船岸一体信息加密与传输安全技术研究

◆张玉峰 任海英 何 晓 段懿洋 刘成明

船岸一体信息加密与传输安全技术研究

◆张玉峰 任海英 何 晓 段懿洋 刘成明

（中国船舶工业系统工程研究院 北京 100070）

作为信息系统的基础和核心，如何克服信息加密与传输安全的困难，设计一套完整的船岸一体信息加密与传输安全体系，成了船岸信息系统需要解决的首要问题。本文首先概述了船岸一体信息传输的方式，论述了船岸一体信息传输的硬件实现措施，详细探讨了船岸一体信息加密与传输安全技术的实现。

船岸一体；信息加密；传输安全技术

随着信息技术的发展，船岸一体信息生成数据的能力越来越强，传统加密与传输技术越来越难以满足数据管理的需求。当前很多远洋运输公司陆地人员与船舶基底进行日常通信主要使用C站报文系统，各地面站又陆续开通了数据通信业务，船岸之间己能进行大信息量的通信。不过多种多通信方式并存导致船舶报文和船舶邮件管理混乱，操作烦琐，也导致信息加密与传输存在一定的安全性风险。传统的信息安全都是基于软件方式实现的，也就是在OSI模型中的应用层，这很容易受到软件系统调试与破解等黑客行为。本文具体探讨了船岸一体信息加密与传输安全技术的建立与实施，供相关读者参考。

1 船岸一体信息传输的方式

当前很多远洋运输公司与陆地港口已建立专用网络，实现了船岸间的计算机网络连接。陆地人员可以通过局域网的网络连接，使用IE浏览器对数据通信服务器进行访问，然后由通信服务器通过Internet连接至地面站系统进行C站报文通信或Rydex系统进行邮件通信。其加密与传输方式主要为以下四种方法：

1.1 C站的端站到端站的点对点通信方式

点对点的通信方式即在船舶公司本部安装一台C端站，通过该C站实现端站对端站的点对点通信。由于是在Inmarsat单一通信系统通信，不涉及其他通信系统，因此系统的可靠性较高，通信时延较小。

1.2 通过电传网与船舶通信的方式

此种通信方式要求岸上用户必须安装电传机；岸上用户需要安装电传机，费用很高且电传线路的月租会也相对较高；由于与船舶通信的通信费用由两部分组成，采用电传通信时，陆地段的收费按国际线路收费标准，费用比较高。

1.3 通过Internet与船舶通信的方式

用户可以利用海事卫星地面站提供的Internet业务实现与船舶的通信。用户只要向地面站提出使用此项业务的申请，即可以使用该项业务。此种通信方式由于其使用方便，费用较便宜，且能满足各种功能要求，目前已成为主要的通信方式。

1.4 通过公众交换电话网（PsTN）或与船舶通信的方式

利用海事卫星地面站提供的二级接续业务与船舶通信，陆地线路按国内长途标准收费。此外采用二级接续业务后可以充分用地面站的海事卫星C系统提供给用户的各项功能。

2 船岸一体信息传输的硬件实现

船岸一体信息传输系统利用C站对C站的点对点数据传输和北京海事卫星地面站提供的二级接续业务，实现船岸间C站文通信。C站终端是点对点通信中关键设备，设备选择时应考虑以下因素：设备性能优良、工作可靠且备件充足；设备应该提供完备的用户接口协议，只有这样才能实现对C终端的有效控制；可实现电报码和中文字符自动转换。在服务器方面，通过C站和Internet接口，提供与海事卫星地面站的通信接口，接收和发送陆地计算机与船舶之间的各种报文，并将接收的信息经格式转换后存入报文数据库。存放系统使用的报文记录数据，由于该服务器存放的数据是系统的核心，为了保证数据的可靠性及将来发展的需要，该服务器采用可以热插拔的磁盘阵列，同时要配备磁带机，定期对数据进行磁带备份。系统通过远程访问服务器实现远程数据传输和单机远程连接，远程用户可以访问本系统的数据，进行船位信息查询等工作。

3 船岸一体信息加密与传输安全技术的实现

3.1 传统信息加密方式

随着计算机网络的发展，信息媒体得到了广泛发展。目前的以太信息加密技术中会涉及多种加密方式并存的情况，采用多种加密方式保证数据的安全性，具体措施为以下三种：

（1）端到端加密方式

端到端加密是为数据从本地主机一端传送到目的主机另一端提供的加密方式。数据在发送端被加密，在最终目的地解密，中间节点处不以明文的形式出现。采用端到端的加密，实在网络应用层实现的，数据在到达传输层之前会被加密，这样传输层、网络层以及链路层的信息都是未加密的，在经过中间节点设备时，相关的节点设备可以直接识别报文数据，进而进行路由和转发。应用层的数据在中间传输节点处的信息一直是加密的，中间节点无法直接得到传送的数据。而且在这种保密措施中只能认证节点，而无法认证用户。而在端到端的加密中，由于报文只在发送端或者接收端处出现明文，通信两端的形成一条虚拟的保密信道，每对终端需要共享密钥。为了安全起见，需要每隔一段时间就更换密钥，密钥信息量太大。

（2）链路加密方式

链路加密是在网络数据链路层进行加密。接收方是传送路径上的各节点设备，信息在每台节点设备内都要被解密和再加密，依次进行，直至到达目的主机设备。这种加密处理方式是在数据链路层进行加密，链路层以上的工作层的信息都会被加密，包括网络层的目的主机信息、原主机信息、路由信息、控制信息等在传输过程中都是保持加密的，而数据到达网络节点处比如路由、交换机等节点设备，相应的设备无法识别和转发信息帧，因此需要在这些节点设备处加装额外的加解密装置；信息接收完成后先对信息进行解密，然后在根据路由信息转发数据，最后加密处理信息数据，往下一级节点设备发送数据，如此循环直到数据到达目的主机。

（3）节点加密方式

为了进一步解决数据在中间节点明文的缺点，可以在中间节点中安装相应的加密和解密保护装置，系统借助这一装置使数据从一个密钥向着另一个密钥的传输和变换，这样除了在相应的保护装置中会出现明文以外，在节点内就不会出现明文的数据形式，进而极大地保护数据信息的安全。

3.2 船岸一体信息加密与传输安全技术的实现

为了实现更加安全的保护信息数据，船岸一体系统需要在充分研究以太网网络协议后，针对传输层使用TCP和UDP协议的数据报文进行加密处理，其他非常规的协议在链路层处理的时候是直接转发，不做加密处理；在数据链路层通过解析信息帧的报文，确定帧的类型、网络层关键数据段、传输层报文头等来确定传输层数据的起始，满足条件的数据部分交给密码算法模块进行信息加密处理，不满足的部分直接对数据进行转发；信息在数据链路层的封装发送采用标准的以太网络协议。端到端的加密是在应用层进行的，这种加密方式只有在相互通信的双方中进行加解密操作，在网络设备中间节点处应用层的始终加密的。

对于加密帧封装，在端到端加密中已有应用层的数据加密的，而传输层的报文首部都是未经加密的，在进过中间节点时，路由信息对节点是公开的，中间节点无法得知数据的明文内容，这种加密模式常见的有运用安全套接层（SSL）协议对网站的信息进行加密；节点加密的帧封装就是以太网帧的数据部分都加密，只有帧头部分不加密。

4 总结

链路加密使用比较容易，使用的密钥较少，适用于涉密信息系统部署在同地且用户众多的环境；而端到端加密比较灵活，用户可见，适用于涉密信息系统部署在异地且用户甚少的环境。

[1]杨骏.基于扩频通信技术的船岸数据远传系统的研究[D].江苏科技大学，2016.

[2]侯爱霞，杨代强.船岸通信中数据传输方法研究[J].舰船科学技术，2016，38（06）：121-123.

[3]李晶晶，朱小刚.海信通—海上通信综合应用解决方案[J].卫星应用，2015（11）：62-63.

[4]秦婧，张俊.智能航运船岸通信和网络数据传输处理的设计[J].数字通信世界，2015（08）：35-38.

[5]赵春雷.基于3G网络的船岸通信系统的设计与实现[J].电子设计工程，2014，22（18）：4-7.

[6]谭亮.国际海事卫星INMARSAT系统船岸数据通信研究[A].中国造船工程学会.2013年CAD/CAM学术交流会议论文集[C].中国造船工程学会，2013：6.

[7]金燕，杨凤英.澜沧江—湄公河海事船岸通信技术的应用和实验[J].水运工程，2009（10）：70-74.