CN106354668A

CN106354668A - 内网环境下的电子数据保全与开示方法及系统架构

Info

Publication number: CN106354668A
Application number: CN201610791664.3A
Authority: CN
Inventors: 汪振林; 黄永洪; 邢万里
Original assignee: Chongqing University of Post and Telecommunications
Current assignee: Chongqing University of Post and Telecommunications
Priority date: 2016-08-31
Filing date: 2016-08-31
Publication date: 2017-01-25
Anticipated expiration: 2036-08-31
Also published as: CN106354668B

Abstract

本发明公开了内网环境下的电子数据保全与开示系统，包括服务器端、客户端及本地时间服务器；服务器端与客户端通过局域网连接，本地时间服务器与服务器端连接，使客户端输出的待保存电子数据传输至服务器端，服务器端将接收的电子数据以及经由本地时间服务器获得的接收电子数据的时间进行存储。本发明还公开了内网环境下的电子数据保全与开示方法。电子数据的保全及开示利用的是内网，保证了电子数据存储的安全性。设置了本地时间服务器，与内网的时间服务器配合，确保电子数据进入系统的时间。在证据开示时，能隐藏敏感信息，避免过度开示对企业的影响，同时，还可以确定未开示的电子数据中是否存在需要开示的信息，保证信息的适当开示。

Description

内网环境下的电子数据保全与开示方法及系统架构

技术领域

本发明涉及电子信息处理技术领域，尤其是内网环境下的电子数据保全与开示系统及方法。

背景技术

现随着信息网络社会的发展，企业信息电子化的程度越来越高。对企业来说，信息电子化可以节省保管空间、节省发信、复制和再利用的成本。但信息电子化也会给企业带来信息安全风险，如来自外部的病毒侵害和不当访问，来自内部的信息泄露。企业信息泄露的对象信息主要有以下几类：①企业经营信息；②企业知识产权信息；③个人信息；④基于NDA(Non-Disclosure Agreement，保密协议)的信息。①、②类信息被泄露时，会给企业带来直接的经济损失，③、④类信息被泄露时不仅会给合作伙伴或用户带来损害，也会给公司的信誉造成很大的负面影响。特别是③类信息的泄露，由于个人信息保护法的存在(大多数信息技术发达国家都制定了个人信息保护法，我国正在计划制定。目前类似法规有《全国人民代表大会常务委员会关于加强网络信息保护的决定》)，企业有可能要面临很大的法律责任。

在企业法律责任不断扩大的同时，为了保全电子数据，确保电子数据的证据效力，以便为可能的诉讼提供可靠的证据，需要相应的技术和机制。近年来，电子数据取证(Digital forensics，以下简称DF)作为这种技术和机制在世界范围内获得了长足发展，其重要性益发凸显。

企业通过利用DF，可以保全电子数据，在问题发生时，能为企业提供可靠的证据，帮助企业赢得诉讼或解决各种纠纷。不过，DF领域不能仅仅停留在电子数据的保全，还需满足适切地进行信息开示的要求。例如，在民事诉讼中，在进行证据开示或证据交换时，需要适切地进行信息开示。如果不能适切地进行信息开示，将会面临不利的裁判或者过度开示存储的信息。因此，为了摆脱诉讼中可能的不利裁判，信息开示方需要证明没有篡改或删除存储的电子数据；为了避免过度地开示存储的信息，需要隐匿重要信息。因而开发一种能够满足上述需要的电子数据保全与开示的系统，是DF领域的迫切课题。

现有技术中电子数据取证方面主要有网络公证(电子公证)产品和时间戳服务产品。在国内，公证行业近几年对电子数据的保全公证也十分关注，进行了很多网络公证业务模式的尝试与探索，已知的有上海徐汇公证处的数据电文保管箱，上海东方公证处的网络数据电文证据保全公证服务平台，北京国际版权交易中心与北京方圆公证处合作推出的版权保管箱，福建伊时代公司的电子证据生成系统以及杭州安存公司的网络证据保全服务。国内提供时间戳服务的只有北京联合信任技术服务有限公司。在国外，相关的服务产品有美国的电子公证服务、日本的电子文书证明服务等。

现有技术没有针对在互联网隔离环境下的内网电子数据的保全(安全存储)及开示的问题，提出完整可行的技术方案和实用的技术方法。而且在电子证据开示时，大多数情况下对时间的要求并不严格，并不需要精确到秒级，而可能是天甚至周这样的时间精度。现有技术是利用GPS全球卫星定位系统或北斗卫星定位系统通过互联网从而获取可信时间，并没有针对只有内网的情况下架设本地时间服务器。

现有专利技术主要存在以下问题：

1、没有内网环境下的电子数据安全存储及开示的方法。现有技术为了保证电子数据的客观真实性，大多采用了预设互联网保全中心的方式，对电子数据的客观真实性进行在线验证。而在很多真实的行业应用中，企业都存在与外网隔离的情况。由于内外网的隔离，当然就无法通过在线的方式进行电子数据安全存储和完整性验证。

2、没有在内网环境下获取时间的有效的技术手段。在内网环境下，既没有架设本地时间服务器，来校对相关服务器时间，以证明电子证据进入本系统的时间，也无法通过互联网获取有效的可信时间服务，因此电子数据存储的时间证明就成了问题。

3、无法脱离第三方进行安全存储和完整性校验。现有技术为了保证数据的客观真实性，需要通过可信第三方和在线方式将原始数据进行存储和完整性校验，极大地受到了限制。

4、没有针对性地解决开示电子数据时需要隐匿部分信息的问题，以及如何确定未开示的电子数据中是否存在需要开示的信息问题。

发明内容

为解决现有技术中，内网环境下的电子数据保全与开示系统及方法存在的外网环境下电子数据存储安全性低的技术问题，本发明的技术方案如下：

本发明中的内网环境下的电子数据保全与开示系统，包括服务器端、客户端及本地时间服务器；所述服务器端与所述客户端通过局域网连接，所述本地时间服务器与所述服务器端连接，使所述客户端输出的待保存电子数据传输至所述服务器端，所述服务器端将接收的电子数据以及经由本地时间服务器获得的接收电子数据的时间进行存储。

在一种优选的实施方式中，所述服务器端包括存储申请处理模块；所述存储申请处理模块分别与本地时间服务器、客户端、TPM模块及自验证模块连接，所述TPM模块将所述存储申请处理模块中的客户端传输的信息及本地时间服务器接收信息的时间转化为哈希值，并经由存储申请处理模块传输给自验证模块，形成哈希链值。

在一种优选的实施方式中，所述服务器端包括数据存储模块；所述数据存储模块与所述存储申请处理模块及自验证模块连接，使存储申请模块及自验证模块中的哈希值、电子数据信息及时间信息保存在数据存储模块中。

在一种优选的实施方式中，所述服务器端包括开示处理模块A及审计模块；所述开示处理模块A与所述客户端、所述数据存储模块及审计模块连接，使所述数据存储模块中的数据通过开示处理模块A传输给所述客户端进行开示，并通过审计模块记录。

在一种优选的实施方式中，所述客户端包括存储申请模块，所述存储申请模块与所述服务器端存储申请处理模块连接，使所述存储申请模块发出的待存储电子数据传输至所述服务器存储申请处理模块中。

在一种优选的实施方式中，所述客户端包括开示处理模块B，所述开示处理模块B与所述开示处理模块A连接，使开示处理模块B与开示处理模块A之间进行开示信息传输。

本发明中的内网环境下的电子数据保全与开示方法，具体步骤包括：

步骤1、向内网内嵌TPM芯片的专用服务器预置用户密钥key；

步骤2、利用本地时间服务器校对服务器端内置服务器的时间，确定系统初始时间；

步骤3、内网客户端的存储申请模块向服务器端发出安全存储的请求，服务器端存储申请处理模块接收请求后从本地时间服务器获取时间信息，利用TPM芯片计算客户端存储申请模块传输的电子数据哈希值以及本地时间服务器对应的时间信息哈希值，并将哈希值推送至自验证模块，自验证模块利用哈希值形成哈希链，并存储在TPM的防篡改区域，与此同时，将哈希值、哈希链、电子数据及时间信息推送至数据存储模块进行存储；

步骤4、开示信息时，客户端开示处理模块B向服务器端开示处理模块A发出电子数据开示请求及开示信息关键词；服务器端开示处理模块A接收到请求后，从数据存储模块中检索出要求开示的电子数据并确认其中是否有敏感信息，如有敏感信息，转至步骤5，如无敏感信息，直接将待开示信息传输个给开示处理模块B；

步骤5、采用电子文书涂抹技术，隐藏步骤4中需要开示信息中的敏感信息，然后将隐藏敏感信息后的待开示信息传输给开示处理模块B；

步骤6、开示处理模块B接收到开示信息后，进行关键词检索，确认其中是否包含开示方指定的关键词；如包含，则取消关键词涂抹处理进行开示；如果不包含，则使用密钥解密涂抹部分，对信息进行开示。

在一种优选的实施方式中，步骤3中自验证模块形成哈希链的步骤为：自验证模块调用TPM的PCR度量序列，处理接收到的电子数据哈希值及接收电子数据对应的时间信息哈希值，形成哈希链，并将所得哈希链存储于TPM的防篡改区域。

在一种优选的实施方式中，所述步骤5中电子文书涂抹技术采用的插件为WordRedaction插件。

在一种优选的实施方式中，所述步骤6确定是否包含关键词的方法为：

步骤6.1、将步骤1中的密钥key设为哈希链中的第一个哈希值；

步骤6.2、计算哈希值Z₁，Z₁＝hash(D₁+T₁+Key)，并将Z₁与Key进行比较，如相等，则D₁对应的电子数据包含关键词，进行关键词检索；如不相等，则不包含关键词，不需要检索；其中，D₁表示电子数据的哈希值，T₁表示时间信息的哈希值；

步骤6.3、计算哈希值Z_t＝hash(D_t+T_t+Z_t-1)(t＝2…n)，并将Z_t与Z_t-1进行比较，如相等，则D_t包含关键词，进行关键词检索；如不相等，则不包含关键词，不需要检索；

步骤6.4、确认步骤6.3计算出的哈希链的最后一个哈希值与服务器端数据存储模块保存的哈希链的最后一个哈希值是否一致，如一致，确认含有关键词的电子数据对应的哈希链值是否与已经开示的电子数据对应的哈希链值相同，如相同，则利用电子文书涂抹技术隐藏包含关键词的电子数据，如不同，则进行开示。

本发明中的内网环境下的电子数据保全与开示方法及系统，与现有技术相比，其有益效果为：

电子数据的保全及开示利用的是内网，无需借助第三方进行存储，保证了电子数据存储的安全性，同时，在内网环境中，设置了本地时间服务器，与内网的时间服务器配合使用，从而确保电子数据进入系统的时间，防止电子数据被篡改。

在证据开示时，可以隐藏部分敏感信息，避免过度开示对企业的影响，同时，还可以确定未开示的电子数据中是否存在需要开示的信息，保证信息的适当开示。

附图说明

图1是本发明中内网环境下的电子数据保全与开示系统的结构示意图；

图2是本发明中内网环境下的电子数据保全的流程图；

图3是本发明中内网环境下的电子数据开示的流程图；

图4是本发明中内网环境下的电子数据关键词检索及完整性验证流程图。

具体实施方式

下面将结合本发明的附图，对本发明的技术方案进行清楚、完整地描述。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明的内网环境下的电子数据保全与开示系统，包括客户端、服务器端及本地时间服务器；服务器端与客户端通过局域网连接，本地时间服务器与服务器端连接，使客户端输出的待保存电子数据传输至服务器端，服务器端将接收的电子数据以及经由本地时间服务器获得的接收电子数据的时间进行存储。

客户端包括存储申请模块、开示处理模块B。客户端所有模块都集成安装在客户端电脑或者服务器上，其中：

存储申请模块将需要安全存储的电子数据上传到服务器端，经服务器端存储申请处理模块处理后，客户端接收服务器端存储模块返回成功或者失败状态信息；

开示处理模块B，向服务器端开示处理模块A发出电子数据开示请求，接收开示处理模块A隐匿部分敏感信息后发送的电子数据进行开示；向服务器端开示处理模块A发送开示信息关键词，接收服务器端开示处理模块A发送的未开示电子数据关键词搜索结果并进行开示。

服务器端包括：存储申请处理模块、数据存储模块、开示处理模块A、审计模块和自验证模块，所有模块都安装在专用服务器上。

存储申请处理模块，接收客户端传来的电子数据，并从内网的时间服务器获取时间，调用TPM系统分别对传入的电子数据进行哈希计算产生哈希值D₁，对对应的时间信息进行哈希计算产生哈希值T₁，并将D₁、T₁推送至自验证模块，同时将哈希值和电子数据推送至数据存储模块。

开示处理模块A，隐匿部分敏感信息后向客户端的开示处理模块B发送需要开示的电子数据；从客户端接收开示信息关键词，连接数据存储模块后进行关键词搜索，确认未开示电子数据中是否存在需要开示的信息，并把结果推送至客户端。

审计模块，服务器端在执行每一步与安全存储和开示流程有关的操作都会被保存在审计模块，相关操作如：数据传入操作、哈希计算操作、数据存储操作等。需要时作为审计本系统电子证据保全及开示的客观真实依据之一。

自验证模块，存储申请处理模块传来的每一个哈希值都会经过自验证模块处理。自验证模块调用TPM，利用PCR的度量序列，根据存储申请处理模块传来的哈希值生成哈希链值。哈希链值生成方法如下：自验证模块接收存储申请处理模块推送的哈希值D₁、T₁后将其和哈希链的前一个哈希值Z_i(Z表示哈希的英文首字母，i表示该哈希值是哈希链上的第i个哈希值)一起进行哈希运算hash(D₁+T₁+Z_i)，如果哈希链中不存在哈希值，则说明这次操作即为首次操作，系统将利用预设密钥Key代替上述的Z_i，从而和D₁、T₁进行哈希运算hash(D₁+T₁+Key)，得到最终的哈希链值Z_j，(j＝i+1)。

服务器端自验证模块将运算得到的哈希链值Z_j在系统关机时通过数据存储模块以日志文件形式保存在TPM的防篡改区域，开机时再由TPM对日志文件进行验证，检查之前操作的真实性，以保证进入系统的每一个哈希值保存在哈希链的末端与之前生成的哈希值形成链，而不会覆盖或者破坏前一个已经产生的哈希值，从而保证进入系统的所有哈希值形成一个哈希链；服务器端存储申请处理模块A再将哈希值连同对应的电子数据、时间信息传给数据存储模块，由数据存储模块将其保存在服务器上，并向客户端存储申请模块返回成功或失败标志。

电子数据的保全即电子数据的安全存储，其主要包括以下步骤：

客户端向服务器端发出保全请求，服务器端接收客户端传来的电子数据，并从内网的时间服务器获取时间，存储申请处理模块调用TPM生成电子数据哈希值，并传输给自验证模块，自验证模块调用TPM，利用PCR的度量序列，根据存储申请处理模块传来的哈希值生成哈希链值，在系统关机时通过数据存储模块以日志文件形式保存在TPM的防篡改区域，开机时再由TPM对日志文件进行验证，以保证进入系统的所有哈希值形成一个哈希链，在形成哈希链的过程中，使用的预设密钥是由厂家设定，用户无法通过破解TPM获得密钥，因此用户对源文件的篡改可以被发现。保证了用户自身无法伪造和重构历史过程。

电子数据开示包括以下步骤：

步骤1：客户端开示处理模块B向服务器端开示处理模块A发送开示请求；

步骤2：服务器端开示处理模块A接收到客户端开示处理模块B的开示请求后，从数据存储模块中检索出要求开示的电子数据并确认其中是否包含敏感信息；如包含，则执行步骤3，如不包含，则执行步骤5；

步骤3:服务器端开示处理模块A采用电子文书涂抹技术隐匿部分敏感信息后发送电子数据至客户端开示处理模块B；

步骤4：客户端开示处理模块B收到开示电子数据后在安全设备中使用相关密钥解密涂抹部分，确认其中是否包含开示方指定的关键词；如包含，则取消关键词涂抹处理进行开示，如不包含则开示电子数据；

步骤5：服务器端开示处理模块A将检索出的要求开示电子数据发送至客户端开示处理模块B进行开示。

电子数据关键词检索及完整性验证包括以下步骤：

步骤1：根据初期值即预设密钥key值、电子数据哈希值D₁、时间信息哈希值T₁算出哈希值Z₁，并将Z₁与key进行比较，如果Z₁与key相同，则D₁对应的电子数据进行关键词检索；

步骤2：根据Z₁、电子数据D₂、时间信息T₂算出哈希值Z₂，并将Z₂与Z₁进行比较，如相等，则包含关键词，对D₂对应的电子数据进行关键词检索；如不相等，则不包含关键词，不需要检索；

步骤3：根据Z₂、电子数据D₃、T₃算出哈希值，并将Z₃与Z₂进行比较，如相等，则包含关键词，对D₃对应的电子数据进行关键词检索；如不相等，则不包含关键词，不需要检索；

步骤4：以下步骤同上，即根据Z_t-1、电子数据哈希值D_t、时间数据哈希值T_t算出哈希值Z_t，并将Z_t与Z_t-1进行比较，如相等，则包含关键词，对D_t对应的电子数据进行关键词检索；如不相等，则不包含关键词，不需要检索；该过程直至哈希链最后一个哈希值Z_n；

步骤5：确认步骤4所得的Z_n与服务器端数据存储模块保存的Z_n是否一致；如一致，则表示存储的数据完整性没有遭到破坏，进而确认含有关键词的电子数据对应哈希链值是否与已经开示的电子数据对应的哈希链值相同，如相同，补充开示带有关键词的电子数据，如不同则确认检索结果后进行开示；如果步骤4所得的Z_n与服务器端数据存储模块保存的Z_n不一致，则表示存储的数据完整性已经遭到破坏，电子数据开示无效，关键词检索无效。

电子文书涂抹技术使用方法以word文档为例可作如下说明：

通过开发word插件，对敏感信息进行涂抹，未经授权，只能看到未涂抹部分，开示时，通过安全保密设备，由于有相关密钥，可打开看到涂抹部分的内容。相关步骤和方法如下：

(1)将Word Redaction安装好后打开Word，查看审阅中多了一个Redact工具栏，它包含了“Mark(标记)”、“Unmark(移除标记)”、“Previous(显示上一条标记)”以及“Next(显示下一条标记)”等命令。

(2)打开一份需要加密的文书，在文书中选中要加密的文字(可以使用鼠标左键拖曳)，然后单击Redaction工具栏中的“Mark”命令将其标记上，被标记的部分显示为灰色的底纹。

(3)如果文档中有多处相同的内容(关键字)需要进行这样的保密处理，在Word中执行“Mark”→“Find and Mark”命令，会弹出一个对话框，输入想要批量标记的内容(关键字)后，点击“Mark”即可标记文档中相同的关键字，且对话框会显示出在文档中共有多少处被标记。

注意：标记过程中，用户可随时使用Unmark移除文档里面选中的标记，也可以使用Remove All Marks来移除文档中所有的标记。

(4)点击“Mark”→“Redact Document”命令即可将当前标记过的文档转换为加密文档。另外在进行加密之前，系统会进一步提示你确认加密的内容，因为文档加密的过程是不可逆的。同时在加密时还会有进度提示框显示当前工作完成情况。

(5)最后系统会继续弹出对话框，选择“Inspect”或者“Close”；选择“Close”，Word将自动创建一个以“文档X”命名的新文档，这就是我们需要的加密文件了。选择“Inspect”，则是检查文档中是否存在选择的内容，然后会继续弹出一个对话框，点击“检查”，如果有你选择的内容，会提示你是否要全部删除，比如在此文档中检查出该文档有文档属性和个人信息，如果点击全部删除，则之后生成的“文档X”的文档属性和个人信息会变为系统初始值。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims

1.内网环境下的电子数据保全与开示系统，包括服务器端及客户端；其特征在于，还包括本地时间服务器；所述服务器端与所述客户端通过局域网连接，所述本地时间服务器与所述服务器端连接，使所述客户端输出的待保存电子数据传输至所述服务器端，所述服务器端将接收的电子数据以及经由本地时间服务器获得的接收电子数据的时间进行存储。

2.根据权利要求1所述的内网环境下的电子数据保全与开示系统，其特征在于，所述服务器端包括存储申请处理模块；所述存储申请处理模块分别与本地时间服务器、客户端、TPM模块及自验证模块连接，所述TPM模块将所述存储申请处理模块中的客户端传输的信息及本地时间服务器接收信息的时间转化为哈希值，并经由存储申请处理模块传输给自验证模块，形成哈希链值。

3.根据权利要求2所述的内网环境下的电子数据保全与开示系统，其特征在于，所述服务器端包括数据存储模块；所述数据存储模块与所述存储申请处理模块及自验证模块连接，使存储申请模块及自验证模块中的哈希值、电子数据信息及时间信息保存在数据存储模块中。

4.根据权利要求3所述的内网环境下的电子数据保全与开示系统，其特征在于，所述服务器端包括开示处理模块A及审计模块；所述开示处理模块A与所述客户端、所述数据存储模块及审计模块连接，使所述数据存储模块中的数据通过开示处理模块A传输给所述客户端进行开示，并通过审计模块记录。

5.根据权利要求4所述的内网环境下的电子数据保全与开示系统，其特征在于，所述客户端包括存储申请模块；所述存储申请模块与所述服务器端存储申请处理模块连接，使所述存储申请模块发出的待存储电子数据传输至所述服务器存储申请处理模块中。

6.根据权利要求5所述的内网环境下的电子数据保全与开示系统，其特征在于，所述客户端包括开示处理模块B；所述开示处理模块B与所述开示处理模块A连接，使开示处理模块B与开示处理模块A之间进行开示信息传输。

7.内网环境下的电子数据保全与开示方法，其特征在于，具体步骤包括：

步骤1、向内网内嵌TPM芯片的专用服务器预置用户密钥key；

8.根据权利要求7所述的内网环境下的电子数据保全与开示方法，其特征在于，所述步骤3中自验证模块形成哈希链的步骤为：

自验证模块调用TPM的PCR度量序列，处理接收到的电子数据哈希值及接收电子数据对应的时间信息哈希值，形成哈希链，并将所得哈希链存储于TPM的防篡改区域。

9.根据权利要求7所述的内网环境下的电子数据保全与开示方法，其特征在于：所述步骤5中电子文书涂抹技术采用的插件为Word Redaction插件。

10.根据权利要求7所述的内网环境下的电子数据保全与开示方法，其特征在于：所述步骤6确定是否包含关键词的方法为：

步骤6.1、将步骤1中的密钥key设为哈希链中的第一个哈希值；