基于PKI的數(shù)字檔案系統(tǒng)設(shè)計(jì)研究

◆王 兵 張曉路

（1.海軍計(jì)算技術(shù)研究所 北京 100841; 2.海軍檔案館 北京 100841）

基于PKI的數(shù)字檔案系統(tǒng)設(shè)計(jì)研究

◆王 兵1張曉路2

（1.海軍計(jì)算技術(shù)研究所 北京 100841; 2.海軍檔案館 北京 100841）

運(yùn)用PKI技術(shù)保證數(shù)字檔案的真實(shí)性、完整性和機(jī)密性是構(gòu)建數(shù)字檔案信息系統(tǒng)的最佳選擇。本文簡要介紹了PKI技術(shù)及其應(yīng)用結(jié)構(gòu)，給出了一個(gè)基于PKI的數(shù)字檔案管理框架結(jié)構(gòu)，描述了數(shù)字檔案的收集和利用過程，并對數(shù)字檔案管理系統(tǒng)建設(shè)進(jìn)行了展望。

數(shù)字檔案；系統(tǒng)架構(gòu)；PKI

0 引言

電子文件的真實(shí)性、完整性和機(jī)密性是其安全管理中的核心問題，一直制約著數(shù)字檔案信息系統(tǒng)的建設(shè)與發(fā)展。采取對策有效應(yīng)對安全威脅，確保數(shù)字檔案的真實(shí)性和法律效力是數(shù)字檔案館建設(shè)必需解決的一個(gè)重要問題。公鑰基礎(chǔ)設(shè)施（ Public Key Infrastructure-PKI）是在開放網(wǎng)絡(luò)環(huán)境下提供身份認(rèn)證和鑒別、保證信息的機(jī)密性、完整性及不可否認(rèn)性的一套安全設(shè)施，通過PKI提供的數(shù)字簽名驗(yàn)證服務(wù)和時(shí)間戳服務(wù)，可以保證簽署的數(shù)字檔案信息及簽署時(shí)間無法篡改和抵賴，它為數(shù)字檔案信息管理與保存提供了一個(gè)可供選擇的模式和框架，特別是《中華人民共和國電子簽名法》的正式發(fā)布，為電子簽名賦予了法律效力，因而運(yùn)用 PKI技術(shù)構(gòu)建電子檔案信息系統(tǒng)已成為數(shù)字檔案館建設(shè)的最佳選擇。

1 PKI技術(shù)概述

公鑰基礎(chǔ)設(shè)施(PKI)是以公開密鑰技術(shù)為基礎(chǔ)，以數(shù)據(jù)的機(jī)密性、完整性和不可抵賴性為安全目的而構(gòu)建的認(rèn)證、授權(quán)、加密等硬件、軟件的綜合設(shè)施，是目前公認(rèn)的全面解決網(wǎng)絡(luò)安全的最佳方案，能有效支撐以身份認(rèn)證及鑒別、機(jī)密性、完整性和不可否認(rèn)性為基本要求的網(wǎng)絡(luò)安全應(yīng)用。一個(gè)典型的PKI應(yīng)用體系框架包括注冊機(jī)構(gòu)RA、CA服務(wù)、LDAP目錄服務(wù)和時(shí)間戳服務(wù)等。如圖1所示。

圖1 典型PKI應(yīng)用結(jié)構(gòu)

證書中心 CA：負(fù)責(zé)證書的簽發(fā)和更新，產(chǎn)生和發(fā)布證書廢止列表（CRL），驗(yàn)證證書狀態(tài)。出于安全考慮一般將CA與其他業(yè)務(wù)或服務(wù)隔離，采取人工干預(yù)的工作方式，確保認(rèn)證中心的安全。

注冊機(jī)構(gòu)RA：用戶與CA之間的服務(wù)接口，接受和驗(yàn)證用戶證書申請，提供證書獲取、瀏覽、查找、證書撤銷列表及證書下載等相關(guān)服務(wù)。

LDAP服務(wù)：LDAP服務(wù)器提供目錄瀏覽服務(wù)，負(fù)責(zé)將CA發(fā)布的CRL加載到服務(wù)器，用戶可以通過訪問LDAP服務(wù)器得到自己或其他用戶的數(shù)字證書以及實(shí)時(shí)的CRL。

TSA服務(wù)：TSA是用來產(chǎn)生時(shí)間戳的第三方機(jī)構(gòu)。一般由用戶提供文件或數(shù)據(jù)的摘要，時(shí)間戳服務(wù)機(jī)構(gòu)(TSA)為此文件或數(shù)據(jù)簽發(fā)時(shí)間戳，用以證明原始文件在簽名時(shí)間之前已經(jīng)存在。

2 數(shù)字檔案管理框架結(jié)構(gòu)

數(shù)字檔案管理系統(tǒng)的設(shè)計(jì)一定要適合業(yè)務(wù)工作的實(shí)際情況和安全需求，在數(shù)字檔案管理過程中，通過公鑰密碼技術(shù)的應(yīng)用和PKI的支持，使電子文件的接收者能驗(yàn)證核實(shí)發(fā)送者對文件的簽名和相應(yīng)的時(shí)間戳，從而保證電子文件的簽發(fā)者事后無法抵賴自己簽署過的文件，電子文件的查詢利用者能夠確定所得到的文件內(nèi)容和發(fā)布時(shí)間未被修改或偽造。根據(jù)目前數(shù)字檔案管理工作實(shí)際，數(shù)字檔案管理系統(tǒng)的系統(tǒng)結(jié)構(gòu)設(shè)計(jì)如圖2所示。

立檔單位網(wǎng)絡(luò)信息系統(tǒng)（OA）中流轉(zhuǎn)的電子文件正式發(fā)布前要對文件進(jìn)行數(shù)字簽名，并申請相應(yīng)時(shí)間戳，將上述簽名信息和時(shí)間戳與電子文件綁定，按業(yè)務(wù)工作要求通過線上或線下提交為數(shù)字檔案。進(jìn)行必要的網(wǎng)絡(luò)安全防護(hù)處理后，進(jìn)行檔案信息的審核業(yè)務(wù)，對數(shù)字檔案的簽名信息和時(shí)間戳進(jìn)行驗(yàn)證，對通過驗(yàn)證的文件內(nèi)容進(jìn)行檢查、整理、分別形成不同類別的檔案信息，經(jīng)過立卷歸檔，生成檔案的主要信息元素（包括檔案所需的各個(gè)流水號、檔號等）存入檔案數(shù)據(jù)庫。對于已經(jīng)存在的歷史檔案可開發(fā)專用的轉(zhuǎn)換工具將其轉(zhuǎn)入到數(shù)字檔案系統(tǒng)中，通過正確性審核后，由檔案管理系統(tǒng)進(jìn)行數(shù)字簽名，申請相應(yīng)時(shí)間戳，并與數(shù)字檔案綁定后保存到數(shù)據(jù)庫。

檔案管理主要完成對數(shù)據(jù)庫中的檔案數(shù)據(jù)進(jìn)行各種管理操作，如生成存儲(chǔ)信息包、進(jìn)行信息的整理歸類、進(jìn)行檔案數(shù)據(jù)的長期保存、接收與利用崗位通過業(yè)務(wù)流程控制進(jìn)行信息的審批交互等工作。存儲(chǔ)管理是對檔案載體、庫房實(shí)體檔案進(jìn)行管理維護(hù)。如維護(hù)庫房、排架、層、列等實(shí)體對象，在系統(tǒng)內(nèi)對庫房實(shí)體對象進(jìn)行增、刪、改、查等具體操作。系統(tǒng)管理實(shí)現(xiàn)系統(tǒng)自身必要的管理功能，包括用戶管理、系統(tǒng)配置管理、設(shè)備管理、安全管理等。

系統(tǒng)按照檔案利用控制流程，提供數(shù)字檔案的利用（線上/線下）服務(wù)。檔案利用者可通過在線檔案查詢（關(guān)鍵詞檢索、綜合業(yè)務(wù)查詢、全文檢索），查詢到需要的檔案后，申請獲得瀏覽或下載數(shù)字檔案原文權(quán)限，經(jīng)過檔案管理人員審批通過后，即可獲得數(shù)字檔案及其相應(yīng)數(shù)字簽名和時(shí)間戳，用戶可利用PKI服務(wù)驗(yàn)證數(shù)字簽名和時(shí)間戳，從而確認(rèn)數(shù)字檔案內(nèi)容真?zhèn)危⑦M(jìn)行原文件的瀏覽或下載操作。

圖2 基于PKI的數(shù)字檔案管理框架結(jié)構(gòu)

圍繞數(shù)字檔案管理系統(tǒng)，可根據(jù)需要開發(fā)一些獨(dú)立的業(yè)務(wù)工作軟件，如：檔案轉(zhuǎn)錄系統(tǒng)、檔案利用登記審核系統(tǒng)、檔案庫房監(jiān)控管理系統(tǒng)等。這些軟件需要解決好數(shù)據(jù)庫的安全訪問和信息輸入輸出的格式轉(zhuǎn)換，以增強(qiáng)系統(tǒng)擴(kuò)展性和部署靈活性，大幅提高工作效率。

開展數(shù)字檔案的線上收集與利用時(shí)，必須制定完善的網(wǎng)上傳輸身份認(rèn)證協(xié)議，利用PKI的公鑰密碼機(jī)制實(shí)現(xiàn)用戶和服務(wù)雙方身份的鑒別與認(rèn)證，同時(shí)數(shù)字檔案信息應(yīng)當(dāng)經(jīng)過密碼加密處理，對檔案內(nèi)容進(jìn)行必要的保護(hù)。

3 數(shù)字檔案收集過程

這里以電子公文為例，簡要描述數(shù)字檔案的收集過程，如圖3所示。

圖3 數(shù)字檔案收集過程

（1）電子公文發(fā)布者在發(fā)布電子公文前應(yīng)當(dāng)向 PKI的 CA申請并獲得屬于自己的簽名私鑰和公鑰證書以及必要配套設(shè)備。

（2）發(fā)布公文時(shí)首先要利用PKI提供的設(shè)備進(jìn)行公文的摘要運(yùn)算，生成電子公文的摘要數(shù)據(jù)，使用自己的簽名私鑰對摘要數(shù)據(jù)進(jìn)行加密運(yùn)算，生成公文的數(shù)字簽名數(shù)據(jù)。

（3）向PKI的時(shí)間戳服務(wù)機(jī)構(gòu)（TSA）申請并獲取相應(yīng)時(shí)間戳。

（4）將電子公文、數(shù)字簽名數(shù)據(jù)及相應(yīng)時(shí)間戳進(jìn)行綁定形成數(shù)字檔案，傳遞到數(shù)字檔案庫/館。

（5）數(shù)字檔案庫/館接收到電子公文后向PKI的LDAP服務(wù)查詢發(fā)布者和TSA服務(wù)的有效公鑰證書，利用PKI的提供的設(shè)備驗(yàn)證數(shù)字簽名和時(shí)間戳。

（6）通過簽名驗(yàn)證的數(shù)字檔案要進(jìn)行內(nèi)容的審核驗(yàn)收。

（7）通過簽名驗(yàn)證和審核驗(yàn)收的數(shù)字檔案方可錄入數(shù)字檔案庫。

（8）對于已經(jīng)存在的歷史檔案可采用轉(zhuǎn)換工具將其轉(zhuǎn)化為數(shù)字檔案，由數(shù)字檔案管理系統(tǒng)進(jìn)行數(shù)字簽名，申請相應(yīng)時(shí)間戳，并與數(shù)字檔案綁定后保存到數(shù)字檔案庫。

4 數(shù)字檔案利用過程

相應(yīng)的數(shù)字檔案利用過程如圖4所示。

圖4 數(shù)字檔案利用過程

（1）在網(wǎng)上申請檔案利用服務(wù)的用戶應(yīng)當(dāng)向PKI的CA申請并獲得屬于自己的簽名私鑰和公鑰證書以及必要配套設(shè)備。

（2）檔案用戶向數(shù)字檔案庫/館發(fā)送檔案利用申請。

（3）數(shù)字檔案庫/館對用戶進(jìn)行身份認(rèn)證，對利用申請進(jìn)行審核。

（4）為通過身份認(rèn)證和權(quán)限審核的用戶檢索提取相應(yīng)檔案并發(fā)送至用戶端。

（5）用戶接收檔案后向PKI的LDAP服務(wù)查詢發(fā)布者和TSA服務(wù)的有效公鑰證書，利用PKI提供的設(shè)備驗(yàn)證數(shù)字簽名和時(shí)間戳。

（6）通過簽名和時(shí)間戳驗(yàn)證后，用戶對檔案有關(guān)內(nèi)容進(jìn)行提取和利用，作為自身業(yè)務(wù)工作和行為的依據(jù)。

5 結(jié)束語

近年來，我國電子政務(wù)、電子商務(wù)以及各類OA系統(tǒng)的開發(fā)建設(shè)蓬勃發(fā)展，與之相對應(yīng)的數(shù)字檔案管理系統(tǒng)建設(shè)需求也日漸高漲。而數(shù)字檔案系統(tǒng)建設(shè)需要考慮部署信息安全基礎(chǔ)設(shè)施，只有通過運(yùn)用PKI技術(shù)，才能有效保證原始數(shù)字檔案信息的真實(shí)性與完整性，拓展數(shù)字檔案的法律有效范圍，提高安全性和管理效率。目前，我國PKI的建設(shè)與應(yīng)用發(fā)展很快，政府、金融、電信等部門已經(jīng)建立了數(shù)十家CA認(rèn)證中心。如何推廣PKI應(yīng)用，加強(qiáng)系統(tǒng)、部門、行業(yè)之間 PKI體系的互通和互聯(lián)，已成為 PKI建設(shè)亟待解決的重要問題，數(shù)字檔案管理系統(tǒng)建設(shè)中一般并不需要自行建設(shè)PKI，對PKI產(chǎn)品的選擇和部署應(yīng)注意認(rèn)證業(yè)務(wù)的權(quán)威性、技術(shù)體系的規(guī)范性，做到與本系統(tǒng)服務(wù)的業(yè)務(wù)系統(tǒng)相配套、銜接或兼容，方能達(dá)到降低建設(shè)成本、縮短建設(shè)周期、實(shí)現(xiàn)業(yè)務(wù)服務(wù)范圍最優(yōu)化的目標(biāo)。

[1]Andrew Nash，William Duane，Celia Joseph，Derek Brink著．張玉清等譯．公鑰基礎(chǔ)設(shè)施（PKI）實(shí)現(xiàn)和管理電子安全．清華大學(xué)出版社，2002．

[2]崔海莉．“大數(shù)據(jù)”時(shí)代檔案信息安全管理新思考[J]．檔案學(xué)研究，2015．