開放網(wǎng)絡(luò)環(huán)境下電子檔案訪問控制技術(shù)研究

摘 要：分析了開放網(wǎng)絡(luò)環(huán)境下電子檔案信息安全保護的安全隱患，設(shè)計了五條電子檔案信息安全保護安全準則。為解決開放網(wǎng)絡(luò)中電子檔案信息安全保護的密鑰管理問題，提出了一種基于數(shù)字密鑰混合加密的電子檔案訪問控制技術(shù)。分析表明，文中技術(shù)可以保障電子檔案的準確性、完整性、可用性、安全性，保證了開放網(wǎng)絡(luò)環(huán)境下“端到端”檔案服務(wù)的數(shù)據(jù)安全。

關(guān)鍵詞：電子檔案；開放利用；信息安全保護；開放網(wǎng)絡(luò)環(huán)境；混合加密

在電子檔案進入大數(shù)據(jù)和共享經(jīng)濟時代的背景下，借助信息和通信技術(shù)（Information and Communication Technology，ICT）實現(xiàn)檔案服務(wù)社會的效益最大化，是當下電子檔案建設(shè)的核心目標之一。利用大眾計算技術(shù)，通過公共互聯(lián)網(wǎng)或移動通信終端應(yīng)用進行“端到端”檔案服務(wù)，是實現(xiàn)這一目標的有效途徑。然而，電子檔案是一種具有保存價值的已歸檔的電子文件及其相關(guān)資料[1]，它對電子文件載體和信息安全保護有著特殊的要求。因此，如何保證電子檔案不被非法（非授權(quán)）訪問、篡改、偽造，已經(jīng)成為當前檔案工作探討的熱點。

電子檔案安全保障一直是檔案工作的熱點 [2-4]。關(guān)于如何在局域網(wǎng)或?qū)Ｓ镁W(wǎng)絡(luò)中保障電子檔案的準確性、完整性、可用性、安全性，檔案界已有較多探索和成熟經(jīng)驗[5]，在此不作討論。而關(guān)于公共互聯(lián)和移動互聯(lián)網(wǎng)等開放網(wǎng)絡(luò)環(huán)境中電子檔案安全保障，是檔案工作者面臨的新課題。本文從ICT角度，對開放網(wǎng)絡(luò)環(huán)境中電子檔案的信息安全威脅、安全保護準則等加以簡述，提出一種基于數(shù)字密鑰混合加密的電子檔案訪問控制技術(shù)。

1 電子檔案信息安全威脅及安全保護準則

1.1 開放網(wǎng)絡(luò)環(huán)境中電子檔案信息安全保護面臨的主要威脅。電子檔案信息安全保護的核心目標主要有三個[4]：一是維護電子檔案內(nèi)容的原始真實性；二是保護電子檔案的內(nèi)容完整性和保密性，防止篡改和泄露；三是保證電子檔案長期有效，防止信息受損、失真、不可讀。

在開放網(wǎng)絡(luò)環(huán)境下，電子檔案信息安全隱患主要有以下兩個方面。首先，在網(wǎng)絡(luò)層面上，電子檔案面臨的安全威脅主要是網(wǎng)絡(luò)惡意攻擊導(dǎo)致的數(shù)據(jù)安全問題，包括數(shù)據(jù)泄露和數(shù)據(jù)不完整（信息丟失或惡意數(shù)據(jù)篡改）等。同專用網(wǎng)絡(luò)和企業(yè)局域網(wǎng)絡(luò)相比，電子檔案在開放網(wǎng)絡(luò)環(huán)境中更容易受到黑客或病毒的惡意攻擊[5]。其次，隨著ICT發(fā)展，電子檔案的開放利用程度逐漸增加，檔案信息服務(wù)對象來源更廣、類型更復(fù)雜，安全不確定性增強。與傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的用戶相比，開放網(wǎng)絡(luò)環(huán)境中的檔案信息需求用戶不僅包括可控的傳統(tǒng)檔案利用人員，還包括來自社會各個層面不可控的專業(yè)型、利益用戶型等新型人員[6]。

1.2 開放網(wǎng)絡(luò)環(huán)境中電子檔案信息安全保護準則。為消除電子檔案信息安全保護的安全隱患，本文從ICT角度提出以下五條開放網(wǎng)絡(luò)環(huán)境中電子檔案信息安全保護準則：

1.2.1 用戶可信原則，檔案信息提供者和服務(wù)對象是可互信的。在電子檔案共享平臺中，通常采用基于公鑰基礎(chǔ)體系（Public Key Infrastructure， PKI）的X.509證書或生物認證等安全認證技術(shù)，驗證電子檔案信息訪問雙方的合法性和有效性。

1.2.2 數(shù)據(jù)保密原則，檔案信息傳輸過程是端對端的，不包含個人安全信息。例如，通過采用安全傳輸層協(xié)議（Transport Layer Security，TLS），確保電子檔案信息傳輸過程中沒有第三方干擾或監(jiān)聽。

1.2.3 訪問授權(quán)和身份認證分離原則，對檔案信息的任何操作均是基于身份認證的。在開放網(wǎng)絡(luò)環(huán)境中，完成任何一次檔案信息服務(wù)所要訪問的網(wǎng)絡(luò)服務(wù)可能分布在不同的應(yīng)用系統(tǒng)中，需要采用安全斷言標記語言（Security Assertion Markup Language，SAML）等實現(xiàn)“端到端”的高可信信息交換，保證用戶的身份合法性和訪問的有效性。

1.2.4 完整性維護原則，檔案信息服務(wù)用戶收到的檔案數(shù)據(jù)信息是完整和準確的。例如，利用TLS信息認證碼（Message Authentication Codes，MACs）通過SAML安全令牌等數(shù)字簽名驗證電子檔案訪問信息的完整性。

1.2.5 問責(zé)明確原則，監(jiān)控檔案信息服務(wù)訪問，并記錄日志。電子檔案訪問的每次操作都必須由實施主體親自發(fā)起，不允許代理或無主操作。

2 基于混合加密的電子檔案數(shù)字密鑰管理模型

在局域網(wǎng)或?qū)Ｓ镁W(wǎng)絡(luò)中，由于用戶數(shù)量有限、明確、可控，所以通常采用基于PKI的證書授權(quán)中心（Certificate Authority，CA）頒發(fā)數(shù)字證書，借助非對稱加密技術(shù)保護電子檔案信息安全，即采用訪問公鑰對電子檔案XML封裝包進行加密，只有通過該用戶保管的私鑰才能解密[1，7]。相比之下，在開放網(wǎng)絡(luò)下，由于電子檔案用戶的不確定性而且數(shù)量巨大，因此，基于PKI的CA證書技術(shù)的密鑰保管方案就變得根本不可行了。

為了解決開放網(wǎng)絡(luò)環(huán)境中密鑰管理問題，本文設(shè)計了一種基于混合加密的電子檔案數(shù)字密鑰管理技術(shù)（Encryption-based Digital Key Management for Electronic Records，EDKMER）。首先使用對稱密鑰 加密電子檔案文件，得到 ；然后使用對稱密鑰 加密 、訪問控制規(guī)則和可信任公鑰列表，得到 ；接著采用檔案管理者公鑰采用非對稱加密技術(shù)加密 、文件元數(shù)據(jù)等；最后按照圖1所示生成一個由文件頭和內(nèi)容兩部分構(gòu)成的電子檔案安全文件，用于實現(xiàn)開放網(wǎng)絡(luò)環(huán)境下檔案服務(wù)。

在圖1中，電子檔案安全文件由文件頭和內(nèi)容兩部分構(gòu)成。文件頭主要包括三部分：一是文件元數(shù)據(jù) ，包括電子檔案的文件名稱、擴展名、存儲位置等；二是安全信息密文 ，包括加密后的電子檔案文件密鑰 、可信任公鑰列表、訪問控制規(guī)則等；三是數(shù)字簽名 ，用于驗證頭部信息的有效性和完整性。內(nèi)容部分包括電子檔案文件密文 及數(shù)字簽名 兩部分，解密后的 是最終電子檔案信息服務(wù)內(nèi)容。endprint

3 基于EDKMER的電子檔案訪問控制技術(shù)

3.1 創(chuàng)建電子檔案安全文件。基于EDKMER模型的電子檔案安全文件生成步驟。包括：

Step1：檔案管理人員從電子檔案管理系統(tǒng)中得到電子檔案文件，采用私鑰生成數(shù)字簽名，保證電子檔案數(shù)據(jù)的完整性。

Step2：采用對稱加密技術(shù)生成兩個對稱密鑰 和 ，用于加密文件頭和內(nèi)容。

Step3：采用 加密已經(jīng)簽名的電子檔案數(shù)據(jù)。

Step4： 和電子檔案訪問規(guī)則列表組合，生成電子檔案訪問安全信息，并采用 進行加密。

Step5： 采用電子檔案管理人員的公鑰加密文件頭對稱密鑰 ，記作 。根據(jù)訪問安全規(guī)則，采用其他可信人員的公鑰加密 。組合 和 ，生成可信任公鑰列表，保證所有授權(quán)人員均可獲得內(nèi)容對稱密鑰，進而得到電子檔案數(shù)據(jù)。

Step6： 組合Step4和Step5獲得的數(shù)據(jù)和文件元數(shù)據(jù)，形成文件頭，并采用檔案管理人員私鑰生成數(shù)字簽名。

Step7： 組合Step3和Step6獲得的數(shù)據(jù)，生成電子檔案安全文件。

3.2 電子檔案數(shù)據(jù)信息獲取。采用EDKMER模型處理開放網(wǎng)絡(luò)環(huán)境中電子檔案信息服務(wù)請求的步驟包括：

Step1：電子檔案信息服務(wù)用戶通過開放網(wǎng)絡(luò)環(huán)境應(yīng)用程序，如Web瀏覽器或移動應(yīng)用（簡稱瀏覽器），向電子檔案管理服務(wù)器（ERS）發(fā)送電子檔案訪問解密請求。

Step2：ERS認證瀏覽器請求，將其拆分為文件頭和數(shù)字簽名。采用ERS的公鑰驗證數(shù)字簽名。如果數(shù)字簽名非法，記錄日志，返回瀏覽器錯誤信息。

Step3：ERS使用私鑰解密文件頭密文，獲得頭文件對稱密鑰 ，解密文件頭。

Step4：ERS從頭文件中獲取必要檔案信息，采用SAML將訪問請求封裝成訪問斷言，回發(fā)給瀏覽器。

Step5：瀏覽器接收到訪問斷言后，將其發(fā)送給特定電子檔案信息服務(wù)提供服務(wù)器（ERAS）。ERAS驗證接收到的訪問斷言，生成新的訪問斷言和必要檔案屬性信息，將瀏覽器重新定向到ERS。

Step6：ERS根據(jù)訪問斷言和屬性信息，依據(jù)電子檔案安全訪問規(guī)則判斷用戶操作合法性。

Step7：ERS根據(jù)Step6的判定結(jié)果決定是否接受瀏覽器訪問請求。如果接受請求，則返回電子檔案安全文件對稱密鑰 ；否則，記錄日志，返回瀏覽器錯誤信息。

4 電子檔案信息安全保護分析

4.1 混合加密的數(shù)字密鑰管理模型為電子檔案的“四性”提供了安全保障。在EDKMER模型中，每個電子檔案XML封裝包有且僅有唯一的數(shù)字密鑰。該數(shù)字密鑰采用電子檔案管理人員的公鑰加密后，保存在電子檔案安全文件的文件頭部分。同時，采用電子檔案管理人員的私鑰對電子檔案安全文件進行數(shù)字簽名。電子檔案XML封裝包加密可以保證它不會被其他用戶非法獲取，數(shù)字簽名保證了它的完整性，從而保障了電子檔案的準確性、完整性、可用性、安全性。

4.2 基于EDKMER的電子檔案訪問控制技術(shù)為開放式網(wǎng)絡(luò)環(huán)境下電子檔案訪問提供了安全保障。一方面，通過基于混合加密的數(shù)字密鑰管理和數(shù)字簽名技術(shù)，保證了電子檔案安全文件的數(shù)據(jù)信息完整性和網(wǎng)絡(luò)傳輸?shù)陌踩?，從而保證了互聯(lián)網(wǎng)惡意攻擊不能對電子檔案數(shù)據(jù)信息實施非法訪問（泄密）或非授權(quán)操作（篡改、偽造）。另一方面，在開放網(wǎng)絡(luò)環(huán)境下，EDKMER模型通過基于SAML的訪問斷言實現(xiàn)了用戶訪問操作合法性判斷和身份認證的分離。這樣，不僅保證了所有用戶都是可驗證用戶，而且從根本上杜絕了代理操作或無主操作，為進行“端到端”的可信服務(wù)提供了安全保障。

參考文獻：

[1]石念峰，韓振英，李寶玲.基于XML文件訪問控制的電子檔案安全保障技術(shù)研究[J].檔案管理，2016（6）：37～39.

[2]趙麗.我國電子文件管理系統(tǒng)研究進展與方向[J].檔案學(xué)研究，2013（6）：50～56.

[3]韓振英，沈光亮.政務(wù)電子文件管理研究綜述[J].蘭臺世界，2016（3）：61～63.

[4]陳永生，蘇煥寧等.電子政務(wù)系統(tǒng)中的檔案管理：安全保障[J].檔案學(xué)研究，2015（4）：29～40.

[5]馬仁杰，劉俊玲.論電子檔案開放利用中信息安全保障存在的問題與對策[J].檔案學(xué)通訊，2012（3）：56～60.

[6]聶云霞，張加欣，甘敏.信息生態(tài)視域下數(shù)字檔案用戶信息安全保障系統(tǒng)構(gòu)建研究[J].檔案學(xué)研究，2017（1）：66～72.

[7]陶水龍.電子檔案身份證憑證性保障與安全模型研究[J].檔案學(xué)研究，2015（3）：82～87.

（作者單位：洛陽理工學(xué)院 來稿日期：2017-06-14）endprint