□ 梁　宵　耿　方　杜悅琨　航天信息股份有限公司

一種基于國(guó)產(chǎn)密碼算法的糧食數(shù)據(jù)交換方案

□ 梁宵耿方杜悅琨航天信息股份有限公司

本文提出一種基于國(guó)產(chǎn)加密算法的糧食數(shù)據(jù)交換方案，該方案對(duì)接入平臺(tái)雙方交換數(shù)據(jù)的過(guò)程進(jìn)行安全管理，通過(guò)密鑰協(xié)商，雙方調(diào)用加密設(shè)備計(jì)算獲得一組對(duì)稱密鑰，雙方以此對(duì)數(shù)據(jù)進(jìn)行加解密，以保證交換過(guò)程中數(shù)據(jù)的安全性，完善農(nóng)業(yè)信息檢測(cè)體系，農(nóng)資質(zhì)量安全追溯體系等。

糧食PKI體系建設(shè)是我國(guó)農(nóng)業(yè)轉(zhuǎn)型互聯(lián)網(wǎng)+的應(yīng)用領(lǐng)域之一，借助互聯(lián)網(wǎng)思維與相關(guān)技術(shù)，完善農(nóng)業(yè)信息監(jiān)測(cè)體系、農(nóng)資質(zhì)量安全追溯體系等，其中，涉農(nóng)信息數(shù)據(jù)的互聯(lián)共享和挖掘應(yīng)用尤為重要。數(shù)據(jù)交換平臺(tái)作為體系的基礎(chǔ)支撐平臺(tái)的基本功能組件，作用尤其突出。目前已建設(shè)完成，支持跨部門、跨層級(jí)數(shù)據(jù)共享交換。

研究背景

涉農(nóng)信息數(shù)據(jù)的共享交換一直是農(nóng)業(yè)信息化建設(shè)的重要內(nèi)容。經(jīng)過(guò)多年信息化建設(shè)，糧食行業(yè)已有大量的信息系統(tǒng)，承載重要的業(yè)務(wù)和數(shù)據(jù)，但還未形成行業(yè)性信息安全標(biāo)準(zhǔn)。在糧食信息化安全技術(shù)方面，多種原因使得糧食行業(yè)信息安全水平低于其他行業(yè)。隨著農(nóng)業(yè)信息化的不斷推進(jìn)，農(nóng)業(yè)數(shù)據(jù)信息量已呈現(xiàn)爆炸式的增長(zhǎng)，但目前的信息管理系統(tǒng)往往共享性較差，數(shù)據(jù)利用不充分；數(shù)據(jù)格式行業(yè)標(biāo)準(zhǔn)種類繁多，無(wú)法統(tǒng)一，挖掘數(shù)據(jù)的效率嚴(yán)重滯后；傳統(tǒng)的w eb服務(wù)器提供的服務(wù)模式安全性較差，因此迫切需要建立糧食信息系統(tǒng)的數(shù)據(jù)交換平臺(tái)，提高糧食數(shù)據(jù)的共享率和數(shù)據(jù)交換的安全性。

發(fā)展現(xiàn)狀

功能描述

數(shù)據(jù)交換平臺(tái)是一個(gè)利用統(tǒng)一方式，實(shí)現(xiàn)各系統(tǒng)間不同結(jié)構(gòu)和格式的數(shù)據(jù)的相互轉(zhuǎn)換，并由協(xié)調(diào)引擎（工作流引擎）根據(jù)服務(wù)流程的定義統(tǒng)一協(xié)調(diào)各部門業(yè)務(wù)系統(tǒng)間的數(shù)據(jù)傳輸和消息通信的服務(wù)集成中間平臺(tái)。各應(yīng)用系統(tǒng)與數(shù)據(jù)交換中心相連，通過(guò)數(shù)據(jù)交換中心實(shí)現(xiàn)數(shù)據(jù)共享。該連接方式可實(shí)現(xiàn)數(shù)據(jù)的無(wú)縫交換和共享訪問(wèn)，保證各業(yè)務(wù)系統(tǒng)的有效協(xié)同，同時(shí)又能保證各應(yīng)用系統(tǒng)的相互獨(dú)立性和低耦合性，從整體上提高系統(tǒng)運(yùn)作效率和安全性。

平臺(tái)特點(diǎn)

數(shù)據(jù)交換平臺(tái)主要應(yīng)用于異構(gòu)系統(tǒng)間的信息交換，但在信息交換過(guò)程中，交換平臺(tái)本身要解決的問(wèn)題只是一小部分，它的本質(zhì)是一個(gè)中間件，面向客戶時(shí)屏蔽許多系統(tǒng)底層的信息，如網(wǎng)絡(luò)的協(xié)議、數(shù)據(jù)的傳輸安全等。數(shù)據(jù)交換平臺(tái)本身不具有業(yè)務(wù)處理功能，如無(wú)法自動(dòng)從某個(gè)業(yè)務(wù)系統(tǒng)中直接獲取數(shù)據(jù)信息，只能通過(guò)編程把數(shù)據(jù)從業(yè)務(wù)系統(tǒng)中提取出來(lái)，再送到數(shù)據(jù)交換平臺(tái)。數(shù)據(jù)交換平臺(tái)使開(kāi)發(fā)過(guò)程中無(wú)需關(guān)注數(shù)據(jù)各式轉(zhuǎn)換、消息的傳輸、數(shù)據(jù)路由等，只需關(guān)注與業(yè)務(wù)本身的數(shù)據(jù)處理部分。相對(duì)于其他應(yīng)用系統(tǒng)，數(shù)據(jù)交換平臺(tái)具有以下特點(diǎn)：①高度靈活性。靈活的系統(tǒng)架構(gòu)可快速有效地響應(yīng)業(yè)務(wù)邏輯的變化，操作人員可通過(guò)修改系統(tǒng)配置來(lái)滿足來(lái)自系統(tǒng)內(nèi)部和外部的需求變化；②可維護(hù)性。為以最小的代價(jià)滿足業(yè)務(wù)的變化，系統(tǒng)使用了系統(tǒng)基礎(chǔ)結(jié)構(gòu)和應(yīng)用服務(wù)的分離、自成體系的獨(dú)立的業(yè)務(wù)組件、數(shù)據(jù)訪問(wèn)對(duì)象和業(yè)務(wù)對(duì)象的分離等方法。③優(yōu)化性能。系統(tǒng)設(shè)計(jì)時(shí)，根據(jù)各種技術(shù)的不同特點(diǎn)進(jìn)行篩選以提高性能。

功能描述

傳統(tǒng)的數(shù)據(jù)交換往往基于XM L的W eb服務(wù)技術(shù)，可在現(xiàn)有的各種異構(gòu)平臺(tái)的基礎(chǔ)上構(gòu)筑一個(gè)通用、與平臺(tái)、語(yǔ)言無(wú)關(guān)的技術(shù)層。各種不同平臺(tái)上的應(yīng)用依靠該技術(shù)層實(shí)現(xiàn)彼此的連接和集成，但隨之而來(lái)的XM L數(shù)據(jù)處理的安全問(wèn)題便成為當(dāng)前數(shù)據(jù)交換應(yīng)用中的瓶頸。數(shù)據(jù)交換平臺(tái)在運(yùn)行過(guò)程中存在諸多安全隱患，如篡改數(shù)據(jù)、惡意修改數(shù)據(jù)、修改兩臺(tái)交換計(jì)算機(jī)通過(guò)開(kāi)放式網(wǎng)絡(luò)傳輸?shù)腦M L數(shù)據(jù)信息、交換中的敏感、機(jī)密數(shù)據(jù)被未授權(quán)的實(shí)體截獲等。

方案設(shè)計(jì)

針對(duì)目前數(shù)據(jù)交換過(guò)程中的低效率、高風(fēng)險(xiǎn)、格式混亂的情況，本文提出一種基于國(guó)產(chǎn)密碼算法的糧食數(shù)據(jù)交換優(yōu)化方案，其核心思想包括以下三點(diǎn)。

（1）針對(duì)數(shù)據(jù)交換請(qǐng)求的發(fā)起方和接收方，在發(fā)送數(shù)據(jù)前，通信的雙方通過(guò)密鑰協(xié)商產(chǎn)生一對(duì)對(duì)稱密鑰，該密鑰基于支持SM 2國(guó)產(chǎn)加密算法的加密設(shè)備產(chǎn)生，安全性更高，在發(fā)送數(shù)據(jù)前，數(shù)據(jù)經(jīng)密鑰加密，接收方收到密文數(shù)據(jù)入庫(kù)前再解密密文，一次會(huì)話結(jié)束后，通信雙方銷毀各自密鑰，進(jìn)一步保證數(shù)據(jù)交換過(guò)程中數(shù)據(jù)的安全性。

以本發(fā)明中基于國(guó)產(chǎn)SM 2加密的數(shù)據(jù)交換提交過(guò)程進(jìn)行詳細(xì)說(shuō)明。實(shí)施方式如下：①數(shù)據(jù)發(fā)送方調(diào)用支持SM 2國(guó)產(chǎn)加密算法的加密設(shè)備，計(jì)算獲得相關(guān)參數(shù)；②數(shù)據(jù)發(fā)送方將計(jì)算獲得的參數(shù)，通過(guò)Internet網(wǎng)絡(luò)發(fā)送給數(shù)據(jù)接收方；③數(shù)據(jù)接收方獲得請(qǐng)求參數(shù)后，調(diào)用支持SM 2國(guó)產(chǎn)加密算法的加密設(shè)備，計(jì)算相關(guān)參數(shù)并算出密鑰后，保存至本地；④數(shù)據(jù)接收方將計(jì)算獲得的參數(shù)，通過(guò)Internet網(wǎng)絡(luò)發(fā)送給數(shù)據(jù)發(fā)送方；⑤數(shù)據(jù)發(fā)送方獲得響應(yīng)參數(shù)后，調(diào)用支持SM 2國(guó)產(chǎn)加密算法的加密設(shè)備，計(jì)算獲得密鑰，該密鑰與數(shù)據(jù)接收方本地保存的密鑰為對(duì)稱密鑰；⑥數(shù)據(jù)發(fā)送方用計(jì)算獲得的密鑰加密需要傳輸?shù)拿魑臄?shù)據(jù)；

⑦數(shù)據(jù)接收方用本地保存的密鑰解密密文信息；⑧數(shù)據(jù)接收方將解密的數(shù)據(jù)寫入本地?cái)?shù)據(jù)庫(kù)；⑨會(huì)話結(jié)束后，雙方刪除各自的密鑰，當(dāng)下次發(fā)起會(huì)話時(shí)，再生成密鑰對(duì)進(jìn)行數(shù)據(jù)的加解密。信息交互方式如圖1所示。

圖1　信息交互示意圖

圖2　數(shù)據(jù)交換平臺(tái)功能示意圖

圖3　平臺(tái)示意圖

（2）各系統(tǒng)間通過(guò)統(tǒng)一的數(shù)據(jù)交換接口（適配器）連接到平臺(tái)上，如圖2所示，避免了因各系統(tǒng)間的數(shù)據(jù)不一致導(dǎo)致的效率低下，平臺(tái)統(tǒng)一抽取和推送數(shù)據(jù)，大大提高了數(shù)據(jù)共享率。

（3）從平臺(tái)體系架構(gòu)來(lái)看，本數(shù)據(jù)交換平臺(tái)部署在部級(jí)的農(nóng)業(yè)數(shù)據(jù)中心、國(guó)家糧食流通數(shù)據(jù)中心和農(nóng)業(yè)科技數(shù)據(jù)分中心及30多個(gè)省級(jí)的農(nóng)業(yè)數(shù)據(jù)中心和糧食流通數(shù)據(jù)中心形成了由各個(gè)數(shù)據(jù)交換平臺(tái)節(jié)點(diǎn)組建的數(shù)據(jù)交換網(wǎng)絡(luò)，如圖3所示。節(jié)點(diǎn)間的數(shù)據(jù)傳輸工作可基于數(shù)據(jù)交換平臺(tái)實(shí)現(xiàn)，同時(shí)支持部級(jí)數(shù)據(jù)中心農(nóng)業(yè)信息的下發(fā)和省級(jí)農(nóng)業(yè)信息的上交匯總，促進(jìn)涉農(nóng)信息數(shù)據(jù)雙向高效流轉(zhuǎn)。

結(jié)語(yǔ)

本文主要是提出一種基于SM 2加密的糧食數(shù)據(jù)交換平臺(tái)的設(shè)計(jì)與應(yīng)用，陳述安全加密交換模型結(jié)構(gòu)及主要功能模塊的設(shè)計(jì)，并對(duì)實(shí)現(xiàn)技術(shù)進(jìn)行描述。采用SM 2國(guó)產(chǎn)加密算法在數(shù)據(jù)交換平臺(tái)中安全性較高。此外，SM 2算法既可用于數(shù)據(jù)加密，也可用于數(shù)字簽名。因此，SM 2國(guó)產(chǎn)加密算法在數(shù)據(jù)交換領(lǐng)域呈現(xiàn)出越來(lái)越重要的作用。同時(shí)，相較于RSA加密算法的速度缺陷，SM 2算法在對(duì)實(shí)時(shí)性要求較高的數(shù)據(jù)交換平臺(tái)的應(yīng)用中優(yōu)勢(shì)更加明顯。此外，本數(shù)據(jù)交換平臺(tái)還具有高可靠、高效率、高可用、可擴(kuò)展、易管理等特點(diǎn)，可提供流量控制、優(yōu)先級(jí)別控制、斷點(diǎn)續(xù)傳、消息生命周期管理、同步/異步傳輸?shù)蓉S富的功能，使涉農(nóng)數(shù)據(jù)傳輸體系更加完善，為各業(yè)務(wù)系統(tǒng)甚至是后續(xù)其他外部系統(tǒng)進(jìn)行數(shù)據(jù)整合應(yīng)用提供可靠的保障。

國(guó)家糧食局公益性行業(yè)科研專項(xiàng)經(jīng)費(fèi)項(xiàng)目，糧食安全信息化保障體系與技術(shù)研究（編號(hào)：201413001）。