■ 廈門 王斌 李進(jìn)珍
編者按:移動視頻系統(tǒng)應(yīng)用需要有較強的安全保障,隨著5G技術(shù)的發(fā)展,這一問題變得更為突出。因此,如何實現(xiàn)移動數(shù)據(jù)加密,是拓展移動視頻系統(tǒng)應(yīng)用的難題。本文結(jié)合系統(tǒng)實際應(yīng)用,介紹了量子加密基本程序,提供了具體實現(xiàn)及應(yīng)用的架構(gòu)和方式。
隨著5G技術(shù)的快速發(fā)展,移動視頻系統(tǒng)應(yīng)用將更加便利廣泛,特別是在諸如搶險救災(zāi)、反恐處突、區(qū)域監(jiān)控等活動保障方面。出于業(yè)務(wù)保障需要,如何實現(xiàn)移動數(shù)據(jù)加密,是拓展移動視頻系統(tǒng)應(yīng)用的卡口難題。基于量子技術(shù)達(dá)成移動數(shù)據(jù)加密傳輸可有效解決應(yīng)用中數(shù)據(jù)安全性問題。
本文結(jié)合系統(tǒng)實際應(yīng)用,介紹了量子加密基本程序,提供了具體實現(xiàn)及應(yīng)用的架構(gòu)和方式。
本案例為確保移動通信的安全性,采用了量子網(wǎng)絡(luò)加密機和IPSec技術(shù)。量子網(wǎng)絡(luò)加密機是支持量子密鑰的網(wǎng)絡(luò)數(shù)據(jù)傳輸加密設(shè)備,通過IPSec VPN加密隧道實現(xiàn)IP層數(shù)據(jù)加解密、消息來源正確性驗證以及密鑰管理等功能。
加密隧道密鑰是通過量子真隨機數(shù)發(fā)生器獲取,并儲存于加密機內(nèi)置的秘鑰池中,在原理上達(dá)到了真隨機加密,整體構(gòu)成量子加密系統(tǒng)。
產(chǎn)生隨機數(shù)的方法有兩種:偽隨機數(shù)發(fā)生器和真隨機數(shù)發(fā)生器。偽隨機數(shù)是通過數(shù)學(xué)的方法由計算機產(chǎn)生,對于同樣的種子,產(chǎn)生的隨機序列是相同的。如果攻擊者擁有足夠的計算能力,則可以對偽隨機數(shù)加密進(jìn)行破解。
根據(jù)量子力學(xué)的量子態(tài)疊加原理,量子系統(tǒng)可以處在對應(yīng)一個力學(xué)量的本征態(tài)的疊加態(tài),對疊加態(tài)的測量將使系統(tǒng)按照一定的概率隨機地塌陷到某個本征態(tài),測量的結(jié)果是不確定的。這種不確定性完全是一種量子效應(yīng)。通過測量某些量子系統(tǒng)的可觀察量來獲取隨機數(shù),它的隨機性是由量子力學(xué)理論保證的,是內(nèi)在的且不受外物控制的,具有真正的隨機性、不可預(yù)知性和不可重現(xiàn)性。
量子真隨機數(shù)發(fā)生器采用高速脈沖激光器作為光源,最大可以提供1000 MHz的光脈沖頻率,并采用Faraday-Michelson延時環(huán)結(jié)構(gòu)。該結(jié)構(gòu)通過BS將入射光分成兩路,兩路光的光程不同,一路走長臂,一路走短臂,通過長臂和短臂末端的法拉第鏡將兩路光分別反射回去,并在出口處形成相位干涉,經(jīng)PIN管進(jìn)行采樣后形成隨機脈沖信號。最后通過ADC器件對隨機脈沖信號的幅度進(jìn)行AD轉(zhuǎn)換,再經(jīng)過數(shù)據(jù)后處理操作得到真隨機數(shù)的0、1序列。如圖1所示。
量子真隨機數(shù)發(fā)生器通過硬件設(shè)計,定制光源和數(shù)據(jù)處理,提供設(shè)PCIe接口,可方便集成到計算機中,經(jīng)過處理轉(zhuǎn)換序列即可生成所需的加密密鑰,使用靈活方便,有很好的擴展性和升級優(yōu)化空間。
IPSec是IETF組織定義的一組協(xié)議,用于增強IP網(wǎng)絡(luò)的安全性。
建立IPSec VPN連接需要以下三個步驟。
步驟一,通過流量觸發(fā)IPSec。IPSec建立過程是由對等體之間發(fā)送的流量觸發(fā)的,一旦有VPN流量經(jīng)過加密設(shè)備,連接過程便開始建立了。
圖1 量子真隨機數(shù)發(fā)生器工作原理
圖2 IPSec對原來的IP數(shù)據(jù)進(jìn)行封裝和加密
步驟二,建立管理連接。加密機兩端根據(jù)D-H算法生成對稱秘鑰,協(xié)商和建立管理連接,并驗證遠(yuǎn)程系統(tǒng)的標(biāo)識。該管理連接是一個準(zhǔn)備工作,不傳輸實際數(shù)據(jù),只是就協(xié)議、加密算法和使用的密鑰進(jìn)行協(xié)商。
(二)教師通過課題的研究活動,加深教師對數(shù)學(xué)基本活動經(jīng)驗的認(rèn)識,提高數(shù)學(xué)課堂的教學(xué)設(shè)計與執(zhí)行能力,促進(jìn)教師團隊整體的專業(yè)發(fā)展。
步驟三,建立數(shù)據(jù)連接。IPSec基于安全的管理連接,協(xié)商建立一個或多個用于IPSec通信的數(shù)據(jù)連接。連接一般為兩條:一條接受數(shù)據(jù),一條發(fā)送數(shù)據(jù)。
IPSec對原來的IP數(shù)據(jù)進(jìn)行了封裝和加密,加上了新的IP頭,如果封裝安全負(fù)荷ESP用在網(wǎng)關(guān)中,外層的未加密IP頭包含網(wǎng)關(guān)的IP地址,內(nèi)層加密的IP頭包含真實的源和目標(biāo)地址。這樣可以防止偷聽者分析源頭和目標(biāo)之間的通信量。如圖2所示。
移動視頻系統(tǒng)主要由終端系統(tǒng)、專用信道、入網(wǎng)認(rèn)證管理系統(tǒng)、視音頻應(yīng)用系統(tǒng)和量子加密系統(tǒng)五部分組成。其中,終端系統(tǒng)和量子加密終端可配置于車輛、單人或固定場所,入網(wǎng)認(rèn)證管理系統(tǒng)、視音頻應(yīng)用系統(tǒng)和量子加密系統(tǒng)可配置于高安全級別的機房。系統(tǒng)組織結(jié)構(gòu)如圖3所示。
終端系統(tǒng)包括移動網(wǎng)關(guān)、音視頻設(shè)備和控制終端。移動網(wǎng)關(guān)集音視頻采集、解壓縮和無線網(wǎng)絡(luò)傳輸?shù)裙δ転橐惑w,可將采集后的音視頻信號,通過無線網(wǎng)絡(luò)傳輸至后臺的視音頻服務(wù)器。視音頻服務(wù)器進(jìn)行音頻、視頻的管理交換,可實現(xiàn)音視頻交互通信??刂平K端中安裝有控制軟件,可對音視頻信號進(jìn)行相關(guān)參數(shù)設(shè)置,同時可以對組網(wǎng)會議進(jìn)行遠(yuǎn)程管理控制。
專用無線信道可采用5G VPN、寬帶電臺、WiFi自組網(wǎng)等方式。在實際應(yīng)用中,一般采用信號穩(wěn)定、覆蓋范圍更廣的5G VPN系統(tǒng)。該系統(tǒng)具備一定的安全措施,如身份驗證、空中加密傳輸、專線連接等。5G VPN專網(wǎng)業(yè)務(wù)流程圖如圖4所示。
5G VPN專網(wǎng)只提供網(wǎng)絡(luò)傳輸信道,用戶開機后與VPN專網(wǎng)建立空中加密信道,發(fā)送上網(wǎng)請求。SGSN通過HLR對用戶序列號和接入點域名做合法性檢驗,通過驗證后在DNS服務(wù)器查找接入點域名所對應(yīng)的專用GGSN,以該GGSN作為一個代理,依托光纖專線與LNS網(wǎng)關(guān)路由器之間建立L2TP隧道,實現(xiàn)用戶PPP報文透傳。
圖3 移動視頻系統(tǒng)組織結(jié)構(gòu)
圖4 5G VPN專網(wǎng)業(yè)務(wù)流程圖
入網(wǎng)認(rèn)證管理系統(tǒng)主要包括LNS網(wǎng)關(guān)路由器、AAA認(rèn)證服務(wù)器和IP-IP路由器等。
LNS網(wǎng)關(guān)路由器主要用于實現(xiàn)與5G VPN專網(wǎng)中的GGSN連接并建立L2TP隧道,是L2TP隧道的邏輯終點。AAA服務(wù)器是驗證、授權(quán)和記費的簡稱,主要進(jìn)行身份認(rèn)證、授權(quán)以及用戶信息的存儲、策略管理等。
L2TP隧道將用戶封裝的原始PPP數(shù)據(jù)包傳送到隧道終點后,LNS網(wǎng)關(guān)路由器解包還原為用戶發(fā)起的原始數(shù)據(jù)包,AAA認(rèn)證服務(wù)器根據(jù)數(shù)據(jù)包中的用戶ID、密碼和設(shè)備識別碼及串號等對用戶進(jìn)行認(rèn)證,并設(shè)定用戶權(quán)限,通知LNS網(wǎng)關(guān)路由器為用戶分配固定IP地址。
IP-IP路由器是實現(xiàn)IPIP隧道協(xié)議的網(wǎng)絡(luò)設(shè)備,具有根據(jù)發(fā)送和接收IP數(shù)據(jù)包報頭自動添加IP-IP隧道的功能,是專為移動網(wǎng)關(guān)設(shè)計的專用路由器。不同網(wǎng)段的終端所發(fā)送的數(shù)據(jù)包經(jīng)過移動網(wǎng)關(guān)的路由模塊,按照預(yù)先設(shè)定的規(guī)則自動轉(zhuǎn)化為同一網(wǎng)段的IP地址,實現(xiàn)點對點跨網(wǎng)段互通。在與固定側(cè)網(wǎng)絡(luò)互通時,經(jīng)IP-IP路由器按相反規(guī)則還原為原地址進(jìn)行通信,從而實現(xiàn)系統(tǒng)路由免配置。
視音頻應(yīng)用系統(tǒng)主要包括視頻服務(wù)器、視音頻編解碼服務(wù)器、視音頻矩陣、調(diào)音臺、音箱、話筒、大屏幕顯示系統(tǒng)以及視頻會議系統(tǒng)軟件等。視音頻應(yīng)用系統(tǒng)工作流程如圖5所示。
由移動網(wǎng)關(guān)采集的音視頻信息通過專用信道傳送至視頻服務(wù)器,視頻服務(wù)器根據(jù)會議要求,對音頻和視頻信號進(jìn)行交換,實現(xiàn)多方視頻通信。本地音視頻需通過視頻編解碼服務(wù)器進(jìn)行解碼或編碼,而后通過視頻矩陣和調(diào)音臺還原為模擬信號,收聽收看。
圖5 視音頻應(yīng)用系統(tǒng)工作流程
對比傳統(tǒng)無線通信,移動網(wǎng)絡(luò)全面覆蓋,移動數(shù)據(jù)應(yīng)用越來越廣泛,具有覆蓋范圍廣,終端便攜和部署方便等優(yōu)勢。
移動數(shù)據(jù)加密的安全性是專業(yè)部門使用移動系統(tǒng)的權(quán)衡點,基于量子加密移動視頻系統(tǒng),解決了移動用戶最關(guān)心的安全保密環(huán)節(jié),因此在部分特殊專業(yè)領(lǐng)域得到較好應(yīng)用。
考慮到搶險救災(zāi)時間的緊迫性,必須要快速部署,及時向上級傳輸災(zāi)害情況,適時觀察災(zāi)害發(fā)展勢頭,以便針對性展開救援和派遣。移動視頻系統(tǒng)可以實現(xiàn)單人攜帶,隨時部署,隨時聯(lián)網(wǎng),數(shù)據(jù)傳輸經(jīng)加密處理。為了保證數(shù)據(jù)傳輸?shù)目煽啃裕跊]有5G信號覆蓋或基站毀壞的條件下,還可采用臨時基站和衛(wèi)星機動通信進(jìn)行補盲。
在幾次山火撲救實踐應(yīng)用中,終端設(shè)備體型小巧,救火人員便于攜帶現(xiàn)場作業(yè)。從向火災(zāi)地域出發(fā)機動,到達(dá)地點展開山火撲救,全過程和指揮部門建立視頻通聯(lián),數(shù)據(jù)加密傳輸穩(wěn)定,視頻質(zhì)量清晰。救火人員通過視頻及時得到上級指令,第一時間展開有效手段救火,系統(tǒng)發(fā)揮了很好地指揮通聯(lián)作用。
同時,移動視頻系統(tǒng)采用了加密措施,邏輯組建移動網(wǎng)絡(luò),不需要擔(dān)心傳輸數(shù)據(jù)不可控。這在野外探測、水文觀測和移動視頻會議等應(yīng)用也得到較好使用。