基于量子密码技术的电子档案离线状态下安全防护实现_任志勇.pdf

档案信息化 ARCHIVES INFORMATION-141-基于量子密码技术的电子档案离线状态下安全防护实现*任志勇 梅启梁 徐柯（蒲城清洁能源化工有限责任公司 蒲城 715500）摘 要：随着数字档案馆（室）系统及数字资源建设的不断深入，我们在享受电子档案应用管理过程中所带来便利的同时，也面对着重要数据、集约数据的信息安全隐患。档案系统所面向的用户群体较为多元，如业务人员、调档请求人员、信息维护人员、临时访问授权人员等，且业务分类也多有不同，如授权访问、授权流转、授权打印、授权刻录等。此外，虽然目前很多单位已实施网络安全等级保护，但对于电子档案下载后离线状态时的安全问题并未得到有效解决，离线后非法复制、非法传阅、非授权访问控制等问题无法从电子档案系统本身及管理体制进行制约管控。本文介绍了与档案系统深度集成、以保护终端数据为主要目的电子文件安全保护子系统工作原理，采用了量子密码技术针对上述问题设计出可行的电子文件离线状态安全解决方案，并在蒲洁能化数字档案馆建设中进行了具体实践。关键词：电子档案；离线状态；安全防护；量子密码中图分类号：G270 文献标识码：A 文章编码：1005-9652(2022)04-0141-0060 引言电子档案已成为政府机构、企事业单位日常使用以及长期保存的重要信息载体。我们在享受电子档案带来便利的同时，应对电子档案的安全进行全面、有效的管控。尤其是科研部门的敏感科研资料、政府机构的重要公文、企事业单位的财务及业务报表更是需要给予特别保护的重要电子文件1。电子档案系统通用功能要求（GB/T39784-2021）对安全方面提出了技术要求：“应根据需要采取一定的技术方法，保障电子档案安全，防止非授权访问”。随着电子档案系统应用的发展与普及，档案系统的信息安全保障也愈发急迫，电子档案数据的离线安全问题尤为突出。当允许利用者将电子档案从电子档案系统中下载到本地后该如何继续执行档案系统的既有权限策略，如可控制下载后电子档案的浏览次数、阅读期限、控制打印等，这正是本文需要讨论和解决的问题。1 档案系统终端安全风险分析档案信息系统典型应用结构主要包括：档案系统客户端、档案系统服务端、业务系统接口、基础网络及存储系统等组成部分。针对上述场景分析可以得出，档案信息系统的主要风险包括了终端数据、应用服务、接口服务、网络传输及数据存储等风险点。因此，档案管理系统的数据安全可归纳为两大风险，*【作者简介】任志勇（1977-），男，汉族，陕西千阳人，中级职称（电子与通信），蒲城清洁能源化工有限责任公司，研究方向：煤化工企业信息化建设与应用及数字化智能化转型；梅启梁（1980-），男，汉族，安徽郎溪人，中级职称（通信工程），蒲城清洁能源化工有限责任公司，研究方向：煤化工企业信息化建设与应用；徐柯（1990-），女，汉族，陕西蒲城人，初级职称（档案管理），蒲城清洁能源化工有限责任公司，研究方向：煤化工企业档案信息化建设。2022 年第 4 期 总第 264 期-142-SHANXI ARCHIVES即电子档案系统本身存在的安全风险和离线时档案数据的安全管控风险。电子档案系统在部署应用后所面临的多节点环境使得其风险点随之增加，但通过多种安全技术手段（如认证、授权、加解密、防抵赖、防篡改等）进行防护，基本还在可控范围内。而终端侧所面临的风险点虽然少，但由于离线数据与电子档案系统剥离，导致该风险并不完全可控。当终端离线时，服务器不能对终端上的电子文件数据进行安全保护。离线数据风险点少，但管控困难，不易解决。如终端存在以下风险情形：（1）介质丢失或被篡改。保存电子文件的移动存储介质丢失或被篡改，导致电子文件泄漏、破坏。（2）文件非授权访问。非授权用户对电子文件进行非授权的访问操作，导致电子文件内容泄漏。（3）文件非授权扩散。用户对电子文件执行非授权的打印、复制等操作，导致文件非授权扩散。（4）离线终端不受服务器安全控制。当终端离线时，服务器不能对终端上的电子文件数据进行安全保护。上述风险，只要出现一种情形，都可能造成数据泄露的可能，并且不易被发现。2 现有档案系统终端安全的局限性根据笔者调研，目前市场上的电子档案系统在终端安全方面往往存在以下安全问题：第一种情况，当电子文件下载后没有任何安全保护措施。即在电子文件下载后基本处于失控状态，如可以任意被复制、打印输出、对外发送电子邮件等。如果这是一个带有一定敏感性的电子文件的话，后果不堪设想。第二种情况，采用独立的电子文档安全管理系统作为终端安全防护手段。即在终端虽然采取了电子文件防扩散的安全措施，如对下载的电子文件进行了加密解密文件的方式，虽然一旦这个文件不小心泄露了，在传输到其它接收者的过程中是安全的，一旦文件被正常解密使用之后，被还原的文件就相当于失去了保护控制，无法继续保证信息的后续安全2；同时，这样的系统未能执行电子档案管理系统的安全策略，如下载后的阅读次数受限、不许打印等，失去终端安全防护的意义。第三种情况，采用数字版权管理（DRM）系统技术来控制客户端电子文件的授权使用。数字版权管理是对数字媒体知识产权保护的一系列软硬件技术的结合，将用户的解密密钥同本地计算机硬件相结合，从而保证数字媒体内容在其生命周期内被合法使用，数据加密和防拷贝是数字版权管理的核心技术，DRM 的关键技术是通过加密锁定、限制内容的使用和分发，达到防止对内容的无授权使用和复制3。但DRM 方案有其局限性，即要求客户端与服务端始终保持着连接状态。这种应用方式无法满足电子档案从电子档案系统下载后更细粒度的权限管理要求，因为下载利用时无法保证客户端与授权服务端始终在同一个网域下。3 电子文件终端保护系统工作原理为了确保终端电子档案的安全，需要研发与电子档案系统深度集成的、以保护终端数据为主要功能的电子文件安全保护子系统。该子系统采用服务端和安全客户端二部分。通过电子文件保护子系统服务端与电子档案系统进行电子文件数据对接，当客户端请求对电子文件数据访问时系统进行用户识别和加、解密处理，并继承电子文件的用户操作权限策略，以保护电子文件在用户主机使用时的安全性。服务端支持机构统一 CA 标识信息认证，并对使用电子文件的用户身份标识与电子档案系统交互用户信息对比验证，并将验证结果反馈给客户端。客户端与服务端进行用户身份识别和策略交互，取得合法用户密钥和电子文件的授权策略并执行。档案信息化 ARCHIVES INFORMATION-143-客户端与电子档案系统进行数据交互时，由服务端对电子文件进行标记用户及权限的加密保护后传输给客户端，客户端在安全环境下依据安全策略对电子文件进行操作，操作行为被记录和保存。考虑到档案系统更侧重于数据安全本身，本方案通过量子通信技术为基础，采用量子真随机4作为原始密钥，结合量子云控系统对密钥进行分发、应用及管理，并提供统一安全服务接口与电子档案系统相结合，实现电子档案在身份认证、授权管理及离线数据安全防护等方面的安全保障。将量子通信技术应用到电子档案实际业务数据安全当中，不仅解决了离线数据安全风险问题，更是将以量子真随机为基础的高质量密钥创新性地应用到实际业务当中。4 量子密码技术在档案系统中的应用4.1 量子密码技术特性2022年5月1日，国家密码管理局发布的GM/T 0108-2021 诱骗态BB84量子密钥分配产品技术规范和 GM/T 0114-2021诱骗态 BB84 量子密钥分配产品检测规范两项量子密码国家标准开始实施，这将大大推动量子密码技术在相关行业的推广应用。量子真随机源于微观物理学真随机属性，相比于伪随机密钥和传统噪声源随机密钥，量子密钥的随机性由量子物理理论保障，产生的随机数经过物理熵理论严格证明，满足国密随机性检测规范5。电子文件安全保护子系统结合量子密钥和加密算法，可以保障电子文件传输、存储和终端的安全。同时，该系统涉及在签名、验证等过程中所需要用的随机数，使用的也是量子随机数。4.2 基于量子密码技术的电子文件安全保护系统量子云控系统完成对量子（随机数）密钥的存储、管理、分配等密钥生命周期管理，量子随机数是由量子云控系统中的量子随机源产生。量子密码应用服务以量子云控系统为基础为电子档案系统提供身份认证及加解密等安全服务。量子云控系统是集身份认证和加解密于一体的安全平台，采用量子安全 U盾和量子安全芯片等设备，通过与量子密钥源的配合，把量子密源生成的密钥通过安全通道充注到终端，充注完成后支持 C2C、C2S 等场景的认证和加解密。量子云控系统分为驱动程序、安全设备管理程序、浏览器控件、PIN 码工具、量子密管理系统、CA 系统、量子密源几个部分。通过结合量子密码应用服务，以物理 U 盾作为介质，与底层量子云控系统的安全策略进行绑定，并匹配电子档案系统业务逻辑，提高电子档案系统的整体安全属性。量子安全 U 盾作为密码基座与电子档案系统之间的安全核心部件，可实现身份认证、文件加解密、数据加解密、量子密钥安全存储、数据安全存储等功能。从技术层面解决了电子文件离线后的安全防护问题。量子安全 U 盾由 USB 接口、安全芯片和存储介质组成。安全芯片中包括加密芯片和信息安全固件，提供数据加解密、数据完整性、身份认证、不可否认等安全服务。安全存储介质区域用于存储用户数据。量子安全 U 盾设置私密区，便于离线文件的整体安全管控。用户访问私密区，需要通过移动存储系统自带的量子加密管理程序输入 PIN 码登录到设备的私密区，私密区只能通过移动存储系统量子加密管理程序进行浏览文件或是编写文件等功能。4.3 运用量子云控系统实现电子档案离线安全防护离线状态下电子档案的流转和传阅是电子档案系统在实际应用过程中的一个常态场景，由于离线文件不受电子档案系统管控，其安全防护往往无法得到保障。通过前文分析，离线场景下主要安全问题在于离线文件的非授权扩散、访问、篡改及浏览次数无法约束等。通过量子云控系统为底层量子密码服务平台，结合量子安全 U 盾实现离线数据的安全防控。传统的安全 U 盘密钥主要依赖于计算的复杂性来保证信息安全，而量子安全 U 盾的密钥生成源由量子物理理论保障，产生的随机数经过物理熵理论严格证明，满足国密随机性检测规范。量子密钥源产生的量子密钥，由量子云控平台进行密钥充注管理，并由 U 盾管理服务平台完成安全 U 盾和用户终端的授权注册，最终2022 年第 4 期 总第 264 期-144-SHANXI ARCHIVES实现 U 盾的文件加解密和量子密钥更新。对数据文件加密采用的是量子密钥，为真随机密钥，在加密方式上采用一次一密，一文一密的方式，并且在文件完整性检查上采用哈希码的校验方式，有效解决了文件管控的安全问题。通过预先从量子云控系统充注量子密码，在电子档案系统与离线终端设备之间进行文件安全流转。量子安全 U 盾与使用终端进行绑定，可设置用户绑定规则，也可收集当前终端设备的硬件特征信息（如 IP、MAC 或其他硬件序号等）产生设备指纹，然后将移动存储系统设备和终端设备指纹发送至服务终端请求绑定，并且移动存储系统管理程序记录已经完成绑定的使用终端信息。用户在绑定终端设备上可以使用移动存储系统系统中的全部用户功能，在非绑定终端设备上则会被限制使用范围，只能操作普通存储区。实现离线文件的访问控制与扩散范围的管控制约。此外，离线文件也可进行安全文件分级管控：（1）普通区文件可通过移动存储系统或操作系统进行正常的查看、写入和读取操作，只要将量子安全 U 盾系统接入电脑或其他可以识别移动存储系统的设备上即可查看；（2）私密区加密文件仅能通过安全移动存储系统量子加密管理程序操作，通过管理程序将文件导入到移动存储系统的私密区，在导入的同时对文件进行加密；同时将使用的加密密钥和文件唯一编号保存到安全移动存储系统的 Flash 区；（3）在导入文件的同时根据保密文件的级别可以设置文件的 PIN 码、文件使用次数及使用次数到达后的处理方式、文件导出次数及导出次数到达后的处理方式、PIN码错误次数及到达次数后的处理方式，处理方式包括：使用时提醒更改次数、删除文件，导入/导出文件夹不同文件的