海洋水文信息加密技術(shù)方案設(shè)計與測試

在海洋環(huán)境要素中，海洋水文信息是至關(guān)重要的要素。海洋水文信息主要包括潮流、潮汐、風(fēng)浪等，是國土安全的基礎(chǔ)性資料，是海洋開發(fā)建設(shè)的必需數(shù)據(jù)，是船舶安全航行的重要保障。隨著我國海上“一帶一路”“交通強國”“海洋強國”等國家戰(zhàn)略方針的深入推進，對海洋水文信息采集、傳輸、處理等環(huán)節(jié)的安全性相應(yīng)地提出了更高的要求，亟須完善相關(guān)安全防護和服務(wù)機制，建立安全管理標準，更好地滿足國民經(jīng)濟發(fā)展的需求。

目前，我國成規(guī)模的海洋水文觀測站主要集中在自然資源部所屬海區(qū)局和交通運輸部所屬航海保障中心的業(yè)務(wù)系統(tǒng)里，其中航海保障系統(tǒng)擁有各類水文觀測站100多座。航保水文站主要分布在我國沿海主要港口，為海圖測繪、船舶航行、港口建設(shè)、海洋開發(fā)等提供水文信息服務(wù)。航保水文站數(shù)據(jù)傳輸方式多樣，近岸多采用專線傳輸或無線3G/4G公網(wǎng)無線傳輸?shù)姆绞?，遠離陸地等站點多采用北斗衛(wèi)星短信傳輸方式。從數(shù)據(jù)通道安全、組網(wǎng)形式及壓縮加密等方面綜合考量，航保水文信息采集、傳輸和服務(wù)具有一定的數(shù)據(jù)安全風(fēng)險，因此需要建立完善的水文信息安全機制，加強水文信息采集、傳輸、存儲等過程中的安全防護能力，提高數(shù)據(jù)的安全防護等級，進而提升航海保障服務(wù)能力。為此，本文通過對當前航保水文信息安全現(xiàn)狀的綜合分析，提出了水文信息加密設(shè)計原則、架構(gòu)和加密方案，并對研究成果進行了實驗驗證，從而為行業(yè)服務(wù)提供有益的交流和推廣應(yīng)用。

1、現(xiàn)狀與安全風(fēng)險

計算機網(wǎng)絡(luò)已經(jīng)成為當前社會發(fā)展的重要推動力，在給人們帶來便利的同時，也帶來了保證信息安全的重大挑戰(zhàn)。隨著計算機網(wǎng)絡(luò)在水文信息管理和服務(wù)中的大量應(yīng)用，水文數(shù)據(jù)的安全性和保密性不可避免受到了嚴重的威脅，極易造成水文數(shù)據(jù)丟失、刪除、破壞、被復(fù)制以及失密、泄密等。航保水文信息化能否順利發(fā)展，首要關(guān)鍵因素便是網(wǎng)絡(luò)、信息的安全。根據(jù)調(diào)研統(tǒng)計。

2、總體設(shè)計

2.1設(shè)計原則

水文數(shù)據(jù)加密方案選擇首先要對建設(shè)單位的設(shè)備和通信網(wǎng)絡(luò)進行統(tǒng)一的、整體的、綜合性的全面考慮，保證制定的實施方案具有很好整體性、綜合性和有序性。其次要考慮采用的安全技術(shù)和手段符合安全技術(shù)的發(fā)展方向，滿足今后一段時間內(nèi)的安全防護需求。第三要考慮可擴充性原則，保證隨著應(yīng)用需求的變化和軟硬件環(huán)境的發(fā)展，系統(tǒng)的配置能夠進行相應(yīng)調(diào)整和擴充。第四要考慮方案實施安全性，在實施過程中，應(yīng)提供應(yīng)急備用解決方案，即在進行每步操作之前，充分考慮到實施前后的變化，如不能達到預(yù)期的效果，則可以按照備用解決方案及時恢復(fù)到實施前的正常狀況。最后要保證影響“最小化”，充分考慮各種應(yīng)用場景，保證對關(guān)鍵業(yè)務(wù)的影響降到最低，充分保障業(yè)務(wù)系統(tǒng)應(yīng)用的正常運行。

2.2總架構(gòu)設(shè)計

水文數(shù)據(jù)安全管理架構(gòu)主要由硬件設(shè)備和軟件服務(wù)系統(tǒng)兩部分組成。硬件設(shè)備主要包括水文站數(shù)據(jù)采集傳感器、嵌入加密模塊的數(shù)據(jù)傳輸單元(DataTransferUnit，DTU)無線終端設(shè)備和數(shù)據(jù)接收服務(wù)器三個部分組成。軟件服務(wù)系統(tǒng)基于B/S、C/S架構(gòu)，服務(wù)器端支持集中式部署和分布式部署兩種模式，集中式部署模式由綜合管理服務(wù)器和加密客戶終端兩部分構(gòu)成：分布式部署模式將綜合管理服務(wù)器分為水文數(shù)據(jù)庫、加密服務(wù)器、流程審批系統(tǒng)、WEB服務(wù)器，然后進行單獨安裝和分布式部署：分布式部署一方面可以減輕服務(wù)器負載壓力，另一方面更容易適應(yīng)復(fù)雜的網(wǎng)絡(luò)環(huán)境和應(yīng)用場景。

3、數(shù)據(jù)加密設(shè)計

3.1數(shù)據(jù)加密算法

DTU端的加密模塊與服務(wù)器端的加密軟件均使用TEA(TinyEncryptionAlgorithm)加密改進算法XTEA。TEA由劍橋大學(xué)計算機實驗室的DavidWheeler和RogerNeedham于1994年發(fā)明。它是一種分組密碼算法，其明文密文塊為64b，密鑰長度為128。TEA算法利用不斷增加的Delta（黃金分割率）值作為變化，迭代次數(shù)為32輪。XTEA是對TEA加密算法的改進，在F函數(shù)中加入了異或操作。XTEA算法雖然簡單，但具有抗差分分析能力強的特點，加密速度快，密鑰長達128位，可靠性是通過加密輪數(shù)來保證的，具有安全性高的優(yōu)點。

3.2采集端加密方式

由于水文站數(shù)據(jù)采集環(huán)境的限制，無法部署加密終端，可以通過添加DTU加密模塊解決。水文站數(shù)據(jù)采集設(shè)備將潮位、能見度、溫度、濕度、風(fēng)速、風(fēng)向、氣壓和雨量數(shù)據(jù)形成ASCII碼，通過RS232串口等通訊接口與加密芯片相連，經(jīng)過XTEA加密芯片后將數(shù)據(jù)源碼轉(zhuǎn)換為數(shù)據(jù)加密碼，再通過DTU傳輸。這樣不僅能夠保證采集數(shù)據(jù)傳輸前進行加密，而且避免了更換現(xiàn)有設(shè)備或添置大型的終端設(shè)備，提高了使用效率、降低了更新成本。DTU端的加密模塊采用強制加密的方法，對采集到的數(shù)據(jù)進行強制加密，以保證傳輸?shù)臄?shù)據(jù)是加密數(shù)據(jù)，避免外界獲取水文數(shù)據(jù)。

3.3接收端解密方式

水文數(shù)據(jù)接收服務(wù)器接收到數(shù)據(jù)后，通過解密插件／芯片自動解密水文數(shù)據(jù)，解密水文數(shù)據(jù)保存在數(shù)據(jù)庫中或根據(jù)權(quán)限提供給用戶使用。整個解密過程對用戶是透明的，既可以保證數(shù)據(jù)在解密過程的安全，也可以使操作更加簡潔、方便。

3.4水文數(shù)據(jù)服務(wù)加密方式

水文數(shù)據(jù)服務(wù)采用透明強制加密、手動授權(quán)、半透明加密相結(jié)合等多種加密方式，根據(jù)用戶或部門的工作特點制定相應(yīng)的加密策略。根據(jù)用戶類型：本單位內(nèi)部應(yīng)用，可采用半透明加密方式；單位外部用戶可采用強制加密或授權(quán)方式；特殊的用戶或防范可將多個加解密策略組合起來應(yīng)用等。根據(jù)單位內(nèi)部業(yè)務(wù)審批權(quán)限：同文件等級的數(shù)據(jù)內(nèi)部透明使用，但不同等級之間的數(shù)據(jù)默認不能共享，各部門只能審批解密本部門的文件等級的數(shù)據(jù)。各業(yè)務(wù)單元之間的不同文件等級的文件共享則可以通過手權(quán)授權(quán)方式實現(xiàn)跨部門的安全共享，實現(xiàn)了在透明加密模式文檔在不脫密的情況下平滑過渡到權(quán)限管理模式。

4、水文數(shù)據(jù)加密測試

為了驗證上述設(shè)計中水文數(shù)據(jù)傳輸加密方式的可行性、兼容性、穩(wěn)定性，是否達到設(shè)計要求進行了實際測試。測試包括硬件加密模塊和軟件加密系統(tǒng)兩部分，主要測試硬件加密模塊的連接與傳輸是否正常、硬件加密模塊是否可以正確加密、服務(wù)器是否可以完全解密等。

4.1綜合加密硬件測試

測試選取某水文站2018年9月3日至2018年9月13日，合計10天間隔5分鐘實測水文數(shù)據(jù)，共計采集2880條。硬件測試統(tǒng)計按照天數(shù)有序進行分段，分10天。在這10天中，第1天數(shù)據(jù)安全加密占比最小，為96.18%，經(jīng)過對加密芯片等進行持續(xù)調(diào)試，至第6天數(shù)據(jù)安全加密占比100%，并保持5天直至測試終止日。從測試結(jié)果看，綜合硬件測試加密方案可行。同時對硬件接口和數(shù)據(jù)傳輸進行10次測試，累計發(fā)送2880條水文數(shù)據(jù)，接收到了2880條水文數(shù)據(jù)，接收率100%，說明增加了加密芯片和硬件接口后，未影響水文數(shù)據(jù)傳輸。

4.2服務(wù)系統(tǒng)安全功能測試

水文數(shù)據(jù)服務(wù)安全機制可行性測試共用時1天，主要測試了加密系統(tǒng)的十個加密功能。加密系統(tǒng)的權(quán)限功能全部通過測試，說明加密系統(tǒng)的設(shè)計可行，即通過加密系統(tǒng)權(quán)限功能設(shè)置，實現(xiàn)水文數(shù)據(jù)服務(wù)安全保護目的。

5、結(jié)論

本文通過多點站位調(diào)研，綜合分析了海洋水文信息采集、傳輸和存儲的流程以及水文服務(wù)的運行過程的安全風(fēng)險點，提出的航保水文數(shù)據(jù)加密算法、數(shù)據(jù)采集傳輸過程的加密方式、水文數(shù)據(jù)文件流轉(zhuǎn)中按權(quán)限保密方案及實時測試，保證航保水文信息采集、管理和服務(wù)安全是可行且有效的。

服務(wù)是航保水文發(fā)展的根本目的，也是水文工作永恒的主題，當前航保水文部門在水文服務(wù)意識、服務(wù)能力和服務(wù)水平方面取得很大成效，但總體上還不能滿足“交通強國”“海洋強國”“一帶一路”等國家戰(zhàn)略的發(fā)展需求，尤其水文信息安全管理方面欠缺較大，極易造成水文信息失密、泄密安全事故。未雨綢繆，期望相關(guān)單位強化水文信息管理和服務(wù)安全意識，制定安全管理制度、建立安全管理機構(gòu)、落實人員安全管理、提升航保水文管理和服務(wù)的總體安全防護能力，不斷提升水文工作的服務(wù)能力和水平是十分必要的。

摘自《海洋信息技術(shù)與應(yīng)用》2022年1期

【來源：河北省自然資源廳_科技發(fā)展】