作者:王斌、潘吉超、張正炎
移動視頻指揮系統現廣泛應用于部隊非涉密軍事行動,如搶險救災、反恐處突、重大地方活動保障等,具有機動靈活、快速便捷、直觀高效等特點。加裝量子保密機后,可傳輸更高密級信息,拓展了系統在部隊中的使用范圍,可為部隊機動、野戰開設、作戰行動提供有效視頻通信手段。
一、移動視頻指揮系統的構成
移動視頻指揮系統主要由終端系統、專用信道、入網認證管理系統、視音頻應用系統和量子加密系統五部分組成,其中終端系統和量子加密終端可配置于指揮車輛、單兵或固定指揮場所,入網認證管理系統、視音頻應用系統和量子加密系統可配置于坑道或高安全級別的機房。系統組織結構如下圖所示:
(一)終端系統
終端系統包括移動網關、音視頻設備、控制終端組成。移動網關集音視頻采集、解壓縮和無線網絡傳輸等功能為一體,可將采集后的音視頻信號,通過無線網絡傳輸至后臺的視音頻服務器。視音頻服務器進行音頻、視頻的管理交換,可實現各指揮所之間的音視頻交互通信。控制終端中安裝有控制軟件,可對音視頻信號進行相關參數設置,同時可對組網會議進行遠程管理控制。 (二)專用無線信道
專用無線信道可采用4G VPN、軍用寬帶電臺、wifi自組網等方式。在非軍事行動中,一般采用信號穩定、覆蓋范圍更廣的4G VPN系統。該系統具備一定的安全措施,如身份驗證、空中加密傳輸、專線連接等。4G VPN專網業務流程圖如下所示:
4G VPN專網只提供網絡傳輸信道,用戶開機后與VPN專網建立空中加密信道,發送上網請求,SGSN通過HLR對用戶序列號和接入點域名做合法性檢驗,通過驗證后在DNS服務器查找接入點域名所對應的專用GGSN,以該GGSN作為一個代理,依托光纖專線與LNS網關路由器之間建立L2TP隧道,實現用戶PPP報文透傳。 (三)入網認證管理系統
入網認證管理系統主要包括LNS網關路由器、AAA認證服務器和IP-IP路由器等。LNS網關路由器主要用于實現與4G VPN專網中的GGSN連接并建立L2TP隧道,是L2TP隧道的邏輯終點。AAA服務器是驗證、授權和記費的簡稱,主要進行身份認證、授權以及用戶信息的存儲、策略管理等。L2TP隧道將用戶封裝的原始PPP數據包傳送到隧道終點后,LNS網關路由器解包還原為用戶發起的原始數據包,AAA認證服務器根據數據包中的用戶ID、密碼和設備識別碼及串號等對用戶進行認證,并設定用戶權限,通知LNS網關路由器為用戶分配固定軍網IP地址。 IP-IP路由器是實現IP-IP隧道協議的網絡設備,具有根據發送和接收IP數據包報頭自動添加IP-IP隧道功能,是專為移動網關設計的專用路由器。不同網段的車載或單兵終端發送的數據包經過移動網關的路由模塊,按照預先設定的規則自動轉化為同一網段的IP地址,實現點對點跨網段互通。與固定側網絡互通時,經IP-IP路由器按相反規則還原為原地址進行通信,實現系統路由免配置。 (四)視音頻應用系統
視音頻應用系統主要包括視頻服務器、視音頻編解碼服務器、視音頻矩陣、調音臺、音箱、話筒、大屏幕顯示系統以及視頻會議系統軟件等。視音頻應用系統工作流程如下圖所示:
由移動網關采集的音視頻信息,通過專用信道傳送至視頻服務器,視頻服務器根據會議要求,對音頻和視頻信號進行交換,實現多方視頻通信。本地音視頻需通過視頻編解碼服務器進行解碼或編碼,而后通過視頻矩陣和調音臺還原為模擬信號,收聽收看。 二、量子加密的實現原理
為確保4G移動通信具有更高的安全性,選擇在移動網關和音視頻服務器兩端加裝量子網絡加密機。量子網絡加密機是支持量子密鑰的網絡數據傳輸加密設備,通過IPSec VPN加密隧道實現IP層數據加解密、消息來源正確性驗證、密鑰管理等功能。秘鑰則通過量子真隨機數發生器獲取,并儲存于加密機內置的秘鑰池中。 (一)IPSec VPN加密隧道
IPSec是IETF組織定義的一組協議,用于增強IP網絡的安全性,建立IPSec VPN連接需要三個步驟:步驟一,流量觸發IPSec。IPSec建立過程是由對等體之間發送的流量觸發的,一旦有VPN流量經過加密設備,連接過程便開始建立了。步驟二,建立管理連接。加密機兩端根據D-H算法生成對稱秘鑰,協商和建立管理連接,并驗證遠程系統的標識。該管理連接是一個準備工作,不傳輸實際數據,只是就協議、加密算法和使用的密鑰進行協商。步驟三,建立數據連接。IPSec基于安全的管理連接,協商建立一個或多個用于IPSec通信的數據連接。一般為兩條:一條接受數據,一條發送數據。
IPSec對原來的IP數據進行了封裝和加密,加上了新的IP頭,如果封裝安全負荷ESP用在網關中,外層的未加密IP頭包含網關的IP地址,內層加密的IP頭包含真實的源和目標地址,這樣可以防止偷聽者分析源頭和目標之間的通信量。
(二)量子真隨機數發生器 產生隨機數的方法有兩種:偽隨機數發生器和真隨機數發生器。偽隨機數是通過數學的方法由計算機產生,對于同樣的種子,產生的隨機序列是相同的。如果攻擊者擁有足夠的計算能力,則可以對偽隨機數加密進行破解。為了令攻擊者即使有無限的計算能力,在已知現有序列的情況下也無法成功預測下一位產生的隨機數,就需要使用真隨機數發生器。
根據量子力學的量子態疊加原理,量子系統可以處在對應一個力學量的本征態的疊加態,對疊加態的測量將使系統按照一定的概率隨機地塌陷到某個本征態,測量的結果是不確定的。這種不確定性完全是一種量子效應。通過測量某些量子系統的可觀察量來獲取隨機數,它的隨機性是由量子力學理論保證的,是內在的,不受外物控制的,具有真正的隨機性、不可預知性和不可重現性。
量子真隨機數發生器采用高速脈沖激光器作為光源,最大可以提供1000MHz的光脈沖頻率,采用Faraday-Michelson延時環結構,該結構通過BS將入射光分成兩路,兩路光的光程不同,一路走長臂,一路走短臂,通過長臂和短臂末端的法拉第鏡將兩路光分別反射回去,并在出口處形成相位干涉,經PIN管進行采樣后形成隨機脈沖信號,最后通過ADC器件對隨機脈沖信號的幅度進行AD轉換,最后再經過數據后處理操作得到真隨機數的0、1序列。
設備形態上采用PCIe接口,方便集成到計算機中,使用靈活方便,并且具有很好的擴展性和升級優化空間。 三、系統應用 (一)部隊機動
部隊機動途中,4G移動視頻終端可配置在指揮車輛,在建設有4G基站的路段使用,作為衛星機動通信的備份或補盲手段。指揮員可通過該系統對各下屬單位進行指揮管控,掌握部隊實時機動信息,發布指令,組織作戰籌劃。 (二)部隊宿營
部隊駐停或宿營時,該系統可由車上轉入野戰帳篷,用于異地聯動指揮籌劃,也可由單兵攜帶前出預警,作為警戒防御手段之一。如宿營地無4G信號覆蓋的區域,可利用4G移動基站或寬帶自組網電臺作為備份或補盲手段,形成覆蓋宿營區域的專用網絡。 (三)部隊作戰
在渡海登島作戰行動中,可將全系統轉移至艦載指揮所,各艦載指揮所使用寬帶自組網電臺作為組網手段,使用移動視頻指揮終端組織視頻指揮協同,作為衛星通信的備份手段之一。
