石念峰++韓振英++李寶玲

摘 要：分析了電子檔案元數(shù)據(jù)構(gòu)成和歸檔安全性要求，提出了基于XML文件訪問控制機(jī)制的電子檔案安全保障模型（xERSPM）。通過敏感性信息嵌入、文件訪問權(quán)限控制、XML簽名、XML應(yīng)用防火墻驗(yàn)證等信息安全機(jī)制，解決了電子檔案訪問、傳輸?shù)炔僮鬟^程的安全性問題。在xERSPM模型的XML文件訪問機(jī)制控制下，采用電子檔案數(shù)據(jù)分類封裝、數(shù)字摘要和XML簽名等技術(shù)，解決了電子檔案封裝包持續(xù)更新和多次數(shù)字簽名認(rèn)證問題。

關(guān)鍵詞：電子檔案；安全保障；XML簽名；訪問控制列表；信息安全

電子檔案安全保障技術(shù)是電子檔案的歸檔、鑒定、處置、移交、利用的根本性保障[1]。由于電子政務(wù)系統(tǒng)和檔案管理系統(tǒng)的復(fù)雜性和多樣性，電子檔案安全保障通常是一個(gè)跨網(wǎng)絡(luò)的、異構(gòu)系統(tǒng)之間數(shù)據(jù)轉(zhuǎn)換和信息共享的安全保障問題。隨著電子政務(wù)系統(tǒng)和OA系統(tǒng)普及和深入應(yīng)用[2]，如何保障電子檔案管理的安全性是電子檔案管理工作面臨的新挑戰(zhàn)。

本文在分析電子檔案元數(shù)據(jù)構(gòu)成和歸檔安全性要求的基礎(chǔ)上，借助XML文件信息安全和電子檔案封裝技術(shù)，構(gòu)建基于XML文件訪問控制機(jī)制的電子檔案安全保障模型，以高效保障電子檔案安全。

1 電子檔案安全保障要點(diǎn)及實(shí)現(xiàn)機(jī)制

電子檔案安全保障的核心目標(biāo)是維護(hù)電子檔案的真實(shí)性和長期可讀性，防止電子檔案受損、失真、不可讀，保障電子檔案與歸檔時(shí)的狀態(tài)一致[1]。電子檔案的真實(shí)性包括電子檔案歸檔時(shí)來源身份和原始狀態(tài)是真實(shí)可證的和電子檔案的保管過程可追溯、可審計(jì)性等兩個(gè)層面的含義[7]。針對電子檔案的真實(shí)性保障，檔案界已經(jīng)開展很多研究，如數(shù)字簽名、元數(shù)據(jù)管理等[2]。電子檔案長期可讀性要求檔案管理系統(tǒng)要對電子檔案實(shí)體進(jìn)行一定處理，使之滿足長期可讀的格式和存儲(chǔ)要求，防止其丟失和失效。目前主要保障措施有格式轉(zhuǎn)換和基于封裝包的數(shù)字遷移等。

電子文件封裝技術(shù)是一種將電子文件數(shù)據(jù)實(shí)體及其元數(shù)據(jù)按指定結(jié)構(gòu)打包的技術(shù)，例如VEO（Victorian Encapsulated Object）、METS（Metadata Encoding and Transmission Standard）[8]等。由于電子文件封裝技術(shù)具有資源自包含、自描述、自證明等特性，檔案界認(rèn)為它是一種有效的電子檔案安全保障技術(shù)。國家檔案局2009年頒布的《基于XML的電子文件封裝規(guī)范DA/T48-2009》（以下簡稱“DA/T48-2009標(biāo)準(zhǔn)”）采用VEO對電子檔案的封裝格式、要求制定了規(guī)范，是我國電子政務(wù)系統(tǒng)普遍采用的一種電子檔案安全保障策略。但實(shí)踐證明，由于在制定元數(shù)據(jù)和電子檔案實(shí)體數(shù)據(jù)XML封裝規(guī)范時(shí)，DA/T48-2009標(biāo)準(zhǔn)沒有最大限度地兼顧電子檔案的真實(shí)性和長期可讀性要求，加之存在VEO技術(shù)存在內(nèi)容不易機(jī)器處理、封裝包隨電子檔案保管活動(dòng)的進(jìn)行多次封裝等局限性，導(dǎo)致它并沒有得到廣泛地應(yīng)用。

電子檔案元數(shù)據(jù)包括描述性元數(shù)據(jù)和管理性元數(shù)。一方面，電子檔案長期可讀性主張將電子檔案及其元數(shù)據(jù)進(jìn)行整體封裝；另一方面，完善的元數(shù)據(jù)記錄有利于追溯檔案實(shí)體生成和管理過程，是確保電子檔案真實(shí)性的基礎(chǔ)，因此管理性元數(shù)據(jù)要不斷被添加到電子檔案元數(shù)據(jù)中。增加元數(shù)據(jù)使得電子檔案面臨多次封裝，極易造成內(nèi)在安全保障風(fēng)險(xiǎn)和漏洞。作為一種解決方案，有研究采用分體式METS技術(shù)，將電子檔案實(shí)體數(shù)據(jù)的二進(jìn)制內(nèi)容以外部文件的形式存在，指向電子檔案實(shí)體數(shù)據(jù)的鏈接封裝在“文件列表塊”中，元數(shù)據(jù)統(tǒng)一記錄在“描述性元數(shù)據(jù)塊”和“管理元數(shù)據(jù)塊”中。[8]分體式METS技術(shù)在一定程度上提高了電子檔案封裝包的穩(wěn)定性，降低了內(nèi)在風(fēng)險(xiǎn)。但由于每次更新電子檔案封裝包都要增加數(shù)字簽名，使得電子檔案部分?jǐn)?shù)據(jù)仍要多次封裝，而且還導(dǎo)致了電子檔案的真實(shí)性過分依賴于對第三方的信任。

綜上所述，由于目前采用的有些安全保障策略很難兼顧真實(shí)性和長期可讀性的雙重要求，導(dǎo)致電子檔案安全保障工作難以高效地開展。因此，如何高效地解決電子檔案封裝包持續(xù)更新問題和多次數(shù)字簽名認(rèn)證問題，是電子檔案管理系統(tǒng)安全保障的關(guān)鍵。

2 基于XML文件訪問機(jī)制的電子檔案安全保障模型

2.1 模型框架?；赬ML文件管理機(jī)制的電子檔案安全保障模型（XML-based Electronic Records Security Protection Model，xERSPM）由訪問權(quán)限控制智能體ACA、電子檔案封裝智能體EREA、XML防火墻、數(shù)據(jù)資源、可信用戶等五個(gè)部分構(gòu)成（如圖1所示），各部分功能如下：

（1）訪問權(quán)限控制智能體（ACA）：根據(jù)訪問權(quán)限控制策略，判斷用戶操作請求是否合法。

（2）電子檔案封裝智能體（EREA）：是一個(gè)XML封裝模塊，ACA決策的實(shí)際執(zhí)行者。EREA的主要職責(zé)有三個(gè)：①將用戶的請求采用XACML協(xié)議封裝成XML；②按照特定規(guī)則將電子檔案數(shù)據(jù)封裝成包含敏感性信息的XML文件；③通過XML簽名技術(shù)，承擔(dān)電子檔案安全性保障工作。

（3）XML防火墻：應(yīng)用程序級的XML文件防火墻，它可以阻止未經(jīng)ACA授權(quán)或ERAE處理的電子檔案流出電子檔案管理系統(tǒng)，確保電子檔案的安全性。

（4）數(shù)據(jù)資源：關(guān)系型數(shù)據(jù)庫或者XML等格式電子文件的集合，包括電子檔案數(shù)據(jù)庫和其它數(shù)據(jù)庫資源。其中，電子檔案數(shù)據(jù)庫包括電子檔案身份性數(shù)據(jù)（ERIMD）和電子檔案管理性數(shù)據(jù)（ERMMD）。

（5）可信用戶：來自身份確認(rèn)的用戶實(shí)體或者應(yīng)用程序的可信XML文件訪問請求。

圖1：xERSPM模型的構(gòu)成

2.2 電子檔案訪問與封裝。xERSPM模型的電子檔案訪問及XML封裝具體流程步驟（如圖2所示）為：

Step1：用戶通過電子檔案管理系統(tǒng)的身份認(rèn)證系統(tǒng)（Identity Authority System，IAS）確認(rèn)，成為可信用戶，并將電子檔案訪問請求連同身份驗(yàn)證信息一起提交給電子檔案管理系統(tǒng)的ERAE。只有具有IAS簽發(fā)的合法數(shù)字證書的電子檔案管理系統(tǒng)（電子政務(wù)系統(tǒng)、OA系統(tǒng)等）的用戶才能成為可信用戶。

Step2：ERAE根據(jù)可信用戶提交的身份驗(yàn)證信息，從IAS中獲得該可信用戶的數(shù)字證書，按照XACML協(xié)議將可信用戶的數(shù)字證書和電子檔案訪問請求轉(zhuǎn)換為XML格式（標(biāo)識(shí)為RQxmli）并將RQxmli提交給ACA。

Step3：ACA根據(jù)RQxmli中的請求信息，從數(shù)據(jù)資源中得到相應(yīng)電子檔案訪問策略，驗(yàn)證RQxmli的合法性，并將驗(yàn)證結(jié)果Reli返回給ERAE。如果用戶本次訪問請求合法，Reli值為真，否則為假。

Step4：ERAE首先根據(jù)RQxmli的用戶信息和訪問請求，從數(shù)據(jù)資源中得到電子檔案數(shù)據(jù){File}i和權(quán)限列表ACLi；然后按照散列函數(shù)（如MD5）生成{File}i的數(shù)字摘要DDi；最后根據(jù)XML描述規(guī)則將{File}i、ACLi和DDi封裝成XML格式的電子文件Filexmli。

圖2：xERSPM模型的電子檔案訪問及XML封裝流程

Step5 ERAE使用XML簽名算法采用私鑰對Filexmli進(jìn)行XML簽名，生成新的XML文件SFilexmli。

Step6： ERAE生成一個(gè)對稱秘鑰SKeyi，使用SM4算法采用SKeyi加密SFilexmli得到密文Cipherxmli。

Step7：ERAE使用SM2算法采用可信用戶的公鑰加密SKeyi得到密文Cipherskeyi，并將Cipherskeyi和Cipherxmli傳輸給目標(biāo)可信用戶。

Step8：可信用戶得到Cipherskeyi和Cipherxmli后，首先利用私鑰解密Cipherskeyi得到SKeyi，然后利用SKeyi解密Cipherxmli得到SFilexmli。

Step9：根據(jù)SFilexmli中的ERAE公鑰和數(shù)字摘要DDi，驗(yàn)證XML簽名的真實(shí)性和Filexmli的完整性。

Step10：解析XML文件，提取{File}i中的電子檔案實(shí)體數(shù)據(jù)、電子檔案元數(shù)據(jù)等數(shù)據(jù)，按照特定格式解碼還原電子檔案，完成本次電子檔案訪問。

2.3 分類封裝與XML簽名。通常電子檔案數(shù)據(jù)可能是圖片、WORD文本、電子表格、多媒體文件，也可能是電子郵件、網(wǎng)頁等。在xERSPM模型中，電子檔案實(shí)體數(shù)據(jù)及其元數(shù)據(jù)均被封裝成XML文件。為此，首先采用Base64編碼器將它們編碼為ASCII字符串，然后按照預(yù)定格式和要求進(jìn)行XML文件封裝。

為了解決電子檔案面臨的多次封裝問題，在xERSPM模型的XML文件訪問控制保障下，本文通過改進(jìn)分體式METS技術(shù)，設(shè)計(jì)了一種新的電子檔案封裝技術(shù)，即xERSPM封裝技術(shù)。首先，根據(jù)電子檔案數(shù)據(jù)在歸檔后是否會(huì)改變，將電子檔案數(shù)據(jù)分為身份性數(shù)據(jù)和過程性數(shù)據(jù)等兩大類。身份性數(shù)據(jù)是電子檔案的身份性數(shù)據(jù)，一經(jīng)歸檔就不能改變，它包括電子檔案實(shí)體數(shù)據(jù)和描述性元數(shù)據(jù)兩部分內(nèi)容；過程性數(shù)據(jù)描述了電子檔案的歸檔、鑒定、處置、移交、利用等環(huán)節(jié)。然后，將身份性數(shù)據(jù)和過程性數(shù)據(jù)分別封裝成兩個(gè)XML文件，即xFile02和xFile01。

在身份性數(shù)據(jù)文件xFile02中，描述性元數(shù)據(jù)和檔案實(shí)體分別封裝在“描述性元數(shù)據(jù)塊”和“文件列表塊”中，而“文件列表塊”記錄的是電子檔案文件鏈接。為了保證電子檔案的“四性”，首先采用散列函數(shù)生成身份性數(shù)據(jù)的數(shù)字摘要，然后采用SM2算法通過私鑰加密該數(shù)字摘要，將加密結(jié)果封裝到xFile02的數(shù)字簽名塊中（標(biāo)識(shí)為Signxf02）。同時(shí)，在保存xFile02之前，ERAE要先進(jìn)行XML簽名。

在過程性數(shù)據(jù)文件xFile01中，過程性數(shù)據(jù)被封裝在“管理性元數(shù)據(jù)塊”中。“數(shù)字簽名塊”部分的每一個(gè)數(shù)字簽名由身份性數(shù)字摘要和過程性數(shù)字摘要組成。xERSPM封裝技術(shù)要求xFile01封裝用戶必須對這些元數(shù)據(jù)進(jìn)行簽名。生成一個(gè)數(shù)字簽名，需要完成3個(gè)步驟：首先，根據(jù)散列函數(shù)生成的xFile01的過程性數(shù)字摘要；然后，引用Signxf02得到身份性數(shù)字摘要；最后，使用SM2算法使用私鑰加密過程性和身份性數(shù)字摘要。同時(shí)，在保存xFile01之前，ERAE要先進(jìn)行XML簽名。

3 xERSPM模型電子檔案安全保障分析

3.1 敏感性信息嵌入與XML簽名技術(shù)為電子檔案長期保存提供了安全保障。xERSPM模型的ERAE在執(zhí)行基于XML封裝時(shí)，首先要根據(jù)ACA授權(quán)從數(shù)據(jù)資源中得到用戶的請求訪問的文件資源和訪問權(quán)限列表，然后生成數(shù)字摘要，最后采用XML文件格式封裝數(shù)字摘要并使用私鑰進(jìn)行XML簽名。數(shù)字摘要是ERAE通過散列函數(shù)生成的，使用私鑰進(jìn)行了簽名，因此除了ERAE以外，無論是任何用戶都無法篡改XML文件內(nèi)容以及包含的用戶訪問權(quán)限列表。同時(shí)，XML應(yīng)用防火墻對用戶訪問權(quán)限列表的驗(yàn)證和權(quán)限的控制，可以在物理介質(zhì)層面攔截非法的跨網(wǎng)絡(luò)文件訪問，保證政務(wù)網(wǎng)或互聯(lián)網(wǎng)系統(tǒng)用戶無法從電子檔案管理系統(tǒng)中非法獲得電子檔案數(shù)據(jù)。

3.2 基于SM2和SM4的數(shù)字加密為電子檔案訪問提供了安全保障。通過SM4算法使用對稱密鑰加密ERAE生成XML文件，不僅提高了XML文件加密的效率，還保證了電子檔案管理系統(tǒng)可以滿足《GB/T25056-2010證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》等標(biāo)準(zhǔn)規(guī)范提出的新要求。此外，通過SM2算法使用訪問請求用戶的私鑰加密上述對稱密鑰，使得只有合法用戶才能解密對稱密鑰，進(jìn)而解密電子檔案，保證了電子檔案不會(huì)被其它用戶非法獲得。

3.3 分類封裝技術(shù)和XML簽名技術(shù)為電子檔案的“四性”提供了安全保障。一方面，對于身份性數(shù)據(jù)， xFile02記錄了加密后的身份性數(shù)字摘要，保證了身份性數(shù)據(jù)封裝操作的可信性、不可抵賴性和完整性。在身份性數(shù)據(jù)封裝完成后，ERAE會(huì)對其XML簽名保存，因此除非ACA和ERAE許可，否則任何用戶都無法修改或再次生成xFile02，確保了身份性數(shù)據(jù)的完整性、真實(shí)性。另一方面，對于過程性數(shù)據(jù)，xFile01記錄了加密后的過程性數(shù)據(jù)數(shù)字摘要和xFile02的數(shù)字簽名，保證了電子檔案的完整性、可信性和不可抵賴性。在過程性數(shù)據(jù)封裝完成后，ERAE會(huì)對其簽名保存，確保了身份性數(shù)據(jù)的完整性、真實(shí)性。此外，電子檔案的身份性數(shù)據(jù)和過程性數(shù)據(jù)分開封裝，當(dāng)電子檔案管理活動(dòng)產(chǎn)生的管理性元數(shù)只會(huì)導(dǎo)致xFile01多次封裝，降低了電子檔案安全保障措施的內(nèi)在安全風(fēng)險(xiǎn)，有利于電子檔案永久性保存。同時(shí)，在xERSPM模型中，無論是電子檔案管理系統(tǒng)用戶還是電子政務(wù)系統(tǒng)或者互聯(lián)網(wǎng)用戶，對電子檔案執(zhí)行的訪問都須經(jīng)過ERAE、ACA和XML應(yīng)用防火墻構(gòu)成的三級安全性認(rèn)證。因此，即使在缺少權(quán)威的第三方CA認(rèn)證，檔案管理系統(tǒng)也可以保證數(shù)字簽名的真實(shí)性。

4 結(jié)語

電子檔案安全保障是電子政務(wù)環(huán)境中電子檔案管理的關(guān)鍵性技術(shù)問題。本文構(gòu)建的電子檔案安全保障xERSPM模型將操作權(quán)限列表和數(shù)字摘要等作為敏感性信息封裝到XML中，并采用SM2非對稱加密技術(shù)對操作權(quán)限列表和數(shù)字摘要等敏感性信息加密和簽名，不僅可以通過訪問權(quán)限控制智能體阻止未授權(quán)用戶獲取或操作電子檔案，也可以借助XML應(yīng)用防火墻阻止未經(jīng)授權(quán)的電子檔案在企業(yè)政務(wù)網(wǎng)、企業(yè)內(nèi)網(wǎng)或者互聯(lián)網(wǎng)上傳播，確保了電子檔案的安全性和真實(shí)性。同時(shí)，在xERSPM模型的XML文件訪問機(jī)制控制下，采用電子檔案數(shù)據(jù)分類封裝、數(shù)字摘要、XML簽名和SM2與SM4混合加密等技術(shù)不僅可以兼顧電子檔案真實(shí)性和長期可讀性的雙重要求，可以滿足我國新時(shí)期對電子檔案管理系統(tǒng)提出的安全性新要求。

*本文系河南省科技廳科技攻關(guān)資助項(xiàng)目 “基于政務(wù)網(wǎng)的電子文件管理系統(tǒng)研究”（編號：142102210120）和“基于數(shù)據(jù)關(guān)聯(lián)分析的網(wǎng)絡(luò)安管平臺(tái)研發(fā)”（編號：162102210047）；河南省科技廳基礎(chǔ)前沿資助項(xiàng)目“基于透明加密的網(wǎng)絡(luò)安全模型及穩(wěn)定性研究”（編號：142300410014）的階段成果。

參考文獻(xiàn)：

[1]陳永生，侯衡等.電子政務(wù)系統(tǒng)中的檔案管理：文件歸檔[J].檔案學(xué)研究，2015（3）：10～20.

[2]馮馨雨，李珂.河南省直單位電子文件形成與歸檔情況調(diào)查報(bào)告[J].檔案管理2015（2）：59～61+44.

[3]陳永生，蘇煥寧等.電子政務(wù)系統(tǒng)中的檔案管理：安全保障[J].檔案學(xué)研究，2015（4）：29～40.

[4]程妍妍.國際電子文件元數(shù)據(jù)封裝方法VEO和METS的比較研究[J].現(xiàn)代圖書情報(bào)技術(shù)， 2011（10）： 7～11.

（作者單位：石念峰，韓振英，洛陽理工學(xué)院；李寶玲，河南省檔案局 來稿日期：2016-08-06）