开放网络环境下电子档案访问控制技术研究

    

    摘 要：分析了开放网络环境下电子档案信息安全保护的安全隐患，设计了五条电子档案信息安全保护安全准则。为解决开放网络中电子档案信息安全保护的密钥管理问题，提出了一种基于数字密钥混合加密的电子档案访问控制技术。分析表明，文中技术可以保障电子档案的准确性、完整性、可用性、安全性，保证了开放网络环境下“端到端”档案服务的数据安全。

    关键词：电子档案；开放利用；信息安全保护；开放网络环境；混合加密

    在电子档案进入大数据和共享经济时代的背景下，借助信息和通信技术（Information and Communication Technology，ICT）实现档案服务社会的效益最大化，是当下电子档案建设的核心目标之一。利用大众计算技术，通过公共互联网或移动通信终端应用进行“端到端”档案服务，是实现这一目标的有效途径。然而，电子档案是一种具有保存价值的已归档的电子文件及其相关资料[1]，它对电子文件载体和信息安全保护有着特殊的要求。因此，如何保证电子档案不被非法（非授权）访问、篡改、伪造，已经成为当前档案工作探讨的热点。

    电子档案安全保障一直是档案工作的热点 [2-4]。关于如何在局域网或专用网络中保障电子档案的准确性、完整性、可用性、安全性，档案界已有较多探索和成熟经验[5]，在此不作讨论。而关于公共互联和移动互联网等开放网络环境中电子档案安全保障，是档案工作者面临的新课题。本文从ICT角度，对开放网络环境中电子档案的信息安全威胁、安全保护准则等加以简述，提出一种基于数字密钥混合加密的电子档案访问控制技术。

    1 电子档案信息安全威胁及安全保护准则

    1.1 开放网络环境中电子档案信息安全保护面临的主要威胁。电子档案信息安全保护的核心目标主要有三个[4]：一是维护电子档案内容的原始真实性；二是保护电子档案的内容完整性和保密性，防止篡改和泄露；三是保证电子档案长期有效，防止信息受损、失真、不可读。

    在开放网络环境下，电子档案信息安全隐患主要有以下两个方面。首先，在网络层面上，电子档案面临的安全威胁主要是网络恶意攻击导致的数据安全问题，包括数据泄露和数据不完整（信息丢失或恶意数据篡改）等。同专用网络和企业局域网络相比，电子档案在开放网络环境中更容易受到黑客或病毒的恶意攻击[5]。其次，随着ICT发展，电子档案的开放利用程度逐渐增加，档案信息服务对象来源更广、类型更复杂，安全不确定性增强。与传统网络环境下的用户相比，开放网络环境中的档案信息需求用户不仅包括可控的传统档案利用人员，还包括来自社会各个层面不可控的专业型、利益用户型等新型人员[6]。

    1.2 开放网络环境中电子档案信息安全保护准则。为消除电子档案信息安全保护的安全隐患，本文从ICT角度提出以下五条开放网络环境中电子档案信息安全保护准则：

    1.2.1 用户可信原则，档案信息提供者和服务对象是可互信的。在电子档案共享平台中，通常采用基于公钥基础体系（Public Key Infrastructure， PKI）的X.509证书或生物认证等安全认证技术，验证电子档案信息访问双方的合法性和有效性。

    1.2.2 数据保密原则，档案信息传输过程是端对端的，不包含个人安全信息。例如，通过采用安全传输层协议（Transport Layer Security，TLS），确保电子档案信息传输过程中没有第三方干扰或监听。

    1.2.3 訪问授权和身份认证分离原则，对档案信息的任何操作均是基于身份认证的。在开放网络环境中，完成任何一次档案信息服务所要访问的网络服务可能分布在不同的应用系统中，需要采用安全断言标记语言（Security Assertion Markup Language，SAML）等实现“端到端”的高可信信息交换，保证用户的身份合法性和访问的有效性。

    1.2.4 完整性维护原则，档案信息服务用户收到的档案数据信息是完整和准确的。例如，利用TLS信息认证码（Message Authentication Codes，MACs）通过SAML安全令牌等数字签名验证电子档案访问信息的完整性。

    1.2.5 问责明确原则，监控档案信息服务访问，并记录日志。电子档案访问的每次操作都必须由实施主体亲自发起，不允许代理或无主操作。

    2 基于混合加密的电子档案数字密钥管理模型

    在局域网或专用网络中，由于用户数量有限、明确、可控，所以通常采用基于PKI的证书授权中心（Certificate Authority，CA）颁发数字证书，借助非对称加密技术保护电子档案信息安全，即采用访问公钥对电子档案XML封装包进行加密，只有通过该用户保管的私钥才能解密[1，7]。相比之下，在开放网络下，由于电子档案用户的不确定性而且数量巨大，因此，基于PKI的CA证书技术的密钥保管方案就变得根本不可行了。

    为了解决开放网络环境中密钥管理问题，本文设计了一种基于混合加密的电子档案数字密钥管理技术（Encryption-based Digital Key Management for Electronic Records，EDKMER）。首先使用对称密钥 加密电子档案文件，得到 ；然后使用对称密钥 加密 、访问控制规则和可信任公钥列表，得到 ；接着采用档案管理者公钥采用非对称加密技术加密 、文件元数据等；最后按照图1所示生成一个由文件头和内容两部分构成的电子档案安全文件，用于实现开放网络环境下档案服务。

    在图1中，电子档案安全文件由文件头和内容两部分构成。文件头主要包括三部分：一是文件元数据 ，包括电子档案的文件名称、扩展名、存储位置等；二是安全信息密文 ，包括加密后的电子档案文件密钥 、可信任公钥列表、访问控制规则等；三是数字签名 ，用于验证头部信息的有效性和完整性。内容部分包括电子档案文件密文 及数字签名 两部分，解密后的 是最终电子档案信息服务内容。

    3 基于EDKMER的电子档案访问控制技术

    3.1 创建电子档案安全文件。基于EDKMER模型的电子档案安全文件生成步骤。包括：

    Step1：档案管理人员从电子档案管理系统中得到电子档案文件，采用私钥生成数字签名，保证电子档案数据的完整性。

    Step2：采用对称加密技术生成两个对称密钥 和 ，用于加密文件头和内容。

    Step3：采用 加密已经签名的电子档案数据。

    Step4： 和电子档案访问规则列表组合，生成电子档案访问安全信息，并采用 进行加密。

    Step5： 采用电子档案管理人员的公钥加密文件头对称密钥 ，记作 。根据访问安全规则，采用其他可信人员的公钥加密 。组合 和 ，生成可信任公钥列表，保证所有授权人员均可获得内容对称密钥，进而得到电子档案数据。

    Step6： 组合Step4和Step5获得的数据和文件元数据，形成文件头，并采用档案管理人员私钥生成数字签名。

    Step7： 組合Step3和Step6获得的数据，生成电子档案安全文件。

    3.2 电子档案数据信息获取。采用EDKMER模型处理开放网络环境中电子档案信息服务请求的步骤包括：

    Step1：电子档案信息服务用户通过开放网络环境应用程序，如Web浏览器或移动应用（简称浏览器），向电子档案管理服务器（ERS）发送电子档案访问解密请求。

    Step2：ERS认证浏览器请求，将其拆分为文件头和数字签名。采用ERS的公钥验证数字签名。如果数字签名非法，记录日志，返回浏览器错误信息。

    Step3：ERS使用私钥解密文件头密文，获得头文件对称密钥 ，解密文件头。

    Step4：ERS从头文件中获取必要档案信息，采用SAML将访问请求封装成访问断言，回发给浏览器。

    Step5：浏览器接收到访问断言后，将其发送给特定电子档案信息服务提供服务器（ERAS）。ERAS验证接收到的访问断言，生成新的访问断言和必要档案属性信息，将浏览器重新定向到ERS。

    Step6：ERS根据访问断言和属性信息，依据电子档案安全访问规则判断用户操作合法性。

    Step7：ERS根据Step6的判定结果决定是否接受浏览器访问请求。如果接受请求，则返回电子档案安全文件对称密钥 ；否则，记录日志，返回浏览器错误信息。

    4 电子档案信息安全保护分析

    4.1 混合加密的数字密钥管理模型为电子档案的“四性”提供了安全保障。在EDKMER模型中，每个电子档案XML封装包有且仅有唯一的数字密钥。该数字密钥采用电子档案管理人员的公钥加密后，保存在电子档案安全文件的文件头部分。同时，采用电子档案管理人员的私钥对电子档案安全文件进行数字签名。电子档案XML封装包加密可以保证它不会被其他用户非法获取，数字签名保证了它的完整性，从而保障了电子档案的准确性、完整性、可用性、安全性。

    4.2 基于EDKMER的电子档案访问控制技术为开放式网络环境下电子档案访问提供了安全保障。一方面，通过基于混合加密的数字密钥管理和数字签名技术，保证了电子档案安全文件的数据信息完整性和网络传输的安全性，从而保证了互联网恶意攻击不能对电子档案数据信息实施非法访问（泄密）或非授权操作（篡改、伪造）。另一方面，在开放网络环境下，EDKMER模型通过基于SAML的访问断言实现了用户访问操作合法性判断和身份认证的分离。这样，不仅保证了所有用户都是可验证用户，而且从根本上杜绝了代理操作或无主操作，为进行“端到端”的可信服务提供了安全保障。

    参考文献：

    [1]石念峰，韩振英，李宝玲.基于XML文件访问控制的电子档案安全保障技术研究[J].档案管理，2016（6）：37～39.

    [2]赵丽.我国电子文件管理系统研究进展与方向[J].档案学研究，2013（6）：50～56.

    [3]韩振英，沈光亮.政务电子文件管理研究综述[J].兰台世界，2016（3）：61～63.

    [4]陈永生，苏焕宁等.电子政务系统中的档案管理：安全保障[J].档案学研究，2015（4）：29～40.

    [5]马仁杰，刘俊玲.论电子档案开放利用中信息安全保障存在的问题与对策[J].档案学通讯，2012（3）：56～60.

    [6]聂云霞，张加欣，甘敏.信息生态视域下数字档案用户信息安全保障系统构建研究[J].档案学研究，2017（1）：66～72.

    [7]陶水龙.电子档案身份证凭证性保障与安全模型研究[J].档案学研究，2015（3）：82～87.

    （作者单位：洛阳理工学院 来稿日期：2017-06-14）