān)技術(shù)完全自主研發(fā)，系統(tǒng)中采用的時間戳服務(wù)模塊在設(shè)計上參考了國家標(biāo)準(zhǔn)《公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系時間戳接口規(guī)范》，其他模塊也參照相對應(yīng)的國際和國家有關(guān)標(biāo)準(zhǔn)。系統(tǒng)覆蓋了可信數(shù)據(jù)保全、托管、舉證的所有環(huán)節(jié)，包括數(shù)據(jù)保全委托申請、到保全證明的生成，從可信數(shù)據(jù)的采集到委托保全管理，從可信數(shù)據(jù)的舉證申請到舉證證明生成等。

圖7 可信數(shù)據(jù)保全系統(tǒng)使用效果圖

該可信數(shù)據(jù)保全系統(tǒng)，符合國家政策法規(guī)要求，為電子商務(wù)、電子政務(wù)、社會公共服務(wù)等互聯(lián)網(wǎng)應(yīng)用中數(shù)據(jù)真實可信、電子證據(jù)保全、敏感數(shù)據(jù)托管和司法舉證、責(zé)任認(rèn)定的提供了重要服務(wù)手段，完善了電子商務(wù)各交易方網(wǎng)絡(luò)信任服務(wù)體系。隨著我國《電子商務(wù)法》的頒布實施，可信數(shù)據(jù)保全系統(tǒng)將為創(chuàng)建公平、公正、合法的互聯(lián)網(wǎng)電子商務(wù)發(fā)展環(huán)境提供有力的支撐和保障。