地震数据共享与网络安全机制

◆刘 磊 许 贺 朱 宏 柳艳丽

（天津市地震局 天津 300201）

0 引言

地震数据共享是近年来地震行业信息化工作的重点，它的发展推动了地震观测数据数字化，同时促进了实用数字话地震分析，地震数据使用效率得到了提高，跨区域的地震数据协作得到了发展。但随之而来的是数据使用安全、包括数据安全存储、加密传输成为了阻碍数据协作共享的现实问题。

1 跨部门数据共享的安全存储机制

地震数据管理要进行分级分类存储管理，明确定义数据安全属性和共享的范围，由于数据库中的数据繁多，容易在提取数据时造成混乱，因此必须要把数据进行分类、整理，这样在数据提取才能更加方便。

协作单位和部门向数据共享系统发布数据之前应对所发数据进行审核，是否具有安全属性和共享范围。数据共享系统是存储数据的集结地，因此各协作单位在共享数据之前应确保它的安全性、准确性、有效性。

应支持对数据同步的安全控制，避免数据库的紊乱，遭到破坏，保证数据的及时性、有效性，同时支持不同安全等级的密码处理能力，数据中心的数据会进行加密处理，因此必须要具备不同的安全等级的密码处理能力，例如即可采取访问控制、数据加密传输、完整性保护和存储加密等综合措施，也可采取访问控制和完整性保护措施，地震数据共享系统，数据传输安全存储机制工作流程见图1。

图1 安全存储机制流程图

2 安全存储控制系统设计

2.1 系统组成

地震数据共享系统向用户提供地震事件、台站连续波形、台站参数、震相信息等数据服务。以上数据主要存储与数据库中，为了加强对存储数据的安全控制，管理系统被开发和应用，此系统由六大模块组成，即网络捕包、ISCSI协议栈分析处理、秘钥管理、安全审计、策略管理、网络发包等模块，协议分析与处理模块又可分为身份认证、授权访问、数据加密3个模块。安全存储控制系统采用嵌入式平台设计，操作系统采用Linux操作系统，设计标准密码服务接口。每个安全存储客户端由秘钥和认证身份后，才能接入存储网络，实现安全存储访问，天津市地震局地震事件共享系统界面见图2。

图2 天津市地震局地震事件共享系统事件管理界面

2.2 模块设计

在存储网络中，网络捕包模块串联其中，并利用BPF捕货机制，对于所有经过系统的访问存储系统的数据包进行截获，并运用定义优化原则，采用树形匹配算法快速匹配数据包，提高网络捕包模块作用，让访问存储系统更加安全。在网络捕包模块经过大量拦截截获合法的数据包，在有协议分析模块进行协议分析，所谓协议分析就是对数据包中的身份信息进行认证，身份认证成功后在根据iSCSI协议的认证授权策略进行访问，把非法的数据包丢弃，再通过密码对数据进行加解密。

3 XML安全方案

3.1 XML安全标准

为了更加安全的应用XML，国际标准化组织W3C、IETF等制定了一系列的安全服务标准，这些标准还在进一步地发展，以便能够对XML内容进行细粒度的管理和控制。XML加密规定在传送XML文件时，可以对XML文件整体进行加密，或者对一个XML文档中的数据和部分内容进行加密，而接收者只能访问拥有权限的信息，采用该方法对一个XML文件进行加密，在加密部分的首尾就会出现两个标记，表示该文件是以W3C公布的标准进行加密的，数据本身显示为一连串密码。该标准可以根据用户的不同对内容进行细粒度控制，是对数据本身的加密而不是整个文件。

3.2 解决方案

在数据共享方案的设计中，XML是作为数据交换的中介，因此XML数据的安全性是衡量系统性能的重要指标之一。综合多种XML安全问题的解决方案，本系统选择了XML加密作为其安全性的保障措施。加密系统包含明文集合、密文集合、密钥集合和算法，密钥和算法构成了密码系统的基本单元。算法规定明文与密文之间的变换方法，密钥看做算法中的参数。IDEA是一种由八个相似圈和一个输出变换组成的迭代算法。IDEA的每个圈都由三种函数函数组成，在加密之前IDEA通过密钥扩展将128bit的密钥扩展为52Byte的加密密钥，然后由EK计算出解密密钥，IDEA的加密过程和解密过程是一样的，只是使用不同的密钥。

4 VPN技术的应用

VPN的原理就是在这两台直接和公用网络连接的计算机之间建立一条专用通道，几个私有网络之间的通信内容经过这两台计算机或设备打包通过公用网络的专用通道进行传输，然后在对端解包，还原成私有网络的通信内容转发到私有网络中。由于VPN连接的特点，私有网络的通信内容会在公用网络上传输，出于安全和效率的考虑一般通信内容需要加密或解压。MPLS VPN是整个专网建设的核心，VPN网通过主干路由器和边缘路由器设备作为骨干硬件设备，其中边缘路由器设备向下连接使用用户、协作用户网络，而向上连接地震数据共享系统网络。通过分配不同的VLAN来区分VPN，建立VLAN是为了更好地分割业务，地震数据共享系统网络结构见图3。

图3 VPN网络架构

5 结束语

通过网络安全策略的应用，天津市地震数据管理系统采取数据分级管理，对于不同类型数据采用不同级别的安全加密措施，确保数据协作单位和数据使用者在数据使用过程中更加安全，确保数据库稳定运行、传输可靠、共享系统运行高效。同时伴随着实际需求的进一步发展，需要进一步完善网络安全性和数据共享平台的功能，逐步完善地震数据共享系统的作用。

[1]白龙，郑燕，李晓飞.MPLSVPN 在专网中的应用[J].网管员世界，2011.

[2]孙路强，刘磊，栗连弟等.基于PHP语言的天津市测震台网综合管理系统的研制[J].地震工程学报，2015.

[3]孙路强，刘磊，朱宏等.天津市地震局地震事件共享系统的设计与实现[J].震灾防御技术，2016.

[4]孙路强，刘磊，朱宏等.天津环渤海虚拟台网地震数据管理平台[J].地震地磁观测与研究，2016.

[5]许鹏.数据加密技术在计算机网络安全中的应用分析[J].网络安全技术与应用，2017.