基于量子加密移動(dòng)視頻系統(tǒng)實(shí)現(xiàn)與應(yīng)用

■ 廈門 王斌 李進(jìn)珍

編者按：移動(dòng)視頻系統(tǒng)應(yīng)用需要有較強(qiáng)的安全保障，隨著5G技術(shù)的發(fā)展，這一問題變得更為突出。因此，如何實(shí)現(xiàn)移動(dòng)數(shù)據(jù)加密，是拓展移動(dòng)視頻系統(tǒng)應(yīng)用的難題。本文結(jié)合系統(tǒng)實(shí)際應(yīng)用，介紹了量子加密基本程序，提供了具體實(shí)現(xiàn)及應(yīng)用的架構(gòu)和方式。

隨著5G技術(shù)的快速發(fā)展,移動(dòng)視頻系統(tǒng)應(yīng)用將更加便利廣泛，特別是在諸如搶險(xiǎn)救災(zāi)、反恐處突、區(qū)域監(jiān)控等活動(dòng)保障方面。出于業(yè)務(wù)保障需要，如何實(shí)現(xiàn)移動(dòng)數(shù)據(jù)加密，是拓展移動(dòng)視頻系統(tǒng)應(yīng)用的卡口難題。基于量子技術(shù)達(dá)成移動(dòng)數(shù)據(jù)加密傳輸可有效解決應(yīng)用中數(shù)據(jù)安全性問題。

本文結(jié)合系統(tǒng)實(shí)際應(yīng)用，介紹了量子加密基本程序，提供了具體實(shí)現(xiàn)及應(yīng)用的架構(gòu)和方式。

量子加密的基本原理

本案例為確保移動(dòng)通信的安全性，采用了量子網(wǎng)絡(luò)加密機(jī)和IPSec技術(shù)。量子網(wǎng)絡(luò)加密機(jī)是支持量子密鑰的網(wǎng)絡(luò)數(shù)據(jù)傳輸加密設(shè)備，通過IPSec VPN加密隧道實(shí)現(xiàn)IP層數(shù)據(jù)加解密、消息來源正確性驗(yàn)證以及密鑰管理等功能。

加密隧道密鑰是通過量子真隨機(jī)數(shù)發(fā)生器獲取，并儲(chǔ)存于加密機(jī)內(nèi)置的秘鑰池中，在原理上達(dá)到了真隨機(jī)加密，整體構(gòu)成量子加密系統(tǒng)。

1.量子真隨機(jī)數(shù)發(fā)生器

產(chǎn)生隨機(jī)數(shù)的方法有兩種：偽隨機(jī)數(shù)發(fā)生器和真隨機(jī)數(shù)發(fā)生器。偽隨機(jī)數(shù)是通過數(shù)學(xué)的方法由計(jì)算機(jī)產(chǎn)生，對(duì)于同樣的種子，產(chǎn)生的隨機(jī)序列是相同的。如果攻擊者擁有足夠的計(jì)算能力，則可以對(duì)偽隨機(jī)數(shù)加密進(jìn)行破解。

根據(jù)量子力學(xué)的量子態(tài)疊加原理，量子系統(tǒng)可以處在對(duì)應(yīng)一個(gè)力學(xué)量的本征態(tài)的疊加態(tài)，對(duì)疊加態(tài)的測(cè)量將使系統(tǒng)按照一定的概率隨機(jī)地塌陷到某個(gè)本征態(tài)，測(cè)量的結(jié)果是不確定的。這種不確定性完全是一種量子效應(yīng)。通過測(cè)量某些量子系統(tǒng)的可觀察量來獲取隨機(jī)數(shù)，它的隨機(jī)性是由量子力學(xué)理論保證的，是內(nèi)在的且不受外物控制的，具有真正的隨機(jī)性、不可預(yù)知性和不可重現(xiàn)性。

量子真隨機(jī)數(shù)發(fā)生器采用高速脈沖激光器作為光源，最大可以提供1000 MHz的光脈沖頻率，并采用Faraday-Michelson延時(shí)環(huán)結(jié)構(gòu)。該結(jié)構(gòu)通過BS將入射光分成兩路，兩路光的光程不同，一路走長臂，一路走短臂，通過長臂和短臂末端的法拉第鏡將兩路光分別反射回去，并在出口處形成相位干涉，經(jīng)PIN管進(jìn)行采樣后形成隨機(jī)脈沖信號(hào)。最后通過ADC器件對(duì)隨機(jī)脈沖信號(hào)的幅度進(jìn)行AD轉(zhuǎn)換，再經(jīng)過數(shù)據(jù)后處理操作得到真隨機(jī)數(shù)的0、1序列。如圖1所示。

量子真隨機(jī)數(shù)發(fā)生器通過硬件設(shè)計(jì)，定制光源和數(shù)據(jù)處理，提供設(shè)PCIe接口，可方便集成到計(jì)算機(jī)中，經(jīng)過處理轉(zhuǎn)換序列即可生成所需的加密密鑰，使用靈活方便，有很好的擴(kuò)展性和升級(jí)優(yōu)化空間。

2.IPSec VPN加密隧道

IPSec是IETF組織定義的一組協(xié)議，用于增強(qiáng)IP網(wǎng)絡(luò)的安全性。

建立IPSec VPN連接需要以下三個(gè)步驟。

步驟一，通過流量觸發(fā)IPSec。IPSec建立過程是由對(duì)等體之間發(fā)送的流量觸發(fā)的，一旦有VPN流量經(jīng)過加密設(shè)備，連接過程便開始建立了。

圖1 量子真隨機(jī)數(shù)發(fā)生器工作原理

圖2 IPSec對(duì)原來的IP數(shù)據(jù)進(jìn)行封裝和加密

步驟二，建立管理連接。加密機(jī)兩端根據(jù)D-H算法生成對(duì)稱秘鑰，協(xié)商和建立管理連接，并驗(yàn)證遠(yuǎn)程系統(tǒng)的標(biāo)識(shí)。該管理連接是一個(gè)準(zhǔn)備工作，不傳輸實(shí)際數(shù)據(jù)，只是就協(xié)議、加密算法和使用的密鑰進(jìn)行協(xié)商。

（二）教師通過課題的研究活動(dòng)，加深教師對(duì)數(shù)學(xué)基本活動(dòng)經(jīng)驗(yàn)的認(rèn)識(shí)，提高數(shù)學(xué)課堂的教學(xué)設(shè)計(jì)與執(zhí)行能力，促進(jìn)教師團(tuán)隊(duì)整體的專業(yè)發(fā)展。

步驟三，建立數(shù)據(jù)連接。IPSec基于安全的管理連接，協(xié)商建立一個(gè)或多個(gè)用于IPSec通信的數(shù)據(jù)連接。連接一般為兩條：一條接受數(shù)據(jù)，一條發(fā)送數(shù)據(jù)。

IPSec對(duì)原來的IP數(shù)據(jù)進(jìn)行了封裝和加密，加上了新的IP頭，如果封裝安全負(fù)荷ESP用在網(wǎng)關(guān)中，外層的未加密IP頭包含網(wǎng)關(guān)的IP地址，內(nèi)層加密的IP頭包含真實(shí)的源和目標(biāo)地址。這樣可以防止偷聽者分析源頭和目標(biāo)之間的通信量。如圖2所示。

移動(dòng)視頻系統(tǒng)的實(shí)現(xiàn)

移動(dòng)視頻系統(tǒng)主要由終端系統(tǒng)、專用信道、入網(wǎng)認(rèn)證管理系統(tǒng)、視音頻應(yīng)用系統(tǒng)和量子加密系統(tǒng)五部分組成。其中，終端系統(tǒng)和量子加密終端可配置于車輛、單人或固定場(chǎng)所，入網(wǎng)認(rèn)證管理系統(tǒng)、視音頻應(yīng)用系統(tǒng)和量子加密系統(tǒng)可配置于高安全級(jí)別的機(jī)房。系統(tǒng)組織結(jié)構(gòu)如圖3所示。

1.終端系統(tǒng)

終端系統(tǒng)包括移動(dòng)網(wǎng)關(guān)、音視頻設(shè)備和控制終端。移動(dòng)網(wǎng)關(guān)集音視頻采集、解壓縮和無線網(wǎng)絡(luò)傳輸?shù)裙δ転橐惑w，可將采集后的音視頻信號(hào)，通過無線網(wǎng)絡(luò)傳輸至后臺(tái)的視音頻服務(wù)器。視音頻服務(wù)器進(jìn)行音頻、視頻的管理交換，可實(shí)現(xiàn)音視頻交互通信?？刂平K端中安裝有控制軟件，可對(duì)音視頻信號(hào)進(jìn)行相關(guān)參數(shù)設(shè)置，同時(shí)可以對(duì)組網(wǎng)會(huì)議進(jìn)行遠(yuǎn)程管理控制。

2.專用無線信道

專用無線信道可采用5G VPN、寬帶電臺(tái)、WiFi自組網(wǎng)等方式。在實(shí)際應(yīng)用中，一般采用信號(hào)穩(wěn)定、覆蓋范圍更廣的5G VPN系統(tǒng)。該系統(tǒng)具備一定的安全措施，如身份驗(yàn)證、空中加密傳輸、專線連接等。5G VPN專網(wǎng)業(yè)務(wù)流程圖如圖4所示。

5G VPN專網(wǎng)只提供網(wǎng)絡(luò)傳輸信道，用戶開機(jī)后與VPN專網(wǎng)建立空中加密信道，發(fā)送上網(wǎng)請(qǐng)求。SGSN通過HLR對(duì)用戶序列號(hào)和接入點(diǎn)域名做合法性檢驗(yàn)，通過驗(yàn)證后在DNS服務(wù)器查找接入點(diǎn)域名所對(duì)應(yīng)的專用GGSN，以該GGSN作為一個(gè)代理，依托光纖專線與LNS網(wǎng)關(guān)路由器之間建立L2TP隧道，實(shí)現(xiàn)用戶PPP報(bào)文透?jìng)鳌?/p>

圖3 移動(dòng)視頻系統(tǒng)組織結(jié)構(gòu)

圖4 5G VPN專網(wǎng)業(yè)務(wù)流程圖

3.入網(wǎng)認(rèn)證管理系統(tǒng)

入網(wǎng)認(rèn)證管理系統(tǒng)主要包括LNS網(wǎng)關(guān)路由器、AAA認(rèn)證服務(wù)器和IP-IP路由器等。

LNS網(wǎng)關(guān)路由器主要用于實(shí)現(xiàn)與5G VPN專網(wǎng)中的GGSN連接并建立L2TP隧道，是L2TP隧道的邏輯終點(diǎn)。AAA服務(wù)器是驗(yàn)證、授權(quán)和記費(fèi)的簡(jiǎn)稱，主要進(jìn)行身份認(rèn)證、授權(quán)以及用戶信息的存儲(chǔ)、策略管理等。

L2TP隧道將用戶封裝的原始PPP數(shù)據(jù)包傳送到隧道終點(diǎn)后，LNS網(wǎng)關(guān)路由器解包還原為用戶發(fā)起的原始數(shù)據(jù)包，AAA認(rèn)證服務(wù)器根據(jù)數(shù)據(jù)包中的用戶ID、密碼和設(shè)備識(shí)別碼及串號(hào)等對(duì)用戶進(jìn)行認(rèn)證，并設(shè)定用戶權(quán)限，通知LNS網(wǎng)關(guān)路由器為用戶分配固定IP地址。

IP-IP路由器是實(shí)現(xiàn)IPIP隧道協(xié)議的網(wǎng)絡(luò)設(shè)備，具有根據(jù)發(fā)送和接收IP數(shù)據(jù)包報(bào)頭自動(dòng)添加IP-IP隧道的功能，是專為移動(dòng)網(wǎng)關(guān)設(shè)計(jì)的專用路由器。不同網(wǎng)段的終端所發(fā)送的數(shù)據(jù)包經(jīng)過移動(dòng)網(wǎng)關(guān)的路由模塊，按照預(yù)先設(shè)定的規(guī)則自動(dòng)轉(zhuǎn)化為同一網(wǎng)段的IP地址，實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)跨網(wǎng)段互通。在與固定側(cè)網(wǎng)絡(luò)互通時(shí)，經(jīng)IP-IP路由器按相反規(guī)則還原為原地址進(jìn)行通信，從而實(shí)現(xiàn)系統(tǒng)路由免配置。

4.視音頻應(yīng)用系統(tǒng)

視音頻應(yīng)用系統(tǒng)主要包括視頻服務(wù)器、視音頻編解碼服務(wù)器、視音頻矩陣、調(diào)音臺(tái)、音箱、話筒、大屏幕顯示系統(tǒng)以及視頻會(huì)議系統(tǒng)軟件等。視音頻應(yīng)用系統(tǒng)工作流程如圖5所示。

由移動(dòng)網(wǎng)關(guān)采集的音視頻信息通過專用信道傳送至視頻服務(wù)器，視頻服務(wù)器根據(jù)會(huì)議要求，對(duì)音頻和視頻信號(hào)進(jìn)行交換，實(shí)現(xiàn)多方視頻通信。本地音視頻需通過視頻編解碼服務(wù)器進(jìn)行解碼或編碼，而后通過視頻矩陣和調(diào)音臺(tái)還原為模擬信號(hào)，收聽收看。

圖5 視音頻應(yīng)用系統(tǒng)工作流程

移動(dòng)視頻系統(tǒng)的具體應(yīng)用

對(duì)比傳統(tǒng)無線通信，移動(dòng)網(wǎng)絡(luò)全面覆蓋，移動(dòng)數(shù)據(jù)應(yīng)用越來越廣泛，具有覆蓋范圍廣，終端便攜和部署方便等優(yōu)勢(shì)。

移動(dòng)數(shù)據(jù)加密的安全性是專業(yè)部門使用移動(dòng)系統(tǒng)的權(quán)衡點(diǎn)，基于量子加密移動(dòng)視頻系統(tǒng)，解決了移動(dòng)用戶最關(guān)心的安全保密環(huán)節(jié)，因此在部分特殊專業(yè)領(lǐng)域得到較好應(yīng)用。

考慮到搶險(xiǎn)救災(zāi)時(shí)間的緊迫性，必須要快速部署，及時(shí)向上級(jí)傳輸災(zāi)害情況，適時(shí)觀察災(zāi)害發(fā)展勢(shì)頭，以便針對(duì)性展開救援和派遣。移動(dòng)視頻系統(tǒng)可以實(shí)現(xiàn)單人攜帶，隨時(shí)部署，隨時(shí)聯(lián)網(wǎng)，數(shù)據(jù)傳輸經(jīng)加密處理。為了保證數(shù)據(jù)傳輸?shù)目煽啃?，在沒有5G信號(hào)覆蓋或基站毀壞的條件下，還可采用臨時(shí)基站和衛(wèi)星機(jī)動(dòng)通信進(jìn)行補(bǔ)盲。

在幾次山火撲救實(shí)踐應(yīng)用中，終端設(shè)備體型小巧，救火人員便于攜帶現(xiàn)場(chǎng)作業(yè)。從向火災(zāi)地域出發(fā)機(jī)動(dòng)，到達(dá)地點(diǎn)展開山火撲救，全過程和指揮部門建立視頻通聯(lián)，數(shù)據(jù)加密傳輸穩(wěn)定，視頻質(zhì)量清晰。救火人員通過視頻及時(shí)得到上級(jí)指令，第一時(shí)間展開有效手段救火，系統(tǒng)發(fā)揮了很好地指揮通聯(lián)作用。

同時(shí)，移動(dòng)視頻系統(tǒng)采用了加密措施，邏輯組建移動(dòng)網(wǎng)絡(luò)，不需要擔(dān)心傳輸數(shù)據(jù)不可控。這在野外探測(cè)、水文觀測(cè)和移動(dòng)視頻會(huì)議等應(yīng)用也得到較好使用。