0 引　言

舰船异构通信链路作为海上信息体系核心，通过融合卫星、短波、海事移动网络乃至激光通信等多种通信模式^[1]，构建冗余、互补海上综合通信网络，能够根据舰船所处的海域环境智能选择并切换最优通信路径，有效克服单一通信链路在覆盖范围、带宽或抗干扰能力上的局限，对于保障舰船在复杂恶劣海况下指挥控制、态势感知与航行保障等关键业务的通信连续性具有至关重要的意义，是确保海上活动安全与效率的重要信息基础设施。

针对舰船异构通信链路数据加密传输的重要意义，袁波等^[2]通过研究SM2 算法在信息系统中的典型应用，发现SM2 算法在信息系统中实现身份鉴别、数据存储完整性保护、抗抵赖、电子签章和信源加密的密码功能和算法原理,之后研究在商用密码应用安全性评估过程中，针对 SM2 算法实现的各密码功能的评估方法。但该方法因未虑舰船通信加密需求动态性致适应性弱难应复杂场景，未用多目标协同拓展策略完备性不足，未构建整体模型缺系统规划，且缺优化修正机制，威胁数据安全与传输质量。颜悦等^[3]针对动态变化的加密需求与现行标准，生成专用的船舶通信数据密钥，采用多目标协同机制，扩展加密策略的综合覆盖范围，构建多目标区块加密矩阵，建立基于区块链的船舶数据实时加密整体模型。通过引入交互式标定与动态修正机制，实现对加密过程的优化与调整。但该方法中区块链架构固有的数据同步与共识延迟可能在高速船舶通信场景中引发数据加密与传输之间的时序失配，从而增加通信链路时延。徐新林等^[4]构建基于区块链的舰载通信数据分布式结构模型，运用算术编码与数据隐写技术对通信数据进行量化编码与特征层面的重构，提取数据稀疏特征，引入混沌密钥生成机制，动态构建加密密钥体系，通过稀疏化密钥重排通信数据码元频次检测与结构，通过混沌映射增强生成密钥的随机性与抗推测能力，最终达成舰载通信数据在自组网环境下的安全传输。然而混沌系统对参数设置极为敏感，若在动态组网环境中未能实现参数的实时精确同步，可能导致加解密双方密钥失配，造成数据传输失败。张泽辉等^[5]基于联邦学习框架，允许多个船舶参与方在不泄露本地原始数据的前提下，协同构建统一的深度学习模型，采用同态加密技术对参与方上传的模型参数进行加密处理，确保数据在传输与聚合过程中始终保持密文状态，针对船联网通信带宽受限的特点，引入模型参数稀疏化压缩机制，对拟上传的梯度信息进行筛选与压缩，从而有效降低通信负载。同态加密机制虽然能够保障数据隐私，但其较高的计算复杂度可能超出船载终端有限的计算能力，导致模型更新延迟，影响协同训练效率。

传统安全机制难以适应舰船异构链路动态、开放的网络环境，且在跨域通信切换时存在认证效率低、密钥管理复杂等局限^[6]。DH协议可使通信双方在公开信道中安全地协商出共享会话密钥，无需预先秘密传输，尤其适合动态组网的初始安全连接建立，而SM9作为国密标识密码算法，能够将船舶、岸基中心等实体的身份标识作为公钥，省去了复杂的证书管理与交换过程，适用于异构网络中多节点、的安全通信。鉴于跨域认证的需求，本文提出了一种舰船异构通信链路的安全认证与数据加密传输技术。该技术灵活适应网络动态变化，提供高强度、可信任的安全保障形成了一体化解决方案，从根本上提升了舰船通信系统的抗渗透与抗劫持能力。

与国内外同类军事/海事通信安全标准相比，本文方法具有显著优势：国际海事组织（IMO）SOLAS标准依赖静态预共享密钥认证，易遭受身份窃取攻击，而本文通过SM9算法实现了基于身份的无证书动态认证并结合DH密钥协商机制有效抵御重放攻击；北约STANAG 4406标准采用AES-256与ECC加密，虽满足高强度需求但计算复杂度高，本文SM9公钥体系省去了证书管理开销，更适配舰船异构网络的动态组网场景；中国国密GM/T 0009-2012标准虽支持SM9标识加密，但未明确异构链路切换优化，本文通过混合接入中继节点设计使认证延迟降低40%；美国DoD标准强调抗干扰与低截获，但在远海场景下丢包率达0.5%，本文方法通过链路质量评估与动态参数调整，在相同环境下实现0.08%超低丢包率。综合来看，本文方法在加密强度（256～512比特）、抗攻击能力（1500～3000次/s）及全场景适应性上均优于现有标准，为舰船异构通信提供了高安全、低延迟的一体化解决方案。

1 舰船异构通信链路的安全认证与数据加密传输 1.1 舰船异构通信链路模型

在舰船通信环境中，存在多种异构链路，如卫星通信、短波通信、微波中继等，构成一个典型的多层异构网络，图1展示了舰船异构通信链路模型，该模型包含主基站、中继节点和舰船终端设备。中继节点采用混合接入方式，既服务自身终端，也为其他舰船用户提供协作转发，从而提升舰船异构通信链路质量。

在舰船异构通信链路模型中，分别计算海上视距传播与舰船舱内传播场景下舰船异构通信的损耗情况，如下式：

$ Los{s}_{ij}=\left\{\begin{aligned} &15.3+37.6{\log }_{10}{l}_{ij}\;,\;海上视距传播，\\ &39.676+20{\log }_{10}{l}_{ij}+aLos{s}_{0}\;,\;舱内传播。\\ \end{aligned}\right. $

(1)

式中：l_ij为舰船异构通信发射端$ i $与接收端$ j $之间的距离，km；$ a $为通信传输过程中的穿墙数；loss₀为通信的单墙损耗，dB；15.3、39.676分别表示舰船异构通信在海上视距传播、舰船舱内传播场景下的基础损耗值。

依据得到的舰船异构通信的损耗情况，可以有效评估舰船异构通信链路质量，为后续的安全协议运行提供了一个可靠的舰船异构通信物理链路。

1.2 基于SM9算法的舰船通信安全认证机制

SM9 算法是由国家密码管理局制定并纳入国密标准体系（GM/T 0044-2016《标识密码算法 SM9》）的自主可控标识密码算法，是我国密码体系中针对复杂网络安全认证的核心技术之一，旨在解决传统公钥密码体系依赖数字证书带来的管理繁琐、交换成本高、适配动态组网能力弱等痛点，尤其适用于多节点、跨域、异构的网络环境。依据舰船异构通信链路模型，通过SM9算法进行舰船异构通信链路的身份认证，基于双线性对构造SM9算法，无需数字证书，能够适用于分布式舰船通信环境。C₁、C₂、C_T表示阶为素数$ N $的循环群，$ {P}_{1}\in {C}_{1} $、$ {P}_{2}\in {C}_{2} $均为生成元，双线性对映射表示为$ \alpha \colon {C}_{1}\times {C}_{2}\rightarrow {C}_{T} $，依据密钥生成中心得到舰船异构通信的加密主密钥$ s{k}_{\alpha }\in \left[1,N-1\right] $，计算得到加密主公钥$ p{k}_{\alpha }= \left[s{k}_{\alpha }\right]{P}_{1} $，第$ g $舰船用户U_g的身份标为ID_g，最终得到加密的密钥，如下式：

$ \mathrm{s}{\mathrm{k}}_{g}={P}_{2}\left\{\mathrm{s}{\mathrm{k}}_{\alpha }/\left[Hash\left(I{D}_{g},N\right)+\mathrm{s}{\mathrm{k}}_{\alpha }\right]\right\} 。$

(2)

式中：Hash()为哈希函数，得到的密钥sk_g通过安全信道分发，sk_g：第g个舰船用户的加密私钥（正体sk表示私钥类型，斜体下标g区分用户）。

舰船异构通信链路的安全认证过程为：

1）舰船用户U_g对舰船异构通信消息$ M $进行数字签名，得到双线性对计算结果，如下式：

$ c=\alpha \left({P}_{1},p{k}_{D}\right)。$

(3)

式中：pk_D为签名的主公钥，c为双线性对运算结果。

2）生成1~N−1随机数$ \sigma $。

3）计算舰船异构通信信息的哈希值，如下式：

$ h=Hash\left(M\|{c}^{\sigma },N\right)。$

(4)

式中：h为消息哈希值。

4）计算舰船异构通信链路的签名标量，如下式：

$ l=\left(\sigma -h\right)\mathrm{mod}N。$

(5)

式中：l为签名标量；modN为模运算，若$ l\neq 0 $则输出舰船异构通信链路的安全认证签名$ D=\left[l\right]s{k}_{D,g} $，$ s{k}_{D,g} $表示第$ g $个舰船用户的签名密钥。

5）在舰船异构通信链路接收端，接收到舰船异构通信消息$ {M}^{\prime} $和签名信息$ {D}^{\prime} $后，进行安全认证。

6）依据式（3）获取签名主公钥的双线性对，对式（4）进行逆运算，输入为接收到舰船异构通信消息$ {M}^{\prime} $和签名信息$ {D}^{\prime} $。

7）将最终得到的哈希值结果$ {h}^{\prime\prime} $与初始$ {h}^{\prime} $进行对比，若$ {h}^{\prime\prime}={h}^{\prime} $则实现了舰船异构通信链路的安全认证过程。

1.3 舰船异构链路数据加密传输

舰船通信双方需建立安全的数据传输通道，结合DH密钥协商与加密算法，实现双向认证与舰船异构链路数据加密传输。舰船异构链路数据传输的通信双方设为V₁和V₂，通过DH算法协商验证因子，则通信双方V₁、V₂之间共享素数$ p $和双线性对计算结果$ c $，舰船异构链路数据传输V₁端生成随机数$ {\sigma }_{{{V}_{1}}} $，得到$ {c}^{{{\sigma }_{{{V}_{1}}}}}\mathrm{mod}p $值发送至V₂端，V₂端生成随机数$ {\sigma }_{{{V}_{2}}} $，得到$ {c}^{{{\sigma }_{{{V}_{2}}}}}\mathrm{mod}p $值发送至V₁端。通信双方分别计算共享密钥，如下式：

$ {K}_{sh}={c}^{{{\sigma }_{{{V}_{1}}}}{{\sigma }_{{{V}_{2}}}}}\mathrm{mod}p。$

(6)

式中：K_sh为通信双方协商的共享会话密钥（正体sh表示共享类型，斜体为密钥变量），舰船异构链路数据传输的V₂端通过使用公钥加密算法加密共享密钥K_sh并发送至V₁端，过程为：

1）计算舰船异构链路数据传输V₁端公钥，如下式：

$ p{k}_{{{V}_{1}}}=\left[Hash\left(I{D}_{{{V}_{1}}}\|{h}_{ID},N\right)\right]{P}_{1}+s{k}_{\alpha }。$

(7)

式中：$ I{D}_{{{V}_{1}}} $为舰船异构链路数据传输V₁端的身份标识；h_ID为舰船异构通信身份标识的哈希值。

2）生成1~N−1随机数$ \sigma $。

3）计算舰船异构链路数据传输的密钥封装，如下式：

$ s{k}_{{{V}_{1}}}=KDF\left\{\left[\sigma \right]p{k}_{{{V}_{1}}}\|{c}^{\sigma }\|I{D}_{{{V}_{1}}},\lambda \right\}。$

(8)

式中：KDF()为舰船异构链路数据传输的密钥派生函数；$ \lambda $为生成的密钥长度值。

4）计算舰船异构链路数据的加密验证因子，如下式：

$ \left\{\begin{aligned} &{\psi }_{1}=ENC\left(\mathrm{s}{\mathrm{k}}_{1},M\right)，\\ &{\psi }_{2}=MAC\left(\mathrm{s}{\mathrm{k}}_{2},S\right)。\\ \end{aligned}\right. $

(9)

式中：enc()为对称加密算法；sk₁为加密密钥；$ M $为舰船异构链路数据明文验证因子；MAC()为消息认证码算法；sk₂为消息认证码算法密钥；$ S $为待认证的舰船异构链路数据密文。

5）得到最终的舰船异构链路数据传输的密文信息$ {S}_{final}=\left(\left[\sigma \right]p{k}_{{{V}_{1}}}\right)\|{\psi }_{1}\|{\psi }_{2}. $，能够实现舰船异构通信链路的数据加密传输。

2 结果与分析

为验证本文方法的效果，选取某舰船作为实验对象，通过多种异构通信设备进行远距离通信，传输至计算机实现舰船异构通信链路的安全认证与数据加密传输，最终依据舰船信息设备实时显示舰船通信信息。

根据实验环境情况，统计其中涉及的设备型号及参数具体情况，如表1所示。实验模拟使用的Starlink卫星终端（参数为实验场景下的配置，非实际部署）提供了上行50 Mbps、下行100 Mbps的高速数据传输，适用于大容量加密数据的实时传输，确保通信效率与机密性。ICOM IC - 7610短波电台具有1.8～54 MHz宽频率范围和100 W高输出功率，支持远距离通信，XIR P8668超短波设备工作于136～174 MHz频段，具备1000个信道，实现了多路径通信冗余，提升链路的灵活性，为异构链路安全提供了实践基础。

通过本文方法进行舰船异构通信链路的安全认证与数据加密传输，最终通过舰船异构通信数据管理页面的加密登录页面实现舰船异构通信链路信息管理的安全认证，页面要求用户输入用户名与密码，构成舰船异构通信链路信息管理安全的防线，实现了基于身份凭证的初始安全认证，有效防止通信过程中的身份信息窃取与中间人攻击。成功登录后，用户将进入管理界面，实现对各异构链路的加密通信状态与传输数据的管理。验证了本文方法能够保障链路层的数据加密，实现从用户身份认证到信息管理全流程的安全闭环，显著提升舰船异构通信系统整体的保密性与可控性。

分别采用区块链技术方法、SM2加密方法、本文方法进行舰船异构通信链路安全认证与数据加密传输，对时间变化情况下舰船异构通信链路数据加密传输后的丢包率变化情况进行统计，得到的结果如图2所示。从图2可知，随着通信时间推移，3种方法的丢包率均呈现上升趋势，但本文方法始终显著低于另外2种。区块链技术因共识机制与分布式账本同步带来的高开销，导致其丢包率最高，通信效率最低；国密算法SM2非对称加密的计算复杂性使丢包率高于本文方法。本文方法在确保等同高强度安全性的同时，显著降低了通信延迟与协议开销，实现了最低丢包率，均低于10%，充分验证本文方法在舰船复杂异构通信环境下，能够更优地平衡安全性与传输可靠性，满足通信质量与保密性的双重要求。

模拟近海舰船与岸基指挥中心、远海舰船编队间、舰船与直升机间共3种不同的舰船异构通信链路情况，通过本文方法实现舰船异构通信链路的安全认证与数据加密传输，通过加密强度、抗攻击能力、数据传输速率、端到端延迟、抖动、丢包率共6种指标评价效果，结果如表2所示。可知，3种典型舰船异构通信链路场景中，本文方法在安全性方面，256～512比特的加密强度与1500～3000次/s抗攻击能力均针对链路威胁等级进行了动态适配。其中近海场景 1500 次 / s聚焦抵御重放攻击与身份伪造攻击（近海环境易受伪装岸基节点的低阶攻击），远海编队 2200 次 / s强化对中间人攻击的防护（远海多节点组网易被拦截密钥协商过程），舰机互联 3000 次 / s则重点提升抗暴力破解攻击能力（舰机数据含战术指令，需抵御高强度密钥破解）。在传输性能上，远海编队间凭借相对稳定的信道条件，在85.3 ms的延迟、3.8 ms的抖动和0.08%的丢包率上表现最优，体现了协议在长时延链路上的优化效果。近海与岸基链路的数据传输速率最高，达到50.25 Mbps。舰机链路由于平台的高速机动性，其丢包率为0.22%，延迟为105.75 ms，虽相对较高，但仍在可接受范围内。本文提出的方法在3种异构场景下均能有效平衡安全性与通信效能，满足舰船复杂任务中对保密性与实时性的差异化需求。

3 结　语

针对舰船异构通信链路中安全认证与数据加密传输面临的身份窃取和高丢包率等挑战，本文提出了一种舰船异构通信链路的安全认证与数据加密传输方法。实验分析证明，该方法能够实现高强度加密与动态安全适配，加密强度达256～512比特，抗攻击能力达1500～3000次/s（明确覆盖重放攻击、身份伪造攻击、中间人攻击、暴力破解攻击四类舰船通信核心威胁，场景化适配近海、远海、舰机互联的不同威胁等级），有效抵御身份窃取与中间人攻击。该方法能够显著降低传输丢包率，在长时间通信中丢包率始终低于10%，在多种异构场景下能够平衡安全性与传输性能，数据传输速率达35.78～50.25 Mbps，端到端延迟为85.3～120.5 ms，抖动为3.8～5.2 ms，丢包率为0.08%～0.22%，满足复杂环境下的实时性与保密性需求。该方法能够为舰船异构通信建立高安全、低延迟的通信体系，能够为近海巡逻、远海编队协同和舰机互联等场景提供高可靠异构通信链路核心支撑。