首頁 > 當前,IP網絡百兆甚至千兆的速率已經成為可能,帶寬的提升為、在IP網絡上傳輸語音、視頻提供了有力的前提條件。IP視頻電話越來越多地得到廣泛應用并將引領現(xiàn)代通信的潮流。但由于IP網絡的開放性,敏感信息可能被輕易地竊取、篡改、非法復制和傳播,因此對IP視頻通信的保密性和可靠性提出了更高的要求。為了確保IP視頻電話端到端的通信安全,必須對SIP信令和RTP音視頻數(shù)據進行加密處理。
全球最大IP電話提供商Skype在其軟件中內嵌了加密系統(tǒng),安全專家Phil Zimmermann提出了ZRTP密鑰協(xié)商協(xié)議并開發(fā)了IP電話安全軟件Zfone,這些均采用軟件方式實現(xiàn)加密,當處理器性能較低時,這種方式必然會影響到通話質量。為此本文設計了一種適合于IP視頻電話的高速硬件加密引擎。
IP視頻電話通信具有以下特點:
(1) 占用帶寬大。目前常用音頻算法編碼速率約為10 Kb/s,視頻算法編碼速率約為1 Mb/s(視不同圖像質量和算法而有不同)。
針對這些特點,設計加密引擎協(xié)助IP視頻電話終端完成各類數(shù)據加密功能,密鑰協(xié)商和密鑰管理由IP視頻電話終端處理,兩者之間通過SPI總線通信。
1.硬件設計
1.1 處理器選擇
針對IP視頻電話通信的特點處理器可以選擇專用密碼算法芯片,但在使用上缺乏靈活性,如果需要更改密碼算法或者相關參數(shù),需重新設計,因此本系統(tǒng)選用TI公司的DSP處理器TMS320C6416T。TMS320C6416T是基于VelociTI.2TM構架的32位定點高性能DSP處理器,主頻高達1GHz,處理能力可達8 000 MIPS[1]。它采用超長指令字結構(VLIW),每個時鐘周期可以執(zhí)行8條指令。TMS320C6416T內部集成大容量存儲器,采用兩級緩存結構,即一級緩存(L1)和二級緩存(L2)。
TMS320C6416T強大的計算、數(shù)據存儲能力大大縮短了實現(xiàn)各種算法的時間,迎合了IP視頻電話通信的實時性要求。它既可用于IP視頻電話終端加密,也可擴展用于其他大流量數(shù)據加密(如流媒體服務器)。在處理更改加密算法、系統(tǒng)參數(shù)和通信接口方面,相對于專用處理器,DSP更具靈活性和可擴展性。
1.2 硬件結構及注意事項
加密引擎以TMS320C6416T為核心,包括SDRAM、Flash、電源、JTAG接口、看門狗等。加密引擎和IP視頻電話終端通過SPI總線通信,硬件總體結構如圖1所示。
!['></center><br />
SDRAM采用HY57V283220T(4 M×32 bit),工作時鐘為133 MHz,用于數(shù)據存儲。Flash采用39VF800A(8 M×16 bit),存取速度為70 ns,100 000次可擦寫,用于程序存儲和DSP上電自舉。電源為整個系統(tǒng)供電,看門狗用于監(jiān)視系統(tǒng)的正常運行,JTAG接口用于DSP仿真調試。<br />
IP視頻電話終端除了向加密引擎發(fā)送待處理數(shù)據和命令外,還需具備密鑰協(xié)商和管理、用戶權限控制、網絡傳輸?shù)榷喾N功能。在設計過程中,應重點注意以下問題:<br />
(1) DSP、SDRAM等芯片的功耗較大,需根據具體功耗參數(shù)設置合理的電源和地線的布線寬度,注意電路板在物理空間的散熱問題;考慮DSP為BGA封裝,PCB應采用多層板設計(8層或更多層),設置單獨的電源層和地層,以提高系統(tǒng)的可靠性。<br />
(2) DSP工作在1 GHz主頻下、SDRAM工作在133 MHz時鐘頻率下,布局布線時要充分考慮信號的完整性。在實際設計中采用合適的總線拓撲結構、合理的疊層結構,對高速數(shù)字信號線在仿真的基礎上加入適當?shù)亩私酉盘柗瓷洌越鉀Q高速信號完整性問題。<br />
<b>2.軟件設計</b><br />
<b>2.1 算法選擇及加密方式</b><br />
2.1.1 AES算法和工作模式<br />
IP視頻電話數(shù)據流量大,SIP信令和音視頻數(shù)據采用UDP方式傳輸,不可避免地存在數(shù)據丟包問題,因而使用分組密碼算法較為合適。考慮密碼算法的速度和安全性等因素,本系統(tǒng)采用AES分組密碼算法實現(xiàn)各種數(shù)據端到端加密。<br />
AES算法作為迭代分組密碼算法其分組長度和密鑰長度均可改變,在使用上更加靈活安全。論證表明,它能夠抵抗所有目前技術水平下的已知和潛在的密碼攻擊,是更加安全可靠的加密算法。AES使用長為32×Nk(Nk=4、6、8)的比特流作為密鑰,每次對長為32×Nb(Nb=4、6、8)比特的明文組進行加密,得到的密文組長為32×Nb比特,迭代輪數(shù)Nr=Max(Nb,Nk)+6。<br />
AES算法有5種基本工作模式:ECB、CBC、OFB、CFB、CTR。考慮到IP數(shù)據包丟失問題,如采用反饋模式需考慮數(shù)據同步問題,因而降低了數(shù)據處理效率。而ECB模式簡單易操作,不存在數(shù)據丟失產生的通信同步問題SIP信令中的會話描述符SDP和音視頻數(shù)據都沒有固定的格式,攻擊者也難以通過統(tǒng)計特性分析密文,因而采用ECB模式是安全易行的。<br />
2.1.2 數(shù)據加密方式<br />
在IP網絡中,視頻和音頻數(shù)據是分類打包、分段傳輸?shù)模蚨鴮λ鼈兊募用芴幚硪残鑶为氝M行。目前針對視頻數(shù)據主要有選擇性加密和完全加密2種方式[4]。選擇性加密利用視頻數(shù)據的數(shù)據結構,對視頻流中的部分數(shù)據(如I幀)加密,這有利于減小系統(tǒng)開銷,但安全性較差。而完全加密不考慮視頻數(shù)據結構,加密所有視頻碼流,雖然系統(tǒng)開銷較大,但安全性較高。本系統(tǒng)對視頻、音頻數(shù)據、SIP信令均采用完全加密方式。<br />
<b>2.2 通信機制和數(shù)據格式</b><br />
2.2.1 通信機制<br />
DSP和IP視頻電話終端通過SPI總線通信,SPI作為一種串行同步通信方式,通信速率可達到4 Mb/s或者更高,適合音視頻數(shù)據傳輸。在本系統(tǒng)中,將DSP的多通道緩沖串行口McBSP[2]配置為SPI模式,IP視頻電話終端配置為主設備,DSP配置為從設備。<br /><div align=center style=](http://cn.ctiforum.com/uploadfile/2012/0609/20120609014240425.gif)
共 2 頁:1 2 
