目前我們使用比較多的是國外的視頻會(huì)議系統(tǒng)，這些產(chǎn)品中存在著許多安全漏洞，采用的加密措施不具備國內(nèi)自主知識產(chǎn)權(quán)，在這種體制下召開重要會(huì)議是十分不安全的。因此，必須在現(xiàn)有的視頻會(huì)議系統(tǒng)結(jié)構(gòu)之外，研究符合我國安全要求的、實(shí)用的、自主開發(fā)的視頻會(huì)議加密系統(tǒng)，是我們面臨的熏要課題之一。

一、視頻會(huì)議系統(tǒng)組成

在基于電路交換的通信網(wǎng)絡(luò)中，視頻會(huì)議系統(tǒng)由多點(diǎn)控制單元MCUI11、傳輸網(wǎng)絡(luò)、視頻終端和會(huì)議管理系統(tǒng)四個(gè)組成部分。

MCU負(fù)責(zé)將主會(huì)場的視頻和音頻數(shù)據(jù)進(jìn)行壓縮，并以廣播方式發(fā)送給各分會(huì)場，使得各分會(huì)場能實(shí)時(shí)觀看主會(huì)場實(shí)況：同時(shí)又將來自各分會(huì)場的視頻和音頻數(shù)據(jù)進(jìn)行解壓及合成，以多畫面方式在電視上顯示，使得主會(huì)場可以實(shí)時(shí)觀看一個(gè)或多個(gè)分會(huì)場的實(shí)況。

各分會(huì)場的視頻終端接收來自主會(huì)場MCU的視頻和音頻數(shù)據(jù)包，對數(shù)據(jù)包進(jìn)行解壓后分離出視頻數(shù)據(jù)和音頻數(shù)據(jù)，通過電視和音響來展現(xiàn)主會(huì)場的實(shí)況；同時(shí)又通過攝像頭和話筒把本會(huì)場的實(shí)況（視頻信息和音頻信息）壓縮成數(shù)據(jù)包，發(fā)送給主會(huì)場的MCU。

通常用一臺PC終端作為會(huì)議管理系統(tǒng)，負(fù)責(zé)對MCU進(jìn)行配置，包括線路的接口方式、通信速率、視頻和音頻數(shù)據(jù)的壓縮算法和會(huì)議的組成規(guī)模，以及主會(huì)場和分會(huì)場的交互控制等。

二、視頻會(huì)議線路加密系統(tǒng)

由于政府機(jī)構(gòu)、大型企業(yè)都有內(nèi)部IP網(wǎng)絡(luò)，而且使用了防火墻技術(shù)，可以有效阻擊來自外部的攻擊一本文的研究重點(diǎn)是對通信線路上傳輸?shù)囊曨l會(huì)議多媒體信息進(jìn)行有效的安全保護(hù)，即研究多媒體信息在通信線路上的加密技術(shù)和密鑰安全分發(fā)技術(shù)。

1、加密體系結(jié)構(gòu)

視頻會(huì)議加密體系結(jié)構(gòu)由多媒體信息加密網(wǎng)絡(luò)和密鑰傳輸網(wǎng)絡(luò)組成，如圖1所示。

在原DDN通信網(wǎng)絡(luò)的基礎(chǔ)上，在每一條通信線路的兩端各增加一臺加密設(shè)備組成加密設(shè)備對（如加密設(shè)備l和加密設(shè)備l’為一對加密設(shè)備），這樣就構(gòu)成了多媒體信息加密網(wǎng)絡(luò)。不同通信線路上的加密設(shè)備使用不同的密鑰，而同一通信線路上的兩個(gè)加密設(shè)備，必須使用相同的密鑰，從而可以對通信線路上全雙工的多媒體信息進(jìn)行加密傳輸。

每臺加密設(shè)備都配備一塊有RS232接口的網(wǎng)卡（如MOXA卡），網(wǎng)卡工作在TCP Server方式。所有加密設(shè)備通過自身的網(wǎng)卡和TCP/IP網(wǎng)絡(luò)，與密鑰管理系統(tǒng)連接起來，組成了密鑰傳輸網(wǎng)絡(luò)。密鑰以IP數(shù)據(jù)包方式，采用PKI和智能卡相結(jié)合的方法，通過TCP/IP網(wǎng)絡(luò)傳送到各加密設(shè)備，實(shí)現(xiàn)密鑰的分發(fā)和配置。

在該體系結(jié)構(gòu)中，加密設(shè)備起著很關(guān)鍵的作用，其內(nèi)部主要由數(shù)字信號處理器、通信接口、FPGA芯片、網(wǎng)卡和智能卡接口等部件組成。加、解密算法和通信線路控制相關(guān)的邏輯都由FPGA芯片來實(shí)現(xiàn)。

加密設(shè)備的主要功能是對通信線路上的多媒體信息進(jìn)行加密或解密，即接收視頻終端或MCU的明文數(shù)據(jù)，經(jīng)過加密后發(fā)送到通信線路；同時(shí)，接收通信線路上的密文數(shù)據(jù)，經(jīng)過解密后發(fā)送給視頻終端或MCU。加密設(shè)備的另一功能是通過TCP/IP網(wǎng)絡(luò)和智能卡，實(shí)現(xiàn)與密鑰管理系統(tǒng)的相互認(rèn)證，從而可以安全、正確地接收密鑰管理系統(tǒng)分發(fā)的密鑰。

除此之外，加密設(shè)備還應(yīng)具有加、解密算法配置及起動(dòng)、密碼同步、密碼失步后的重新同步等功能。

2、多媒體信息加密技術(shù)

視頻會(huì)議信息采用比特流加密技術(shù)，加密和解密端使用相同的序列密碼(Strea:m Cipher)算法，其應(yīng)用如圖2所示。

在序列密碼算法中，密鑰序列發(fā)生器(Keystream generator)輸出一系列位序列（即亂數(shù)序列）：K1，K2，K3，…，Ki。

在加密端，密鑰序列跟明文位序列P1，P2，P3，…，Pi進(jìn)行逐比特異或運(yùn)算，產(chǎn)生密文位序列。加密的表達(dá)式為：

在解密端，密文序列與完全相同的密鑰序列異或運(yùn)算恢復(fù)出明文序列。解密的表達(dá)式為：

序列密碼算法的安全性完全依賴于簡單的異或運(yùn)算和一次一密亂碼本。在選擇序列密碼算法時(shí)，如果密鑰序列是一系列無盡的隨機(jī)序列（實(shí)際上是確定的），那么該序列密碼算法具有很強(qiáng)的安全性，從而可以保證明文信息的保密性。

在設(shè)計(jì)序列密碼時(shí)，可以選擇標(biāo)準(zhǔn)的序列密碼算法，如RC4、 SEAL等；也可以選擇標(biāo)準(zhǔn)的分組密碼算法，如多重DES、RC5、AES算法等，利用輸出反饋(OFB)或密碼反饋( CFB)方式得到序列密碼。所設(shè)計(jì)的序列密碼算法可用硬件描述語言(VerilogHDL/VHDL)來描述，經(jīng)過邏輯綜合后，裝配到FPGA芯片中。

結(jié)合通信線路的特點(diǎn)和序列密碼的保密性r在加密設(shè)備中使用序列密碼算法對通信線路上的多媒體信息進(jìn)行加密是可行的，這是因?yàn)椋?/p>

1)加密設(shè)備可以提取通信線路的時(shí)鐘，便于兩組序列密碼算法進(jìn)行序列同步；

2)與分組密碼算法相比，加密過程所產(chǎn)生的延時(shí)短，利于多媒體信息的實(shí)時(shí)加密傳輸；

3)毋需考慮通信協(xié)議，可對通信線路上的多種協(xié)議的多媒體信息、顯示控制所需的場同步、幀同步等信息，以及會(huì)場之間的交互控制信息進(jìn)行整體加密，具有極高的保密性。

3、序列密碼同步

在使用序列密碼算法時(shí)，需要考慮加、解密序列密碼的同步問題。

其同步過程是在線路時(shí)鐘的作用下，加，解密設(shè)備可以通過特征碼序列或其它同步方法獲得相位的同步，從而保證密碼序列的同步群。

最簡單的同步方法是硬件在通信線路上插入一定長度的特征碼序列，如128字節(jié)相同的數(shù)據(jù)。其同步過程如下：

由一臺加密設(shè)備發(fā)出固定長度的特征碼序列，然后起動(dòng)密鑰序列發(fā)生器，產(chǎn)生用于加密的密鑰序列：另一臺加密設(shè)備接收到固定長度的特征碼序列后，同時(shí)起動(dòng)密鑰序列發(fā)生器，產(chǎn)生用于解密的密鑰序列。這樣，通信線路上的加密設(shè)備對可以取得時(shí)序上的完全同步，使多媒體信息在通信線路上可靠地加密傳輸。

對于線路質(zhì)量較好的通信電路，每次會(huì)議開始之前只需進(jìn)行一次密碼同步。但由于通信線路時(shí)鐘抖動(dòng)、相位漂移、丟失、干擾等因素，會(huì)引起密碼序列的失步。因此，應(yīng)采取重新同步措施，保證加解密過程的正確性，從而保證圖像和語音信息的連續(xù)性。

在線路質(zhì)量較差的通信電路中，應(yīng)對所設(shè)計(jì)的序列密碼算法進(jìn)行改進(jìn)，采用密碼反饋模式，使密鑰序列的每一位都是前面固定數(shù)量密文位（n位）的函數(shù)，使得序列密碼具有自同步功能，即自同步序列密碼。這樣，通信線路上的一位數(shù)據(jù)出錯(cuò)或線路時(shí)鐘突變而導(dǎo)致序列密碼失步后，最多經(jīng)過n個(gè)線路時(shí)鐘周期后，自同步序列密碼會(huì)實(shí)現(xiàn)自同步。

4、密鑰安全傳輸技術(shù)

將智能卡和PKI卡結(jié)合起來，能安全可靠地傳輸序列密碼算法中的密鑰。

每臺加密設(shè)備都配置一張智能卡，智能卡初始化后應(yīng)與加密設(shè)備一一對應(yīng)。

在為加密設(shè)備配置智能卡之前，由密鑰管理系統(tǒng)對智能卡進(jìn)行初始化操作。此時(shí)，由密鑰管理系統(tǒng)協(xié)同智能卡進(jìn)行密鑰生成和存儲(chǔ)的本地操作。密鑰管理系統(tǒng)首先生成自身的公私鑰對，然后對所有智能卡進(jìn)行初始化操作，使其生成自身的公私鑰對。密鑰管理系統(tǒng)將自身的私鑰和所有智能卡的公鑰記錄到相關(guān)的數(shù)據(jù)庫中：同時(shí)，將自身的公鑰回寫到所有智能卡中。

根據(jù)需要，密鑰管理系統(tǒng)定期產(chǎn)生序列密碼算法中的密鑰，并以TCP Clicnt方式，通過TCP/IP網(wǎng)絡(luò)向所有加密設(shè)備進(jìn)行密鑰分發(fā)。

密鑰管理系統(tǒng)在發(fā)送密鑰時(shí)，應(yīng)與每臺加密設(shè)備進(jìn)行相互認(rèn)證過程（具體認(rèn)證過程略），以確保密鑰傳輸?shù)陌踩?。認(rèn)證成功后，密鑰管理系統(tǒng)用加密設(shè)備智能卡上的公鑰對密鑰進(jìn)行加密傳輸。加密設(shè)備在接收到加密的密鑰數(shù)據(jù)后。由智能卡使用其私鑰進(jìn)行解密，從中提取出正確的密鑰。

序列密碼算法中的密鑰更換由密鑰管理系統(tǒng)自動(dòng)分發(fā)，可實(shí)現(xiàn)一會(huì)一密鑰或一會(huì)多密鑰。

admin

收藏 海報(bào)分享