基于XML文件訪問控制的電子檔案安全保障技術(shù)研究

石念峰++韓振英++李寶玲

摘 要：分析了電子檔案元數(shù)據(jù)構(gòu)成和歸檔安全性要求，提出了基于XML文件訪問控制機制的電子檔案安全保障模型（xERSPM）。通過敏感性信息嵌入、文件訪問權(quán)限控制、XML簽名、XML應(yīng)用防火墻驗證等信息安全機制，解決了電子檔案訪問、傳輸?shù)炔僮鬟^程的安全性問題。在xERSPM模型的XML文件訪問機制控制下，采用電子檔案數(shù)據(jù)分類封裝、數(shù)字摘要和XML簽名等技術(shù)，解決了電子檔案封裝包持續(xù)更新和多次數(shù)字簽名認(rèn)證問題。

關(guān)鍵詞：電子檔案；安全保障；XML簽名；訪問控制列表；信息安全

電子檔案安全保障技術(shù)是電子檔案的歸檔、鑒定、處置、移交、利用的根本性保障[1]。由于電子政務(wù)系統(tǒng)和檔案管理系統(tǒng)的復(fù)雜性和多樣性，電子檔案安全保障通常是一個跨網(wǎng)絡(luò)的、異構(gòu)系統(tǒng)之間數(shù)據(jù)轉(zhuǎn)換和信息共享的安全保障問題。隨著電子政務(wù)系統(tǒng)和OA系統(tǒng)普及和深入應(yīng)用[2]，如何保障電子檔案管理的安全性是電子檔案管理工作面臨的新挑戰(zhàn)。

本文在分析電子檔案元數(shù)據(jù)構(gòu)成和歸檔安全性要求的基礎(chǔ)上，借助XML文件信息安全和電子檔案封裝技術(shù)，構(gòu)建基于XML文件訪問控制機制的電子檔案安全保障模型，以高效保障電子檔案安全。

1 電子檔案安全保障要點及實現(xiàn)機制

電子檔案安全保障的核心目標(biāo)是維護電子檔案的真實性和長期可讀性，防止電子檔案受損、失真、不可讀，保障電子檔案與歸檔時的狀態(tài)一致[1]。電子檔案的真實性包括電子檔案歸檔時來源身份和原始狀態(tài)是真實可證的和電子檔案的保管過程可追溯、可審計性等兩個層面的含義[7]。針對電子檔案的真實性保障，檔案界已經(jīng)開展很多研究，如數(shù)字簽名、元數(shù)據(jù)管理等[2]。電子檔案長期可讀性要求檔案管理系統(tǒng)要對電子檔案實體進行一定處理，使之滿足長期可讀的格式和存儲要求，防止其丟失和失效。目前主要保障措施有格式轉(zhuǎn)換和基于封裝包的數(shù)字遷移等。

電子文件封裝技術(shù)是一種將電子文件數(shù)據(jù)實體及其元數(shù)據(jù)按指定結(jié)構(gòu)打包的技術(shù)，例如VEO（Victorian Encapsulated Object）、METS（Metadata Encoding and Transmission Standard）[8]等。由于電子文件封裝技術(shù)具有資源自包含、自描述、自證明等特性，檔案界認(rèn)為它是一種有效的電子檔案安全保障技術(shù)。國家檔案局2009年頒布的《基于XML的電子文件封裝規(guī)范DA/T48-2009》（以下簡稱“DA/T48-2009標(biāo)準(zhǔn)”）采用VEO對電子檔案的封裝格式、要求制定了規(guī)范，是我國電子政務(wù)系統(tǒng)普遍采用的一種電子檔案安全保障策略。但實踐證明，由于在制定元數(shù)據(jù)和電子檔案實體數(shù)據(jù)XML封裝規(guī)范時，DA/T48-2009標(biāo)準(zhǔn)沒有最大限度地兼顧電子檔案的真實性和長期可讀性要求，加之存在VEO技術(shù)存在內(nèi)容不易機器處理、封裝包隨電子檔案保管活動的進行多次封裝等局限性，導(dǎo)致它并沒有得到廣泛地應(yīng)用。

電子檔案元數(shù)據(jù)包括描述性元數(shù)據(jù)和管理性元數(shù)。一方面，電子檔案長期可讀性主張將電子檔案及其元數(shù)據(jù)進行整體封裝；另一方面，完善的元數(shù)據(jù)記錄有利于追溯檔案實體生成和管理過程，是確保電子檔案真實性的基礎(chǔ)，因此管理性元數(shù)據(jù)要不斷被添加到電子檔案元數(shù)據(jù)中。增加元數(shù)據(jù)使得電子檔案面臨多次封裝，極易造成內(nèi)在安全保障風(fēng)險和漏洞。作為一種解決方案，有研究采用分體式METS技術(shù)，將電子檔案實體數(shù)據(jù)的二進制內(nèi)容以外部文件的形式存在，指向電子檔案實體數(shù)據(jù)的鏈接封裝在“文件列表塊”中，元數(shù)據(jù)統(tǒng)一記錄在“描述性元數(shù)據(jù)塊”和“管理元數(shù)據(jù)塊”中。[8]分體式METS技術(shù)在一定程度上提高了電子檔案封裝包的穩(wěn)定性，降低了內(nèi)在風(fēng)險。但由于每次更新電子檔案封裝包都要增加數(shù)字簽名，使得電子檔案部分?jǐn)?shù)據(jù)仍要多次封裝，而且還導(dǎo)致了電子檔案的真實性過分依賴于對第三方的信任。

綜上所述，由于目前采用的有些安全保障策略很難兼顧真實性和長期可讀性的雙重要求，導(dǎo)致電子檔案安全保障工作難以高效地開展。因此，如何高效地解決電子檔案封裝包持續(xù)更新問題和多次數(shù)字簽名認(rèn)證問題，是電子檔案管理系統(tǒng)安全保障的關(guān)鍵。

2 基于XML文件訪問機制的電子檔案安全保障模型

2.1 模型框架?；赬ML文件管理機制的電子檔案安全保障模型（XML-based Electronic Records Security Protection Model，xERSPM）由訪問權(quán)限控制智能體ACA、電子檔案封裝智能體EREA、XML防火墻、數(shù)據(jù)資源、可信用戶等五個部分構(gòu)成（如圖1所示），各部分功能如下：

（1）訪問權(quán)限控制智能體（ACA）：根據(jù)訪問權(quán)限控制策略，判斷用戶操作請求是否合法。

（2）電子檔案封裝智能體（EREA）：是一個XML封裝模塊，ACA決策的實際執(zhí)行者。EREA的主要職責(zé)有三個：①將用戶的請求采用XACML協(xié)議封裝成XML；②按照特定規(guī)則將電子檔案數(shù)據(jù)封裝成包含敏感性信息的XML文件；③通過XML簽名技術(shù)，承擔(dān)電子檔案安全性保障工作。

（3）XML防火墻：應(yīng)用程序級的XML文件防火墻，它可以阻止未經(jīng)ACA授權(quán)或ERAE處理的電子檔案流出電子檔案管理系統(tǒng)，確保電子檔案的安全性。

（4）數(shù)據(jù)資源：關(guān)系型數(shù)據(jù)庫或者XML等格式電子文件的集合，包括電子檔案數(shù)據(jù)庫和其它數(shù)據(jù)庫資源。其中，電子檔案數(shù)據(jù)庫包括電子檔案身份性數(shù)據(jù)（ERIMD）和電子檔案管理性數(shù)據(jù)（ERMMD）。

（5）可信用戶：來自身份確認(rèn)的用戶實體或者應(yīng)用程序的可信XML文件訪問請求。

圖1：xERSPM模型的構(gòu)成

2.2 電子檔案訪問與封裝。xERSPM模型的電子檔案訪問及XML封裝具體流程步驟（如圖2所示）為：

Step1：用戶通過電子檔案管理系統(tǒng)的身份認(rèn)證系統(tǒng)（Identity Authority System，IAS）確認(rèn)，成為可信用戶，并將電子檔案訪問請求連同身份驗證信息一起提交給電子檔案管理系統(tǒng)的ERAE。只有具有IAS簽發(fā)的合法數(shù)字證書的電子檔案管理系統(tǒng)（電子政務(wù)系統(tǒng)、OA系統(tǒng)等）的用戶才能成為可信用戶。

Step2：ERAE根據(jù)可信用戶提交的身份驗證信息，從IAS中獲得該可信用戶的數(shù)字證書，按照XACML協(xié)議將可信用戶的數(shù)字證書和電子檔案訪問請求轉(zhuǎn)換為XML格式（標(biāo)識為RQxmli）并將RQxmli提交給ACA。

Step3：ACA根據(jù)RQxmli中的請求信息，從數(shù)據(jù)資源中得到相應(yīng)電子檔案訪問策略，驗證RQxmli的合法性，并將驗證結(jié)果Reli返回給ERAE。如果用戶本次訪問請求合法，Reli值為真，否則為假。

Step4：ERAE首先根據(jù)RQxmli的用戶信息和訪問請求，從數(shù)據(jù)資源中得到電子檔案數(shù)據(jù){File}i和權(quán)限列表ACLi；然后按照散列函數(shù)（如MD5）生成{File}i的數(shù)字摘要DDi；最后根據(jù)XML描述規(guī)則將{File}i、ACLi和DDi封裝成XML格式的電子文件Filexmli。

圖2：xERSPM模型的電子檔案訪問及XML封裝流程

Step5 ERAE使用XML簽名算法采用私鑰對Filexmli進行XML簽名，生成新的XML文件SFilexmli。

Step6： ERAE生成一個對稱秘鑰SKeyi，使用SM4算法采用SKeyi加密SFilexmli得到密文Cipherxmli。

Step7：ERAE使用SM2算法采用可信用戶的公鑰加密SKeyi得到密文Cipherskeyi，并將Cipherskeyi和Cipherxmli傳輸給目標(biāo)可信用戶。

Step8：可信用戶得到Cipherskeyi和Cipherxmli后，首先利用私鑰解密Cipherskeyi得到SKeyi，然后利用SKeyi解密Cipherxmli得到SFilexmli。

Step9：根據(jù)SFilexmli中的ERAE公鑰和數(shù)字摘要DDi，驗證XML簽名的真實性和Filexmli的完整性。

Step10：解析XML文件，提取{File}i中的電子檔案實體數(shù)據(jù)、電子檔案元數(shù)據(jù)等數(shù)據(jù)，按照特定格式解碼還原電子檔案，完成本次電子檔案訪問。

2.3 分類封裝與XML簽名。通常電子檔案數(shù)據(jù)可能是圖片、WORD文本、電子表格、多媒體文件，也可能是電子郵件、網(wǎng)頁等。在xERSPM模型中，電子檔案實體數(shù)據(jù)及其元數(shù)據(jù)均被封裝成XML文件。為此，首先采用Base64編碼器將它們編碼為ASCII字符串，然后按照預(yù)定格式和要求進行XML文件封裝。

為了解決電子檔案面臨的多次封裝問題，在xERSPM模型的XML文件訪問控制保障下，本文通過改進分體式METS技術(shù)，設(shè)計了一種新的電子檔案封裝技術(shù)，即xERSPM封裝技術(shù)。首先，根據(jù)電子檔案數(shù)據(jù)在歸檔后是否會改變，將電子檔案數(shù)據(jù)分為身份性數(shù)據(jù)和過程性數(shù)據(jù)等兩大類。身份性數(shù)據(jù)是電子檔案的身份性數(shù)據(jù)，一經(jīng)歸檔就不能改變，它包括電子檔案實體數(shù)據(jù)和描述性元數(shù)據(jù)兩部分內(nèi)容；過程性數(shù)據(jù)描述了電子檔案的歸檔、鑒定、處置、移交、利用等環(huán)節(jié)。然后，將身份性數(shù)據(jù)和過程性數(shù)據(jù)分別封裝成兩個XML文件，即xFile02和xFile01。

在身份性數(shù)據(jù)文件xFile02中，描述性元數(shù)據(jù)和檔案實體分別封裝在“描述性元數(shù)據(jù)塊”和“文件列表塊”中，而“文件列表塊”記錄的是電子檔案文件鏈接。為了保證電子檔案的“四性”，首先采用散列函數(shù)生成身份性數(shù)據(jù)的數(shù)字摘要，然后采用SM2算法通過私鑰加密該數(shù)字摘要，將加密結(jié)果封裝到xFile02的數(shù)字簽名塊中（標(biāo)識為Signxf02）。同時，在保存xFile02之前，ERAE要先進行XML簽名。

在過程性數(shù)據(jù)文件xFile01中，過程性數(shù)據(jù)被封裝在“管理性元數(shù)據(jù)塊”中?！皵?shù)字簽名塊”部分的每一個數(shù)字簽名由身份性數(shù)字摘要和過程性數(shù)字摘要組成。xERSPM封裝技術(shù)要求xFile01封裝用戶必須對這些元數(shù)據(jù)進行簽名。生成一個數(shù)字簽名，需要完成3個步驟：首先，根據(jù)散列函數(shù)生成的xFile01的過程性數(shù)字摘要；然后，引用Signxf02得到身份性數(shù)字摘要；最后，使用SM2算法使用私鑰加密過程性和身份性數(shù)字摘要。同時，在保存xFile01之前，ERAE要先進行XML簽名。

3 xERSPM模型電子檔案安全保障分析

3.1 敏感性信息嵌入與XML簽名技術(shù)為電子檔案長期保存提供了安全保障。xERSPM模型的ERAE在執(zhí)行基于XML封裝時，首先要根據(jù)ACA授權(quán)從數(shù)據(jù)資源中得到用戶的請求訪問的文件資源和訪問權(quán)限列表，然后生成數(shù)字摘要，最后采用XML文件格式封裝數(shù)字摘要并使用私鑰進行XML簽名。數(shù)字摘要是ERAE通過散列函數(shù)生成的，使用私鑰進行了簽名，因此除了ERAE以外，無論是任何用戶都無法篡改XML文件內(nèi)容以及包含的用戶訪問權(quán)限列表。同時，XML應(yīng)用防火墻對用戶訪問權(quán)限列表的驗證和權(quán)限的控制，可以在物理介質(zhì)層面攔截非法的跨網(wǎng)絡(luò)文件訪問，保證政務(wù)網(wǎng)或互聯(lián)網(wǎng)系統(tǒng)用戶無法從電子檔案管理系統(tǒng)中非法獲得電子檔案數(shù)據(jù)。

3.2 基于SM2和SM4的數(shù)字加密為電子檔案訪問提供了安全保障。通過SM4算法使用對稱密鑰加密ERAE生成XML文件，不僅提高了XML文件加密的效率，還保證了電子檔案管理系統(tǒng)可以滿足《GB/T25056-2010證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》等標(biāo)準(zhǔn)規(guī)范提出的新要求。此外，通過SM2算法使用訪問請求用戶的私鑰加密上述對稱密鑰，使得只有合法用戶才能解密對稱密鑰，進而解密電子檔案，保證了電子檔案不會被其它用戶非法獲得。

3.3 分類封裝技術(shù)和XML簽名技術(shù)為電子檔案的“四性”提供了安全保障。一方面，對于身份性數(shù)據(jù)， xFile02記錄了加密后的身份性數(shù)字摘要，保證了身份性數(shù)據(jù)封裝操作的可信性、不可抵賴性和完整性。在身份性數(shù)據(jù)封裝完成后，ERAE會對其XML簽名保存，因此除非ACA和ERAE許可，否則任何用戶都無法修改或再次生成xFile02，確保了身份性數(shù)據(jù)的完整性、真實性。另一方面，對于過程性數(shù)據(jù)，xFile01記錄了加密后的過程性數(shù)據(jù)數(shù)字摘要和xFile02的數(shù)字簽名，保證了電子檔案的完整性、可信性和不可抵賴性。在過程性數(shù)據(jù)封裝完成后，ERAE會對其簽名保存，確保了身份性數(shù)據(jù)的完整性、真實性。此外，電子檔案的身份性數(shù)據(jù)和過程性數(shù)據(jù)分開封裝，當(dāng)電子檔案管理活動產(chǎn)生的管理性元數(shù)只會導(dǎo)致xFile01多次封裝，降低了電子檔案安全保障措施的內(nèi)在安全風(fēng)險，有利于電子檔案永久性保存。同時，在xERSPM模型中，無論是電子檔案管理系統(tǒng)用戶還是電子政務(wù)系統(tǒng)或者互聯(lián)網(wǎng)用戶，對電子檔案執(zhí)行的訪問都須經(jīng)過ERAE、ACA和XML應(yīng)用防火墻構(gòu)成的三級安全性認(rèn)證。因此，即使在缺少權(quán)威的第三方CA認(rèn)證，檔案管理系統(tǒng)也可以保證數(shù)字簽名的真實性。

4 結(jié)語

電子檔案安全保障是電子政務(wù)環(huán)境中電子檔案管理的關(guān)鍵性技術(shù)問題。本文構(gòu)建的電子檔案安全保障xERSPM模型將操作權(quán)限列表和數(shù)字摘要等作為敏感性信息封裝到XML中，并采用SM2非對稱加密技術(shù)對操作權(quán)限列表和數(shù)字摘要等敏感性信息加密和簽名，不僅可以通過訪問權(quán)限控制智能體阻止未授權(quán)用戶獲取或操作電子檔案，也可以借助XML應(yīng)用防火墻阻止未經(jīng)授權(quán)的電子檔案在企業(yè)政務(wù)網(wǎng)、企業(yè)內(nèi)網(wǎng)或者互聯(lián)網(wǎng)上傳播，確保了電子檔案的安全性和真實性。同時，在xERSPM模型的XML文件訪問機制控制下，采用電子檔案數(shù)據(jù)分類封裝、數(shù)字摘要、XML簽名和SM2與SM4混合加密等技術(shù)不僅可以兼顧電子檔案真實性和長期可讀性的雙重要求，可以滿足我國新時期對電子檔案管理系統(tǒng)提出的安全性新要求。

*本文系河南省科技廳科技攻關(guān)資助項目 “基于政務(wù)網(wǎng)的電子文件管理系統(tǒng)研究”（編號：142102210120）和“基于數(shù)據(jù)關(guān)聯(lián)分析的網(wǎng)絡(luò)安管平臺研發(fā)”（編號：162102210047）；河南省科技廳基礎(chǔ)前沿資助項目“基于透明加密的網(wǎng)絡(luò)安全模型及穩(wěn)定性研究”（編號：142300410014）的階段成果。

參考文獻：

[1]陳永生，侯衡等.電子政務(wù)系統(tǒng)中的檔案管理：文件歸檔[J].檔案學(xué)研究，2015（3）：10～20.

[2]馮馨雨，李珂.河南省直單位電子文件形成與歸檔情況調(diào)查報告[J].檔案管理2015（2）：59～61+44.

[3]陳永生，蘇煥寧等.電子政務(wù)系統(tǒng)中的檔案管理：安全保障[J].檔案學(xué)研究，2015（4）：29～40.

[4]程妍妍.國際電子文件元數(shù)據(jù)封裝方法VEO和METS的比較研究[J].現(xiàn)代圖書情報技術(shù)， 2011（10）： 7～11.

（作者單位：石念峰，韓振英，洛陽理工學(xué)院；李寶玲，河南省檔案局 來稿日期：2016-08-06）