摘要:测绘地理信息数据共享工作的进一步深入以及国家新型基础测绘的转型发展,对测绘地理信息应用需求越来越旺盛,数据安全工作刻不容缓。本文对空间地理信息数据安全方案进行了研究,并将数字水印、数据加密和电子签章技术在南京测绘地理信息安全方面进行了应用实践。本文主要研究内容为:分布式网络环境下的系统架构、功能模块的组织构成、与其他业务系统的集成方案等,为数据版权保护、责任认定和事先控制提供了有效技术方法。
关键词:数字水印;数据加密;电子签章;数据安全与保密
1引言
当前测绘地理信息正处在转型升级发展期,测绘地理信息向新型基础测绘体系转型,一方面国土空间规划、自然资源调查以及智慧城市的发展都对测绘地理空间基础数据提出了更高的需求,同时测绘地理信息数据本身有其特殊的安全保密性要求。在做好保密工作的前提下,如何服务好社会经济建设是测绘地理信息行业迫切需要解决的问题[1]。随着信息化技术的不断发展,数据的获取变得更加容易,未经同意对原作品加以复制、修改、生产和再传输现象时有发生,严重侵害了数据使用者的权利,甚至会造成巨大的经济损失,对数据安全造成强烈的冲击。如何在数据协同设计和数据分发过程中保护数据所有者的权益和利益,避免数据遭受到非法复制、修改、传播等攻击成了亟须解决的问题[2,3]。空间地理信息数据使用的过程中存在多种安全隐患:①因工作人员个人疏忽、离职和恶意拷贝,造成数据外泄;②在修补测时,备份数据未能及时销毁;③数据使用单位随意复制拷贝和传播;④构建地理数据共享平台时,因计算机缓存文件或其他非法手段导致地理数据泄漏;⑤网络传输地理数据时,因黑客等原因,导致数据被窃取。本文利用数字水印、数据加密、电子签章等技术解决南京市空间地理信息数据在共享应用、规划审批中的数据安全问题进行研究,从而起到数据版权保护和数据事先防范控制的作用。
2政策性要求
20世纪70年代末到21世纪初是传统测绘体系向数字化测绘体系转换和跨越的发展阶段,在测绘数字化和信息化工作开展的过程中,积累了大量的数字化测绘地理信息成果[4],国家先后出台多个文件对测绘地理信息数据安全提出了明确的要求。《测绘管理工作国家秘密范围的规定》(国测办字[2003]17号)对基础测绘地理信息数据的保密范围进行了严格的规定;《国家测绘局关于加强涉密测绘成果管理工作的通知》(国测成字[2008]2号)、《中华人民共和国测绘法》等多项文件都要求做好测绘地理信息的数据安全保密工作。南京市规划和自然资源局作为全市测绘管理办公室的所在单位,负责全市的基础地形图、管线图动态更新和管理、国土空间规划的编制和规划审批等工作。在日常工作中,南京市规划和自然资源局对全市范围内数据免费提供,优化了全市营商环境。如何在上述工作中保证空间地理信息数据的安全保护,成为当前亟待解决的重要问题。目前南京市规划和自然资源局地理信息数据的获取和使用主要分为以下三类:①文件形式的共享:主要涉及局内工作人员、委托单位、下属事业单位、部委办局及其他单位通过申请,获取数据文件;②通过局内业务系统进行数据访问,在具体实现方式上主要以文件和缓存的方式存在;③通过“天地图•南京”、多规平台等访问到互联网的数据。按照国家保密规定要求,对外提供数据时,首先要签署保密协议,在法律上对用图单位提出(重申)了数据保密要求,此外还需辅以安全保密技术加强对数据的安全保护。在南京市规划和自然资源局数据共享应用的过程中,主要通过三种方式实现数据安全保护:①数字水印技术。主要针对局内、政府部委办局及公益数据的使用申请提供,是免费提供使用的,为宣示数据版权、泄密责任认定,采用数字水印技术进行数据版权的保护和责任追踪;②数字加密技术。主要针对外协测绘生产及规划设计等单位,实现人员的有限访问和使用,起到预先防范数据泄密的作用;③电子签章技术。针对电子报建过程中的文件资料的合法性和一致性进行检查,从数据权限控制、数据签章以及数据自动化比对三个方面对审批流程数据进行全方位的安全管控。
3技术支撑
3.1数字水印
数字水印技术是事后追究的代表性技术,它将包含数据版权、用户、时间等内容的信息按照数学规则嵌入到数据中,并使得水印信息与数据紧密结合为一体,从而实现数据的版权保护,并进而追根溯源[5]。数字水印技术的研究涉及信息学、密码学、数学、计算机科学、模式识别等多种学科的研究领域,使得隐藏的信息更具隐蔽性、安全性,同时还具有对称性和可纠错性,常见数字水印算法分为空域数字水印和频域变换的频域数字水印[6]。空域算法的优点就是算法的思路简单,实现便捷,缺点也十分明显,其数据信息容量小[7]。频域数字水印算法从数据中选取坐标点的坐标,并按一定的规则进行排序,然后进行频域变换,将水印嵌入到它们的变换系数中,在进行水印信息的嵌入操作,算法的思路和实现方面均较空域复杂,频域数字水印算法鲁棒性较好[8],主要有:基于离散余弦变换(DiscreteCosineTrans-form,DCT)的数字水印算法,基于傅立叶变换的数字水印算法,基于小波变换的数字水印算法等。本文采用的矢量数字水印采用基于定比分点和改进的LSB算法,改进的算法不是直接将水印信息转化为用于计算新顶点的定比,而是利用数字水印信息修改事先给定的任意比值,再利用这个比值计算新顶点的横纵坐标数据。在提取阶段只需要利用顶点坐标序列计算比值序列,并从比值序列对应的二进制序列固定的位置提取水印信息,该算法具有很强的隐藏性和鲁棒性。栅格水印方案采用了变换域和空域相结合的盲水印方案,基于图像自身的纹理特征,将图像分块进行小波变换,将文字水印信息编码成图像后量化到小波系数中。算法能根据不同子图的局部纹理亮度和复杂度,自适应调整嵌入水印的强度因子,有很好的不可见性和鲁棒性,能够抵御数字图像处理攻击。随着水印技术的发展,水印算法支持用户嵌入的信息长度有了极大的提高,但仍然存在一定限制。本系统采用随机编码技术解决上述问题,为每次水印信息的添加生成唯一的水印编码,编码对应数据单位名称、数据申请单位名称以及数据时间。根据水印编码,结合系统台账功能,可以准确查询出数据相关的水印信息。
3.2数据加密
数字加密技术运用密码学理论对数据进行加密,通过对用户的使用权限进行控制,从而起到事先防范控制、有限访问等目的。本文利用Windows文件操作原理实现对数据的加密,它工作于Windows底层,通过监控应用程序对文件的操作,实现数据的加解密。现有的CPU定义了4种特权级别:其中0级为特权级,3级是最低级(用户级)。常用的应用程序均运行在用户模式下,用户级程序需要通过API函数来访问内核级的代码,从而达到最终操作存储在各种介质上文件的目的。透明加密产品可分为两种:①钩子透明加密技术。Windows应用程序通过WindowsAPI函数对文件进行读写,同时Windows提供了一种叫钩子(Hook)的消息处理机制,通过Windows的钩子技术,监控应用程序对文件中的打开和保存,从而实现数据加密和解密的操作。②驱动透明加密技术。驱动加密技术基于Windows文件系统过滤驱动技术,工作在Windows内核层,通过文件系统驱动通过对文件操作的监听,进而实现数据的加密解密。透明加密技术一般可以采用以下要素评价,各要素的重要性依次排列:①可靠性和稳定性。可靠性就是要保证无论在任何情况下,被加密文件不能被损坏。②效率。采用透明加密软件后,用户在进行实际操作的时候,速度不能受到太大影响。③安全性。加密文件本身要保证安全,文件的明文不能被复制;数据交换方法的控制,其核心又包括涉密与非涉密应用之间的数据交换以及加密软件之间还能通过进行正常的数据交换;安全性的第三个方面体现在文件打开后要防止屏幕的拷贝;透明加密产品的解密要能够实现有限范围访问。④方便性。一方面是对于系统维护人员而言,加密产品在部署、配置、升级、维护等管理方面是否简单便捷;另一方面对于用户来说,加密和解密在操作上是否简单,实现了对用户透明。
3.3电子签章
电子签章技术的核心技术为电子签名技术,就是电子签名的一种表现形式。通过电子签名技术达到对电子数据的内容真实性和完整性以及签名人的不可否认性。电子签名应用于电子通信中,能达到证明电子数据当事人员的身份,并且证明当事人对电子数据内容的认可。电子签名和加密技术,电子签名技术的实现需要使用到非对称加密(RSA算法)和报文摘要(HASH算法)。电子签章系统拥有如下技术特性:①PKI(PublicKeyInfrastructure)技术,应用PKI数字安全认证体系,对文件进行签名盖章,确保文件来源真实、可信,可利用国际、国内众多CA产品;②批注技术,系统提供手写批注、文字批注和署名批注并行方式,让用户在签章同时,也能对文档内容进行手写批注或文字批注;③脱密签章技术,提供Word/Excel文档签章脱密保护功能,允许用户将文档中签章脱密保存,脱密成功后签章生成为黑色(有别于非正式红色签章),该操作为不可逆,从而便于将已经签章的文档分发给第三方,保护签章安全可靠。空间地理信息数据共享过程中要面对数据易被修改、数据比对工作效率低、数据缺少电子标识等问题,电子签章系统可实现空间地理信息数据的安全和跟踪管理[9,10]。空间地理信息审批数据的共享过程中,不允许编辑修改的部分被恶意修改后,电子签章将自动消失,不包含电子签章的数据无法进入下一个审批环节,电子签章一定程度上为审批的规范化提供了强有力的技术支撑。
4软件系统技术实现
4.1数字水印系统
网络版数字水印系统将数字水印技术与南京规划和自然资源局日常业务相结合,采用不同的实现方式整合到业务人员日常使用数据的各个环节(局办公系统、“天地图•南京”、多规系统等),融入南京市规划和自然资源局日常数据使用的各个方面,真正做到数据版权保护的无缝应用,通过网络将数字水印的服务提供给相关业务人员使用。系统采用C/S和B/S混合架构模式,系统在设计时充分考虑到利用客户端的计算资源,数字水印的嵌入和提取采用C/S模式进行开发,B/S端主要用于实现业务管理功能模块的研发。系统总体结构如图1所示,包括数据访问层、业务逻辑层和表示层,数据访问层提供数据库访问的接口,业务逻辑层包括网络数字水印服务和水印WebServices提供了基本的系统业务逻辑,表示层包括系统管理、在线客户端、离线客户端和基础地理信息保密检查软件。系统主要由系统管理端、在线客户端、离线客户端、数字水印API二次开发接口以及保密检查软件五大功能模块构成。①系统管理端提供系统的基本管理功能,包括组织机构管理、用户管理、系统设置、任务管理、日志管理等。②在线客户端提供矢量水印处理、影像水印处理及任务管理。③离线客户端提供离线网络环境下数字水印的处理功能。④数字水印二次开发接口,主要以服务的方式向其他系统提供数字水印功能服务。⑤保密检查软件,提供水印信心的检查功能,从而实现版权信息的追踪和事后测绘安全保密检查。网络数字水印系统(系统如图3所示)的建设,提供了分布式网络环境下在线数字水印服务,包括:针对传统以文件形式提供数据时的数字水印添加、相关业务系统调用水印服务以及配合保密检查需求的数字水印检查软件,从而实现了数字水印功能的业务全覆盖。
4.2数据加密系统
系统采用经典三层架构开发,系统结构如图4所示。分别由表示层、业务逻辑层和数据持久层组成。数据库和文件存储系统运行所需的数据;数据持久层提供统一的数据访问服务接口;业务逻辑层实现系统中各业务的具体处理逻辑,包括数据加密服务,并以WebServices提供数据加密加密接口,便于与业务系统集成;表示层为用户提供访问系统管理端、数据处理端,系统管理端用于管理系统功能和设置,数据处理端用于对数据进行加解密,数据加密或解密通过基于ActiveX技术开发的浏览器插件来完成。数据安全客户端使用基于Windows操作系统的透明加密技术开发而成,其核心处理方法是通过在应用软件启动过程中在驱动层和应用层中插入两个加密逻辑,使得磁盘上的数据文件始终以加密形态存储,数据使用时只需要有正确的授权即可正常使用。数据安全客户端通过检测许可状态对数据的权限做更精确的控制,客户端能够控制数据的使用期限、使用范围、打印控制、剪贴板控制和开关控制功能。系统模块划分按照功能将系统模块划分为五个功能模块,系统模块主要功能如图5所示,主要包括:①系统管理端,提供组织机构管理、用户管理、角色管理、密钥管理、许可管理、台账管理和系统管理功能;②数据处理端,基于任务模式对数据进行处理,提供许可管理,台账管理和使用单位管理功能;③网页加密插件,基于页面的数据加密和解密;④安全客户端,提供数据生产过程中加密保护,控制数据的使用时间期限和使用范围;⑤数据加密接口,提供基于动态链接库的加密与解密接口,提供基于WebServices的加密与解密API接口。网络数据加密系统(如图6所示),适应南京市规划和自然资源局的网络办公现状,实现了基于分布式网络环境下,数据的加解密,提供了有效事先控制模式的数据安全策略,主要服务于当前南京市规划和自然资源局的两大实际工作应用场景:①数据生产更新,有效控制了外协单位外发数据生产时的安全保密;②测绘成果对外提供,相比数字水印,提供了一种更为严格、安全的数据保密方案,进一步强化了数据的安全性。
4.3电子签章系统
电子签章系统采用图像处理技术和数字签名技术,为电子数据实现手写电子签名和加盖电子印章,并将该签章和文件通过数字签名技术绑定在一起,一旦被绑定的文档内容发生改变(非法篡改或传输错误),签章将失效。拥有印章钥匙盘并且有密码权限的用户才能在文件上加盖电子签章,从而保证电子数据防伪造、防篡改、防抵赖,安全可靠,系统支持PDF文档、Of-fice系列文档、Web网页、AutoCAD图纸等文件。电子签章系统由支持PKI技术并带CPU的硬件和支持各种应用的软件组成。硬件采用Key智能密码设备(通称智能密码钥匙盘),该设备是通过国家密码管理局技术鉴定获得商密产品型号的密码产品,该设备自带快速存储器和加密处理机制,用于存放单位或个人数字证书、用户所属标识和单位印章或个人签名信息,并进行硬件级签名运算,该设备通过USB接口与计算机相连,在使用时数字证书和签名印章等信息不会残留在内存或硬盘中,设备体积小,重量轻,携带方便。具有签章权限的用户,在成功安装部署水印防伪电子签章的终端,接入身份认证Key,即可开始对文档进行签章。电子签章过程中,系统实时检测用户身份信息,出现异常情况,所签章将为非法签章。电子签章系统采用经典三层架构开发,系统结构如图9所示。分别由表示层、业务逻辑层和数据持久层组成。数据库和文件存储系统运行所需的数据;数据持久层提供统一的数据访问服务接口;业务逻辑层实现系统中各业务的具体处理逻辑。电子签章系统主要由证书管理、签章管理、用户管理、签章授权、审计日志、系统管理和服务接口七大功能模块构成(如图10所示)。①证书管理实现根证书的管理,证书的绑定、校验和吊销。②签章管理模块实现签章的添加、删除、查询以及证书绑定。③用户管理实现用户的添加、删除、查询以及证书的绑定。④签章授权实现授权用户的管理、查看授权情况和对指定用户进行授权。⑤审计日志实现对用户的系统登录、修改进行登记,此外还包括用户日志和签章日志的管理,从而方便后续业务的实施。⑥系统管理主要实现系统的参数配置。⑦服务接口提供在线电子签章数据签署和核验服务接口,从而方便与其他业务系统的集成。南京市规划和自然资源局电子签章系统应用于日常电子审批业务中,与CA认证相结合确保了外发数据的唯一性、权威性,保证了数据的合法性,基于CAD客户端的电子签章系统如图11所示,此外系统还支持PDF、Word等环境。
5总结与展望
随着国家国土空间规划、新型基础测绘体系、天地图、多规合一建设等相关工作的开展,测绘地理信息数据共享和应用将进入一个崭新的时代,在服务好社会经济建设、做好基础测绘保障工作的同时,如何做好数据安全保密工作,是国家和行业密切关注的问题。数字水印、数据加密和电子签章技术的应用将从技术上起到数据安全保护、责任认定和事先控制的作用,从而为测绘地理信息数据安全和保密工作提供一种有效的解决方案。本文就三种技术在南京的初步应用实践进行了总结,随着规划和自然资源的进一步整合,如何在新形势下为测绘地理信息数据安全工作提供进一步的技术支撑,笔者认为还需在以下几个方面进一步开展相关工作:①加强数据管理,健全法律法规;②进一步研究相关的技术方案和手段,来提升数据安全保障的力度;③加强第三方认证,结合数字水印和CA认证技术,从而提供足够的法律支撑;④进一步加强与其他业务系统的集成,从而保证数据安全技术对业务的全覆盖。
作者:邓晓红 施海霞 胡祺 单位:南京市城市地下管线数字化管理中心 江苏省土地勘测规划院
