■ 厦门 王斌 李进珍

编者按：移动视频系统应用需要有较强的安全保障，随着5G技术的发展，这一问题变得更为突出。因此，如何实现移动数据加密，是拓展移动视频系统应用的难题。本文结合系统实际应用，介绍了量子加密基本程序，提供了具体实现及应用的架构和方式。

随着5G技术的快速发展,移动视频系统应用将更加便利广泛，特别是在诸如抢险救灾、反恐处突、区域监控等活动保障方面。出于业务保障需要，如何实现移动数据加密，是拓展移动视频系统应用的卡口难题。基于量子技术达成移动数据加密传输可有效解决应用中数据安全性问题。

本文结合系统实际应用，介绍了量子加密基本程序，提供了具体实现及应用的架构和方式。

量子加密的基本原理

本案例为确保移动通信的安全性，采用了量子网络加密机和IPSec技术。量子网络加密机是支持量子密钥的网络数据传输加密设备，通过IPSec VPN加密隧道实现IP层数据加解密、消息来源正确性验证以及密钥管理等功能。

加密隧道密钥是通过量子真随机数发生器获取，并储存于加密机内置的秘钥池中，在原理上达到了真随机加密，整体构成量子加密系统。

1.量子真随机数发生器

产生随机数的方法有两种：伪随机数发生器和真随机数发生器。伪随机数是通过数学的方法由计算机产生，对于同样的种子，产生的随机序列是相同的。如果攻击者拥有足够的计算能力，则可以对伪随机数加密进行破解。

根据量子力学的量子态叠加原理，量子系统可以处在对应一个力学量的本征态的叠加态，对叠加态的测量将使系统按照一定的概率随机地塌陷到某个本征态，测量的结果是不确定的。这种不确定性完全是一种量子效应。通过测量某些量子系统的可观察量来获取随机数，它的随机性是由量子力学理论保证的，是内在的且不受外物控制的，具有真正的随机性、不可预知性和不可重现性。

量子真随机数发生器采用高速脉冲激光器作为光源，最大可以提供1000 MHz的光脉冲频率，并采用Faraday-Michelson延时环结构。该结构通过BS将入射光分成两路，两路光的光程不同，一路走长臂，一路走短臂，通过长臂和短臂末端的法拉第镜将两路光分别反射回去，并在出口处形成相位干涉，经PIN管进行采样后形成随机脉冲信号。最后通过ADC器件对随机脉冲信号的幅度进行AD转换，再经过数据后处理操作得到真随机数的0、1序列。如图1所示。

量子真随机数发生器通过硬件设计，定制光源和数据处理，提供设PCIe接口，可方便集成到计算机中，经过处理转换序列即可生成所需的加密密钥，使用灵活方便，有很好的扩展性和升级优化空间。

2.IPSec VPN加密隧道

IPSec是IETF组织定义的一组协议，用于增强IP网络的安全性。

建立IPSec VPN连接需要以下三个步骤。

步骤一，通过流量触发IPSec。IPSec建立过程是由对等体之间发送的流量触发的，一旦有VPN流量经过加密设备，连接过程便开始建立了。

图1 量子真随机数发生器工作原理

图2 IPSec对原来的IP数据进行封装和加密

步骤二，建立管理连接。加密机两端根据D-H算法生成对称秘钥，协商和建立管理连接，并验证远程系统的标识。该管理连接是一个准备工作，不传输实际数据，只是就协议、加密算法和使用的密钥进行协商。

（二）教师通过课题的研究活动，加深教师对数学基本活动经验的认识，提高数学课堂的教学设计与执行能力，促进教师团队整体的专业发展。

步骤三，建立数据连接。IPSec基于安全的管理连接，协商建立一个或多个用于IPSec通信的数据连接。连接一般为两条：一条接受数据，一条发送数据。

IPSec对原来的IP数据进行了封装和加密，加上了新的IP头，如果封装安全负荷ESP用在网关中，外层的未加密IP头包含网关的IP地址，内层加密的IP头包含真实的源和目标地址。这样可以防止偷听者分析源头和目标之间的通信量。如图2所示。

移动视频系统的实现

移动视频系统主要由终端系统、专用信道、入网认证管理系统、视音频应用系统和量子加密系统五部分组成。其中，终端系统和量子加密终端可配置于车辆、单人或固定场所，入网认证管理系统、视音频应用系统和量子加密系统可配置于高安全级别的机房。系统组织结构如图3所示。

1.终端系统

终端系统包括移动网关、音视频设备和控制终端。移动网关集音视频采集、解压缩和无线网络传输等功能为一体，可将采集后的音视频信号，通过无线网络传输至后台的视音频服务器。视音频服务器进行音频、视频的管理交换，可实现音视频交互通信。控制终端中安装有控制软件，可对音视频信号进行相关参数设置，同时可以对组网会议进行远程管理控制。

2.专用无线信道

专用无线信道可采用5G VPN、宽带电台、WiFi自组网等方式。在实际应用中，一般采用信号稳定、覆盖范围更广的5G VPN系统。该系统具备一定的安全措施，如身份验证、空中加密传输、专线连接等。5G VPN专网业务流程图如图4所示。

5G VPN专网只提供网络传输信道，用户开机后与VPN专网建立空中加密信道，发送上网请求。SGSN通过HLR对用户序列号和接入点域名做合法性检验，通过验证后在DNS服务器查找接入点域名所对应的专用GGSN，以该GGSN作为一个代理，依托光纤专线与LNS网关路由器之间建立L2TP隧道，实现用户PPP报文透传。

图3 移动视频系统组织结构

图4 5G VPN专网业务流程图

3.入网认证管理系统

入网认证管理系统主要包括LNS网关路由器、AAA认证服务器和IP-IP路由器等。

LNS网关路由器主要用于实现与5G VPN专网中的GGSN连接并建立L2TP隧道，是L2TP隧道的逻辑终点。AAA服务器是验证、授权和记费的简称，主要进行身份认证、授权以及用户信息的存储、策略管理等。

L2TP隧道将用户封装的原始PPP数据包传送到隧道终点后，LNS网关路由器解包还原为用户发起的原始数据包，AAA认证服务器根据数据包中的用户ID、密码和设备识别码及串号等对用户进行认证，并设定用户权限，通知LNS网关路由器为用户分配固定IP地址。

IP-IP路由器是实现IPIP隧道协议的网络设备，具有根据发送和接收IP数据包报头自动添加IP-IP隧道的功能，是专为移动网关设计的专用路由器。不同网段的终端所发送的数据包经过移动网关的路由模块，按照预先设定的规则自动转化为同一网段的IP地址，实现点对点跨网段互通。在与固定侧网络互通时，经IP-IP路由器按相反规则还原为原地址进行通信，从而实现系统路由免配置。

4.视音频应用系统

视音频应用系统主要包括视频服务器、视音频编解码服务器、视音频矩阵、调音台、音箱、话筒、大屏幕显示系统以及视频会议系统软件等。视音频应用系统工作流程如图5所示。

由移动网关采集的音视频信息通过专用信道传送至视频服务器，视频服务器根据会议要求，对音频和视频信号进行交换，实现多方视频通信。本地音视频需通过视频编解码服务器进行解码或编码，而后通过视频矩阵和调音台还原为模拟信号，收听收看。

图5 视音频应用系统工作流程

移动视频系统的具体应用

对比传统无线通信，移动网络全面覆盖，移动数据应用越来越广泛，具有覆盖范围广，终端便携和部署方便等优势。

移动数据加密的安全性是专业部门使用移动系统的权衡点，基于量子加密移动视频系统，解决了移动用户最关心的安全保密环节，因此在部分特殊专业领域得到较好应用。

考虑到抢险救灾时间的紧迫性，必须要快速部署，及时向上级传输灾害情况，适时观察灾害发展势头，以便针对性展开救援和派遣。移动视频系统可以实现单人携带，随时部署，随时联网，数据传输经加密处理。为了保证数据传输的可靠性，在没有5G信号覆盖或基站毁坏的条件下，还可采用临时基站和卫星机动通信进行补盲。

在几次山火扑救实践应用中，终端设备体型小巧，救火人员便于携带现场作业。从向火灾地域出发机动，到达地点展开山火扑救，全过程和指挥部门建立视频通联，数据加密传输稳定，视频质量清晰。救火人员通过视频及时得到上级指令，第一时间展开有效手段救火，系统发挥了很好地指挥通联作用。

同时，移动视频系统采用了加密措施，逻辑组建移动网络，不需要担心传输数据不可控。这在野外探测、水文观测和移动视频会议等应用也得到较好使用。