無鑰簽名基礎(chǔ)設(shè)施及檔案領(lǐng)域應(yīng)用介紹

沈淵飛 金雷 楊映輝 談建 姜瑩波

（1.浙江省寧波市檔案館 浙江省寧波市 315000 2.浙江省慈溪市檔案館 浙江省慈溪市 315300）

（3.浙江愛立示信息科技有限公司 浙江省慈溪市 315300）

1 無鑰簽名介紹

無鑰簽名是傳統(tǒng)公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure, PKI）的替代解決方案。“無鑰”一詞并不意味著在簽名創(chuàng)建期間不使用密鑰，密鑰仍然是進(jìn)行身份驗證所必需的，但是不需要依賴密鑰的保密性，簽名就可以可靠地驗證。無鑰簽名不易受到密鑰泄露的影響，從而為數(shù)字簽名的長期有效性問題提供了一種解決方案。傳統(tǒng)的PKI 簽名可能受到時間戳的保護(hù)，但只要時間戳技術(shù)本身是基于PKI 的，密鑰泄露問題仍然沒有得到解決。

在無鑰簽名系統(tǒng)中，簽名者的身份認(rèn)證功能和證據(jù)的完整性保護(hù)功能是分開的，并由適合這些功能的加密工具完成。例如，簽名者的身份認(rèn)證仍然可以通過使用非對稱加密來完成，但是簽名的完整性可以通過使用無鑰簽名來保護(hù)。所謂的單向無沖突哈希函數(shù)，是公開、標(biāo)準(zhǔn)化且不涉及任何密鑰的數(shù)據(jù)轉(zhuǎn)換模式。

無鑰簽名可以實現(xiàn)同一時間簽名多份文件。簽名過程包括以下幾個步驟：

（1）哈希：對要簽名的文檔進(jìn)行哈希運算，哈希值代表該文檔用于之后的流程；

（2）聚合：每次簽名創(chuàng)建一個全球的臨時哈希樹，代表本次簽名的所有文檔。每次持續(xù)時間可能不同，在實際中，它被固定為一秒鐘；

（3）發(fā)布：每次聚合樹的前3 個哈希值被收集到永久哈希樹（所謂的日歷哈希鏈）中，并且該樹的頂部哈希值作為信任錨發(fā)布。

要在實際中使用此類簽名，需要一個完善的無鑰簽名基礎(chǔ)設(shè)施（KSI），類似于傳統(tǒng)簽名解決方案中的PKI。這樣的基礎(chǔ)設(shè)施由多層級的聚合服務(wù)組成，并由這些服務(wù)生成每秒全球哈希樹。第一層聚合服務(wù)——無鑰簽名網(wǎng)關(guān)，負(fù)責(zé)直接從客戶端收集請求。每層聚合服務(wù)接收來自較低層級服務(wù)的請求，生成哈希樹并將每層頂部的哈希值作為請求發(fā)送到較高層級服務(wù)。然后，等待更高層級服務(wù)的響應(yīng)，并通過將接收到的響應(yīng)與自身哈希樹中對應(yīng)的哈希鏈相結(jié)合，為每個更低層級的服務(wù)創(chuàng)建和傳遞響應(yīng)。

本文討論了可能出現(xiàn)的一些服務(wù)質(zhì)量和可用性問題，并形成了解決方案。該方案避免了單點故障，并保證了服務(wù)的合理和穩(wěn)定。愛立示（Aletheia）運行KSI 基礎(chǔ)設(shè)施已經(jīng)8年了——通過在實際應(yīng)用中獲得的經(jīng)驗教訓(xùn)總結(jié)了關(guān)于可用性和可伸縮性的一些結(jié)論。本文描述了KSI 基礎(chǔ)設(shè)施的主要原理和操作原則，并簡要概述了最小化安全風(fēng)險的設(shè)計方案。

2 哈希樹和日歷哈希鏈

哈希樹（Hash Trees）：哈希樹時間戳使用單向哈希函數(shù)將一系列文檔轉(zhuǎn)換為與時間相關(guān)聯(lián)的固定長度摘要。用戶將文檔的哈希值發(fā)送給服務(wù)器并接收簽名文件，證明該文檔數(shù)據(jù)在某個時間存在并通過特定訪問點接收請求。所有接收到的請求都被聚合到一個大型哈希樹中，樹的頂部哈希值每秒鐘被固定和保留（圖1）。

圖1：哈希樹的計算

圖2：基于二叉哈希樹的時間戳

圖3：系統(tǒng)架構(gòu)和聚合網(wǎng)絡(luò)

日歷哈希鏈：每秒的頂部哈希值在一個全球唯一的哈希樹（稱為日歷哈希鏈）中鏈接在一起，這樣新一秒的頂部哈希值只添加到哈希樹的一側(cè)。時間值被編碼為日歷的形狀，其他用戶可以顯而易見地看到它的修改，因為日歷哈希鏈的哈希根植會定期在廣泛見證的公共媒體上發(fā)布。

3 服務(wù)架構(gòu)

3.1 設(shè)計原則

底層數(shù)據(jù)結(jié)構(gòu)保證了即使在惡意客戶端和惡意服務(wù)提供者合作的情況下，也不可能發(fā)布偽造的、過期的或誤導(dǎo)性的簽名文件。哈希根植被提交到全球唯一的公共日歷哈希鏈，使得對系統(tǒng)的篡改，尤其是對時間的篡改，對所有用戶而言都是高度可見的。該系統(tǒng)的安全性不依賴于私鑰的長期保密性，因為無法證明密鑰實際上沒有被泄漏。

3.2 形成哈希樹

在每個聚合周期內(nèi)，聚合樹的頂部數(shù)據(jù)存儲在日歷數(shù)據(jù)庫中。為了不可撤銷地提交日歷數(shù)據(jù)庫中序列化的值，它們被鏈接到一個二叉哈希樹中，這樣新葉只被添加到一側(cè)，就像時間線上的標(biāo)記一樣（參見圖2 中的t）。這個數(shù)據(jù)庫是全球唯一且公共的，向所有第三方開放以提供審計、存檔和驗證。

圖2 顯示出了系統(tǒng)如何依次（t，t+1，t+2，…）運行，即每次產(chǎn)生一個聚合樹。系統(tǒng)的容量（N）由最大樹大小N=2l確定，其中l(wèi) 表示聚合樹的深度。

4 基礎(chǔ)設(shè)施概述

系統(tǒng)架構(gòu)如圖3 所示。文件的哈希運算發(fā)生在形成簽名（或時間戳）請求的應(yīng)用程序中，有軟件工具可供使用。請求被發(fā)送到網(wǎng)關(guān)，網(wǎng)關(guān)是向最終用戶提供服務(wù)的系統(tǒng)組件。網(wǎng)關(guān)對在其聚合周期中接收到的請求執(zhí)行初始聚合，然后將其聚合請求發(fā)送到上層聚合。請求通過多層聚合服務(wù)進(jìn)行聚合，核心層選擇一個全球唯一的哈希根值，同時該響應(yīng)立即通過聚合網(wǎng)絡(luò)返回。

每個聚合周期的哈希根值都儲存在“日歷數(shù)據(jù)庫”中，并通過“日歷緩存”分發(fā)到擴(kuò)展服務(wù)（該服務(wù)通常與網(wǎng)關(guān)主機(jī)位于同一位置），客戶端應(yīng)用程序使用擴(kuò)展服務(wù)進(jìn)行驗證。

5 可用性

5.1 聚合網(wǎng)絡(luò)的可用性

為了提高服務(wù)的可用性，必須避免單點故障，我們在系統(tǒng)中的所有位置都采用冗余設(shè)計。每個聚合服務(wù)器都由在地理上分散分布的、并行工作的聚合服務(wù)器集群所替代，以便較低級別的服務(wù)器向集群的每個成員發(fā)送請求，并使用第一個接收到的服務(wù)器作為有效答復(fù)。如果假設(shè)單個聚合服務(wù)器的可用系數(shù)為0.99（即大約每年停機(jī)3.5 天），那么在假設(shè)停機(jī)事件完全獨立的情況下，具有兩個服務(wù)器的集群的可用性大約為0.9999。同時，集群可以在不停機(jī)的情況下進(jìn)行擴(kuò)展和重新配置。

5.2 核心網(wǎng)絡(luò)的可用性

頂層聚合步驟也由具有冗余設(shè)計的服務(wù)器集群執(zhí)行。為確保全球哈希日歷的唯一性，最上層集群(稱為核心集群)的服務(wù)器之間必須存在某種協(xié)議。可能需要處理的情況包括：

（1）一些請求可能無法到達(dá)核心服務(wù)器的所有服務(wù)器；

（2）核心服務(wù)器可能以不同的順序接收請求；

（3）一些站點可能被斷開連接、關(guān)閉、維護(hù)等。

總體上，可能所有核心服務(wù)器都有不同的哈希根值。該問題的解決方案是，服務(wù)器使用多方協(xié)議將其哈希根值發(fā)送到所有核心節(jié)點，在每個可能重疊的回合結(jié)束時，多數(shù)核心服務(wù)器具有相同的哈希根值，并且具有不同哈希根值的服務(wù)器將知道它們不屬于多數(shù)。只有屬于多數(shù)的核心服務(wù)器才能根據(jù)它們同意的哈希根值填寫日歷數(shù)據(jù)庫中的值，并響應(yīng)它們的請求。只要仲裁服務(wù)器可以相互通信，協(xié)議就可以工作。由于網(wǎng)絡(luò)連接問題或本地托管問題而從核心服務(wù)集群中斷的服務(wù)器將自動恢復(fù)。

核心網(wǎng)絡(luò)中，平均達(dá)成共識協(xié)議的時間是連接的核心服務(wù)器之間往返時間的1.5 倍。之所以能夠做到這一點，是因為我們不采用惡意的安全模型，也不需解決完整的拜占庭協(xié)議（Byzantine Agreement）問題。在全網(wǎng)狀連接模型中，每條消息都使用不同的路由進(jìn)行廣播。

圖4：無鑰簽名區(qū)塊鏈技術(shù)對數(shù)字檔案的完整性驗證展示效果圖

6 無鑰簽名在檔案領(lǐng)域應(yīng)用案例介紹

隨著國家信息化建設(shè)的發(fā)展和浙江省“互聯(lián)網(wǎng)+政務(wù)服務(wù)”的廣泛應(yīng)用、“最多跑一次”改革的深入推進(jìn)要求，近年來，檔案部門加快推行“最多跑一次”事項電子化歸檔，建立數(shù)字化檔案資源在線歸檔、保存、移交和利用長效機(jī)制，極大便利了群眾查檔需求，促進(jìn)了檔案資源社會化功能的發(fā)揮。

然而由于數(shù)字檔案其虛擬性，具有易篡改、易損毀、環(huán)境依賴性強(qiáng)等特點，對數(shù)字檔案資源全生命周期內(nèi)的安全性、原始性、可靠性提出了新的挑戰(zhàn)。

慈溪市檔案館、寧波市檔案館以服務(wù)“最多跑一次”改革為抓手，從如何確保電子文件歸檔安全、數(shù)字檔案存儲安全的角度，進(jìn)行研究和探索應(yīng)用。并率先應(yīng)用無鑰簽名區(qū)塊鏈技術(shù)，通過對數(shù)字檔案文件添加“可信任標(biāo)簽”，提取數(shù)字指紋，保證數(shù)字檔案在形成之初、辦理流轉(zhuǎn)、共享利用、長久儲存等各個環(huán)節(jié)的完整性和可靠性，從而確保電子文件和數(shù)據(jù)在各環(huán)節(jié)不被篡改，實現(xiàn)電子化歸檔全生命周期安全管理和數(shù)字檔案的溯源管理。

區(qū)塊鏈技術(shù)在檔案領(lǐng)域的成功應(yīng)用也將為政務(wù)數(shù)據(jù)的開放共享、安全管理提供新的解決思路。無鑰簽名區(qū)塊鏈技術(shù)對數(shù)字檔案的完整性驗證展示效果圖如圖4 所示。