海事BGAN网络中安全隔离和信息交换系统设计方案优化.docVIP

海事BGAN网络中安全隔离和信息交换系统设计方案优化 　　摘要： 针对安全隔离与信息交换系统在岸船通信应用中，不能实时监测链路通断的难题，研究了现有的设计方案，并改进了其中的不足之处。从安全隔离与信息交换系统、协议转换器、路由器等网络设备的工作原理以及对传输链路的要求等方面分析，并通过OPENET软件模拟、性能测试实验验证了该方案的可行性和有效性，实现了实时监测链路通断的功能，增强了数据的保密性。 　　Abstract： Aiming at the incapability of real time monitoring the breaks of network with the application of the Safe Separation and Information Exchange system in the communication between land and board， the present design scheme was studied and the disadvantages were improved. Analyzing from the operation principle of the network equipments such as the Safe Separation and Information Exchange system， negotiate transducer and the requirement of network transfering the information， the OPENET software simulation and the performance test were passed， validating the feasibility and effectiveness of the scheme. The new scheme can achieve the function of monitoring the breaks of the network in real time and strengthen the confidentiality of data. 　　关键词： 网络安全；信息交换；海事BGAN 　　Key words： network security；information exchange；Broadband Global Area Network（BGAN） 　　中图分类号：TP39 文献标识码：A 文章编号：1006-4311（2012）30-0199-02 　　0 引言 　　远洋船海事BGAN网络是以第四代海事卫星系统为依托构建的，完成远洋船与地面信息交换中心的信息传输。但海事网络连接国际互联网，而远洋船要求数据保密，海事网络的公用性不满足需求。网络安全隔离与信息交换系统（下文简称网隔系统），通过处理传输信息，可以确保内部网络与公用网络之间信息交互安全。但目前网隔系统的设计方案存在着诸多问题及待解决，有必要优化设计方案，提高海事通信网络可用性以及安全性。 　　1 现行方案及其不足 　　1.1 现行设计方案 远洋船海事BGAN网络拓扑结构如图1所示。 　　网隔系统部署在路由器和海事主机之间，远洋船试验数据经测量内部网络、防火墙、路由器至网隔系统，经网隔系统处理后实现安全隔离，再由海事链路传输至地面信息交换中心，地面信息交换中心按逆过程处理数据。 　　网隔系统主要用于实现相互隔离网络之间的数据交换。该系统由内网服务器、网闸设备、外网服务器和相关软件组成，其结构图如图2所示。网隔系统采用的是一种基于传输层协议的访问控制协议。总的原则是采用白名单策略，非允即禁。默认情况下，网络隔离设备对所有的数据都是禁止的，只有经过配置的业务数据才允许转发。内网与外网服务器之间共有一个数据共享区，共享数据通过网闸进行摆渡。 　　对于远洋船话音、图像等数据，通过在网隔系统的管理界面配置了相关的业务，限定传输数据使用的协议，端口号等。内网平台接收到远洋船的试验数据后，再由网闸将数据转发至外网平台，经海事链路向地面信息交换中心发送数据，地面信息交换中心接收到远洋船数据，按逆过程处理数据。因网隔系统只支持UDP、TCP协议的数据，对于非UDP、TCP协议的数据，通过配置网隔系统内部路由，便可使其不经网隔业务配置就可传输。就整个海事链路而言，数据经网隔系统的转发，仅增加了很小的时延，满足数据传输的要求。 　　1.2 现行方案不足 由于网隔系统本身设计复杂，配置过程不易掌握，在现行方案中，存在着以下几点不足： 　　①配置业务时，操作复杂。在内外网闸配置多个IP地址，稍不留神，就会配错，增加了操作难度。 　　②远洋船内部