参考范例长江电子航道图数据保护的研究

1、长江电子航道图数据保护的研究王斌 王斌，1981年出生，男，电李超(大连海事大学航海学院，大连 116026)摘 要：本文按照S-63标准，提出了建立长江电子航道图保护方案的设想，并编程设计，实现，实现了电子航道图数据和改正数据的快速、安全更新，也很好的保护了数据生产商的合法权益。该系统是基于Internet对电子海图数据进行发布和更新，使数据发布商可以全天候提供电子航道图数据和改正数据，实现了航道图数据更新的快速性。关键词：S-63标准；电子航道图；ECDIS；DSA数字签名算法；Blowfish加密算法0 引言随着国家对长江黄金航道的重视，长江航道数字化建设的

2、步伐将逐步加快，如何安全的利用现代计算机及网络技术实现数据的发布，安全、方便、快捷的服务于各个用户是长江航道数字化建设急需解决的问题。本文基于电子海图保护S-63标准提出了建立长江电子航道图保护方案的设想，并编程实现。1 长江电子航道图数据保护方案根据长江电子航道图数据保护的现状，考虑到中国目前对S-63的实际应用情况，参照S-63标准的相关文档及技术要求，制定本方案，方案的目标是在长江流域建立一套完整的S-63数据保护方案，方案的运行操作完全遵循IHO S-63标准，该方案主要包括三类成员：系统管理员（SA）：维护该方案的正常运行，为申请加入的OEM创建OEM专有的M_ID/M_KEY信息，

3、为数据服务商创建证书等。在该方案中系统管理员由南京航道局担当。数据服务商(Data Server)：数据服务商按照S-63标准所定义的程序和方法实现对ENC信息的加密和签名，在本方案中具体指南京航道局。原设备制造商(Original Equipment Manufacturer，OEM)：这里主要是指生产ECDIS平台及配置硬件设备的制造商。加入该数据保护方案的制造商必须建立软件程序来支持该数据保护系统。制造商必须在他们的软件系统里提供一个安全的硬件标识（HW_ID）以唯一识别每一个终端用户安装。在长江电子航道图数据保护方案中任何船舶导航产品生产商都可以开发相关的支持软件向作为系统管理员的南京

4、航道局申请加入方案所必须的专有信息（M_ID/M_KEY），以便向用户提供符合方案要求的船舶导航产品。参与方案的船舶导航产品生产商和数据服务商可能会有多家，任何符合要求的公司都可以申请加入这个数据保护方案，该方案目前所涉及到的系统管理员和数据服务商都只有一个-南京航道局，以及最终的用户，他们之间的关系如下图所示：2 方案实现IHO S-63的实现可以分为三部分，系统管理员，数据服务商和设备制造商，用户只是对ECDIS产品的使用不需要程序方面的实现，另外系统管理员只有一个，对该方案而言，系统管理员就是南京航道局，软件不需要实现；所以只需要实现数据服务商端数据加密软件的实现和设备制造商端数据处理（

5、EPS系统）的实现。21 数据加密及发布 数据加密及签名按照S-63标准文档的要求，数据服务商应该能够加密数据集，对各个航道图密码进行管理，处理用户权证为用户生成单元权证文件，管理OEM信息等这些基本的功能。目前南京航道局是长江电子航道图数据保护方案的唯一数据发布机构，数据的发布有网上和光盘两种方式，用户可根据自己的实际情况选择适合自己的方式来获取数据，由于ENC数据都是加密的，用户可以随意到网站上下载，主要是单元权证的获取，以便解密航道图更新ECDIS。南京航道局的数据管理主要分为以下几个模块：Ø 数据服务商密钥创建及管理Ø 航道图密码信息管理Ø OEM信息管理

6、Ø 数据集的加密签名Ø 单元权证文件创建这几个模块相互联系是一个有机的整体，对于一个符合S-63标准的数据服务来说，他们哪一个模块都是不可或缺的，共同实现来完成数据的加密及数字签名。 数据发布南京航道局作为数据服务机构要向ECDIS用户提供符合要求的数据，以更新他们的ECDIS，这一环节需要他们的交互才可以完成，交互可以有两种方式：Ø 通过internet网络在线完成数据传输Ø 通过光盘的形式将数据提供给用户第一种方法通过网络的形式，那就要登陆到南京航道局的数据服务网站下载加密的电子航道图数据，然后提交用户权证及需要的电子航道图列表，在南京航道局的服务器

7、端获得认证通过后就可以自动为其生成单元权证文件返回，用户利用该用户权证解密电子航道图数据更新他们的ECDIS就可以了，这是一种最方便、快捷的方式，但对网络的要求相对来说要高一点，因为要传输大量的航道图数据，用户可以视自己的情况确定。第二种方法就是直接购买南京航道局的数据，这种方法也需要用户提交用户权证信息，南京航道局根据用户航道图的要求为其制作光盘，用户直接拿该光盘中的数据及单元权证放入ECDIS解密，更新就可以了。22 EPS系统实现为了加入长江电子航道图数据保护方案，相应的船舶导航产品生产商必须完成方案的要求，取得资格认证后才能加入该保护方案，并且获取一些专有信息（M_ID/M_KEY）来

8、实现他们的EPS系统，提供支持该安全方案的船舶导航产品。根据S-63文档的要求，EPS系统主要负责对加密电子航道图数据的解密、解压缩及数字签名验证，因此它应该包含下面三个方面的功能：Ø 用户权证文件(User Permit.txt)的创建。Ø 数据服务商证书的鉴别。Ø ENC Cells的解密及完整性校验。其中用户权证文件(User Permit.txt)的创建是一个独立的部分，与其它两个功能没有太大的关系，当申请电子海图时向数据服务商提供该文件；其它两项功能有一定的联系，每次利用EPS解密ENC数据时都需要对相应的数据服务商进行身份验证，当身份验证成功后才可对E

9、NC数据进行解密处理，这样保证了数据来源渠道的合法性，防止不法分子冒充他人发布数据。系统界面如下图所示：由于解密后的ENC数据直接被转化为SENC更新ECDIS系统，同时解密的ENC信息从系统中立即被删除，所以这就保证ENC信息不可以在不同的用户之间被传递，复制，从而保证的数据服务商的经济利益，也保证了数据的安全性。3 总结本文在电子海图国际数据保护标准-S-63标准的基础上，提出了在长江建立电子航道图数据保护方案的设想，并对电子航道图数据保护方案进行了系统的设计和研发。并且通过在国内外享有一定声誉的大连海事大学自行研发的ECDIS平台上进行了检验，得到了理想的效果。参考文献1 Scott O

10、aks著 ，林琪 译，Java Security，中国电力出版社，2002年第一版，221260，278304。2 清华大学出版社密码工程实践指南 Steve Burnett等著冯登国，周永彬等译 2001年第一版 p156。3IHOIHO Data Protection Scheme Guidance Notes for OEMs and Data ServersPublished by the International Hydrographic Bureau MONACO2003545The Research of Protection of Yangzi River Electronic Channel ChartWang Bin，Li Chao(Navigation College, Dalian Maritime University, Dalian 116026)Abstract Based on the S-63 standard, the paper introduces the system of protecting the ENC data in order to ensure the security and integrality of the ENC data in transmission pro