船岸一體信息加密與傳輸安全技術研究

◆張玉峰 任海英 何 曉 段懿洋 劉成明

船岸一體信息加密與傳輸安全技術研究

◆張玉峰 任海英 何 曉 段懿洋 劉成明

（中國船舶工業系統工程研究院 北京 100070）

作為信息系統的基礎和核心，如何克服信息加密與傳輸安全的困難，設計一套完整的船岸一體信息加密與傳輸安全體系，成了船岸信息系統需要解決的首要問題。本文首先概述了船岸一體信息傳輸的方式，論述了船岸一體信息傳輸的硬件實現措施，詳細探討了船岸一體信息加密與傳輸安全技術的實現。

船岸一體；信息加密；傳輸安全技術

隨著信息技術的發展，船岸一體信息生成數據的能力越來越強，傳統加密與傳輸技術越來越難以滿足數據管理的需求。當前很多遠洋運輸公司陸地人員與船舶基底進行日常通信主要使用C站報文系統，各地面站又陸續開通了數據通信業務，船岸之間己能進行大信息量的通信。不過多種多通信方式并存導致船舶報文和船舶郵件管理混亂，操作煩瑣，也導致信息加密與傳輸存在一定的安全性風險。傳統的信息安全都是基于軟件方式實現的，也就是在OSI模型中的應用層，這很容易受到軟件系統調試與破解等黑客行為。本文具體探討了船岸一體信息加密與傳輸安全技術的建立與實施，供相關讀者參考。

1 船岸一體信息傳輸的方式

當前很多遠洋運輸公司與陸地港口已建立專用網絡，實現了船岸間的計算機網絡連接。陸地人員可以通過局域網的網絡連接，使用IE瀏覽器對數據通信服務器進行訪問，然后由通信服務器通過Internet連接至地面站系統進行C站報文通信或Rydex系統進行郵件通信。其加密與傳輸方式主要為以下四種方法：

1.1 C站的端站到端站的點對點通信方式

點對點的通信方式即在船舶公司本部安裝一臺C端站，通過該C站實現端站對端站的點對點通信。由于是在Inmarsat單一通信系統通信，不涉及其他通信系統，因此系統的可靠性較高，通信時延較小。

1.2 通過電傳網與船舶通信的方式

此種通信方式要求岸上用戶必須安裝電傳機；岸上用戶需要安裝電傳機，費用很高且電傳線路的月租會也相對較高；由于與船舶通信的通信費用由兩部分組成，采用電傳通信時，陸地段的收費按國際線路收費標準，費用比較高。

1.3 通過Internet與船舶通信的方式

用戶可以利用海事衛星地面站提供的Internet業務實現與船舶的通信。用戶只要向地面站提出使用此項業務的申請，即可以使用該項業務。此種通信方式由于其使用方便，費用較便宜，且能滿足各種功能要求，目前已成為主要的通信方式。

1.4 通過公眾交換電話網（PsTN）或與船舶通信的方式

利用海事衛星地面站提供的二級接續業務與船舶通信，陸地線路按國內長途標準收費。此外采用二級接續業務后可以充分用地面站的海事衛星C系統提供給用戶的各項功能。

2 船岸一體信息傳輸的硬件實現

船岸一體信息傳輸系統利用C站對C站的點對點數據傳輸和北京海事衛星地面站提供的二級接續業務，實現船岸間C站文通信。C站終端是點對點通信中關鍵設備，設備選擇時應考慮以下因素：設備性能優良、工作可靠且備件充足；設備應該提供完備的用戶接口協議，只有這樣才能實現對C終端的有效控制；可實現電報碼和中文字符自動轉換。在服務器方面，通過C站和Internet接口，提供與海事衛星地面站的通信接口，接收和發送陸地計算機與船舶之間的各種報文，并將接收的信息經格式轉換后存入報文數據庫。存放系統使用的報文記錄數據，由于該服務器存放的數據是系統的核心，為了保證數據的可靠性及將來發展的需要，該服務器采用可以熱插拔的磁盤陣列，同時要配備磁帶機，定期對數據進行磁帶備份。系統通過遠程訪問服務器實現遠程數據傳輸和單機遠程連接，遠程用戶可以訪問本系統的數據，進行船位信息查詢等工作。

3 船岸一體信息加密與傳輸安全技術的實現

3.1 傳統信息加密方式

隨著計算機網絡的發展，信息媒體得到了廣泛發展。目前的以太信息加密技術中會涉及多種加密方式并存的情況，采用多種加密方式保證數據的安全性，具體措施為以下三種：

（1）端到端加密方式

端到端加密是為數據從本地主機一端傳送到目的主機另一端提供的加密方式。數據在發送端被加密，在最終目的地解密，中間節點處不以明文的形式出現。采用端到端的加密，實在網絡應用層實現的，數據在到達傳輸層之前會被加密，這樣傳輸層、網絡層以及鏈路層的信息都是未加密的，在經過中間節點設備時，相關的節點設備可以直接識別報文數據，進而進行路由和轉發。應用層的數據在中間傳輸節點處的信息一直是加密的，中間節點無法直接得到傳送的數據。而且在這種保密措施中只能認證節點，而無法認證用戶。而在端到端的加密中，由于報文只在發送端或者接收端處出現明文，通信兩端的形成一條虛擬的保密信道，每對終端需要共享密鑰。為了安全起見，需要每隔一段時間就更換密鑰，密鑰信息量太大。

（2）鏈路加密方式

鏈路加密是在網絡數據鏈路層進行加密。接收方是傳送路徑上的各節點設備，信息在每臺節點設備內都要被解密和再加密，依次進行，直至到達目的主機設備。這種加密處理方式是在數據鏈路層進行加密，鏈路層以上的工作層的信息都會被加密，包括網絡層的目的主機信息、原主機信息、路由信息、控制信息等在傳輸過程中都是保持加密的，而數據到達網絡節點處比如路由、交換機等節點設備，相應的設備無法識別和轉發信息幀，因此需要在這些節點設備處加裝額外的加解密裝置；信息接收完成后先對信息進行解密，然后在根據路由信息轉發數據，最后加密處理信息數據，往下一級節點設備發送數據，如此循環直到數據到達目的主機。

（3）節點加密方式

為了進一步解決數據在中間節點明文的缺點，可以在中間節點中安裝相應的加密和解密保護裝置，系統借助這一裝置使數據從一個密鑰向著另一個密鑰的傳輸和變換，這樣除了在相應的保護裝置中會出現明文以外，在節點內就不會出現明文的數據形式，進而極大地保護數據信息的安全。

3.2 船岸一體信息加密與傳輸安全技術的實現

為了實現更加安全的保護信息數據，船岸一體系統需要在充分研究以太網網絡協議后，針對傳輸層使用TCP和UDP協議的數據報文進行加密處理，其他非常規的協議在鏈路層處理的時候是直接轉發，不做加密處理；在數據鏈路層通過解析信息幀的報文，確定幀的類型、網絡層關鍵數據段、傳輸層報文頭等來確定傳輸層數據的起始，滿足條件的數據部分交給密碼算法模塊進行信息加密處理，不滿足的部分直接對數據進行轉發；信息在數據鏈路層的封裝發送采用標準的以太網絡協議。端到端的加密是在應用層進行的，這種加密方式只有在相互通信的雙方中進行加解密操作，在網絡設備中間節點處應用層的始終加密的。

對于加密幀封裝，在端到端加密中已有應用層的數據加密的，而傳輸層的報文首部都是未經加密的，在進過中間節點時，路由信息對節點是公開的，中間節點無法得知數據的明文內容，這種加密模式常見的有運用安全套接層（SSL）協議對網站的信息進行加密；節點加密的幀封裝就是以太網幀的數據部分都加密，只有幀頭部分不加密。

4 總結

鏈路加密使用比較容易，使用的密鑰較少，適用于涉密信息系統部署在同地且用戶眾多的環境；而端到端加密比較靈活，用戶可見，適用于涉密信息系統部署在異地且用戶甚少的環境。

[1]楊駿.基于擴頻通信技術的船岸數據遠傳系統的研究[D].江蘇科技大學，2016.

[2]侯愛霞，楊代強.船岸通信中數據傳輸方法研究[J].艦船科學技術，2016，38（06）：121-123.

[3]李晶晶，朱小剛.海信通—海上通信綜合應用解決方案[J].衛星應用，2015（11）：62-63.

[4]秦婧，張俊.智能航運船岸通信和網絡數據傳輸處理的設計[J].數字通信世界，2015（08）：35-38.

[5]趙春雷.基于3G網絡的船岸通信系統的設計與實現[J].電子設計工程，2014，22（18）：4-7.

[6]譚亮.國際海事衛星INMARSAT系統船岸數據通信研究[A].中國造船工程學會.2013年CAD/CAM學術交流會議論文集[C].中國造船工程學會，2013：6.

[7]金燕，楊鳳英.瀾滄江—湄公河海事船岸通信技術的應用和實驗[J].水運工程，2009（10）：70-74.