0 引　言

军用网络通信技术不仅有助于军事通信的安全性，也有助于获取敌方舰船的信息，占据作战的主动权^[1]。

目前，海上军用网络通信面临诸多安全性威胁，主要包括以下几个：

1）通信数据泄露

海上军用网络每时每刻都会进行大量数据的传递，某些信息的破解需要特定的权限，如果通信网络的安全性出现问题，一些关键性数据可能泄露给非法的用户。

2）流量和完整性分析

流量和完整性分析是指军用网络通信的非法人员，试图通过分析通信数据的流量信息，进行数据的还原；通过分析信息的完整性，进行非法的通信数据修改、删减等黑客行为。

3）通信妨碍

某些敌方舰船会利用各类脉冲干扰或者病毒通信代码等工具，故意妨碍合法用户的通信过程，进行关键数据的窃取，这一类安全威胁是最需要进行防范的威胁。

为了提升海上军用网络通信的安全性能，本文分别从舰船自组织网络和舰船分组通信网络出发，借助防火墙技术和安全通信协议技术，建立海上军用网络通信的安全控制系统，提升军用网络通信安全性。

1 海上军用无线通信网络的基本构成和特性 1.1 海上军用自组织通信网络

海上军用自组织通信网络起源于20世纪70年代。最早是由美军提出的，自组织通信网络最大的特点是具有自组织特性，不需要进行人为的组网和干预^[2]，且海上军用自组织网络的运行不需要依靠特定的设施，在自组织通信网络中，网关协调器、路由器节点和终端节点可以随意移动。

海上军用自组织通信网络大致可以分为网状、星型和复合状3种拓扑结构，如图1所示。

海上军用自组织通信网络的特点为：

1）动态拓扑结构

从网络层次角度讲，舰船军用自组织通信网络的最大特点，是具有动态的拓扑结构。舰船在进行组网时，不论是网络终端，还是信号发射装置，其位置随时都可以发生改变。这种动态的拓扑结构一方面有利于舰船的灵活通信，建立快速、高效的通信网络，另一方面，动态特性会导致网络的能耗升高，且通信网络无线信道之间的相互干扰作用较强，降低信噪比。

2）无中心性

海上军用自组织通信网络没有特定的控制中心，因此，每个通信节点之间的地位是相对平等的，这种节点的平等性表现在网络节点可以随时加入和离开网络，网络节点的加入和离开，并不影响整个通信网络的正常运行。这种特点提升了军用自组织通信网络的抗干扰能力，节点自身的行为通过自组织算法进行管理。

3）多跳特性

所谓多跳特性，是指海上军用自组织通信网络中非相邻节点之间进行数据传递时，必须要通过中间节点的信息传递和转发。这种多跳特性建立在自组织网络的路由通信协议之上，不同于传统的移动通信网络，自组织通信网络的多跳路由不是专门的路由器，而是普通的网络节点。

4）带宽较窄

海上自组织网络采用无线传输技术，信道相对较窄，且信道中存在数据传输竞争、噪声干扰、衰减等，导致自组织通信网络的带宽小于理论值。

5）安全性较弱

由于海上军用自组织通信网络缺乏控制中心和特定的控制逻辑，在进行无线信道传输时，更容易受到信号的入侵，信号窃取等威胁，安全性较差。

1.2 海上军用分组无线通信网络

海上军用分组通信网络区别于自组织网络，它采用移动多跳结构将通信网络分为若干个层次结构，每一个层次结构中存在局域控制中心和相应的局域网络节点，控制中心负责局域网络节点的通信管理和路由管理。

海上军用分组无线通信网络结构如图2所示。

海上军用分组无线通信网络的特点包括：

1）分层的拓扑结构^[3]

军用分组通信网络可以在特定区域构成一个局域网，局域网的中心控制节点接收来自通信网络骨干链路传输的图像、数据、语音等信息，并将这些信息传送给局域网中的舰船通信终端。在不同的层次结构中，网络节点的构成还包括传感设备等数字化设备。

2）网关多样性

海上军用分组网络中的网关负责骨干网络的信息传递，通常由卫星、特定飞行器等担任，保障距离较远的网络节点可以接收和发送信息。

3）不对称性

在海上军事作战环境下，情报信息的传输通常具有不对称性，某些网络节点接收的信息，往往远远大于它发送的信息。在军用分组通信网络中，为了能够协调这种不对称性，每一个网络层次结构中的局域网络中，按照控制协议将不同的网络节点进行功能的划分。

2 海上军用网络通信的安全控制系统开发 2.1 军用网络通信采用的安全机制

提高海上军用网络通信的安全性，结合防火墙技术和网络安全协议设计了移动网络通信安全系统，并对通信安全系统的开发过程进行了详细描述。

1）防火墙技术

防火墙技术是目前应用范围最广的一种网络安全技术，其基本原理如图3所示。

由图3可知，防火墙决定了交换机、攻击者与外部网络之间的通信。

2）IPV6.0数据通信协议

在海上军用移动网络通信中，选用基于IPV6.0^[4]的通信协议实现信息收发，IPV6.0的通信协议的报文形式如图4所示。

3）SSH安全协议

SSH安全协议是一种特定的通信安全加密协议，这种安全协议具有以下几个特点：

①信道私有性。基于SSH安全协议的数据传输通过私有信道进行，通道中的数据都进行了加密。

②SSH安全协议的客户端和服务器端都需要进行认证，其中，服务器端的安全认证是必选，客户端的安全认证不是必选。

③数据通道建立在TCP基础上，具有良好的可靠性。

SSH安全协议的数据传输报文如图5所示。

基于SSH安全协议可实现舰船军用网络通信系统的如下安全服务：

1）身份认证服务

SSH安全协议采用RSA/DSS加密协议，舰船通信网络在使用基于SSH安全协议的终端时，可以设置客户端和服务器端的身份认证功能，防止非法用户使用舰船军用通信系统。

2）数据完整性服务

SSH安全协议可以有效提高舰船无线通信网络的数据完整性，它采用安全HASH算法，有效防止通信网络中的数据被非法修改。

2.2 海上军用网络通信安全系统体系结构及开发

本文设计的海上军用网络通信安全系统主要基于防火墙技术和SSH安全协议，由认证模块、用户登录模块、信息安全传输模块和密钥管理模块等构成，其结构原理如图6所示。

1）认证模块

该安全系统采用SSH安全协议提供的认证服务，用户在访问海上军用通信网络时，必须要完成服务器与客户端双向认证，确保用户的合法性。

2）用户登录模块

用户登录模块采用OpenSSH端口，相对于FTP协议，Open SSH端口技术能够更好防止网络通信过程的密码窃取，提升了海上网络通信的安全等级。

3）信息安全传输模块

信息安全传输模块采用数据传输加密算法、协商加密算法以及解密算法等，是海上军用网络通讯安全系统的核心，军用网络中的数据在该模块完成密文和明文的转换。

4）密钥管理模块

该模块负责海上通信网络中的密钥管理。

2.3 海上军用网络通信安全系统的开发过程

海上军用网络通信安全系统的开发环境为Windows 10平台，开发工具为Microsoft Visual C++（版本6.0），选择Microsoft Visual C++（版本6.0）主要是因为该开发工具具有较高的集成特性，且包含大量的工具库和Web应用程序，其优越性主要表现在：

1）面向对象的开发过程

Microsoft Visual C++的程序开发采用面向对象的开发语言，提供了动态的接口模型，有助于实现模块化的编程，将函数库、DLL库进行模块化打包。此外，这种面向对象的开发过程，可以使用继承机制让子类对象应用父类对象的开发程序。

2）可移植性

Microsoft Visual C++的开发过程与平台无关，且支持各类平台和接口的移植。

3）多线程开发

Microsoft Visual C++工具具有多线程开发的能力，且不同线程之间可实现数据的共享，这种特性提高了软件开发的效率。

海上军用网络通信安全系统采用Socket进行数据传输，Socket^[5]作为一种文件指针实现网络节点的双向数据传输，其工作流程如图7所示。

2.4 海上军用网络通信安全系统的功能测试

采用PC机作为服务器，以分组式海上无线通信网络为测试对象，测试网络域名为testinform.com，IP为180.26.23.45，安全系统客户端为OpenSSH_3.0，对比了无线通信网络中采用安全系统前后的数据丢包量，得到曲线如图8所示。

曲线A为未采用安全系统的丢包量，曲线B为采用安全系统的丢包量。

3 结　语

本文设计了一种海上军用网络通信安全系统，分别针对自组织网络和分组式网络结构与特点进行详细介绍，采用SSH安全协议、防火墙技术等，在Microsoft Visual C++（版本6.0）平台中开发了网络通信安全系统，并进行了性能测试。