张培晶
(中国人民公安大学校办公室,北京 100038)
基于二维码技术的涉密文件保密管理系统
张培晶
(中国人民公安大学校办公室,北京 100038)
二维码技术是一种安全、便携的信息存储和传递技术。将含有文件属性信息的二维码标签与涉密文件绑定,将含有用户属性信息的二维码标签与涉密人员身份证件绑定,引入必要的信息安全技术,设计基于二维码标签的涉密文件保密管理系统,实现涉密文件生命周期全过程的保密监督管理和失泄密后的快速溯源分析。系统构建在非联网环境下,提高了系统自身的保密安全,降低了建设成本。
二维条码;涉密文件;保密;管理
实体性涉密文件的保密管理是国家机关、高等院校、科研院所保密工作的一项主要内容。在传统的依靠手工登记、人工审核的保密管理方式下,涉密文件管理效率低、规范性差,无法进行精确的查询统计和严格的过程监督,容易在文件流转和管理过程中发生失泄密事件,并且事件发生后追踪溯源困难,不利于快速堵塞漏洞。应用先进的信息技术实现涉密文件生命周期全过程、全环节的精确管理和严格监督已经成为加强涉密文件保密管理的必然要求和发展趋势。文件生命周期指文件从创建到销毁的整个时间范围,包括印制发布、借阅浏览、签收保管、清退销毁等诸多环节。但信息技术也是一把双刃剑,需要通过合理规划、科学设计和妥善应用,使其充分发挥积极正面作用,确保在涉密文件保密管理中的安全应用。本文综合应用二维码技术、信息安全技术和信息管理技术,结合有关涉密文件保密管理规范和经验,设计基于二维条码的涉密文件保密管理系统,实现非联网环境下涉密文件的全过程监督管理和追踪溯源。
1.1 条码技术的发展及其在文件管理中的应用
条码技术是一种基于计算机数据处理、光电传感等信息技术实现的信息存储、传递和识别方法。早期条码技术的应用为一维条码,支持小量的字母和数字信息的存储,通常在物流、仓储、商品零售等领域被作为实体的唯一标识,实现对实体的精确管理。
一维条码技术在文件分发流转和分类管理中也取得了一些应用成果,实现了对文件流转的有效跟踪,降低了文件分类管理的差错率。但是,一维条码技术在涉密文件保密管理中的应用受到很大限制。由于一维条码存在信息容量和编码内容的限制,只适于作为文件的唯一标识符使用,文件的密级、摘要等基础信息仍然依赖手工输入,文件管理效率和规范化程度仍有待提高。并且,当涉密文件在不同的地区或部门之间进行分发、流转时,要实现涉密文件的统一保密管理,需要依靠网络互连来实现被管理文件基础信息的交互以及用户身份信息的获取和验证。因此,基于一维条码的涉密文件保密管理信息系统必须构建在绝对安全的保密专用网络上。而保密网络的安全构建和维护本身就是一项复杂而艰巨的工作,不仅存在网络窃听的风险,高额的建设和维护成本使其难以普遍实施。
1.2 二维条码的优势和选型
二维条码(简称“二维码”)技术是在一维条码技术基础之上发展起来的,能够在横纵两个方向上同时携带信息,编码密度更高,信息容量相比一维条码有了很大提高;并且,二维条码的编码范围更广,可以存储图片、文字、签字、指纹等多种可以数字化的信息,支持多种语言文字的表示。结合条码所含信息可随载体移动的特性,使得二维条码可以实现不依赖外界数据库及通讯网络而独立使用。此外,二维条码还具有良好的识读性能、保密性能和纠错能力,并且应用成本低廉。二维条码的上述优势,使其非常适合作为涉密文件的保密管理标识。
便携数据文件(PDF,Portable Data File)417条码简称PDF417条码,是一种被国际标准化组织所认可的开放域内的典型堆叠式二维码。我国也较早地制定和颁布了相应的国家标准《四一七条码》(GB/T17172—1997),并在国内物流管理、证件管理等领域有了较为广泛的应用。鉴于PDF417二维条码的技术优势和标准化应用,本文选择PDF417二维码技术用于涉密文件保密管理。
1.3 PDF417条码的原理简介
PDF417条码是一个多行结构,每行符号字符数相同,分别由起始符、终止符、左右行指示符、数据符等部分组成,行与行直接衔接。
PDF 417条码的数据编码有三种模式,分别是文本压缩模式(TC)、字节压缩模式(BC)、数字压缩模式(NC)。其中,TC模式适合大小写字母、标点符号等内容的编码存储,BC模式适合图像、汉字等信息的编码存储,连续的数字在NC模式下压缩效率最高。
PDF 417条码强大的纠错能力依靠其数据符部分的错误纠正码字。国标417条码定义的错误纠正等级分为0~8共9个等级。等级越高,纠错能力越强,但相应的错误纠正码字数越多。可识读条码的最高污损率是50%。错误纠正等级为0时,数据符的信息容量达到最大,每个条码TC模式下最多可以存储1 850个字母,BC模式下最多可存储1 108个字节,NC模式下最多可存储2 710个数字[1]。
基于二维条码的涉密文件保密管理系统设计的核心思想是:依靠二维码标签安全、高效的信息存储和传递能力,在非联网环境下构建涉密文件保密管理系统,实现涉密文件生命周期全过程的监督管理,实现与涉密行为相关的“人、物、时、空”的多方位保密管控,切实提升涉密文件的保密管理能力和涉密事件的追溯能力。整个系统由涉密文件二维码标签、涉密用户智能证件(或自动识别卡)、用户授权中心子系统、文件二维码标签印制子系统、涉密文件管理与行为监控子系统组成,各子系统可以独立部署,也可根据部门权限与需要进行合并部署。各成员要素之间交互关系如图1所示。
图1 基于二维码的涉密文件保密管理系统组成图
设计与涉密文件唯一绑定的二维码标签,是实现涉密文件精确管理和保密监督的基础。将涉密文件保密管理所需的相关信息完整、安全地存储到二维条码中,实现在非联网情况下的独立使用,支持随时随地进行涉密文件相关概要信息和密级信息的快速输入和检验。
制作保存用户信息的智能证件,是实现用户身份识别和行为监控的基础。制作智能证件的技术主要包括接触式IC卡技术、RFID射频技术、二维条码技术等。相比而言,基于二维码技术的用户证件不受强磁场、静电、高温的影响,数据可靠性高,制作成本也更低廉。通过将涉密人员身份信息和权限信息等内容进行编码生成用户证件上的二维码标签,支持非联网环境下涉密人员真实身份的验证和基础信息的直接获取。用户二维码标签也可以直接贴赋在用户已有的工作证件上,不必单独制卡。
用户授权中心子系统在拥有用户授权许可的保密管理核心部门部署,并且整个集团单位只限一个,实现集团内部涉密用户的统一管理和授权。系统支持涉密人员和涉密系统管理员两类用户的生成、管理和授权,也包括用户身份信息录入、个人特征信息采集、用户证件二维码标签的印制等功能。
涉密文件二维码标签印制子系统在集团单位内所有拥有涉密文件印制发布权限的部门部署。系统支持与涉密文件印制发布同步进行文件属性信息的录入以及与之绑定的二维码标签的生成。
涉密文件管理与行为监控子系统在集团单位内所有管理保存较高密级涉密文件或集中保存涉密文件较多的保密要害部门部署。系统通过严格的用户身份验证和主客体之间涉密行为的强制监督控制,避免管理员依赖主观判断对访问者实施涉密行为控制。系统也提供涉密行为的追溯查询和涉密文件的分类管理功能。
3.1 涉密文件二维码标签的属性设计
为实现非联网环境下涉密文件保密管理,涉案文件二维码标签的属性应包含标识类属性、涉密类属性、追踪类属性三方面内容,标签设计应注重加强保密性和纠错能力。
标识类属性,是根据文件个体识别和统一管理需要提取出的要素信息,具体包括文件类别、文件标题、文件公文编号(文件类型【年份】编号)、文件印制序号。这些标识类信息也可归纳为一个文件序列号,作为每个文件实体的唯一标识号,用于实现系统对涉密文件实体在整个生命周期中统一管理和有序对接。为保证文件序列号的唯一性,其生成公式定义为:文件类型编号+基于“文件标题”的随机数+基于“文件公文编号”的随机数+文件印制序号。公式中两个随机数的生成分别是以“文件标题”和“文件公文编号”为种子,利用哈希函数散列工具生成固定位数的随机数,此过程是不可逆的。此类随机数的生成方法应具备不可重复性,即如果“文件标题A≠文件标题B”则“A生成随机数≠B生成随机数”。该文件序列号的设计不仅实现了涉密文件标题和文件公文编号的隐藏,并且支持利用此随机数对涉密文件二维码标签进行防伪检验。
涉密类属性,是按照国家保密部门有关涉密文文件保密规定,提取出涉密文件保密管理和操作行为控制需要的要素信息。该类属性应当包含秘密等级、保密期限、知悉范围以及定密人员和机构等信息。秘密等级应满足国家保密管理部门的等级标准,也可根据行业内部信息保护的需要,增设“内部”等级。保密期限的设定可依据文件印制发布时指定的期限,也可按照保密等级对应的默认保密期限进行设置。知悉范围以文件传达的最低等级人员身份为界限。
追踪类属性,是根据涉密文件追踪溯源需要,记录文件印制发布环节的相关要素信息。文件在分发流转过程中,印制发布部门和签收保存部门分离的情况较为普遍,为方便非联网情况下涉密文件的溯源追踪,有必要将文件生成过程的相关要素信息记录入二维码标签中,具体包括文档的生成用户、生成时间、生成场所(部门)、生成系统硬件参数(如硬盘序列号)、印制份数等信息。另外,涉密文件的复印管理一直是涉密文件管理的薄弱环节,违规复印难于监管的状态长期存在,有必要将涉密文件复印过程的相关要素信息也记录入二维码标签中,具体包括复印用户、复印时间、复印场所(部门)和复印份数等信息。
3.2 涉密文件二维码标签的生成与关键技术
PDF417条码数据符号区的内容由符号长度码字、数据码字、矩形填充码字和校验字符构成。文件二维码标签印制子系统对输入的文件属性数据,根据PDF417条码编码规则对其进行压缩编码,得到数据码字di(i=0…n-2,n-1)。PDF417条码的第一个数据码字是符号长度码字,表示数据码字的个数,真正的数据编码从第二个码字开始。校验字符包含错误检测和错误纠正两个部分,前者固定为2个码字ci(i=0,1),其余码字ri(i=0…k-2,k-1)均用于错误纠正。PDF417条码结构如图2所示。其中,Li(i=0…m-1)为左行指示符、Ri(i=0…m-1)为右行指示符,灰色部分为数据码字,“900”是用于矩形填充的虚拟码字。
图2 PDF417条码结构
纸质文件在流转过程中,容易出现污损,依附其上的二维码应当具有较强纠错能力,确保在被弯折、切割或者较大面积污损情况下的正确识读。但是,受PDF417条码存储信息总量限制,错误纠正等级越高,数据符号区内的有效数据容量越小。因此,在文件二维码标签设计时,应当合理规划其属性数据,选择适当错误纠正等级,实现数据存储能力和纠错能力的平衡。根据不同的纠错等级s,PDF417对应的错误纠正码字数目为2s+1。当涉密文件二维码属性数据以中文内容为主时,PDF 417条码使用字节压缩模式表示汉字,每个汉字占用2个字节。在最高纠错等级情况下(s=8),校验码字数为512,可用于存放属性数据的容量只剩496字节,对应248个汉字。鉴于涉密文件二维码标签包含的属性内容数据量较大,错误纠正等级选择一般在2~5级。
PDF 417条码的纠错算法采用RS(Reed-Solomon)错误控制码算法[2]。根据RS算法,条码符号数据使用多项式(1)表示。
错误纠正码表达式为:xkd(x)/g(x)所得余式的各项系数的补数。
4.1 用户证件二维码标签属性设计
用户证件上二维码标签属性应当包含涉密人员的身份类属性、权限类属性和管理类属性三部分内容,标签设计上应注重加强保密性和防伪能力,防止证件被伪造、借用和乱用,实现安全性与便携性的统一。
用户身份类属性,是根据用户身份识别和真伪验证需要,记录用户身份凭证的要素信息。具体内容包括用户姓名、居民身份证号、用户指纹特征信息等。其中,居民身份证号是用户在系统中的唯一标识号;用户指纹特征信息是系统自动检验用户证件真实性的依据,提供高可靠性的防伪检验,适用于对高密级涉密文件的操作行为控制。
用户权限类属性,是根据用户涉密行为控制需要,记录用户行为权限和涉密等级的要素信息,其具体内容包括用户类型、涉密等级、用户职务/职级、行为权限、有效期限。其中,用户类型分为管理员用户、一般涉密人员、重要涉密人员和核心涉密人员,用户行为权限是印制发布、借阅浏览、签收保存、清退销毁等行为的组合,用户涉密等级和用户职务/职级分别与文件涉密等级和知悉范围相关联。
用户管理类属性,是根据用户管理和行为跟踪需要,记录用户单位信息和卡证制作信息,其具体内容包括用户所在单位名称、部门名称、发卡单位、发卡日期、授权人姓名等。
4.2 用户证件二维码标签的生成与关键技术
有效鉴别涉密用户证件真伪,防止伪造和冒名顶替事件的发生,依赖于有效的身份检验技术。常用的基于RSA非对称加密算法的数字证书技术需要链接远程的CA(Certificate Authority)证书授权中心对密钥的合法性进行检验,不支持非联网情况下的单机运行。基于人体自身具有的生物特征的身份验证技术,是一种适合非联网环境下的用户证件防伪检验解决方案。根据生物特征应具备普遍性、唯一性、稳定性和易采集性的原则,系统采用指纹特征采集和识别技术来实现用户证件的防伪功能。基于指纹特征的用户证件二维码标签生成过程如图3所示。其中与文件二维码标签生成相区别的几项关键步骤如下:
(1)对采集的指纹图像进行预处理。指纹采集过程容易受湿度、按压力等因素的影响,导致采集到的指纹图像夹杂噪声,需要通过图像的增强、分割、滤波、细化和二值化操作,得到清晰的指纹二值化图像,即由0和1表示的指纹灰度图像[3]。
图3 基于指纹特征的用户证件二维码标签生成
(2)对二值化图像进行指纹特征点提取。指纹的纹路特征是复杂多样的,经常出现中断、分叉或者是转折点等。指纹特征点的提取就是将这些具有一定特性的节点进行提取。指纹特征点具有随机不确定性,可以唯一标识人员身份。指纹特征点提取的数量通常在20~40之间[4],可以将存储指纹图像所需的几千字节的空间大幅压缩,实现在PDF417条码容量范围内进行信息存储。
(3)生成指纹特征数值序列。每个指纹特征点包含位置、类型和方向三类信息,其中特征点类型主要包括端点和分叉点。将指纹特征点三类信息按位置坐标逐个拼接起来,可生成一个特定的指纹特征数值序列。
(4)二维码属性信息加密。鉴于指纹特征属于个人隐私,需要采用DES或MD5对称加密方式对指纹特征数值序列进行加密,也可以将指纹信息与用户其他身份信息一并加密。
(5)生成二维码数据符号。将指纹特征数值序列与用户其他属性信息生成的密文,一并作为二维码标签的数据项内容,采用PDF417编码模式进行数据编码,并补充填充码字和错误纠正码字,形成二维码数据符号,最后打印生成二维码图形。
涉密文件管理与行为监控系统采用模块化设计,主要由6个部分组成,分别是文件标签信息提取验证模块、用户标签信息提取和身份验证模块、行为控制模块、日志记录模块、追溯查询模块和文件分类管理模块,各模块交互关系如图4。当涉密人员需要访问或流转涉密文件时,管理员分别读取涉密文件二维码标签和用户证件二维码标签中的文件属性信息和用户属性信息,将两部分信息输入行为控制模块进行涉密行为审核,通过审核的涉密行为信息被日志记录模块保存至行为日志数据库。管理员可通过追溯查询模块进行涉密行为的跟踪分析,通过文件分类管理模块进行涉密文件的精细化管理。
图4 涉密文件管理和行为监控模块交互图
5.1 文件标签信息提取验证模块
利用二维码标签扫描仪读取涉密文件二维码信息,经过纠错、解码处理,还原文件属性信息,为针对涉密文件的访问、流转行为控制提供依据。该模块支持基于文件序列号的二维码标签真伪检验功能,具体实现过程如图5。对于首次访问的涉密文件,提取的文件属性信息需记录入文件属性数据库,为涉密文件的分类管理和印发环节的追溯查询提供数据支撑。
5.2 用户标签信息提取和身份验证模块
图5 基于序列号的文件二维码标签防伪检验
利用二维码标签扫描仪读取用户证件二维码信息,经过纠错、解码和解密处理,还原用户属性信息,为涉密行为管控提供依据。系统将证件二维码中有关用户身份属性和管理属性信息进行显示,供管理员人工比对证件上的可见内容进行真实性检验。当涉密文件密级较高或用户首次使用证件时,系统启动指纹仪采集用户指纹特征,与用户证件二维码标签中携带的指纹特征进行匹配,实现用户身份真实性的高级别检验,具体过程如图6所示。其中,匹配检验是通过计算两个指纹特征点之间相似性来判断,是一种模糊匹配,需要13个以上的指纹特征点匹配重合[5]。
图6 基于指纹特征的用户二维码标签防伪检验
5.3 行为控制模块
行为控制是围绕涉密用户、涉密载体和涉密行为之间关系展开的保密安全策略匹配审核和操作控制,其中匹配审核由密级权限匹配审核和行为权限匹配审核两部分组成。包括印制发布、借阅浏览、签收保管、清退销毁在内的所有针对涉密文件的操作行为,都应纳入行为控制模块的审核范围。只有通过保密安全匹配审核的用户行为才允许实施,否则系统发出预警信息。保密安全策略是根据有关涉密文件保密管理制度要求,用来控制涉密用户对涉密载体实施操作行为的一系列规则。本系统保密安全策略设置为:(用户证件有效期限>当前系统时间)&&(用户操作行为∈用户行为权限)&&{[(用户涉密等级≥文件秘密等级)&&(用户职务/职级≥文件知悉范围)]‖[(系统当前时间-文件生成日期)>文件保密期限]‖[文件秘密等级=0]}
5.4 日志记录模块
将涉密文件访问和流转有关的人员、时间、场所、行为等信息记录到行为日志数据库,实现涉密事件的过程记录,为失泄密后的追溯查询提供数据支撑。不论涉密行为是否成功通过保密安全策略审核,与行为相关的要素信息都以日志的形式自动记录下来。相关要素信息包括操作人员身份证号、姓名、文件公文编号、文件序列号、文件密级、行为类型、发生时间、操作场所、系统硬件参数信息等内容。该模块还包括日志记录的导出功能,以支持追溯阶段的异地汇总分析。
5.5 追溯查询模块
以行为日志记录为基础,提供信息化查询和统计工具,实现针对涉密文件操作行为和流转状态信息的追溯查询和统计分析。发生失涉密事件后,利用该模块可快速查找泄密点及相关责任人,及时堵塞工作漏洞,并为责任追究提供依据。追溯查询的条件可以是涉密行为,也可以是行为人的身份信息或涉密文件的标识信息。其中,文件印制发布阶段追溯查询的数据来源于文件属性数据库内的文件追踪类属性。为实现联合查询和汇总分析,系统支持对历史行为日志或异地行为日志的导入功能。
5.6 文件分类管理模块
[1]国家技术监督局.四一七条码(GB/T17172—1997)[S].北京:中国标准出版社,1997.
[2]郑河荣,冯晓斐,熊丽荣,等.基于Reed-Solomon算法的PDF417码纠错研究[J].计算机工程与设计,2004 (11).
[3]王晓燕,李临生,田启川.指纹识别中的特征点提取算法[J].计算机仿真,2008(12).
[4]赵应丁.基于嵌入式应用的指纹识别技术研究[D].北京:中国科学院研究生院,2005:47-51.
[5]王锋.指纹身份验证系统的研究[D].重庆:华南师范大学,2003:6.
(责任编辑 陈小明)
TP309.2
性数据库为基础,合理设计数据视图,实现依据
类型和密级类型的递进式分类展示和标准化管理;提供文件查询和统计工具,实现涉密文件的高效管理和分析。
6 结语
张培晶(1979—),男,山西人,讲师。研究方向为安全防范、保密技术。
本文设计了一个较为完整的涉密文件保密监督管理体系,构建了可独立部署的涉密文件保密管理信息系统,实现了“涉密人员、涉密文件、涉密行为”三者在非联网环境下的一体化管控,加强了涉密文件保密管理的过程监督,提升了涉密文件保密管理的安全性和规范性。将二维码赋标方式和涉密实体管理细节进行调整,该系统也适用于磁介质、光盘介质以及半导体介质等涉密载体的保密管理。但是,在涉密文件保密管理体系的完备性和信息系统的安全性方面还有很多内容值得继续深入研究。