◆張玉峰 任海英 何 曉 段懿洋 劉成明

船岸一體信息加密與傳輸安全技術(shù)研究

◆張玉峰 任海英 何 曉 段懿洋 劉成明

（中國(guó)船舶工業(yè)系統(tǒng)工程研究院 北京 100070）

作為信息系統(tǒng)的基礎(chǔ)和核心，如何克服信息加密與傳輸安全的困難，設(shè)計(jì)一套完整的船岸一體信息加密與傳輸安全體系，成了船岸信息系統(tǒng)需要解決的首要問(wèn)題。本文首先概述了船岸一體信息傳輸?shù)姆绞?，論述了船岸一體信息傳輸?shù)挠布?shí)現(xiàn)措施，詳細(xì)探討了船岸一體信息加密與傳輸安全技術(shù)的實(shí)現(xiàn)。

船岸一體；信息加密；傳輸安全技術(shù)

隨著信息技術(shù)的發(fā)展，船岸一體信息生成數(shù)據(jù)的能力越來(lái)越強(qiáng)，傳統(tǒng)加密與傳輸技術(shù)越來(lái)越難以滿(mǎn)足數(shù)據(jù)管理的需求。當(dāng)前很多遠(yuǎn)洋運(yùn)輸公司陸地人員與船舶基底進(jìn)行日常通信主要使用C站報(bào)文系統(tǒng)，各地面站又陸續(xù)開(kāi)通了數(shù)據(jù)通信業(yè)務(wù)，船岸之間己能進(jìn)行大信息量的通信。不過(guò)多種多通信方式并存導(dǎo)致船舶報(bào)文和船舶郵件管理混亂，操作煩瑣，也導(dǎo)致信息加密與傳輸存在一定的安全性風(fēng)險(xiǎn)。傳統(tǒng)的信息安全都是基于軟件方式實(shí)現(xiàn)的，也就是在OSI模型中的應(yīng)用層，這很容易受到軟件系統(tǒng)調(diào)試與破解等黑客行為。本文具體探討了船岸一體信息加密與傳輸安全技術(shù)的建立與實(shí)施，供相關(guān)讀者參考。

1 船岸一體信息傳輸?shù)姆绞?/h2>

當(dāng)前很多遠(yuǎn)洋運(yùn)輸公司與陸地港口已建立專(zhuān)用網(wǎng)絡(luò)，實(shí)現(xiàn)了船岸間的計(jì)算機(jī)網(wǎng)絡(luò)連接。陸地人員可以通過(guò)局域網(wǎng)的網(wǎng)絡(luò)連接，使用IE瀏覽器對(duì)數(shù)據(jù)通信服務(wù)器進(jìn)行訪問(wèn)，然后由通信服務(wù)器通過(guò)Internet連接至地面站系統(tǒng)進(jìn)行C站報(bào)文通信或Rydex系統(tǒng)進(jìn)行郵件通信。其加密與傳輸方式主要為以下四種方法：

1.1 C站的端站到端站的點(diǎn)對(duì)點(diǎn)通信方式

點(diǎn)對(duì)點(diǎn)的通信方式即在船舶公司本部安裝一臺(tái)C端站，通過(guò)該C站實(shí)現(xiàn)端站對(duì)端站的點(diǎn)對(duì)點(diǎn)通信。由于是在Inmarsat單一通信系統(tǒng)通信，不涉及其他通信系統(tǒng)，因此系統(tǒng)的可靠性較高，通信時(shí)延較小。

1.2 通過(guò)電傳網(wǎng)與船舶通信的方式

此種通信方式要求岸上用戶(hù)必須安裝電傳機(jī)；岸上用戶(hù)需要安裝電傳機(jī)，費(fèi)用很高且電傳線路的月租會(huì)也相對(duì)較高；由于與船舶通信的通信費(fèi)用由兩部分組成，采用電傳通信時(shí)，陸地段的收費(fèi)按國(guó)際線路收費(fèi)標(biāo)準(zhǔn)，費(fèi)用比較高。

1.3 通過(guò)Internet與船舶通信的方式

用戶(hù)可以利用海事衛(wèi)星地面站提供的Internet業(yè)務(wù)實(shí)現(xiàn)與船舶的通信。用戶(hù)只要向地面站提出使用此項(xiàng)業(yè)務(wù)的申請(qǐng)，即可以使用該項(xiàng)業(yè)務(wù)。此種通信方式由于其使用方便，費(fèi)用較便宜，且能滿(mǎn)足各種功能要求，目前已成為主要的通信方式。

1.4 通過(guò)公眾交換電話(huà)網(wǎng)（PsTN）或與船舶通信的方式

利用海事衛(wèi)星地面站提供的二級(jí)接續(xù)業(yè)務(wù)與船舶通信，陸地線路按國(guó)內(nèi)長(zhǎng)途標(biāo)準(zhǔn)收費(fèi)。此外采用二級(jí)接續(xù)業(yè)務(wù)后可以充分用地面站的海事衛(wèi)星C系統(tǒng)提供給用戶(hù)的各項(xiàng)功能。

2 船岸一體信息傳輸?shù)挠布?shí)現(xiàn)

船岸一體信息傳輸系統(tǒng)利用C站對(duì)C站的點(diǎn)對(duì)點(diǎn)數(shù)據(jù)傳輸和北京海事衛(wèi)星地面站提供的二級(jí)接續(xù)業(yè)務(wù)，實(shí)現(xiàn)船岸間C站文通信。C站終端是點(diǎn)對(duì)點(diǎn)通信中關(guān)鍵設(shè)備，設(shè)備選擇時(shí)應(yīng)考慮以下因素：設(shè)備性能優(yōu)良、工作可靠且備件充足；設(shè)備應(yīng)該提供完備的用戶(hù)接口協(xié)議，只有這樣才能實(shí)現(xiàn)對(duì)C終端的有效控制；可實(shí)現(xiàn)電報(bào)碼和中文字符自動(dòng)轉(zhuǎn)換。在服務(wù)器方面，通過(guò)C站和Internet接口，提供與海事衛(wèi)星地面站的通信接口，接收和發(fā)送陸地計(jì)算機(jī)與船舶之間的各種報(bào)文，并將接收的信息經(jīng)格式轉(zhuǎn)換后存入報(bào)文數(shù)據(jù)庫(kù)。存放系統(tǒng)使用的報(bào)文記錄數(shù)據(jù)，由于該服務(wù)器存放的數(shù)據(jù)是系統(tǒng)的核心，為了保證數(shù)據(jù)的可靠性及將來(lái)發(fā)展的需要，該服務(wù)器采用可以熱插拔的磁盤(pán)陣列，同時(shí)要配備磁帶機(jī)，定期對(duì)數(shù)據(jù)進(jìn)行磁帶備份。系統(tǒng)通過(guò)遠(yuǎn)程訪問(wèn)服務(wù)器實(shí)現(xiàn)遠(yuǎn)程數(shù)據(jù)傳輸和單機(jī)遠(yuǎn)程連接，遠(yuǎn)程用戶(hù)可以訪問(wèn)本系統(tǒng)的數(shù)據(jù)，進(jìn)行船位信息查詢(xún)等工作。

3 船岸一體信息加密與傳輸安全技術(shù)的實(shí)現(xiàn)

3.1 傳統(tǒng)信息加密方式

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，信息媒體得到了廣泛發(fā)展。目前的以太信息加密技術(shù)中會(huì)涉及多種加密方式并存的情況，采用多種加密方式保證數(shù)據(jù)的安全性，具體措施為以下三種：

（1）端到端加密方式

端到端加密是為數(shù)據(jù)從本地主機(jī)一端傳送到目的主機(jī)另一端提供的加密方式。數(shù)據(jù)在發(fā)送端被加密，在最終目的地解密，中間節(jié)點(diǎn)處不以明文的形式出現(xiàn)。采用端到端的加密，實(shí)在網(wǎng)絡(luò)應(yīng)用層實(shí)現(xiàn)的，數(shù)據(jù)在到達(dá)傳輸層之前會(huì)被加密，這樣傳輸層、網(wǎng)絡(luò)層以及鏈路層的信息都是未加密的，在經(jīng)過(guò)中間節(jié)點(diǎn)設(shè)備時(shí)，相關(guān)的節(jié)點(diǎn)設(shè)備可以直接識(shí)別報(bào)文數(shù)據(jù)，進(jìn)而進(jìn)行路由和轉(zhuǎn)發(fā)。應(yīng)用層的數(shù)據(jù)在中間傳輸節(jié)點(diǎn)處的信息一直是加密的，中間節(jié)點(diǎn)無(wú)法直接得到傳送的數(shù)據(jù)。而且在這種保密措施中只能認(rèn)證節(jié)點(diǎn)，而無(wú)法認(rèn)證用戶(hù)。而在端到端的加密中，由于報(bào)文只在發(fā)送端或者接收端處出現(xiàn)明文，通信兩端的形成一條虛擬的保密信道，每對(duì)終端需要共享密鑰。為了安全起見(jiàn)，需要每隔一段時(shí)間就更換密鑰，密鑰信息量太大。

（2）鏈路加密方式

鏈路加密是在網(wǎng)絡(luò)數(shù)據(jù)鏈路層進(jìn)行加密。接收方是傳送路徑上的各節(jié)點(diǎn)設(shè)備，信息在每臺(tái)節(jié)點(diǎn)設(shè)備內(nèi)都要被解密和再加密，依次進(jìn)行，直至到達(dá)目的主機(jī)設(shè)備。這種加密處理方式是在數(shù)據(jù)鏈路層進(jìn)行加密，鏈路層以上的工作層的信息都會(huì)被加密，包括網(wǎng)絡(luò)層的目的主機(jī)信息、原主機(jī)信息、路由信息、控制信息等在傳輸過(guò)程中都是保持加密的，而數(shù)據(jù)到達(dá)網(wǎng)絡(luò)節(jié)點(diǎn)處比如路由、交換機(jī)等節(jié)點(diǎn)設(shè)備，相應(yīng)的設(shè)備無(wú)法識(shí)別和轉(zhuǎn)發(fā)信息幀，因此需要在這些節(jié)點(diǎn)設(shè)備處加裝額外的加解密裝置；信息接收完成后先對(duì)信息進(jìn)行解密，然后在根據(jù)路由信息轉(zhuǎn)發(fā)數(shù)據(jù)，最后加密處理信息數(shù)據(jù)，往下一級(jí)節(jié)點(diǎn)設(shè)備發(fā)送數(shù)據(jù)，如此循環(huán)直到數(shù)據(jù)到達(dá)目的主機(jī)。

（3）節(jié)點(diǎn)加密方式

為了進(jìn)一步解決數(shù)據(jù)在中間節(jié)點(diǎn)明文的缺點(diǎn)，可以在中間節(jié)點(diǎn)中安裝相應(yīng)的加密和解密保護(hù)裝置，系統(tǒng)借助這一裝置使數(shù)據(jù)從一個(gè)密鑰向著另一個(gè)密鑰的傳輸和變換，這樣除了在相應(yīng)的保護(hù)裝置中會(huì)出現(xiàn)明文以外，在節(jié)點(diǎn)內(nèi)就不會(huì)出現(xiàn)明文的數(shù)據(jù)形式，進(jìn)而極大地保護(hù)數(shù)據(jù)信息的安全。

3.2 船岸一體信息加密與傳輸安全技術(shù)的實(shí)現(xiàn)

為了實(shí)現(xiàn)更加安全的保護(hù)信息數(shù)據(jù)，船岸一體系統(tǒng)需要在充分研究以太網(wǎng)網(wǎng)絡(luò)協(xié)議后，針對(duì)傳輸層使用TCP和UDP協(xié)議的數(shù)據(jù)報(bào)文進(jìn)行加密處理，其他非常規(guī)的協(xié)議在鏈路層處理的時(shí)候是直接轉(zhuǎn)發(fā)，不做加密處理；在數(shù)據(jù)鏈路層通過(guò)解析信息幀的報(bào)文，確定幀的類(lèi)型、網(wǎng)絡(luò)層關(guān)鍵數(shù)據(jù)段、傳輸層報(bào)文頭等來(lái)確定傳輸層數(shù)據(jù)的起始，滿(mǎn)足條件的數(shù)據(jù)部分交給密碼算法模塊進(jìn)行信息加密處理，不滿(mǎn)足的部分直接對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)；信息在數(shù)據(jù)鏈路層的封裝發(fā)送采用標(biāo)準(zhǔn)的以太網(wǎng)絡(luò)協(xié)議。端到端的加密是在應(yīng)用層進(jìn)行的，這種加密方式只有在相互通信的雙方中進(jìn)行加解密操作，在網(wǎng)絡(luò)設(shè)備中間節(jié)點(diǎn)處應(yīng)用層的始終加密的。

對(duì)于加密幀封裝，在端到端加密中已有應(yīng)用層的數(shù)據(jù)加密的，而傳輸層的報(bào)文首部都是未經(jīng)加密的，在進(jìn)過(guò)中間節(jié)點(diǎn)時(shí)，路由信息對(duì)節(jié)點(diǎn)是公開(kāi)的，中間節(jié)點(diǎn)無(wú)法得知數(shù)據(jù)的明文內(nèi)容，這種加密模式常見(jiàn)的有運(yùn)用安全套接層（SSL）協(xié)議對(duì)網(wǎng)站的信息進(jìn)行加密；節(jié)點(diǎn)加密的幀封裝就是以太網(wǎng)幀的數(shù)據(jù)部分都加密，只有幀頭部分不加密。

4 總結(jié)

鏈路加密使用比較容易，使用的密鑰較少，適用于涉密信息系統(tǒng)部署在同地且用戶(hù)眾多的環(huán)境；而端到端加密比較靈活，用戶(hù)可見(jiàn)，適用于涉密信息系統(tǒng)部署在異地且用戶(hù)甚少的環(huán)境。

[1]楊駿.基于擴(kuò)頻通信技術(shù)的船岸數(shù)據(jù)遠(yuǎn)傳系統(tǒng)的研究[D].江蘇科技大學(xué)，2016.

[2]侯?lèi)?ài)霞，楊代強(qiáng).船岸通信中數(shù)據(jù)傳輸方法研究[J].艦船科學(xué)技術(shù)，2016，38（06）：121-123.

[3]李晶晶，朱小剛.海信通—海上通信綜合應(yīng)用解決方案[J].衛(wèi)星應(yīng)用，2015（11）：62-63.

[4]秦婧，張俊.智能航運(yùn)船岸通信和網(wǎng)絡(luò)數(shù)據(jù)傳輸處理的設(shè)計(jì)[J].數(shù)字通信世界，2015（08）：35-38.

[5]趙春雷.基于3G網(wǎng)絡(luò)的船岸通信系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].電子設(shè)計(jì)工程，2014，22（18）：4-7.

[6]譚亮.國(guó)際海事衛(wèi)星INMARSAT系統(tǒng)船岸數(shù)據(jù)通信研究[A].中國(guó)造船工程學(xué)會(huì).2013年CAD/CAM學(xué)術(shù)交流會(huì)議論文集[C].中國(guó)造船工程學(xué)會(huì)，2013：6.

[7]金燕，楊鳳英.瀾滄江—湄公河海事船岸通信技術(shù)的應(yīng)用和實(shí)驗(yàn)[J].水運(yùn)工程，2009（10）：70-74.