1引言
电子海图是数字测绘产品的一个分支,由于历史沿革、数据积累与技术条件的差异,不同的国家具有不同的海洋测绘产品的出版、分发与服务模式。美国、加拿大、英国和挪威等国家,相继建立起与国际接轨的海洋测绘产品生产、分发和服务模式。目前,我国电子海图发行和管理模式主要以计划供应、临时供应和配发为主,即使用单位提出申请计划,业务部门审核,发行管理部门供给的模式。电子海图通过保密快件、专人运送和用户自取的方式发送。
数字安全保护机制是数字版权研究的重要内容,电子航海图(ENC)在交换和传输过程中的安全性和完整性涉及版权和航行安全,是数据提供商和数据用户共同关注的问题。海军司令部航海保证部作为IHB注册的数据服务商,已经开始面向全球发布生产的ENC数据,在数据提供的过程中必须考虑到数据加密的问题。本文通过对S-63电子海图数据保护方案的研究,实现了对ENC数据的国际标准体系加密、版权追踪、用户管理、相关信息统计等功能,满足了对ENC数据发行的全部要求,整体提升了电子海图数据发行、管理及服务保障能力。
2基于S-63的电子海图发行管理系统的设计与实现
本系统通过对IHOS-63电子海图数据保护方案的研究,以建立一套有效的安全的电子海图发行管理系统为出发点,突出实用性、安全可靠性及技术先进性;整个系统分为系统管理、海图数据加密生产、电子海图发行网站等三个主要模块。
2.1S-63电子海图数据保护方案
为了保证电子海图发布的权威性和真实性,2008年,IHO发布了电子海图数据保护方案(IHOS-63)。整个方案的参与者由数据提供商、设备制造商和数据用户构成了一个三级体系结构。三级体系结构的核心部分是设备制造商提供的数据保护系统,它是验证电子海图数据完整性和安全性的关键环节。数据用户和数据提供商之间通过用户权证(UserPermit)和海图单元权证(CellPermit)传递和管理密码,三者之间传递的主要信息及相互之间的关系见图1。数据用户从已经通过IHO注册认证的设备提供商处购买电子海图显示与信息系统(ECDIS)平台,并生成合法有效的用户权证。数据用户可以使用用户权证向多个正规的数据提供商购买不同的数据,数据提供商根据数据用户的购买请求,加密打包ENC数据,并配套生成相应的海图单元权证提供给用户,数据用户收到数据后在ECDIS平台上解密数据,获得ENC数据的使用权。
2.2系统管理模块
系统管理模块使用JAVA语言开发,运行环境为Linux操作系统与Glassfish应用服务器。本模块主要实现系统账户管理、用户订单管理、CellKeys管理等功能。
(1)系统账户管理:主要实现系统帐户的创建,修改、删除和权限设置。系统帐户权限分为以下三种类型。系统管理员:有权限进行系统管理操作;用户信息录入员:负责录入用户的综合信息,包括用户名称、地址等;订单录入员:负责为用户生成订单,录入船舶信息、用户权证、订购Cell列表、订购时间、支付方式等订单相关信息。
(2)用户订单管理:订单管理人员对订单的状态进行管理。订单录入后状态为PENDING,等待付款信息。确认支付后,订单管理人员将其状态设置为PAY。生产人员对状态为PAY的订单生成CellPermit,并通过Email或邮寄光盘的方式交付给用户,并将状态设置为DISPATCHED。用户如果在使用中遇到问题并反馈回来,需要将该订单状态设置为ISSUE,并在说明中对问题进行描述。技术人员根据问题描述协助用户解决问题,并在解决问题后将订单状态设置回DISPATCHED。订单到期后,将订单状态设置为CLOSED。
(3)CellKeys管理:CellKeys管理模块用于CellKey的管理,并与海图版本管理相对应。CellKeys是对ENC数据进行加密和解密的密钥,生产程序通过CellKey对每一个ENC数据加密。每一个Cell对应一个CellKey。CellKeys由数据加密生产模块生成,并通过安全加密手段导入到管理模块,用于为客户生成CellPermit。
2.3海图数据加密生产模块
数据用户向数据提供商提出购买请求后,数据提供商需要对提供给数据用户的ENC数据进行一系列的加密、压缩和数字签名流程,然后将生成的ENC数据、ENC数字签名文件、CellPermit和公钥文件一起发送给数据用户。
(1)密钥对及自签名文件生成:按照数据保护方案所规定的算法生成公钥和私钥文件,以及相关的自签名文件。所生成的私钥用于签名ENC数据文件,并结合方案管理中心签发的签名证书生成对应数据的签名文件。所生成的公钥用于用户的ECDIS设备验证ENC数据文件是否与其对应签名一致,及作为向方案管理中心申请数据服务商签名证书时的附件。所生成的自签名文件用于向方案管理中心申请数据服务商签名证书时的附件。
(2)数据的加密与校验:以ENC数据作为数据源,按照数据保护方案所规定的加密方法和流程进行加密,支持对基本图幅(BaseCell)和对应的更新文件(Update)的加密。加密所使用的图幅密钥(CellKey)和其相关版本信息,保存在独立的加密数据库文件中。加密更新文件时可选与BaseCell使用相同的CellKey,或生成新CellKey。加密过程中可选强制校验数据,以保证加密使用的CellKey可正确解密相关加密数据,校验程序可选择单独校验文件或目录。
(3)光盘封装功能:将准备发布的ENC加密数据,按照数据保护方案所规定生产流程,生成相关数据签名文件,并结合相关文件,形成可交付最终用户所使用的光盘。封装功能可选择单独封装独立文件或目录。封装功能可选在封装过程中强制校验,以保证生成的签名文件正确有效。
2.4电子海图发行网站
电子海图发行网站,是面向最终用户的电子海图发行网站。用户可以在线注册用户信息、船舶信息,获得海图发行的最新消息,实时下载最新的基于S-63的电子海图数据,并可以通过可视化选图、按航道选图等多种手段选购所需的海图。电子海图发行网站的订单数据、用户及船舶信息,在经核实后可以导入到电子海图发行管理系统,生成电子海图发行管理系统订单。电子海图发行网站界面见图2。
(1)海图订购:用户注册后,可以在线订购海图产品,并把已选购的海图加入到购物车。购物车向导引导用户填写必要的订购信息,提交后生成电子订单。该订单在经过审核确认后,导入电子海图发行管理系统,以便后继的收款、发货处理。
(2)选图工具:在线注册用户可以通过选图工具,选购所需的海图单元。网站提供两种方式的选图工具:在线Web选图工具和下载离线选图工具。基于Web的在线选图工具,海图目录相关信息由Web服务器动态生成,用户在使用购物车订购海图时,可以用该工具来选择需订购的海图目录信息,在线选图省略了下载安装的环节,更为便捷;离线客户端的选图工具,需要用户下载并安装才能使用。可用该工具生成预订购海图目录清单文件,随订购申请一同提交。离线客户端的选图工具能提供更好的用户选图体验。
(3)信息发布:电子海图发行网站发布最新图书消息,提供用户在线下载最新版本海图数据。在数据使用的有效期内定期为用户发送更新文件,保障用户的航行安全。
(4)用户管理:用户可以在电子海图网站注册用户信息、船舶信息。注册后的用户才可以通过购物车选择所需的海图单元,并提交订单。用户收到数据后,使用CellPermit解密压缩包,获得需要的ENC数据。
3结束语
在深入调研电子海图加密与发行管理现状、工作流程模式基础上,设计了基于的S-63加密电子海图发行管理系统,首次实现了电子海图数据加密、用户信息管理、订单管理与维护、电子海图产品封装制作等功能的整合与集成,全面完成了电子海图数据加密与发行管理体系的建设工作。S-63加密电子海图发行管理系统有效提高了数据发行管理效率,满足了ENC数据发行的全部要求,整体提升了电子海图数据发行、管理及服务保障能力。充分保证了发布数据的保密性、完整性及唯一可鉴别性,实现了电子海图数据发行的数字化和信息化管理。
