基于量子加密移動視頻系統(tǒng)實現(xiàn)與應(yīng)用

■ 廈門 王斌 李進(jìn)珍

編者按：移動視頻系統(tǒng)應(yīng)用需要有較強的安全保障，隨著5G技術(shù)的發(fā)展，這一問題變得更為突出。因此，如何實現(xiàn)移動數(shù)據(jù)加密，是拓展移動視頻系統(tǒng)應(yīng)用的難題。本文結(jié)合系統(tǒng)實際應(yīng)用，介紹了量子加密基本程序，提供了具體實現(xiàn)及應(yīng)用的架構(gòu)和方式。

隨著5G技術(shù)的快速發(fā)展,移動視頻系統(tǒng)應(yīng)用將更加便利廣泛，特別是在諸如搶險救災(zāi)、反恐處突、區(qū)域監(jiān)控等活動保障方面。出于業(yè)務(wù)保障需要，如何實現(xiàn)移動數(shù)據(jù)加密，是拓展移動視頻系統(tǒng)應(yīng)用的卡口難題。基于量子技術(shù)達(dá)成移動數(shù)據(jù)加密傳輸可有效解決應(yīng)用中數(shù)據(jù)安全性問題。

本文結(jié)合系統(tǒng)實際應(yīng)用，介紹了量子加密基本程序，提供了具體實現(xiàn)及應(yīng)用的架構(gòu)和方式。

量子加密的基本原理

本案例為確保移動通信的安全性，采用了量子網(wǎng)絡(luò)加密機和IPSec技術(shù)。量子網(wǎng)絡(luò)加密機是支持量子密鑰的網(wǎng)絡(luò)數(shù)據(jù)傳輸加密設(shè)備，通過IPSec VPN加密隧道實現(xiàn)IP層數(shù)據(jù)加解密、消息來源正確性驗證以及密鑰管理等功能。

加密隧道密鑰是通過量子真隨機數(shù)發(fā)生器獲取，并儲存于加密機內(nèi)置的秘鑰池中，在原理上達(dá)到了真隨機加密，整體構(gòu)成量子加密系統(tǒng)。

1.量子真隨機數(shù)發(fā)生器

產(chǎn)生隨機數(shù)的方法有兩種：偽隨機數(shù)發(fā)生器和真隨機數(shù)發(fā)生器。偽隨機數(shù)是通過數(shù)學(xué)的方法由計算機產(chǎn)生，對于同樣的種子，產(chǎn)生的隨機序列是相同的。如果攻擊者擁有足夠的計算能力，則可以對偽隨機數(shù)加密進(jìn)行破解。

根據(jù)量子力學(xué)的量子態(tài)疊加原理，量子系統(tǒng)可以處在對應(yīng)一個力學(xué)量的本征態(tài)的疊加態(tài)，對疊加態(tài)的測量將使系統(tǒng)按照一定的概率隨機地塌陷到某個本征態(tài)，測量的結(jié)果是不確定的。這種不確定性完全是一種量子效應(yīng)。通過測量某些量子系統(tǒng)的可觀察量來獲取隨機數(shù)，它的隨機性是由量子力學(xué)理論保證的，是內(nèi)在的且不受外物控制的，具有真正的隨機性、不可預(yù)知性和不可重現(xiàn)性。

量子真隨機數(shù)發(fā)生器采用高速脈沖激光器作為光源，最大可以提供1000 MHz的光脈沖頻率，并采用Faraday-Michelson延時環(huán)結(jié)構(gòu)。該結(jié)構(gòu)通過BS將入射光分成兩路，兩路光的光程不同，一路走長臂，一路走短臂，通過長臂和短臂末端的法拉第鏡將兩路光分別反射回去，并在出口處形成相位干涉，經(jīng)PIN管進(jìn)行采樣后形成隨機脈沖信號。最后通過ADC器件對隨機脈沖信號的幅度進(jìn)行AD轉(zhuǎn)換，再經(jīng)過數(shù)據(jù)后處理操作得到真隨機數(shù)的0、1序列。如圖1所示。

量子真隨機數(shù)發(fā)生器通過硬件設(shè)計，定制光源和數(shù)據(jù)處理，提供設(shè)PCIe接口，可方便集成到計算機中，經(jīng)過處理轉(zhuǎn)換序列即可生成所需的加密密鑰，使用靈活方便，有很好的擴展性和升級優(yōu)化空間。

2.IPSec VPN加密隧道

IPSec是IETF組織定義的一組協(xié)議，用于增強IP網(wǎng)絡(luò)的安全性。

建立IPSec VPN連接需要以下三個步驟。

步驟一，通過流量觸發(fā)IPSec。IPSec建立過程是由對等體之間發(fā)送的流量觸發(fā)的，一旦有VPN流量經(jīng)過加密設(shè)備，連接過程便開始建立了。

圖1 量子真隨機數(shù)發(fā)生器工作原理

圖2 IPSec對原來的IP數(shù)據(jù)進(jìn)行封裝和加密

步驟二，建立管理連接。加密機兩端根據(jù)D-H算法生成對稱秘鑰，協(xié)商和建立管理連接，并驗證遠(yuǎn)程系統(tǒng)的標(biāo)識。該管理連接是一個準(zhǔn)備工作，不傳輸實際數(shù)據(jù)，只是就協(xié)議、加密算法和使用的密鑰進(jìn)行協(xié)商。

（二）教師通過課題的研究活動，加深教師對數(shù)學(xué)基本活動經(jīng)驗的認(rèn)識，提高數(shù)學(xué)課堂的教學(xué)設(shè)計與執(zhí)行能力，促進(jìn)教師團隊整體的專業(yè)發(fā)展。

步驟三，建立數(shù)據(jù)連接。IPSec基于安全的管理連接，協(xié)商建立一個或多個用于IPSec通信的數(shù)據(jù)連接。連接一般為兩條：一條接受數(shù)據(jù)，一條發(fā)送數(shù)據(jù)。

IPSec對原來的IP數(shù)據(jù)進(jìn)行了封裝和加密，加上了新的IP頭，如果封裝安全負(fù)荷ESP用在網(wǎng)關(guān)中，外層的未加密IP頭包含網(wǎng)關(guān)的IP地址，內(nèi)層加密的IP頭包含真實的源和目標(biāo)地址。這樣可以防止偷聽者分析源頭和目標(biāo)之間的通信量。如圖2所示。

移動視頻系統(tǒng)的實現(xiàn)

移動視頻系統(tǒng)主要由終端系統(tǒng)、專用信道、入網(wǎng)認(rèn)證管理系統(tǒng)、視音頻應(yīng)用系統(tǒng)和量子加密系統(tǒng)五部分組成。其中，終端系統(tǒng)和量子加密終端可配置于車輛、單人或固定場所，入網(wǎng)認(rèn)證管理系統(tǒng)、視音頻應(yīng)用系統(tǒng)和量子加密系統(tǒng)可配置于高安全級別的機房。系統(tǒng)組織結(jié)構(gòu)如圖3所示。

1.終端系統(tǒng)

終端系統(tǒng)包括移動網(wǎng)關(guān)、音視頻設(shè)備和控制終端。移動網(wǎng)關(guān)集音視頻采集、解壓縮和無線網(wǎng)絡(luò)傳輸?shù)裙δ転橐惑w，可將采集后的音視頻信號，通過無線網(wǎng)絡(luò)傳輸至后臺的視音頻服務(wù)器。視音頻服務(wù)器進(jìn)行音頻、視頻的管理交換，可實現(xiàn)音視頻交互通信?？刂平K端中安裝有控制軟件，可對音視頻信號進(jìn)行相關(guān)參數(shù)設(shè)置，同時可以對組網(wǎng)會議進(jìn)行遠(yuǎn)程管理控制。

2.專用無線信道

專用無線信道可采用5G VPN、寬帶電臺、WiFi自組網(wǎng)等方式。在實際應(yīng)用中，一般采用信號穩(wěn)定、覆蓋范圍更廣的5G VPN系統(tǒng)。該系統(tǒng)具備一定的安全措施，如身份驗證、空中加密傳輸、專線連接等。5G VPN專網(wǎng)業(yè)務(wù)流程圖如圖4所示。

5G VPN專網(wǎng)只提供網(wǎng)絡(luò)傳輸信道，用戶開機后與VPN專網(wǎng)建立空中加密信道，發(fā)送上網(wǎng)請求。SGSN通過HLR對用戶序列號和接入點域名做合法性檢驗，通過驗證后在DNS服務(wù)器查找接入點域名所對應(yīng)的專用GGSN，以該GGSN作為一個代理，依托光纖專線與LNS網(wǎng)關(guān)路由器之間建立L2TP隧道，實現(xiàn)用戶PPP報文透傳。

圖3 移動視頻系統(tǒng)組織結(jié)構(gòu)

圖4 5G VPN專網(wǎng)業(yè)務(wù)流程圖

3.入網(wǎng)認(rèn)證管理系統(tǒng)

入網(wǎng)認(rèn)證管理系統(tǒng)主要包括LNS網(wǎng)關(guān)路由器、AAA認(rèn)證服務(wù)器和IP-IP路由器等。

LNS網(wǎng)關(guān)路由器主要用于實現(xiàn)與5G VPN專網(wǎng)中的GGSN連接并建立L2TP隧道，是L2TP隧道的邏輯終點。AAA服務(wù)器是驗證、授權(quán)和記費的簡稱，主要進(jìn)行身份認(rèn)證、授權(quán)以及用戶信息的存儲、策略管理等。

L2TP隧道將用戶封裝的原始PPP數(shù)據(jù)包傳送到隧道終點后，LNS網(wǎng)關(guān)路由器解包還原為用戶發(fā)起的原始數(shù)據(jù)包，AAA認(rèn)證服務(wù)器根據(jù)數(shù)據(jù)包中的用戶ID、密碼和設(shè)備識別碼及串號等對用戶進(jìn)行認(rèn)證，并設(shè)定用戶權(quán)限，通知LNS網(wǎng)關(guān)路由器為用戶分配固定IP地址。

IP-IP路由器是實現(xiàn)IPIP隧道協(xié)議的網(wǎng)絡(luò)設(shè)備，具有根據(jù)發(fā)送和接收IP數(shù)據(jù)包報頭自動添加IP-IP隧道的功能，是專為移動網(wǎng)關(guān)設(shè)計的專用路由器。不同網(wǎng)段的終端所發(fā)送的數(shù)據(jù)包經(jīng)過移動網(wǎng)關(guān)的路由模塊，按照預(yù)先設(shè)定的規(guī)則自動轉(zhuǎn)化為同一網(wǎng)段的IP地址，實現(xiàn)點對點跨網(wǎng)段互通。在與固定側(cè)網(wǎng)絡(luò)互通時，經(jīng)IP-IP路由器按相反規(guī)則還原為原地址進(jìn)行通信，從而實現(xiàn)系統(tǒng)路由免配置。

4.視音頻應(yīng)用系統(tǒng)

視音頻應(yīng)用系統(tǒng)主要包括視頻服務(wù)器、視音頻編解碼服務(wù)器、視音頻矩陣、調(diào)音臺、音箱、話筒、大屏幕顯示系統(tǒng)以及視頻會議系統(tǒng)軟件等。視音頻應(yīng)用系統(tǒng)工作流程如圖5所示。

由移動網(wǎng)關(guān)采集的音視頻信息通過專用信道傳送至視頻服務(wù)器，視頻服務(wù)器根據(jù)會議要求，對音頻和視頻信號進(jìn)行交換，實現(xiàn)多方視頻通信。本地音視頻需通過視頻編解碼服務(wù)器進(jìn)行解碼或編碼，而后通過視頻矩陣和調(diào)音臺還原為模擬信號，收聽收看。

圖5 視音頻應(yīng)用系統(tǒng)工作流程

移動視頻系統(tǒng)的具體應(yīng)用

對比傳統(tǒng)無線通信，移動網(wǎng)絡(luò)全面覆蓋，移動數(shù)據(jù)應(yīng)用越來越廣泛，具有覆蓋范圍廣，終端便攜和部署方便等優(yōu)勢。

移動數(shù)據(jù)加密的安全性是專業(yè)部門使用移動系統(tǒng)的權(quán)衡點，基于量子加密移動視頻系統(tǒng)，解決了移動用戶最關(guān)心的安全保密環(huán)節(jié)，因此在部分特殊專業(yè)領(lǐng)域得到較好應(yīng)用。

考慮到搶險救災(zāi)時間的緊迫性，必須要快速部署，及時向上級傳輸災(zāi)害情況，適時觀察災(zāi)害發(fā)展勢頭，以便針對性展開救援和派遣。移動視頻系統(tǒng)可以實現(xiàn)單人攜帶，隨時部署，隨時聯(lián)網(wǎng)，數(shù)據(jù)傳輸經(jīng)加密處理。為了保證數(shù)據(jù)傳輸?shù)目煽啃裕跊]有5G信號覆蓋或基站毀壞的條件下，還可采用臨時基站和衛(wèi)星機動通信進(jìn)行補盲。

在幾次山火撲救實踐應(yīng)用中，終端設(shè)備體型小巧，救火人員便于攜帶現(xiàn)場作業(yè)。從向火災(zāi)地域出發(fā)機動，到達(dá)地點展開山火撲救，全過程和指揮部門建立視頻通聯(lián)，數(shù)據(jù)加密傳輸穩(wěn)定，視頻質(zhì)量清晰。救火人員通過視頻及時得到上級指令，第一時間展開有效手段救火，系統(tǒng)發(fā)揮了很好地指揮通聯(lián)作用。

同時，移動視頻系統(tǒng)采用了加密措施，邏輯組建移動網(wǎng)絡(luò)，不需要擔(dān)心傳輸數(shù)據(jù)不可控。這在野外探測、水文觀測和移動視頻會議等應(yīng)用也得到較好使用。