1 问题与挑战
目前,世界范围内对电子文件真实性保障问题的研究还处于探索阶段。对于不同组织机构而言,尤其是政府行政管理活动中产生的电子文件,是重要的工作记录,往往需要长期保存、归档和存档。因此,电子文件真实性保障技术迫切需要研究者的积极参与,这既是电子文件管理工作者的责任所在,也是关系电子文件管理事业在信息时代如何发展的重大问题。
1.1研究现状
自二十世纪六十年代起,国内外关于电子文件管理的研究逐渐进入全面发展和实际应用阶段,然而,直到九十年代才开始对电子文件真实性保障进行研究。电子文件真实性是电子文件管理活动中一个极为复杂而又关键的问题。如果以《国家信息化领导小组关于我国电子文件真实性保障建设的指导意见》(中办发[2002]17号文)印发为标志,我国电子文件真实性保障已经经历了整整15年历程。已经成为未来新一代信息技术的重要组成部分。多年来,我国电子文件真实性保障建设在支撑政府核心业务、开发政府信息资源、提高政府为民服务水平方面发挥了巨大作用。具体地,对于推动我国电子文件真实性保障建设的低成本、可持续发展,整合资源、促进政府、档案、金融、医疗、交通、教育、文化传播、旅游等行业信息共享和业务协同,改善政府网上服务等具有十分重要意义。
电子文件真实性保障主要相关技术包括: PKI技术、可信时间戳、元数据技术、标签技术等。在电子文件真实性保障的研究中,国外的研究者起步较早,也取得了相当丰富的研究成果。目前,国外对电子文件真实性保障方面,在云计算、移动互联网技术驱动下,正在研究针对政府办公、企业、个人市场需求群体方面对电子文件真实性保障提出的“安全、便捷、移动、高效、易维护”需求。
国内对电子文件真实性保障方面,主要是通过软签名证书、加密设备来保障电子文件的真实性。典型地,北京海泰方圆科技股份有限公司作为老牌信息安全服务商,根据其多年以来在密码行业的技术积累,以及在电子文件管理领域的长期积淀,对电子文件真实性保障技术展开了深入而系统的研究。目前,已经成功研制出了基于身份凭证技术的多套产品,为电子文件的真实性和安全性提供了有力保障。
1.2问题与挑战
电子文件的使用固然是方便快捷的,但同时也存在一些安全问题。首先,电子文件由于其信息内容与载体的可分离性,决定了其被修改后容易抹去痕迹。由于形成的文件上无法进行实际的签字确认,若有人将其中的内容进行了改动、删除或伪造,也较难被确认,很难找到责任人。其次,电子文件可进行远程快捷传输,实现网络共享,但这也对其机密性带来了威胁。电子文件在网上进行传递时,可能受到攻击者的窃听、干扰和阻拦,特别是对于需要保密和特别重要的资料来说,容易被他人所利用或损坏。再次,计算机技术实现了电子文件的快捷归档整理和查找,但如果计算机出现硬件软件方面的故障,那电子文件也将遭到损坏甚至彻底消失。如今的软件还无法满足电子文件存储和管理的需求,也没有形成一个统一的管理软件,这也影响到资源的共享和电子文件的长期有效性。
总之,国内对电子文件的管理已较为重视,我国对电子文件的研究在不断深入,也取得了一定成果,但相对国际水平仍存在一定差距。目前研究仍存在一些不足,就研究主题来看,关于电子文件归档及法律问题的研究比较多,而技术性研究成果尚不够丰富。特别地,针对电子文件真实性问题的研究尤为薄弱,相关的论文数量少,缺乏系统性,研究水平与国外相比仍比较滞后,就研究深度来看,对一些问题的研究尚提留在表面,不够深入。
2 电子文件真实性保障技术体系2.1电子文件真实性保障平台技术架构
电子文件的真实性保障需要处理和解决一系列复杂问题,需要一整套完备的技术方案,目前国内相对成熟的技术和产品尚较为稀少。本文以海泰方圆公司的电子文件真实性保障支撑平台为例,详细介绍其中各个技术环节。
图1. 电子文件真实性保障平台架构
海泰电子文件真实性保障平台符合我国国家各项标准规范,通过管理“电子文件身份凭证”的全生命周期过程,保障电子文件全程凭证价值,整体实现统一信任体系,统一凭证发放、管理、鉴别、长期保存体系。以此构建统一的信任体系、统一的凭证生成体系、统一的凭证管理体系、统一的凭证鉴别体系和统一的凭证长期保存体系。
如图1所示,该平台以“双中心、三库、五系统”为基础架构,构建面向自主可控全国产化、基于云计算平台的基础,以提供对电子文件全生命周期的安全防护。其中,五系统包括身份证生成系统,身份证离线验证系统,身份证在线验证系统,身份证查询系统,身份证黑名单。三库包括文件身份证库、备份库、证书库。证书库存储接入个人、机构、系统以及凭证中心自身的证书。电子文件身份凭证库存储电子文件身份凭证。双中心包括数字认证中心和密钥管理中心。凭证密钥管理中心管理用于生成身份凭证的,所有接入人员、机构、系统以及凭证中心自身的签名密钥。
2.2基于文件身份证的电子文件真实性保障机制
为了有效保障电子文件的真实性,本文提出了一种电子文件身份证思想,并实现了一套完整的基于电子文件身份证为核心思路的电子文件凭证机制。具体地,在计算机系统中为每个文件建立一个身份证,以辨别其身份,证明其真伪,并在电子文件全生命周期各个环节呈现其凭证性作用,以解决电子身份证的构成、生成、验证等关键问题。
2.2.1电子文件身份证的作用【略】2.2.2电子文件身份证的构成[略]2.2.3电子文件身份证的生成【略】 2.2.4电子文件身份证的应用
电子文件凭证性保障的解决方案与传统的文件档案及数字资源管理领域的安全保障方案相比较,其重要的不同点在于增加了电子文件身份证的证书库及其管理。
传统的安全保障方案仅仅通过验证与电子文件一并加密发送的散列值来验证电子文件的原始性,但无法有效验证散列值自身的合法性及其有效性,从而导致电子文件的验证无法确保真实。本文通过建立保存一个电子文件身份证的证书库,验证过程中可以在该库中进行电子文件身份证的证书查询,判断其是否合法和有效。从而大大提高电子文件凭证价值。
2.3电子文件真实性保障关键技术
电子文件的凭证作用是主要用于保护电子文件的真实性和原始性。正是由于电子文件具备的这两个特性,使电子文件具有了凭据价值。并且有了法律效力。随着科学技术的迅猛发展,计算机在各个领域的普及和因特网的广泛使用,人类社会进入了信息和电子时代,电子文件以其独有的丰富性成为信息的重要来源。然而,在电子文件管理工作中,电子文件的数字化信息属性以及信息与载体的相分离等特性,决定了归档电子文件的真实性的鉴定已无法再延用传统的鉴定方法,判断电子文件真实性必须以该电子文件信息内容的原始性、真实性和完整性为依据,这同样也是确定电子文件是否具有法律效力的惟一依据。利用可靠而有效的技术手段确认与维护电子文件的信息内容的真实性,是保障电子文件法律效力的关键,也是电子文件管理工作的核心所在。
2.3.1电子文件全生命周期安全防护技术
从电子文件产生、存储、传送、利用、到最终的文件销毁,构成电子文件的完整生命周期。安全电子文件作为国家党政系统等重要部门的信息的有效载体,若是在任何一个环节中,无法对涉密文件的机密内容做有效的控制,都有可能造成泄密事件,尤其是原本就有权限阅读或使用这些文件的人员,是内部最常见的泄密途径。因此安全电子文件全生命周期的安全保护以及预防内部人员泄密已经成为一个迫在眉睫的问题。
为了有效保障电子文件的真实性和机密性,本文所述技术方案主要采用有以下几种:
(1)基于文件或文件夹的主动加密模式
文件或文件夹的主动加密技术属于最具典型意义的文件保护技术,是第一代技术。通过主动加密的方式,由操作者对文件或文件夹进行加密。该方法需要操作者主动识别涉密文件,并确定哪些文件不需要加密。其缺点是,该方式无法防止内部用户对机密信息的泄密,因此其作用较为局限。
(2)基于文件格式转换的保护方式
文件格式转换属于第二代文件保护技术。它将需要保护的文件转化为私有格式,通过格式转换后,可以较为方便的对文件权限进行控制。该方式缺点较多:一是加密后的文件需要专门的阅读器,增加了开发难度;二是支持的格式有限,例如很难支持三维图纸类文件。
(3)基于全盘的数据加密方式
磁盘加密类产品属于第三代文件保护技术,该方式通过对逻辑磁盘卷或者整个磁盘卷进行加密以实现文件保护,其缺点是无法防止内部人员主动泄密。
(4)透明文件加密方式
透明文件加密属于第四代文件保护技术,通过对特定的电子文件进行加密以保护敏感信息。其突出特点是加密的强制性和加密过程的透明性。其中,强制性是指文件是否加密不是由操作者来判断,而是根据企业的策略强制执行,这里,文件安全标识作为企业安全策略的一个重要组成部分;透明性是指所有的加解密工作均在后台进行,用户感觉不到加解密过程的存在,因此可以不改变前端用户的使用习惯。强制性保证文件的安全和分密级管理,即使是文件作者也无法在未授权的情况下将文件解密带出。透明性方便了用户的使用,是产业化不可或缺的重要特性。
(5)密级标识
针对密级标识,不同国家给出了不同的定义。我国国家保密局颁布的《涉及国家秘密的计算机信息系统分级保护技术要求》对密级标识做出了如下定义:密级标识是用于标明信息秘密等级的数字化信息。涉密信息系统中的信息应有相应的密级标识。密级标识应与信息主体不可分离,其自身不可篡改。由此我们可以得出涉密信息系统内电子文件密级标识的涵义:在安全电子文件的全生命周期内,密级标识应与电子文件构成一个不可分离的完整整体,密级标识不可篡改,且始终反应被标识信息的涉密属性,包括秘密等级、保密期限,以及国家保密行政管理部门规定的与保密相关的其他信息,为电子文件能够在保密管理的形式、内容等方面与纸质文件保持一致提供支持。
利用密级标识技术实现电子文件的安全保护,主要是通过密级标识实现基于密级的强制访问控制,国家保密机关明确规定不同密级实体之间的访问规则。要求不同主体之间交换的电子文件必须是通过密级标识的文件,高级别的主体不但可以阅读高密级的文件还可以阅读低密级的文件,而低级别的主体只能阅读低密级的文件,而且不同部门的主体也不阅读其他部门的涉密文件。
2.3.2基于国密算法的电子文件真实性保障技术
密码学是研究密码算法和破解密码的技术学科,目的是秘密的传输消息,是在通信中编码与译码中发展出的一个学科。但是发展到现在,密码学已经是一个综合的交叉性学科,涉及语言学(包括语义分析等)、通信科学(包括信息论等)、计算机科学(包括软件破解,加解密软件)、数学(包括统计学,概率论等)等有着非常紧密的联系。密码学,从其发展起初,其基本思想始终没有改变,就是对特定涉密消息的保护,主要包括消息的机密性,消息的完整性,消息的不可否认性。密码学中最主要的算法包括加密算法,消息摘要算法,数字签名算法等。在该领域中,所有应用和协议的基础,就是三类算法,即对称密码算法、非对称密码算法、杂凑算法。
PKI(公钥基础设施)是一套通过公钥密码算法原理与技术提供安全服务的具有通用性的安全基础设施,是一套能够为电子政务以及电子商务提供安全基础平台的技术规范。它通过数字证书管理公钥,通过CA把用户的公钥与其他标识信息捆绑在一起,实现基于网络的的用户身份验证。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
在我国大力提倡自主可控发展的大环境下,信息系统的自主可控进程已经纳入国家战略性发展部署。强力推进关键信息系统的国产自主化建设,是国家和军队信息化发展战略的大势所趋,更是改革强军的潮流所向。国产信息技术只有以自主可控[5-7]为前提,将自主研发的科技创新最新成果快速应用于政府、企业和军队信息化,才能有效保障国家信息安全。
在国家需求的不断推动下,从核心处理器到操作系统再到整机系统等核心关键领域的国产化替代进程正在加速。大力发展自主可控全国产化体系域系统,已经成为各界共识,面对自主可控国产化平台的电子文件真实性保障相关技术,需要经过自主可控国产化适配,包括签名算法、时间戳算法、身份证发布等等。在国产化平台下的真实性保障技术的适配工程,对电子文件在国产化平台的应用有着重要推动作用。
为了更好的保护本国的商用密码[8-11]应用安全,国家商用密码管理办公室制定并颁布了一系列国家标准,其中包括 SSF33、SM1(与 DES 对应)、SM2(与 RSA对应)、SM3(与 MD5 对应)、SM4(与AES对应)、祖冲之密码算法等等。其中SSF33、SM1、SM4、SM7、祖冲之密码是对称密码算法,用于分组密码和流密码应用;SM2、SM9 是非对称密码算法,应用于签名等场合;SM3 是杂凑算法,用于消息摘要等场合。
在基于国产密码算法的PKI技术中,我们所有的密码算法均使用国产密码算法,主要包括对称算法SM1/SM4,、非对称算法SM2和Hash算法SM3。
由于国产密码算法的安全性是得到国家认可的,因此能够保证使用基于国产密码算法的PKI技术进行运算得到的结果是安全可信的,从而有力的保障了电子文件的真实性。
2.3.3电子文件标签技术
在基于标签的安全机制中,安全电子文件由文件和标签两部分组成。文件是指原始文件或对原始文件经过密码处理后的结果,标签是原始标签或对原始标签经过密码处理后的结果。档案和标签存在唯一绑定关系,标签由标签头和标签体组成,标签体可加密。
在电子文件从系统离线下载后,电子文件实体的安全机制、管理机制与访问控制是确保电子文件安全必不可少的组成部分,电子文件的存储与访问方式成为了档案安全保护过程中的核心问题。电子标签作为承载电子文件信息,控制电子文件访问、主导电子文件流转载体,使最终用户对电子文件实体的访问全部通过电子标签来完成。通过标签管理服务对电子标签的操作来完成用户对电子文件实体的新建、修改、阅读、流转等行为,并在整个操作过程中进行控制与历史操作记录,最终能够可靠保障电子文件实体的安全性、电子文件操作的可监控性与电子文件流转的可追溯性。
图2 电子文件分离管控模型
本节提出了将文件的实体与文件控制权限分离的管控思路,如图2所示。具体地,将受保护电子文件加密后分离成文件标签和文件实体密文两个部分,文件标签中只有文件唯一标识和部分属性信息,用户以及应用软件只能直接操作到文件标签。文件实体密文则存放在信息系统的安全存储位置。信息系统中存储和流转的都是没有实际敏感内容的标签,当需要使用电子文件内容时,通过文件重定向驱动和调用接口,获取文件内容。在网路条件良好的涉密信息系统内部,文件集中存储在服务器中。
图3 文件标签产生过程
文件标签可以看作是文件的身份标识和索引,其核心要素是唯一的标签ID。为了确保与文件的绑定关系不被篡改,标签应包括: 文档密文的散列值和标签头部的HMAC值。为了便于用户访问,标签中还包括: 实体文件名、长度、密级和访问权限摘要等信息。用户创建或者输入一个新文件时,内核层的过滤驱动捕获事件,在本地产生标签文件,而将真实的文件重定向并加密保存到安全存储位置。产生文件标签过程如图 3 所示。
用户在终端看到的标签文件,带有真实文件的文件类型和部分属性信息。用户打开文件标签时,按照产生标签的逆过程,授权访问文件明文的进程,通过内核层的驱动程序重定向到安全存储位置获取文件并解密。当用户向其他用户发生电子文件时,由于文件传输应用软件由于没有获取文件明文的权限,因而发送出去的仅仅是文件的标签。接收者用在打开获取到的文件标签时,控制程序根据用户的身份和标签ID,获取使用者权限和密钥。非授权用户无法获取相应的密钥及权限,因此无法获取文件实体内容。
在本模型中,文档访问控制权限和密钥等信息保存在网络中的标签管理服务器中,而非本机磁盘或与文档标签绑定。当电子文件流转时,可以方便的共享文件保护密钥。
在前述文件标签与文件的绑定中,已经提及了文件重定向技术: 使用文件标签代替真实文件展示给有加解密权限应用程序的替换物,将替换文件句柄返回给应用程序。过滤驱动程序中在替身文件打开完成后再打开目标文件,建立替换文件对象与目标文件对象的映射关系。文件请求操作根据各个 IRP 的替身文件信息查找到安全存储位置的真实文件,并转向真实文件操作的方式实现文件定向和透明加解密。工作原理如图4所示。
图4 文件透明加密
文件操作者像操作普通文档一样正常操作电子文件,操作系统底层以及网络中各个服务器的工作不会被用户感知的情况下,文件加密存储在安全存储位置,而文件的密钥则由标签管理服务器维护。因此,不仅终端的文件标签的泄露不会影响数据安全,即便安全存储位置的实体文件遭到泄露,也因为没有保护密钥,而无法解密。
2.3.4多级电子文件凭证生成和校验
在目前的电子文件管理系统中,除了要管理电子文件自身实体文件以外,还需要管理电子文件拥有的元数据信息。元数据是对文件的产生、保管、利用、销毁等整个过程的真实性记录,它随着文件的产生而生成,伴随人们对文件进行的各种管理活动而不断地增加。为了保障电子文件的真实性,会对每个电子文件生成一个电子文件凭证。现在通用的做法主要是利用签名技术对电子文件自身或者附加一些元数据信息生成电子文件凭证。但现有生成电子文件凭证的技术不够灵活,具体表现为:首先,不同系统会制定不同的凭证生成规则,因此无法互相进行验证;其次,在电子文件管理过程中没有设计多级凭证来保证电子文件的真实性;最后,由于电子文件的元数据信息在电子文件管理过程中会发生变化,针对同一项元数据的签名实体可能是不同的。
本文提出一种多级电子文件凭证生成和校验方法,可以使得电子文件在不同阶段针对不同的元数据信息由不同的主体来保证凭证性,并且多级凭证是相互独立的,根据未验证通过的凭证,可以缩小导致电子文件凭证失效的原因的范围。
多级电子文件凭证生成方法,由多个子过程构成,对于每个子过程,具体步骤如下:
1) 确定生成本级电子文件凭证所使用的本次的凭证模板;所述凭证模板记录了本次要签名的凭证属性内容;
2) 将本次所选择的凭证模板中的凭证属性内容添加至电子文件凭证的凭证属性区;对本次凭证模板进行签名,所生成的本次的凭证签名添加至凭证签名区;
作为可选项,步骤B 还包括步骤:
i) 生成对应本次签名的签名序号;
ii) 将当前的签名序号作为本次所选的凭证模板的标识。
iii) 由上,实现对于不同凭证模板的标识。
3) 对电子文件凭证的凭证属性区中记载的各次的凭证属性内容进行整体签名,并将所生成的本次的整体签名去更新在凭证签名区记录的前次电子文件凭证生成时所生成的整体签名。
由上,通过多级凭证属性,可以使得电子文件在不同阶段针对不同的元数据信息由不同的主体来保证凭证性。
2.3.6可信时间戳技术
电子签名方式的不足之处在于“数字签名的伪造”,由于数字证书存在有效期,且用户可以随时吊销数字证书,数字证书失效后,由于用于签名的私钥由签署人掌握及签名时间可随意修改,采用单纯的电子签名方式不能起到抗抵赖作用。如果电子文件没有一个准确可靠的签署时间,即使附有电子签名的文件也有可能不被承认。只要在作电子签名的同时,取得一个时间戳,任何一方都不可否认。时间戳能为电子签名提供确实的签署时间,保证电子签名的有效性,这样既能证实签署人的身份,亦能指出准确的签署时间,使人无从抵赖或否认。本文利用时间戳技术,采用国家法定时间源来负责保障时间的授时和守时监测,实现可信时间戳,保障电子文件真实性。
3未来工作3.1跨系统环境下电子文件凭证性维护技术
电子文件的凭证作用能否长期保存是该领域的一个重要问题,现有的技术能够实现在一个封闭的信息系统内部,其产生的修改痕迹可保留、操作可追溯,从而保证电子文件的凭证作用。但是,电子文件转化为电子档案,特别是对国家社会具有重要价值的电子文件向档案馆移交时,电子文件凭证作用的跨系统保护尚无技术突破,同时在档案馆保存电子文件的漫长过程中还面临软硬件不断发展更新的困境。本文下一步研究工作,将针对夸系统环境下如何维护电子文件凭证性问题进行研究。
3.2 复杂网络环境下电子文件安全管理技术
横跨多种网络(因特网、政务网、局域网)的电子文件管理系统的部署,是信息技术发展为电子文件管理工作带来的新的发展契机。一套部署在多种网络中的电子文件管理系统利于电子文件的收集、管理和利用等各项工作,可以将不同网络平台间的用户联系为一个整体,通过统一的标准,规范化电子文件信息化管理工作。但是,网络为电子文件提供更为高效的管理手段和更为便捷的利用途径的同时,数据突破和恶意篡改等问题也严重地威胁着电子文件信息的安全。在网络技术快速发展的今天,逐渐增多的安全事件时刻提醒着管理部门要妥善解决电子文件在网络中的安全性问题。针对以上问题,本文在未来研究工作中,将提出完整的技术方案,以进一步提高电子文件的安全性保障水平。
4结束语
本文结合产业现状和技术前沿,系统介绍了电子文件真实性保障相关技术。电子文件真实性保障建设受到多种因素的制约和影响,如政策环境、体制环境、社会环境和技术环境等,这中间的任何一个因素的变化都可能对电子文件真实性保障的建设和发展产生影响。这就需要我们认真研究这些制约因素的变化规律、之间的相互关系,以此不断调整完善电子文件真实性保障建设的思路和策略,只有这样才能促使我国电子文件真实性保障建设和发展进入一个良性的轨道。
