電子文件真實性保障技術(shù)研究

張俊賢 汪 麗 柳 晶 王 溢

(北京海泰方圓科技股份有限公司 北京 100094)

(junxian.zhang@haitaichina.com)

電子文件是指機關(guān)、團體、企事業(yè)單位和其他組織在處理公務(wù)過程中，通過計算機等電子設(shè)備所形成、辦理、傳輸和存儲的文字、圖表、音頻、視頻等不同形式的信息記錄.電子文件是信息化時代經(jīng)濟社會發(fā)展的重要信息記錄，是國家的重要信息資源.在大數(shù)據(jù)的環(huán)境下，電子文件管理對于政務(wù)服務(wù)創(chuàng)新、政務(wù)數(shù)據(jù)整合、行政效能提升等有著積極作用.電子文件管理是我國實施信息化戰(zhàn)略的重要任務(wù)，是基礎(chǔ)性管理工作.對電子文件進行妥善管理和利用，在促進經(jīng)濟發(fā)展、實現(xiàn)歷史文化傳承、開發(fā)利用信息資源、確保國家信息安全以及提升國家軟實力等方面具有重要意義[1-4].

黨中央、國務(wù)院高度重視電子文件管理工作.中央辦公廳和國務(wù)院辦公廳先后印發(fā)了《電子文件管理暫行辦法》《國家電子文件管理工作規(guī)劃(2011—2015年)》等文件，為切實加強電子文件管理指明了方向.隨著《電子文件標準體系框架》以及相關(guān)電子文件管理標準的陸續(xù)出臺，為電子文件建設(shè)提供了政策及標準依據(jù).

對于組織機構(gòu)而言，其信息化建設(shè)的過程中一般會陸續(xù)上線多個業(yè)務(wù)系統(tǒng)，每個業(yè)務(wù)系統(tǒng)中都會產(chǎn)生大量電子文件.如何管理和利用這些文件，如何充分挖掘其內(nèi)部價值，特別地，如何保證這些文件的真實性不被篡改，是電子文件管理領(lǐng)域需要研究的核心問題，得到各級政府領(lǐng)導(dǎo)單位、產(chǎn)業(yè)界和學術(shù)屆的高度重視和廣泛關(guān)注.

1 問題與挑戰(zhàn)

目前，世界范圍內(nèi)對電子文件真實性保障問題的研究還處于探索階段.對于不同組織機構(gòu)而言，尤其是政府行政管理活動中產(chǎn)生的電子文件，是重要的工作記錄，往往需要長期保存、歸檔和存檔.因此，電子文件真實性保障技術(shù)迫切需要研究者的積極參與，這既是電子文件管理工作者的責任所在，也是關(guān)系電子文件管理事業(yè)在信息時代如何發(fā)展的重大問題.

1.1 研究現(xiàn)狀

自20世紀60年代起，國內(nèi)外關(guān)于電子文件管理的研究逐漸進入全面發(fā)展和實際應(yīng)用階段，然而，直到20世紀90年代才開始對電子文件真實性保障進行研究.電子文件真實性是電子文件管理活動中一個極為復(fù)雜而又關(guān)鍵的問題.如果以國家信息化領(lǐng)導(dǎo)小組關(guān)于《我國電子文件真實性保障建設(shè)的指導(dǎo)意見》(中辦發(fā)[2002]17號文)印發(fā)為標志，我國電子文件真實性保障已經(jīng)經(jīng)歷了整整15年歷程，已經(jīng)成為未來新一代信息技術(shù)的重要組成部分.多年來，我國電子文件真實性保障建設(shè)在支撐政府核心業(yè)務(wù)、開發(fā)政府信息資源、提高政府為民服務(wù)水平方面發(fā)揮了巨大作用.具體地，對于推動我國電子文件真實性保障建設(shè)的低成本、可持續(xù)發(fā)展，整合資源，促進政府在檔案、金融、醫(yī)療、交通、教育、文化傳播、旅游等行業(yè)信息共享和業(yè)務(wù)協(xié)同，改善政府網(wǎng)上服務(wù)等具有十分重要意義.

電子文件真實性保障主要相關(guān)技術(shù)包括： PKI技術(shù)、可信時間戳、元數(shù)據(jù)技術(shù)、標簽技術(shù)等.在電子文件真實性保障的研究中，國外的研究者起步較早，也取得了相當豐富的研究成果.目前，國外對電子文件真實性保障方面，在云計算、移動互聯(lián)網(wǎng)技術(shù)驅(qū)動下，正在研究針對政府辦公、企業(yè)、個人市場需求群體方面對電子文件真實性保障提出的“安全、便捷、移動、高效、易維護”需求.

國內(nèi)對電子文件真實性保障方面，主要是通過軟簽名證書、加密設(shè)備來保障電子文件的真實性.典型地，北京海泰方圓科技股份有限公司作為老牌信息安全服務(wù)商，根據(jù)其多年以來在密碼行業(yè)的技術(shù)積累，以及在電子文件管理領(lǐng)域的長期積淀，對電子文件真實性保障技術(shù)展開了深入而系統(tǒng)的研究.目前，已經(jīng)成功研制出了基于身份憑證技術(shù)的多套產(chǎn)品，為電子文件的真實性和安全性提供了有力保障.

1.2 問題與挑戰(zhàn)

電子文件的使用固然是方便快捷的，但同時也存在一些安全問題.首先，電子文件由于其信息內(nèi)容與載體的可分離性，決定了其被修改后容易抹去痕跡.由于形成的文件上無法進行實際的簽字確認，若有人將其中的內(nèi)容進行了改動、刪除或偽造，也較難被確認，很難找到責任人.其次，電子文件可進行遠程快捷傳輸，實現(xiàn)網(wǎng)絡(luò)共享，但這也對其機密性帶來了威脅.電子文件在網(wǎng)上進行傳遞時可能受到攻擊者的竊聽、干擾和阻攔，特別是對于需要保密和特別重要的資料來說，容易被他人所利用或損壞.再次，計算機技術(shù)實現(xiàn)了電子文件的快捷歸檔整理和查找，但如果計算機出現(xiàn)硬件軟件方面的故障，電子文件也將遭到損壞甚至徹底消失.如今的軟件還無法滿足電子文件存儲和管理的需求，也沒有形成一個統(tǒng)一的管理軟件，這也影響到資源的共享和電子文件的長期有效性.

總之，國內(nèi)對電子文件的管理已較為重視，我國對電子文件的研究在不斷深入，也取得了一定成果，但相對國際水平仍存在一定差距.目前研究仍存在一些不足，就研究主題來看，關(guān)于電子文件歸檔及法律問題的研究比較多，而技術(shù)性研究成果尚不夠豐富.特別地，針對電子文件真實性問題的研究尤為薄弱，相關(guān)的論文數(shù)量少，缺乏系統(tǒng)性，研究水平與國外相比仍比較滯后，就研究深度來看，對一些問題的研究尚停留在表面，不夠深入.

2 電子文件真實性保障技術(shù)體系

2.1 電子文件真實性保障平臺技術(shù)架構(gòu)

電子文件的真實性保障需要處理和解決一系列復(fù)雜問題，需要一整套完備的技術(shù)方案，目前國內(nèi)相對成熟的技術(shù)和產(chǎn)品尚較為稀少.本文以海泰方圓科技股份有限公司的電子文件真實性保障支撐平臺為例，詳細介紹其中各個技術(shù)環(huán)節(jié).

海泰電子文件真實性保障平臺符合我國國家各項標準規(guī)范，通過管理“電子文件身份憑證”的全生命周期過程，保障電子文件全程憑證價值，整體實現(xiàn)統(tǒng)一信任體系，統(tǒng)一憑證發(fā)放、管理、鑒別、長期保存體系，以此構(gòu)建統(tǒng)一的信任體系、統(tǒng)一的憑證生成體系、統(tǒng)一的憑證管理體系、統(tǒng)一的憑證鑒別體系和統(tǒng)一的憑證長期保存體系.

如圖1所示，該平臺以“雙中心、三庫、五系統(tǒng)”為基礎(chǔ)架構(gòu)，構(gòu)建面向自主可控全國產(chǎn)化、基于云計算平臺的基礎(chǔ)，以提供對電子文件全生命周期的安全防護.其中，五系統(tǒng)包括：身份證生成系統(tǒng)、身份證離線驗證系統(tǒng)、身份證在線驗證系統(tǒng)、身份證查詢系統(tǒng)、身份證黑名單系統(tǒng).三庫包括文件身份證庫、備份庫、證書庫.證書庫存儲接入個人、機構(gòu)、系統(tǒng)以及憑證中心自身的證書.電子文件身份憑證庫存儲電子文件身份憑證.雙中心包括數(shù)字認證中心和密鑰管理中心.憑證密鑰管理中心管理用于生成身份憑證的所有接入人員、機構(gòu)、系統(tǒng)以及憑證中心自身的簽名密鑰.

圖1 電子文件真實性保障平臺架構(gòu)

2.2 基于文件身份證的電子文件真實性保障機制

為了有效保障電子文件的真實性，本文提出了一種電子文件身份證思想，并實現(xiàn)了一套完整的基于電子文件身份證為核心思路的電子文件憑證機制.具體地，在計算機系統(tǒng)中為每個文件建立一個身份證，以辨別其身份，證明其真?zhèn)危⒃陔娮游募芷诟鱾€環(huán)節(jié)呈現(xiàn)其憑證性作用，以解決電子身份證的構(gòu)成、生成、驗證等關(guān)鍵問題.

2.2.1電子文件身份證的作用

能否確保電子文件在其長期保存過程中能夠維系其真實性、完整性、可用性和安全性，主要取決于電子文件在收集、管理、保存和使用等各工作環(huán)節(jié)中的機密性、完整性和不可否認性是否得到保障.目前相關(guān)的研究中，已經(jīng)有一些成果研究了對信息的機密性、完整性及其不可否認性的保障，但并未形成相對完整的理論體系和可操作的實踐指導(dǎo)方法.本文所述的電子文件身份證是一種電子文件的憑證，通過特定的計算方法，將電子文件的核心構(gòu)成要素進行特征抽取，形成一個具有語義屬性的憑證代碼，用于唯一標識電子文件.該憑證是能夠用于驗證電子文件真實、完整、可用、安全和唯一身份的證件.電子文件身份證將電子文件身份證作為在檔案數(shù)字資源綜合管理系統(tǒng)中識別和鑒定特定電子文件身份的唯一憑證，在分析電子文件元數(shù)據(jù)和設(shè)置一定的語義規(guī)則基礎(chǔ)上，通過一定的算法生成電子文件憑證數(shù)列，最后利用數(shù)字簽名技術(shù)，將這個電子文件憑證以數(shù)字形式存放于電子文件的信息包結(jié)構(gòu)之中，表明文件移交單位對該電子文件中包含的內(nèi)容信息的確認，在電子文件的管理活動過程中其值是固定不變的.

2.2.2電子文件身份證的構(gòu)成

系統(tǒng)中電子文件的身份證是用來證明一份電子文件身份的真憑實據(jù)，它是一種能夠保證電子文件唯一性、原始性和真實性的身份證件，也是電子文件作為司法證明的重要依據(jù)，它的構(gòu)成要素不僅包括系統(tǒng)中明確的一個通用編號即電子文件的身份證號，而且也具有電子文件的來源屬性與代表其本質(zhì)特征的內(nèi)容要素.本文所提出電子文件的身份證由3部分組成，即電子文件身份證編號、電子文件有效元數(shù)據(jù)集合、帶時間戳的電子文件形成單位數(shù)字簽名.此外，電子文件的身份證號也通過語義規(guī)則和算法生成系統(tǒng)中唯一的身份證號.

傳統(tǒng)的資源標識符更注重快速定位并發(fā)現(xiàn)資源的位置的能力，幾乎不帶有語義性.本文提出的電子文件身份證不僅具有能夠快速定位與發(fā)現(xiàn)的電子文件身份證的唯一編號，同時還具有能夠標識檔案本身的語義元數(shù)據(jù)及其由檔案移交單位簽發(fā)的數(shù)字簽名，因此具有更多的語義特性.與傳統(tǒng)的資源標識符相比，電子文件身份證不僅具有唯一標識定位作用，還具有憑證性驗證作用，電子文件身份證里包含了電子文件形成階段的核心元數(shù)據(jù)及相關(guān)內(nèi)容，同時它與電子文件本身封裝到一起存在于系統(tǒng)中，一旦電子文件內(nèi)容出現(xiàn)非授權(quán)篡改，系統(tǒng)的驗證機制中重新生成的身份證與原始身份證產(chǎn)生差異，在校驗過程中則會引起其電子身份的驗證失敗，從而確認該文件在處理的環(huán)節(jié)中被變更，其憑證性作用可能會喪失，因此，電子文件身份證在系統(tǒng)中具有憑證性驗證作用，能更好地保障電子文件保管過程中的完整性.

2.2.3電子文件身份證的生成

為了生成電子文件身份證號碼，本文采取了相關(guān)的語義算法，通過事先確定的特定元數(shù)據(jù)語義，選擇算法抽取電子文件有效元數(shù)據(jù)集，再通過特定的電子文件身份證語義生成算法制作電子文件身份證號碼.元數(shù)據(jù)語義選擇算法不同于其他的語義計算算法，本文所使用的元數(shù)據(jù)語義選擇算法更注重人的意念，其語義來自于專家知識庫，這里的知識庫主要是由文件與檔案學領(lǐng)域?qū)＜医ⅲ晌募c檔案學領(lǐng)域?qū)＜医?jīng)過精心設(shè)置和篩選后，得出的那些最能夠代表文件與檔案本身的部分核心元數(shù)據(jù)，即構(gòu)成了有效元數(shù)據(jù)集合，也就是將用于生成電子文件身份證號的元數(shù)據(jù)集合.電子文件身份證號的語義生成算法仿照身份證編號，生成一個全球唯一的編號，即一串具體的數(shù)字，不同于傳統(tǒng)資源標識編碼和居民身份證號碼與社保號碼等.電子文件身份證編號不僅具有全球唯一性的編號，同時也在一連串編號中的某一段增加了具有電子文件元數(shù)據(jù)語義的含義.

2.2.4電子文件身份證的應(yīng)用

電子文件憑證性保障的解決方案與傳統(tǒng)的文件檔案及數(shù)字資源管理領(lǐng)域的安全保障方案相比較，其重要的不同點在于增加了電子文件身份證的證書庫及其管理.

傳統(tǒng)的安全保障方案僅僅通過驗證與電子文件一并加密發(fā)送的散列值來驗證電子文件的原始性，但無法有效驗證散列值自身的合法性及其有效性，從而導(dǎo)致電子文件的驗證無法確保真實.本文通過建立保存一個電子文件身份證的證書庫，驗證過程中可以在該庫中進行電子文件身份證的證書查詢，判斷其是否合法和有效，從而大大提高電子文件憑證價值.

2.3 電子文件真實性保障關(guān)鍵技術(shù)

電子文件的憑證作用是主要用于保護電子文件的真實性和原始性.正是由于電子文件具備的這2個特性，使電子文件具有了憑據(jù)價值，并且有了法律效力.隨著科學技術(shù)的迅猛發(fā)展，計算機在各個領(lǐng)域的普及和因特網(wǎng)的廣泛使用，人類社會進入了信息和電子時代，電子文件以其獨有的豐富性成為信息的重要來源.然而，在電子文件管理工作中，電子文件的數(shù)字化信息屬性以及信息與載體的相分離等特性，決定了歸檔電子文件真實性的鑒定已無法再延用傳統(tǒng)的鑒定方法，判斷電子文件真實性必須以該電子文件信息內(nèi)容的原始性、真實性和完整性為依據(jù)，這同樣也是確定電子文件是否具有法律效力的唯一依據(jù).利用可靠而有效的技術(shù)手段確認與維護電子文件的信息內(nèi)容的真實性，是保障電子文件法律效力的關(guān)鍵，也是電子文件管理工作的核心所在.

2.3.1電子文件全生命周期安全防護技術(shù)

從電子文件產(chǎn)生、存儲、傳送、利用、到最終的文件銷毀，構(gòu)成電子文件的完整生命周期.安全電子文件作為國家黨政系統(tǒng)等重要部門的信息的有效載體，若是在任何一個環(huán)節(jié)中無法對涉密文件的機密內(nèi)容作有效的控制，都有可能造成泄密事件，尤其是原本就有權(quán)限閱讀或使用這些文件的人員，是內(nèi)部最常見的泄密途徑.因此安全電子文件全生命周期的安全保護以及預(yù)防內(nèi)部人員泄密已經(jīng)成為一個迫在眉睫的問題.

為了有效保障電子文件的真實性和機密性，本文所述技術(shù)方案主要有以下幾種：

1) 基于文件或文件夾的主動加密模式

文件或文件夾的主動加密技術(shù)屬于最具典型意義的文件保護技術(shù)，是第1代技術(shù).通過主動加密的方式，由操作者對文件或文件夾進行加密.該方法需要操作者主動識別涉密文件，并確定哪些文件不需要加密.其缺點是該方式無法防止內(nèi)部用戶對機密信息的泄密，因此其作用較為有限.

2) 基于文件格式轉(zhuǎn)換的保護方式

文件格式轉(zhuǎn)換屬于第2代文件保護技術(shù).它將需要保護的文件轉(zhuǎn)化為私有格式，通過格式轉(zhuǎn)換后可以較為方便地對文件權(quán)限進行控制.該方式缺點較多：一是加密后的文件需要專門的閱讀器，增加了開發(fā)難度；二是支持的格式有限，例如很難支持三維圖紙類文件.

3) 基于全盤的數(shù)據(jù)加密方式

磁盤加密類產(chǎn)品屬于第3代文件保護技術(shù)，該方式通過對邏輯磁盤卷或者整個磁盤卷進行加密以實現(xiàn)文件保護，其缺點是無法防止內(nèi)部人員主動泄密.

4) 透明文件加密方式

透明文件加密屬于第4代文件保護技術(shù)，通過對特定的電子文件進行加密以保護敏感信息.其突出特點是加密的強制性和加密過程的透明性.其中，強制性是指文件是否加密不是由操作者來判斷，而是根據(jù)企業(yè)的策略強制執(zhí)行，文件安全標識作為企業(yè)安全策略的一個重要組成部分；透明性是指所有的加解密工作均在后臺進行，用戶感覺不到加解密過程的存在，因此可以不改變前端用戶的使用習慣.強制性保證文件的安全和分密級管理，即使是文件作者也無法在未授權(quán)的情況下將文件解密帶出.透明性方便了用戶的使用，是產(chǎn)業(yè)化不可或缺的重要特性.

5) 密級標識

針對密級標識，不同國家給出了不同的定義.我國國家保密局頒布的《涉及國家秘密的計算機信息系統(tǒng)分級保護技術(shù)要求》對密級標識作出了如下定義：密級標識是用于標明信息秘密等級的數(shù)字化信息.涉密信息系統(tǒng)中的信息應(yīng)有相應(yīng)的密級標識.密級標識應(yīng)與信息主體不可分離，其自身不可篡改.由此我們可以得出涉密信息系統(tǒng)內(nèi)電子文件密級標識的涵義：在安全電子文件的全生命周期內(nèi)，密級標識應(yīng)與電子文件構(gòu)成一個不可分離的完整整體，密級標識不可篡改，且能夠表明被標識信息的涉密屬性，包括秘密等級、保密期限，以及國家保密行政管理部門規(guī)定的與保密相關(guān)的其他信息，為電子文件能夠在保密管理的形式、內(nèi)容等方面與紙質(zhì)文件保持一致提供支持.

利用密級標識技術(shù)實現(xiàn)電子文件的安全保護，主要是通過密級標識實現(xiàn)基于密級的強制訪問控制，國家保密機關(guān)明確規(guī)定不同密級實體之間的訪問規(guī)則，要求不同主體之間交換的電子文件必須是通過密級標識的文件，高級別的主體不但可以閱讀高密級的文件還可以閱讀低密級的文件，而低級別的主體只能閱讀低密級的文件，而且不同部門的主體也不閱讀其他部門的涉密文件.

2.3.2基于國密算法的電子文件真實性保障技術(shù)

密碼學是研究密碼算法和破解密碼的技術(shù)學科，目的是秘密地傳輸消息，是在通信中編碼與譯碼中發(fā)展出的一個學科.但是發(fā)展到現(xiàn)在，密碼學已經(jīng)是一個綜合的交叉性學科，涉及語言學(包括語義分析等)、通信科學(包括信息論等)、計算機科學(包括軟件破解、加解密軟件)、數(shù)學(包括統(tǒng)計學、概率論等)等有著非常緊密的聯(lián)系.密碼學從其發(fā)展之初，其基本思想始終沒有改變，就是對特定涉密消息的保護，主要包括消息的機密性、消息的完整性、消息的不可否認性.密碼學中最主要的算法包括加密算法、消息摘要算法、數(shù)字簽名算法等.在該領(lǐng)域中，所有應(yīng)用和協(xié)議的基礎(chǔ)就是3類算法，即對稱密碼算法、非對稱密碼算法、雜湊算法.

PKI(公鑰基礎(chǔ)設(shè)施)是一套通過公鑰密碼算法原理與技術(shù)提供安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施，是一套能夠為電子政務(wù)以及電子商務(wù)提供安全基礎(chǔ)平臺的技術(shù)規(guī)范.它通過數(shù)字證書管理公鑰，通過CA把用戶的公鑰與其他標識信息捆綁在一起，實現(xiàn)基于網(wǎng)絡(luò)的用戶身份驗證.PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封、雙重數(shù)字簽名等.

在我國大力提倡自主可控發(fā)展的大環(huán)境下，信息系統(tǒng)的自主可控進程已經(jīng)納入國家戰(zhàn)略性發(fā)展部署.強力推進關(guān)鍵信息系統(tǒng)的國產(chǎn)自主化建設(shè)，是國家和軍隊信息化發(fā)展戰(zhàn)略的大勢所趨，更是改革強軍的潮流所向.國產(chǎn)信息技術(shù)只有以自主可控[5-7]為前提，將自主研發(fā)的科技創(chuàng)新最新成果快速應(yīng)用于政府、企業(yè)和軍隊信息化，才能有效保障國家信息安全.

在國家需求的不斷推動下，從核心處理器到操作系統(tǒng)再到整機系統(tǒng)等核心關(guān)鍵領(lǐng)域的國產(chǎn)化替代進程正在加速.大力發(fā)展自主可控全國產(chǎn)業(yè)化已經(jīng)成為各界共識，面對自主可控國產(chǎn)化平臺的電子文件真實性保障相關(guān)技術(shù)，需要經(jīng)過自主可控國產(chǎn)化適配，包括簽名算法、時間戳算法、身份證發(fā)布等等.在國產(chǎn)化平臺下的真實性保障技術(shù)的適配工程，對電子文件在國產(chǎn)化平臺的應(yīng)用有著重要推動作用.

為了更好地保護本國的商用密碼[8-11]應(yīng)用安全，國家商用密碼管理辦公室制定并頒布了一系列國家標準，其中包括SSF33、SM1(與DES對應(yīng))、SM2(與RSA對應(yīng))、SM3(與MD5對應(yīng))、SM4(與AES對應(yīng))、祖沖之密碼算法等等.其中SSF33,SM1,SM4,SM7,祖沖之密碼是對稱密碼算法，用于分組密碼和流密碼應(yīng)用；SM2,SM9是非對稱密碼算法，應(yīng)用于簽名等場合；SM3是雜湊算法，用于消息摘要等場合.

在基于國產(chǎn)密碼算法的PKI技術(shù)中，我們所有的密碼算法均使用國產(chǎn)密碼算法，主要包括對稱算法SM1SM4、非對稱算法SM2和雜湊算法SM3.

由于國產(chǎn)密碼算法的安全性是得到國家認可的，因此能夠保證使用基于國產(chǎn)密碼算法的PKI技術(shù)進行運算得到的結(jié)果是安全可信的，從而有力地保障了電子文件的真實性.

2.3.3電子文件標簽技術(shù)

在基于標簽的安全機制中，安全電子文件由文件和標簽2部分組成.文件是指原始文件或?qū)υ嘉募?jīng)過密碼處理后的結(jié)果，標簽是原始標簽或?qū)υ紭撕灲?jīng)過密碼處理后的結(jié)果.檔案和標簽存在唯一綁定關(guān)系，標簽由標簽頭和標簽體組成，標簽體可加密.

在電子文件從系統(tǒng)離線下載后，電子文件實體的安全機制、管理機制與訪問控制是確保電子文件安全必不可少的組成部分，電子文件的存儲與訪問方式成為了檔案安全保護過程中的核心問題.電子標簽作為承載電子文件信息，控制電子文件訪問、主導(dǎo)電子文件流轉(zhuǎn)載體，使最終用戶對電子文件實體的訪問全部通過電子標簽來完成.通過標簽管理服務(wù)對電子標簽的操作來完成用戶對電子文件實體的新建、修改、閱讀、流轉(zhuǎn)等行為，并在整個操作過程中進行控制保留歷史記錄，最終能夠可靠保障電子文件實體的安全性、電子文件操作的可監(jiān)控性與電子文件流轉(zhuǎn)的可追溯性.

本節(jié)提出了將文件的實體與文件控制權(quán)限分離的管控思路，如圖2所示.具體地，將受保護電子文件加密后分離成文件標簽和文件實體密文2個部分，文件標簽中只有文件唯一標識和部分屬性信息，用戶以及應(yīng)用軟件只能直接操作到文件標簽.文件實體密文則存放在信息系統(tǒng)的安全存儲位置.信息系統(tǒng)中存儲和流轉(zhuǎn)的都是沒有實際敏感內(nèi)容的標簽，當需要使用電子文件內(nèi)容時，通過文件重定向驅(qū)動和調(diào)用接口獲取文件內(nèi)容.在網(wǎng)絡(luò)條件良好的涉密信息系統(tǒng)內(nèi)部，文件集中存儲在服務(wù)器中.

圖2 電子文件分離管控模型

圖3 文件標簽產(chǎn)生過程

文件標簽可以看作是文件的身份標識和索引，其核心要素是唯一的標簽ID.為了確保與文件的綁定關(guān)系不被篡改，標簽應(yīng)包括文檔密文的散列值和標簽頭部的HMAC值.為了便于用戶訪問，標簽中還包括實體文件名、長度、密級和訪問權(quán)限摘要等信息.用戶創(chuàng)建或者輸入一個新文件時，內(nèi)核層的過濾驅(qū)動捕獲事件，在本地產(chǎn)生標簽文件，而將真實的文件重定向并加密保存到安全存儲位置.產(chǎn)生文件標簽過程如圖3所示.

用戶在終端看到的標簽文件帶有真實文件的文件類型和部分屬性信息.用戶打開文件標簽時，按照產(chǎn)生標簽的逆過程，授權(quán)訪問文件明文的進程，通過內(nèi)核層的驅(qū)動程序重定向到安全存儲位置獲取文件并解密.當用戶向其他用戶發(fā)送電子文件時，由于文件傳輸應(yīng)用軟件沒有獲取文件明文的權(quán)限，因而發(fā)送出去的僅僅是文件的標簽.接收者用在打開獲取到的文件標簽時，控制程序根據(jù)用戶的身份和標簽ID獲取使用者權(quán)限和密鑰.非授權(quán)用戶無法獲取相應(yīng)的密鑰及權(quán)限，因此無法獲取文件實體內(nèi)容.

在本模型中，文檔訪問控制權(quán)限和密鑰等信息保存在網(wǎng)絡(luò)中的標簽管理服務(wù)器中，而非本機磁盤或與文檔標簽綁定.當電子文件流轉(zhuǎn)時可以方便地共享文件保護密鑰.

在前述文件標簽與文件的綁定中已經(jīng)提及文件重定向技術(shù): 使用文件標簽代替真實文件展示給有加解密權(quán)限應(yīng)用程序的替換物，將替換文件句柄返回給應(yīng)用程序.過濾驅(qū)動程序中在替身文件打開完成后再打開目標文件，建立替換文件對象與目標文件對象的映射關(guān)系.文件請求操作根據(jù)各個 IRP 的替身文件信息查找到安全存儲位置的真實文件，并轉(zhuǎn)向真實文件操作的方式實現(xiàn)文件定向和透明加解密.工作原理如圖4所示:

圖4 文件透明加密

文件操作者像操作普通文檔一樣正常操作電子文件，操作系統(tǒng)底層以及網(wǎng)絡(luò)中各個服務(wù)器的工作不會被用戶感知的情況下，文件加密存儲在安全存儲位置，而文件的密鑰則由標簽管理服務(wù)器維護.因此，不僅終端的文件標簽的泄露不會影響數(shù)據(jù)安全，即便安全存儲位置的實體文件遭到泄露，也因為沒有保護密鑰而無法解密.

2.3.4多級電子文件憑證生成和校驗

在目前的電子文件管理系統(tǒng)中，除了要管理電子文件自身實體文件以外，還需要管理電子文件擁有的元數(shù)據(jù)信息.元數(shù)據(jù)是對文件的產(chǎn)生、保管、利用、銷毀等整個過程的真實性記錄，它隨著文件的產(chǎn)生而生成，伴隨人們對文件進行的各種管理活動而不斷地增加.為了保障電子文件的真實性，會對每個電子文件生成一個電子文件憑證.現(xiàn)在通用的做法主要是利用簽名技術(shù)對電子文件自身或者附加一些元數(shù)據(jù)信息生成電子文件憑證.但現(xiàn)有生成電子文件憑證的技術(shù)不夠靈活，具體表現(xiàn)為：首先，不同系統(tǒng)會制定不同的憑證生成規(guī)則，因此無法互相進行驗證；其次，在電子文件管理過程中沒有設(shè)計多級憑證來保證電子文件的真實性；最后，由于電子文件的元數(shù)據(jù)信息在電子文件管理過程中會發(fā)生變化，針對同一項元數(shù)據(jù)的簽名實體可能是不同的.

本文提出一種多級電子文件憑證生成和校驗方法，可以使得電子文件在不同階段針對不同的元數(shù)據(jù)信息由不同的主體來保證憑證性，并且多級憑證是相互獨立的，根據(jù)未驗證通過的憑證，可以縮小導(dǎo)致電子文件憑證失效的原因的范圍.

多級電子文件憑證生成方法由多個子過程構(gòu)成，對于每個子過程具體步驟如下：

1) 確定生成本級電子文件憑證所使用的本次的憑證模板，該憑證模板記錄了本次要簽名的憑證屬性內(nèi)容.

2) 將本次所選擇的憑證模板中的憑證屬性內(nèi)容添加至電子文件憑證的憑證屬性區(qū)；對本次憑證模板進行簽名，所生成的本次憑證簽名添加至憑證簽名區(qū).

作為可選項，步驟2還包括以下步驟：

① 生成對應(yīng)本次簽名的簽名序號；

② 將當前的簽名序號作為本次所選的憑證模板的標識；

③ 由上實現(xiàn)對于不同憑證模板的標識.

3) 對電子文件憑證的憑證屬性區(qū)中記載的各次的憑證屬性內(nèi)容進行整體簽名，并將所生成的本次的整體簽名去更新在憑證簽名區(qū)記錄的前次電子文件憑證生成時所生成的整體簽名.

由上，通過多級憑證屬性，可以使得電子文件在不同階段針對不同的元數(shù)據(jù)信息由不同的主體來保證憑證性.

2.3.5可信時間戳技術(shù)

電子簽名方式的不足之處在于“數(shù)字簽名的偽造”，由于數(shù)字證書存在有效期，且用戶可以隨時吊銷數(shù)字證書，數(shù)字證書失效后，由于用于簽名的私鑰由簽署人掌握及簽名時間可隨意修改，采用單純的電子簽名方式不能起到抗抵賴作用.如果電子文件沒有一個準確可靠的簽署時間，即使附有電子簽名的文件也有可能不被承認.只要在作電子簽名的同時取得一個時間戳，任何一方都不可否認.時間戳能為電子簽名提供確實的簽署時間，保證電子簽名的有效性，這樣既能證實簽署人的身份，亦能指出準確的簽署時間，使人無從抵賴或否認.本文利用時間戳技術(shù)，采用國家法定時間源來負責保障時間的授時，實現(xiàn)可信時間戳，保障電子文件真實性.

3 未來工作

3.1 跨系統(tǒng)環(huán)境下電子文件憑證性維護技術(shù)

電子文件的憑證作用能否長期保存是該領(lǐng)域的一個重要問題，現(xiàn)有的技術(shù)能夠?qū)崿F(xiàn)在一個封閉的信息系統(tǒng)內(nèi)部，其產(chǎn)生的修改痕跡可保留、操作可追溯，從而保證電子文件的憑證作用.但是，電子文件轉(zhuǎn)化為電子檔案，特別是對國家社會具有重要價值的電子文件向檔案館移交時，電子文件憑證作用的跨系統(tǒng)保護尚無技術(shù)突破，同時在檔案館保存電子文件的漫長過程中還面臨軟硬件不斷發(fā)展更新的困境.本文下一步研究工作，將針對跨系統(tǒng)環(huán)境下如何維護電子文件憑證性問題進行研究.

3.2 復(fù)雜網(wǎng)絡(luò)環(huán)境下電子文件安全管理技術(shù)

橫跨多種網(wǎng)絡(luò)(因特網(wǎng)、政務(wù)網(wǎng)、局域網(wǎng))的電子文件管理系統(tǒng)的部署，是信息技術(shù)發(fā)展為電子文件管理工作帶來新的發(fā)展契機.一套部署在多種網(wǎng)絡(luò)中的電子文件管理系統(tǒng)利于電子文件的收集、管理和利用等各項工作，可以將不同網(wǎng)絡(luò)平臺間的用戶聯(lián)系為一個整體，通過統(tǒng)一的標準，規(guī)范化電子文件信息化管理工作.但是，網(wǎng)絡(luò)為電子文件提供更為高效的管理手段和更為便捷的利用途徑的同時，數(shù)據(jù)突破和惡意篡改等問題也嚴重地威脅著電子文件信息的安全.在網(wǎng)絡(luò)技術(shù)快速發(fā)展的今天，逐漸增多的安全事件時刻提醒著管理部門要妥善解決電子文件在網(wǎng)絡(luò)中的安全性問題.針對以上問題，本文在未來研究工作中將提出完整的技術(shù)方案，以進一步提高電子文件的安全性保障水平.

4 結(jié)束語

本文結(jié)合產(chǎn)業(yè)現(xiàn)狀和技術(shù)前沿，系統(tǒng)介紹了電子文件真實性保障相關(guān)技術(shù).電子文件真實性保障建設(shè)受到多種因素的制約和影響，如政策環(huán)境、體制環(huán)境、社會環(huán)境和技術(shù)環(huán)境等，這中間的任何一個因素的變化都可能對電子文件真實性保障的建設(shè)和發(fā)展產(chǎn)生影響.這就需要我們認真研究這些制約因素的變化規(guī)律、之間的相互關(guān)系，以此不斷調(diào)整完善電子文件真實性保障建設(shè)的思路和策略，只有這樣才能促使我國電子文件真實性保障建設(shè)和發(fā)展進入一個良性的軌道.

參考文獻

[1]馮惠玲. 檔案學概論[M]. 北京: 中國人民大學出版社, 2001

[2]馮惠玲. 政府電子文件管理[M]. 北京: 中國人民大學出版社, 2004

[3]劉家真. 電子文件管理理論與實踐[M]. 北京: 科學出版社, 2003

[4]馮惠玲. 電子文件管理教程[M]. 北京: 中國人民大學出版社, 2001

[5]倪光南. 采用自主可控軟件是保障信息安全的前提[J]. 中國信息安全, 2010 (9): 1-2

[6]鐘博. 自主可控戰(zhàn)略下信息安全產(chǎn)業(yè)發(fā)展壯大的思考[J]. 信息安全與通信保密, 2015 (1): 36-37

[7]劉權(quán). 我國自主可控信息產(chǎn)業(yè)發(fā)展對策[J]. 信息安全與通信保密, 2014 (9): 42-42

[8]趙宇亮, 胡威, 張冰, 等. 國家商用密碼算法綜述[C] //2016電力行業(yè)信息化年會論文集. 天津: 大眾用電, 2016: 132-134

[9]汪朝暉, 張振峰. SM2橢圓曲線公鑰密碼算法綜述[J]. 信息安全研究, 2016, 2(11): 972-982

[10]王小云, 于紅波. SM3密碼雜湊算法[J]. 信息安全研究, 2016, 2(11): 983-994

[11]呂述望, 蘇波展, 王鵬, 等. SM4分組密碼算法綜述[J]. 信息安全研究, 2016, 2(11): 995-1007