◆張玉峰 任海英 何 曉 段懿洋 劉成明

船岸一體信息加密與傳輸安全技術(shù)研究

◆張玉峰 任海英 何 曉 段懿洋 劉成明

（中國船舶工業(yè)系統(tǒng)工程研究院 北京 100070）

作為信息系統(tǒng)的基礎(chǔ)和核心，如何克服信息加密與傳輸安全的困難，設(shè)計一套完整的船岸一體信息加密與傳輸安全體系，成了船岸信息系統(tǒng)需要解決的首要問題。本文首先概述了船岸一體信息傳輸?shù)姆绞?，論述了船岸一體信息傳輸?shù)挠布崿F(xiàn)措施，詳細探討了船岸一體信息加密與傳輸安全技術(shù)的實現(xiàn)。

船岸一體；信息加密；傳輸安全技術(shù)

隨著信息技術(shù)的發(fā)展，船岸一體信息生成數(shù)據(jù)的能力越來越強，傳統(tǒng)加密與傳輸技術(shù)越來越難以滿足數(shù)據(jù)管理的需求。當前很多遠洋運輸公司陸地人員與船舶基底進行日常通信主要使用C站報文系統(tǒng)，各地面站又陸續(xù)開通了數(shù)據(jù)通信業(yè)務(wù)，船岸之間己能進行大信息量的通信。不過多種多通信方式并存導(dǎo)致船舶報文和船舶郵件管理混亂，操作煩瑣，也導(dǎo)致信息加密與傳輸存在一定的安全性風險。傳統(tǒng)的信息安全都是基于軟件方式實現(xiàn)的，也就是在OSI模型中的應(yīng)用層，這很容易受到軟件系統(tǒng)調(diào)試與破解等黑客行為。本文具體探討了船岸一體信息加密與傳輸安全技術(shù)的建立與實施，供相關(guān)讀者參考。

1 船岸一體信息傳輸?shù)姆绞?/h2>

當前很多遠洋運輸公司與陸地港口已建立專用網(wǎng)絡(luò)，實現(xiàn)了船岸間的計算機網(wǎng)絡(luò)連接。陸地人員可以通過局域網(wǎng)的網(wǎng)絡(luò)連接，使用IE瀏覽器對數(shù)據(jù)通信服務(wù)器進行訪問，然后由通信服務(wù)器通過Internet連接至地面站系統(tǒng)進行C站報文通信或Rydex系統(tǒng)進行郵件通信。其加密與傳輸方式主要為以下四種方法：

1.1 C站的端站到端站的點對點通信方式

點對點的通信方式即在船舶公司本部安裝一臺C端站，通過該C站實現(xiàn)端站對端站的點對點通信。由于是在Inmarsat單一通信系統(tǒng)通信，不涉及其他通信系統(tǒng)，因此系統(tǒng)的可靠性較高，通信時延較小。

1.2 通過電傳網(wǎng)與船舶通信的方式

此種通信方式要求岸上用戶必須安裝電傳機；岸上用戶需要安裝電傳機，費用很高且電傳線路的月租會也相對較高；由于與船舶通信的通信費用由兩部分組成，采用電傳通信時，陸地段的收費按國際線路收費標準，費用比較高。

1.3 通過Internet與船舶通信的方式

用戶可以利用海事衛(wèi)星地面站提供的Internet業(yè)務(wù)實現(xiàn)與船舶的通信。用戶只要向地面站提出使用此項業(yè)務(wù)的申請，即可以使用該項業(yè)務(wù)。此種通信方式由于其使用方便，費用較便宜，且能滿足各種功能要求，目前已成為主要的通信方式。

1.4 通過公眾交換電話網(wǎng)（PsTN）或與船舶通信的方式

利用海事衛(wèi)星地面站提供的二級接續(xù)業(yè)務(wù)與船舶通信，陸地線路按國內(nèi)長途標準收費。此外采用二級接續(xù)業(yè)務(wù)后可以充分用地面站的海事衛(wèi)星C系統(tǒng)提供給用戶的各項功能。

2 船岸一體信息傳輸?shù)挠布崿F(xiàn)

船岸一體信息傳輸系統(tǒng)利用C站對C站的點對點數(shù)據(jù)傳輸和北京海事衛(wèi)星地面站提供的二級接續(xù)業(yè)務(wù)，實現(xiàn)船岸間C站文通信。C站終端是點對點通信中關(guān)鍵設(shè)備，設(shè)備選擇時應(yīng)考慮以下因素：設(shè)備性能優(yōu)良、工作可靠且備件充足；設(shè)備應(yīng)該提供完備的用戶接口協(xié)議，只有這樣才能實現(xiàn)對C終端的有效控制；可實現(xiàn)電報碼和中文字符自動轉(zhuǎn)換。在服務(wù)器方面，通過C站和Internet接口，提供與海事衛(wèi)星地面站的通信接口，接收和發(fā)送陸地計算機與船舶之間的各種報文，并將接收的信息經(jīng)格式轉(zhuǎn)換后存入報文數(shù)據(jù)庫。存放系統(tǒng)使用的報文記錄數(shù)據(jù)，由于該服務(wù)器存放的數(shù)據(jù)是系統(tǒng)的核心，為了保證數(shù)據(jù)的可靠性及將來發(fā)展的需要，該服務(wù)器采用可以熱插拔的磁盤陣列，同時要配備磁帶機，定期對數(shù)據(jù)進行磁帶備份。系統(tǒng)通過遠程訪問服務(wù)器實現(xiàn)遠程數(shù)據(jù)傳輸和單機遠程連接，遠程用戶可以訪問本系統(tǒng)的數(shù)據(jù)，進行船位信息查詢等工作。

3 船岸一體信息加密與傳輸安全技術(shù)的實現(xiàn)

3.1 傳統(tǒng)信息加密方式

隨著計算機網(wǎng)絡(luò)的發(fā)展，信息媒體得到了廣泛發(fā)展。目前的以太信息加密技術(shù)中會涉及多種加密方式并存的情況，采用多種加密方式保證數(shù)據(jù)的安全性，具體措施為以下三種：

（1）端到端加密方式

端到端加密是為數(shù)據(jù)從本地主機一端傳送到目的主機另一端提供的加密方式。數(shù)據(jù)在發(fā)送端被加密，在最終目的地解密，中間節(jié)點處不以明文的形式出現(xiàn)。采用端到端的加密，實在網(wǎng)絡(luò)應(yīng)用層實現(xiàn)的，數(shù)據(jù)在到達傳輸層之前會被加密，這樣傳輸層、網(wǎng)絡(luò)層以及鏈路層的信息都是未加密的，在經(jīng)過中間節(jié)點設(shè)備時，相關(guān)的節(jié)點設(shè)備可以直接識別報文數(shù)據(jù)，進而進行路由和轉(zhuǎn)發(fā)。應(yīng)用層的數(shù)據(jù)在中間傳輸節(jié)點處的信息一直是加密的，中間節(jié)點無法直接得到傳送的數(shù)據(jù)。而且在這種保密措施中只能認證節(jié)點，而無法認證用戶。而在端到端的加密中，由于報文只在發(fā)送端或者接收端處出現(xiàn)明文，通信兩端的形成一條虛擬的保密信道，每對終端需要共享密鑰。為了安全起見，需要每隔一段時間就更換密鑰，密鑰信息量太大。

（2）鏈路加密方式

鏈路加密是在網(wǎng)絡(luò)數(shù)據(jù)鏈路層進行加密。接收方是傳送路徑上的各節(jié)點設(shè)備，信息在每臺節(jié)點設(shè)備內(nèi)都要被解密和再加密，依次進行，直至到達目的主機設(shè)備。這種加密處理方式是在數(shù)據(jù)鏈路層進行加密，鏈路層以上的工作層的信息都會被加密，包括網(wǎng)絡(luò)層的目的主機信息、原主機信息、路由信息、控制信息等在傳輸過程中都是保持加密的，而數(shù)據(jù)到達網(wǎng)絡(luò)節(jié)點處比如路由、交換機等節(jié)點設(shè)備，相應(yīng)的設(shè)備無法識別和轉(zhuǎn)發(fā)信息幀，因此需要在這些節(jié)點設(shè)備處加裝額外的加解密裝置；信息接收完成后先對信息進行解密，然后在根據(jù)路由信息轉(zhuǎn)發(fā)數(shù)據(jù)，最后加密處理信息數(shù)據(jù)，往下一級節(jié)點設(shè)備發(fā)送數(shù)據(jù)，如此循環(huán)直到數(shù)據(jù)到達目的主機。

（3）節(jié)點加密方式

為了進一步解決數(shù)據(jù)在中間節(jié)點明文的缺點，可以在中間節(jié)點中安裝相應(yīng)的加密和解密保護裝置，系統(tǒng)借助這一裝置使數(shù)據(jù)從一個密鑰向著另一個密鑰的傳輸和變換，這樣除了在相應(yīng)的保護裝置中會出現(xiàn)明文以外，在節(jié)點內(nèi)就不會出現(xiàn)明文的數(shù)據(jù)形式，進而極大地保護數(shù)據(jù)信息的安全。

3.2 船岸一體信息加密與傳輸安全技術(shù)的實現(xiàn)

為了實現(xiàn)更加安全的保護信息數(shù)據(jù)，船岸一體系統(tǒng)需要在充分研究以太網(wǎng)網(wǎng)絡(luò)協(xié)議后，針對傳輸層使用TCP和UDP協(xié)議的數(shù)據(jù)報文進行加密處理，其他非常規(guī)的協(xié)議在鏈路層處理的時候是直接轉(zhuǎn)發(fā)，不做加密處理；在數(shù)據(jù)鏈路層通過解析信息幀的報文，確定幀的類型、網(wǎng)絡(luò)層關(guān)鍵數(shù)據(jù)段、傳輸層報文頭等來確定傳輸層數(shù)據(jù)的起始，滿足條件的數(shù)據(jù)部分交給密碼算法模塊進行信息加密處理，不滿足的部分直接對數(shù)據(jù)進行轉(zhuǎn)發(fā)；信息在數(shù)據(jù)鏈路層的封裝發(fā)送采用標準的以太網(wǎng)絡(luò)協(xié)議。端到端的加密是在應(yīng)用層進行的，這種加密方式只有在相互通信的雙方中進行加解密操作，在網(wǎng)絡(luò)設(shè)備中間節(jié)點處應(yīng)用層的始終加密的。

對于加密幀封裝，在端到端加密中已有應(yīng)用層的數(shù)據(jù)加密的，而傳輸層的報文首部都是未經(jīng)加密的，在進過中間節(jié)點時，路由信息對節(jié)點是公開的，中間節(jié)點無法得知數(shù)據(jù)的明文內(nèi)容，這種加密模式常見的有運用安全套接層（SSL）協(xié)議對網(wǎng)站的信息進行加密；節(jié)點加密的幀封裝就是以太網(wǎng)幀的數(shù)據(jù)部分都加密，只有幀頭部分不加密。

4 總結(jié)

鏈路加密使用比較容易，使用的密鑰較少，適用于涉密信息系統(tǒng)部署在同地且用戶眾多的環(huán)境；而端到端加密比較靈活，用戶可見，適用于涉密信息系統(tǒng)部署在異地且用戶甚少的環(huán)境。

[1]楊駿.基于擴頻通信技術(shù)的船岸數(shù)據(jù)遠傳系統(tǒng)的研究[D].江蘇科技大學(xué)，2016.

[2]侯愛霞，楊代強.船岸通信中數(shù)據(jù)傳輸方法研究[J].艦船科學(xué)技術(shù)，2016，38（06）：121-123.

[3]李晶晶，朱小剛.海信通—海上通信綜合應(yīng)用解決方案[J].衛(wèi)星應(yīng)用，2015（11）：62-63.

[4]秦婧，張俊.智能航運船岸通信和網(wǎng)絡(luò)數(shù)據(jù)傳輸處理的設(shè)計[J].數(shù)字通信世界，2015（08）：35-38.

[5]趙春雷.基于3G網(wǎng)絡(luò)的船岸通信系統(tǒng)的設(shè)計與實現(xiàn)[J].電子設(shè)計工程，2014，22（18）：4-7.

[6]譚亮.國際海事衛(wèi)星INMARSAT系統(tǒng)船岸數(shù)據(jù)通信研究[A].中國造船工程學(xué)會.2013年CAD/CAM學(xué)術(shù)交流會議論文集[C].中國造船工程學(xué)會，2013：6.

[7]金燕，楊鳳英.瀾滄江—湄公河海事船岸通信技術(shù)的應(yīng)用和實驗[J].水運工程，2009（10）：70-74.