海事BGAN网络中安全隔离与信息交换系统设计方案优化_韩保元

Value Engineering

0引言

远洋船海事BGAN 网络是以第四代海事卫星系统为依托构建的，完成远洋船与地面信息交换中心的信息传输。但海事网络连接国际互联网，而远洋船要求数据保密，

海事网络的公用性不满足需求。

网络安全隔离与信息交换系统（下文简称网隔系统），通过处理传输信息，可以确保内部网络与公用网络之间信息交互安全。但目前网隔系统的设计方案存在着诸多问题及待解决，有必要优化设计方案，提高海事通信网络可用性以及安全性。

1现行方案及其不足

1.1现行设计方案远洋船海事BGAN 网络拓扑结构如图1所示。

网隔系统部署在路由器和海事主机之间，远洋船试验数据经测量内部网络、防火墙、路由器至网隔系统，经网隔系统处理后实现安全隔离，再由海事链路传输至地面信息交换中心，地面信息交换中心按逆过程处理数据。网隔系统主要用于实现相互隔离网络之间的数据交换。

该系统由内网服务器、网闸设备、外网服务器和相关软件组成，其结构图如图2所示。网隔系统采用的是一种基于传输层协议的访问控制协议。总的原则是采用白名单策

略，非允即禁。

默认情况下，网络隔离设备对所有的数据都是禁止的，只有经过配置的业务数据才允许转发。内网与外网服务器之间共有一个数据共享区，共享数据通过网闸进行摆渡。

对于远洋船话音、图像等数据，通过在网隔系统的管理界面配置了相关的业务，限定传输数据使用的协议，端

口号等。内网平台接收到远洋船的试验数据后，

再由网闸将数据转发至外网平台，经海事链路向地面信息交换中心发送数据，地面信息交换中心接收到远洋船数据，按逆过程处理数据。因网隔系统只支持UDP 、TCP 协议的数据，对

于非UDP 、

TCP 协议的数据，通过配置网隔系统内部路由，便可使其不经网隔业务配置就可传输。就整个海事链路而

言，数据经网隔系统的转发，仅增加了很小的时延，满足数

据传输的要求。1.2现行方案不足由于网隔系统本身设计复杂，配置过程不易掌握，在现行方案中，存在着以下几点不足：①配置业务时，操作复杂。在内外网闸配置多个IP 地址，

稍不留神，就会配错，增加了操作难度。②远洋船内部网络的终端ping 中心的终端时，可以ping 通，但是时延小于1ms,这是因为网隔系统的内网平台——————————————————————

—作者简介：韩保元（1988-），男，江苏兴化人，助理工程师，本科，主

要研究方向为网络通信技术；张晗（1985-），男，江西

余干人，工程师，本科，主要研究方向为卫星通信技术；王化磊（1986-），男，河北固安人，主要研究方向为网

络通信技术。

海事BGAN 网络中安全隔离与信息交换

系统设计方案优化

Optimization of the Safe Separation and Information Exchange System in

Broadband Global Area Network

韩保元HAN Bao-yuan ；张晗ZHANG Han ；王化磊WANG Hua-lei

（中国卫星海上测控部，江阴214431）

（China Satellite Marine Tracking Telecommanding and Controlling Department ，Jiangyin 214431，China ）

摘要：针对安全隔离与信息交换系统在岸船通信应用中，不能实时监测链路通断的难题，研究了现有的设计方案，并改进了其中

的不足之处。从安全隔离与信息交换系统、

协议转换器、路由器等网络设备的工作原理以及对传输链路的要求等方面分析，并通过OPENET 软件模拟、性能测试实验验证了该方案的可行性和有效性，实现了实时监测链路通断的功能，增强了数据的保密性。

Abstract:Aiming at the incapability of real time monitoring the breaks of network with the application of the Safe Separation and Information Exchange system in the communication between land and board,the present design scheme was studied and the disadvantages were improved.Analyzing from the operation principle of the network equipments such as the Safe Separation and Information Exchange system,negotiate transducer and the requirement of network transfering the information,the OPENET software simulation and the performance test were passed,validating the feasibility and effectiveness of the scheme.The new scheme can achieve the function of monitoring the breaks of the network in real time and strengthen the confidentiality of data.

关键词：网络安全；信息交换；海事BGAN Key words:network security ；information exchange ；Broadband Global Area Network(BGAN)中图分类号：TP39文献标识码：A 文章编号：1006-4311（2012）30-0199-02

·199·

DOI:10.14018/13-1085/n.2012.30.110