洪艷偉

摘要：針對(duì)目前網(wǎng)絡(luò)視頻傳輸過(guò)程靠單一方案實(shí)施加密處理且都是依靠計(jì)算機(jī)平臺(tái)的問(wèn)題，設(shè)計(jì)了面向網(wǎng)絡(luò)視頻環(huán)境的采用綜合加密方案的高安全性嵌入式路由器。利用FPGA開(kāi)發(fā)系統(tǒng)與uclinux將Qi超混沌、Logistic映射、Baker映射和Cat映射的算法應(yīng)用于視頻加密與解密，綜合采用了在線加密、離線加密、隨機(jī)加密以及多重加密的方式使數(shù)據(jù)的安全性更強(qiáng)；創(chuàng)建分包協(xié)議解決了uclinux TCP/IP棧小的缺陷以及網(wǎng)絡(luò)丟包問(wèn)題。經(jīng)過(guò)長(zhǎng)時(shí)間測(cè)試，系統(tǒng)能夠穩(wěn)定運(yùn)行且具有較高的安全性。系統(tǒng)所采用的處理器為87MHz，內(nèi)存為10M，以較低的硬件成本實(shí)現(xiàn)了復(fù)雜的加密算法，性價(jià)比高，且具有很好的可移植性，平臺(tái)的應(yīng)用前景廣闊。

關(guān)鍵詞：FPGA；Uclinux；混沌；加密；網(wǎng)絡(luò)視頻

隨著網(wǎng)絡(luò)化程度的日漸提高，在網(wǎng)絡(luò)環(huán)境中，通訊與資源共享使得人們的生產(chǎn)生活變得更為便捷、高效。視頻作為信息的載體，越來(lái)越受到人們的關(guān)注，然而，網(wǎng)絡(luò)視頻的安全性也成為一個(gè)亟待解決的問(wèn)題，在網(wǎng)絡(luò)視頻環(huán)境中，因此設(shè)計(jì)具有高安全性能的嵌入式路由器具有重要的現(xiàn)實(shí)意義。

針對(duì)目前狀況，學(xué)者開(kāi)始嘗試將對(duì)初態(tài)非常敏感的混沌系統(tǒng)應(yīng)用到加密領(lǐng)域，發(fā)揮混沌系統(tǒng)的諸多優(yōu)勢(shì)來(lái)保證交換數(shù)據(jù)信息的安全性和完整性，而且已獲得了實(shí)質(zhì)性進(jìn)展。文獻(xiàn)中就混沌理論應(yīng)用于信息產(chǎn)品安全性保護(hù)領(lǐng)域的可行性做了詳細(xì)闡述，并說(shuō)明了操作要求和方法步驟；文獻(xiàn)證實(shí)了Baker映射用于圖像加密的可行性與較高的安全性。文獻(xiàn)和文獻(xiàn)針對(duì)不同種類(lèi)的混沌方程所取得的安全效果做了詳細(xì)對(duì)比，對(duì)各種保密方案進(jìn)行了權(quán)衡。其中，文獻(xiàn)中的研究對(duì)象僅限于圖像；文獻(xiàn)是對(duì)影像視頻進(jìn)行了實(shí)驗(yàn)和分析，不足之處是僅僅使用單一方案實(shí)施加密處理，而且都是停留在計(jì)算機(jī)平臺(tái)上。

1設(shè)計(jì)方案

圖1為嵌入式路由器的典型應(yīng)用。工作在以太網(wǎng)環(huán)境中，通訊雙方采用客戶端服務(wù)器模型。

從使用角度講，該路由器與普通路由器的使用方法一致：它擁有一個(gè)局域網(wǎng)接口和一個(gè)廣域網(wǎng)接口，只要將兩個(gè)接口的網(wǎng)絡(luò)參數(shù)設(shè)置在不同網(wǎng)段即可正常工作。

從功能角度來(lái)講，嵌入式路由器在實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)功能的前提下，還需要應(yīng)對(duì)網(wǎng)絡(luò)視頻大數(shù)據(jù)量的特點(diǎn)，同時(shí)實(shí)現(xiàn)加密與解密功能。工作流程為：服務(wù)器將視頻數(shù)據(jù)壓縮后傳遞到網(wǎng)絡(luò)中，服務(wù)器端的嵌入式路由器得到數(shù)據(jù)之后利用加密算法將數(shù)據(jù)流加密之后再轉(zhuǎn)發(fā)到以太網(wǎng)：在客戶端，數(shù)據(jù)包首先被客戶端的嵌入式路由器獲得并進(jìn)行相應(yīng)的解密，這樣客戶端將得到的數(shù)據(jù)解壓后便可正常播放。

2平臺(tái)搭建

2.1 FPGA硬件系統(tǒng)設(shè)計(jì)

與傳統(tǒng)嵌入式開(kāi)發(fā)相比，F(xiàn)PGA開(kāi)發(fā)的區(qū)別之一在于芯片內(nèi)部硬件系統(tǒng)的配置。Xilinx提供了許多IP核供用戶使用，這些IP核可以看作是硬件控制器，或者是為完成某一特定功能而專(zhuān)門(mén)設(shè)計(jì)的電路系統(tǒng)，F(xiàn)PGA的CPU需要通過(guò)這些IP核來(lái)實(shí)現(xiàn)對(duì)外部電路的控制。

系統(tǒng)使用32位處理器MicroBlaze，處理器連接兩個(gè)緩存控制器LMB BRAM Cntlr分別用作數(shù)據(jù)和指令緩存；系統(tǒng)總線使用Xilinx提供的PLB總線，PLB總線上掛接各個(gè)外設(shè)。對(duì)外設(shè)進(jìn)行一下說(shuō)明：MDMIP核將作為MicroBlaze與上位機(jī)的調(diào)試接口；MPMC核稱(chēng)為內(nèi)存控制器，將用來(lái)外接系統(tǒng)內(nèi)存；DART核為串口控制IP核，負(fù)責(zé)外接串口設(shè)備，該設(shè)備在嵌入式開(kāi)發(fā)中將作為系統(tǒng)的標(biāo)準(zhǔn)輸入輸出設(shè)備使用；Timer為定時(shí)器IP核，將作為uclinux的系統(tǒng)時(shí)鐘；GPIO核是一種總線控制IP核，負(fù)責(zé)與大多數(shù)的10設(shè)備連接，在本設(shè)計(jì)中，GPIO總線上將掛接指示燈以表示系統(tǒng)的工作狀態(tài)；兩個(gè)Ethernetlite核將負(fù)責(zé)對(duì)網(wǎng)卡的控制，Ethernetlite核內(nèi)集成了MAC層協(xié)議。

3軟件開(kāi)發(fā)

3.1通信程序設(shè)計(jì)

在成功移植uclinux的基礎(chǔ)上，利用交叉編譯環(huán)境編寫(xiě)目標(biāo)板通信程序，程序流程如圖2所示。

初始化網(wǎng)絡(luò)接口A和B：主要是對(duì)網(wǎng)卡的IP地址，子網(wǎng)掩碼等網(wǎng)絡(luò)信息的設(shè)置。在偵聽(tīng)網(wǎng)卡過(guò)程中，當(dāng)接到B口的握手信息時(shí)，便將一個(gè)標(biāo)志位FLAG置位，表示將開(kāi)始路由功能。當(dāng)從端口讀到數(shù)據(jù)時(shí)，若此時(shí)FLAG已經(jīng)置位，就加密或解密該數(shù)據(jù)包并轉(zhuǎn)發(fā)出去；如果標(biāo)志位沒(méi)有置位則直接丟棄該包。當(dāng)從A口得到結(jié)束信息時(shí)，復(fù)位FLAG標(biāo)志位以結(jié)束路由功能。

3.2分包協(xié)議設(shè)計(jì)

分包協(xié)議主要是針對(duì)網(wǎng)絡(luò)的MTU問(wèn)題而設(shè)計(jì)的：一般以太網(wǎng)的MTU值為1500，petalinux內(nèi)部也設(shè)置自己的MTU為1500，但是petalinuxr包含的TCP/IP協(xié)議裝置不具備分片能力，從而導(dǎo)致petalinux對(duì)長(zhǎng)度超過(guò)1500的信息實(shí)施轉(zhuǎn)發(fā)。針對(duì)這一問(wèn)題，模仿分片協(xié)議的基本程序研制出分包協(xié)議用于功能調(diào)節(jié)。

分包協(xié)議一般在客戶端軟件中或服務(wù)器內(nèi)發(fā)揮作用。當(dāng)系統(tǒng)發(fā)送容量較大的信息時(shí)，需要使用圖5所示的分片形式把信息拆分成長(zhǎng)度不大于1500的信息片，然后才能發(fā)送成功。數(shù)據(jù)包分片格式中，major部分表示需發(fā)送的數(shù)據(jù)的ID信息，minor部分的包含分片次序與其數(shù)量的信息。信息發(fā)送完成之后，終端將按照major與minor部分包含的信息重新組合成與原型相同的數(shù)據(jù)包，如表l所示。

另外客戶端還需要處理丟片的問(wèn)題：由于種種原因丟失了部分分片的數(shù)據(jù)包必須被拋棄。對(duì)此，在客戶端建立一個(gè)如圖2所示大小為100*1500的存儲(chǔ)池，利用一個(gè)Point指針指向當(dāng)前的分片。當(dāng)收到一個(gè)新分片時(shí)，若不是最后一片則直接放到Point所指位置并將Point加1；否則遍歷存儲(chǔ)池找到該包的所有分片，若分片齊全則重組數(shù)據(jù)包，否則直接丟棄。經(jīng)過(guò)這樣的設(shè)計(jì)，至多會(huì)在收到100個(gè)分片之后將丟失分片的數(shù)據(jù)包覆蓋。

此項(xiàng)協(xié)議內(nèi)容的構(gòu)建對(duì)嵌入式路由器來(lái)說(shuō)具有公開(kāi)性，它的正常使用對(duì)系統(tǒng)條件的要求很低，這將對(duì)系統(tǒng)整體功能的增強(qiáng)打下了基礎(chǔ)。由實(shí)驗(yàn)效果可知：如果該協(xié)議建立完整并且功能正常，對(duì)應(yīng)的數(shù)據(jù)終端可以經(jīng)由嵌入式路由器接接受視頻信息而且能夠?qū)崿F(xiàn)正常的放映。

4加密與解密算法實(shí)現(xiàn)

4.1加密與解密算法

混沌的很多基木特性如對(duì)初始條件和控制參量的敏感性，或正的Lyapunov指數(shù)，混合性，遍歷性，確定性及長(zhǎng)期不可預(yù)測(cè)性，都可以與傳統(tǒng)密碼學(xué)中的基本特性混淆和擴(kuò)散聯(lián)系起來(lái)，利用混沌系統(tǒng)加密視頻已成為一個(gè)熱點(diǎn)。

在進(jìn)行加密操作時(shí)，它使用的算法原理是：在Qi系統(tǒng)平臺(tái)內(nèi)，將logistic映射、Baker映射和cat映射結(jié)合起來(lái)發(fā)揮功能。置亂原理是指不改變數(shù)據(jù)的值，而是改變各值在幀內(nèi)的位置。以二維離散Baker映射為例，對(duì)于N×N的矩形數(shù)據(jù)塊，ni為密鑰，且ni能被N整除，Baker映射的一般性公式：

對(duì)密鑰（n₁，n₂，…，n_k），有：

4.2在線加密與離線加密

在線加密是指針對(duì)每一個(gè)分片動(dòng)態(tài)生成一個(gè)密鑰，密鑰隨分片一同發(fā)送，加密與解密端都需要對(duì)每一個(gè)分片實(shí)時(shí)計(jì)算一組混沌序列。密鑰的不確定性在一定程度上提高了系統(tǒng)安全性。

然而在線方式的大量計(jì)算往往是嵌入式系統(tǒng)難以承受的，一個(gè)折中的方案是適當(dāng)減少對(duì)每一分片的加密長(zhǎng)度即對(duì)視頻數(shù)據(jù)進(jìn)行部分加密。實(shí)驗(yàn)表明對(duì)一個(gè)約為1300字節(jié)的分片，加密500字節(jié)便可獲得非常滿意的效果，同時(shí)也可保證嵌入式系統(tǒng)有效運(yùn)行。表2中給出了在線部分加密方式中Cat映射和Baker映射對(duì)嵌入式系統(tǒng)CPU資源的占用情況（由于算法均原址加密，內(nèi)存消耗很少，故重點(diǎn)考慮CPU的效率）：表明在現(xiàn)有平臺(tái)的資源環(huán)境下可以順利實(shí)現(xiàn)基于數(shù)據(jù)置亂的加密解密算法。

在離線加密中，密鑰是固定的，在程序初始化階段即計(jì)算出所需的混沌序列并加以保存，以后的加密解密工作僅以查表方式獲得混沌序列值。離線方式徹底避免了混沌系統(tǒng)大量的計(jì)算，是在安全性與效率之間的一個(gè)折中。而且超混沌方程迭代過(guò)程中需對(duì)每一個(gè)值解一次龍格庫(kù)塔方程，計(jì)算量更大，因此離線方式對(duì)超混沌方程尤為適用。

表3給出了logistic映射和Qi超混沌分別在在線加密與離線加密方式卜的嵌入式路由器CPU消耗情況對(duì)比。

在離線加密方式下，基于數(shù)據(jù)混淆的加密算法對(duì)CPU的消耗有非常明顯的下降，而在在線方下式，在現(xiàn)有平臺(tái)上這2種加密算法幾乎是不可實(shí)現(xiàn)的。

綜合以上，此設(shè)計(jì)對(duì)Baker映射、Cat映射采用在線方式，對(duì)Logistic映射和Qi超混沌方程采用離線方式。

當(dāng)采用并進(jìn)行二次加密的方式時(shí)，系統(tǒng)內(nèi)的在線與離線加密同時(shí)存在，其安全和穩(wěn)定性大大增強(qiáng)。表4所示不同組合方式下，嵌入式系統(tǒng)CPU占用情況。

在各種組合方式下，CPU資源最大消耗也僅在百分之五十左右，加之uclinux內(nèi)核經(jīng)過(guò)裁剪之后，多余的系統(tǒng)負(fù)擔(dān)已經(jīng)很少，因而完全能夠承擔(dān)雙重加密與解密工作，實(shí)驗(yàn)證明在雙重加密解密方式下，可得到流暢的視頻效果。

6結(jié)語(yǔ)

針對(duì)于網(wǎng)絡(luò)視頻的傳輸，文章在充分考慮網(wǎng)絡(luò)安全性的情況下，實(shí)現(xiàn)了對(duì)嵌入式網(wǎng)絡(luò)路由器的設(shè)計(jì)。在使用上，與傳統(tǒng)的路由器完全一致，免去了一般用戶再學(xué)習(xí)的麻煩。提出了在線加密、離線加密、隨機(jī)加密以及多重加密方法，使得系統(tǒng)的安全性得到提高；利用較低頻率的處理器（87MhzMicroBlaze處理器）與較少的內(nèi)存容量（10M）實(shí)現(xiàn)了各種復(fù)雜的混沌算法，具有較高的性價(jià)比；基于uclinux的設(shè)計(jì)使系統(tǒng)具有良好的可移植性。通過(guò)在局域網(wǎng)內(nèi)對(duì)系統(tǒng)進(jìn)行測(cè)試，結(jié)果顯示，該系統(tǒng)可以穩(wěn)定累積運(yùn)行48小時(shí)，具有較高的可靠性。