论文部分内容阅读
H.323视讯会议是一种点对点或点对多点传送声音、图像、数据文件的同步交互式业务。H.323视讯会议系统通过IP网络传送视/音频媒体流和数据。然而,IP网络固有的安全缺陷和H.323协议栈本身的安全漏洞,使得视/音频媒体流信息在传输过程中很容易被系统的非授权用户窃取、破坏。因此,我们不仅需要保护视讯会议的信令还需要保护媒体流数据在网络中的安全传输。目前多采用在H.323视讯会议设备中内嵌加/解密模块的方式保护媒体流传输过程的机密性,然而这种内嵌加密技术只能在特定厂商、特定视讯产品中实现,对原有产品改动大,且系统升级困难。针对现有内嵌加密技术依赖特定设备的缺点,结合视讯会议系统的安全威胁,本项目提出了一种不修改原有视讯产品软硬件设计,在视讯会议设备外透明外挂一个支持H.235标准的多媒体密码机来保证媒体流安全传输的方案。本文介绍了这种外置多媒体密码机的系统设计思想,软硬件体系结构和主要软件模块的设计。同时详细介绍密码机在具体实现过程中作者解决的媒体流数据包识别和密钥协商两个关键技术的软件实现。尽管此密码机的硬件加密原理比较简单且加/解密速度快,但各个硬件加密算法模块提供的加/解密API却不尽相同。如果密码机上层应用软件直接访问这些API对媒体流进行加/解密操作,会给密码机的软件开发带来了很多不必要的重复性开发和极大的不便。为了解决这一问题,本文设计了密码应用接口软件模块,实现了一种基于PKCS#11标准的公共安全平台,此软件模块屏蔽了底层各种密码算法模块接口之间的差异,隔离了密码机上层应用程序和底层硬件的直接关联,向上层应用程序提供统一的加/解密接口平台,增加了应用程序在不同芯片和密码算法上的可移植性。目前,根据该设计思想实现的多媒体密码机设备已经在会议电视市场上获得商用,并获得良好的反应。