可信数据保全系统的设计与实现

　　摘要：论文在分析现有电子商务平台中数据保全服务存在问题的基础上，提出构建一套安全可靠实用的可信数据保全系统，详细设计了系统的总结架构、实现模式和管理模式，从用户角度出发对数据保全服务涉及的保全数据处理、数据同步、数据转储和数据举证进行了详细分析，并设计出详细的业务流程。目前该系统已被某电子商务平台得到实际应用，能够为用户提供完整的数据可信证明、数据可靠保全、数据安全存储、数据有效管理和电子举证、责任认定服务。

　　关键词：PKI；时间戳；Web Service

　　中图分类号：TP391.1 文献标识码：A

　　1 引言

　　本文以国内电子商务平台和第三方信息安全保障机构合作的实际项目为背景，分析原有电子商务应用平台在数据保全服务方面存在的问题。根据当前信息化安全的需求及技术发展趋势，采用数字证书、电子签名、可信时间戳、分布式存储等技术，设计一套针对敏感数据和电子证据的采集、管理、查询、存储及验证的可信保全服务系统。同时面向责任认定机构提供合法、安全的电子证据，能够成为该电子商务平台中敏感数据托管、电子证据保全、司法鉴定和责任认定的重要服务手段，提高平台的社会公信力和市场竞争力。

　　2 现有电子商务平台的数据保全服务分析

　　随着数字证书在电子商务领域的不断应用，越来越多的关键业务数据使用了数字证书进行加密和签名等操作进行记录，这些技术很好的解决了电子商务平台的数据的真实性、不可抵赖性、防篡改性等问题，但同时由于很多业务平台的运营商本身也在参与实际业务，导致所存管数据在举证时产生法律价值缺失的问题。

　　一方面，我们的电子商务平台将传统的业务移植到了互联网的平台，并采用安全技术实现了平台的用户身份认证，电子数据传输性安全和真实性、防抵赖、防篡改、防伪造。

　　另一方面，由于本身电子商务平台对业务的参与甚至于获利，且在互联网上传输的数据信息本身的流动性、不稳定性及目前对数据信息的储存均以磁性介质为载体，以这种方式储存的数据信息内容很容易被删改且不留任何痕迹等特性，如果作为电子证据被出示，其内容的真实性难以被诉讼参与人认同，其法律效力无从保证。造成电子商务平台电子数据本身法律价值的缺失。

　　经过对原有传统电子商务平台进行分析后，可以发现原有平台存在以下主要问题：

　　（1）架构的不合理性

　　原有传统电子商务平台往往由于投资、运维的成本以及商业化运作等因素，造成大多数电子商务平台和客户之间是一种买卖双方的关系。而大量的电子数据保存在平台方，这就造成一旦产生纠纷，双方取证的不平等性和相关部门的取证很难保证电子证据的真实性、完整性、可靠性。

　　（2）信息安全技术水平参差不齐

　　原有传统电子商务平台由于开发水平、建设成本等原因，造成平台自身的安全状况各有不同。大多数会遇到密码安全问题、网上认证问题，电子数据的真实性、完整性、时效性问题等。

　　（3）电子数据的收集和保全不易

　　原有传统电子商务平台往往无法全面的收集电子数据以及对电子数据进行有效的保全。信息系统运行过程中产生的能够证明业务事实的电子数据，与传统数据不同，电子数据没有具体的形态，需借助计算机才能运行和重现，往往不能独立于计算机之外存在，具有复合性、高科技性和无形性等独特的特性。针对传统的数据收集保全手段存在着许多局限性，很难保证电子证据真实性、完整性、可靠性。

　　（4）电子数据的保全规则差异化

　　各行各业的电子商务平台对平台上敏感数据和关键信息理解的差异化，造成电子数据保全规则的差异化。电子数据保全的目的是应用于电子商务行为投诉证明和关键过程记录，由于保全规则的差异，往往无法保证互联网上电子数据的原始真实性（包含其内容、格式、隐含信息等全部信息组合记录）以及在传输和保管的整个过程中处于“保全”状态，不能被删除或者变更。

　　3 可信数据保全系统的设计

　　系统总体规划如图1所示，包含前置机系统、可信数据保全系统、时间戳服务系统。

　　前置机系统主要负责对接委托方的业务系统，完成前期数据采集工作。可信数据保全系统是关键主系统。前置机将数据同步给保全系统后，保全系统将数据安全存管。时间戳服务系统是辅助系统，主要负责为整个系统中需要获得时间戳服务的关键节点提供可信的时间戳服务。

　　3.1 可信数据保全系统架构

　　当下业务系统的复杂度日趋增大，对系统开发的要求也不断上升，系统的总体结构设计的难度和采用技术的要求也在随之不断上升。结构设计的重要性也日益显现。可信数据保全系统的系统设计主要基于PKI技术和Web Service基础之上。

　　可信数据保全系统是一个多层次面向服务的体系结构。利用JAVA的现成框架，可以充分利用Web Service灵活易用的优势。将系统架构分为四个层次，具体如图2所示。

　　（1）数据库层

　　数据库层是整个系统的最底层，其完成了系统所有数据的各类操作，包括数据的添加、删除、更新、插入等。可信数据保全系统将使用DB2数据库。根据实际的可信数据保全系统需求，将制作多个数据库表，包括角色表、用户表、委托方信息表、保全数据信息表等。通过这些表将相关信息进行分门别类的储存，并为实现数据相关操作奠定基础。

　　（2）数据访问层

　　数据访问层是负责向底层数据库发出各类操作的指令，同时接收数据库层的操作反馈结果，再提交给服务层。在设计的系统实现中，使用JDBC技术访问数据库。通过加载数据库驱动实现对数据库的链接和操作。

　　（3）服务层

　　系统服务层主要实现功能是通过业务逻辑和服务接口实现业务的主体功能。通过三层的软件架构设计，使得用户无需直接与数据库进行交互操作，而是通过服务层承上启下，实现了系统的各个功能逻辑处理，如系统管理、数据同步、获取时间戳服务等。

　　（4）业务接口层

　　业务接口层是系统直接提供面向用户服务的表现层。用户通过调用这一层发布的Web Service接口，实现异源程序之间互操作和信息交换，建立了基于消息交换的通信模型，建立基于消息交换的通信模型定义松散关联和文档驱动的通信。

　　通过上述四层的系统体系结构设计，系统具备有以下几点优势：

　　（1）适应性强

　　系统业务接口层和服务层采用Web Service技术，实现了跨平台跨语言的信息交换解决方案。通过简单的机制，使各个业务应用系统轻松与可信数据保全系统实现通信。

　　（2）可靠性高

　　通过增加了数据访问层，使得整个系统的核心数据库安全性大幅提升。

　　（3）系统性能优势

　　可信数据保全系统中使用了大量组件和面向对象、面向服务的程序设计思想，使得系统灵活、灵敏。而且系统中将大量的提交的可信文件采用独立的文件服务器存储，这样的分布式存储设计可以提高整体系统的性能。

　　（4）稳定性好

　　各个模块之间互相独立，灵活集成，使得整个系统的稳定性增加，大大降低了系统错误概率。

　　3.2 数据保全实现模式

　　可信数据保全系统调用逻辑架构如图3所示，主要是通过保全接口的调用，实现业务系统将数据提交可信数据保全系统，数据保全系统将通知回送业务系统，对于可信数据保全系统侧，回送分为查询和主动通知两种方式。

　　数据保全调用主要分两步进行：

　　第一步，调用数据保全服务平台提供的数据保全接口，将要保全的数据提交给数据保全服务平台，数据保全服务平台收到保全数据后会在将来的某个时候将数据发送到第三方具有法律效力的数据保全平台进行保全，因而业务系统提交保全数据后并不能立刻得知数据是否保全成功的结果，而要进行第二步的结果查询的动作；

　　第二步，获取数据保全的结果有2种方式，第1种方式就是业务系统调用数据保全服务平台提供的保全结果查询接口进行查询，第2种是业务系统提供一个保全结果处理接口，数据保全服务平台会在将数据发送到第三方平台成功后自动调用业务系统提供的结果处理接口，主动通知业务系统数据保全成功。

　　3.3 保全数据管理模式

　　（1）保全数据处理

　　前置应用系统部署在委托方网络内，对数据提交方不做认证。

　　数据保全业务委托方提交某一条需要保全的数据至前置系统，包括原文数据以及对应的检索关键字，前置系统对数据原文进行提取摘要，同时加盖时间戳，将相关的证书、数据提交到时间戳服务器，同步返回一个时间戳回包，其中包括时间戳流水等信息，前置系统将摘要和时间戳流水记录到数据库，返回给委托方业务系统一个保全业务流水号，此时该条保全业务数据的状态为“已提交”。

　　前置系统根据从主体端系统提取到的同步参数进行调度，在任意调度触发的时刻，将该时刻前置系统所有“已提交”状态的保全数据进行同步操作。

　　数据保全业务委托方提交某一条需要保全的数据至前置系统，处理完成后，该条保全业务数据的状态为“已提交”，所有“已提交”状态的保全数据将会根据一定的处理节奏策略提交至主体端的系统，根据配置文件的配置，选择提交该条数据的摘要还是原文（（明文只保留接口，不做实现），系统对该条数据的摘要或明文进行签名，返回签名并在前置系统保存，前置系统将该条保全业务的状态变为“已受理”。

　　同步流程图如图5所示。

　　（2）保全数据转储

　　转储逻辑：选取某一批保全数据，选取逻辑类似与保全数据查询，先将保全数据表剪切到保全数据备份表（同一事务，保证数据不丢失），然后将保全数据备份表中的数据导出成文件另存。

　　原文的转储：原文内容由于容量较大，采用存储在OS文件系统的方式，在保全数据中记录对应的路径，因此，系统不提供原文的转储采用直接从文件系统复制的方式。

　　导入逻辑：导入到另外的历史库，进行举证。

　　数据时效性：前置机上满6个月、“已受理”的数据自动删除。

　　保全数据同步参数获取：前置系统每隔一小时（每次同步数据之后）从主体端系统取一次保全数据同步参数，获取前先判断状态，状态为“已下发”的数据不进行获取。

　　（3）保全数据举证

　　保全数据举证流程由委托方业务员填写系统申请，发起请求，由受托方业务员在主体系统中操作，举证的结果同样通过系统外途径返回委托方业务员。

　　举证业务只能举证保全业务记录状态为“已受理”的数据，而无法举证记录状态为“已提交”的业务数据。一般“已提交”的数据会在24小时内变成“已受理”状态。

　　委托方提供流水号、保全数据检索关键字、保全数据原文，提交到受托方，受托方将数据提交到主体系统，主体系统反馈举证的结果，最终返回给委托方。

　　具体业务流程如图6所示。

　　3.4 可信数据保全系统的应用

　　可信数据保全系统主要为国内的电子商务平台提供数据保全服务。主要应用于采购系统和招投标系统的一些关键数据（如采购合同、投标书、业务单据等）的保全。

　　将前置机部署至各个需要使用保全系统的业务系统中，业务系统申请获得各自的数字证书。调用前置机的web service接口，传送数据采用数字签名、数字信封技术进行处理。前置机获得数据后进行处理，数据附加时间戳。前置机数据同样采用数字签名、数字信封处理上送可信数据保全系统。文件数据存储至文件服务器，数字签名、时间戳等数据存储在系统数据库中，这样可以保证系统的高效性、安全性。

　　平台采用了可信数据保全系统后，使得以前线下业务可以安全可靠的迁移到线上。采购、招投标系统更加体现了公开、公平、公正。数字证书、时间戳服务都是第三方认证机构提供的，使系统更具公信力。

　　4 结束语

　　可信数据保全系统为电子商务平台的各使用方提供了一套完整的数据可信证明、数据可靠保全、数据安全存储、数据有效管理和电子举证、责任认定服务。目前，该系统已在国内某知名电子商务交易平台进行了应用，采用JAVA语言开发，采用四层架构的B/S架构技术，具有较强的响应速度，保证了数据和系统的安全性和可扩展性，提供了简易方便的管理手段，同时降低了后期的维护升级成本。通过Web Service技术实现进行系统间信息交互，采用MySQL数据库作为数据支撑。系统中数据加密采用数字信封技术，采用数字签名技术确保数据的防抵赖、防伪造，采用时间戳技术确保时间的有效性，操作的真实性。

　　可信数据保全系统对于电子商务平台的应用有着重要的使用价值，对平台的可信性、可靠性进行了有效提升，当出现法律纠纷时能够面向责任认定机构提供合法、安全的电子签名证据和可靠的数据保全服务。特别是应用于采购系统和招投标系统的一些关键数据（如采购合同、投标书、业务单据等）的保全方面，发挥了重要作用。查询鉴证效果如图7所示。

　　综上，本文针对可信数据保全系统的系统设计和系统实现进行了较为全方位的分析和描述，使用数字信封技术、数字签名技术、时间戳技术、加解密技术等PKI相关密码技术，使得系统数据更加安全、可靠、真实。在系统设计过程中，所采用的电子认证相关技术完全自主研发，系统中采用的时间戳服务模块在设计上参考了国家标准《公钥密码基础设施应用技术体系时间戳接口规范》，其他模块也参照相对应的国际和国家有关标准。系统覆盖了可信数据保全、托管、举证的所有环节，包括数据保全委托申请、到保全证明的生成，从可信数据的采集到委托保全管理，从可信数据的举证申请到举证证明生成等。

　　该可信数据保全系统，符合国家政策法规要求，为电子商务、电子政务、社会公共服务等互联网应用中数据真实可信、电子证据保全、敏感数据托管和司法举证、责任认定的提供了重要服务手段，完善了电子商务各交易方网络信任服务体系。随着我国《电子商务法》的颁布实施，可信数据保全系统将为创建公平、公正、合法的互联网电子商务发展环境提供有力的支撑和保障。

　　参考文献

　　[1] 谢冬青，冷健.PKI原理与技术[M].北京：清华大学出版社，2004.

　　[2] 中国互联网络发展状况统计报告（2013年1月），中国互联网络信息中心，2013.

　　[3] Andrew Nash，Derek Brink，Bill Duane，PKI： Implementing and Managing E-security[M]， New York，McGraw-Hill Companies，2001.

　　[4] Andrew Nash，Internet X.509 Public Key Infrasturcture： Certificate and CRL Profile，1999.

　　[5] C.Adams，S.Lloyd著，冯登国等译，公开密钥基础设施——概念、标准和实施[M].北京：人民邮电出版社，2001.

　　[6] 王兵，电子商务纠纷中的电子证据问题[D].重庆邮电大学，2011，文献标识码：A ，文章编号：1671—1122(2011)04—0054—02.

　　[7] Kevin Roebuck，Public Key Infrastructure (PKI)： High-impact Strategies - What You Need to Know： Definitions，Adoptions，Impact，Benefits，Maturity，Vendors[M]，Emereo Pty Limited，2011.

　　[8] Richard Sinn，Software Security Technologies，Course Technology，2011.

　　[9] Joshua Davies，Implementing SSL/Tls Using Cryptography and Pki[M]，JOHN WILEY & SONS INC，2011.

　　[10] 关振胜.公钥基础设施PKI与认证机构CA[M].北京：电子工业出版社，2002.

　　[11] 虞歌.PKI体系的分析[J].现代计算机，2003，267(7).

　　[12] 杨雪涛.基于PKI的安全电子邮件系统的设计与实现[D].四川大学，2003.

　　[13] 罗龙.基于PKI体系的CA系统[D].海南大学，2006.

　　[14] 蒋义军.基于PKI的信息安全技术研究与开发[D].四川：电子科技大学，2003.

　　[15] 张世永.网络安全原理与应用[M].北京：科学出版社，2003.

　　[16] Java加解密的基础，http：//victor-jan.iteye.com/blog/823553.

　　[17] 徐迎晓.Java安全性编程实例[M].北京：清华大学出版社，2003.

　　[18] Nick Galbreath，Cryptography for Internet and Database Applications： Developing Secret and Public Key Techniques with Java[M]，John Wiley & Sons Inc，2002.

　　[19] 蒋一新.Web Services密钥管理技术研究[D].上海交通大学，2005.

　　[20] 罗旭斌.智能卡在PKI中的应用[D].电子科技大学，2001.

　　[21] 网星工作室，伊晓强.J2EE全实例教程[M].北京：清华大学出版社，2011.

　　[22] 薛金蓉，张洪斌.可信时间戳的网络服务器取证技术研究[J].北京理工大学网络攻防对抗技术实验室，电子科技大学学报，第36卷 第6期，2007.12.

　　（上海市数字证书认证中心有限公司，上海 200080）

　　祁凯

关注读览天下微信， 100万篇深度好文， 等你来看……