摘 要：分析了開(kāi)放網(wǎng)絡(luò)環(huán)境下電子檔案信息安全保護(hù)的安全隱患，設(shè)計(jì)了五條電子檔案信息安全保護(hù)安全準(zhǔn)則。為解決開(kāi)放網(wǎng)絡(luò)中電子檔案信息安全保護(hù)的密鑰管理問(wèn)題，提出了一種基于數(shù)字密鑰混合加密的電子檔案訪(fǎng)問(wèn)控制技術(shù)。分析表明，文中技術(shù)可以保障電子檔案的準(zhǔn)確性、完整性、可用性、安全性，保證了開(kāi)放網(wǎng)絡(luò)環(huán)境下“端到端”檔案服務(wù)的數(shù)據(jù)安全。

關(guān)鍵詞：電子檔案；開(kāi)放利用；信息安全保護(hù)；開(kāi)放網(wǎng)絡(luò)環(huán)境；混合加密

在電子檔案進(jìn)入大數(shù)據(jù)和共享經(jīng)濟(jì)時(shí)代的背景下，借助信息和通信技術(shù)（Information and Communication Technology，ICT）實(shí)現(xiàn)檔案服務(wù)社會(huì)的效益最大化，是當(dāng)下電子檔案建設(shè)的核心目標(biāo)之一。利用大眾計(jì)算技術(shù)，通過(guò)公共互聯(lián)網(wǎng)或移動(dòng)通信終端應(yīng)用進(jìn)行“端到端”檔案服務(wù)，是實(shí)現(xiàn)這一目標(biāo)的有效途徑。然而，電子檔案是一種具有保存價(jià)值的已歸檔的電子文件及其相關(guān)資料[1]，它對(duì)電子文件載體和信息安全保護(hù)有著特殊的要求。因此，如何保證電子檔案不被非法（非授權(quán)）訪(fǎng)問(wèn)、篡改、偽造，已經(jīng)成為當(dāng)前檔案工作探討的熱點(diǎn)。

電子檔案安全保障一直是檔案工作的熱點(diǎn) [2-4]。關(guān)于如何在局域網(wǎng)或?qū)Ｓ镁W(wǎng)絡(luò)中保障電子檔案的準(zhǔn)確性、完整性、可用性、安全性，檔案界已有較多探索和成熟經(jīng)驗(yàn)[5]，在此不作討論。而關(guān)于公共互聯(lián)和移動(dòng)互聯(lián)網(wǎng)等開(kāi)放網(wǎng)絡(luò)環(huán)境中電子檔案安全保障，是檔案工作者面臨的新課題。本文從ICT角度，對(duì)開(kāi)放網(wǎng)絡(luò)環(huán)境中電子檔案的信息安全威脅、安全保護(hù)準(zhǔn)則等加以簡(jiǎn)述，提出一種基于數(shù)字密鑰混合加密的電子檔案訪(fǎng)問(wèn)控制技術(shù)。

1 電子檔案信息安全威脅及安全保護(hù)準(zhǔn)則

1.1 開(kāi)放網(wǎng)絡(luò)環(huán)境中電子檔案信息安全保護(hù)面臨的主要威脅。電子檔案信息安全保護(hù)的核心目標(biāo)主要有三個(gè)[4]：一是維護(hù)電子檔案內(nèi)容的原始真實(shí)性；二是保護(hù)電子檔案的內(nèi)容完整性和保密性，防止篡改和泄露；三是保證電子檔案長(zhǎng)期有效，防止信息受損、失真、不可讀。

在開(kāi)放網(wǎng)絡(luò)環(huán)境下，電子檔案信息安全隱患主要有以下兩個(gè)方面。首先，在網(wǎng)絡(luò)層面上，電子檔案面臨的安全威脅主要是網(wǎng)絡(luò)惡意攻擊導(dǎo)致的數(shù)據(jù)安全問(wèn)題，包括數(shù)據(jù)泄露和數(shù)據(jù)不完整（信息丟失或惡意數(shù)據(jù)篡改）等。同專(zhuān)用網(wǎng)絡(luò)和企業(yè)局域網(wǎng)絡(luò)相比，電子檔案在開(kāi)放網(wǎng)絡(luò)環(huán)境中更容易受到黑客或病毒的惡意攻擊[5]。其次，隨著ICT發(fā)展，電子檔案的開(kāi)放利用程度逐漸增加，檔案信息服務(wù)對(duì)象來(lái)源更廣、類(lèi)型更復(fù)雜，安全不確定性增強(qiáng)。與傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的用戶(hù)相比，開(kāi)放網(wǎng)絡(luò)環(huán)境中的檔案信息需求用戶(hù)不僅包括可控的傳統(tǒng)檔案利用人員，還包括來(lái)自社會(huì)各個(gè)層面不可控的專(zhuān)業(yè)型、利益用戶(hù)型等新型人員[6]。

1.2 開(kāi)放網(wǎng)絡(luò)環(huán)境中電子檔案信息安全保護(hù)準(zhǔn)則。為消除電子檔案信息安全保護(hù)的安全隱患，本文從ICT角度提出以下五條開(kāi)放網(wǎng)絡(luò)環(huán)境中電子檔案信息安全保護(hù)準(zhǔn)則：

1.2.1 用戶(hù)可信原則，檔案信息提供者和服務(wù)對(duì)象是可互信的。在電子檔案共享平臺(tái)中，通常采用基于公鑰基礎(chǔ)體系（Public Key Infrastructure， PKI）的X.509證書(shū)或生物認(rèn)證等安全認(rèn)證技術(shù)，驗(yàn)證電子檔案信息訪(fǎng)問(wèn)雙方的合法性和有效性。

1.2.2 數(shù)據(jù)保密原則，檔案信息傳輸過(guò)程是端對(duì)端的，不包含個(gè)人安全信息。例如，通過(guò)采用安全傳輸層協(xié)議（Transport Layer Security，TLS），確保電子檔案信息傳輸過(guò)程中沒(méi)有第三方干擾或監(jiān)聽(tīng)。

1.2.3 訪(fǎng)問(wèn)授權(quán)和身份認(rèn)證分離原則，對(duì)檔案信息的任何操作均是基于身份認(rèn)證的。在開(kāi)放網(wǎng)絡(luò)環(huán)境中，完成任何一次檔案信息服務(wù)所要訪(fǎng)問(wèn)的網(wǎng)絡(luò)服務(wù)可能分布在不同的應(yīng)用系統(tǒng)中，需要采用安全斷言標(biāo)記語(yǔ)言（Security Assertion Markup Language，SAML）等實(shí)現(xiàn)“端到端”的高可信信息交換，保證用戶(hù)的身份合法性和訪(fǎng)問(wèn)的有效性。

1.2.4 完整性維護(hù)原則，檔案信息服務(wù)用戶(hù)收到的檔案數(shù)據(jù)信息是完整和準(zhǔn)確的。例如，利用TLS信息認(rèn)證碼（Message Authentication Codes，MACs）通過(guò)SAML安全令牌等數(shù)字簽名驗(yàn)證電子檔案訪(fǎng)問(wèn)信息的完整性。

1.2.5 問(wèn)責(zé)明確原則，監(jiān)控檔案信息服務(wù)訪(fǎng)問(wèn)，并記錄日志。電子檔案訪(fǎng)問(wèn)的每次操作都必須由實(shí)施主體親自發(fā)起，不允許代理或無(wú)主操作。

2 基于混合加密的電子檔案數(shù)字密鑰管理模型

在局域網(wǎng)或?qū)Ｓ镁W(wǎng)絡(luò)中，由于用戶(hù)數(shù)量有限、明確、可控，所以通常采用基于PKI的證書(shū)授權(quán)中心（Certificate Authority，CA）頒發(fā)數(shù)字證書(shū)，借助非對(duì)稱(chēng)加密技術(shù)保護(hù)電子檔案信息安全，即采用訪(fǎng)問(wèn)公鑰對(duì)電子檔案XML封裝包進(jìn)行加密，只有通過(guò)該用戶(hù)保管的私鑰才能解密[1，7]。相比之下，在開(kāi)放網(wǎng)絡(luò)下，由于電子檔案用戶(hù)的不確定性而且數(shù)量巨大，因此，基于PKI的CA證書(shū)技術(shù)的密鑰保管方案就變得根本不可行了。

為了解決開(kāi)放網(wǎng)絡(luò)環(huán)境中密鑰管理問(wèn)題，本文設(shè)計(jì)了一種基于混合加密的電子檔案數(shù)字密鑰管理技術(shù)（Encryption-based Digital Key Management for Electronic Records，EDKMER）。首先使用對(duì)稱(chēng)密鑰 加密電子檔案文件，得到 ；然后使用對(duì)稱(chēng)密鑰 加密 、訪(fǎng)問(wèn)控制規(guī)則和可信任公鑰列表，得到 ；接著采用檔案管理者公鑰采用非對(duì)稱(chēng)加密技術(shù)加密 、文件元數(shù)據(jù)等；最后按照?qǐng)D1所示生成一個(gè)由文件頭和內(nèi)容兩部分構(gòu)成的電子檔案安全文件，用于實(shí)現(xiàn)開(kāi)放網(wǎng)絡(luò)環(huán)境下檔案服務(wù)。

在圖1中，電子檔案安全文件由文件頭和內(nèi)容兩部分構(gòu)成。文件頭主要包括三部分：一是文件元數(shù)據(jù) ，包括電子檔案的文件名稱(chēng)、擴(kuò)展名、存儲(chǔ)位置等；二是安全信息密文 ，包括加密后的電子檔案文件密鑰 、可信任公鑰列表、訪(fǎng)問(wèn)控制規(guī)則等；三是數(shù)字簽名 ，用于驗(yàn)證頭部信息的有效性和完整性。內(nèi)容部分包括電子檔案文件密文 及數(shù)字簽名 兩部分，解密后的 是最終電子檔案信息服務(wù)內(nèi)容。endprint

3 基于EDKMER的電子檔案訪(fǎng)問(wèn)控制技術(shù)

3.1 創(chuàng)建電子檔案安全文件?；贓DKMER模型的電子檔案安全文件生成步驟。包括：

Step1：檔案管理人員從電子檔案管理系統(tǒng)中得到電子檔案文件，采用私鑰生成數(shù)字簽名，保證電子檔案數(shù)據(jù)的完整性。

Step2：采用對(duì)稱(chēng)加密技術(shù)生成兩個(gè)對(duì)稱(chēng)密鑰 和 ，用于加密文件頭和內(nèi)容。

Step3：采用 加密已經(jīng)簽名的電子檔案數(shù)據(jù)。

Step4： 和電子檔案訪(fǎng)問(wèn)規(guī)則列表組合，生成電子檔案訪(fǎng)問(wèn)安全信息，并采用 進(jìn)行加密。

Step5： 采用電子檔案管理人員的公鑰加密文件頭對(duì)稱(chēng)密鑰 ，記作 。根據(jù)訪(fǎng)問(wèn)安全規(guī)則，采用其他可信人員的公鑰加密 。組合 和 ，生成可信任公鑰列表，保證所有授權(quán)人員均可獲得內(nèi)容對(duì)稱(chēng)密鑰，進(jìn)而得到電子檔案數(shù)據(jù)。

Step6： 組合Step4和Step5獲得的數(shù)據(jù)和文件元數(shù)據(jù)，形成文件頭，并采用檔案管理人員私鑰生成數(shù)字簽名。

Step7： 組合Step3和Step6獲得的數(shù)據(jù)，生成電子檔案安全文件。

3.2 電子檔案數(shù)據(jù)信息獲取。采用EDKMER模型處理開(kāi)放網(wǎng)絡(luò)環(huán)境中電子檔案信息服務(wù)請(qǐng)求的步驟包括：

Step1：電子檔案信息服務(wù)用戶(hù)通過(guò)開(kāi)放網(wǎng)絡(luò)環(huán)境應(yīng)用程序，如Web瀏覽器或移動(dòng)應(yīng)用（簡(jiǎn)稱(chēng)瀏覽器），向電子檔案管理服務(wù)器（ERS）發(fā)送電子檔案訪(fǎng)問(wèn)解密請(qǐng)求。

Step2：ERS認(rèn)證瀏覽器請(qǐng)求，將其拆分為文件頭和數(shù)字簽名。采用ERS的公鑰驗(yàn)證數(shù)字簽名。如果數(shù)字簽名非法，記錄日志，返回瀏覽器錯(cuò)誤信息。

Step3：ERS使用私鑰解密文件頭密文，獲得頭文件對(duì)稱(chēng)密鑰 ，解密文件頭。

Step4：ERS從頭文件中獲取必要檔案信息，采用SAML將訪(fǎng)問(wèn)請(qǐng)求封裝成訪(fǎng)問(wèn)斷言，回發(fā)給瀏覽器。

Step5：瀏覽器接收到訪(fǎng)問(wèn)斷言后，將其發(fā)送給特定電子檔案信息服務(wù)提供服務(wù)器（ERAS）。ERAS驗(yàn)證接收到的訪(fǎng)問(wèn)斷言，生成新的訪(fǎng)問(wèn)斷言和必要檔案屬性信息，將瀏覽器重新定向到ERS。

Step6：ERS根據(jù)訪(fǎng)問(wèn)斷言和屬性信息，依據(jù)電子檔案安全訪(fǎng)問(wèn)規(guī)則判斷用戶(hù)操作合法性。

Step7：ERS根據(jù)Step6的判定結(jié)果決定是否接受瀏覽器訪(fǎng)問(wèn)請(qǐng)求。如果接受請(qǐng)求，則返回電子檔案安全文件對(duì)稱(chēng)密鑰 ；否則，記錄日志，返回瀏覽器錯(cuò)誤信息。

4 電子檔案信息安全保護(hù)分析

4.1 混合加密的數(shù)字密鑰管理模型為電子檔案的“四性”提供了安全保障。在EDKMER模型中，每個(gè)電子檔案XML封裝包有且僅有唯一的數(shù)字密鑰。該數(shù)字密鑰采用電子檔案管理人員的公鑰加密后，保存在電子檔案安全文件的文件頭部分。同時(shí)，采用電子檔案管理人員的私鑰對(duì)電子檔案安全文件進(jìn)行數(shù)字簽名。電子檔案XML封裝包加密可以保證它不會(huì)被其他用戶(hù)非法獲取，數(shù)字簽名保證了它的完整性，從而保障了電子檔案的準(zhǔn)確性、完整性、可用性、安全性。

4.2 基于EDKMER的電子檔案訪(fǎng)問(wèn)控制技術(shù)為開(kāi)放式網(wǎng)絡(luò)環(huán)境下電子檔案訪(fǎng)問(wèn)提供了安全保障。一方面，通過(guò)基于混合加密的數(shù)字密鑰管理和數(shù)字簽名技術(shù)，保證了電子檔案安全文件的數(shù)據(jù)信息完整性和網(wǎng)絡(luò)傳輸?shù)陌踩?，從而保證了互聯(lián)網(wǎng)惡意攻擊不能對(duì)電子檔案數(shù)據(jù)信息實(shí)施非法訪(fǎng)問(wèn)（泄密）或非授權(quán)操作（篡改、偽造）。另一方面，在開(kāi)放網(wǎng)絡(luò)環(huán)境下，EDKMER模型通過(guò)基于SAML的訪(fǎng)問(wèn)斷言實(shí)現(xiàn)了用戶(hù)訪(fǎng)問(wèn)操作合法性判斷和身份認(rèn)證的分離。這樣，不僅保證了所有用戶(hù)都是可驗(yàn)證用戶(hù)，而且從根本上杜絕了代理操作或無(wú)主操作，為進(jìn)行“端到端”的可信服務(wù)提供了安全保障。

參考文獻(xiàn)：

[1]石念峰，韓振英，李寶玲.基于XML文件訪(fǎng)問(wèn)控制的電子檔案安全保障技術(shù)研究[J].檔案管理，2016（6）：37～39.

[2]趙麗.我國(guó)電子文件管理系統(tǒng)研究進(jìn)展與方向[J].檔案學(xué)研究，2013（6）：50～56.

[3]韓振英，沈光亮.政務(wù)電子文件管理研究綜述[J].蘭臺(tái)世界，2016（3）：61～63.

[4]陳永生，蘇煥寧等.電子政務(wù)系統(tǒng)中的檔案管理：安全保障[J].檔案學(xué)研究，2015（4）：29～40.

[5]馬仁杰，劉俊玲.論電子檔案開(kāi)放利用中信息安全保障存在的問(wèn)題與對(duì)策[J].檔案學(xué)通訊，2012（3）：56～60.

[6]聶云霞，張加欣，甘敏.信息生態(tài)視域下數(shù)字檔案用戶(hù)信息安全保障系統(tǒng)構(gòu)建研究[J].檔案學(xué)研究，2017（1）：66～72.

[7]陶水龍.電子檔案身份證憑證性保障與安全模型研究[J].檔案學(xué)研究，2015（3）：82～87.

（作者單位：洛陽(yáng)理工學(xué)院 來(lái)稿日期：2017-06-14）endprint