張俊賢 汪 麗 柳 晶 王 溢

(北京海泰方圓科技股份有限公司 北京 100094)

(junxian.zhang@haitaichina.com)

電子文件是指機(jī)關(guān)、團(tuán)體、企事業(yè)單位和其他組織在處理公務(wù)過程中，通過計(jì)算機(jī)等電子設(shè)備所形成、辦理、傳輸和存儲(chǔ)的文字、圖表、音頻、視頻等不同形式的信息記錄.電子文件是信息化時(shí)代經(jīng)濟(jì)社會(huì)發(fā)展的重要信息記錄，是國(guó)家的重要信息資源.在大數(shù)據(jù)的環(huán)境下，電子文件管理對(duì)于政務(wù)服務(wù)創(chuàng)新、政務(wù)數(shù)據(jù)整合、行政效能提升等有著積極作用.電子文件管理是我國(guó)實(shí)施信息化戰(zhàn)略的重要任務(wù)，是基礎(chǔ)性管理工作.對(duì)電子文件進(jìn)行妥善管理和利用，在促進(jìn)經(jīng)濟(jì)發(fā)展、實(shí)現(xiàn)歷史文化傳承、開發(fā)利用信息資源、確保國(guó)家信息安全以及提升國(guó)家軟實(shí)力等方面具有重要意義[1-4].

黨中央、國(guó)務(wù)院高度重視電子文件管理工作.中央辦公廳和國(guó)務(wù)院辦公廳先后印發(fā)了《電子文件管理暫行辦法》《國(guó)家電子文件管理工作規(guī)劃(2011—2015年)》等文件，為切實(shí)加強(qiáng)電子文件管理指明了方向.隨著《電子文件標(biāo)準(zhǔn)體系框架》以及相關(guān)電子文件管理標(biāo)準(zhǔn)的陸續(xù)出臺(tái)，為電子文件建設(shè)提供了政策及標(biāo)準(zhǔn)依據(jù).

對(duì)于組織機(jī)構(gòu)而言，其信息化建設(shè)的過程中一般會(huì)陸續(xù)上線多個(gè)業(yè)務(wù)系統(tǒng)，每個(gè)業(yè)務(wù)系統(tǒng)中都會(huì)產(chǎn)生大量電子文件.如何管理和利用這些文件，如何充分挖掘其內(nèi)部?jī)r(jià)值，特別地，如何保證這些文件的真實(shí)性不被篡改，是電子文件管理領(lǐng)域需要研究的核心問題，得到各級(jí)政府領(lǐng)導(dǎo)單位、產(chǎn)業(yè)界和學(xué)術(shù)屆的高度重視和廣泛關(guān)注.

1 問題與挑戰(zhàn)

目前，世界范圍內(nèi)對(duì)電子文件真實(shí)性保障問題的研究還處于探索階段.對(duì)于不同組織機(jī)構(gòu)而言，尤其是政府行政管理活動(dòng)中產(chǎn)生的電子文件，是重要的工作記錄，往往需要長(zhǎng)期保存、歸檔和存檔.因此，電子文件真實(shí)性保障技術(shù)迫切需要研究者的積極參與，這既是電子文件管理工作者的責(zé)任所在，也是關(guān)系電子文件管理事業(yè)在信息時(shí)代如何發(fā)展的重大問題.

1.1 研究現(xiàn)狀

自20世紀(jì)60年代起，國(guó)內(nèi)外關(guān)于電子文件管理的研究逐漸進(jìn)入全面發(fā)展和實(shí)際應(yīng)用階段，然而，直到20世紀(jì)90年代才開始對(duì)電子文件真實(shí)性保障進(jìn)行研究.電子文件真實(shí)性是電子文件管理活動(dòng)中一個(gè)極為復(fù)雜而又關(guān)鍵的問題.如果以國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于《我國(guó)電子文件真實(shí)性保障建設(shè)的指導(dǎo)意見》(中辦發(fā)[2002]17號(hào)文)印發(fā)為標(biāo)志，我國(guó)電子文件真實(shí)性保障已經(jīng)經(jīng)歷了整整15年歷程，已經(jīng)成為未來新一代信息技術(shù)的重要組成部分.多年來，我國(guó)電子文件真實(shí)性保障建設(shè)在支撐政府核心業(yè)務(wù)、開發(fā)政府信息資源、提高政府為民服務(wù)水平方面發(fā)揮了巨大作用.具體地，對(duì)于推動(dòng)我國(guó)電子文件真實(shí)性保障建設(shè)的低成本、可持續(xù)發(fā)展，整合資源，促進(jìn)政府在檔案、金融、醫(yī)療、交通、教育、文化傳播、旅游等行業(yè)信息共享和業(yè)務(wù)協(xié)同，改善政府網(wǎng)上服務(wù)等具有十分重要意義.

電子文件真實(shí)性保障主要相關(guān)技術(shù)包括： PKI技術(shù)、可信時(shí)間戳、元數(shù)據(jù)技術(shù)、標(biāo)簽技術(shù)等.在電子文件真實(shí)性保障的研究中，國(guó)外的研究者起步較早，也取得了相當(dāng)豐富的研究成果.目前，國(guó)外對(duì)電子文件真實(shí)性保障方面，在云計(jì)算、移動(dòng)互聯(lián)網(wǎng)技術(shù)驅(qū)動(dòng)下，正在研究針對(duì)政府辦公、企業(yè)、個(gè)人市場(chǎng)需求群體方面對(duì)電子文件真實(shí)性保障提出的“安全、便捷、移動(dòng)、高效、易維護(hù)”需求.

國(guó)內(nèi)對(duì)電子文件真實(shí)性保障方面，主要是通過軟簽名證書、加密設(shè)備來保障電子文件的真實(shí)性.典型地，北京海泰方圓科技股份有限公司作為老牌信息安全服務(wù)商，根據(jù)其多年以來在密碼行業(yè)的技術(shù)積累，以及在電子文件管理領(lǐng)域的長(zhǎng)期積淀，對(duì)電子文件真實(shí)性保障技術(shù)展開了深入而系統(tǒng)的研究.目前，已經(jīng)成功研制出了基于身份憑證技術(shù)的多套產(chǎn)品，為電子文件的真實(shí)性和安全性提供了有力保障.

1.2 問題與挑戰(zhàn)

電子文件的使用固然是方便快捷的，但同時(shí)也存在一些安全問題.首先，電子文件由于其信息內(nèi)容與載體的可分離性，決定了其被修改后容易抹去痕跡.由于形成的文件上無法進(jìn)行實(shí)際的簽字確認(rèn)，若有人將其中的內(nèi)容進(jìn)行了改動(dòng)、刪除或偽造，也較難被確認(rèn)，很難找到責(zé)任人.其次，電子文件可進(jìn)行遠(yuǎn)程快捷傳輸，實(shí)現(xiàn)網(wǎng)絡(luò)共享，但這也對(duì)其機(jī)密性帶來了威脅.電子文件在網(wǎng)上進(jìn)行傳遞時(shí)可能受到攻擊者的竊聽、干擾和阻攔，特別是對(duì)于需要保密和特別重要的資料來說，容易被他人所利用或損壞.再次，計(jì)算機(jī)技術(shù)實(shí)現(xiàn)了電子文件的快捷歸檔整理和查找，但如果計(jì)算機(jī)出現(xiàn)硬件軟件方面的故障，電子文件也將遭到損壞甚至徹底消失.如今的軟件還無法滿足電子文件存儲(chǔ)和管理的需求，也沒有形成一個(gè)統(tǒng)一的管理軟件，這也影響到資源的共享和電子文件的長(zhǎng)期有效性.

總之，國(guó)內(nèi)對(duì)電子文件的管理已較為重視，我國(guó)對(duì)電子文件的研究在不斷深入，也取得了一定成果，但相對(duì)國(guó)際水平仍存在一定差距.目前研究仍存在一些不足，就研究主題來看，關(guān)于電子文件歸檔及法律問題的研究比較多，而技術(shù)性研究成果尚不夠豐富.特別地，針對(duì)電子文件真實(shí)性問題的研究尤為薄弱，相關(guān)的論文數(shù)量少，缺乏系統(tǒng)性，研究水平與國(guó)外相比仍比較滯后，就研究深度來看，對(duì)一些問題的研究尚停留在表面，不夠深入.

2 電子文件真實(shí)性保障技術(shù)體系

2.1 電子文件真實(shí)性保障平臺(tái)技術(shù)架構(gòu)

電子文件的真實(shí)性保障需要處理和解決一系列復(fù)雜問題，需要一整套完備的技術(shù)方案，目前國(guó)內(nèi)相對(duì)成熟的技術(shù)和產(chǎn)品尚較為稀少.本文以海泰方圓科技股份有限公司的電子文件真實(shí)性保障支撐平臺(tái)為例，詳細(xì)介紹其中各個(gè)技術(shù)環(huán)節(jié).

海泰電子文件真實(shí)性保障平臺(tái)符合我國(guó)國(guó)家各項(xiàng)標(biāo)準(zhǔn)規(guī)范，通過管理“電子文件身份憑證”的全生命周期過程，保障電子文件全程憑證價(jià)值，整體實(shí)現(xiàn)統(tǒng)一信任體系，統(tǒng)一憑證發(fā)放、管理、鑒別、長(zhǎng)期保存體系，以此構(gòu)建統(tǒng)一的信任體系、統(tǒng)一的憑證生成體系、統(tǒng)一的憑證管理體系、統(tǒng)一的憑證鑒別體系和統(tǒng)一的憑證長(zhǎng)期保存體系.

如圖1所示，該平臺(tái)以“雙中心、三庫、五系統(tǒng)”為基礎(chǔ)架構(gòu)，構(gòu)建面向自主可控全國(guó)產(chǎn)化、基于云計(jì)算平臺(tái)的基礎(chǔ)，以提供對(duì)電子文件全生命周期的安全防護(hù).其中，五系統(tǒng)包括：身份證生成系統(tǒng)、身份證離線驗(yàn)證系統(tǒng)、身份證在線驗(yàn)證系統(tǒng)、身份證查詢系統(tǒng)、身份證黑名單系統(tǒng).三庫包括文件身份證庫、備份庫、證書庫.證書庫存儲(chǔ)接入個(gè)人、機(jī)構(gòu)、系統(tǒng)以及憑證中心自身的證書.電子文件身份憑證庫存儲(chǔ)電子文件身份憑證.雙中心包括數(shù)字認(rèn)證中心和密鑰管理中心.憑證密鑰管理中心管理用于生成身份憑證的所有接入人員、機(jī)構(gòu)、系統(tǒng)以及憑證中心自身的簽名密鑰.

圖1 電子文件真實(shí)性保障平臺(tái)架構(gòu)

2.2 基于文件身份證的電子文件真實(shí)性保障機(jī)制

為了有效保障電子文件的真實(shí)性，本文提出了一種電子文件身份證思想，并實(shí)現(xiàn)了一套完整的基于電子文件身份證為核心思路的電子文件憑證機(jī)制.具體地，在計(jì)算機(jī)系統(tǒng)中為每個(gè)文件建立一個(gè)身份證，以辨別其身份，證明其真?zhèn)?，并在電子文件全生命周期各個(gè)環(huán)節(jié)呈現(xiàn)其憑證性作用，以解決電子身份證的構(gòu)成、生成、驗(yàn)證等關(guān)鍵問題.

2.2.1電子文件身份證的作用

能否確保電子文件在其長(zhǎng)期保存過程中能夠維系其真實(shí)性、完整性、可用性和安全性，主要取決于電子文件在收集、管理、保存和使用等各工作環(huán)節(jié)中的機(jī)密性、完整性和不可否認(rèn)性是否得到保障.目前相關(guān)的研究中，已經(jīng)有一些成果研究了對(duì)信息的機(jī)密性、完整性及其不可否認(rèn)性的保障，但并未形成相對(duì)完整的理論體系和可操作的實(shí)踐指導(dǎo)方法.本文所述的電子文件身份證是一種電子文件的憑證，通過特定的計(jì)算方法，將電子文件的核心構(gòu)成要素進(jìn)行特征抽取，形成一個(gè)具有語義屬性的憑證代碼，用于唯一標(biāo)識(shí)電子文件.該憑證是能夠用于驗(yàn)證電子文件真實(shí)、完整、可用、安全和唯一身份的證件.電子文件身份證將電子文件身份證作為在檔案數(shù)字資源綜合管理系統(tǒng)中識(shí)別和鑒定特定電子文件身份的唯一憑證，在分析電子文件元數(shù)據(jù)和設(shè)置一定的語義規(guī)則基礎(chǔ)上，通過一定的算法生成電子文件憑證數(shù)列，最后利用數(shù)字簽名技術(shù)，將這個(gè)電子文件憑證以數(shù)字形式存放于電子文件的信息包結(jié)構(gòu)之中，表明文件移交單位對(duì)該電子文件中包含的內(nèi)容信息的確認(rèn)，在電子文件的管理活動(dòng)過程中其值是固定不變的.

2.2.2電子文件身份證的構(gòu)成

系統(tǒng)中電子文件的身份證是用來證明一份電子文件身份的真憑實(shí)據(jù)，它是一種能夠保證電子文件唯一性、原始性和真實(shí)性的身份證件，也是電子文件作為司法證明的重要依據(jù)，它的構(gòu)成要素不僅包括系統(tǒng)中明確的一個(gè)通用編號(hào)即電子文件的身份證號(hào)，而且也具有電子文件的來源屬性與代表其本質(zhì)特征的內(nèi)容要素.本文所提出電子文件的身份證由3部分組成，即電子文件身份證編號(hào)、電子文件有效元數(shù)據(jù)集合、帶時(shí)間戳的電子文件形成單位數(shù)字簽名.此外，電子文件的身份證號(hào)也通過語義規(guī)則和算法生成系統(tǒng)中唯一的身份證號(hào).

傳統(tǒng)的資源標(biāo)識(shí)符更注重快速定位并發(fā)現(xiàn)資源的位置的能力，幾乎不帶有語義性.本文提出的電子文件身份證不僅具有能夠快速定位與發(fā)現(xiàn)的電子文件身份證的唯一編號(hào)，同時(shí)還具有能夠標(biāo)識(shí)檔案本身的語義元數(shù)據(jù)及其由檔案移交單位簽發(fā)的數(shù)字簽名，因此具有更多的語義特性.與傳統(tǒng)的資源標(biāo)識(shí)符相比，電子文件身份證不僅具有唯一標(biāo)識(shí)定位作用，還具有憑證性驗(yàn)證作用，電子文件身份證里包含了電子文件形成階段的核心元數(shù)據(jù)及相關(guān)內(nèi)容，同時(shí)它與電子文件本身封裝到一起存在于系統(tǒng)中，一旦電子文件內(nèi)容出現(xiàn)非授權(quán)篡改，系統(tǒng)的驗(yàn)證機(jī)制中重新生成的身份證與原始身份證產(chǎn)生差異，在校驗(yàn)過程中則會(huì)引起其電子身份的驗(yàn)證失敗，從而確認(rèn)該文件在處理的環(huán)節(jié)中被變更，其憑證性作用可能會(huì)喪失，因此，電子文件身份證在系統(tǒng)中具有憑證性驗(yàn)證作用，能更好地保障電子文件保管過程中的完整性.

2.2.3電子文件身份證的生成

為了生成電子文件身份證號(hào)碼，本文采取了相關(guān)的語義算法，通過事先確定的特定元數(shù)據(jù)語義，選擇算法抽取電子文件有效元數(shù)據(jù)集，再通過特定的電子文件身份證語義生成算法制作電子文件身份證號(hào)碼.元數(shù)據(jù)語義選擇算法不同于其他的語義計(jì)算算法，本文所使用的元數(shù)據(jù)語義選擇算法更注重人的意念，其語義來自于專家知識(shí)庫，這里的知識(shí)庫主要是由文件與檔案學(xué)領(lǐng)域?qū)＜医?，由文件與檔案學(xué)領(lǐng)域?qū)＜医?jīng)過精心設(shè)置和篩選后，得出的那些最能夠代表文件與檔案本身的部分核心元數(shù)據(jù)，即構(gòu)成了有效元數(shù)據(jù)集合，也就是將用于生成電子文件身份證號(hào)的元數(shù)據(jù)集合.電子文件身份證號(hào)的語義生成算法仿照身份證編號(hào)，生成一個(gè)全球唯一的編號(hào)，即一串具體的數(shù)字，不同于傳統(tǒng)資源標(biāo)識(shí)編碼和居民身份證號(hào)碼與社保號(hào)碼等.電子文件身份證編號(hào)不僅具有全球唯一性的編號(hào)，同時(shí)也在一連串編號(hào)中的某一段增加了具有電子文件元數(shù)據(jù)語義的含義.

2.2.4電子文件身份證的應(yīng)用

電子文件憑證性保障的解決方案與傳統(tǒng)的文件檔案及數(shù)字資源管理領(lǐng)域的安全保障方案相比較，其重要的不同點(diǎn)在于增加了電子文件身份證的證書庫及其管理.

傳統(tǒng)的安全保障方案僅僅通過驗(yàn)證與電子文件一并加密發(fā)送的散列值來驗(yàn)證電子文件的原始性，但無法有效驗(yàn)證散列值自身的合法性及其有效性，從而導(dǎo)致電子文件的驗(yàn)證無法確保真實(shí).本文通過建立保存一個(gè)電子文件身份證的證書庫，驗(yàn)證過程中可以在該庫中進(jìn)行電子文件身份證的證書查詢，判斷其是否合法和有效，從而大大提高電子文件憑證價(jià)值.

2.3 電子文件真實(shí)性保障關(guān)鍵技術(shù)

電子文件的憑證作用是主要用于保護(hù)電子文件的真實(shí)性和原始性.正是由于電子文件具備的這2個(gè)特性，使電子文件具有了憑據(jù)價(jià)值，并且有了法律效力.隨著科學(xué)技術(shù)的迅猛發(fā)展，計(jì)算機(jī)在各個(gè)領(lǐng)域的普及和因特網(wǎng)的廣泛使用，人類社會(huì)進(jìn)入了信息和電子時(shí)代，電子文件以其獨(dú)有的豐富性成為信息的重要來源.然而，在電子文件管理工作中，電子文件的數(shù)字化信息屬性以及信息與載體的相分離等特性，決定了歸檔電子文件真實(shí)性的鑒定已無法再延用傳統(tǒng)的鑒定方法，判斷電子文件真實(shí)性必須以該電子文件信息內(nèi)容的原始性、真實(shí)性和完整性為依據(jù)，這同樣也是確定電子文件是否具有法律效力的唯一依據(jù).利用可靠而有效的技術(shù)手段確認(rèn)與維護(hù)電子文件的信息內(nèi)容的真實(shí)性，是保障電子文件法律效力的關(guān)鍵，也是電子文件管理工作的核心所在.

2.3.1電子文件全生命周期安全防護(hù)技術(shù)

從電子文件產(chǎn)生、存儲(chǔ)、傳送、利用、到最終的文件銷毀，構(gòu)成電子文件的完整生命周期.安全電子文件作為國(guó)家黨政系統(tǒng)等重要部門的信息的有效載體，若是在任何一個(gè)環(huán)節(jié)中無法對(duì)涉密文件的機(jī)密內(nèi)容作有效的控制，都有可能造成泄密事件，尤其是原本就有權(quán)限閱讀或使用這些文件的人員，是內(nèi)部最常見的泄密途徑.因此安全電子文件全生命周期的安全保護(hù)以及預(yù)防內(nèi)部人員泄密已經(jīng)成為一個(gè)迫在眉睫的問題.

為了有效保障電子文件的真實(shí)性和機(jī)密性，本文所述技術(shù)方案主要有以下幾種：

1) 基于文件或文件夾的主動(dòng)加密模式

文件或文件夾的主動(dòng)加密技術(shù)屬于最具典型意義的文件保護(hù)技術(shù)，是第1代技術(shù).通過主動(dòng)加密的方式，由操作者對(duì)文件或文件夾進(jìn)行加密.該方法需要操作者主動(dòng)識(shí)別涉密文件，并確定哪些文件不需要加密.其缺點(diǎn)是該方式無法防止內(nèi)部用戶對(duì)機(jī)密信息的泄密，因此其作用較為有限.

2) 基于文件格式轉(zhuǎn)換的保護(hù)方式

文件格式轉(zhuǎn)換屬于第2代文件保護(hù)技術(shù).它將需要保護(hù)的文件轉(zhuǎn)化為私有格式，通過格式轉(zhuǎn)換后可以較為方便地對(duì)文件權(quán)限進(jìn)行控制.該方式缺點(diǎn)較多：一是加密后的文件需要專門的閱讀器，增加了開發(fā)難度；二是支持的格式有限，例如很難支持三維圖紙類文件.

3) 基于全盤的數(shù)據(jù)加密方式

磁盤加密類產(chǎn)品屬于第3代文件保護(hù)技術(shù)，該方式通過對(duì)邏輯磁盤卷或者整個(gè)磁盤卷進(jìn)行加密以實(shí)現(xiàn)文件保護(hù)，其缺點(diǎn)是無法防止內(nèi)部人員主動(dòng)泄密.

4) 透明文件加密方式

透明文件加密屬于第4代文件保護(hù)技術(shù)，通過對(duì)特定的電子文件進(jìn)行加密以保護(hù)敏感信息.其突出特點(diǎn)是加密的強(qiáng)制性和加密過程的透明性.其中，強(qiáng)制性是指文件是否加密不是由操作者來判斷，而是根據(jù)企業(yè)的策略強(qiáng)制執(zhí)行，文件安全標(biāo)識(shí)作為企業(yè)安全策略的一個(gè)重要組成部分；透明性是指所有的加解密工作均在后臺(tái)進(jìn)行，用戶感覺不到加解密過程的存在，因此可以不改變前端用戶的使用習(xí)慣.強(qiáng)制性保證文件的安全和分密級(jí)管理，即使是文件作者也無法在未授權(quán)的情況下將文件解密帶出.透明性方便了用戶的使用，是產(chǎn)業(yè)化不可或缺的重要特性.

5) 密級(jí)標(biāo)識(shí)

針對(duì)密級(jí)標(biāo)識(shí)，不同國(guó)家給出了不同的定義.我國(guó)國(guó)家保密局頒布的《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》對(duì)密級(jí)標(biāo)識(shí)作出了如下定義：密級(jí)標(biāo)識(shí)是用于標(biāo)明信息秘密等級(jí)的數(shù)字化信息.涉密信息系統(tǒng)中的信息應(yīng)有相應(yīng)的密級(jí)標(biāo)識(shí).密級(jí)標(biāo)識(shí)應(yīng)與信息主體不可分離，其自身不可篡改.由此我們可以得出涉密信息系統(tǒng)內(nèi)電子文件密級(jí)標(biāo)識(shí)的涵義：在安全電子文件的全生命周期內(nèi)，密級(jí)標(biāo)識(shí)應(yīng)與電子文件構(gòu)成一個(gè)不可分離的完整整體，密級(jí)標(biāo)識(shí)不可篡改，且能夠表明被標(biāo)識(shí)信息的涉密屬性，包括秘密等級(jí)、保密期限，以及國(guó)家保密行政管理部門規(guī)定的與保密相關(guān)的其他信息，為電子文件能夠在保密管理的形式、內(nèi)容等方面與紙質(zhì)文件保持一致提供支持.

利用密級(jí)標(biāo)識(shí)技術(shù)實(shí)現(xiàn)電子文件的安全保護(hù)，主要是通過密級(jí)標(biāo)識(shí)實(shí)現(xiàn)基于密級(jí)的強(qiáng)制訪問控制，國(guó)家保密機(jī)關(guān)明確規(guī)定不同密級(jí)實(shí)體之間的訪問規(guī)則，要求不同主體之間交換的電子文件必須是通過密級(jí)標(biāo)識(shí)的文件，高級(jí)別的主體不但可以閱讀高密級(jí)的文件還可以閱讀低密級(jí)的文件，而低級(jí)別的主體只能閱讀低密級(jí)的文件，而且不同部門的主體也不閱讀其他部門的涉密文件.

2.3.2基于國(guó)密算法的電子文件真實(shí)性保障技術(shù)

密碼學(xué)是研究密碼算法和破解密碼的技術(shù)學(xué)科，目的是秘密地傳輸消息，是在通信中編碼與譯碼中發(fā)展出的一個(gè)學(xué)科.但是發(fā)展到現(xiàn)在，密碼學(xué)已經(jīng)是一個(gè)綜合的交叉性學(xué)科，涉及語言學(xué)(包括語義分析等)、通信科學(xué)(包括信息論等)、計(jì)算機(jī)科學(xué)(包括軟件破解、加解密軟件)、數(shù)學(xué)(包括統(tǒng)計(jì)學(xué)、概率論等)等有著非常緊密的聯(lián)系.密碼學(xué)從其發(fā)展之初，其基本思想始終沒有改變，就是對(duì)特定涉密消息的保護(hù)，主要包括消息的機(jī)密性、消息的完整性、消息的不可否認(rèn)性.密碼學(xué)中最主要的算法包括加密算法、消息摘要算法、數(shù)字簽名算法等.在該領(lǐng)域中，所有應(yīng)用和協(xié)議的基礎(chǔ)就是3類算法，即對(duì)稱密碼算法、非對(duì)稱密碼算法、雜湊算法.

PKI(公鑰基礎(chǔ)設(shè)施)是一套通過公鑰密碼算法原理與技術(shù)提供安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施，是一套能夠?yàn)殡娮诱?wù)以及電子商務(wù)提供安全基礎(chǔ)平臺(tái)的技術(shù)規(guī)范.它通過數(shù)字證書管理公鑰，通過CA把用戶的公鑰與其他標(biāo)識(shí)信息捆綁在一起，實(shí)現(xiàn)基于網(wǎng)絡(luò)的用戶身份驗(yàn)證.PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等.

在我國(guó)大力提倡自主可控發(fā)展的大環(huán)境下，信息系統(tǒng)的自主可控進(jìn)程已經(jīng)納入國(guó)家戰(zhàn)略性發(fā)展部署.強(qiáng)力推進(jìn)關(guān)鍵信息系統(tǒng)的國(guó)產(chǎn)自主化建設(shè)，是國(guó)家和軍隊(duì)信息化發(fā)展戰(zhàn)略的大勢(shì)所趨，更是改革強(qiáng)軍的潮流所向.國(guó)產(chǎn)信息技術(shù)只有以自主可控[5-7]為前提，將自主研發(fā)的科技創(chuàng)新最新成果快速應(yīng)用于政府、企業(yè)和軍隊(duì)信息化，才能有效保障國(guó)家信息安全.

在國(guó)家需求的不斷推動(dòng)下，從核心處理器到操作系統(tǒng)再到整機(jī)系統(tǒng)等核心關(guān)鍵領(lǐng)域的國(guó)產(chǎn)化替代進(jìn)程正在加速.大力發(fā)展自主可控全國(guó)產(chǎn)業(yè)化已經(jīng)成為各界共識(shí)，面對(duì)自主可控國(guó)產(chǎn)化平臺(tái)的電子文件真實(shí)性保障相關(guān)技術(shù)，需要經(jīng)過自主可控國(guó)產(chǎn)化適配，包括簽名算法、時(shí)間戳算法、身份證發(fā)布等等.在國(guó)產(chǎn)化平臺(tái)下的真實(shí)性保障技術(shù)的適配工程，對(duì)電子文件在國(guó)產(chǎn)化平臺(tái)的應(yīng)用有著重要推動(dòng)作用.

為了更好地保護(hù)本國(guó)的商用密碼[8-11]應(yīng)用安全，國(guó)家商用密碼管理辦公室制定并頒布了一系列國(guó)家標(biāo)準(zhǔn)，其中包括SSF33、SM1(與DES對(duì)應(yīng))、SM2(與RSA對(duì)應(yīng))、SM3(與MD5對(duì)應(yīng))、SM4(與AES對(duì)應(yīng))、祖沖之密碼算法等等.其中SSF33,SM1,SM4,SM7,祖沖之密碼是對(duì)稱密碼算法，用于分組密碼和流密碼應(yīng)用；SM2,SM9是非對(duì)稱密碼算法，應(yīng)用于簽名等場(chǎng)合；SM3是雜湊算法，用于消息摘要等場(chǎng)合.

在基于國(guó)產(chǎn)密碼算法的PKI技術(shù)中，我們所有的密碼算法均使用國(guó)產(chǎn)密碼算法，主要包括對(duì)稱算法SM1SM4、非對(duì)稱算法SM2和雜湊算法SM3.

由于國(guó)產(chǎn)密碼算法的安全性是得到國(guó)家認(rèn)可的，因此能夠保證使用基于國(guó)產(chǎn)密碼算法的PKI技術(shù)進(jìn)行運(yùn)算得到的結(jié)果是安全可信的，從而有力地保障了電子文件的真實(shí)性.

2.3.3電子文件標(biāo)簽技術(shù)

在基于標(biāo)簽的安全機(jī)制中，安全電子文件由文件和標(biāo)簽2部分組成.文件是指原始文件或?qū)υ嘉募?jīng)過密碼處理后的結(jié)果，標(biāo)簽是原始標(biāo)簽或?qū)υ紭?biāo)簽經(jīng)過密碼處理后的結(jié)果.檔案和標(biāo)簽存在唯一綁定關(guān)系，標(biāo)簽由標(biāo)簽頭和標(biāo)簽體組成，標(biāo)簽體可加密.

在電子文件從系統(tǒng)離線下載后，電子文件實(shí)體的安全機(jī)制、管理機(jī)制與訪問控制是確保電子文件安全必不可少的組成部分，電子文件的存儲(chǔ)與訪問方式成為了檔案安全保護(hù)過程中的核心問題.電子標(biāo)簽作為承載電子文件信息，控制電子文件訪問、主導(dǎo)電子文件流轉(zhuǎn)載體，使最終用戶對(duì)電子文件實(shí)體的訪問全部通過電子標(biāo)簽來完成.通過標(biāo)簽管理服務(wù)對(duì)電子標(biāo)簽的操作來完成用戶對(duì)電子文件實(shí)體的新建、修改、閱讀、流轉(zhuǎn)等行為，并在整個(gè)操作過程中進(jìn)行控制保留歷史記錄，最終能夠可靠保障電子文件實(shí)體的安全性、電子文件操作的可監(jiān)控性與電子文件流轉(zhuǎn)的可追溯性.

本節(jié)提出了將文件的實(shí)體與文件控制權(quán)限分離的管控思路，如圖2所示.具體地，將受保護(hù)電子文件加密后分離成文件標(biāo)簽和文件實(shí)體密文2個(gè)部分，文件標(biāo)簽中只有文件唯一標(biāo)識(shí)和部分屬性信息，用戶以及應(yīng)用軟件只能直接操作到文件標(biāo)簽.文件實(shí)體密文則存放在信息系統(tǒng)的安全存儲(chǔ)位置.信息系統(tǒng)中存儲(chǔ)和流轉(zhuǎn)的都是沒有實(shí)際敏感內(nèi)容的標(biāo)簽，當(dāng)需要使用電子文件內(nèi)容時(shí)，通過文件重定向驅(qū)動(dòng)和調(diào)用接口獲取文件內(nèi)容.在網(wǎng)絡(luò)條件良好的涉密信息系統(tǒng)內(nèi)部，文件集中存儲(chǔ)在服務(wù)器中.

圖2 電子文件分離管控模型

圖3 文件標(biāo)簽產(chǎn)生過程

文件標(biāo)簽可以看作是文件的身份標(biāo)識(shí)和索引，其核心要素是唯一的標(biāo)簽ID.為了確保與文件的綁定關(guān)系不被篡改，標(biāo)簽應(yīng)包括文檔密文的散列值和標(biāo)簽頭部的HMAC值.為了便于用戶訪問，標(biāo)簽中還包括實(shí)體文件名、長(zhǎng)度、密級(jí)和訪問權(quán)限摘要等信息.用戶創(chuàng)建或者輸入一個(gè)新文件時(shí)，內(nèi)核層的過濾驅(qū)動(dòng)捕獲事件，在本地產(chǎn)生標(biāo)簽文件，而將真實(shí)的文件重定向并加密保存到安全存儲(chǔ)位置.產(chǎn)生文件標(biāo)簽過程如圖3所示.

用戶在終端看到的標(biāo)簽文件帶有真實(shí)文件的文件類型和部分屬性信息.用戶打開文件標(biāo)簽時(shí)，按照產(chǎn)生標(biāo)簽的逆過程，授權(quán)訪問文件明文的進(jìn)程，通過內(nèi)核層的驅(qū)動(dòng)程序重定向到安全存儲(chǔ)位置獲取文件并解密.當(dāng)用戶向其他用戶發(fā)送電子文件時(shí)，由于文件傳輸應(yīng)用軟件沒有獲取文件明文的權(quán)限，因而發(fā)送出去的僅僅是文件的標(biāo)簽.接收者用在打開獲取到的文件標(biāo)簽時(shí)，控制程序根據(jù)用戶的身份和標(biāo)簽ID獲取使用者權(quán)限和密鑰.非授權(quán)用戶無法獲取相應(yīng)的密鑰及權(quán)限，因此無法獲取文件實(shí)體內(nèi)容.

在本模型中，文檔訪問控制權(quán)限和密鑰等信息保存在網(wǎng)絡(luò)中的標(biāo)簽管理服務(wù)器中，而非本機(jī)磁盤或與文檔標(biāo)簽綁定.當(dāng)電子文件流轉(zhuǎn)時(shí)可以方便地共享文件保護(hù)密鑰.

在前述文件標(biāo)簽與文件的綁定中已經(jīng)提及文件重定向技術(shù): 使用文件標(biāo)簽代替真實(shí)文件展示給有加解密權(quán)限應(yīng)用程序的替換物，將替換文件句柄返回給應(yīng)用程序.過濾驅(qū)動(dòng)程序中在替身文件打開完成后再打開目標(biāo)文件，建立替換文件對(duì)象與目標(biāo)文件對(duì)象的映射關(guān)系.文件請(qǐng)求操作根據(jù)各個(gè) IRP 的替身文件信息查找到安全存儲(chǔ)位置的真實(shí)文件，并轉(zhuǎn)向真實(shí)文件操作的方式實(shí)現(xiàn)文件定向和透明加解密.工作原理如圖4所示:

圖4 文件透明加密

文件操作者像操作普通文檔一樣正常操作電子文件，操作系統(tǒng)底層以及網(wǎng)絡(luò)中各個(gè)服務(wù)器的工作不會(huì)被用戶感知的情況下，文件加密存儲(chǔ)在安全存儲(chǔ)位置，而文件的密鑰則由標(biāo)簽管理服務(wù)器維護(hù).因此，不僅終端的文件標(biāo)簽的泄露不會(huì)影響數(shù)據(jù)安全，即便安全存儲(chǔ)位置的實(shí)體文件遭到泄露，也因?yàn)闆]有保護(hù)密鑰而無法解密.

2.3.4多級(jí)電子文件憑證生成和校驗(yàn)

在目前的電子文件管理系統(tǒng)中，除了要管理電子文件自身實(shí)體文件以外，還需要管理電子文件擁有的元數(shù)據(jù)信息.元數(shù)據(jù)是對(duì)文件的產(chǎn)生、保管、利用、銷毀等整個(gè)過程的真實(shí)性記錄，它隨著文件的產(chǎn)生而生成，伴隨人們對(duì)文件進(jìn)行的各種管理活動(dòng)而不斷地增加.為了保障電子文件的真實(shí)性，會(huì)對(duì)每個(gè)電子文件生成一個(gè)電子文件憑證.現(xiàn)在通用的做法主要是利用簽名技術(shù)對(duì)電子文件自身或者附加一些元數(shù)據(jù)信息生成電子文件憑證.但現(xiàn)有生成電子文件憑證的技術(shù)不夠靈活，具體表現(xiàn)為：首先，不同系統(tǒng)會(huì)制定不同的憑證生成規(guī)則，因此無法互相進(jìn)行驗(yàn)證；其次，在電子文件管理過程中沒有設(shè)計(jì)多級(jí)憑證來保證電子文件的真實(shí)性；最后，由于電子文件的元數(shù)據(jù)信息在電子文件管理過程中會(huì)發(fā)生變化，針對(duì)同一項(xiàng)元數(shù)據(jù)的簽名實(shí)體可能是不同的.

本文提出一種多級(jí)電子文件憑證生成和校驗(yàn)方法，可以使得電子文件在不同階段針對(duì)不同的元數(shù)據(jù)信息由不同的主體來保證憑證性，并且多級(jí)憑證是相互獨(dú)立的，根據(jù)未驗(yàn)證通過的憑證，可以縮小導(dǎo)致電子文件憑證失效的原因的范圍.

多級(jí)電子文件憑證生成方法由多個(gè)子過程構(gòu)成，對(duì)于每個(gè)子過程具體步驟如下：

1) 確定生成本級(jí)電子文件憑證所使用的本次的憑證模板，該憑證模板記錄了本次要簽名的憑證屬性內(nèi)容.

2) 將本次所選擇的憑證模板中的憑證屬性內(nèi)容添加至電子文件憑證的憑證屬性區(qū)；對(duì)本次憑證模板進(jìn)行簽名，所生成的本次憑證簽名添加至憑證簽名區(qū).

作為可選項(xiàng)，步驟2還包括以下步驟：

① 生成對(duì)應(yīng)本次簽名的簽名序號(hào)；

② 將當(dāng)前的簽名序號(hào)作為本次所選的憑證模板的標(biāo)識(shí)；

③ 由上實(shí)現(xiàn)對(duì)于不同憑證模板的標(biāo)識(shí).

3) 對(duì)電子文件憑證的憑證屬性區(qū)中記載的各次的憑證屬性內(nèi)容進(jìn)行整體簽名，并將所生成的本次的整體簽名去更新在憑證簽名區(qū)記錄的前次電子文件憑證生成時(shí)所生成的整體簽名.

由上，通過多級(jí)憑證屬性，可以使得電子文件在不同階段針對(duì)不同的元數(shù)據(jù)信息由不同的主體來保證憑證性.

2.3.5可信時(shí)間戳技術(shù)

電子簽名方式的不足之處在于“數(shù)字簽名的偽造”，由于數(shù)字證書存在有效期，且用戶可以隨時(shí)吊銷數(shù)字證書，數(shù)字證書失效后，由于用于簽名的私鑰由簽署人掌握及簽名時(shí)間可隨意修改，采用單純的電子簽名方式不能起到抗抵賴作用.如果電子文件沒有一個(gè)準(zhǔn)確可靠的簽署時(shí)間，即使附有電子簽名的文件也有可能不被承認(rèn).只要在作電子簽名的同時(shí)取得一個(gè)時(shí)間戳，任何一方都不可否認(rèn).時(shí)間戳能為電子簽名提供確實(shí)的簽署時(shí)間，保證電子簽名的有效性，這樣既能證實(shí)簽署人的身份，亦能指出準(zhǔn)確的簽署時(shí)間，使人無從抵賴或否認(rèn).本文利用時(shí)間戳技術(shù)，采用國(guó)家法定時(shí)間源來負(fù)責(zé)保障時(shí)間的授時(shí)，實(shí)現(xiàn)可信時(shí)間戳，保障電子文件真實(shí)性.

3 未來工作

3.1 跨系統(tǒng)環(huán)境下電子文件憑證性維護(hù)技術(shù)

電子文件的憑證作用能否長(zhǎng)期保存是該領(lǐng)域的一個(gè)重要問題，現(xiàn)有的技術(shù)能夠?qū)崿F(xiàn)在一個(gè)封閉的信息系統(tǒng)內(nèi)部，其產(chǎn)生的修改痕跡可保留、操作可追溯，從而保證電子文件的憑證作用.但是，電子文件轉(zhuǎn)化為電子檔案，特別是對(duì)國(guó)家社會(huì)具有重要價(jià)值的電子文件向檔案館移交時(shí)，電子文件憑證作用的跨系統(tǒng)保護(hù)尚無技術(shù)突破，同時(shí)在檔案館保存電子文件的漫長(zhǎng)過程中還面臨軟硬件不斷發(fā)展更新的困境.本文下一步研究工作，將針對(duì)跨系統(tǒng)環(huán)境下如何維護(hù)電子文件憑證性問題進(jìn)行研究.

3.2 復(fù)雜網(wǎng)絡(luò)環(huán)境下電子文件安全管理技術(shù)

橫跨多種網(wǎng)絡(luò)(因特網(wǎng)、政務(wù)網(wǎng)、局域網(wǎng))的電子文件管理系統(tǒng)的部署，是信息技術(shù)發(fā)展為電子文件管理工作帶來新的發(fā)展契機(jī).一套部署在多種網(wǎng)絡(luò)中的電子文件管理系統(tǒng)利于電子文件的收集、管理和利用等各項(xiàng)工作，可以將不同網(wǎng)絡(luò)平臺(tái)間的用戶聯(lián)系為一個(gè)整體，通過統(tǒng)一的標(biāo)準(zhǔn)，規(guī)范化電子文件信息化管理工作.但是，網(wǎng)絡(luò)為電子文件提供更為高效的管理手段和更為便捷的利用途徑的同時(shí)，數(shù)據(jù)突破和惡意篡改等問題也嚴(yán)重地威脅著電子文件信息的安全.在網(wǎng)絡(luò)技術(shù)快速發(fā)展的今天，逐漸增多的安全事件時(shí)刻提醒著管理部門要妥善解決電子文件在網(wǎng)絡(luò)中的安全性問題.針對(duì)以上問題，本文在未來研究工作中將提出完整的技術(shù)方案，以進(jìn)一步提高電子文件的安全性保障水平.

4 結(jié)束語

本文結(jié)合產(chǎn)業(yè)現(xiàn)狀和技術(shù)前沿，系統(tǒng)介紹了電子文件真實(shí)性保障相關(guān)技術(shù).電子文件真實(shí)性保障建設(shè)受到多種因素的制約和影響，如政策環(huán)境、體制環(huán)境、社會(huì)環(huán)境和技術(shù)環(huán)境等，這中間的任何一個(gè)因素的變化都可能對(duì)電子文件真實(shí)性保障的建設(shè)和發(fā)展產(chǎn)生影響.這就需要我們認(rèn)真研究這些制約因素的變化規(guī)律、之間的相互關(guān)系，以此不斷調(diào)整完善電子文件真實(shí)性保障建設(shè)的思路和策略，只有這樣才能促使我國(guó)電子文件真實(shí)性保障建設(shè)和發(fā)展進(jìn)入一個(gè)良性的軌道.

參考文獻(xiàn)

[1]馮惠玲. 檔案學(xué)概論[M]. 北京: 中國(guó)人民大學(xué)出版社, 2001

[2]馮惠玲. 政府電子文件管理[M]. 北京: 中國(guó)人民大學(xué)出版社, 2004

[3]劉家真. 電子文件管理理論與實(shí)踐[M]. 北京: 科學(xué)出版社, 2003

[4]馮惠玲. 電子文件管理教程[M]. 北京: 中國(guó)人民大學(xué)出版社, 2001

[5]倪光南. 采用自主可控軟件是保障信息安全的前提[J]. 中國(guó)信息安全, 2010 (9): 1-2

[6]鐘博. 自主可控戰(zhàn)略下信息安全產(chǎn)業(yè)發(fā)展壯大的思考[J]. 信息安全與通信保密, 2015 (1): 36-37

[7]劉權(quán). 我國(guó)自主可控信息產(chǎn)業(yè)發(fā)展對(duì)策[J]. 信息安全與通信保密, 2014 (9): 42-42

[8]趙宇亮, 胡威, 張冰, 等. 國(guó)家商用密碼算法綜述[C] //2016電力行業(yè)信息化年會(huì)論文集. 天津: 大眾用電, 2016: 132-134

[9]汪朝暉, 張振峰. SM2橢圓曲線公鑰密碼算法綜述[J]. 信息安全研究, 2016, 2(11): 972-982

[10]王小云, 于紅波. SM3密碼雜湊算法[J]. 信息安全研究, 2016, 2(11): 983-994

[11]呂述望, 蘇波展, 王鵬, 等. SM4分組密碼算法綜述[J]. 信息安全研究, 2016, 2(11): 995-1007