張 翼 ，于 林 ，盧向明

（1.中煤科工集團重慶研究院有限公司，重慶 400039；2.瓦斯災(zāi)害應(yīng)急信息技術(shù)國家重點實驗室，重慶 400039）

煤礦安全監(jiān)控系統(tǒng)（以下簡稱系統(tǒng)）用于煤礦井下環(huán)境及相關(guān)設(shè)備狀態(tài)的實時監(jiān)測與控制，在煤礦安全生產(chǎn)中起著至關(guān)重要的作用[1]。然而“生產(chǎn)”與“安全”的矛盾長期存在，部分煤礦企業(yè)為了追求煤炭產(chǎn)量，罔顧安全，采用各種手斷干擾系統(tǒng)的正常運行，并對監(jiān)測到的報警數(shù)據(jù)（如瓦斯、一氧化碳等超限報警數(shù)據(jù)）進行篡改或刪除，妄圖逃避上級監(jiān)管部門的監(jiān)察。

煤礦監(jiān)管監(jiān)察部門在一些煤礦事故調(diào)查中逐漸意識到煤礦企業(yè)通過修改數(shù)據(jù)來逃避監(jiān)管監(jiān)察的問題，先后在煤安監(jiān)函〔2016〕5 號《煤礦安全監(jiān)控系統(tǒng)升級改造技術(shù)方案》[2]（以下簡稱5 號文）和AQ 6201—2019《煤礦安全監(jiān)控系統(tǒng)通用技術(shù)要求》[3]（以下簡稱AQ6201）中對系統(tǒng)數(shù)據(jù)加密與防篡改進行了具體的規(guī)定，各系統(tǒng)廠家也針對性地設(shè)計了加密方案進行應(yīng)對。

至2018 年煤礦安全監(jiān)控系統(tǒng)升級改造全面推廣以來，煤礦企業(yè)對具有數(shù)據(jù)加密功能的系統(tǒng)逐漸熟悉，少數(shù)企業(yè)為了追求利益，仍然游走在灰色邊緣，在日常的系統(tǒng)維護中，有意識地去探尋數(shù)據(jù)的加密方法，試圖通過破解加密方法來達到篡改或刪除報警數(shù)據(jù)的目的。由于煤礦用戶具有數(shù)據(jù)管理的最高權(quán)限（煤礦企業(yè)作為系統(tǒng)相關(guān)資產(chǎn)的所有者，在系統(tǒng)驗收時建設(shè)廠家會向其移交如操作系統(tǒng)、數(shù)據(jù)庫等的最高權(quán)限），使其在獲取數(shù)據(jù)樣本、跟蹤數(shù)據(jù)庫查詢SQL 語句、直接修改與刪除數(shù)據(jù)等操作上具有較高的便捷性，致使數(shù)據(jù)防篡改難度增大。如何通過分析加密與破解現(xiàn)狀，制定一套在查詢效率、存儲空間占用、可維護性等方面取得平衡點的數(shù)據(jù)加密與防篡改方案是煤礦安全監(jiān)控系統(tǒng)健壯與安全性研究的方向之一。

1 加密與破解現(xiàn)狀

上級監(jiān)管監(jiān)察部門對煤礦企業(yè)進行巡察時，多使用系統(tǒng)本身的軟件對監(jiān)測監(jiān)控數(shù)據(jù)進行查詢，以了解煤礦超限和對應(yīng)處置情況。系統(tǒng)軟件查詢功能對應(yīng)的數(shù)據(jù)源絕大部分為關(guān)系型數(shù)據(jù)庫（煤礦企業(yè)使用MS SQL Server 數(shù)據(jù)庫較為普遍），因此系統(tǒng)數(shù)據(jù)加密與破解的對抗主要焦灼于關(guān)系數(shù)據(jù)庫之中[4-6]。

1.1 常見的加密方案

“5 號文”中推薦的加密算法有MD5、RSA，但由于MD5 為不可逆加密算法，且一般只做為加密檢驗，無法用做數(shù)據(jù)加密。而對于RAS 加密算法而言，由于2006 版和2019 版的“AQ 6201”都對“畫面響應(yīng)時間”有具體的要求[3]，加之監(jiān)控系統(tǒng)升級改造后網(wǎng)絡(luò)拓撲結(jié)構(gòu)的升級[7]，以及系統(tǒng)巡檢周期要求的提高，系統(tǒng)數(shù)據(jù)量急增，但該算法確存在效率低、加密較少數(shù)據(jù)會帶來數(shù)十倍數(shù)據(jù)量增長等問題，因此在實際的應(yīng)用中，特別是數(shù)據(jù)庫數(shù)據(jù)少有選擇此加密算法的方案。

通過分析存儲于數(shù)據(jù)庫中的數(shù)據(jù)特點可知，適用于數(shù)據(jù)庫數(shù)據(jù)的加密算法應(yīng)具有效率高、存儲空間增長小等特點，因此業(yè)內(nèi)普遍使用同態(tài)加密、二進制序列化、數(shù)據(jù)映射、類型轉(zhuǎn)換等加密算法[4]。而對于文件數(shù)據(jù)則選擇性較多，可直接遵循“5 號文”的建議，采用RSA 加密算法[2]。

1.2 常見的數(shù)據(jù)篡改手段

數(shù)據(jù)篡改的最終目的是讓軟件無法查詢出報警記錄，且從軟件界面上無法看出篡改痕跡。目前除技術(shù)性破解以外（針對性開發(fā)數(shù)據(jù)破解與篡改軟件），較常見的人工破解數(shù)據(jù)庫數(shù)據(jù)的方法有置換法和刪除法。而對于文件數(shù)據(jù)更多地采用直接刪除的方法進行暴力處理（文件數(shù)據(jù)通常用于數(shù)據(jù)備份，刪除后查詢功能影響較小，不易被察覺）。

置換法是指使用正常數(shù)據(jù)密文（如監(jiān)測值）替換報警數(shù)據(jù)密文的破解方法。例如1 條甲烷超限的數(shù)據(jù)，其監(jiān)測值為“1.2”，加密后的數(shù)據(jù)密文為“x1”。當需要將該值修改為1 個正常值時，篡改人員無需破解加密算法本身，只需找到1 個正常值的密文“x2”，直接替換“x1”即可。由于數(shù)據(jù)庫中絕大多數(shù)的數(shù)據(jù)都是正常的，因此隨意復(fù)制1個密文數(shù)據(jù)進行替換大概率能達到目的。

刪除法是一種較為粗暴的數(shù)據(jù)篡改方法，找到不期望展示到界面的數(shù)據(jù)刪除即可。在系統(tǒng)數(shù)據(jù)庫結(jié)構(gòu)設(shè)計時，一般會將不同主題的數(shù)據(jù)存放到不同的表中，這為刪除數(shù)據(jù)帶來了一定的便利。用戶在進入數(shù)據(jù)庫表后，通過一些方法嘗試定位到需要刪除的數(shù)據(jù)，然后直接刪除即可。

2 數(shù)據(jù)加密存儲架構(gòu)

煤礦安全監(jiān)控系統(tǒng)數(shù)據(jù)的加密存儲方案既要考慮加密解密算法本身的特點（破解難度、效率、加密后數(shù)據(jù)量增加等），還有考慮加密后數(shù)據(jù)查詢效率和被篡改后的恢復(fù)問題。因此加密存儲方案不是加密算法選擇的問題，而是要考慮多方因素，并在各因素間取得平衡的綜合性存儲方案。

通過分析可知，系統(tǒng)數(shù)據(jù)及篡改行為具有可能被篡改的數(shù)據(jù)占比極小、不能大面積破壞數(shù)據(jù)的特點。結(jié)合加密解密現(xiàn)狀，方案應(yīng)具備如下主要能力：①能夠管理數(shù)據(jù)庫的密碼，阻斷篡改人員進入數(shù)據(jù)庫的路徑；②能夠有效防止“置換法”的篡改手段；③盡可能地干擾篡改者對于報警數(shù)據(jù)的定位，從而避免數(shù)據(jù)被刪除；④能在數(shù)據(jù)查詢時對數(shù)據(jù)進行驗證，發(fā)現(xiàn)問題及時提醒；⑤具有數(shù)據(jù)冗余備份能力，能夠在關(guān)鍵數(shù)據(jù)被破壞時盡可能地恢復(fù)。針對上述內(nèi)容，結(jié)合系統(tǒng)數(shù)據(jù)生產(chǎn)與消費的情況，設(shè)計出數(shù)據(jù)加密存儲方案，數(shù)據(jù)加密存儲總體架構(gòu)如圖1。

圖1 數(shù)據(jù)加密存儲總體架構(gòu)Fig.1 Overall architecture of data encryption storage

方案在業(yè)務(wù)層之下設(shè)計了“統(tǒng)一數(shù)據(jù)訪問服務(wù)”用于支撐上層業(yè)務(wù)應(yīng)用的數(shù)據(jù)讀寫請求，以實現(xiàn)數(shù)據(jù)加密解密的“透明化”處理，在降低上層應(yīng)用復(fù)雜度的同時，降低算法暴露的風險。

在數(shù)據(jù)加密存儲方面，方案以“關(guān)系數(shù)據(jù)庫+備份文件”的模式存儲數(shù)據(jù)。日常查詢時使用關(guān)系數(shù)據(jù)庫中的數(shù)據(jù)，當關(guān)系數(shù)據(jù)庫中數(shù)據(jù)被破壞時可使備份文件進行恢復(fù)。

3 關(guān)系數(shù)據(jù)庫加密存儲

雖然系統(tǒng)使用關(guān)系數(shù)據(jù)庫存儲數(shù)據(jù)的方式與數(shù)據(jù)庫在其他行業(yè)的應(yīng)用相似，但其數(shù)據(jù)加密所防范的對象和數(shù)據(jù)庫運維管理模式確有著較大的區(qū)別，以往的一些數(shù)據(jù)庫加密的方法在此背景下也僅具有一定的借鑒意義，無法直接使用。

3.1 可搜索數(shù)據(jù)混淆

數(shù)據(jù)混淆的目的在于盡可能地避免數(shù)據(jù)被定位，從而防止數(shù)據(jù)被刪除。在關(guān)系數(shù)據(jù)庫中要刪除數(shù)據(jù)，首先必須能夠定位數(shù)據(jù)，由于需要防范刪除的報警數(shù)據(jù)的比重極?。ㄕ急刃∮谌f分之一），而系統(tǒng)具有實時數(shù)據(jù)、報警數(shù)據(jù)、分鐘統(tǒng)計數(shù)據(jù)、運行記錄數(shù)據(jù)、狀態(tài)變化數(shù)據(jù)及其他配置管理數(shù)據(jù)[8]，將報警數(shù)據(jù)混入分鐘統(tǒng)計、運行記錄等正常數(shù)據(jù)中可起到較好的混淆效果。然而報警數(shù)據(jù)特征較為明顯，要達到良好的混淆效果，需著力于如下幾點：①統(tǒng)計各類數(shù)據(jù)的數(shù)量，盡可能在保證查詢效率的前提下，做好分表設(shè)計并降低單數(shù)據(jù)庫表中報警數(shù)據(jù)的占比；②數(shù)據(jù)標識與時間是識別數(shù)據(jù)的關(guān)鍵，必須進行混淆處理；③統(tǒng)一所有表的結(jié)構(gòu)，并對表名進行混淆，降低數(shù)據(jù)識別度。

為了提高查詢效率，混淆后的數(shù)據(jù)必須是可搜索的,即“可搜索數(shù)據(jù)混淆”[9]。數(shù)據(jù)庫表中的數(shù)據(jù)標識（如監(jiān)測點Id 等）與時間數(shù)據(jù)通常會用于創(chuàng)建索引，因此在進行混淆時，一般不能改變其某種“相對”關(guān)系。對于時間來而言，查詢時一般需要進行大小比較，因此其“相對”關(guān)系為大小關(guān)系，即混淆算法不改變時間序列原本的大小排序，可將時間轉(zhuǎn)換為數(shù)字后進行二次映射。數(shù)據(jù)標識一般為1 個數(shù)字，通常在查詢時進行“相等”運算，因此其“相對”關(guān)系為混淆后值“固定”即可，此“固定”可以是1 個固定的數(shù)值，也可以是1 個固定的區(qū)間（作為主鍵時一般不能混淆為區(qū)間）。

3.2 數(shù)據(jù)加密

由于數(shù)據(jù)混淆的需要，在存儲結(jié)構(gòu)中除索引和校驗字段以外的所有數(shù)據(jù)都將合并到1 個數(shù)據(jù)字段中存儲，這本身即是一種數(shù)據(jù)混淆的手段，也為加密算法提供了更多的選擇，在選擇時只需考慮加密效率高的算法即可[10]。由于一些強度相對較高的算法，其效率相對較低（如DES 萬次解密需1.231 s，RSA 萬次解密需13.854 s）[4]，因此在實際應(yīng)用時，可選擇已有的算法，也可根據(jù)一些常用的加密算法原理自行設(shè)計算法。

3.3 數(shù)據(jù)校驗

數(shù)據(jù)校驗是識別數(shù)據(jù)是否被“置換”的重要手段。在使用“置換法”篡改數(shù)據(jù)時，通常是將正常數(shù)據(jù)中的部分內(nèi)容“移花接木”到報警數(shù)據(jù)中?；诖朔椒ù鄹牡臄?shù)據(jù)仍可正常解密，因此數(shù)據(jù)必須進行校驗。

數(shù)據(jù)的校驗，在通信領(lǐng)域應(yīng)用廣泛，其本質(zhì)是存儲時通過一種不可逆算法生成數(shù)據(jù)唯一標識，校驗時重新生成該標識并進行對比。常用的數(shù)據(jù)校驗的方法有累加和、CRC 等[11]，在實際應(yīng)用時可選擇一些成熟高效的算法進行，也可以自行設(shè)計。為提高效率和節(jié)省存儲空間，本方案采用“變異”累加和方式進行（“變異”的方式可自行設(shè)計），該方式在具有數(shù)據(jù)校驗?zāi)芰Φ幕A(chǔ)上有一定的加密能力，可進一步提高數(shù)據(jù)加密堅固程度?；凇白儺悺崩奂雍偷男ｒ灁?shù)據(jù)方法如圖2。

圖2 基于“變異”累加和的校驗數(shù)據(jù)方法Fig.2 Verification data method based on“variation” cumulative sum

圖2 “循環(huán)移位+異或”的“變異”累加和校驗數(shù)據(jù)計算方法中，“異或系數(shù)”與“循環(huán)移位n”可在系統(tǒng)初始化時隨機生成，并高強度加密（如采用RAS 加密）后保存到數(shù)據(jù)庫中；在進行數(shù)據(jù)校驗時，只需再次調(diào)用此方法生成校驗數(shù)據(jù)，與實際存儲的校驗數(shù)據(jù)比對即可判斷數(shù)據(jù)是否被篡改。

3.4 用戶管理外殼

如果數(shù)據(jù)篡改者掌握的數(shù)據(jù)庫權(quán)限過高，且具有較強的SQL 語句分析能力，使用關(guān)系數(shù)據(jù)庫事件分析工具（如SQL Server Profiler）跟蹤并分析執(zhí)行的SQL 語句，仍可實現(xiàn)數(shù)據(jù)的定位，從而進行數(shù)據(jù)刪除。因此數(shù)據(jù)庫權(quán)限的控制仍是防范關(guān)系數(shù)據(jù)庫中數(shù)據(jù)被篡改的關(guān)鍵之一。

對于數(shù)據(jù)庫訪問用戶的管理，業(yè)內(nèi)有一些研究,例如動態(tài)生成口令方法[12]。本方案提出的用戶管理外殼是指在關(guān)系數(shù)據(jù)庫系統(tǒng)（軟件）安全機制之上進行的用戶與密碼統(tǒng)一管理。此外殼接管所有需要人參與的用戶、密碼和權(quán)限分配，所有人員均不知曉較高權(quán)限的用戶名和密碼，可有效防止使用較高權(quán)限的用戶進入數(shù)據(jù)庫系統(tǒng)篡改數(shù)據(jù)。用戶管理與使用流程如圖3。

圖3 用戶管理與使用流程Fig.3 User management and usage process

如圖3，在系統(tǒng)進行初始化時向系統(tǒng)提供最高權(quán)限的用戶，此時系統(tǒng)將隨機創(chuàng)建1 個用戶Ux（用戶名、密碼均隨機）并將此用戶加密保存到數(shù)據(jù)庫中。之后使用Ux 登錄數(shù)據(jù)庫系統(tǒng)，創(chuàng)建系統(tǒng)內(nèi)置的固定不變的低權(quán)限用戶U0，并將除Ux、U0 以外的所有用戶全部刪除。初始化之后，所有數(shù)據(jù)庫的用戶將完全由用戶管理外殼程序接管。U0 用戶主要用在程序啟動時檢索數(shù)據(jù)庫中用戶表密文數(shù)據(jù)。固定不變是為了防止密碼丟失后無法進入數(shù)據(jù)庫系統(tǒng)。

在系統(tǒng)使用與維護期間，確需使用高權(quán)限用戶進入數(shù)據(jù)庫系統(tǒng)時，用戶管理外殼可按需創(chuàng)建臨時的用戶（新建的用戶權(quán)限有限，不能進行用戶創(chuàng)建、數(shù)據(jù)修改等操作），過期自動刪除，且在此期間做好日志記錄。

4 備份文件加密存儲與數(shù)據(jù)恢復(fù)

備份文件加密存儲是基于關(guān)系數(shù)據(jù)庫加密存儲的“雙保險”，當數(shù)據(jù)庫中的數(shù)據(jù)被篡改時可通過此加密的備份文件恢復(fù)。由于系統(tǒng)數(shù)據(jù)量大，在備份時可選擇有價值的數(shù)據(jù)，有條件的可全部存儲，存儲時也可選擇SQLite 等文件型數(shù)據(jù)庫[13]。文件加密存儲相對簡單（如圖1），可每小時保存1個文件，并定時進行加密轉(zhuǎn)存。由于加密的文件直接保存在計算機硬盤上時無法防止被刪除，因此可選擇NAS 存儲設(shè)備配套使用。未加密的文件可使用“統(tǒng)一數(shù)據(jù)訪問服務(wù)”獨占的形式鎖定，防止文件被實時修改。

鑒于文件數(shù)據(jù)的應(yīng)用場景，文件加密、解密對效率的要求不高（相對于數(shù)據(jù)庫），可選加密算法較多，可直接采用“5 號文”推薦的RSA 算法[2]。

數(shù)據(jù)恢復(fù)方面，當查詢數(shù)據(jù)時數(shù)據(jù)校驗無法通過，或是懷疑數(shù)據(jù)被刪除時，均可將加密的數(shù)據(jù)備份文件讀出進行比對和恢復(fù)。

5 結(jié) 語

1）針對當前常見的數(shù)據(jù)篡改手段，接合數(shù)據(jù)查詢需求，煤礦安全監(jiān)控系統(tǒng)數(shù)據(jù)加密存儲需要從數(shù)據(jù)訪問接口、數(shù)據(jù)加密與混淆存儲、數(shù)據(jù)校驗、數(shù)據(jù)訪問入口保護以及數(shù)據(jù)恢復(fù)等多方面考慮，形成系統(tǒng)性的數(shù)據(jù)加密存儲方案。

2）數(shù)據(jù)庫一直是數(shù)據(jù)防篡改的主戰(zhàn)場?？墒褂脭?shù)據(jù)加密算法與校驗防止修改；使用可搜索數(shù)據(jù)混淆技術(shù)防止數(shù)據(jù)被定位后刪除；使用用戶管理外殼防止高權(quán)限用戶進入數(shù)據(jù)庫；通過以上3點可實現(xiàn)防止非法進入數(shù)據(jù)庫、非法進入后數(shù)據(jù)被定位以及數(shù)據(jù)被定位后篡改等多重防護。

3）當企圖篡改數(shù)據(jù)的人員具有系統(tǒng)的最高權(quán)限時，無法絕對地防止數(shù)據(jù)被刪除。因此數(shù)據(jù)的備份存儲非常必要，特別是使用只有上級監(jiān)管部門才有限權(quán)刪除數(shù)據(jù)的NAS 存儲設(shè)備進行備份，可在數(shù)據(jù)被破壞時從中恢復(fù)關(guān)鍵數(shù)據(jù)。