□ 梁　宵　耿　方　杜悦琨　航天信息股份有限公司

一种基于国产密码算法的粮食数据交换方案

□ 梁宵耿方杜悦琨航天信息股份有限公司

本文提出一种基于国产加密算法的粮食数据交换方案，该方案对接入平台双方交换数据的过程进行安全管理，通过密钥协商，双方调用加密设备计算获得一组对称密钥，双方以此对数据进行加解密，以保证交换过程中数据的安全性，完善农业信息检测体系，农资质量安全追溯体系等。

粮食PKI体系建设是我国农业转型互联网+的应用领域之一，借助互联网思维与相关技术，完善农业信息监测体系、农资质量安全追溯体系等，其中，涉农信息数据的互联共享和挖掘应用尤为重要。数据交换平台作为体系的基础支撑平台的基本功能组件，作用尤其突出。目前已建设完成，支持跨部门、跨层级数据共享交换。

研究背景

涉农信息数据的共享交换一直是农业信息化建设的重要内容。经过多年信息化建设，粮食行业已有大量的信息系统，承载重要的业务和数据，但还未形成行业性信息安全标准。在粮食信息化安全技术方面，多种原因使得粮食行业信息安全水平低于其他行业。随着农业信息化的不断推进，农业数据信息量已呈现爆炸式的增长，但目前的信息管理系统往往共享性较差，数据利用不充分；数据格式行业标准种类繁多，无法统一，挖掘数据的效率严重滞后；传统的w eb服务器提供的服务模式安全性较差，因此迫切需要建立粮食信息系统的数据交换平台，提高粮食数据的共享率和数据交换的安全性。

发展现状

功能描述

数据交换平台是一个利用统一方式，实现各系统间不同结构和格式的数据的相互转换，并由协调引擎（工作流引擎）根据服务流程的定义统一协调各部门业务系统间的数据传输和消息通信的服务集成中间平台。各应用系统与数据交换中心相连，通过数据交换中心实现数据共享。该连接方式可实现数据的无缝交换和共享访问，保证各业务系统的有效协同，同时又能保证各应用系统的相互独立性和低耦合性，从整体上提高系统运作效率和安全性。

平台特点

数据交换平台主要应用于异构系统间的信息交换，但在信息交换过程中，交换平台本身要解决的问题只是一小部分，它的本质是一个中间件，面向客户时屏蔽许多系统底层的信息，如网络的协议、数据的传输安全等。数据交换平台本身不具有业务处理功能，如无法自动从某个业务系统中直接获取数据信息，只能通过编程把数据从业务系统中提取出来，再送到数据交换平台。数据交换平台使开发过程中无需关注数据各式转换、消息的传输、数据路由等，只需关注与业务本身的数据处理部分。相对于其他应用系统，数据交换平台具有以下特点：①高度灵活性。灵活的系统架构可快速有效地响应业务逻辑的变化，操作人员可通过修改系统配置来满足来自系统内部和外部的需求变化；②可维护性。为以最小的代价满足业务的变化，系统使用了系统基础结构和应用服务的分离、自成体系的独立的业务组件、数据访问对象和业务对象的分离等方法。③优化性能。系统设计时，根据各种技术的不同特点进行筛选以提高性能。

功能描述

传统的数据交换往往基于XM L的W eb服务技术，可在现有的各种异构平台的基础上构筑一个通用、与平台、语言无关的技术层。各种不同平台上的应用依靠该技术层实现彼此的连接和集成，但随之而来的XM L数据处理的安全问题便成为当前数据交换应用中的瓶颈。数据交换平台在运行过程中存在诸多安全隐患，如篡改数据、恶意修改数据、修改两台交换计算机通过开放式网络传输的XM L数据信息、交换中的敏感、机密数据被未授权的实体截获等。

方案设计

针对目前数据交换过程中的低效率、高风险、格式混乱的情况，本文提出一种基于国产密码算法的粮食数据交换优化方案，其核心思想包括以下三点。

（1）针对数据交换请求的发起方和接收方，在发送数据前，通信的双方通过密钥协商产生一对对称密钥，该密钥基于支持SM 2国产加密算法的加密设备产生，安全性更高，在发送数据前，数据经密钥加密，接收方收到密文数据入库前再解密密文，一次会话结束后，通信双方销毁各自密钥，进一步保证数据交换过程中数据的安全性。

以本发明中基于国产SM 2加密的数据交换提交过程进行详细说明。实施方式如下：①数据发送方调用支持SM 2国产加密算法的加密设备，计算获得相关参数；②数据发送方将计算获得的参数，通过Internet网络发送给数据接收方；③数据接收方获得请求参数后，调用支持SM 2国产加密算法的加密设备，计算相关参数并算出密钥后，保存至本地；④数据接收方将计算获得的参数，通过Internet网络发送给数据发送方；⑤数据发送方获得响应参数后，调用支持SM 2国产加密算法的加密设备，计算获得密钥，该密钥与数据接收方本地保存的密钥为对称密钥；⑥数据发送方用计算获得的密钥加密需要传输的明文数据；

⑦数据接收方用本地保存的密钥解密密文信息；⑧数据接收方将解密的数据写入本地数据库；⑨会话结束后，双方删除各自的密钥，当下次发起会话时，再生成密钥对进行数据的加解密。信息交互方式如图1所示。

图1　信息交互示意图

图2　数据交换平台功能示意图

图3　平台示意图

（2）各系统间通过统一的数据交换接口（适配器）连接到平台上，如图2所示，避免了因各系统间的数据不一致导致的效率低下，平台统一抽取和推送数据，大大提高了数据共享率。

（3）从平台体系架构来看，本数据交换平台部署在部级的农业数据中心、国家粮食流通数据中心和农业科技数据分中心及30多个省级的农业数据中心和粮食流通数据中心形成了由各个数据交换平台节点组建的数据交换网络，如图3所示。节点间的数据传输工作可基于数据交换平台实现，同时支持部级数据中心农业信息的下发和省级农业信息的上交汇总，促进涉农信息数据双向高效流转。

结语

本文主要是提出一种基于SM 2加密的粮食数据交换平台的设计与应用，陈述安全加密交换模型结构及主要功能模块的设计，并对实现技术进行描述。采用SM 2国产加密算法在数据交换平台中安全性较高。此外，SM 2算法既可用于数据加密，也可用于数字签名。因此，SM 2国产加密算法在数据交换领域呈现出越来越重要的作用。同时，相较于RSA加密算法的速度缺陷，SM 2算法在对实时性要求较高的数据交换平台的应用中优势更加明显。此外，本数据交换平台还具有高可靠、高效率、高可用、可扩展、易管理等特点，可提供流量控制、优先级别控制、断点续传、消息生命周期管理、同步/异步传输等丰富的功能，使涉农数据传输体系更加完善，为各业务系统甚至是后续其他外部系统进行数据整合应用提供可靠的保障。

国家粮食局公益性行业科研专项经费项目，粮食安全信息化保障体系与技术研究（编号：201413001）。