挪威电子海图中心(ECC)
PRIMAR Security Scheme Outline
关键词:数字海图 数据加密 国际海道测量组织
PRIMAR是世界上第一个按照国际海道测量组织(IHO)全球电子航海图数据库(WEND)模块标准执行的区域性电子航海图(ENC)服务中心。 PRIMAR既可以根据官方ENC数据进行全天24小时全球范围在线更新服务,也可以以CDROM的形式提供数据。PRIMAR由英国海道测量局和挪威电子海图中心(ECC)共同负责。ECC是该区域性电子航海图(ENC)服务系统的开发和使用者,ECC使得PRIMAR能够顺利开展其全球性电子航海图数据服务。
1 PRIMAR加密方案的制定
PRIMAR是欧洲区域性电子航海图协调中心(RENC)与欧洲及世界各国海道测量局(HO)进行海图信息合作的纽带。目前PRIMAR可以全天候在线或以CD的方式在全球范围提供商业性官方电子航海图数据的点对点服务。
制定加密方案要涉及到与各种不同用户和部门的广泛接触和沟通。电子海图显示与信息系统(ECDIS)和电子海图系统(ECS)用户以及厂家/原设备制造商(OEM)对数字海图加密方案的基本要求如下:
● 该方案必须符合国际标准及行业标准;
● 该方案的设计应当还可用于支持其它类型的数字海道测量产品;
● 该方案应成为国际海道测量界的一个统一标准,全球均应照此执行;
● 该方案应便于实现、操作和安全管理。
2 加密方案的构造规则
加密方案采用了国际上认可的安全理念和标准,这些理念和标准被视为进行安全操作的最佳途径,要获得更多的有关加密方案方面的信息,可登陆ECC AS网站(www.ecc.as)。
2.1 数字验证
数字验证是用公用密匙鉴别使用单位身份的一种电子签字文件,其目的是防止他人冒用。如果提交了证明,接受者(或第三方)就可以验明属于某命名方的公用密匙。储存在数字验证中的该公用密匙可用来对数字签名进行识别。PRIMAR加密方案采用了CCITT X.509国际标准认证指南中的数字验证方法。
2.2 数字签字
识别即是对某特定信息进行证明和认定的过程。有时人们要对诸如原始文件、发送者的身份、发送时间、用户签字时间、用户身份等进行识别。数字签字是实现上述识别的一种编码方式。电子航海图(ENC)的数字签字采用了从数字验证中取得的国家海道测量局(HO)与区域性电子航海图协调中心(RENC)的私人与公用密匙结合方式,它将各电子海图产品和与其相应的国家海道测量局或区域性电子航海图协调中心进行属性与名称的关联。进行上述识别是为了不让黑客修改、伪造或复制ENC,确保使用者是经过国家海道测量局和区域性电子航海图协调中心授权的。加密方案采用的数字签字方式是根据FIPS Pub186国际数字签字标准制定的。每一份ENC文件均设有唯一的专门保护其原始文件的数字签字。
2.3 加密技术(防盗版保护)与选择性存取
而加密方案采用的密码算法则支持长达448字节的密匙长度,完全可以防止盗用。
加密方案仅对ENC文件(基本单元和更新数据)进行加密。每一份ENC文件(一个单元)均由不同的单元密匙进行加密。此外,不同版本的ENC也要用不同的单元密匙加密。同一个单元密匙可用来对该版本ENC的所有更新数据进行加密。
加密方案将对所有数据文件进行加密,既包括基本单元又包括更新文件。加密文件将与S57电子海图产品规范的相应规定相符合。选择性存取是指将某份大容量ENC文件储存在诸如CDROM等媒体上的可行性,一般只允许用户存取他所感兴趣的那些单元。不同的ENC文件需使用不同的密匙方可加密,而且该用户密匙仅可用于其指定的单元。
2.4 压缩
由于结构的关系,一份ENC文件含有信息的多种重复模式,如:坐标信息的较小变量。密码分析表明,含有重复模式的加密信息很容易被破获。在加密之前将信息进行压缩,可产生完全随机的内容并且可以消除重复模式。加密方案采用的是ZIP压缩方式,用户通过这种方式可大大压缩ENC文件所占用的空间。
2.5 用户权证
加密数据的任何一个官方用户均拥有预置在其系统中的独一无二的硬件标识(HWID),用户可能对此并不知道,不过用户系统的供应商将会向用户提供一个用户权证,该权证是由安全管理员提供的厂家/OEM密匙和标识的加密版本。用户向ENC服务机构提供其用户权证,服务机构将生成相应的海图权证,便于进行新信息的存取。
2.6 海图权证
每一个ENC单元均由数据生产者使用针对不同ENC单元的唯一的密匙进行数据加密,用户需要用这个密匙对数据解密。提供给用户的单元密匙是以海图权证的加密形式出现的。通过使用从用户权证获得的用户HWID,实现对该单元密匙的加密,这样就确保了只有相关的终端用户系统方可对海图权证进行解密。
3 加密方案的权限范围
加密方案的所有操作者均需向安全管理员申请厂家/原设备制造商(OEM)的密匙和标识(M-KEY和M-ID)。安全管理员掌握着所有有效的M-KEY和M-ID组合记录。ECC AS目前代表PRIMAR充当着欧洲区域性电子航海图协调中心安全管理员的角色。PRIMAR目前已接到来自参与协作的各国家海道测量局的未加密电子海图,作为提供电子海图服务工作的一部分,PRIMAR已代表这些国家免费对他们的电子海图进行了加密和签字。
4 加密方案使用现状
目前世界许多电子海图显示与信息系统(ECDIS)的厂家已经开始按照加密方案进行ECDIS的生产。有些ECDIS厂家已经通过使用加密方案和与PRIMAR进行在线联系,获得了ECDIS型号认证。有些地理信息系统(GIS)软件公司也开始关注PRIMAR,如果PRIMAR加密方案成为一项全球性的标准,那么需要将开发加密方案作为他们产品的一个组成部分来研制。
(朱津编译自PRIMAAR Official ENC Service-Security Scheme Outline) |
