張 昕

(廣西交通設(shè)計集團(tuán)有限公司，廣西 南寧 530029)

0 引言

高速公路建設(shè)項目是公路工程建設(shè)領(lǐng)域投資較大的交通基礎(chǔ)設(shè)施項目之一，其建設(shè)過程中形成的檔案種類多，數(shù)量巨大，是日后參考管理的重要基礎(chǔ)和依據(jù)[1]。高速公路建設(shè)項目的檔案文件來源于各類項目建設(shè)信息系統(tǒng)，如建設(shè)項目管理系統(tǒng)、安全生產(chǎn)管理系統(tǒng)、計量支付系統(tǒng)、質(zhì)檢系統(tǒng)等(以下統(tǒng)稱業(yè)務(wù)系統(tǒng))。國家檔案局辦公室于2017-09-01下發(fā)的《企業(yè)數(shù)字檔案館(室)建設(shè)指南》指出，各類支撐主營業(yè)務(wù)的信息系統(tǒng)均應(yīng)具有歸檔功能，導(dǎo)出的歸檔電子文件存儲格式、元數(shù)據(jù)等均應(yīng)符合電子文件歸檔和電子檔案管理的有關(guān)要求[2]，這從國家層面?zhèn)鬟f了推進(jìn)電子文件單套歸檔、單軌運(yùn)行的信號。

由于業(yè)務(wù)系統(tǒng)的建設(shè)往往良莠不齊，缺乏安全可靠的文件歸檔接口，且在歸檔過程中文件易被篡改，導(dǎo)致檔案系統(tǒng)難以驗證電子文件的數(shù)字簽名，進(jìn)而無法信任由業(yè)務(wù)系統(tǒng)發(fā)送的電子文件。目前，高速公路建設(shè)項目過程中將計量支付、質(zhì)檢報告等電子文件打印后再簽字蓋章的“雙套制”管理仍然普遍存在。因此，運(yùn)用現(xiàn)代技術(shù)手段，解決電子文件歸檔過程中的信任問題十分有必要。

區(qū)塊鏈技術(shù)是一種多技術(shù)結(jié)合的數(shù)據(jù)庫技術(shù)方法，實現(xiàn)了一種去中心化、無須信任的分布式數(shù)據(jù)賬本，具有防篡改、可追溯、高可靠性等特點(diǎn)，與電子檔案“真實、完整、可用、安全”的四性要求高度契合，可為電子檔案的信息安全提供有力支撐。因此，在高速公路建設(shè)項目電子文件歸檔過程中應(yīng)用區(qū)塊鏈技術(shù)，必定是未來電子檔案管理的發(fā)展方向。

雖然區(qū)塊鏈技術(shù)出現(xiàn)的時間還不算長，但國內(nèi)外學(xué)者們對其在電子文件領(lǐng)域的研究已有了一定的進(jìn)展：Cruz等[3]使用區(qū)塊鏈技術(shù)解決了不同角色訪問控制的信任和認(rèn)可問題，并在以太坊智能合約平臺上完成了設(shè)計實現(xiàn)；石進(jìn)等[4]提出了基于區(qū)塊鏈技術(shù)的電子文件真實性保障系統(tǒng)概念模型，從理論層面論證了應(yīng)用區(qū)塊鏈技術(shù)進(jìn)行電子文件真實性保護(hù)的可行性；譚海波等[5]基于智能合約、IPFS、數(shù)字簽名和混合加密等技術(shù)設(shè)計了一種基于區(qū)塊鏈的檔案數(shù)據(jù)保護(hù)與共享方法，研發(fā)了檔案數(shù)據(jù)保護(hù)與共享系統(tǒng)，解決了歸檔過程中的身份認(rèn)證和檔案所有權(quán)確定問題；王平等[6]借鑒OAIS模型，提出“信息區(qū)塊”概念及基于區(qū)塊鏈技術(shù)的電子文件可信保護(hù)框架，同樣從理論層面對可信電子文件信息區(qū)塊封裝、存儲和提取的三個關(guān)鍵技術(shù)點(diǎn)進(jìn)行了分析。

通過以上學(xué)者的研究成果不難發(fā)現(xiàn)，應(yīng)用區(qū)塊鏈技術(shù)實現(xiàn)電子文件可信歸檔是可行的。但由于其技術(shù)剛剛起步，目前以理論研究居多，針對高速公路建設(shè)項目可落地的實施方案較少，因此對其具體實現(xiàn)過程進(jìn)行研究非常有必要。

1 高速公路建設(shè)項目可信歸檔生態(tài)圈

區(qū)塊鏈技術(shù)構(gòu)建了一種去中心化的對等可信數(shù)據(jù)網(wǎng)絡(luò)，從根本上解決了中心化機(jī)構(gòu)普遍存在的高成本、低效率和數(shù)據(jù)存儲不安全等問題，適用于多業(yè)務(wù)主體、彼此不信任、業(yè)務(wù)強(qiáng)相關(guān)的應(yīng)用場景。如下頁圖1所示，依托區(qū)塊鏈去中心化、點(diǎn)對點(diǎn)通信、智能合約等特性，可以構(gòu)建高速公路建設(shè)項目電子文件可信歸檔生態(tài)圈。各業(yè)務(wù)系統(tǒng)及其成員用戶均可作為生態(tài)圈的節(jié)點(diǎn)，實現(xiàn)電子文件在業(yè)務(wù)系統(tǒng)與檔案系統(tǒng)之間的可信流轉(zhuǎn)。

首先構(gòu)建用戶身份區(qū)塊鏈和認(rèn)證區(qū)塊鏈，利用其“免信任”特性，給高速公路建設(shè)項目涉及的所有系統(tǒng)用戶頒發(fā)智能“身份證”，實現(xiàn)所有系統(tǒng)節(jié)點(diǎn)都可以自由、安全地記錄數(shù)據(jù)、交換數(shù)據(jù)、更新數(shù)據(jù)，而不用擔(dān)心用戶身份造假。利用區(qū)塊鏈的非對稱加密特性，建立業(yè)務(wù)系統(tǒng)向檔案系統(tǒng)傳送電子文件的安全數(shù)據(jù)通道，通過對電子文件數(shù)字簽名進(jìn)行校驗，保證其在傳輸過程中不被篡改。利用區(qū)塊鏈開放性的特點(diǎn)，高速公路建設(shè)項目各系統(tǒng)節(jié)點(diǎn)均可以獲得一份完整的數(shù)據(jù)庫拷貝，節(jié)點(diǎn)間基于共識機(jī)制共同維護(hù)整個區(qū)塊鏈，任何節(jié)點(diǎn)失效，其余節(jié)點(diǎn)仍能正常工作，這樣大大提高了數(shù)據(jù)的安全性，避免了因單點(diǎn)故障導(dǎo)致項目電子檔案丟失。利用區(qū)塊鏈的封裝機(jī)制，可以將元數(shù)據(jù)信息與電子文件進(jìn)行封裝，實現(xiàn)對電子文件全生命周期的監(jiān)控管理。

圖1 高速公路建設(shè)項目可信歸檔生態(tài)圈構(gòu)建示意圖

2 可信歸檔方案設(shè)計

2.1 用戶身份池創(chuàng)建

通常的用戶身份認(rèn)證是將用戶密碼通過Hash算法或MD5算法加密后存儲于數(shù)據(jù)庫中，在用戶登錄時對用戶輸入的明文密碼進(jìn)行同樣算法的加密，將結(jié)果與數(shù)據(jù)庫中的記錄比對，從而驗證用戶身份。這是一種典型的中心化身份托管機(jī)制，在實際應(yīng)用中由于不同的業(yè)務(wù)系統(tǒng)都需要維護(hù)一套用戶身份數(shù)據(jù)，存在信息孤島，導(dǎo)致同一個用戶在登錄不同系統(tǒng)時都需要進(jìn)行身份認(rèn)證。另外，由于是中心化的管理，加大了對認(rèn)證服務(wù)器的依賴，服務(wù)器一旦出現(xiàn)故障會導(dǎo)致用戶無法登錄，或是用戶數(shù)據(jù)丟失，存在數(shù)據(jù)泄露的風(fēng)險。

如圖2所示，為解決中心化存儲帶來的問題，可將全部業(yè)務(wù)系統(tǒng)的用戶身份信息存儲在身份區(qū)塊鏈BC_USER之上，從而構(gòu)建系統(tǒng)用戶身份池。在為系統(tǒng)用戶分配了公鑰和私鑰(Pk，Sk)之后，將其用戶身份UI、公鑰Pk、身份索引IDX、系統(tǒng)標(biāo)識SI等內(nèi)容打包存入?yún)^(qū)塊鏈BC_USER的“交易數(shù)據(jù)”之中。該鏈為全部系統(tǒng)用戶頒發(fā)了“身份證”，對全網(wǎng)用戶公開，任意系統(tǒng)節(jié)點(diǎn)均可訪問該鏈獲取用戶的基礎(chǔ)身份信息。系統(tǒng)用戶信息一旦上鏈將永久保存，要篡改其內(nèi)容必須獲得超過全網(wǎng)51%的節(jié)點(diǎn)驗證，難度極大。系統(tǒng)用戶身份池代替了傳統(tǒng)的認(rèn)證模式，不再受某個中心化服務(wù)器的管控，其智能合約機(jī)制保證了各個系統(tǒng)節(jié)點(diǎn)既是“參與者”也是“管理者”，共同維護(hù)著系統(tǒng)的安全，是高速公路建設(shè)項目各業(yè)務(wù)系統(tǒng)互相訪問，以及電子文件可信歸檔的基礎(chǔ)。

圖2 用戶信息區(qū)塊鏈構(gòu)建結(jié)構(gòu)圖

2.2 歸檔前的“實名認(rèn)證”

在構(gòu)建用戶身份池的基礎(chǔ)上，下一步要解決業(yè)務(wù)系統(tǒng)向檔案系統(tǒng)歸檔電子文件時的身份認(rèn)證問題，并開辟安全可靠的數(shù)據(jù)傳輸通道。如圖3所示，這一步驟需要運(yùn)用到加密技術(shù)：

圖3 業(yè)務(wù)系統(tǒng)身份認(rèn)證步驟示意圖

(1)業(yè)務(wù)系統(tǒng)訪問區(qū)塊鏈BC_USER，獲取隨機(jī)數(shù)R。

(2)業(yè)務(wù)系統(tǒng)使用私鑰Sk對隨機(jī)數(shù)R進(jìn)行加密，得到認(rèn)證token。

(3)業(yè)務(wù)系統(tǒng)將本系統(tǒng)標(biāo)識SI、目標(biāo)檔案系統(tǒng)標(biāo)識TI、用戶身份UI、用戶身份索引IDX、認(rèn)證token發(fā)送至區(qū)塊鏈BC_USER進(jìn)行登錄認(rèn)證。

(4)BC_USER根據(jù)用戶身份索引IDX找到用戶信息及其公鑰Pk，并使用公鑰Pk對token進(jìn)行解密，如果解密結(jié)果與之前生成的隨機(jī)數(shù)相同，則證明用戶認(rèn)證成功，并會將以上內(nèi)容打包存入認(rèn)證區(qū)塊鏈BC_AUTH中。

(5)業(yè)務(wù)系統(tǒng)向檔案系統(tǒng)發(fā)出訪問請求，并傳遞其用戶身份UI及其身份索引IDX。

(6)檔案系統(tǒng)通過IDX在區(qū)塊鏈BC_AUTH中查找用戶認(rèn)證信息，并使用該用戶的公鑰Pk對其token進(jìn)行驗證，驗證通過后返回對稱密鑰K到業(yè)務(wù)系統(tǒng)。至此，業(yè)務(wù)系統(tǒng)與檔案系統(tǒng)的用戶身份認(rèn)證以及加密傳輸通道建立完成。

如圖4所示，區(qū)塊鏈BC_AUTH的每一個區(qū)塊以Merkle樹的形式存儲了系統(tǒng)間的訪問認(rèn)證記錄(交易記錄)。在其葉子節(jié)點(diǎn)記錄了每次系統(tǒng)認(rèn)證的“交易數(shù)據(jù)”，包含源業(yè)務(wù)系統(tǒng)標(biāo)識SI、目標(biāo)檔案系統(tǒng)標(biāo)識TI、用戶身份UI、認(rèn)證token以及其有效時間。每兩筆“交易”串聯(lián)進(jìn)行哈希計算得到父節(jié)點(diǎn)的哈希值，依次向上遞推。在Merkle樹的根節(jié)點(diǎn)保存著一段時間內(nèi)所有“交易”的交易指紋，存儲于區(qū)塊頭部。由此可見，任何一筆“交易”被篡改，均將改變其上層節(jié)點(diǎn)的存儲值，并會將影響反饋至區(qū)塊頭的交易指紋之中，最終影響整個區(qū)塊鏈網(wǎng)絡(luò)，因此這種數(shù)據(jù)篡改是幾乎不可能發(fā)生的。在建立了安全數(shù)據(jù)通道之后，業(yè)務(wù)系統(tǒng)可以憑token向檔案系統(tǒng)發(fā)起歸檔請求，token以及安全通道的對稱加密密鑰在一段時間之后就會失效，而且token和對稱密鑰又通過了源業(yè)務(wù)系統(tǒng)的公鑰Pk加密，只有業(yè)務(wù)系統(tǒng)通過自己的私鑰Sk才能解密。因此，即便是token和密鑰被盜取，也不會發(fā)生數(shù)據(jù)泄露。

圖4 身份認(rèn)證區(qū)塊設(shè)計示意圖

2.3 歸檔過程中可靠的數(shù)據(jù)傳輸

在完成了歸檔前的身份認(rèn)證之后，業(yè)務(wù)系統(tǒng)與檔案系統(tǒng)通過對稱密鑰K來完成可靠的數(shù)據(jù)傳輸。如圖5所示，以一次歸檔過程為例：

圖5 電子文件歸檔過程示意圖

(1)業(yè)務(wù)系統(tǒng)通過SHA算法生成待歸檔電子文件F的消息摘要H1(F)。

(2)業(yè)務(wù)系統(tǒng)使用私鑰Sk對H1(F)進(jìn)行數(shù)字簽名，得到簽名結(jié)果為S。

(3)業(yè)務(wù)系統(tǒng)使用對稱密鑰K對數(shù)字簽名S、文件信息包打包進(jìn)行加密，生成密文數(shù)據(jù)包，其中文件數(shù)據(jù)包中包含文件在文件服務(wù)器中的存儲路徑，但不包含具體文件內(nèi)容。

(4)業(yè)務(wù)系統(tǒng)將數(shù)據(jù)包發(fā)送到檔案系統(tǒng)，檔案系統(tǒng)通過對稱密鑰對密文數(shù)據(jù)包進(jìn)行解密，得到數(shù)字簽名S，以及文件數(shù)據(jù)包，并通過文件路徑從文件服務(wù)器獲取電子文件。

(5)通過SHA算法得到目標(biāo)電子文件F的摘要H2(F)。

(6)使用用戶公鑰Pk以及摘要H2(F)對S進(jìn)行驗簽，如果驗簽通過，則證明該文件是業(yè)務(wù)系統(tǒng)發(fā)送的，并將歸檔記錄打包存入歸檔區(qū)塊鏈BC_ARCHIVES。

在電子文件歸檔過程中，文件本身并沒有進(jìn)行實際的傳輸，也沒有存儲在區(qū)塊鏈網(wǎng)絡(luò)之中。歸檔過程并不是傳統(tǒng)的將一個文件從一個系統(tǒng)發(fā)送至另一個系統(tǒng)，而是在文件中心的支撐下，將電子文件的元數(shù)據(jù)、數(shù)字簽名、保存位置以及其摘要信息等保存于區(qū)塊鏈BC_ARCHIVES之中。由于區(qū)塊鏈具有開放性，檔案系統(tǒng)可以無障礙地訪問到這些文件，與存儲在檔案系統(tǒng)自身的服務(wù)器沒有差別，大大節(jié)省了網(wǎng)絡(luò)帶寬。在整個歸檔過程中，均使用對稱密鑰進(jìn)行加密，避免了明文傳輸，檔案系統(tǒng)在得到文件后會再次校驗其數(shù)字簽名，實現(xiàn) “雙保險”。

3 結(jié)語

本文針對高速公路建設(shè)項目電子文件歸檔過程因缺乏有效安全保障而導(dǎo)致的不可信問題，通過應(yīng)用區(qū)塊鏈技術(shù)構(gòu)建了電子文件可信歸檔生態(tài)圈，確保電子文件能夠在一個安全、可靠的環(huán)境中進(jìn)行共享交換。通過構(gòu)建用戶身份池，實現(xiàn)了業(yè)務(wù)系統(tǒng)與檔案系統(tǒng)在歸檔業(yè)務(wù)中的“實名認(rèn)證”，并通過數(shù)字簽名以及加密的數(shù)據(jù)傳輸通道，確保電子文件在歸檔過程中的真實有效，不被篡改。本文所述方案可以滿足高速公路建設(shè)項目各業(yè)務(wù)系統(tǒng)可信歸檔需求，能夠提高高速公路建設(shè)項目檔案信息化管理水平，具有良好的推廣價值。