洪艷偉

摘要：針對目前網(wǎng)絡(luò)視頻傳輸過程靠單一方案實施加密處理且都是依靠計算機(jī)平臺的問題，設(shè)計了面向網(wǎng)絡(luò)視頻環(huán)境的采用綜合加密方案的高安全性嵌入式路由器。利用FPGA開發(fā)系統(tǒng)與uclinux將Qi超混沌、Logistic映射、Baker映射和Cat映射的算法應(yīng)用于視頻加密與解密，綜合采用了在線加密、離線加密、隨機(jī)加密以及多重加密的方式使數(shù)據(jù)的安全性更強(qiáng)；創(chuàng)建分包協(xié)議解決了uclinux TCP/IP棧小的缺陷以及網(wǎng)絡(luò)丟包問題。經(jīng)過長時間測試，系統(tǒng)能夠穩(wěn)定運(yùn)行且具有較高的安全性。系統(tǒng)所采用的處理器為87MHz，內(nèi)存為10M，以較低的硬件成本實現(xiàn)了復(fù)雜的加密算法，性價比高，且具有很好的可移植性，平臺的應(yīng)用前景廣闊。

關(guān)鍵詞：FPGA；Uclinux；混沌；加密；網(wǎng)絡(luò)視頻

隨著網(wǎng)絡(luò)化程度的日漸提高，在網(wǎng)絡(luò)環(huán)境中，通訊與資源共享使得人們的生產(chǎn)生活變得更為便捷、高效。視頻作為信息的載體，越來越受到人們的關(guān)注，然而，網(wǎng)絡(luò)視頻的安全性也成為一個亟待解決的問題，在網(wǎng)絡(luò)視頻環(huán)境中，因此設(shè)計具有高安全性能的嵌入式路由器具有重要的現(xiàn)實意義。

針對目前狀況，學(xué)者開始嘗試將對初態(tài)非常敏感的混沌系統(tǒng)應(yīng)用到加密領(lǐng)域，發(fā)揮混沌系統(tǒng)的諸多優(yōu)勢來保證交換數(shù)據(jù)信息的安全性和完整性，而且已獲得了實質(zhì)性進(jìn)展。文獻(xiàn)中就混沌理論應(yīng)用于信息產(chǎn)品安全性保護(hù)領(lǐng)域的可行性做了詳細(xì)闡述，并說明了操作要求和方法步驟；文獻(xiàn)證實了Baker映射用于圖像加密的可行性與較高的安全性。文獻(xiàn)和文獻(xiàn)針對不同種類的混沌方程所取得的安全效果做了詳細(xì)對比，對各種保密方案進(jìn)行了權(quán)衡。其中，文獻(xiàn)中的研究對象僅限于圖像；文獻(xiàn)是對影像視頻進(jìn)行了實驗和分析，不足之處是僅僅使用單一方案實施加密處理，而且都是停留在計算機(jī)平臺上。

1設(shè)計方案

圖1為嵌入式路由器的典型應(yīng)用。工作在以太網(wǎng)環(huán)境中，通訊雙方采用客戶端服務(wù)器模型。

從使用角度講，該路由器與普通路由器的使用方法一致：它擁有一個局域網(wǎng)接口和一個廣域網(wǎng)接口，只要將兩個接口的網(wǎng)絡(luò)參數(shù)設(shè)置在不同網(wǎng)段即可正常工作。

從功能角度來講，嵌入式路由器在實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)功能的前提下，還需要應(yīng)對網(wǎng)絡(luò)視頻大數(shù)據(jù)量的特點，同時實現(xiàn)加密與解密功能。工作流程為：服務(wù)器將視頻數(shù)據(jù)壓縮后傳遞到網(wǎng)絡(luò)中，服務(wù)器端的嵌入式路由器得到數(shù)據(jù)之后利用加密算法將數(shù)據(jù)流加密之后再轉(zhuǎn)發(fā)到以太網(wǎng)：在客戶端，數(shù)據(jù)包首先被客戶端的嵌入式路由器獲得并進(jìn)行相應(yīng)的解密，這樣客戶端將得到的數(shù)據(jù)解壓后便可正常播放。

2平臺搭建

2.1 FPGA硬件系統(tǒng)設(shè)計

與傳統(tǒng)嵌入式開發(fā)相比，F(xiàn)PGA開發(fā)的區(qū)別之一在于芯片內(nèi)部硬件系統(tǒng)的配置。Xilinx提供了許多IP核供用戶使用，這些IP核可以看作是硬件控制器，或者是為完成某一特定功能而專門設(shè)計的電路系統(tǒng)，F(xiàn)PGA的CPU需要通過這些IP核來實現(xiàn)對外部電路的控制。

系統(tǒng)使用32位處理器MicroBlaze，處理器連接兩個緩存控制器LMB BRAM Cntlr分別用作數(shù)據(jù)和指令緩存；系統(tǒng)總線使用Xilinx提供的PLB總線，PLB總線上掛接各個外設(shè)。對外設(shè)進(jìn)行一下說明：MDMIP核將作為MicroBlaze與上位機(jī)的調(diào)試接口；MPMC核稱為內(nèi)存控制器，將用來外接系統(tǒng)內(nèi)存；DART核為串口控制IP核，負(fù)責(zé)外接串口設(shè)備，該設(shè)備在嵌入式開發(fā)中將作為系統(tǒng)的標(biāo)準(zhǔn)輸入輸出設(shè)備使用；Timer為定時器IP核，將作為uclinux的系統(tǒng)時鐘；GPIO核是一種總線控制IP核，負(fù)責(zé)與大多數(shù)的10設(shè)備連接，在本設(shè)計中，GPIO總線上將掛接指示燈以表示系統(tǒng)的工作狀態(tài)；兩個Ethernetlite核將負(fù)責(zé)對網(wǎng)卡的控制，Ethernetlite核內(nèi)集成了MAC層協(xié)議。

3軟件開發(fā)

3.1通信程序設(shè)計

在成功移植uclinux的基礎(chǔ)上，利用交叉編譯環(huán)境編寫目標(biāo)板通信程序，程序流程如圖2所示。

初始化網(wǎng)絡(luò)接口A和B：主要是對網(wǎng)卡的IP地址，子網(wǎng)掩碼等網(wǎng)絡(luò)信息的設(shè)置。在偵聽網(wǎng)卡過程中，當(dāng)接到B口的握手信息時，便將一個標(biāo)志位FLAG置位，表示將開始路由功能。當(dāng)從端口讀到數(shù)據(jù)時，若此時FLAG已經(jīng)置位，就加密或解密該數(shù)據(jù)包并轉(zhuǎn)發(fā)出去；如果標(biāo)志位沒有置位則直接丟棄該包。當(dāng)從A口得到結(jié)束信息時，復(fù)位FLAG標(biāo)志位以結(jié)束路由功能。

3.2分包協(xié)議設(shè)計

分包協(xié)議主要是針對網(wǎng)絡(luò)的MTU問題而設(shè)計的：一般以太網(wǎng)的MTU值為1500，petalinux內(nèi)部也設(shè)置自己的MTU為1500，但是petalinuxr包含的TCP/IP協(xié)議裝置不具備分片能力，從而導(dǎo)致petalinux對長度超過1500的信息實施轉(zhuǎn)發(fā)。針對這一問題，模仿分片協(xié)議的基本程序研制出分包協(xié)議用于功能調(diào)節(jié)。

分包協(xié)議一般在客戶端軟件中或服務(wù)器內(nèi)發(fā)揮作用。當(dāng)系統(tǒng)發(fā)送容量較大的信息時，需要使用圖5所示的分片形式把信息拆分成長度不大于1500的信息片，然后才能發(fā)送成功。數(shù)據(jù)包分片格式中，major部分表示需發(fā)送的數(shù)據(jù)的ID信息，minor部分的包含分片次序與其數(shù)量的信息。信息發(fā)送完成之后，終端將按照major與minor部分包含的信息重新組合成與原型相同的數(shù)據(jù)包，如表l所示。

另外客戶端還需要處理丟片的問題：由于種種原因丟失了部分分片的數(shù)據(jù)包必須被拋棄。對此，在客戶端建立一個如圖2所示大小為100*1500的存儲池，利用一個Point指針指向當(dāng)前的分片。當(dāng)收到一個新分片時，若不是最后一片則直接放到Point所指位置并將Point加1；否則遍歷存儲池找到該包的所有分片，若分片齊全則重組數(shù)據(jù)包，否則直接丟棄。經(jīng)過這樣的設(shè)計，至多會在收到100個分片之后將丟失分片的數(shù)據(jù)包覆蓋。

此項協(xié)議內(nèi)容的構(gòu)建對嵌入式路由器來說具有公開性，它的正常使用對系統(tǒng)條件的要求很低，這將對系統(tǒng)整體功能的增強(qiáng)打下了基礎(chǔ)。由實驗效果可知：如果該協(xié)議建立完整并且功能正常，對應(yīng)的數(shù)據(jù)終端可以經(jīng)由嵌入式路由器接接受視頻信息而且能夠?qū)崿F(xiàn)正常的放映。

4加密與解密算法實現(xiàn)

4.1加密與解密算法

混沌的很多基木特性如對初始條件和控制參量的敏感性，或正的Lyapunov指數(shù)，混合性，遍歷性，確定性及長期不可預(yù)測性，都可以與傳統(tǒng)密碼學(xué)中的基本特性混淆和擴(kuò)散聯(lián)系起來，利用混沌系統(tǒng)加密視頻已成為一個熱點。

在進(jìn)行加密操作時，它使用的算法原理是：在Qi系統(tǒng)平臺內(nèi)，將logistic映射、Baker映射和cat映射結(jié)合起來發(fā)揮功能。置亂原理是指不改變數(shù)據(jù)的值，而是改變各值在幀內(nèi)的位置。以二維離散Baker映射為例，對于N×N的矩形數(shù)據(jù)塊，ni為密鑰，且ni能被N整除，Baker映射的一般性公式：

對密鑰（n₁，n₂，…，n_k），有：

4.2在線加密與離線加密

在線加密是指針對每一個分片動態(tài)生成一個密鑰，密鑰隨分片一同發(fā)送，加密與解密端都需要對每一個分片實時計算一組混沌序列。密鑰的不確定性在一定程度上提高了系統(tǒng)安全性。

然而在線方式的大量計算往往是嵌入式系統(tǒng)難以承受的，一個折中的方案是適當(dāng)減少對每一分片的加密長度即對視頻數(shù)據(jù)進(jìn)行部分加密。實驗表明對一個約為1300字節(jié)的分片，加密500字節(jié)便可獲得非常滿意的效果，同時也可保證嵌入式系統(tǒng)有效運(yùn)行。表2中給出了在線部分加密方式中Cat映射和Baker映射對嵌入式系統(tǒng)CPU資源的占用情況（由于算法均原址加密，內(nèi)存消耗很少，故重點考慮CPU的效率）：表明在現(xiàn)有平臺的資源環(huán)境下可以順利實現(xiàn)基于數(shù)據(jù)置亂的加密解密算法。

在離線加密中，密鑰是固定的，在程序初始化階段即計算出所需的混沌序列并加以保存，以后的加密解密工作僅以查表方式獲得混沌序列值。離線方式徹底避免了混沌系統(tǒng)大量的計算，是在安全性與效率之間的一個折中。而且超混沌方程迭代過程中需對每一個值解一次龍格庫塔方程，計算量更大，因此離線方式對超混沌方程尤為適用。

表3給出了logistic映射和Qi超混沌分別在在線加密與離線加密方式卜的嵌入式路由器CPU消耗情況對比。

在離線加密方式下，基于數(shù)據(jù)混淆的加密算法對CPU的消耗有非常明顯的下降，而在在線方下式，在現(xiàn)有平臺上這2種加密算法幾乎是不可實現(xiàn)的。

綜合以上，此設(shè)計對Baker映射、Cat映射采用在線方式，對Logistic映射和Qi超混沌方程采用離線方式。

當(dāng)采用并進(jìn)行二次加密的方式時，系統(tǒng)內(nèi)的在線與離線加密同時存在，其安全和穩(wěn)定性大大增強(qiáng)。表4所示不同組合方式下，嵌入式系統(tǒng)CPU占用情況。

在各種組合方式下，CPU資源最大消耗也僅在百分之五十左右，加之uclinux內(nèi)核經(jīng)過裁剪之后，多余的系統(tǒng)負(fù)擔(dān)已經(jīng)很少，因而完全能夠承擔(dān)雙重加密與解密工作，實驗證明在雙重加密解密方式下，可得到流暢的視頻效果。

6結(jié)語

針對于網(wǎng)絡(luò)視頻的傳輸，文章在充分考慮網(wǎng)絡(luò)安全性的情況下，實現(xiàn)了對嵌入式網(wǎng)絡(luò)路由器的設(shè)計。在使用上，與傳統(tǒng)的路由器完全一致，免去了一般用戶再學(xué)習(xí)的麻煩。提出了在線加密、離線加密、隨機(jī)加密以及多重加密方法，使得系統(tǒng)的安全性得到提高；利用較低頻率的處理器（87MhzMicroBlaze處理器）與較少的內(nèi)存容量（10M）實現(xiàn)了各種復(fù)雜的混沌算法，具有較高的性價比；基于uclinux的設(shè)計使系統(tǒng)具有良好的可移植性。通過在局域網(wǎng)內(nèi)對系統(tǒng)進(jìn)行測試，結(jié)果顯示，該系統(tǒng)可以穩(wěn)定累積運(yùn)行48小時，具有較高的可靠性。