關(guān)于嵌入式系統(tǒng)移動(dòng)視頻監(jiān)控終端平臺(tái)安全性的解決方案

移動(dòng)通信業(yè)務(wù)之所以發(fā)展迅猛主要是其滿(mǎn)足了人們?cè)谌魏螘r(shí)間。任何地點(diǎn)與任何個(gè)人進(jìn)行通信的愿望。移動(dòng)通信是實(shí)現(xiàn)未來(lái)理想的個(gè)人通信服務(wù)的必由之路。在信息支撐技術(shù)、市場(chǎng)競(jìng)爭(zhēng)和需求的共同作用下，移動(dòng)通信技術(shù)的發(fā)展更是突飛猛進(jìn)，呈現(xiàn)出以下幾大趨勢(shì)：網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)化、分組化，網(wǎng)絡(luò)技術(shù)寬帶化，網(wǎng)絡(luò)技術(shù)智能化，更高的頻段，更有效利用頻率，各種網(wǎng)絡(luò)趨于融合。所以掌握這些趨勢(shì)對(duì)移動(dòng)通信運(yùn)營(yíng)商和設(shè)備制造商均具有重要的現(xiàn)實(shí)意義。

1 系統(tǒng)拓?fù)浣Y(jié)構(gòu)

圖1是移動(dòng)視頻監(jiān)控系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖。它描述了4個(gè)典型的移動(dòng)視頻監(jiān)控場(chǎng)景。對(duì)于每一個(gè)監(jiān)控現(xiàn)場(chǎng)，首先通過(guò)前端的攝像機(jī)采集視頻監(jiān)控的原始數(shù)據(jù)，這些原始數(shù)據(jù)將通過(guò)在監(jiān)控設(shè)備上提供的視頻編碼器編碼之后通過(guò)CDMA1x模塊發(fā)送到中心服務(wù)器上。由傳統(tǒng)視頻監(jiān)控系統(tǒng)產(chǎn)生的監(jiān)控圖像是通過(guò)有線(xiàn)電視網(wǎng)絡(luò)或者是局域網(wǎng)來(lái)傳輸?shù)?，而本系統(tǒng)的視頻信號(hào)是通過(guò)聯(lián)通公司提供的CDMA1x網(wǎng)絡(luò)傳輸?shù)?。只要被監(jiān)控地點(diǎn)在聯(lián)通公司服務(wù)區(qū)域之內(nèi)，該系統(tǒng)就能對(duì)該監(jiān)控點(diǎn)實(shí)現(xiàn)實(shí)時(shí)監(jiān)控。

2 移動(dòng)視頻監(jiān)控面臨的挑戰(zhàn)

（1）數(shù)字視頻信號(hào)具有如下特點(diǎn)：

①數(shù)據(jù)量大，圖像所包含的信息量遠(yuǎn)比聲音、文字、圖形等所包含的信息量大得多。但與此同時(shí)，數(shù)字化圖像的數(shù)據(jù)量也很大。

②實(shí)時(shí)性要求高，人眼對(duì)視頻信號(hào)的基本要求延遲小、實(shí)時(shí)性好。當(dāng)監(jiān)控圖象速率低于6幀時(shí)，人眼將會(huì)很不舒服，而且有可能丟掉監(jiān)控信息。

（2）無(wú)線(xiàn)環(huán)境則具有如下特點(diǎn)：

①由于無(wú)線(xiàn)信道環(huán)境惡劣，有限的帶寬資源十分有限。實(shí)現(xiàn)大數(shù)據(jù)量的視頻信號(hào)的傳輸，尤其在面向大眾的無(wú)線(xiàn)可視應(yīng)用中，無(wú)線(xiàn)信道的資源尤其緊張。

②無(wú)線(xiàn)網(wǎng)絡(luò)是一個(gè)時(shí)變的網(wǎng)絡(luò)。無(wú)線(xiàn)信道的物理特點(diǎn)決定了無(wú)線(xiàn)網(wǎng)絡(luò)是一個(gè)時(shí)變的網(wǎng)絡(luò)，導(dǎo)致移動(dòng)視頻傳輸質(zhì)量不穩(wěn)定。

③無(wú)線(xiàn)視頻的QoS保障。在移動(dòng)通信中，用戶(hù)的移動(dòng)造成無(wú)線(xiàn)視頻的QoS保障機(jī)制十分復(fù)雜，而且采用這樣的機(jī)制同樣會(huì)消耗很有限的信道資源。

一般來(lái)說(shuō)，無(wú)線(xiàn)視頻監(jiān)控系統(tǒng)研究設(shè)計(jì)目標(biāo)如表1所示。

3 基于INTEL IXP425的解決方案

為了克服上面描述的視頻信號(hào)對(duì)傳輸?shù)男枰蜔o(wú)線(xiàn)環(huán)境的特點(diǎn)之間的尖銳矛盾，本方案主要通過(guò)以下手段來(lái)客服這些難點(diǎn)：

（1）采用高性能的INTEL IXP425芯片。IXP425擁有266～533 MHz XScale核以及3個(gè)多線(xiàn)程微處理引擎：NPE A、NPE B、NPE WAN，帶來(lái)極高的數(shù)據(jù)處理性能。其中NPE B內(nèi)嵌SHA-1／MD5、DES／3DES、AES加密算法引擎，內(nèi)置2個(gè)獨(dú)立的10／100 Mb／s以太網(wǎng)MAC，32位33～66 MHz PCI總線(xiàn)，支持4個(gè)PCI設(shè)備，2個(gè)高速UART口，1個(gè)USB Device口，16個(gè)GPIO，工業(yè)級(jí)32位網(wǎng)絡(luò)嵌入式處理器（-40～+85℃）。采用IXP425處理器的系統(tǒng)提供32 MBFLASH，128 MB SDRAM內(nèi)存（最大256 MB），提供獨(dú)立的10／100 Mb／s以太網(wǎng)口，滿(mǎn)足各種網(wǎng)絡(luò)應(yīng)用，一個(gè)MiniPCI Slot，可以直接插接MiniPCI卡。IXP425平臺(tái)是基于網(wǎng)絡(luò)處理器的設(shè)計(jì)及其功能配備使它能支持各種應(yīng)用：網(wǎng)絡(luò)視頻音頻主機(jī)應(yīng)用開(kāi)發(fā)平臺(tái)，嵌入式工業(yè)網(wǎng)絡(luò)及通信開(kāi)發(fā)平臺(tái)，嵌入式工業(yè)通信計(jì)算機(jī)，嵌入式網(wǎng)絡(luò)計(jì)算機(jī)，802.11a／b／g GateWay，SOHO router，internet gateway，WLAN AP，網(wǎng)絡(luò)防火墻，等。

（2）采用高性能圖像壓縮算法。目前視頻領(lǐng)域中最為重要的編解碼標(biāo)準(zhǔn)有國(guó)際電聯(lián)的H.261、H.263、H.264和國(guó)際標(biāo)準(zhǔn)化組織運(yùn)動(dòng)圖像專(zhuān)家組的MPEG系列標(biāo)準(zhǔn)，而在網(wǎng)絡(luò)的視頻流傳輸中，則活躍著Real Video、WMV、QuickTime等，此外還有ON2的VP5、VP6以及我國(guó)自主研制的AVS等。其中，H.264采用DPCM加變換編碼的混合編碼模式，獲得比H.263++好得多的壓縮性能；應(yīng)用目標(biāo)范圍較寬，以滿(mǎn)足不同速率、不同分辨率以及不同傳輸（存儲(chǔ)）場(chǎng)合的需求；這些措施使得H.264算法具有很高的編碼效率，在相同的重建圖像質(zhì)量下，能夠比H.263節(jié)約50 ％左右的碼率。H.264性能的改進(jìn)是以增加復(fù)雜性為代價(jià)而獲得的，其編碼的計(jì)算復(fù)雜度大約相當(dāng)于H.263的3倍，解碼復(fù)雜度大約相當(dāng)于H.263的2倍。

（3）通過(guò)復(fù)用4個(gè)華為CM320CDMA1x模塊增加無(wú)線(xiàn)傳輸帶寬。由于實(shí)際測(cè)得的一路CDMA1x上行數(shù)據(jù)傳輸速率約為40 Kb／s，這樣的速率是無(wú)法滿(mǎn)足視頻監(jiān)控的帶寬需要的，因此提出可以采用四路CDMA1x并行的方式來(lái)增加傳輸帶寬，這樣實(shí)際最高速率達(dá)到160 Kb／s。配合H.264壓縮算法。多路CDMA1x并行使用的結(jié)構(gòu)如圖2所示。

本方案的優(yōu)勢(shì)在于：

（1）網(wǎng)絡(luò)化監(jiān)控。通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)，真正做到任何時(shí)間、從任何地方、對(duì)任何現(xiàn)場(chǎng)都能實(shí)現(xiàn)監(jiān)控。

（2）網(wǎng)絡(luò)化存儲(chǔ)。系統(tǒng)可以實(shí)現(xiàn)本地、遠(yuǎn)程的錄像存儲(chǔ)及錄像查詢(xún)和回放。

（3）高可靠性。系統(tǒng)所采用的視頻編碼器和網(wǎng)絡(luò)攝像機(jī)均為整機(jī)嵌入式系統(tǒng)，是工業(yè)級(jí)設(shè)備，具備極高的可靠性，即插即用，無(wú)需專(zhuān)人管理。

（4）方便使用、操作管理簡(jiǎn)單。既可以安裝客戶(hù)端軟件，也可以直接通過(guò)Web方式進(jìn)行遠(yuǎn)程監(jiān)控和遠(yuǎn)程管理，圖形化界面。

（5）完整的監(jiān)控管理功能。系統(tǒng)為用戶(hù)提供了靈活的監(jiān)控畫(huà)面選擇，電子地圖使用、對(duì)云臺(tái)和變焦的控制、預(yù)置位和鏡頭的輪巡，以及實(shí)現(xiàn)圖像抓拍、錄像和錄像回放。

（6）有效利用帶寬。根據(jù)網(wǎng)絡(luò)帶寬視頻流可自動(dòng)調(diào)節(jié)，實(shí)現(xiàn)多路CDMA復(fù)用。

（7）可擴(kuò)展性。增加網(wǎng)絡(luò)攝像機(jī)、視頻編碼器和監(jiān)控工作站非常簡(jiǎn)單，能夠持續(xù)平滑升級(jí)和擴(kuò)展，降低對(duì)系統(tǒng)的整體投資成本，和其他管理控制兼容。

（8）功能強(qiáng)大的管理平臺(tái)。分布分級(jí)式管理，用戶(hù)可以不受時(shí)間、空間限制對(duì)監(jiān)控管理目標(biāo)進(jìn)行實(shí)時(shí)監(jiān)控、實(shí)時(shí)管理、實(shí)時(shí)查看以及實(shí)時(shí)指揮。

4 嵌入式平臺(tái)安全方案

由于移動(dòng)視頻監(jiān)控終端是移動(dòng)網(wǎng)絡(luò)終端，它同樣不可避免地會(huì)遭受病毒攻擊。在此提出采用可信計(jì)算模塊與強(qiáng)制訪(fǎng)問(wèn)控制相結(jié)合的平臺(tái)安全方案，保護(hù)移動(dòng)視頻監(jiān)控終端平臺(tái)免受病毒侵害。一般來(lái)說(shuō)，強(qiáng)制類(lèi)型控制（mandatory access control，MAC）可以提供較強(qiáng)的安全保護(hù)。如圖3所示。MAC根據(jù)系統(tǒng)訪(fǎng)問(wèn)的主體，客體，以及訪(fǎng)問(wèn)類(lèi)型在安全規(guī)則中進(jìn)行查找和比對(duì)，以決定訪(fǎng)問(wèn)控制的決策。TPM是由TCG所提出的一種確保系統(tǒng)可信的模塊，它通常由一個(gè)物理芯片實(shí)現(xiàn)。在TCG的標(biāo)準(zhǔn)中，TPM提供至少3種基本特性：保護(hù)功能、完整性測(cè)量、完整性報(bào)告?？梢岳眠@幾個(gè)特性，使其與MAC相結(jié)合，給平臺(tái)提供更高的安全性。

TPM保證可信的基本原理是在一個(gè)實(shí)體可以執(zhí)行之前首先檢測(cè)它的完整性，這也就是所謂的信任鏈的傳遞。但是，在操作系統(tǒng)的運(yùn)行過(guò)程中，由于應(yīng)用層軟件的多樣性，根本無(wú)法對(duì)每一個(gè)在平臺(tái)上運(yùn)行的軟件進(jìn)行完整性校驗(yàn)。事實(shí)上，軟件可以使多種多樣的，但是可以進(jìn)行的操作確實(shí)有限的，那么就可以通過(guò)對(duì)這有限的操作進(jìn)行控制以達(dá)到控制絕大部分軟件的目的。同時(shí)，操作系統(tǒng)的存在使得所有對(duì)系統(tǒng)資源的訪(fǎng)問(wèn)都在內(nèi)核空間發(fā)生，這也就意味著，只要我們能保證操作系統(tǒng)內(nèi)核是可信的，那么就可以利用內(nèi)核來(lái)驗(yàn)證下一個(gè)實(shí)體是否是可信的。這實(shí)際是由于可信鏈傳遞的方式類(lèi)似于MAC，所以它的實(shí)現(xiàn)框圖如圖4所示。

這種實(shí)現(xiàn)方式可以利用TPM芯片的安全性來(lái)給系統(tǒng)提供更好的安全性。還有2個(gè)需要注意到的方面：首先，移動(dòng)通信終端一般都由運(yùn)營(yíng)商管理，所有的終端都與一個(gè)中心服務(wù)器相連；其次，TPM提供的密鑰管理功能可以方便的認(rèn)證遠(yuǎn)端服務(wù)器。結(jié)合這兩點(diǎn)可以利用中心服務(wù)器定期的，安全的對(duì)移動(dòng)通信終端的安全規(guī)則進(jìn)行更新，以保證用戶(hù)可以使用更多的軟件，在不損壞安全性的同時(shí)，保證了系統(tǒng)的靈活性。

5.總結(jié)

移動(dòng)通信是現(xiàn)在這個(gè)社會(huì)必不可少的工具，所以針對(duì)安全問(wèn)題也做了很大的研究，這個(gè)系統(tǒng)的研發(fā)保證了客戶(hù)的信息安全，提高了通信系統(tǒng)的可靠，為了客戶(hù)帶來(lái)安全通信，這就是這個(gè)系統(tǒng)設(shè)計(jì)的根本目的。