电子档案签名元数据浅析

◆王兵 李海涛 张晓路

（1.91977 部队 北京 100841；2.海军档案馆 北京 100841）

1 引言

电子档案的真实性、完整性是其安全管理中的核心问题，一直制约着电子档案信息系统的建设与发展，采用电子签名技术可以保证用户签发的电子文件真实完整、不可否认，它为电子档案的管理保存提供了有效手段和方法。《中华人民共和国电子签名法》第十四条为可靠的电子签名赋予了法律效力。2019 年发布的《国务院关于在线政务服务的若干规定》第八条再次确认和强调了电子签名与手写签名或者盖章具有同等法律效力。因而，运用电子签名技术构建电子档案管理系统已成为目前档案信息化建设的最佳途径。

2 电子签名概述

电子签名是指数据文件中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据[1]。电子签名本质上属于公钥密码技术中的数字签名，是对待发布的文件进行签名运算，生成的信息附加在原文件上一起传递和保存。该信息类似现实中的手写签名或印章，接收方可对其进行验证，判断原文真伪，用以认证文件来源并核实其内容是否发生修改变化。因此电子签名可为电子档案提供数据完整性和不可否认性保护。

电子签名的生成、验证往往需要第三方提供支撑服务，《电子签名法》规定了可靠的电子签名必须同时符合的四项条件，也规定了提供电子认证服务应具备的六项条件，单靠电子签名的应用系统很难达到这些条件要求，电子签名认证服务平台的建设运行则可解决这些基础性问题。《国务院关于在线政务服务的若干规定》中明确，国家政务服务平台应“建设全国统一身份认证系统，为各地区、部门政务服务平台提供统一身份认证服务”[1]，这将为基于电子签名的电子文件管理提供权威统一的支撑环境和平台，为实行“单套制”电子档案管理创造有利条件。

3 电子档案的电子签名结构

依照电子签名法规定，提供电子认证服务的技术和设备应当符合国家安全标准，电子档案所采用的电子签名应当符合相关国家标准的要求。GB/T25064-2010《电子签名格式规范》将电子签名按格式分为5 类，包括：基本电子签名（BES）、带时间戳的电子签名（ES-T）、带完全验证数据的电子签名（ES-C）、带扩展的验证数据的电子签名（ES-X）、带归档时间戳的电子签名（ES-A）。带扩展的验证数据的电子签名（ES-X）又可以分为ES-X0、ES-X1、ES-X2、ES-X3、ES-X4五种组成格式[2]。上述签名格式类型中，“带归档时间戳的电子签名（ES-A）”是一种为信息长期归档保存而设置的电子签名，是在其他各类电子签名的基础上相应添加时间戳，以保证电子签名的长期安全性。ES-A 签名类型为电子档案长期保存中的数据鉴定、转储和迁移提供了有效工具。

为方便签名验证数据的获取，电子档案的签名格式应尽量包含完整的验证信息和数据，以免在需要审核验证电子档案真实性、完整性时增加时间或资源上的成本开销。针对电子档案长期管理保存的特殊需求，其电子签名格式可采取基于ES-X0 的ES-A 电子签名格式，其组成结构如图1 所示。

图1 电子档案的签名（ES-A）结构

图1 体现了电子档案的电子签名（ES-A）与ES-X0、ES-C、ES-T、BES 间的包含组成关系。其中，BES 是包括了基本数据信息的电子签名，主要包括签名策略标识、数字签名和签名者提供的签名属性。数字签名可以证实签署人的身份，通过验证该数字签名可以证实相应电子文件由签名者签发。

“数字签名的时间戳”是数字签名形成时由TSA 签发的时间戳。通过验证该时间戳可以获得电子档案完整性以及签发时间上的第三方确认，保证了在证书有效期内电子档案的法律有效性。如果电子文件形成时没有创建该时间戳，则后期的电子档案接收审核环节应为其创建时间戳，使其记录的时间尽可能接近BES 的形成时间。

“完整的证书和证书撤销参考信息”和“完整的证书和证书撤销数据”是验证电子签名时验证者需要获得的必要信息，主要是各相关签名者的证书信息、CRL、证书状态信息、网址参考信息等，验证者使用这些信息可以方便地完成电子签名的验证，如果这些信息不够完善，将增加验证环节的操作成本，在电子档案形成环节完善该部分信息，对长期保存后电子档案的审核验证来说格外重要。

“归档时间戳”是为长期保存电子档案，对整个电子签名创建的时间戳。由于认证服务平台使用的各种算法、数据，其安全性都会随技术进步而逐渐降低，各种证书也有确定的有效期，要长期保存电子档案，就需在这些相关元素安全性降低前对整个电子签名再创建一次时间戳，该数据也会因时间戳的增加而扩展。初始的归档时间戳由收集者在将电子文件转化为电子档案环节创建，后续添加新的归档时间戳则需根据认证服务平台的服务约定和电子档案的保存规划确定时机。

电子签名的验证环节不仅要验证BES 内容，还要检验签名结构各部分的完整程度。没有提供BES 的电子文件，无法验证其真实完整，应不予接收；签名者没有提供的签名元素内容，接收者应根据签名中的参考信息向认证服务系统查询获取，并为整个签名结构（ES-X0）创建初始的归档时间戳后形成ES-A。在签名者与验证者对电子档案内容发生争议时，可以依据内容完善的ES-A 电子签名作出明确的裁定。

4 电子档案的签名元数据结构及封装

虽然不同类型电子文件形成的电子档案在设计相应元数据方案时会有所不同，但都应包含电子签名元数据，且电子签名元数据的子元素设置应当统一，与电子文件类型无关。DA/T 46-2009《文书类电子文件元数据方案》中对文书类电子文件元数据方案进行了规定，参照GB/T 25064-2010 的电子档案电子签名元数据设计如表1 所示。

表1 电子档案的电子签名元数据元素

表1 中除“签名人”和“签名时间”外的各元数据元素与前节描述的电子签名各部分数据内容一一对应。由于没有电子签名的电子文件不具保存价值和法律效力，作为电子签名基本内容的“签名策略标识符”、“签名属性”、“数字签名”、和“归档时间戳”四项元数据元素的约束性设定为“必选”。电子签名的另外三项元数据元素若被缺省，则可在适当时机向相应认证服务机构查询获取，其约束性设定为“可选”。

电子签名中包含了签名人身份及其证书信息，表1 中“签名人”元素内容可在形成电子档案时从电子签名数据中解析获取。专门设置“签名人”元素是为了方便电子档案管理利用时的检索查询，防止频繁进行解析电子签名的操作，但要注意的是其必须与电子签名中包含的签名人身份及其证书信息相一致，若发生不一致则应以电子签名中的内容为准。

“数字签名时间戳”内绑定的时间是电子文件形成时的可信时间，相关方都应认可，表1“签名时间”元素的时间内容应当从“数字签名时间戳”解析获取，该元素的设置也是为了方便电子档案管理利用时的检索查询，防止频繁进行解析时间戳的操作，同样要注意其必须与数字签名时间戳中所包含的时间信息相一致，若发生不一致则应以数字签名时间戳中的时间为准。由于基本数字签名形成时可能受条件影响未获取相应的时间戳，则“签名时间”元素的时间内容应当从初始归档时间戳中解析获取，并保持一致。

DA/T48-2009《基于 XML 的电子文件封装规范》参照DA/T46-2009 的元数据方案对基于XML 的电子文件封装格式进行了规定，其中电子签名相关的元数据的设置也需要按照表1 进行相应的调整。主要是取消“签名标识符”（M234）和“锁定签名”（M236）元数据元素，电子签名元数据其余部分的元素应与表1 相一致。

取消“签名标识符”主要是因为实际工作中没有合适的条件和时机来创建该项内容，如果是出于方便电子档案管理利用时检索查询，可以组合“签名人”和“签名时间”两元素进行数据库检索查询操作，也可以在形成电子档案时为电子签名分配一个序列号以便检索，但该序列号只在本地系统中有效，不能作为签名唯一标识。取消“锁定签名”主要是因为归档时间戳可以起到替代作用，且其中包含可信的时间，功能性更强，与电子签名其他部分封装时结构上更显简洁高效，而原“锁定签名”则无法解决签名时间的不可否认。

按表 1 及相应设计，使 DA/T48-2009、DA/T46-2009、GB/T25064-2010 在电子签名结构上取得基本一致，鉴于电子档案的签名元数据结构及封装对数字档案信息系统开发建设的基础性作用，其结构设计还应作进一步的探讨和实践，使其更加科学合理、标准规范，能经得起实践检验。

5 结语

档案信息系统建设依托电子签名技术能有效保证档案原始信息的真实与完整，提高可用性、安全性和管理效益。有关部门应当加强宏观统筹规划，论证确定解决电子档案管理的模式方法和技术途径；积极协同有关电子认证服务系统平台和上位信息系统的建设论证，明确提出电子档案管理的特定需求，推动符合行业需求的信息系统开发建设。