可信時間戳在檔案應用方案20120723

1、可信時間戳應用于登記備份中心解決方案 可信時間戳應用于檔案登記備份中心解決方案聯(lián)合信任時間戳服務中心二一二年七月一、建設背景根據(jù)國家檔案局組織論證通過的聯(lián)合信任時間戳應用于檔案的方案論證報告，聯(lián)合信任時間戳是我國目前唯一由國家授時中心負責建設和保障的可信時間戳。對確保檔案的法律憑證作用；確保重要檔案信息安全等具有極大的現(xiàn)實意義。檔案登記備份管理工作中需要采取一系列措施來保證其真實性、完整性、憑證性和安全性?？尚械拇胧┗蚍桨敢延卸喾N，不過有的依賴于復雜的監(jiān)控過程，有的依賴于繁復的信息跟蹤處理，有的只能間接認定，還有的方法簡便但又不夠嚴密。本方案從國家授時中心聯(lián)合信任可信時間戳的技術(shù)原理和使用機制

2、入手，對其在電子檔案登記備份中的作用和應用特點進行分析和研究，力求設計出一套可行的應用模式、便捷而又符合法規(guī)要求的方案。二、可信時間戳1、可信時間戳定義可信時間戳是由國家授時中心聯(lián)合信任時間戳服務中心簽發(fā)的一個能證明數(shù)據(jù)電文(各種電子文件和電子數(shù)據(jù))在一個時間點是已經(jīng)存在的、完整的、可驗證的，具備法律效力的電子憑證（以下簡稱TSA）；是解決中華人民共和國電子簽名法中對數(shù)據(jù)電文原件形式要求的必要技術(shù)保障。我國權(quán)威的時間戳服務中心()是由國家法定授時機構(gòu)(國家授時中心)建設，按照有關(guān)標準和規(guī)范運營，對各行業(yè)提供權(quán)威可信時間戳服務。2、可信時間戳的產(chǎn)生根據(jù)國際時間戳標準RFC31

3、61，可信時間戳是將用戶的電子數(shù)據(jù)的Hash值封裝成可信時間戳請求發(fā)送到時間戳服務中心，在此基礎(chǔ)上綁定由國家權(quán)威時間機構(gòu)保障、不可更改的時間信息并通過時間戳服務中心簽發(fā)，產(chǎn)生不可偽造的時間戳文件。通過電子數(shù)據(jù)及對應可信時間戳文件有效證明電子數(shù)據(jù)的完整性及產(chǎn)生時間。圖一 可信時間戳產(chǎn)生原理3、 可信時間戳的法律效力可信時間戳由國家法定時間機構(gòu)，即國家授時中心建設的時間戳服務中心簽發(fā)，以國家授時中心在時間上的法定地位來保障其簽發(fā)的時間戳能證明數(shù)據(jù)電文存在的時間和內(nèi)容的完整。區(qū)別于用戶自建時間戳系統(tǒng)或其他機構(gòu)產(chǎn)生的時間戳，這些時間戳，因其存在時間被篡改或重新簽發(fā)時間戳等可能性，會導致法律瑕疵。數(shù)據(jù)電

4、文經(jīng)過國家授時中心時間戳認證，滿足其符合中華人民共和國電子簽名法規(guī)定的數(shù)據(jù)電文原件形式的要求。國家授時中心權(quán)威簽發(fā)的時間戳已經(jīng)得到了司法的認可，是具有法律效力的第三方可信時間戳。圖二 我國可信時間戳服務體系4、可信時間戳的基本作用1) 是解決電子簽名法中對數(shù)據(jù)電文(電子文件)滿足法律法規(guī)要求的原件形式的有效手段其法律依據(jù)見中華人民共和國電子簽名法第二章數(shù)據(jù)電文第五條中的規(guī)定：“符合下列條件的數(shù)據(jù)電文，視為滿足法律、法規(guī)規(guī)定的原件形式要求：(一)能夠有效地表現(xiàn)所載內(nèi)容并可供隨時調(diào)取查用；(二)能夠可靠地保證自最終形成時起，內(nèi)容保持完整、未被更改。但是，在數(shù)據(jù)電文上增加背書以及數(shù)據(jù)交換、儲存和顯示

5、過程中發(fā)生的形式變化不影響數(shù)據(jù)電文的完整性?！备鶕?jù)可信時間戳的基本功能，可信時間戳符合中華人民共和國電子簽名法第二章關(guān)于數(shù)據(jù)電文原件形式的要求，能有效證明數(shù)據(jù)電文(電子文件和電子檔案)產(chǎn)生的時間及內(nèi)容的完整性，保證數(shù)據(jù)電文的客觀性、真實性，應用于數(shù)據(jù)電文長期歸檔、保存、驗證、及法律證據(jù)舉證。2)解決電子簽名的有效性中華人民共和國電子簽名法中對電子簽名的定義為：“電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)。本法所稱數(shù)據(jù)電文，是指以電子、光學、磁或者類似手段生成、發(fā)送、接收或者儲存的信息?！备鶕?jù)已經(jīng)頒布實施的國標GB/T25064-2010規(guī)定，電

6、子簽名格式有如下幾種：l 基本電子簽名(BES)基本電子簽名方式(BES)是指包括了簽名基本數(shù)據(jù)信息的電子簽名 。 采用基本電子簽名方式將存在以下問題：在現(xiàn)時的公鑰基礎(chǔ)建設中，采用電子簽名技術(shù)來確保簽署人的身份和驗證數(shù)據(jù)是否篡改。然而綜合眾多現(xiàn)實案例中出現(xiàn)的情形，采用基本電子簽名方式的不足之處在于“數(shù)字簽名的偽造”，由于數(shù)字證書有效期為一年，且用戶可以隨時吊銷數(shù)字證書，數(shù)字證書失效后，無法確認電子簽名的有效性，基本電子簽名一般只用在通訊過程中的身份認證和防止數(shù)據(jù)在通訊過程被篡改，電子數(shù)據(jù)的長期歸檔保存不能使用基本簽名來實現(xiàn)抗抵賴特性。l 帶時間戳的電子簽名(ES-T)根據(jù)標準電子簽名方式，其在

7、基本電子簽名的基礎(chǔ)上添加了時間戳，其目的是開始在長時間的有效性上提供一定程度的保證。當某些驗證數(shù)據(jù)的安全性受到威脅的時候，電子簽名上的時間戳可保護簽名的有效性，只要這些安全性威脅是在簽名產(chǎn)生以后發(fā)生的。時間戳可有效證明電子簽名是在該安全威脅產(chǎn)生前創(chuàng)建的，使電子簽名仍可保持其有效性。l 帶歸檔時間戳的電子簽名各種算法、密鑰、加密數(shù)據(jù)、加密函數(shù)都會隨著時間的增加而逐漸降低其安全性，各種證書也會隨著時間而紛紛失效，如果要長期保存一個電子簽名，就需要在這些成分的安全性降低前對整個電子簽名加蓋一次時間戳。新加的時間戳盡可能使用比老時間戳更強的算法和密鑰。這類額外添加的驗證數(shù)據(jù)稱為歸檔驗證數(shù)據(jù)?？紤]到時間

8、戳所使用的證書、算法和密鑰也會隨著時間而失效或降低安全性，在這種情況發(fā)生前，必須加蓋新的時間戳。因此，一個ES-A可能嵌套了多重時間戳。 綜上電子簽名的幾種形式上看，電子簽名證實了簽署人的身份。但是，如果文件沒有一個準確可靠的簽署時間，即使附有電子簽名的文件也有可能不被承認，而起不到抗抵賴的作用?？尚艜r間戳能為電子簽名提供確實的簽署時間，保證電子簽名的有效性，這樣既能證實簽署人的身份，亦能指出準確的簽署時間，使人無從抵賴或否認，因此可信時間戳是電子簽名有效性的基本保障。5、 聯(lián)合信任時間戳的已有應用國家授時中心聯(lián)合信任時間戳服務中心于2007年試運行，2008年初正式對外提供服務。根據(jù)國家可信

9、時間戳服務體系規(guī)劃，采取重點領(lǐng)域優(yōu)先服務的原則，在我國司法、知識產(chǎn)權(quán)保護、金融保險、醫(yī)療衛(wèi)生、電子商務等領(lǐng)域已經(jīng)開展了相應的服務。如在我國衛(wèi)生領(lǐng)域，由衛(wèi)生部于2010年11月組織專門的專家論證，在我國醫(yī)療衛(wèi)生行業(yè)進行推廣應用，并出臺了電子病歷分級評級標準，其中明確了使用國家授時中心聯(lián)合信任時間戳服務中心的可信時間戳；在司法領(lǐng)域已經(jīng)在法院的訴前電子證據(jù)保全、公安的電子物證固化中使用，2008年已經(jīng)由使用聯(lián)合信任時間戳作為證據(jù)在司法中使用的判例，被法院采信。國際上，一些國家和地區(qū)已經(jīng)在知識產(chǎn)權(quán)保護、電子政務和電子檔案管理中正式啟用了可信時間戳的應用。如美國已經(jīng)在護照簽發(fā)、個人健康電子記錄、建設項目

10、電子檔案管理等領(lǐng)域啟用了時間戳的應用，及基于EPS的電子郵戳服務。對電子郵件、電子政務、電子商務等提供數(shù)字簽名、加蓋時間戳、保證內(nèi)容安全、為日后查驗提供憑據(jù)等服務，從而確保信息文件傳遞內(nèi)容的真實、可信、有據(jù)可查。1998年美國頒布的跨世紀千年版權(quán)法DMCA明確了相關(guān)技術(shù)手段已經(jīng)被納入了版權(quán)保護的應用范疇，明確了使用數(shù)字簽名技術(shù)、數(shù)字時間戳技術(shù)、身份驗證、防火墻技術(shù)和CA認證等措施對檔案館的檔案保護提供技術(shù)支持。我國澳門地區(qū)也已啟動了時間戳的社會化服務。三、應用模式1、方案設計遵循或參考的系列法規(guī)及標準規(guī)范l 中華人民共和國檔案法；l 中華人民共和國電子簽名法；l ISO 14721-2003O

11、AIS 空間數(shù)據(jù)和信息傳遞系統(tǒng)-開放檔案信息系統(tǒng)參考模型；l GB/T 18894電子文件歸檔與檔案管理規(guī)范(修訂報批稿)；l 電子檔案登記與接收辦法(報批稿)；l 數(shù)字檔案館建設指南(國家檔案局2009年發(fā)布)l 關(guān)于開展電子文件和數(shù)字檔案登記備份工作的通知l DA/T 46-2009 文書類電子文件元數(shù)據(jù)方案；l DA/T 4802009 基于XML的電子文件封裝規(guī)范；l DA/T 電子文件元數(shù)據(jù)基本集(報批稿)；l DA/T 電子公文文檔一體化業(yè)務流程管理規(guī)范(征求意見稿)；l DA/T22-2000 歸檔文件整理規(guī)則；l GB/T 17678.1-1999 CAD電子文件光盤存儲、歸檔

12、與檔案管理要求 第一部分：電子文件歸檔與檔案管理；l GB/T 38-2008 電子文件歸檔光盤技術(shù)要求和應用規(guī)范(征求意見稿)；l ISO 9660、ISO 10149關(guān)于CDVCD光盤信息記錄質(zhì)量的標準；l ISO/IEC 10995-2008信息技術(shù).信息交換和儲存用數(shù)字記錄媒介.光學媒介檔案壽命的評估用試驗方法；l 計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定(國家保密局2000年 發(fā)布)；l 端設備隔離部件安全技術(shù)要求(國家公安部2001年發(fā)布)；l 國家信息化領(lǐng)導小組關(guān)于我國電子政務建設指導意見(國家信息化領(lǐng)導小組2002年頒布)；l GB 17895-1999計算機信息系統(tǒng)安全保護等級劃分

13、準則；l GB/T 9387.2 1995信息處理系統(tǒng) 開放系統(tǒng)互聯(lián)基本參考模型 第2部分 安全體系結(jié)構(gòu)；l GB 15834.1-1995 信息處理數(shù)據(jù)加密實體鑒別機制第1部分: 一般模型；l GB 4943-1995 信息技術(shù)設備的安全等。2、應用時間戳需要解決的問題1)登記接收時加入可信時間戳認證服務，解決接收進電子文件固化即接收登記文件的原始性問題；2)在數(shù)據(jù)遷移備份時加入時間戳認證服務，解決備份電子文件再次固化即備份文件憑證性問題。3、應用模式設計和選擇聯(lián)合信任時間戳服務中心時間戳簽發(fā)系統(tǒng)國家授時中心登記備份中心系統(tǒng)檔案局網(wǎng)站系統(tǒng)Web系統(tǒng)時間戳應用系統(tǒng)登記備份系統(tǒng)立檔單位立檔單位系

14、統(tǒng)接收到立檔單位交來電子檔案時，通過在登記備份中心系統(tǒng)軟件中植入時間戳應用系統(tǒng)模塊，連接國家授時中心提供時間戳簽發(fā)系統(tǒng)，提供聯(lián)合信任時間戳認證服務，加蓋可信時間戳，加蓋可信時間戳的電子證書可通過檔案局網(wǎng)站系統(tǒng)為用戶提供下載及認證服務。四、應用作用1、登記備份的電子檔案的真實性(原始性)、完整性的保證和認定。采用可信時間戳，其獲取的HASH值是電子文件或電子檔案的全息計算結(jié)果。通過HASH值與其唯一對應的國家授時中心時間戳證書可直接驗證原文的真實性和完整性。2、登記備份交接手續(xù)電子化登記備份電子檔案是信息網(wǎng)絡的產(chǎn)物，對其管理亦應網(wǎng)絡化、電子化。目前在登記接收過程中，履行手續(xù)使用的電子簽名往往只是

15、在本部門的系統(tǒng)內(nèi)部有效，又由于簽名證書失效后無法認證簽名有效性及有效簽署時間可人為修改等問題，導致電子簽名不可信，所以存在對外難以被認可的法律缺陷。在這種情況下，還需在紙上簽章辦理手續(xù)，這種情況顯然與網(wǎng)絡化和電子化的環(huán)境不配套。采用了可信時間戳，電子簽名具有了法律認可的可信屬性，使得電子簽名的法律地位得到了保證，同時還可以實現(xiàn)登記電子檔案的自動化，簡化檢驗過程、大幅度提高效率。3、檔案數(shù)字化后的真實性紙質(zhì)檔案的數(shù)字化加工獲得的檔案電子復制件不僅用于利用，還可以起到信息備份留存的作用。尤其是意外情況發(fā)生，使原件受損的情況下，電子復制件可以體現(xiàn)檔案原始信息?？尚艜r間戳可以對信息的真實性提供保證。4

16、、紙質(zhì)檔案數(shù)字備份信息的憑證性經(jīng)常困擾人們的問題是，如何才能使紙質(zhì)檔案的電子復制件能具有代替原件的憑證作用。采用可信時間戳可以破解這個問題。采用可信時間戳后，可以使這些電子復制件的憑證地位提升，真實性獲得法律認可，使電子復制件具有與原件同等的法律效力。五、應用方案本方案是針對電子檔案的登記備份過程中接收環(huán)節(jié)及數(shù)據(jù)遷移環(huán)節(jié)加入可信時間戳認證服務，從而實現(xiàn)對已登記備份的電子檔案的有效控制和維護，保障電子檔案的完整性、有效性、真實性及可用性。（2）、方案說明 1)數(shù)據(jù)量：目前數(shù)據(jù)年增量預計為6T左右，每年新增3000張檔案級光盤，本方案建議以60T數(shù)據(jù)容量設計。 2)現(xiàn)有環(huán)境：應用系統(tǒng)網(wǎng)絡環(huán)境為專用

17、網(wǎng)絡，具有一定安全保密性。省檔案局已有因特網(wǎng)門戶網(wǎng)站系統(tǒng)，可在其上設計應用。 3)方案描述： A：立檔單位（可選）： 綜述：通過多種方式申請TSA服務，覆蓋檔案產(chǎn)生、收集歸檔、數(shù)據(jù)處理、登記檢驗所有環(huán)節(jié)，保證電子檔案的原始性及完整性。 具體實現(xiàn)方式如下： 從檔案產(chǎn)生開始申請TSA，確認檔案產(chǎn)生時間及原始性；通過專用接口程序收集、轉(zhuǎn)換、組織該電子檔案，再通過專線網(wǎng)專用時間戳接入服務器或時間戳申請終端對打包好的數(shù)據(jù)申請TSA，最后做登記前的檢驗，作好移交登記準備，并以在線或離線方式進行電子檔案移交工作。 B：綜合檔案館： 綜述：通過間戳應用系統(tǒng)申請TSA驗證及再授時服務，覆蓋檔案接收檢驗、數(shù)據(jù)接收

18、、登記備份、遷移轉(zhuǎn)換、提供利用及長期保存所有環(huán)節(jié)，保證電子檔案的完整性及過程管理。 具體實現(xiàn)方式如下： 先對要接收的檔案進行接收檢驗，合格后開始接收，接收完成時，可再申請TSA服務，確認檔案接收時間及狀態(tài)，并給登記方提供認證電子回執(zhí)；如需進行再編輯，可在編輯后申請TSA服務，確認檔案時間及狀態(tài)；在提供利用時也可申請TSA服務，確認其時間及狀態(tài)。 在以上工作完成后，可按要求將該電子檔案轉(zhuǎn)入長期保存流程，按在線存儲、離線備份及異地備份方式進行長期保存，同時申請TSA服務，通過按需進行的TSA驗證，確保長期保存的電子檔案的原始性及完整性。4) 參考硬件配置（請補充）六、應用意義1、進一步嚴格控制檔案登記備份管理工作全過程采用可信時間戳后，電子文件和電子檔案的登記備份管理和控制會更加嚴密，強化對真實性(正確性)、完整性、可用性的保證。2、保證登記備份電子文件和電子檔案的安全性由于可信時間戳所依據(jù)的HASH值是40個字節(jié)的單向函數(shù)，它源于原件的全部信息，但是僅通過它又不可能獲知原文的任何內(nèi)容，加上合理選擇時間戳的應用模式，所以對電子文件和電子檔案的安全和保密不會有任何不良影響。3、簡化管理方法采用時間戳大大簡化了保證電子文件和電子檔案真實性、完整性、可用性、安全性的多種管理措施。如，可以省略部分元數(shù)據(jù)，而不會造成不良影響。一些僅僅是針對真實性保證和認定的元數(shù)據(jù)是可以被減少。在電子文件