電子檔案簽名元數據淺析

◆王兵 李海濤 張曉路

（1.91977 部隊 北京 100841；2.海軍檔案館 北京 100841）

1 引言

電子檔案的真實性、完整性是其安全管理中的核心問題，一直制約著電子檔案信息系統的建設與發展，采用電子簽名技術可以保證用戶簽發的電子文件真實完整、不可否認，它為電子檔案的管理保存提供了有效手段和方法。《中華人民共和國電子簽名法》第十四條為可靠的電子簽名賦予了法律效力。2019 年發布的《國務院關于在線政務服務的若干規定》第八條再次確認和強調了電子簽名與手寫簽名或者蓋章具有同等法律效力。因而，運用電子簽名技術構建電子檔案管理系統已成為目前檔案信息化建設的最佳途徑。

2 電子簽名概述

電子簽名是指數據文件中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據[1]。電子簽名本質上屬于公鑰密碼技術中的數字簽名，是對待發布的文件進行簽名運算，生成的信息附加在原文件上一起傳遞和保存。該信息類似現實中的手寫簽名或印章，接收方可對其進行驗證，判斷原文真偽，用以認證文件來源并核實其內容是否發生修改變化。因此電子簽名可為電子檔案提供數據完整性和不可否認性保護。

電子簽名的生成、驗證往往需要第三方提供支撐服務，《電子簽名法》規定了可靠的電子簽名必須同時符合的四項條件，也規定了提供電子認證服務應具備的六項條件，單靠電子簽名的應用系統很難達到這些條件要求，電子簽名認證服務平臺的建設運行則可解決這些基礎性問題。《國務院關于在線政務服務的若干規定》中明確，國家政務服務平臺應“建設全國統一身份認證系統，為各地區、部門政務服務平臺提供統一身份認證服務”[1]，這將為基于電子簽名的電子文件管理提供權威統一的支撐環境和平臺，為實行“單套制”電子檔案管理創造有利條件。

3 電子檔案的電子簽名結構

依照電子簽名法規定，提供電子認證服務的技術和設備應當符合國家安全標準，電子檔案所采用的電子簽名應當符合相關國家標準的要求。GB/T25064-2010《電子簽名格式規范》將電子簽名按格式分為5 類，包括：基本電子簽名（BES）、帶時間戳的電子簽名（ES-T）、帶完全驗證數據的電子簽名（ES-C）、帶擴展的驗證數據的電子簽名（ES-X）、帶歸檔時間戳的電子簽名（ES-A）。帶擴展的驗證數據的電子簽名（ES-X）又可以分為ES-X0、ES-X1、ES-X2、ES-X3、ES-X4五種組成格式[2]。上述簽名格式類型中，“帶歸檔時間戳的電子簽名（ES-A）”是一種為信息長期歸檔保存而設置的電子簽名，是在其他各類電子簽名的基礎上相應添加時間戳，以保證電子簽名的長期安全性。ES-A 簽名類型為電子檔案長期保存中的數據鑒定、轉儲和遷移提供了有效工具。

為方便簽名驗證數據的獲取，電子檔案的簽名格式應盡量包含完整的驗證信息和數據，以免在需要審核驗證電子檔案真實性、完整性時增加時間或資源上的成本開銷。針對電子檔案長期管理保存的特殊需求，其電子簽名格式可采取基于ES-X0 的ES-A 電子簽名格式，其組成結構如圖1 所示。

圖1 電子檔案的簽名（ES-A）結構

圖1 體現了電子檔案的電子簽名（ES-A）與ES-X0、ES-C、ES-T、BES 間的包含組成關系。其中，BES 是包括了基本數據信息的電子簽名，主要包括簽名策略標識、數字簽名和簽名者提供的簽名屬性。數字簽名可以證實簽署人的身份，通過驗證該數字簽名可以證實相應電子文件由簽名者簽發。

“數字簽名的時間戳”是數字簽名形成時由TSA 簽發的時間戳。通過驗證該時間戳可以獲得電子檔案完整性以及簽發時間上的第三方確認，保證了在證書有效期內電子檔案的法律有效性。如果電子文件形成時沒有創建該時間戳，則后期的電子檔案接收審核環節應為其創建時間戳，使其記錄的時間盡可能接近BES 的形成時間。

“完整的證書和證書撤銷參考信息”和“完整的證書和證書撤銷數據”是驗證電子簽名時驗證者需要獲得的必要信息，主要是各相關簽名者的證書信息、CRL、證書狀態信息、網址參考信息等，驗證者使用這些信息可以方便地完成電子簽名的驗證，如果這些信息不夠完善，將增加驗證環節的操作成本，在電子檔案形成環節完善該部分信息，對長期保存后電子檔案的審核驗證來說格外重要。

“歸檔時間戳”是為長期保存電子檔案，對整個電子簽名創建的時間戳。由于認證服務平臺使用的各種算法、數據，其安全性都會隨技術進步而逐漸降低，各種證書也有確定的有效期，要長期保存電子檔案，就需在這些相關元素安全性降低前對整個電子簽名再創建一次時間戳，該數據也會因時間戳的增加而擴展。初始的歸檔時間戳由收集者在將電子文件轉化為電子檔案環節創建，后續添加新的歸檔時間戳則需根據認證服務平臺的服務約定和電子檔案的保存規劃確定時機。

電子簽名的驗證環節不僅要驗證BES 內容，還要檢驗簽名結構各部分的完整程度。沒有提供BES 的電子文件，無法驗證其真實完整，應不予接收；簽名者沒有提供的簽名元素內容，接收者應根據簽名中的參考信息向認證服務系統查詢獲取，并為整個簽名結構（ES-X0）創建初始的歸檔時間戳后形成ES-A。在簽名者與驗證者對電子檔案內容發生爭議時，可以依據內容完善的ES-A 電子簽名作出明確的裁定。

4 電子檔案的簽名元數據結構及封裝

雖然不同類型電子文件形成的電子檔案在設計相應元數據方案時會有所不同，但都應包含電子簽名元數據，且電子簽名元數據的子元素設置應當統一，與電子文件類型無關。DA/T 46-2009《文書類電子文件元數據方案》中對文書類電子文件元數據方案進行了規定，參照GB/T 25064-2010 的電子檔案電子簽名元數據設計如表1 所示。

表1 電子檔案的電子簽名元數據元素

表1 中除“簽名人”和“簽名時間”外的各元數據元素與前節描述的電子簽名各部分數據內容一一對應。由于沒有電子簽名的電子文件不具保存價值和法律效力，作為電子簽名基本內容的“簽名策略標識符”、“簽名屬性”、“數字簽名”、和“歸檔時間戳”四項元數據元素的約束性設定為“必選”。電子簽名的另外三項元數據元素若被缺省，則可在適當時機向相應認證服務機構查詢獲取，其約束性設定為“可選”。

電子簽名中包含了簽名人身份及其證書信息，表1 中“簽名人”元素內容可在形成電子檔案時從電子簽名數據中解析獲取。專門設置“簽名人”元素是為了方便電子檔案管理利用時的檢索查詢，防止頻繁進行解析電子簽名的操作，但要注意的是其必須與電子簽名中包含的簽名人身份及其證書信息相一致，若發生不一致則應以電子簽名中的內容為準。

“數字簽名時間戳”內綁定的時間是電子文件形成時的可信時間，相關方都應認可，表1“簽名時間”元素的時間內容應當從“數字簽名時間戳”解析獲取，該元素的設置也是為了方便電子檔案管理利用時的檢索查詢，防止頻繁進行解析時間戳的操作，同樣要注意其必須與數字簽名時間戳中所包含的時間信息相一致，若發生不一致則應以數字簽名時間戳中的時間為準。由于基本數字簽名形成時可能受條件影響未獲取相應的時間戳，則“簽名時間”元素的時間內容應當從初始歸檔時間戳中解析獲取，并保持一致。

DA/T48-2009《基于 XML 的電子文件封裝規范》參照DA/T46-2009 的元數據方案對基于XML 的電子文件封裝格式進行了規定，其中電子簽名相關的元數據的設置也需要按照表1 進行相應的調整。主要是取消“簽名標識符”（M234）和“鎖定簽名”（M236）元數據元素，電子簽名元數據其余部分的元素應與表1 相一致。

取消“簽名標識符”主要是因為實際工作中沒有合適的條件和時機來創建該項內容，如果是出于方便電子檔案管理利用時檢索查詢，可以組合“簽名人”和“簽名時間”兩元素進行數據庫檢索查詢操作，也可以在形成電子檔案時為電子簽名分配一個序列號以便檢索，但該序列號只在本地系統中有效，不能作為簽名唯一標識。取消“鎖定簽名”主要是因為歸檔時間戳可以起到替代作用，且其中包含可信的時間，功能性更強，與電子簽名其他部分封裝時結構上更顯簡潔高效，而原“鎖定簽名”則無法解決簽名時間的不可否認。

按表 1 及相應設計，使 DA/T48-2009、DA/T46-2009、GB/T25064-2010 在電子簽名結構上取得基本一致，鑒于電子檔案的簽名元數據結構及封裝對數字檔案信息系統開發建設的基礎性作用，其結構設計還應作進一步的探討和實踐，使其更加科學合理、標準規范，能經得起實踐檢驗。

5 結語

檔案信息系統建設依托電子簽名技術能有效保證檔案原始信息的真實與完整，提高可用性、安全性和管理效益。有關部門應當加強宏觀統籌規劃，論證確定解決電子檔案管理的模式方法和技術途徑；積極協同有關電子認證服務系統平臺和上位信息系統的建設論證，明確提出電子檔案管理的特定需求，推動符合行業需求的信息系統開發建設。