1、地震数据共享与网络安全机制 刘磊 许贺 朱宏 柳艳丽 天津市地震局 摘 要: 随着网络技术的发展, 越来越多的人使用网络通信手段实现信息的交换和共享, 天津市地震局为了提高地震数据的使用效率, 方便地震数据的使用和促进地震科研水平的进步, 利用 PHP 语言开发了地震数据共享系统, 实现了本单位跨部门之间的数据交换, 同时利用 VPN 技术向外单位提供数据服务。本文主要从数据共享的安全需求分析出发, 提出了数据安全存储的注意事项和基于 XML 的安全防护。关键词: 数据共享; 数据服务; VPN; 基金:中国地震局监测、预测、科研三结合课题 (160201) 资助0 引言地震数据共享是近年来地
2、震行业信息化工作的重点, 它的发展推动了地震观测数据数字化, 同时促进了实用数字话地震分析, 地震数据使用效率得到了提高, 跨区域的地震数据协作得到了发展。但随之而来的是数据使用安全、包括数据安全存储、加密传输成为了阻碍数据协作共享的现实问题。1 跨部门数据共享的安全存储机制地震数据管理要进行分级分类存储管理, 明确定义数据安全属性和共享的范围, 由于数据库中的数据繁多, 容易在提取数据时造成混乱, 因此必须要把数据进行分类、整理, 这样在数据提取才能更加方便。协作单位和部门向数据共享系统发布数据之前应对所发数据进行审核, 是否具有安全属性和共享范围。数据共享系统是存储数据的集结地, 因此各协
3、作单位在共享数据之前应确保它的安全性、准确性、有效性。应支持对数据同步的安全控制, 避免数据库的紊乱, 遭到破坏, 保证数据的及时性、有效性, 同时支持不同安全等级的密码处理能力, 数据中心的数据会进行加密处理, 因此必须要具备不同的安全等级的密码处理能力, 例如即可采取访问控制、数据加密传输、完整性保护和存储加密等综合措施, 也可采取访问控制和完整性保护措施, 地震数据共享系统, 数据传输安全存储机制工作流程见图 1。图 1 安全存储机制流程图 下载原图2 安全存储控制系统设计2.1 系统组成地震数据共享系统向用户提供地震事件、台站连续波形、台站参数、震相信息等数据服务。以上数据主要存储与数
4、据库中, 为了加强对存储数据的安全控制, 管理系统被开发和应用, 此系统由六大模块组成, 即网络捕包、ISCSI 协议栈分析处理、秘钥管理、安全审计、策略管理、网络发包等模块, 协议分析与处理模块又可分为身份认证、授权访问、数据加密 3 个模块。安全存储控制系统采用嵌入式平台设计, 操作系统采用 Linux 操作系统, 设计标准密码服务接口。每个安全存储客户端由秘钥和认证身份后, 才能接入存储网络, 实现安全存储访问, 天津市地震局地震事件共享系统界面见图 2。图 2 天津市地震局地震事件共享系统事件管理界面 下载原图2.2 模块设计在存储网络中, 网络捕包模块串联其中, 并利用 BPF 捕货
5、机制, 对于所有经过系统的访问存储系统的数据包进行截获, 并运用定义优化原则, 采用树形匹配算法快速匹配数据包, 提高网络捕包模块作用, 让访问存储系统更加安全。在网络捕包模块经过大量拦截截获合法的数据包, 在有协议分析模块进行协议分析, 所谓协议分析就是对数据包中的身份信息进行认证, 身份认证成功后在根据 i SCSI 协议的认证授权策略进行访问, 把非法的数据包丢弃, 再通过密码对数据进行加解密。3 XML 安全方案3.1 XML 安全标准为了更加安全的应用 XML, 国际标准化组织 W3C、IETF 等制定了一系列的安全服务标准, 这些标准还在进一步地发展, 以便能够对 XML 内容进行
6、细粒度的管理和控制。XML 加密规定在传送 XML 文件时, 可以对 XML 文件整体进行加密, 或者对一个 XML 文档中的数据和部分内容进行加密, 而接收者只能访问拥有权限的信息, 采用该方法对一个 XML 文件进行加密, 在加密部分的首尾就会出现两个标记, 表示该文件是以 W3C 公布的标准进行加密的, 数据本身显示为一连串密码。该标准可以根据用户的不同对内容进行细粒度控制, 是对数据本身的加密而不是整个文件。3.2 解决方案在数据共享方案的设计中, XML 是作为数据交换的中介, 因此 XML 数据的安全性是衡量系统性能的重要指标之一。综合多种 XML 安全问题的解决方案, 本系统选择
7、了 XML 加密作为其安全性的保障措施。加密系统包含明文集合、密文集合、密钥集合和算法, 密钥和算法构成了密码系统的基本单元。算法规定明文与密文之间的变换方法, 密钥看做算法中的参数。IDEA 是一种由八个相似圈和一个输出变换组成的迭代算法。IDEA 的每个圈都由三种函数函数组成, 在加密之前 IDEA 通过密钥扩展将 128bit 的密钥扩展为 52Byte 的加密密钥, 然后由EK 计算出解密密钥, IDEA 的加密过程和解密过程是一样的, 只是使用不同的密钥。4 VPN 技术的应用VPN 的原理就是在这两台直接和公用网络连接的计算机之间建立一条专用通道, 几个私有网络之间的通信内容经过这
8、两台计算机或设备打包通过公用网络的专用通道进行传输, 然后在对端解包, 还原成私有网络的通信内容转发到私有网络中。由于 VPN 连接的特点, 私有网络的通信内容会在公用网络上传输, 出于安全和效率的考虑一般通信内容需要加密或解压。MPLS VPN 是整个专网建设的核心, VPN 网通过主干路由器和边缘路由器设备作为骨干硬件设备, 其中边缘路由器设备向下连接使用用户、协作用户网络, 而向上连接地震数据共享系统网络。通过分配不同的 VLAN 来区分 VPN, 建立 VLAN 是为了更好地分割业务, 地震数据共享系统网络结构见图 3。图 3 VPN 网络架构 下载原图5 结束语通过网络安全策略的应用
9、, 天津市地震数据管理系统采取数据分级管理, 对于不同类型数据采用不同级别的安全加密措施, 确保数据协作单位和数据使用者在数据使用过程中更加安全, 确保数据库稳定运行、传输可靠、共享系统运行高效。同时伴随着实际需求的进一步发展, 需要进一步完善网络安全性和数据共享平台的功能, 逐步完善地震数据共享系统的作用。参考文献1白龙, 郑燕, 李晓飞.MPLSVPN 在专网中的应用J.网管员世界, 2011. 2孙路强, 刘磊, 栗连弟等.基于 PHP 语言的天津市测震台网综合管理系统的研制J.地震工程学报, 2015. 3孙路强, 刘磊, 朱宏等.天津市地震局地震事件共享系统的设计与实现J.震灾防御技术, 2016. 4孙路强, 刘磊, 朱宏等.天津环渤海虚拟台网地震数据管理平台J.地震地磁观测与研究, 2016. 5许鹏.数据加密技术在计算机网络安全中的应用分析J.网络安全技术与应用, 2017.
