基于数字版权管理技术的数字档案安全可控利用平台的构建

　　文/李小霞   王文科   冉静

　　20世纪末，数字档案馆、虚拟档案馆等概念引入我国。2010年、2015年，国家档案局先后发布《数字档案馆建设指南》《数字档案室建设指南》，并在2014年、2016年，先后发布《数字档案馆系统测试办法》《数字档案室建设评价办法》，启动测评工作。2017年，数字档案馆（室）建设纳入《国家电子文件管理“十三五”规划》，从部门信息化工作上升为国家发展战略。我国经历了20多年的数字档案馆（室）建设之后，馆（室）藏数字档案资源达到了相当大的规模。“十三五”期间，建成了一批高水平的数字档案馆（室），电子文件归档和电子档案管理工作取得重要成果。“十四五”期间，我国档案系统将加快档案资源数字转型，逐步建立以档案数字资源为主导的档案资源体系，大力推进“增量电子化”，继续做好“存量数字化”，中央和国家机关传统载体档案数字化率达到80%，中央企业总部传统载体档案数字化率达到90%，全国县级以上综合档案馆应数字化档案数字化率达到80%。

　　资源数字化带来的利用网络化，大大便利了利用者和管理者，但也伴随着较大的安全风险。根据信息控制者的不同，数字档案资源的安全保障问题可以分成两类。第一类为档案信息的控制者是档案部门，即档案被挂接在档案管理信息系统中时，此时称其为“在线”的档案，档案部门可以通过在档案管理系统中实施各类技术以保障其安全。第二类为档案信息的控制者是利用者，即档案被下载并被利用者带走，此时称其为“离线”的档案，此时档案部门实际上已失去了对资源的控制。

　　第一类问题已引起档案界的重视，有较多的理论研究与有效的实践。对第二类问题，实践中普遍采用的做法包括不允许利用者带走数字副本、限制规定期限内利用者带走的数字副本数量、限制利用者带走的数字副本分辨率，或要求利用者签署《利用保证书》，承诺做好档案信息的安全保障。这些措施或者以限制利用自由为代价，或者只能在一定程度上保障信息安全，有必要探寻更好的解决方案。对第二类问题，研究领域也多有关注，其中有代表性的是数字版权管理技术（DRM）的应用。但是，这些研究或者缺乏与档案系统的集成论述，或者处于实验室阶段，与档案部门的实践应用距离较远。

　　档案部门需要支持安全可控利用的数字档案管理系统，即无论档案在线还是离线，档案部门都能通过系统做有效管控。本文将基于DRM技术探讨这类档案管理系统的建设方案。

　　DRM技术简介

　　DRM技术是在网络和数字化环境下，借助加密与封装技术、PKI认证、权限管理技术等，使数字内容和权利主体获得对其客体的控制权，从而防止非授权使用，是保护权利所有人利益的一种综合性技术体制。DRM技术对数字内容版权的保护，贯穿数字内容从产生到分发、从销售到使用的整个内容流通过程。2001年，DRM技术被MIT的《Technology Review》杂志评为“将影响世界的十大新兴技术”之一。美国计算机协会自2001年到2011年，每年举办一次“ACM Workshopon DigitalRights Management”会议。在网络出版领域，DRM的地位越来越重要。特别在数字媒体领域，DRM成为必需的技术，在电子书、电子报纸、电子杂志、音视频、应用软件、游戏等数字内容的销售方面，DRM技术也发挥了重要作用。

　　不同的DRM系统虽然在所侧重的保护对象、支持的商业模式和采用的技术方面不尽相同，但是其核心思想是相同的，都是通过使用数字许可证来保护数字内容的版权。用户得到数字内容后，必须获得相应的数字许可证才可以使用。图1是典型的DRM系统参考体系结构，包括3个主要模块：内容服务器（ContentServer）、许可证服务器（LicenseServer）和客户端（Client）。

图1   DRM系统参考体系结构

　　内容服务器通常包括存储数字内容的内容仓库、存储产品信息的产品信息库和对数字内容进行安全处理的DRM打包工具。DRM打包工具主要实现对数字内容的加密、插入数字水印等处理，并将处理结果和内容标识元数据等信息一起打包成可以分发的数字内容，此外，还有一个重要功能是创建数字内容的使用权利，并将数字内容密钥和使用权利信息发给许可证服务器。

　　许可证服务器包括权利库、内容密钥库、用户身份标识库和DRM许可证生成器。该模块主要用于生成并分发数字许可证，还可以实现用户身份认证等事务。数字许可证是一个包含数字内容使用权利（包括使用权限、使用次数、使用期限和使用条件等）、许可证颁发者及其拥有者信息的计算机文件，用来描述数字内容授权信息，由权利描述语言描述。大多数DRM系统中，数字内容本身经过加密处理。因此，数字许可证通常还包含数字内容解密密钥等信息。

　　客户端主要包含DRM控制器和数字内容使用工具。DRM控制器负责收集用户身份标识等信息，控制数字内容的使用。如果没有许可证，DRM控制器还负责向许可证服务器申请许可证。数字内容使用工具主要用来辅助用户使用数字内容，如PDF阅读器、音视频播放器等。

　　基于DRM技术的数字档案安全可控利用平台参考体系结构

　　数字档案管理系统支持数字档案资源的收、管、存、用，其中支持档案利用的子系统称为“数字档案利用平台”。下载后的数字档案通常是PDF格式、OFD格式或者其他常用的图片、音视频格式。应用DRM技术改造数字档案利用平台，可使数字档案随利用者离开档案馆（室）之后也可被管控，即“基于DRM的数字档案安全可控利用平台”，其体系结构如图2所示。

图2 基于DRM的数字档案安全可控利用平台参考体系结构

　　在图2中，“数字档案内容服务器”包括数字档案原文库、数字档案元数据库、DRM打包工具。“DRM打包工具”是当前的数字档案管理系统没有的组件。其功能是对数字档案的原文做加密、插入数字水印、添加档案部门电子印章等处理，并将原文的处理结果、数字档案的元数据、DRM管理所需要的信息等一起打包，成为数字档案分发信息包，即DIP包（Dissemination Information Package）。“DRM打包工具”用的加密算法一般是对称加密算法，即加密密钥与解密密钥相同。“DRM打包工具”还支持将用户利用权利和档案原文密钥传送给许可证服务器。

　　“许可证服务器”也是当前的数字档案管理系统没有的组件。其功能是生成并分发数字许可证，并对利用者做身份认证。数字许可证描述数字档案利用授权信息，由权利描述语言描述。它是一个计算机文件，包含数字档案使用权利（使用权限、使用次数、使用期限、使用条件等）、许可证颁发者、许可证拥有者、数字档案原文解密密钥等信息。

　　“数字档案利用客户端”包括DRM控制器和数字档案利用工具。数字档案利用工具如常见的PDF阅读器、音频播放器、视频播放器等。利用者得到的档案原文是加密的，常见的数字档案利用工具无法打开。“DRM控制器”根据用户的“数字许可证”做判断。如果利用者拥有请求的利用权利，则“DRM控制器”做解密工作，将解密后的档案原文发给“利用工具”，由利用工具打开并支持利用者在权利范围内利用。

　　DRM支持的数字档案安全可控利用流程

　　数字档案安全可控利用平台支持如图2所示的数字档案安全可控利用流程。假设甲某通过网络向基于DRM技术的数字档案管理系统申请下载数字档案A。收到请求后，“数字档案内容服务器”在档案A的原文中加入水印、将档案A的原文加密、并与档案A的元数据及DRM管理用的元数据一起打成DIP包，通过网络传递给甲某。“数字档案内容服务器”支持档案部门对“水印”做设置，例如，可设为用明文动态水印铺满整个页面，水印的内容是“下载自XX档案馆，用户姓名、所在单位名、下载时间等”。加密前，“内容服务器”对原文做怎样的处理，依赖于档案部门的需求。此例是添加数字水印，也可以是添加电子印章等其他处理。

　　“内容服务器”还将档案的默认利用权利、档案A原文的密钥传递给“许可证服务器”。“档案的默认利用权利”是由档案部门设置的。例如，可设置为允许阅读全部页面、不允许复制页面内的信息、不允许截图、不允许编辑、允许低分辨率打印、不支持再分配授权、仅允许在4台设备上使用文档、不控制阅读次数、内容30天过期、不允许用户解密等。利用权利的确定，也可用利用者申请、档案部门审批的方式。“许可证服务器”为甲某生成“档案利用数字许可证”，其内容是：甲某对本馆/室档案拥有的利用权利（其中包括了对档案A利用权利的描述）以及相应的原文密钥。这里值得注意的是：密钥是随机的，不同的档案原文在加密时用的是不同的密钥。自然地，不同的档案原文在解密时也需要不同的密钥。“许可证服务器”将为甲某创建或者更新“数字档案利用许可证”，并通过网络向其传递。

　　甲某得到档案A的DIP包之后，必须在其电脑上安装“数字档案利用客户端”才能对档案A做阅读或者其他利用。常用的PDF阅读器或者音视频播放器等软件不能打开档案A的DIP包。其必须登录“数字档案利用客户端”。登录成功后，当其需要利用档案A时，“客户端”组件“利用工具”将其需求传递给“DRM控制器”，后者根据其“数字档案利用许可证”判断能否支持其利用需求。如果能支持，则用“许可证”中的密钥解密档案A的原文，传递“利用合规”的信息给“利用工具”，由后者对利用者服务。例如，在此例中甲某的需求是“阅读”文档并且满足利用条件（利用文档的设备没有超过4台、利用时间没有过期），则“DRM控制器”的判断结果是“利用合规”并通知“利用工具”提供服务；因为甲某没有“编辑”和“从页面复制内容”的权利，所以“利用工具”相应的按钮或者菜单项为“灰色”不可用状态。

　　“利用客户端”安装程序是公开的，任何人都可以免费安装。乙某得到了档案A的DIP包，登录利用客户端，客户端连接“许可证服务器”做用户身份验证，并获取乙某最新的“档案利用许可证”。当乙某向“客户端”请求打开档案A的DIP包时，“利用工具”将乙某的利用请求传递给“DRM控制器”。如果“DRM控制器”检测到乙某的“档案利用许可证”中没有对档案A的授权，那么“DRM控制器”就会提醒乙某因为其没有获得授权，所以不能利用，如需利用，应该怎样申请许可。

　　数字档案利用应用DRM技术的尺度

　　应用DRM技术后，数字档案管理系统可以根据档案部门的需求，先将数字档案处理、加密，然后将它打在DIP包里分发给利用者，这样的包称为SDIP（Secured Dissemination Information Package）。但是，数字档案管理系统支持DRM技术，并不意味着所有的分发包都是SDIP。SDIP包与普通DIP包的区别，如表1所示。

表1   普通DIP包和SDIP包的比较表

　　SDIP包会给利用者带来一些不便。在当前的技术环境中，为了利用SDIP包，利用者需要在本机安装数字档案利用客户端。此外，还需要利用者的电脑能够连接互联网。因为数字档案利用客户端需要通过网络与数字档案管理系统通信，根据档案部门赋予利用者的权利（包含在“数字档案利用许可证”中），协同管控离线数字档案的利用。

　　数字档案管理系统应根据利用场景选择是否需要应用DRM。例如，利用者为升学需要，向档案部门申请本人的成绩单作为凭证提供给目标学校。此时，利用者会主动妥善管理获取的档案，数字档案管理系统无需分发SDIP包。再如，利用者为了做学术研究，向档案部门申请下载大量档案科技的档案。此时管理者需要管控这批档案离线之后的利用，为此数字档案管理系统应分发SDIP包。同时，利用者获得了大量档案的控制权，为此可以接受安装客户端以及联网的代价。

　　档案部门应贴合利用者的需求完善数字档案利用客户端。利用客户端为利用者设计的种种便利功能，可使客户端及联网等限制更容易被接受。例如，在SDIP包中嵌入数字档案的元数据信息，使客户端能为利用者自动建立已获取档案的目录。再如：支持利用者在客户端对已获取档案做全文检索、图片检索等。再如，档案部门对利用者授权时，可约定好在一段时间内的利用无须联网；约定时间之后，如果需要继续利用，则联网一次完成网上续借程序等。

　　总之，档案部门应善用DRM技术，在“共享”与“安全”、“自由”与“约束”之间找到平衡。

　　总结

　　目前，《数字档案馆系统测试办法》《数字档案室建设评价办法》等文件均未涉及数字档案的安全可控利用问题。在数字档案馆建设已成为国家战略的背景下，应考虑从顶层设计层面强调数字档案的安全可控利用，保障国家对档案信息的控制力。

　　保障离线数字档案的安全管控，平衡自由与约束，是数字档案深入利用需解决的问题。如档案部门尚未应用档案管理系统，或者已有系统不支持离线档案的安全管控，那么档案部门需要考虑如何应用DRM技术快速有效地构建起安全可控的数字档案管理系统。实践可行的建设路径是将数字档案管理系统与基于DRM的文件内容保护系统集成，构建安全可控的数字档案管理系统。

　　作者单位：中山大学档案馆

　　责任编辑：王辉