石念峰++韓振英++李寶玲
摘 要:分析了電子檔案元數(shù)據(jù)構(gòu)成和歸檔安全性要求,提出了基于XML文件訪問(wèn)控制機(jī)制的電子檔案安全保障模型(xERSPM)。通過(guò)敏感性信息嵌入、文件訪問(wèn)權(quán)限控制、XML簽名、XML應(yīng)用防火墻驗(yàn)證等信息安全機(jī)制,解決了電子檔案訪問(wèn)、傳輸?shù)炔僮鬟^(guò)程的安全性問(wèn)題。在xERSPM模型的XML文件訪問(wèn)機(jī)制控制下,采用電子檔案數(shù)據(jù)分類封裝、數(shù)字摘要和XML簽名等技術(shù),解決了電子檔案封裝包持續(xù)更新和多次數(shù)字簽名認(rèn)證問(wèn)題。
關(guān)鍵詞:電子檔案;安全保障;XML簽名;訪問(wèn)控制列表;信息安全
電子檔案安全保障技術(shù)是電子檔案的歸檔、鑒定、處置、移交、利用的根本性保障[1]。由于電子政務(wù)系統(tǒng)和檔案管理系統(tǒng)的復(fù)雜性和多樣性,電子檔案安全保障通常是一個(gè)跨網(wǎng)絡(luò)的、異構(gòu)系統(tǒng)之間數(shù)據(jù)轉(zhuǎn)換和信息共享的安全保障問(wèn)題。隨著電子政務(wù)系統(tǒng)和OA系統(tǒng)普及和深入應(yīng)用[2],如何保障電子檔案管理的安全性是電子檔案管理工作面臨的新挑戰(zhàn)。
本文在分析電子檔案元數(shù)據(jù)構(gòu)成和歸檔安全性要求的基礎(chǔ)上,借助XML文件信息安全和電子檔案封裝技術(shù),構(gòu)建基于XML文件訪問(wèn)控制機(jī)制的電子檔案安全保障模型,以高效保障電子檔案安全。
1 電子檔案安全保障要點(diǎn)及實(shí)現(xiàn)機(jī)制
電子檔案安全保障的核心目標(biāo)是維護(hù)電子檔案的真實(shí)性和長(zhǎng)期可讀性,防止電子檔案受損、失真、不可讀,保障電子檔案與歸檔時(shí)的狀態(tài)一致[1]。電子檔案的真實(shí)性包括電子檔案歸檔時(shí)來(lái)源身份和原始狀態(tài)是真實(shí)可證的和電子檔案的保管過(guò)程可追溯、可審計(jì)性等兩個(gè)層面的含義[7]。針對(duì)電子檔案的真實(shí)性保障,檔案界已經(jīng)開(kāi)展很多研究,如數(shù)字簽名、元數(shù)據(jù)管理等[2]。電子檔案長(zhǎng)期可讀性要求檔案管理系統(tǒng)要對(duì)電子檔案實(shí)體進(jìn)行一定處理,使之滿足長(zhǎng)期可讀的格式和存儲(chǔ)要求,防止其丟失和失效。目前主要保障措施有格式轉(zhuǎn)換和基于封裝包的數(shù)字遷移等。
電子文件封裝技術(shù)是一種將電子文件數(shù)據(jù)實(shí)體及其元數(shù)據(jù)按指定結(jié)構(gòu)打包的技術(shù),例如VEO(Victorian Encapsulated Object)、METS(Metadata Encoding and Transmission Standard)[8]等。由于電子文件封裝技術(shù)具有資源自包含、自描述、自證明等特性,檔案界認(rèn)為它是一種有效的電子檔案安全保障技術(shù)。國(guó)家檔案局2009年頒布的《基于XML的電子文件封裝規(guī)范DA/T48-2009》(以下簡(jiǎn)稱“DA/T48-2009標(biāo)準(zhǔn)”)采用VEO對(duì)電子檔案的封裝格式、要求制定了規(guī)范,是我國(guó)電子政務(wù)系統(tǒng)普遍采用的一種電子檔案安全保障策略。但實(shí)踐證明,由于在制定元數(shù)據(jù)和電子檔案實(shí)體數(shù)據(jù)XML封裝規(guī)范時(shí),DA/T48-2009標(biāo)準(zhǔn)沒(méi)有最大限度地兼顧電子檔案的真實(shí)性和長(zhǎng)期可讀性要求,加之存在VEO技術(shù)存在內(nèi)容不易機(jī)器處理、封裝包隨電子檔案保管活動(dòng)的進(jìn)行多次封裝等局限性,導(dǎo)致它并沒(méi)有得到廣泛地應(yīng)用。
電子檔案元數(shù)據(jù)包括描述性元數(shù)據(jù)和管理性元數(shù)。一方面,電子檔案長(zhǎng)期可讀性主張將電子檔案及其元數(shù)據(jù)進(jìn)行整體封裝;另一方面,完善的元數(shù)據(jù)記錄有利于追溯檔案實(shí)體生成和管理過(guò)程,是確保電子檔案真實(shí)性的基礎(chǔ),因此管理性元數(shù)據(jù)要不斷被添加到電子檔案元數(shù)據(jù)中。增加元數(shù)據(jù)使得電子檔案面臨多次封裝,極易造成內(nèi)在安全保障風(fēng)險(xiǎn)和漏洞。作為一種解決方案,有研究采用分體式METS技術(shù),將電子檔案實(shí)體數(shù)據(jù)的二進(jìn)制內(nèi)容以外部文件的形式存在,指向電子檔案實(shí)體數(shù)據(jù)的鏈接封裝在“文件列表塊”中,元數(shù)據(jù)統(tǒng)一記錄在“描述性元數(shù)據(jù)塊”和“管理元數(shù)據(jù)塊”中。[8]分體式METS技術(shù)在一定程度上提高了電子檔案封裝包的穩(wěn)定性,降低了內(nèi)在風(fēng)險(xiǎn)。但由于每次更新電子檔案封裝包都要增加數(shù)字簽名,使得電子檔案部分?jǐn)?shù)據(jù)仍要多次封裝,而且還導(dǎo)致了電子檔案的真實(shí)性過(guò)分依賴于對(duì)第三方的信任。
綜上所述,由于目前采用的有些安全保障策略很難兼顧真實(shí)性和長(zhǎng)期可讀性的雙重要求,導(dǎo)致電子檔案安全保障工作難以高效地開(kāi)展。因此,如何高效地解決電子檔案封裝包持續(xù)更新問(wèn)題和多次數(shù)字簽名認(rèn)證問(wèn)題,是電子檔案管理系統(tǒng)安全保障的關(guān)鍵。
2 基于XML文件訪問(wèn)機(jī)制的電子檔案安全保障模型
2.1 模型框架?;赬ML文件管理機(jī)制的電子檔案安全保障模型(XML-based Electronic Records Security Protection Model,xERSPM)由訪問(wèn)權(quán)限控制智能體ACA、電子檔案封裝智能體EREA、XML防火墻、數(shù)據(jù)資源、可信用戶等五個(gè)部分構(gòu)成(如圖1所示),各部分功能如下:
(1)訪問(wèn)權(quán)限控制智能體(ACA):根據(jù)訪問(wèn)權(quán)限控制策略,判斷用戶操作請(qǐng)求是否合法。
(2)電子檔案封裝智能體(EREA):是一個(gè)XML封裝模塊,ACA決策的實(shí)際執(zhí)行者。EREA的主要職責(zé)有三個(gè):①將用戶的請(qǐng)求采用XACML協(xié)議封裝成XML;②按照特定規(guī)則將電子檔案數(shù)據(jù)封裝成包含敏感性信息的XML文件;③通過(guò)XML簽名技術(shù),承擔(dān)電子檔案安全性保障工作。
(3)XML防火墻:應(yīng)用程序級(jí)的XML文件防火墻,它可以阻止未經(jīng)ACA授權(quán)或ERAE處理的電子檔案流出電子檔案管理系統(tǒng),確保電子檔案的安全性。
(4)數(shù)據(jù)資源:關(guān)系型數(shù)據(jù)庫(kù)或者XML等格式電子文件的集合,包括電子檔案數(shù)據(jù)庫(kù)和其它數(shù)據(jù)庫(kù)資源。其中,電子檔案數(shù)據(jù)庫(kù)包括電子檔案身份性數(shù)據(jù)(ERIMD)和電子檔案管理性數(shù)據(jù)(ERMMD)。
(5)可信用戶:來(lái)自身份確認(rèn)的用戶實(shí)體或者應(yīng)用程序的可信XML文件訪問(wèn)請(qǐng)求。
圖1:xERSPM模型的構(gòu)成
2.2 電子檔案訪問(wèn)與封裝。xERSPM模型的電子檔案訪問(wèn)及XML封裝具體流程步驟(如圖2所示)為:
Step1:用戶通過(guò)電子檔案管理系統(tǒng)的身份認(rèn)證系統(tǒng)(Identity Authority System,IAS)確認(rèn),成為可信用戶,并將電子檔案訪問(wèn)請(qǐng)求連同身份驗(yàn)證信息一起提交給電子檔案管理系統(tǒng)的ERAE。只有具有IAS簽發(fā)的合法數(shù)字證書(shū)的電子檔案管理系統(tǒng)(電子政務(wù)系統(tǒng)、OA系統(tǒng)等)的用戶才能成為可信用戶。
Step2:ERAE根據(jù)可信用戶提交的身份驗(yàn)證信息,從IAS中獲得該可信用戶的數(shù)字證書(shū),按照XACML協(xié)議將可信用戶的數(shù)字證書(shū)和電子檔案訪問(wèn)請(qǐng)求轉(zhuǎn)換為XML格式(標(biāo)識(shí)為RQxmli)并將RQxmli提交給ACA。
Step3:ACA根據(jù)RQxmli中的請(qǐng)求信息,從數(shù)據(jù)資源中得到相應(yīng)電子檔案訪問(wèn)策略,驗(yàn)證RQxmli的合法性,并將驗(yàn)證結(jié)果Reli返回給ERAE。如果用戶本次訪問(wèn)請(qǐng)求合法,Reli值為真,否則為假。
Step4:ERAE首先根據(jù)RQxmli的用戶信息和訪問(wèn)請(qǐng)求,從數(shù)據(jù)資源中得到電子檔案數(shù)據(jù){File}i和權(quán)限列表ACLi;然后按照散列函數(shù)(如MD5)生成{File}i的數(shù)字摘要DDi;最后根據(jù)XML描述規(guī)則將{File}i、ACLi和DDi封裝成XML格式的電子文件Filexmli。
圖2:xERSPM模型的電子檔案訪問(wèn)及XML封裝流程
Step5 ERAE使用XML簽名算法采用私鑰對(duì)Filexmli進(jìn)行XML簽名,生成新的XML文件SFilexmli。
Step6: ERAE生成一個(gè)對(duì)稱秘鑰SKeyi,使用SM4算法采用SKeyi加密SFilexmli得到密文Cipherxmli。
Step7:ERAE使用SM2算法采用可信用戶的公鑰加密SKeyi得到密文Cipherskeyi,并將Cipherskeyi和Cipherxmli傳輸給目標(biāo)可信用戶。
Step8:可信用戶得到Cipherskeyi和Cipherxmli后,首先利用私鑰解密Cipherskeyi得到SKeyi,然后利用SKeyi解密Cipherxmli得到SFilexmli。
Step9:根據(jù)SFilexmli中的ERAE公鑰和數(shù)字摘要DDi,驗(yàn)證XML簽名的真實(shí)性和Filexmli的完整性。
Step10:解析XML文件,提取{File}i中的電子檔案實(shí)體數(shù)據(jù)、電子檔案元數(shù)據(jù)等數(shù)據(jù),按照特定格式解碼還原電子檔案,完成本次電子檔案訪問(wèn)。
2.3 分類封裝與XML簽名。通常電子檔案數(shù)據(jù)可能是圖片、WORD文本、電子表格、多媒體文件,也可能是電子郵件、網(wǎng)頁(yè)等。在xERSPM模型中,電子檔案實(shí)體數(shù)據(jù)及其元數(shù)據(jù)均被封裝成XML文件。為此,首先采用Base64編碼器將它們編碼為ASCII字符串,然后按照預(yù)定格式和要求進(jìn)行XML文件封裝。
為了解決電子檔案面臨的多次封裝問(wèn)題,在xERSPM模型的XML文件訪問(wèn)控制保障下,本文通過(guò)改進(jìn)分體式METS技術(shù),設(shè)計(jì)了一種新的電子檔案封裝技術(shù),即xERSPM封裝技術(shù)。首先,根據(jù)電子檔案數(shù)據(jù)在歸檔后是否會(huì)改變,將電子檔案數(shù)據(jù)分為身份性數(shù)據(jù)和過(guò)程性數(shù)據(jù)等兩大類。身份性數(shù)據(jù)是電子檔案的身份性數(shù)據(jù),一經(jīng)歸檔就不能改變,它包括電子檔案實(shí)體數(shù)據(jù)和描述性元數(shù)據(jù)兩部分內(nèi)容;過(guò)程性數(shù)據(jù)描述了電子檔案的歸檔、鑒定、處置、移交、利用等環(huán)節(jié)。然后,將身份性數(shù)據(jù)和過(guò)程性數(shù)據(jù)分別封裝成兩個(gè)XML文件,即xFile02和xFile01。
在身份性數(shù)據(jù)文件xFile02中,描述性元數(shù)據(jù)和檔案實(shí)體分別封裝在“描述性元數(shù)據(jù)塊”和“文件列表塊”中,而“文件列表塊”記錄的是電子檔案文件鏈接。為了保證電子檔案的“四性”,首先采用散列函數(shù)生成身份性數(shù)據(jù)的數(shù)字摘要,然后采用SM2算法通過(guò)私鑰加密該數(shù)字摘要,將加密結(jié)果封裝到xFile02的數(shù)字簽名塊中(標(biāo)識(shí)為Signxf02)。同時(shí),在保存xFile02之前,ERAE要先進(jìn)行XML簽名。
在過(guò)程性數(shù)據(jù)文件xFile01中,過(guò)程性數(shù)據(jù)被封裝在“管理性元數(shù)據(jù)塊”中?!皵?shù)字簽名塊”部分的每一個(gè)數(shù)字簽名由身份性數(shù)字摘要和過(guò)程性數(shù)字摘要組成。xERSPM封裝技術(shù)要求xFile01封裝用戶必須對(duì)這些元數(shù)據(jù)進(jìn)行簽名。生成一個(gè)數(shù)字簽名,需要完成3個(gè)步驟:首先,根據(jù)散列函數(shù)生成的xFile01的過(guò)程性數(shù)字摘要;然后,引用Signxf02得到身份性數(shù)字摘要;最后,使用SM2算法使用私鑰加密過(guò)程性和身份性數(shù)字摘要。同時(shí),在保存xFile01之前,ERAE要先進(jìn)行XML簽名。
3 xERSPM模型電子檔案安全保障分析
3.1 敏感性信息嵌入與XML簽名技術(shù)為電子檔案長(zhǎng)期保存提供了安全保障。xERSPM模型的ERAE在執(zhí)行基于XML封裝時(shí),首先要根據(jù)ACA授權(quán)從數(shù)據(jù)資源中得到用戶的請(qǐng)求訪問(wèn)的文件資源和訪問(wèn)權(quán)限列表,然后生成數(shù)字摘要,最后采用XML文件格式封裝數(shù)字摘要并使用私鑰進(jìn)行XML簽名。數(shù)字摘要是ERAE通過(guò)散列函數(shù)生成的,使用私鑰進(jìn)行了簽名,因此除了ERAE以外,無(wú)論是任何用戶都無(wú)法篡改XML文件內(nèi)容以及包含的用戶訪問(wèn)權(quán)限列表。同時(shí),XML應(yīng)用防火墻對(duì)用戶訪問(wèn)權(quán)限列表的驗(yàn)證和權(quán)限的控制,可以在物理介質(zhì)層面攔截非法的跨網(wǎng)絡(luò)文件訪問(wèn),保證政務(wù)網(wǎng)或互聯(lián)網(wǎng)系統(tǒng)用戶無(wú)法從電子檔案管理系統(tǒng)中非法獲得電子檔案數(shù)據(jù)。
3.2 基于SM2和SM4的數(shù)字加密為電子檔案訪問(wèn)提供了安全保障。通過(guò)SM4算法使用對(duì)稱密鑰加密ERAE生成XML文件,不僅提高了XML文件加密的效率,還保證了電子檔案管理系統(tǒng)可以滿足《GB/T25056-2010證書(shū)認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》等標(biāo)準(zhǔn)規(guī)范提出的新要求。此外,通過(guò)SM2算法使用訪問(wèn)請(qǐng)求用戶的私鑰加密上述對(duì)稱密鑰,使得只有合法用戶才能解密對(duì)稱密鑰,進(jìn)而解密電子檔案,保證了電子檔案不會(huì)被其它用戶非法獲得。
3.3 分類封裝技術(shù)和XML簽名技術(shù)為電子檔案的“四性”提供了安全保障。一方面,對(duì)于身份性數(shù)據(jù), xFile02記錄了加密后的身份性數(shù)字摘要,保證了身份性數(shù)據(jù)封裝操作的可信性、不可抵賴性和完整性。在身份性數(shù)據(jù)封裝完成后,ERAE會(huì)對(duì)其XML簽名保存,因此除非ACA和ERAE許可,否則任何用戶都無(wú)法修改或再次生成xFile02,確保了身份性數(shù)據(jù)的完整性、真實(shí)性。另一方面,對(duì)于過(guò)程性數(shù)據(jù),xFile01記錄了加密后的過(guò)程性數(shù)據(jù)數(shù)字摘要和xFile02的數(shù)字簽名,保證了電子檔案的完整性、可信性和不可抵賴性。在過(guò)程性數(shù)據(jù)封裝完成后,ERAE會(huì)對(duì)其簽名保存,確保了身份性數(shù)據(jù)的完整性、真實(shí)性。此外,電子檔案的身份性數(shù)據(jù)和過(guò)程性數(shù)據(jù)分開(kāi)封裝,當(dāng)電子檔案管理活動(dòng)產(chǎn)生的管理性元數(shù)只會(huì)導(dǎo)致xFile01多次封裝,降低了電子檔案安全保障措施的內(nèi)在安全風(fēng)險(xiǎn),有利于電子檔案永久性保存。同時(shí),在xERSPM模型中,無(wú)論是電子檔案管理系統(tǒng)用戶還是電子政務(wù)系統(tǒng)或者互聯(lián)網(wǎng)用戶,對(duì)電子檔案執(zhí)行的訪問(wèn)都須經(jīng)過(guò)ERAE、ACA和XML應(yīng)用防火墻構(gòu)成的三級(jí)安全性認(rèn)證。因此,即使在缺少權(quán)威的第三方CA認(rèn)證,檔案管理系統(tǒng)也可以保證數(shù)字簽名的真實(shí)性。
4 結(jié)語(yǔ)
電子檔案安全保障是電子政務(wù)環(huán)境中電子檔案管理的關(guān)鍵性技術(shù)問(wèn)題。本文構(gòu)建的電子檔案安全保障x(chóng)ERSPM模型將操作權(quán)限列表和數(shù)字摘要等作為敏感性信息封裝到XML中,并采用SM2非對(duì)稱加密技術(shù)對(duì)操作權(quán)限列表和數(shù)字摘要等敏感性信息加密和簽名,不僅可以通過(guò)訪問(wèn)權(quán)限控制智能體阻止未授權(quán)用戶獲取或操作電子檔案,也可以借助XML應(yīng)用防火墻阻止未經(jīng)授權(quán)的電子檔案在企業(yè)政務(wù)網(wǎng)、企業(yè)內(nèi)網(wǎng)或者互聯(lián)網(wǎng)上傳播,確保了電子檔案的安全性和真實(shí)性。同時(shí),在xERSPM模型的XML文件訪問(wèn)機(jī)制控制下,采用電子檔案數(shù)據(jù)分類封裝、數(shù)字摘要、XML簽名和SM2與SM4混合加密等技術(shù)不僅可以兼顧電子檔案真實(shí)性和長(zhǎng)期可讀性的雙重要求,可以滿足我國(guó)新時(shí)期對(duì)電子檔案管理系統(tǒng)提出的安全性新要求。
*本文系河南省科技廳科技攻關(guān)資助項(xiàng)目 “基于政務(wù)網(wǎng)的電子文件管理系統(tǒng)研究”(編號(hào):142102210120)和“基于數(shù)據(jù)關(guān)聯(lián)分析的網(wǎng)絡(luò)安管平臺(tái)研發(fā)”(編號(hào):162102210047);河南省科技廳基礎(chǔ)前沿資助項(xiàng)目“基于透明加密的網(wǎng)絡(luò)安全模型及穩(wěn)定性研究”(編號(hào):142300410014)的階段成果。
參考文獻(xiàn):
[1]陳永生,侯衡等.電子政務(wù)系統(tǒng)中的檔案管理:文件歸檔[J].檔案學(xué)研究,2015(3):10~20.
[2]馮馨雨,李珂.河南省直單位電子文件形成與歸檔情況調(diào)查報(bào)告[J].檔案管理2015(2):59~61+44.
[3]陳永生,蘇煥寧等.電子政務(wù)系統(tǒng)中的檔案管理:安全保障[J].檔案學(xué)研究,2015(4):29~40.
[4]程妍妍.國(guó)際電子文件元數(shù)據(jù)封裝方法VEO和METS的比較研究[J].現(xiàn)代圖書(shū)情報(bào)技術(shù), 2011(10): 7~11.
(作者單位:石念峰,韓振英,洛陽(yáng)理工學(xué)院;李寶玲,河南省檔案局 來(lái)稿日期:2016-08-06)