可信時(shí)間戳在檔案應(yīng)用方案20120723

1、可信時(shí)間戳應(yīng)用于登記備份中心解決方案 可信時(shí)間戳應(yīng)用于檔案登記備份中心解決方案聯(lián)合信任時(shí)間戳服務(wù)中心二一二年七月一、建設(shè)背景根據(jù)國(guó)家檔案局組織論證通過(guò)的聯(lián)合信任時(shí)間戳應(yīng)用于檔案的方案論證報(bào)告，聯(lián)合信任時(shí)間戳是我國(guó)目前唯一由國(guó)家授時(shí)中心負(fù)責(zé)建設(shè)和保障的可信時(shí)間戳。對(duì)確保檔案的法律憑證作用；確保重要檔案信息安全等具有極大的現(xiàn)實(shí)意義。檔案登記備份管理工作中需要采取一系列措施來(lái)保證其真實(shí)性、完整性、憑證性和安全性?？尚械拇胧┗蚍桨敢延卸喾N，不過(guò)有的依賴于復(fù)雜的監(jiān)控過(guò)程，有的依賴于繁復(fù)的信息跟蹤處理，有的只能間接認(rèn)定，還有的方法簡(jiǎn)便但又不夠嚴(yán)密。本方案從國(guó)家授時(shí)中心聯(lián)合信任可信時(shí)間戳的技術(shù)原理和使用機(jī)制

2、入手，對(duì)其在電子檔案登記備份中的作用和應(yīng)用特點(diǎn)進(jìn)行分析和研究，力求設(shè)計(jì)出一套可行的應(yīng)用模式、便捷而又符合法規(guī)要求的方案。二、可信時(shí)間戳1、可信時(shí)間戳定義可信時(shí)間戳是由國(guó)家授時(shí)中心聯(lián)合信任時(shí)間戳服務(wù)中心簽發(fā)的一個(gè)能證明數(shù)據(jù)電文(各種電子文件和電子數(shù)據(jù))在一個(gè)時(shí)間點(diǎn)是已經(jīng)存在的、完整的、可驗(yàn)證的，具備法律效力的電子憑證（以下簡(jiǎn)稱TSA）；是解決中華人民共和國(guó)電子簽名法中對(duì)數(shù)據(jù)電文原件形式要求的必要技術(shù)保障。我國(guó)權(quán)威的時(shí)間戳服務(wù)中心()是由國(guó)家法定授時(shí)機(jī)構(gòu)(國(guó)家授時(shí)中心)建設(shè)，按照有關(guān)標(biāo)準(zhǔn)和規(guī)范運(yùn)營(yíng)，對(duì)各行業(yè)提供權(quán)威可信時(shí)間戳服務(wù)。2、可信時(shí)間戳的產(chǎn)生根據(jù)國(guó)際時(shí)間戳標(biāo)準(zhǔn)RFC31

3、61，可信時(shí)間戳是將用戶的電子數(shù)據(jù)的Hash值封裝成可信時(shí)間戳請(qǐng)求發(fā)送到時(shí)間戳服務(wù)中心，在此基礎(chǔ)上綁定由國(guó)家權(quán)威時(shí)間機(jī)構(gòu)保障、不可更改的時(shí)間信息并通過(guò)時(shí)間戳服務(wù)中心簽發(fā)，產(chǎn)生不可偽造的時(shí)間戳文件。通過(guò)電子數(shù)據(jù)及對(duì)應(yīng)可信時(shí)間戳文件有效證明電子數(shù)據(jù)的完整性及產(chǎn)生時(shí)間。圖一 可信時(shí)間戳產(chǎn)生原理3、 可信時(shí)間戳的法律效力可信時(shí)間戳由國(guó)家法定時(shí)間機(jī)構(gòu)，即國(guó)家授時(shí)中心建設(shè)的時(shí)間戳服務(wù)中心簽發(fā)，以國(guó)家授時(shí)中心在時(shí)間上的法定地位來(lái)保障其簽發(fā)的時(shí)間戳能證明數(shù)據(jù)電文存在的時(shí)間和內(nèi)容的完整。區(qū)別于用戶自建時(shí)間戳系統(tǒng)或其他機(jī)構(gòu)產(chǎn)生的時(shí)間戳，這些時(shí)間戳，因其存在時(shí)間被篡改或重新簽發(fā)時(shí)間戳等可能性，會(huì)導(dǎo)致法律瑕疵。數(shù)據(jù)電

4、文經(jīng)過(guò)國(guó)家授時(shí)中心時(shí)間戳認(rèn)證，滿足其符合中華人民共和國(guó)電子簽名法規(guī)定的數(shù)據(jù)電文原件形式的要求。國(guó)家授時(shí)中心權(quán)威簽發(fā)的時(shí)間戳已經(jīng)得到了司法的認(rèn)可，是具有法律效力的第三方可信時(shí)間戳。圖二 我國(guó)可信時(shí)間戳服務(wù)體系4、可信時(shí)間戳的基本作用1) 是解決電子簽名法中對(duì)數(shù)據(jù)電文(電子文件)滿足法律法規(guī)要求的原件形式的有效手段其法律依據(jù)見(jiàn)中華人民共和國(guó)電子簽名法第二章數(shù)據(jù)電文第五條中的規(guī)定：“符合下列條件的數(shù)據(jù)電文，視為滿足法律、法規(guī)規(guī)定的原件形式要求：(一)能夠有效地表現(xiàn)所載內(nèi)容并可供隨時(shí)調(diào)取查用；(二)能夠可靠地保證自最終形成時(shí)起，內(nèi)容保持完整、未被更改。但是，在數(shù)據(jù)電文上增加背書(shū)以及數(shù)據(jù)交換、儲(chǔ)存和顯示

5、過(guò)程中發(fā)生的形式變化不影響數(shù)據(jù)電文的完整性。”根據(jù)可信時(shí)間戳的基本功能，可信時(shí)間戳符合中華人民共和國(guó)電子簽名法第二章關(guān)于數(shù)據(jù)電文原件形式的要求，能有效證明數(shù)據(jù)電文(電子文件和電子檔案)產(chǎn)生的時(shí)間及內(nèi)容的完整性，保證數(shù)據(jù)電文的客觀性、真實(shí)性，應(yīng)用于數(shù)據(jù)電文長(zhǎng)期歸檔、保存、驗(yàn)證、及法律證據(jù)舉證。2)解決電子簽名的有效性中華人民共和國(guó)電子簽名法中對(duì)電子簽名的定義為：“電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。本法所稱數(shù)據(jù)電文，是指以電子、光學(xué)、磁或者類似手段生成、發(fā)送、接收或者儲(chǔ)存的信息。”根據(jù)已經(jīng)頒布實(shí)施的國(guó)標(biāo)GB/T25064-2010規(guī)定，電

6、子簽名格式有如下幾種：l 基本電子簽名(BES)基本電子簽名方式(BES)是指包括了簽名基本數(shù)據(jù)信息的電子簽名 。 采用基本電子簽名方式將存在以下問(wèn)題：在現(xiàn)時(shí)的公鑰基礎(chǔ)建設(shè)中，采用電子簽名技術(shù)來(lái)確保簽署人的身份和驗(yàn)證數(shù)據(jù)是否篡改。然而綜合眾多現(xiàn)實(shí)案例中出現(xiàn)的情形，采用基本電子簽名方式的不足之處在于“數(shù)字簽名的偽造”，由于數(shù)字證書(shū)有效期為一年，且用戶可以隨時(shí)吊銷(xiāo)數(shù)字證書(shū)，數(shù)字證書(shū)失效后，無(wú)法確認(rèn)電子簽名的有效性，基本電子簽名一般只用在通訊過(guò)程中的身份認(rèn)證和防止數(shù)據(jù)在通訊過(guò)程被篡改，電子數(shù)據(jù)的長(zhǎng)期歸檔保存不能使用基本簽名來(lái)實(shí)現(xiàn)抗抵賴特性。l 帶時(shí)間戳的電子簽名(ES-T)根據(jù)標(biāo)準(zhǔn)電子簽名方式，其在

7、基本電子簽名的基礎(chǔ)上添加了時(shí)間戳，其目的是開(kāi)始在長(zhǎng)時(shí)間的有效性上提供一定程度的保證。當(dāng)某些驗(yàn)證數(shù)據(jù)的安全性受到威脅的時(shí)候，電子簽名上的時(shí)間戳可保護(hù)簽名的有效性，只要這些安全性威脅是在簽名產(chǎn)生以后發(fā)生的。時(shí)間戳可有效證明電子簽名是在該安全威脅產(chǎn)生前創(chuàng)建的，使電子簽名仍可保持其有效性。l 帶歸檔時(shí)間戳的電子簽名各種算法、密鑰、加密數(shù)據(jù)、加密函數(shù)都會(huì)隨著時(shí)間的增加而逐漸降低其安全性，各種證書(shū)也會(huì)隨著時(shí)間而紛紛失效，如果要長(zhǎng)期保存一個(gè)電子簽名，就需要在這些成分的安全性降低前對(duì)整個(gè)電子簽名加蓋一次時(shí)間戳。新加的時(shí)間戳盡可能使用比老時(shí)間戳更強(qiáng)的算法和密鑰。這類額外添加的驗(yàn)證數(shù)據(jù)稱為歸檔驗(yàn)證數(shù)據(jù)。考慮到時(shí)間

8、戳所使用的證書(shū)、算法和密鑰也會(huì)隨著時(shí)間而失效或降低安全性，在這種情況發(fā)生前，必須加蓋新的時(shí)間戳。因此，一個(gè)ES-A可能嵌套了多重時(shí)間戳。 綜上電子簽名的幾種形式上看，電子簽名證實(shí)了簽署人的身份。但是，如果文件沒(méi)有一個(gè)準(zhǔn)確可靠的簽署時(shí)間，即使附有電子簽名的文件也有可能不被承認(rèn)，而起不到抗抵賴的作用?？尚艜r(shí)間戳能為電子簽名提供確實(shí)的簽署時(shí)間，保證電子簽名的有效性，這樣既能證實(shí)簽署人的身份，亦能指出準(zhǔn)確的簽署時(shí)間，使人無(wú)從抵賴或否認(rèn)，因此可信時(shí)間戳是電子簽名有效性的基本保障。5、 聯(lián)合信任時(shí)間戳的已有應(yīng)用國(guó)家授時(shí)中心聯(lián)合信任時(shí)間戳服務(wù)中心于2007年試運(yùn)行，2008年初正式對(duì)外提供服務(wù)。根據(jù)國(guó)家可信

9、時(shí)間戳服務(wù)體系規(guī)劃，采取重點(diǎn)領(lǐng)域優(yōu)先服務(wù)的原則，在我國(guó)司法、知識(shí)產(chǎn)權(quán)保護(hù)、金融保險(xiǎn)、醫(yī)療衛(wèi)生、電子商務(wù)等領(lǐng)域已經(jīng)開(kāi)展了相應(yīng)的服務(wù)。如在我國(guó)衛(wèi)生領(lǐng)域，由衛(wèi)生部于2010年11月組織專門(mén)的專家論證，在我國(guó)醫(yī)療衛(wèi)生行業(yè)進(jìn)行推廣應(yīng)用，并出臺(tái)了電子病歷分級(jí)評(píng)級(jí)標(biāo)準(zhǔn)，其中明確了使用國(guó)家授時(shí)中心聯(lián)合信任時(shí)間戳服務(wù)中心的可信時(shí)間戳；在司法領(lǐng)域已經(jīng)在法院的訴前電子證據(jù)保全、公安的電子物證固化中使用，2008年已經(jīng)由使用聯(lián)合信任時(shí)間戳作為證據(jù)在司法中使用的判例，被法院采信。國(guó)際上，一些國(guó)家和地區(qū)已經(jīng)在知識(shí)產(chǎn)權(quán)保護(hù)、電子政務(wù)和電子檔案管理中正式啟用了可信時(shí)間戳的應(yīng)用。如美國(guó)已經(jīng)在護(hù)照簽發(fā)、個(gè)人健康電子記錄、建設(shè)項(xiàng)目

10、電子檔案管理等領(lǐng)域啟用了時(shí)間戳的應(yīng)用，及基于EPS的電子郵戳服務(wù)。對(duì)電子郵件、電子政務(wù)、電子商務(wù)等提供數(shù)字簽名、加蓋時(shí)間戳、保證內(nèi)容安全、為日后查驗(yàn)提供憑據(jù)等服務(wù)，從而確保信息文件傳遞內(nèi)容的真實(shí)、可信、有據(jù)可查。1998年美國(guó)頒布的跨世紀(jì)千年版權(quán)法DMCA明確了相關(guān)技術(shù)手段已經(jīng)被納入了版權(quán)保護(hù)的應(yīng)用范疇，明確了使用數(shù)字簽名技術(shù)、數(shù)字時(shí)間戳技術(shù)、身份驗(yàn)證、防火墻技術(shù)和CA認(rèn)證等措施對(duì)檔案館的檔案保護(hù)提供技術(shù)支持。我國(guó)澳門(mén)地區(qū)也已啟動(dòng)了時(shí)間戳的社會(huì)化服務(wù)。三、應(yīng)用模式1、方案設(shè)計(jì)遵循或參考的系列法規(guī)及標(biāo)準(zhǔn)規(guī)范l 中華人民共和國(guó)檔案法；l 中華人民共和國(guó)電子簽名法；l ISO 14721-2003O

11、AIS 空間數(shù)據(jù)和信息傳遞系統(tǒng)-開(kāi)放檔案信息系統(tǒng)參考模型；l GB/T 18894電子文件歸檔與檔案管理規(guī)范(修訂報(bào)批稿)；l 電子檔案登記與接收辦法(報(bào)批稿)；l 數(shù)字檔案館建設(shè)指南(國(guó)家檔案局2009年發(fā)布)l 關(guān)于開(kāi)展電子文件和數(shù)字檔案登記備份工作的通知l DA/T 46-2009 文書(shū)類電子文件元數(shù)據(jù)方案；l DA/T 4802009 基于XML的電子文件封裝規(guī)范；l DA/T 電子文件元數(shù)據(jù)基本集(報(bào)批稿)；l DA/T 電子公文文檔一體化業(yè)務(wù)流程管理規(guī)范(征求意見(jiàn)稿)；l DA/T22-2000 歸檔文件整理規(guī)則；l GB/T 17678.1-1999 CAD電子文件光盤(pán)存儲(chǔ)、歸檔

12、與檔案管理要求 第一部分：電子文件歸檔與檔案管理；l GB/T 38-2008 電子文件歸檔光盤(pán)技術(shù)要求和應(yīng)用規(guī)范(征求意見(jiàn)稿)；l ISO 9660、ISO 10149關(guān)于CDVCD光盤(pán)信息記錄質(zhì)量的標(biāo)準(zhǔn)；l ISO/IEC 10995-2008信息技術(shù).信息交換和儲(chǔ)存用數(shù)字記錄媒介.光學(xué)媒介檔案壽命的評(píng)估用試驗(yàn)方法；l 計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定(國(guó)家保密局2000年 發(fā)布)；l 端設(shè)備隔離部件安全技術(shù)要求(國(guó)家公安部2001年發(fā)布)；l 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于我國(guó)電子政務(wù)建設(shè)指導(dǎo)意見(jiàn)(國(guó)家信息化領(lǐng)導(dǎo)小組2002年頒布)；l GB 17895-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分

13、準(zhǔn)則；l GB/T 9387.2 1995信息處理系統(tǒng) 開(kāi)放系統(tǒng)互聯(lián)基本參考模型 第2部分 安全體系結(jié)構(gòu)；l GB 15834.1-1995 信息處理數(shù)據(jù)加密實(shí)體鑒別機(jī)制第1部分: 一般模型；l GB 4943-1995 信息技術(shù)設(shè)備的安全等。2、應(yīng)用時(shí)間戳需要解決的問(wèn)題1)登記接收時(shí)加入可信時(shí)間戳認(rèn)證服務(wù)，解決接收進(jìn)電子文件固化即接收登記文件的原始性問(wèn)題；2)在數(shù)據(jù)遷移備份時(shí)加入時(shí)間戳認(rèn)證服務(wù)，解決備份電子文件再次固化即備份文件憑證性問(wèn)題。3、應(yīng)用模式設(shè)計(jì)和選擇聯(lián)合信任時(shí)間戳服務(wù)中心時(shí)間戳簽發(fā)系統(tǒng)國(guó)家授時(shí)中心登記備份中心系統(tǒng)檔案局網(wǎng)站系統(tǒng)Web系統(tǒng)時(shí)間戳應(yīng)用系統(tǒng)登記備份系統(tǒng)立檔單位立檔單位系

14、統(tǒng)接收到立檔單位交來(lái)電子檔案時(shí)，通過(guò)在登記備份中心系統(tǒng)軟件中植入時(shí)間戳應(yīng)用系統(tǒng)模塊，連接國(guó)家授時(shí)中心提供時(shí)間戳簽發(fā)系統(tǒng)，提供聯(lián)合信任時(shí)間戳認(rèn)證服務(wù)，加蓋可信時(shí)間戳，加蓋可信時(shí)間戳的電子證書(shū)可通過(guò)檔案局網(wǎng)站系統(tǒng)為用戶提供下載及認(rèn)證服務(wù)。四、應(yīng)用作用1、登記備份的電子檔案的真實(shí)性(原始性)、完整性的保證和認(rèn)定。采用可信時(shí)間戳，其獲取的HASH值是電子文件或電子檔案的全息計(jì)算結(jié)果。通過(guò)HASH值與其唯一對(duì)應(yīng)的國(guó)家授時(shí)中心時(shí)間戳證書(shū)可直接驗(yàn)證原文的真實(shí)性和完整性。2、登記備份交接手續(xù)電子化登記備份電子檔案是信息網(wǎng)絡(luò)的產(chǎn)物，對(duì)其管理亦應(yīng)網(wǎng)絡(luò)化、電子化。目前在登記接收過(guò)程中，履行手續(xù)使用的電子簽名往往只是

15、在本部門(mén)的系統(tǒng)內(nèi)部有效，又由于簽名證書(shū)失效后無(wú)法認(rèn)證簽名有效性及有效簽署時(shí)間可人為修改等問(wèn)題，導(dǎo)致電子簽名不可信，所以存在對(duì)外難以被認(rèn)可的法律缺陷。在這種情況下，還需在紙上簽章辦理手續(xù)，這種情況顯然與網(wǎng)絡(luò)化和電子化的環(huán)境不配套。采用了可信時(shí)間戳，電子簽名具有了法律認(rèn)可的可信屬性，使得電子簽名的法律地位得到了保證，同時(shí)還可以實(shí)現(xiàn)登記電子檔案的自動(dòng)化，簡(jiǎn)化檢驗(yàn)過(guò)程、大幅度提高效率。3、檔案數(shù)字化后的真實(shí)性紙質(zhì)檔案的數(shù)字化加工獲得的檔案電子復(fù)制件不僅用于利用，還可以起到信息備份留存的作用。尤其是意外情況發(fā)生，使原件受損的情況下，電子復(fù)制件可以體現(xiàn)檔案原始信息?？尚艜r(shí)間戳可以對(duì)信息的真實(shí)性提供保證。4

16、、紙質(zhì)檔案數(shù)字備份信息的憑證性經(jīng)常困擾人們的問(wèn)題是，如何才能使紙質(zhì)檔案的電子復(fù)制件能具有代替原件的憑證作用。采用可信時(shí)間戳可以破解這個(gè)問(wèn)題。采用可信時(shí)間戳后，可以使這些電子復(fù)制件的憑證地位提升，真實(shí)性獲得法律認(rèn)可，使電子復(fù)制件具有與原件同等的法律效力。五、應(yīng)用方案本方案是針對(duì)電子檔案的登記備份過(guò)程中接收環(huán)節(jié)及數(shù)據(jù)遷移環(huán)節(jié)加入可信時(shí)間戳認(rèn)證服務(wù)，從而實(shí)現(xiàn)對(duì)已登記備份的電子檔案的有效控制和維護(hù)，保障電子檔案的完整性、有效性、真實(shí)性及可用性。（2）、方案說(shuō)明 1)數(shù)據(jù)量：目前數(shù)據(jù)年增量預(yù)計(jì)為6T左右，每年新增3000張檔案級(jí)光盤(pán)，本方案建議以60T數(shù)據(jù)容量設(shè)計(jì)。 2)現(xiàn)有環(huán)境：應(yīng)用系統(tǒng)網(wǎng)絡(luò)環(huán)境為專用

17、網(wǎng)絡(luò)，具有一定安全保密性。省檔案局已有因特網(wǎng)門(mén)戶網(wǎng)站系統(tǒng)，可在其上設(shè)計(jì)應(yīng)用。 3)方案描述： A：立檔單位（可選）： 綜述：通過(guò)多種方式申請(qǐng)TSA服務(wù)，覆蓋檔案產(chǎn)生、收集歸檔、數(shù)據(jù)處理、登記檢驗(yàn)所有環(huán)節(jié)，保證電子檔案的原始性及完整性。 具體實(shí)現(xiàn)方式如下： 從檔案產(chǎn)生開(kāi)始申請(qǐng)TSA，確認(rèn)檔案產(chǎn)生時(shí)間及原始性；通過(guò)專用接口程序收集、轉(zhuǎn)換、組織該電子檔案，再通過(guò)專線網(wǎng)專用時(shí)間戳接入服務(wù)器或時(shí)間戳申請(qǐng)終端對(duì)打包好的數(shù)據(jù)申請(qǐng)TSA，最后做登記前的檢驗(yàn)，作好移交登記準(zhǔn)備，并以在線或離線方式進(jìn)行電子檔案移交工作。 B：綜合檔案館： 綜述：通過(guò)間戳應(yīng)用系統(tǒng)申請(qǐng)TSA驗(yàn)證及再授時(shí)服務(wù)，覆蓋檔案接收檢驗(yàn)、數(shù)據(jù)接收

18、、登記備份、遷移轉(zhuǎn)換、提供利用及長(zhǎng)期保存所有環(huán)節(jié)，保證電子檔案的完整性及過(guò)程管理。 具體實(shí)現(xiàn)方式如下： 先對(duì)要接收的檔案進(jìn)行接收檢驗(yàn)，合格后開(kāi)始接收，接收完成時(shí)，可再申請(qǐng)TSA服務(wù)，確認(rèn)檔案接收時(shí)間及狀態(tài)，并給登記方提供認(rèn)證電子回執(zhí)；如需進(jìn)行再編輯，可在編輯后申請(qǐng)TSA服務(wù)，確認(rèn)檔案時(shí)間及狀態(tài)；在提供利用時(shí)也可申請(qǐng)TSA服務(wù)，確認(rèn)其時(shí)間及狀態(tài)。 在以上工作完成后，可按要求將該電子檔案轉(zhuǎn)入長(zhǎng)期保存流程，按在線存儲(chǔ)、離線備份及異地備份方式進(jìn)行長(zhǎng)期保存，同時(shí)申請(qǐng)TSA服務(wù)，通過(guò)按需進(jìn)行的TSA驗(yàn)證，確保長(zhǎng)期保存的電子檔案的原始性及完整性。4) 參考硬件配置（請(qǐng)補(bǔ)充）六、應(yīng)用意義1、進(jìn)一步嚴(yán)格控制檔案登記備份管理工作全過(guò)程采用可信時(shí)間戳后，電子文件和電子檔案的登記備份管理和控制會(huì)更加嚴(yán)密，強(qiáng)化對(duì)真實(shí)性(正確性)、完整性、可用性的保證。2、保證登記備份電子文件和電子檔案的安全性由于可信時(shí)間戳所依據(jù)的HASH值是40個(gè)字節(jié)的單向函數(shù)，它源于原件的全部信息，但是僅通過(guò)它又不可能獲知原文的任何內(nèi)容，加上合理選擇時(shí)間戳的應(yīng)用模式，所以對(duì)電子文件和電子檔案的安全和保密不會(huì)有任何不良影響。3、簡(jiǎn)化管理方法采用時(shí)間戳大大簡(jiǎn)化了保證電子文件和電子檔案真實(shí)性、完整性、可用性、安全性的多種管理措施。如，可以省略部分元數(shù)據(jù)，而不會(huì)造成不良影響。一些僅僅是針對(duì)真實(shí)性保證和認(rèn)定的元數(shù)據(jù)是可以被減少。在電子文件