作者:王斌、潘吉超、张正炎
移动视频指挥系统现广泛应用于部队非涉密军事行动,如抢险救灾、反恐处突、重大地方活动保障等,具有机动灵活、快速便捷、直观高效等特点。加装量子保密机后,可传输更高密级信息,拓展了系统在部队中的使用范围,可为部队机动、野战开设、作战行动提供有效视频通信手段。
一、移动视频指挥系统的构成
移动视频指挥系统主要由终端系统、专用信道、入网认证管理系统、视音频应用系统和量子加密系统五部分组成,其中终端系统和量子加密终端可配置于指挥车辆、单兵或固定指挥场所,入网认证管理系统、视音频应用系统和量子加密系统可配置于坑道或高安全级别的机房。系统组织结构如下图所示:
(一)终端系统
终端系统包括移动网关、音视频设备、控制终端组成。移动网关集音视频采集、解压缩和无线网络传输等功能为一体,可将采集后的音视频信号,通过无线网络传输至后台的视音频服务器。视音频服务器进行音频、视频的管理交换,可实现各指挥所之间的音视频交互通信。控制终端中安装有控制软件,可对音视频信号进行相关参数设置,同时可对组网会议进行远程管理控制。 (二)专用无线信道
专用无线信道可采用4G VPN、军用宽带电台、wifi自组网等方式。在非军事行动中,一般采用信号稳定、覆盖范围更广的4G VPN系统。该系统具备一定的安全措施,如身份验证、空中加密传输、专线连接等。4G VPN专网业务流程图如下所示:
4G VPN专网只提供网络传输信道,用户开机后与VPN专网建立空中加密信道,发送上网请求,SGSN通过HLR对用户序列号和接入点域名做合法性检验,通过验证后在DNS服务器查找接入点域名所对应的专用GGSN,以该GGSN作为一个代理,依托光纤专线与LNS网关路由器之间建立L2TP隧道,实现用户PPP报文透传。 (三)入网认证管理系统
入网认证管理系统主要包括LNS网关路由器、AAA认证服务器和IP-IP路由器等。LNS网关路由器主要用于实现与4G VPN专网中的GGSN连接并建立L2TP隧道,是L2TP隧道的逻辑终点。AAA服务器是验证、授权和记费的简称,主要进行身份认证、授权以及用户信息的存储、策略管理等。L2TP隧道将用户封装的原始PPP数据包传送到隧道终点后,LNS网关路由器解包还原为用户发起的原始数据包,AAA认证服务器根据数据包中的用户ID、密码和设备识别码及串号等对用户进行认证,并设定用户权限,通知LNS网关路由器为用户分配固定军网IP地址。 IP-IP路由器是实现IP-IP隧道协议的网络设备,具有根据发送和接收IP数据包报头自动添加IP-IP隧道功能,是专为移动网关设计的专用路由器。不同网段的车载或单兵终端发送的数据包经过移动网关的路由模块,按照预先设定的规则自动转化为同一网段的IP地址,实现点对点跨网段互通。与固定侧网络互通时,经IP-IP路由器按相反规则还原为原地址进行通信,实现系统路由免配置。 (四)视音频应用系统
视音频应用系统主要包括视频服务器、视音频编解码服务器、视音频矩阵、调音台、音箱、话筒、大屏幕显示系统以及视频会议系统软件等。视音频应用系统工作流程如下图所示:
由移动网关采集的音视频信息,通过专用信道传送至视频服务器,视频服务器根据会议要求,对音频和视频信号进行交换,实现多方视频通信。本地音视频需通过视频编解码服务器进行解码或编码,而后通过视频矩阵和调音台还原为模拟信号,收听收看。 二、量子加密的实现原理
为确保4G移动通信具有更高的安全性,选择在移动网关和音视频服务器两端加装量子网络加密机。量子网络加密机是支持量子密钥的网络数据传输加密设备,通过IPSec VPN加密隧道实现IP层数据加解密、消息来源正确性验证、密钥管理等功能。秘钥则通过量子真随机数发生器获取,并储存于加密机内置的秘钥池中。 (一)IPSec VPN加密隧道
IPSec是IETF组织定义的一组协议,用于增强IP网络的安全性,建立IPSec VPN连接需要三个步骤:步骤一,流量触发IPSec。IPSec建立过程是由对等体之间发送的流量触发的,一旦有VPN流量经过加密设备,连接过程便开始建立了。步骤二,建立管理连接。加密机两端根据D-H算法生成对称秘钥,协商和建立管理连接,并验证远程系统的标识。该管理连接是一个准备工作,不传输实际数据,只是就协议、加密算法和使用的密钥进行协商。步骤三,建立数据连接。IPSec基于安全的管理连接,协商建立一个或多个用于IPSec通信的数据连接。一般为两条:一条接受数据,一条发送数据。
IPSec对原来的IP数据进行了封装和加密,加上了新的IP头,如果封装安全负荷ESP用在网关中,外层的未加密IP头包含网关的IP地址,内层加密的IP头包含真实的源和目标地址,这样可以防止偷听者分析源头和目标之间的通信量。
(二)量子真随机数发生器 产生随机数的方法有两种:伪随机数发生器和真随机数发生器。伪随机数是通过数学的方法由计算机产生,对于同样的种子,产生的随机序列是相同的。如果攻击者拥有足够的计算能力,则可以对伪随机数加密进行破解。为了令攻击者即使有无限的计算能力,在已知现有序列的情况下也无法成功预测下一位产生的随机数,就需要使用真随机数发生器。
根据量子力学的量子态叠加原理,量子系统可以处在对应一个力学量的本征态的叠加态,对叠加态的测量将使系统按照一定的概率随机地塌陷到某个本征态,测量的结果是不确定的。这种不确定性完全是一种量子效应。通过测量某些量子系统的可观察量来获取随机数,它的随机性是由量子力学理论保证的,是内在的,不受外物控制的,具有真正的随机性、不可预知性和不可重现性。
量子真随机数发生器采用高速脉冲激光器作为光源,最大可以提供1000MHz的光脉冲频率,采用Faraday-Michelson延时环结构,该结构通过BS将入射光分成两路,两路光的光程不同,一路走长臂,一路走短臂,通过长臂和短臂末端的法拉第镜将两路光分别反射回去,并在出口处形成相位干涉,经PIN管进行采样后形成随机脉冲信号,最后通过ADC器件对随机脉冲信号的幅度进行AD转换,最后再经过数据后处理操作得到真随机数的0、1序列。
设备形态上采用PCIe接口,方便集成到计算机中,使用灵活方便,并且具有很好的扩展性和升级优化空间。 三、系统应用 (一)部队机动
部队机动途中,4G移动视频终端可配置在指挥车辆,在建设有4G基站的路段使用,作为卫星机动通信的备份或补盲手段。指挥员可通过该系统对各下属单位进行指挥管控,掌握部队实时机动信息,发布指令,组织作战筹划。 (二)部队宿营
部队驻停或宿营时,该系统可由车上转入野战帐篷,用于异地联动指挥筹划,也可由单兵携带前出预警,作为警戒防御手段之一。如宿营地无4G信号覆盖的区域,可利用4G移动基站或宽带自组网电台作为备份或补盲手段,形成覆盖宿营区域的专用网络。 (三)部队作战
在渡海登岛作战行动中,可将全系统转移至舰载指挥所,各舰载指挥所使用宽带自组网电台作为组网手段,使用移动视频指挥终端组织视频指挥协同,作为卫星通信的备份手段之一。
0