■ 文/閆棟 王啟付 蔣福興

1.廣州市公安局 2.公安部第一研究所

關(guān)鍵字：可信身份認(rèn)證 可信數(shù)據(jù)副本轉(zhuǎn)換 圖像閱覽

1 引言

當(dāng)前，推進(jìn)建設(shè)“數(shù)字政府”是我國(guó)落實(shí)網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略、建設(shè)“數(shù)字中國(guó)”的一項(xiàng)重大舉措。受制于現(xiàn)有數(shù)據(jù)交換方式中存在的問(wèn)題，考慮到系統(tǒng)聯(lián)通、數(shù)據(jù)共享的安全威脅，同時(shí)也懼怕出現(xiàn)信息泄露問(wèn)題時(shí)承擔(dān)的責(zé)任重大，很多政府單位對(duì)數(shù)據(jù)共享持拒絕態(tài)度，或者，至少拒絕對(duì)重要數(shù)據(jù)進(jìn)行共享。于是，很多“信息孤島”至今都無(wú)法實(shí)現(xiàn)業(yè)務(wù)上的“聯(lián)網(wǎng)通辦”，也就導(dǎo)致了很多跨政府、跨部門信息共享和業(yè)務(wù)協(xié)同仍停留在紙質(zhì)文件層面，這極大制約了政府服務(wù)的效率，降低了人民群眾對(duì)政府服務(wù)的滿意度?，F(xiàn)實(shí)考量與政策規(guī)劃的割裂性使得各政府部門間缺乏有效的數(shù)據(jù)共享協(xié)議、標(biāo)準(zhǔn)、機(jī)制，更無(wú)法實(shí)現(xiàn)真正意義上的跨政府和跨部門“聯(lián)網(wǎng)通辦”。

2 應(yīng)用需求存在的突出問(wèn)題

2.1 面向政府的數(shù)據(jù)安全共享面臨迫切需求

在國(guó)家以及各級(jí)政府統(tǒng)籌推進(jìn)“數(shù)字政府”建設(shè)，持續(xù)深化“放管服”改革的大背景下，全國(guó)一體化政務(wù)服務(wù)平臺(tái)建設(shè)工作不斷推進(jìn)。如何實(shí)現(xiàn)數(shù)據(jù)的安全共享，成為政務(wù)服務(wù)平臺(tái)實(shí)現(xiàn)全國(guó)一體化目標(biāo)亟需解決的關(guān)鍵性問(wèn)題。

目前，面向政府的數(shù)據(jù)共享需求眾多。主要包括如下方面。

2.1.1 網(wǎng)間信息交換需求

“數(shù)字政府”涉及到復(fù)雜的城市社會(huì)治理問(wèn)題，對(duì)跨部門協(xié)作提出了更高要求。過(guò)去，個(gè)別部門間存在職責(zé)交叉分散、協(xié)調(diào)運(yùn)作不暢等問(wèn)題。隨著“大部制”式機(jī)構(gòu)改革的持續(xù)深化，逐步建立健全了部門間協(xié)作運(yùn)行機(jī)制，實(shí)現(xiàn)了政府多個(gè)部門統(tǒng)一目標(biāo)。隨著部門與部門的工作交互越來(lái)越頻繁，政府內(nèi)部跨部門數(shù)據(jù)共享、共用現(xiàn)象，已不再是創(chuàng)新亮點(diǎn)，而建立常態(tài)化共享機(jī)制成為“數(shù)字政府”大數(shù)據(jù)建設(shè)工作的基本措施。

2.1.2 網(wǎng)內(nèi)信息交換需求

在政府日常的證照辦理、文件傳遞與交換過(guò)程中，存在大量的信息交互。目前，國(guó)內(nèi)各級(jí)政府部門和機(jī)構(gòu)，均建設(shè)和運(yùn)維著各自的信息化系統(tǒng)。比如，門戶網(wǎng)站內(nèi)容管理系統(tǒng)、OA 辦公系統(tǒng)、業(yè)務(wù)審批系統(tǒng)、證照查詢系統(tǒng)等。但由于諸多因素的影響，即使同一區(qū)域的政府機(jī)構(gòu)間也難以進(jìn)行順暢、高效的溝通，信息孤島情況屢見(jiàn)不鮮。

2.1.3 政府紅頭文件的發(fā)布需求

現(xiàn)有對(duì)外發(fā)布的紅頭文件（如：公告、通知），由于文件內(nèi)容發(fā)布后會(huì)被再次轉(zhuǎn)存，存在再次復(fù)制、修改、分發(fā)，甚至泄露給沒(méi)有查閱權(quán)限用戶的風(fēng)險(xiǎn)，安全保障措施不足，導(dǎo)致不良影響甚至破壞性后果。因此，傳統(tǒng)紅頭文件掃描傳輸發(fā)布的方式無(wú)法被廣泛采用，文件內(nèi)容更不適合在廣域網(wǎng)傳遞。政府的重要文件不得不采用最原始的紙質(zhì)文件交換、發(fā)放等發(fā)布方式，以確保相關(guān)工作安全、可信、可控。這種方式大大降低了信息發(fā)布效率，阻礙全國(guó)政務(wù)服務(wù)平臺(tái)一體化建設(shè)的進(jìn)程。

2.1.4 跨級(jí)政府間文件交換需求

我國(guó)政府從上至下分為五級(jí)，分別是：國(guó)家級(jí)、省級(jí)、市級(jí)、縣（區(qū)）級(jí)、鄉(xiāng)鎮(zhèn)（街道）級(jí)。政府部門上下級(jí)之間存在大量的數(shù)據(jù)和文件交換需求。

2.1.5 政府組織內(nèi)部文件交換需求

同一級(jí)政府組織通常由本級(jí)政府人大、本級(jí)政府政協(xié)、本級(jí)政府組成。在本級(jí)政府人大、本級(jí)政府政協(xié)以及本級(jí)政府之間的日常事務(wù)處理中，也存在大量的信息和文件交換需求。

2.1.6 政府部門之間文件交換需求

同級(jí)政府內(nèi)部存在多個(gè)不同部門，通常至少包括：財(cái)政部門、民政部門以及工商部門，在這些部門間的日常事務(wù)處理過(guò)程中，也存在大量的數(shù)據(jù)和文件交換需求。

面對(duì)如此眾多的數(shù)據(jù)共享需求，能否有效保證數(shù)據(jù)共享安全性，將成為加快建設(shè)服務(wù)型政府，推進(jìn)政府決策科學(xué)化、社會(huì)治理精準(zhǔn)化、公共服務(wù)高效化，同時(shí)也是提升政府服務(wù)質(zhì)量、增強(qiáng)政府公信力、推進(jìn)建設(shè)服務(wù)型政府的關(guān)鍵因素。

2.2 傳統(tǒng)數(shù)據(jù)共享存在諸多問(wèn)題

傳統(tǒng)數(shù)據(jù)共享過(guò)程大多是對(duì)原始電子文件進(jìn)行加密或采用壓縮工具進(jìn)行壓縮之后，再將已壓縮后的文件通過(guò)網(wǎng)絡(luò)發(fā)送給接收端。接收端需要采用與發(fā)送端相同的解壓軟件進(jìn)行解壓，再用與發(fā)送端相同的APP（應(yīng)用程序）打開、還原，才能獲得原始文件信息。

這種數(shù)據(jù)交換方式存在以下弊端：

1）文件一旦發(fā)出，即處于失控狀態(tài)?，F(xiàn)有“數(shù)字政府”體系中，將源端原始文件直接用于數(shù)據(jù)交換。接收方獲得原始文件后，對(duì)于原始文件所有者來(lái)說(shuō)，文件已經(jīng)處于失控狀態(tài)。接收方對(duì)于原始文件的支配過(guò)程（使用、傳輸、修改等），原始文件所有者無(wú)法干預(yù)，也無(wú)從知曉。雖然，可以通過(guò)在接收端設(shè)置安全鎖、設(shè)置登錄權(quán)限限制、封閉U 盤、限制上網(wǎng)權(quán)限等措施來(lái)對(duì)接收方的行為加以限制，但這些措施并不能從根本上解決文件傳輸?shù)陌踩詥?wèn)題。

2）集中式數(shù)據(jù)存儲(chǔ)，一旦數(shù)據(jù)發(fā)生泄露，損失慘重。以原始文件作為傳輸目標(biāo)的數(shù)據(jù)共享方式，建立在數(shù)據(jù)集中存儲(chǔ)的基礎(chǔ)上，這在無(wú)形之中會(huì)使得數(shù)據(jù)安全威脅擴(kuò)大。網(wǎng)絡(luò)存儲(chǔ)的不安全因素難以杜絕，非法人員可能借助病毒等不法手段攻擊政府信息存儲(chǔ)平臺(tái)，從而導(dǎo)致信息泄露、造成巨大損失。

3）文件交換過(guò)程不可追蹤，無(wú)法追責(zé)，亦無(wú)技術(shù)手段支撐立法取證。原始文件的直接交換，將產(chǎn)生大量數(shù)據(jù)文件的傳遞、存儲(chǔ)和備份。這些數(shù)據(jù)文件的傳遞、存儲(chǔ)和備份無(wú)法被追蹤，后續(xù)產(chǎn)生的數(shù)據(jù)泄露也無(wú)法追責(zé)。

2.3 可信數(shù)據(jù)交換技術(shù)為面向政府的數(shù)據(jù)安全共享奠定技術(shù)基礎(chǔ)

可信數(shù)據(jù)交換技術(shù)的核心是：可信身份認(rèn)證和可信數(shù)據(jù)副本轉(zhuǎn)換。

2.3.1 可信身份認(rèn)證

為實(shí)現(xiàn)政府間跨區(qū)域、跨層級(jí)的數(shù)據(jù)交換，全國(guó)一體化政府服務(wù)平臺(tái)具有數(shù)據(jù)所有者、使用者以及存儲(chǔ)者在地理位置上相分離的特點(diǎn)。在這一特定背景下，數(shù)據(jù)交換前的用戶可信身份認(rèn)證至關(guān)重要。

身份是指社會(huì)交往中用于識(shí)別個(gè)體成員差異的標(biāo)識(shí)，它是維護(hù)社會(huì)秩序的基石。網(wǎng)絡(luò)空間中，參與各類網(wǎng)絡(luò)活動(dòng)的人、單位或者組織等都具有網(wǎng)絡(luò)行為的實(shí)體身份，也稱網(wǎng)絡(luò)身份。但并不是所有的網(wǎng)絡(luò)身份都是可信的。由網(wǎng)絡(luò)身份衍生出的電子身份憑證，被稱為網(wǎng)絡(luò)可信身份標(biāo)識(shí)。對(duì)網(wǎng)絡(luò)主體的網(wǎng)絡(luò)身份標(biāo)識(shí)進(jìn)行檢驗(yàn)，來(lái)確認(rèn)網(wǎng)絡(luò)主體的身份是否可信的過(guò)程，稱為可信身份認(rèn)證?？尚派矸菡J(rèn)證手段有很多，從使用密碼到智能卡，再到生物特征等，網(wǎng)絡(luò)應(yīng)用場(chǎng)景對(duì)安全性的要求越高，采用的認(rèn)證手段安全強(qiáng)度也越高。

2.3.2 可信數(shù)據(jù)副本轉(zhuǎn)換

前文已經(jīng)提到：如果將原始文件直接發(fā)送給接收方，則接收方對(duì)原始文件進(jìn)行轉(zhuǎn)存后，可能存在復(fù)制、修改、分發(fā)等行為，這使得文件安全性不可控制。有鑒于此，本文所提供的可信數(shù)據(jù)副本轉(zhuǎn)換技術(shù)原理是：將原始文件轉(zhuǎn)換為特定副本文件之后進(jìn)行傳輸。

上述特定副本文件至少需要滿足以下需求：

1)無(wú)法被轉(zhuǎn)存。由于不能被轉(zhuǎn)存，將直接杜絕后續(xù)數(shù)據(jù)接收方對(duì)數(shù)據(jù)的非法使用、傳播等，從而有效避免數(shù)據(jù)發(fā)出后不可控的局面。

2)能保證數(shù)據(jù)接收方對(duì)信息的正常獲取。為了能在不發(fā)送原始文件的情況下，保證數(shù)據(jù)接收方對(duì)信息的正常獲取，將原始文件轉(zhuǎn)換為圖像文件并實(shí)時(shí)傳輸是一種有效的解決方案。一方面，接收方能夠通過(guò)觀看圖像正確獲取必要信息；另一方面，圖像文件本身并不會(huì)在本地進(jìn)行存儲(chǔ)，也就能避免接收方對(duì)圖像文件的獲取和非法使用。

3 研究?jī)?nèi)容

本文旨在以可信數(shù)據(jù)交換技術(shù)為基礎(chǔ)，提供一套有效的數(shù)據(jù)共享方案，以期實(shí)現(xiàn)數(shù)字文件跨互聯(lián)網(wǎng)可信傳輸?shù)哪繕?biāo)，并建構(gòu)一種數(shù)據(jù)安全共享系統(tǒng)，從而為實(shí)現(xiàn)跨政府、跨部門業(yè)務(wù)協(xié)同體系建設(shè)奠定技術(shù)基礎(chǔ)。具體來(lái)說(shuō)，數(shù)據(jù)安全共享系統(tǒng)的目標(biāo)是：

1）實(shí)現(xiàn)安全、可信數(shù)據(jù)交換體系。提供一種安全、可信的電子文件傳輸方案，同時(shí)通過(guò)可信身份認(rèn)證手段的加持，讓文件接收方和原始文件涉及到的相關(guān)方相互之間的責(zé)任、權(quán)力、利益更加明確。

2）實(shí)現(xiàn)全國(guó)政務(wù)的聯(lián)網(wǎng)通辦，提高政府部門辦事效率。通過(guò)實(shí)現(xiàn)數(shù)字文件跨網(wǎng)絡(luò)安全傳輸，保證全國(guó)政務(wù)的聯(lián)網(wǎng)通辦，減少人民群眾“多頭跑”的次數(shù)，切實(shí)解決人民群眾“辦事難”的問(wèn)題，打造面向人民群眾的“一站式”辦事平臺(tái)，從而利用現(xiàn)代技術(shù)提高政府部門的現(xiàn)代化管理水平，提高人民群眾滿意度。

3）降低政府單位工作人員的工作強(qiáng)度。通過(guò)對(duì)文件信息的安全可信傳輸，解決很多單位部門使用紙質(zhì)文件傳輸?shù)膯?wèn)題，同時(shí)，將大量的認(rèn)證、確認(rèn)工作，交給AI自動(dòng)識(shí)別、辦理，一方面可以降低工作人員的工作強(qiáng)度，另一方面也減少人為出錯(cuò)的概率。

4）減少政府部門財(cái)政投入。第一，減少人力成本投入采用該方案、并由計(jì)算機(jī)AI 識(shí)別技術(shù)賦能，在政務(wù)領(lǐng)域?qū)崿F(xiàn)業(yè)務(wù)自助辦理，取代人工辦理的人員、場(chǎng)地和資金投入，從而節(jié)約政府開支。第二，減少設(shè)備成本投入。只需要借助通用終端即可實(shí)現(xiàn)安全、可信文件傳輸和業(yè)務(wù)辦理，不需要專門的硬件設(shè)備投入，從而節(jié)約專用設(shè)備購(gòu)買和環(huán)境搭建費(fèi)用。第三，減少場(chǎng)地成本投入。借助于通用終端，對(duì)場(chǎng)地?zé)o特殊限制和要求；無(wú)需為專用設(shè)備設(shè)置專門場(chǎng)地，從而減少場(chǎng)地費(fèi)用投入。

4 體系建設(shè)

4.1 建設(shè)原則

4.1.1 數(shù)據(jù)安全

基于可信身份認(rèn)證和可信數(shù)據(jù)交換技術(shù)，實(shí)現(xiàn)數(shù)據(jù)的安全共享，打通各政府部門之間的數(shù)據(jù)傳輸通道，從而為數(shù)據(jù)安全保駕護(hù)航。

4.1.2 符合國(guó)家標(biāo)準(zhǔn)

符合《國(guó)家電子政務(wù)總體框架》相關(guān)要求；

遵循《電子政務(wù)標(biāo)準(zhǔn)化指南》相關(guān)規(guī)定；

符合GB/T 21062.1-2007 政務(wù)信息資源交換體系中的總體框架、技術(shù)要求、數(shù)據(jù)接口規(guī)范及技術(shù)管理要求。

4.1.3 可擴(kuò)展集成

數(shù)據(jù)安全共享系統(tǒng)可以無(wú)縫集成多種功能組件，從而靈活匹配項(xiàng)目實(shí)際需求；另外，本系統(tǒng)還具備非常高的可擴(kuò)展性，所有模塊均提供對(duì)外接口能夠連接各級(jí)政府單位和部門。

4.2 核心思路

為了實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)目尚藕涂煽?，本文所?gòu)建的數(shù)據(jù)安全共享系統(tǒng)其核心技術(shù)思想是：將原始文件轉(zhuǎn)換為特定數(shù)據(jù)副本文件，并基于特定數(shù)據(jù)副本文件進(jìn)行數(shù)據(jù)傳輸。所述特定數(shù)據(jù)副本文件必須滿足兩個(gè)條件：一是不可被轉(zhuǎn)存，二是不影響接收方對(duì)信息的正常獲取。

基于此，數(shù)據(jù)副本傳輸技術(shù)實(shí)現(xiàn)原理如下所述。

4.2.1 數(shù)據(jù)副本定義

對(duì)原創(chuàng)數(shù)據(jù)文件進(jìn)行復(fù)刻后，產(chǎn)生一個(gè)新的原創(chuàng)數(shù)據(jù)文件，該“新的原創(chuàng)數(shù)據(jù)文件”被稱為數(shù)據(jù)副本文件。如圖1 所示。

圖1 數(shù)據(jù)副本定義

數(shù)據(jù)副本文件通過(guò)復(fù)刻方式生成，復(fù)刻方式是指通過(guò)特定圖形圖像編碼技術(shù)將數(shù)據(jù)格式的文本文件轉(zhuǎn)碼成圖形圖像格式的圖像流文件，該圖像流文件即被稱為數(shù)據(jù)副本文件。

通過(guò)復(fù)刻方式產(chǎn)生的數(shù)據(jù)副本文件，其內(nèi)容不可編輯。

4.2.2 數(shù)據(jù)副本傳輸模式

基于使用場(chǎng)景的不同，數(shù)據(jù)副本傳輸有兩種模式：在線傳輸模式和離線傳輸模式。

4.2.2.1 在線傳輸模式

如圖2 所示，在線傳輸模式中，原創(chuàng)數(shù)據(jù)文件經(jīng)“復(fù)刻”處理后得到數(shù)據(jù)副本文件。數(shù)據(jù)副本文件本質(zhì)上是圖形圖像格式的圖像流文件，將這種圖像流文件以數(shù)據(jù)鏡像流方式發(fā)送到接收端以后，接收端通過(guò)支持圖形圖像解碼技術(shù)的工具軟件實(shí)時(shí)解碼顯示接收到的數(shù)據(jù)鏡像流，此過(guò)程被稱之為“數(shù)據(jù)投影”。此方式針對(duì)實(shí)時(shí)傳輸場(chǎng)景，圖形流文件本地不保存，所有文件閱后即焚，能夠保證用戶對(duì)原創(chuàng)數(shù)據(jù)文件信息的“可見(jiàn)，不可得”。

圖2 數(shù)據(jù)副本傳輸模式

4.2.2.2 離線傳輸模式

如圖3 所示，離線傳輸模式中，將原創(chuàng)數(shù)據(jù)文件經(jīng)“復(fù)刻”處理得到數(shù)據(jù)副本文件后，還需要對(duì)數(shù)據(jù)副本文件進(jìn)行“復(fù)制”，從而得到孿生副本文件，孿生副本文件是原數(shù)據(jù)副本文件的直接拷貝件。孿生副本文件通過(guò)應(yīng)用網(wǎng)絡(luò)發(fā)送給接收端，接收端用戶采用支持圖形圖像解碼技術(shù)的閱讀器工具打開孿生副本文件進(jìn)行瀏覽。該方式針對(duì)非實(shí)時(shí)傳輸場(chǎng)景，用戶在瀏覽過(guò)程中，可以進(jìn)行播放、暫停、停止等操作。

圖3 離線傳輸模式

4.2.3 數(shù)據(jù)副本共享場(chǎng)景內(nèi)容

1）交換：指文件的一對(duì)一傳輸，從一個(gè)端到另外一個(gè)端。

2）廣播：文件的一對(duì)多傳輸，從一個(gè)端到另外的多個(gè)端。

3）點(diǎn)播：播放端對(duì)某個(gè)原創(chuàng)數(shù)據(jù)文件的在線閱讀。

4）會(huì)簽：多端對(duì)同一副本文件進(jìn)行簽字。

4.2.4 數(shù)據(jù)副本可控原理

基于數(shù)據(jù)副本文件交換的數(shù)據(jù)安全共享方案中，數(shù)據(jù)副本文件的格式為*.gtp，這是一種專有格式的圖形圖像化文件；文件交換采用私有圖形圖像傳輸協(xié)議，文件打開采用支持相同私有圖形圖像解碼協(xié)議的工具軟件，整個(gè)過(guò)程閉環(huán)可控。原始文件不需要被傳輸，而數(shù)據(jù)副本文件為圖像文件，只會(huì)在接收端進(jìn)行顯示而不會(huì)被保存。

在數(shù)據(jù)副本文件交換過(guò)程中，通過(guò)設(shè)置關(guān)鍵的控制信息：時(shí)間和次數(shù)，從而對(duì)用戶行為進(jìn)行限制。時(shí)間和次數(shù)的取值是基于接收方身份等級(jí)和文件的不同屬性而設(shè)置的。在設(shè)置了控制信息之后，接收方只能在規(guī)定的時(shí)間內(nèi)閱讀數(shù)據(jù)副本文件，且閱讀次數(shù)不能超過(guò)規(guī)定次數(shù)。

4.2.5 數(shù)據(jù)副本可信原理

數(shù)據(jù)安全共享系統(tǒng)借助跨網(wǎng)用戶的可信身份認(rèn)證系統(tǒng)，通過(guò)可信身份認(rèn)證技術(shù)從根本上解決數(shù)據(jù)副本文件傳輸前的用戶身份可信認(rèn)證問(wèn)題，實(shí)現(xiàn)原始文件信息安全可信傳輸。在數(shù)據(jù)副本文件傳輸?shù)幕A(chǔ)上，增加了對(duì)數(shù)據(jù)副本接收方的可信身份認(rèn)證?？尚派矸菡J(rèn)證的關(guān)鍵環(huán)節(jié)是可信認(rèn)證信息的設(shè)置，只有通過(guò)人、證、根合一的認(rèn)證因子認(rèn)證的使用者，才可以進(jìn)行副本文件的閱讀，通過(guò)可信身份認(rèn)證能夠保證整個(gè)數(shù)據(jù)交換過(guò)程安全可信。

4.3 體系架構(gòu)

可信數(shù)據(jù)共享系統(tǒng)分為三大組成部分：數(shù)據(jù)副本閱覽端、數(shù)據(jù)副本服務(wù)器和用戶身份可信認(rèn)證系統(tǒng)，如圖4所示。

圖4 可信數(shù)據(jù)共享系統(tǒng)

其中，數(shù)據(jù)副本閱覽端，用于接收數(shù)據(jù)副本服務(wù)器發(fā)送的數(shù)據(jù)副本文件（圖形圖像格式的圖像流文件，包括數(shù)據(jù)副本文件和孿生數(shù)據(jù)副本文件），并能夠?qū)邮盏降臄?shù)據(jù)副本文件進(jìn)行解碼和顯示。因此，數(shù)據(jù)副本閱覽端可以為任何形態(tài)的、內(nèi)置有用于對(duì)數(shù)據(jù)副本文件進(jìn)行解碼的軟件工具的終端設(shè)備，包括但不限于PC、筆記本、智能手機(jī)、平板電腦、服務(wù)器和專用設(shè)備。

數(shù)據(jù)副本服務(wù)器，用于對(duì)原始文件進(jìn)行“復(fù)刻”得到數(shù)據(jù)副本文件，并在離線傳輸模式下，對(duì)數(shù)據(jù)副本文件進(jìn)行“復(fù)制”后得到孿生數(shù)據(jù)副本文件，將得到的孿生數(shù)據(jù)副本文件通過(guò)應(yīng)用網(wǎng)絡(luò)發(fā)送給數(shù)據(jù)副本閱覽端；或者，在在線模式下，直接將數(shù)據(jù)副本文件以數(shù)據(jù)鏡像流的形式實(shí)時(shí)傳輸?shù)綌?shù)據(jù)副本閱覽端。

用戶身份可信認(rèn)證系統(tǒng)，用于對(duì)接收方用戶的身份可信性進(jìn)行認(rèn)證，以保證只有具有可信身份的用戶才能夠?qū)?shù)據(jù)副本文件進(jìn)行閱覽。同時(shí)，可以通過(guò)對(duì)可信用戶閱覽的時(shí)長(zhǎng)和次數(shù)進(jìn)行控制來(lái)進(jìn)一步確保文件信息的安全性。

4.4 實(shí)施方案

本方案基于私有圖形圖像傳輸協(xié)議對(duì)原始文件進(jìn)行圖形圖像化處理得到數(shù)據(jù)副本文件，并將得到的數(shù)據(jù)副本文件用于傳輸，從而取代對(duì)原始文件的直接傳遞與交換。向用戶呈現(xiàn)數(shù)據(jù)副本文件的方式為圖像閱覽，取代現(xiàn)有原始文件傳輸過(guò)程中先打開文件再呈現(xiàn)的方式。本方案能夠杜絕原始文件傳輸過(guò)程中的安全隱患，并且圖像傳輸過(guò)程可信、可控。

其中，圖形圖像傳輸協(xié)議用于對(duì)圖像進(jìn)行像素級(jí)采集、編解碼、傳輸，因此，不需要傳遞原始數(shù)據(jù)，也不涉及原始數(shù)據(jù)格式。將原始文件轉(zhuǎn)碼（復(fù)刻）成特殊的gtp格式的圖像流文件之后，閱讀時(shí)打開并觀看的是圖像流，這種方式能夠確保原始文件信息安全保密。此過(guò)程閉環(huán)安全，可以兼容各種應(yīng)用創(chuàng)建的原始文件，比如，各類文檔（如，.doc、.xlsx、.ppt、.pdf 文件）以及各類圖像文件（如，.3D、.bmp、.jpeg、.PNG）等等，從而滿足現(xiàn)有政務(wù)一體化平臺(tái)中的文件信息傳輸需求。

數(shù)據(jù)副本服務(wù)器根據(jù)圖形圖像傳輸協(xié)議，將原始文件的數(shù)據(jù)流轉(zhuǎn)碼成圖像流之后，再利用特有圖形圖像傳輸協(xié)議進(jìn)行廣域網(wǎng)傳輸，由數(shù)據(jù)副本閱覽端接收后進(jìn)行查閱，即完成了數(shù)據(jù)共享全過(guò)程。數(shù)據(jù)服務(wù)服務(wù)器圖如圖5 所示。

圖5 數(shù)據(jù)副本服務(wù)器

4.4.1 副本文件傳輸和閱覽

接收端采用一套統(tǒng)一的滿足私有圖形圖像傳輸協(xié)議的解碼軟件，打開后數(shù)據(jù)副本文件后以視頻圖像的方式呈現(xiàn)原始文件的信息。其應(yīng)用場(chǎng)景可分為兩種，在線實(shí)時(shí)文件可信閱覽場(chǎng)景和離線文件可信閱覽場(chǎng)景，對(duì)這兩種閱覽場(chǎng)景分別介紹如下。

4.4.1.1 在線實(shí)時(shí)文件可信閱覽場(chǎng)景

接收端首先需要進(jìn)行用戶身份可信認(rèn)證，只有身份認(rèn)證通過(guò)后的用戶，才被認(rèn)為是合法用戶，才能獲得數(shù)據(jù)副本文件的在線閱覽權(quán)。

如圖6，接收端在線實(shí)時(shí)查看到的文件信息是以實(shí)時(shí)圖形圖像、視頻方式進(jìn)行呈現(xiàn)的。接收端（客戶端）本地并不保存圖像、視頻信息，圖像、視頻信息閱后即焚，只將最終結(jié)果實(shí)時(shí)呈現(xiàn)給客戶。這個(gè)過(guò)程采用私有圖形圖像傳輸協(xié)議（只傳圖像、不傳數(shù)據(jù)、閱后即焚），確保接收端在不獲得原始文件的情況下對(duì)原始文件進(jìn)行在線查閱，從而保證用戶對(duì)原始文件的“可見(jiàn)，不可得”，也就確保了文件信息的絕對(duì)安全性。

圖6 在線實(shí)時(shí)文件可信閱覽場(chǎng)景

4.4.1.2 離線文件可信閱覽場(chǎng)景

在進(jìn)行離線文件閱覽之前，接收端用戶同樣需要進(jìn)行用戶身份可信認(rèn)證，只有身份認(rèn)證通過(guò)后的用戶，才被認(rèn)為是合法用戶，才能進(jìn)行下一步的離線文件閱覽。

如圖7，該過(guò)程是將原始文件（如*.doc、*.pdf、*.c、*.3D 等）轉(zhuǎn)碼成*.gtp 文件，并離線打開，然后以圖形圖像、視頻流的方式呈現(xiàn)，*.gtp 文件呈現(xiàn)的是圖形圖像、視頻信息。通過(guò)這種方式，能夠確保接收端在不獲得原始文件的情況下對(duì)原始文件進(jìn)行查閱，從而既保證了接收端獲取正確的有效信息，也能夠保證原始文件的絕對(duì)安全性。

圖7 離線文件可信閱覽場(chǎng)景

4.4.2 用戶可信身份認(rèn)證

為了進(jìn)行用戶可信身份認(rèn)證，需要構(gòu)建可信身份認(rèn)證系統(tǒng)?？尚派矸菡J(rèn)證系統(tǒng)由電子證照庫(kù)和可信身份認(rèn)證中心組成。

4.4.2.1 電子證照庫(kù)

以公民身份號(hào)碼等唯一標(biāo)識(shí)構(gòu)建的電子證照數(shù)據(jù)中心，實(shí)現(xiàn)涉及政務(wù)服務(wù)事項(xiàng)的證照數(shù)據(jù)、相關(guān)證明等信息的跨部門、跨區(qū)域、跨行業(yè)互認(rèn)共享。集合電子證照應(yīng)用系統(tǒng)，可實(shí)現(xiàn)電子證照從簽發(fā)、使用、驗(yàn)證、吊銷等全生命周期管理以及支撐群眾辦理業(yè)務(wù)過(guò)程中的證照查詢、使用、驗(yàn)證，避免重復(fù)提交，實(shí)現(xiàn)一號(hào)申請(qǐng)，提供權(quán)威數(shù)據(jù)。

4.4.2.2 可信身份認(rèn)證中心

可信身份認(rèn)證中心依托權(quán)威的居民身份信息數(shù)據(jù)庫(kù)，可針對(duì)每個(gè)人在網(wǎng)上生成一個(gè)唯一編號(hào)的 “身份證網(wǎng)上副本 ”與實(shí)體身份證唯一對(duì)應(yīng)。同時(shí)采用多因子和多認(rèn)證模式的系統(tǒng)，多因子認(rèn)證技術(shù)在保護(hù)公民隱私信息的同時(shí)，通過(guò)生物特征識(shí)別等手段，能夠解決“ 我就是我” 的問(wèn)題，有效地實(shí)現(xiàn)實(shí)名認(rèn)證和人證合一，使得收發(fā)兩端的數(shù)據(jù)共享更加可靠、安全。本系統(tǒng)實(shí)際采用的認(rèn)證模式為：公民用戶標(biāo)識(shí)代碼+實(shí)人+密碼+實(shí)證。認(rèn)證因子包括：公民用戶標(biāo)識(shí)代碼+人像+密碼+身份證，認(rèn)證模式效力為最高級(jí)。

4.4.2.3 基于區(qū)塊鏈技術(shù)實(shí)現(xiàn)用戶身份可信認(rèn)證

將可信身份認(rèn)證中心與區(qū)塊鏈相結(jié)合，利用區(qū)塊鏈的去中心、防篡改、可追溯、可信任等特性，不依賴特定認(rèn)證中心實(shí)現(xiàn)數(shù)據(jù)的可信認(rèn)證。

4.4.3 數(shù)據(jù)安全共享系統(tǒng)特點(diǎn)

4.4.3.1 數(shù)據(jù)副本格式歸一化

本方案的核心思想是將各種類型的原始文件進(jìn)行圖形圖像轉(zhuǎn)碼后，得到格式統(tǒng)一的數(shù)據(jù)副本文件。相較于現(xiàn)有方案，此方案不需要在接收端安裝與發(fā)送端相同的文件打開工具軟件，也更不用考慮軟件版本兼容性。如此，能夠降低對(duì)接收端的軟件、硬件環(huán)境要求；解碼端應(yīng)用簡(jiǎn)單統(tǒng)一，實(shí)現(xiàn)了信息呈現(xiàn)的歸一化，具有通用性。

4.4.3.2 信息安全可控

由于副本文件傳輸過(guò)程可控，結(jié)果亦可控，本方案能夠徹底解決現(xiàn)有文件直接傳輸過(guò)程中身份不可控、文件不可控、安全不可控、內(nèi)容不可信等不安全問(wèn)題。

4.4.3.3 用戶身份可控

接收端在查看數(shù)據(jù)副本文件之前，必須要進(jìn)行身份可信性認(rèn)證。身份可信認(rèn)證過(guò)程，記錄了使用者身份、認(rèn)證時(shí)間、認(rèn)證次數(shù)等相關(guān)信息。采用可信身份認(rèn)證的管控，不僅能夠確保接收端用戶身份的合法性，而且，能夠?qū)φJ(rèn)證時(shí)效、認(rèn)證次數(shù)進(jìn)行相應(yīng)限制和約束。只有身份認(rèn)證為合法的用戶才有對(duì)數(shù)據(jù)副本文件進(jìn)行在線或者離線閱覽的權(quán)利。

4.4.3.4 信息可控

采用專用圖形圖像傳輸協(xié)議工具，實(shí)現(xiàn)在線或離線閱覽，閱讀的是圖形圖像信息，而非原始文件的數(shù)據(jù)信息。這樣能夠有效防止原始文件信息被篡改、被復(fù)制、被擴(kuò)散，保證原始文件內(nèi)容可信。

4.4.3.5 過(guò)程可控

本方案采用私有圖形圖像傳輸協(xié)議，通過(guò)網(wǎng)絡(luò)傳輸圖像視頻流，而非數(shù)據(jù)流，確保了網(wǎng)路不傳秘。

4.4.3.6 提供了立法基礎(chǔ)

采用私有圖像編解碼和傳輸技術(shù)取代原始文件的直接傳輸，通過(guò)在線/離線展示以及閱后即焚，實(shí)現(xiàn)文件“可見(jiàn)不可得”，保證信息可信安全。整個(gè)過(guò)程閉環(huán)、可控，所以可信、可靠。

4.4.3.7 跨網(wǎng)傳輸

基于私有圖形圖像傳輸協(xié)議的數(shù)據(jù)副本傳輸，為數(shù)據(jù)安全共享提供基礎(chǔ)，也就有了信息跨互聯(lián)網(wǎng)傳輸?shù)目赡堋１痉桨笍母旧蠈?shí)現(xiàn)了信息安全傳遞的目標(biāo)，極大的方便了政府部門相關(guān)工作人員和人民群眾。用戶只需要在廣域網(wǎng)隨時(shí)隨地接入系統(tǒng)就可進(jìn)行可信認(rèn)證，然后通過(guò)在線/離線閱覽，獲取信息。

4.4.3.8 傳輸協(xié)議

采用具有完全自主知識(shí)產(chǎn)權(quán)的私有圖像傳輸協(xié)議，與所述私有圖像傳輸協(xié)議相關(guān)的技術(shù)已獲得多項(xiàng)發(fā)明專利，該協(xié)議能夠有效保證只傳圖像、不傳數(shù)據(jù)。

4.4.3.9 文件格式

采用獨(dú)有的數(shù)據(jù)副本文件格式，與一般文件相比，所述數(shù)據(jù)副本文件是將數(shù)據(jù)源文件進(jìn)行屏幕級(jí)抓屏轉(zhuǎn)碼生成的，并可設(shè)置明水印和暗水印，其包含了像素級(jí)視頻流文件，不涉及數(shù)據(jù)源文件。文件信息中包含了如授權(quán)閱覽人認(rèn)證身份、閱覽次數(shù)、閱覽時(shí)效等信息。

4.4.3.10 性能優(yōu)良

本方案采用的圖像傳輸協(xié)議，能夠提供1080P＠60fps以上高清圖形圖像，以及PSNR ≥40 的圖像質(zhì)量，有效保證用戶的閱覽體驗(yàn)。

4 結(jié)語(yǔ)

本文探討了現(xiàn)有政務(wù)系統(tǒng)中由于網(wǎng)絡(luò)傳輸安全性低、文件交換后不可控等因素而導(dǎo)致的各級(jí)政府、部門之間無(wú)法真正互聯(lián)互通，因而政務(wù)服務(wù)無(wú)法實(shí)現(xiàn)“一網(wǎng)通辦”的問(wèn)題?；谟脩艨尚派矸菡J(rèn)證和可信數(shù)據(jù)副本傳輸技術(shù)，通過(guò)構(gòu)建數(shù)據(jù)安全共享系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)目尚藕涂煽?，從而為各?jí)政府、部門之間實(shí)現(xiàn)互聯(lián)互通提供技術(shù)基礎(chǔ)，并為全面推進(jìn)建設(shè)“數(shù)據(jù)政府”提供助力。