地震數據共享與網絡安全機制

◆劉 磊 許 賀 朱 宏 柳艷麗

（天津市地震局 天津 300201）

0 引言

地震數據共享是近年來地震行業(yè)信息化工作的重點，它的發(fā)展推動了地震觀測數據數字化，同時促進了實用數字話地震分析，地震數據使用效率得到了提高，跨區(qū)域的地震數據協(xié)作得到了發(fā)展。但隨之而來的是數據使用安全、包括數據安全存儲、加密傳輸成為了阻礙數據協(xié)作共享的現(xiàn)實問題。

1 跨部門數據共享的安全存儲機制

地震數據管理要進行分級分類存儲管理，明確定義數據安全屬性和共享的范圍，由于數據庫中的數據繁多，容易在提取數據時造成混亂，因此必須要把數據進行分類、整理，這樣在數據提取才能更加方便。

協(xié)作單位和部門向數據共享系統(tǒng)發(fā)布數據之前應對所發(fā)數據進行審核，是否具有安全屬性和共享范圍。數據共享系統(tǒng)是存儲數據的集結地，因此各協(xié)作單位在共享數據之前應確保它的安全性、準確性、有效性。

應支持對數據同步的安全控制，避免數據庫的紊亂，遭到破壞，保證數據的及時性、有效性，同時支持不同安全等級的密碼處理能力，數據中心的數據會進行加密處理，因此必須要具備不同的安全等級的密碼處理能力，例如即可采取訪問控制、數據加密傳輸、完整性保護和存儲加密等綜合措施，也可采取訪問控制和完整性保護措施，地震數據共享系統(tǒng)，數據傳輸安全存儲機制工作流程見圖1。

圖1 安全存儲機制流程圖

2 安全存儲控制系統(tǒng)設計

2.1 系統(tǒng)組成

地震數據共享系統(tǒng)向用戶提供地震事件、臺站連續(xù)波形、臺站參數、震相信息等數據服務。以上數據主要存儲與數據庫中，為了加強對存儲數據的安全控制，管理系統(tǒng)被開發(fā)和應用，此系統(tǒng)由六大模塊組成，即網絡捕包、ISCSI協(xié)議棧分析處理、秘鑰管理、安全審計、策略管理、網絡發(fā)包等模塊，協(xié)議分析與處理模塊又可分為身份認證、授權訪問、數據加密3個模塊。安全存儲控制系統(tǒng)采用嵌入式平臺設計，操作系統(tǒng)采用Linux操作系統(tǒng)，設計標準密碼服務接口。每個安全存儲客戶端由秘鑰和認證身份后，才能接入存儲網絡，實現(xiàn)安全存儲訪問，天津市地震局地震事件共享系統(tǒng)界面見圖2。

圖2 天津市地震局地震事件共享系統(tǒng)事件管理界面

2.2 模塊設計

在存儲網絡中，網絡捕包模塊串聯(lián)其中，并利用BPF捕貨機制，對于所有經過系統(tǒng)的訪問存儲系統(tǒng)的數據包進行截獲，并運用定義優(yōu)化原則，采用樹形匹配算法快速匹配數據包，提高網絡捕包模塊作用，讓訪問存儲系統(tǒng)更加安全。在網絡捕包模塊經過大量攔截截獲合法的數據包，在有協(xié)議分析模塊進行協(xié)議分析，所謂協(xié)議分析就是對數據包中的身份信息進行認證，身份認證成功后在根據iSCSI協(xié)議的認證授權策略進行訪問，把非法的數據包丟棄，再通過密碼對數據進行加解密。

3 XML安全方案

3.1 XML安全標準

為了更加安全的應用XML，國際標準化組織W3C、IETF等制定了一系列的安全服務標準，這些標準還在進一步地發(fā)展，以便能夠對XML內容進行細粒度的管理和控制。XML加密規(guī)定在傳送XML文件時，可以對XML文件整體進行加密，或者對一個XML文檔中的數據和部分內容進行加密，而接收者只能訪問擁有權限的信息，采用該方法對一個XML文件進行加密，在加密部分的首尾就會出現(xiàn)兩個標記，表示該文件是以W3C公布的標準進行加密的，數據本身顯示為一連串密碼。該標準可以根據用戶的不同對內容進行細粒度控制，是對數據本身的加密而不是整個文件。

3.2 解決方案

在數據共享方案的設計中，XML是作為數據交換的中介，因此XML數據的安全性是衡量系統(tǒng)性能的重要指標之一。綜合多種XML安全問題的解決方案，本系統(tǒng)選擇了XML加密作為其安全性的保障措施。加密系統(tǒng)包含明文集合、密文集合、密鑰集合和算法，密鑰和算法構成了密碼系統(tǒng)的基本單元。算法規(guī)定明文與密文之間的變換方法，密鑰看做算法中的參數。IDEA是一種由八個相似圈和一個輸出變換組成的迭代算法。IDEA的每個圈都由三種函數函數組成，在加密之前IDEA通過密鑰擴展將128bit的密鑰擴展為52Byte的加密密鑰，然后由EK計算出解密密鑰，IDEA的加密過程和解密過程是一樣的，只是使用不同的密鑰。

4 VPN技術的應用

VPN的原理就是在這兩臺直接和公用網絡連接的計算機之間建立一條專用通道，幾個私有網絡之間的通信內容經過這兩臺計算機或設備打包通過公用網絡的專用通道進行傳輸，然后在對端解包，還原成私有網絡的通信內容轉發(fā)到私有網絡中。由于VPN連接的特點，私有網絡的通信內容會在公用網絡上傳輸，出于安全和效率的考慮一般通信內容需要加密或解壓。MPLS VPN是整個專網建設的核心，VPN網通過主干路由器和邊緣路由器設備作為骨干硬件設備，其中邊緣路由器設備向下連接使用用戶、協(xié)作用戶網絡，而向上連接地震數據共享系統(tǒng)網絡。通過分配不同的VLAN來區(qū)分VPN，建立VLAN是為了更好地分割業(yè)務，地震數據共享系統(tǒng)網絡結構見圖3。

圖3 VPN網絡架構

5 結束語

通過網絡安全策略的應用，天津市地震數據管理系統(tǒng)采取數據分級管理，對于不同類型數據采用不同級別的安全加密措施，確保數據協(xié)作單位和數據使用者在數據使用過程中更加安全，確保數據庫穩(wěn)定運行、傳輸可靠、共享系統(tǒng)運行高效。同時伴隨著實際需求的進一步發(fā)展，需要進一步完善網絡安全性和數據共享平臺的功能，逐步完善地震數據共享系統(tǒng)的作用。

[1]白龍，鄭燕，李曉飛.MPLSVPN 在專網中的應用[J].網管員世界，2011.

[2]孫路強，劉磊，栗連弟等.基于PHP語言的天津市測震臺網綜合管理系統(tǒng)的研制[J].地震工程學報，2015.

[3]孫路強，劉磊，朱宏等.天津市地震局地震事件共享系統(tǒng)的設計與實現(xiàn)[J].震災防御技術，2016.

[4]孫路強，劉磊，朱宏等.天津環(huán)渤海虛擬臺網地震數據管理平臺[J].地震地磁觀測與研究，2016.

[5]許鵬.數據加密技術在計算機網絡安全中的應用分析[J].網絡安全技術與應用，2017.