可信數據保全系統的設計與實現

祁凱

（上海市數字證書認證中心有限公司，上海 200080）

1 引言

本文以國內電子商務平臺和第三方信息安全保障機構合作的實際項目為背景，分析原有電子商務應用平臺在數據保全服務方面存在的問題。根據當前信息化安全的需求及技術發展趨勢，采用數字證書、電子簽名、可信時間戳、分布式存儲等技術，設計一套針對敏感數據和電子證據的采集、管理、查詢、存儲及驗證的可信保全服務系統。同時面向責任認定機構提供合法、安全的電子證據，能夠成為該電子商務平臺中敏感數據托管、電子證據保全、司法鑒定和責任認定的重要服務手段，提高平臺的社會公信力和市場競爭力。

2 現有電子商務平臺的數據保全服務分析

隨著數字證書在電子商務領域的不斷應用，越來越多的關鍵業務數據使用了數字證書進行加密和簽名等操作進行記錄，這些技術很好的解決了電子商務平臺的數據的真實性、不可抵賴性、防篡改性等問題，但同時由于很多業務平臺的運營商本身也在參與實際業務，導致所存管數據在舉證時產生法律價值缺失的問題。

一方面，我們的電子商務平臺將傳統的業務移植到了互聯網的平臺，并采用安全技術實現了平臺的用戶身份認證，電子數據傳輸性安全和真實性、防抵賴、防篡改、防偽造。

另一方面，由于本身電子商務平臺對業務的參與甚至于獲利，且在互聯網上傳輸的數據信息本身的流動性、不穩定性及目前對數據信息的儲存均以磁性介質為載體，以這種方式儲存的數據信息內容很容易被刪改且不留任何痕跡等特性，如果作為電子證據被出示，其內容的真實性難以被訴訟參與人認同，其法律效力無從保證。造成電子商務平臺電子數據本身法律價值的缺失。

經過對原有傳統電子商務平臺進行分析后，可以發現原有平臺存在以下主要問題：

（1）架構的不合理性

原有傳統電子商務平臺往往由于投資、運維的成本以及商業化運作等因素，造成大多數電子商務平臺和客戶之間是一種買賣雙方的關系。而大量的電子數據保存在平臺方，這就造成一旦產生糾紛，雙方取證的不平等性和相關部門的取證很難保證電子證據的真實性、完整性、可靠性。

（2）信息安全技術水平參差不齊

原有傳統電子商務平臺由于開發水平、建設成本等原因，造成平臺自身的安全狀況各有不同。大多數會遇到密碼安全問題、網上認證問題，電子數據的真實性、完整性、時效性問題等。

（3）電子數據的收集和保全不易

原有傳統電子商務平臺往往無法全面的收集電子數據以及對電子數據進行有效的保全。信息系統運行過程中產生的能夠證明業務事實的電子數據，與傳統數據不同，電子數據沒有具體的形態，需借助計算機才能運行和重現，往往不能獨立于計算機之外存在，具有復合性、高科技性和無形性等獨特的特性。針對傳統的數據收集保全手段存在著許多局限性，很難保證電子證據真實性、完整性、可靠性。

（4）電子數據的保全規則差異化

各行各業的電子商務平臺對平臺上敏感數據和關鍵信息理解的差異化，造成電子數據保全規則的差異化。電子數據保全的目的是應用于電子商務行為投訴證明和關鍵過程記錄，由于保全規則的差異，往往無法保證互聯網上電子數據的原始真實性（包含其內容、格式、隱含信息等全部信息組合記錄）以及在傳輸和保管的整個過程中處于“保全”狀態，不能被刪除或者變更。

3 可信數據保全系統的設計

系統總體規劃如圖1所示，包含前置機系統、可信數據保全系統、時間戳服務系統。

圖1 可信數據保全系統總體規劃圖

前置機系統主要負責對接委托方的業務系統，完成前期數據采集工作。可信數據保全系統是關鍵主系統。前置機將數據同步給保全系統后，保全系統將數據安全存管。時間戳服務系統是輔助系統，主要負責為整個系統中需要獲得時間戳服務的關鍵節點提供可信的時間戳服務。

3.1 可信數據保全系統架構

當下業務系統的復雜度日趨增大，對系統開發的要求也不斷上升，系統的總體結構設計的難度和采用技術的要求也在隨之不斷上升。結構設計的重要性也日益顯現。可信數據保全系統的系統設計主要基于PKI技術和Web Service基礎之上。

可信數據保全系統是一個多層次面向服務的體系結構。利用JAVA的現成框架，可以充分利用Web Service靈活易用的優勢。將系統架構分為四個層次，具體如圖2所示。

（1）數據庫層

數據庫層是整個系統的最底層，其完成了系統所有數據的各類操作，包括數據的添加、刪除、更新、插入等。可信數據保全系統將使用DB2數據庫。根據實際的可信數據保全系統需求，將制作多個數據庫表，包括角色表、用戶表、委托方信息表、保全數據信息表等。通過這些表將相關信息進行分門別類的儲存，并為實現數據相關操作奠定基礎。

（2）數據訪問層

數據訪問層是負責向底層數據庫發出各類操作的指令，同時接收數據庫層的操作反饋結果，再提交給服務層。在設計的系統實現中，使用JDBC技術訪問數據庫。通過加載數據庫驅動實現對數據庫的鏈接和操作。

（3）服務層

系統服務層主要實現功能是通過業務邏輯和服務接口實現業務的主體功能。通過三層的軟件架構設計，使得用戶無需直接與數據庫進行交互操作，而是通過服務層承上啟下，實現了系統的各個功能邏輯處理，如系統管理、數據同步、獲取時間戳服務等。

（4）業務接口層

業務接口層是系統直接提供面向用戶服務的表現層。用戶通過調用這一層發布的We b Service接口，實現異源程序之間互操作和信息交換，建立了基于消息交換的通信模型，建立基于消息交換的通信模型定義松散關聯和文檔驅動的通信。

通過上述四層的系統體系結構設計，系統具備有以下幾點優勢：

（1）適應性強

系統業務接口層和服務層采用Web Service技術，實現了跨平臺跨語言的信息交換解決方案。通過簡單的機制，使各個業務應用系統輕松與可信數據保全系統實現通信。

（2）可靠性高

通過增加了數據訪問層，使得整個系統的核心數據庫安全性大幅提升。

（3）系統性能優勢

可信數據保全系統中使用了大量組件和面向對象、面向服務的程序設計思想，使得系統靈活、靈敏。而且系統中將大量的提交的可信文件采用獨立的文件服務器存儲，這樣的分布式存儲設計可以提高整體系統的性能。

（4）穩定性好

各個模塊之間互相獨立，靈活集成，使得整個系統的穩定性增加，大大降低了系統錯誤概率。

3.2 數據保全實現模式

圖2 可信數據保全系統結構圖

可信數據保全系統調用邏輯架構如圖3所示，主要是通過保全接口的調用，實現業務系統將數據提交可信數據保全系統，數據保全系統將通知回送業務系統，對于可信數據保全系統側，回送分為查詢和主動通知兩種方式。

圖3 可信數據保全系統調用邏輯架構圖

數據保全調用主要分兩步進行：

第一步，調用數據保全服務平臺提供的數據保全接口，將要保全的數據提交給數據保全服務平臺，數據保全服務平臺收到保全數據后會在將來的某個時候將數據發送到第三方具有法律效力的數據保全平臺進行保全，因而業務系統提交保全數據后并不能立刻得知數據是否保全成功的結果，而要進行第二步的結果查詢的動作；

第二步，獲取數據保全的結果有2種方式，第1種方式就是業務系統調用數據保全服務平臺提供的保全結果查詢接口進行查詢，第2種是業務系統提供一個保全結果處理接口，數據保全服務平臺會在將數據發送到第三方平臺成功后自動調用業務系統提供的結果處理接口，主動通知業務系統數據保全成功。

3.3 保全數據管理模式

（1）保全數據處理

前置應用系統部署在委托方網絡內，對數據提交方不做認證。

數據保全業務委托方提交某一條需要保全的數據至前置系統，包括原文數據以及對應的檢索關鍵字，前置系統對數據原文進行提取摘要，同時加蓋時間戳，將相關的證書、數據提交到時間戳服務器，同步返回一個時間戳回包，其中包括時間戳流水等信息，前置系統將摘要和時間戳流水記錄到數據庫，返回給委托方業務系統一個保全業務流水號，此時該條保全業務數據的狀態為“已提交”。

前置系統根據從主體端系統提取到的同步參數進行調度，在任意調度觸發的時刻，將該時刻前置系統所有“已提交”狀態的保全數據進行同步操作。

圖4 保全數據管理流程圖

數據保全業務委托方提交某一條需要保全的數據至前置系統，處理完成后，該條保全業務數據的狀態為“已提交”，所有“已提交”狀態的保全數據將會根據一定的處理節奏策略提交至主體端的系統，根據配置文件的配置，選擇提交該條數據的摘要還是原文（（明文只保留接口，不做實現），系統對該條數據的摘要或明文進行簽名，返回簽名并在前置系統保存，前置系統將該條保全業務的狀態變為“已受理”。

同步流程圖如圖5所示。

（2）保全數據轉儲

轉儲邏輯：選取某一批保全數據，選取邏輯類似與保全數據查詢，先將保全數據表剪切到保全數據備份表（同一事務，保證數據不丟失），然后將保全數據備份表中的數據導出成文件另存。

原文的轉儲：原文內容由于容量較大，采用存儲在OS文件系統的方式，在保全數據中記錄對應的路徑，因此，系統不提供原文的轉儲采用直接從文件系統復制的方式。

導入邏輯：導入到另外的歷史庫，進行舉證。

數據時效性：前置機上滿6個月、“已受理”的數據自動刪除。

保全數據同步參數獲取：前置系統每隔一小時（每次同步數據之后）從主體端系統取一次保全數據同步參數，獲取前先判斷狀態，狀態為“已下發”的數據不進行獲取。

（3）保全數據舉證

保全數據舉證流程由委托方業務員填寫系統申請，發起請求，由受托方業務員在主體系統中操作，舉證的結果同樣通過系統外途徑返回委托方業務員。

舉證業務只能舉證保全業務記錄狀態為“已受理”的數據，而無法舉證記錄狀態為“已提交”的業務數據。一般“已提交”的數據會在24小時內變成“已受理”狀態。

委托方提供流水號、保全數據檢索關鍵字、保全數據原文，提交到受托方，受托方將數據提交到主體系統，主體系統反饋舉證的結果，最終返回給委托方。

具體業務流程如圖6所示。

3.4 可信數據保全系統的應用

可信數據保全系統主要為國內的電子商務平臺提供數據保全服務。主要應用于采購系統和招投標系統的一些關鍵數據（如采購合同、投標書、業務單據等）的保全。

圖5 保全數據同步流程圖（前置應用端與主體端）

圖6 保全數據管理流程圖（主體端）

將前置機部署至各個需要使用保全系統的業務系統中，業務系統申請獲得各自的數字證書。調用前置機的web service接口，傳送數據采用數字簽名、數字信封技術進行處理。前置機獲得數據后進行處理，數據附加時間戳。前置機數據同樣采用數字簽名、數字信封處理上送可信數據保全系統。文件數據存儲至文件服務器，數字簽名、時間戳等數據存儲在系統數據庫中，這樣可以保證系統的高效性、安全性。

平臺采用了可信數據保全系統后，使得以前線下業務可以安全可靠的遷移到線上。采購、招投標系統更加體現了公開、公平、公正。數字證書、時間戳服務都是第三方認證機構提供的，使系統更具公信力。

4 結束語

可信數據保全系統為電子商務平臺的各使用方提供了一套完整的數據可信證明、數據可靠保全、數據安全存儲、數據有效管理和電子舉證、責任認定服務。目前，該系統已在國內某知名電子商務交易平臺進行了應用，采用JAVA語言開發，采用四層架構的B/S架構技術，具有較強的響應速度，保證了數據和系統的安全性和可擴展性，提供了簡易方便的管理手段，同時降低了后期的維護升級成本。通過We b Service技術實現進行系統間信息交互，采用MySQL數據庫作為數據支撐。系統中數據加密采用數字信封技術，采用數字簽名技術確保數據的防抵賴、防偽造，采用時間戳技術確保時間的有效性，操作的真實性。

可信數據保全系統對于電子商務平臺的應用有著重要的使用價值，對平臺的可信性、可靠性進行了有效提升，當出現法律糾紛時能夠面向責任認定機構提供合法、安全的電子簽名證據和可靠的數據保全服務。特別是應用于采購系統和招投標系統的一些關鍵數據（如采購合同、投標書、業務單據等）的保全方面，發揮了重要作用。查詢鑒證效果如圖7所示。

綜上，本文針對可信數據保全系統的系統設計和系統實現進行了較為全方位的分析和描述，使用數字信封技術、數字簽名技術、時間戳技術、加解密技術等PKI相關密碼技術，使得系統數據更加安全、可靠、真實。在系統設計過程中，所采用的電子認證相關技術完全自主研發，系統中采用的時間戳服務模塊在設計上參考了國家標準《公鑰密碼基礎設施應用技術體系時間戳接口規范》，其他模塊也參照相對應的國際和國家有關標準。系統覆蓋了可信數據保全、托管、舉證的所有環節，包括數據保全委托申請、到保全證明的生成，從可信數據的采集到委托保全管理，從可信數據的舉證申請到舉證證明生成等。

圖7 可信數據保全系統使用效果圖

該可信數據保全系統，符合國家政策法規要求，為電子商務、電子政務、社會公共服務等互聯網應用中數據真實可信、電子證據保全、敏感數據托管和司法舉證、責任認定的提供了重要服務手段，完善了電子商務各交易方網絡信任服務體系。隨著我國《電子商務法》的頒布實施，可信數據保全系統將為創建公平、公正、合法的互聯網電子商務發展環境提供有力的支撐和保障。