关于嵌入式系统移动视频监控终端平台安全性的解决方案
扫描二维码
随时随地手机看文章
移动通信业务之所以发展迅猛主要是其满足了人们在任何时间。任何地点与任何个人进行通信的愿望。移动通信是实现未来理想的个人通信服务的必由之路。在信息支撑技术、市场竞争和需求的共同作用下,移动通信技术的发展更是突飞猛进,呈现出以下几大趋势:网络业务数据化、分组化,网络技术宽带化,网络技术智能化,更高的频段,更有效利用频率,各种网络趋于融合。所以掌握这些趋势对移动通信运营商和设备制造商均具有重要的现实意义。
1 系统拓扑结构
图1是移动视频监控系统拓扑结构图。它描述了4个典型的移动视频监控场景。对于每一个监控现场,首先通过前端的摄像机采集视频监控的原始数据,这些原始数据将通过在监控设备上提供的视频编码器编码之后通过CDMA1x模块发送到中心服务器上。由传统视频监控系统产生的监控图像是通过有线电视网络或者是局域网来传输的,而本系统的视频信号是通过联通公司提供的CDMA1x网络传输的。只要被监控地点在联通公司服务区域之内,该系统就能对该监控点实现实时监控。
2 移动视频监控面临的挑战
(1)数字视频信号具有如下特点:
①数据量大,图像所包含的信息量远比声音、文字、图形等所包含的信息量大得多。但与此同时,数字化图像的数据量也很大。
②实时性要求高,人眼对视频信号的基本要求延迟小、实时性好。当监控图象速率低于6帧时,人眼将会很不舒服,而且有可能丢掉监控信息。
(2)无线环境则具有如下特点:
①由于无线信道环境恶劣,有限的带宽资源十分有限。实现大数据量的视频信号的传输,尤其在面向大众的无线可视应用中,无线信道的资源尤其紧张。
②无线网络是一个时变的网络。无线信道的物理特点决定了无线网络是一个时变的网络,导致移动视频传输质量不稳定。
③无线视频的QoS保障。在移动通信中,用户的移动造成无线视频的QoS保障机制十分复杂,而且采用这样的机制同样会消耗很有限的信道资源。
一般来说,无线视频监控系统研究设计目标如表1所示。
3 基于INTEL IXP425的解决方案
为了克服上面描述的视频信号对传输的需要和无线环境的特点之间的尖锐矛盾,本方案主要通过以下手段来客服这些难点:
(1)采用高性能的INTEL IXP425芯片。IXP425拥有266~533 MHz XScale核以及3个多线程微处理引擎:NPE A、NPE B、NPE WAN,带来极高的数据处理性能。其中NPE B内嵌SHA-1/MD5、DES/3DES、AES加密算法引擎,内置2个独立的10/100 Mb/s以太网MAC,32位33~66 MHz PCI总线,支持4个PCI设备,2个高速UART口,1个USB Device口,16个GPIO,工业级32位网络嵌入式处理器(-40~+85℃)。采用IXP425处理器的系统提供32 MBFLASH,128 MB SDRAM内存(最大256 MB),提供独立的10/100 Mb/s以太网口,满足各种网络应用,一个MiniPCI Slot,可以直接插接MiniPCI卡。IXP425平台是基于网络处理器的设计及其功能配备使它能支持各种应用:网络视频音频主机应用开发平台,嵌入式工业网络及通信开发平台,嵌入式工业通信计算机,嵌入式网络计算机,802.11a/b/g GateWay,SOHO router,internet gateway,WLAN AP,网络防火墙,等。
(2)采用高性能图像压缩算法。目前视频领域中最为重要的编解码标准有国际电联的H.261、H.263、H.264和国际标准化组织运动图像专家组的MPEG系列标准,而在网络的视频流传输中,则活跃着Real Video、WMV、QuickTime等,此外还有ON2的VP5、VP6以及我国自主研制的AVS等。其中,H.264采用DPCM加变换编码的混合编码模式,获得比H.263++好得多的压缩性能;应用目标范围较宽,以满足不同速率、不同分辨率以及不同传输(存储)场合的需求;这些措施使得H.264算法具有很高的编码效率,在相同的重建图像质量下,能够比H.263节约50 %左右的码率。H.264性能的改进是以增加复杂性为代价而获得的,其编码的计算复杂度大约相当于H.263的3倍,解码复杂度大约相当于H.263的2倍。
(3)通过复用4个华为CM320CDMA1x模块增加无线传输带宽。由于实际测得的一路CDMA1x上行数据传输速率约为40 Kb/s,这样的速率是无法满足视频监控的带宽需要的,因此提出可以采用四路CDMA1x并行的方式来增加传输带宽,这样实际最高速率达到160 Kb/s。配合H.264压缩算法。多路CDMA1x并行使用的结构如图2所示。
本方案的优势在于:
(1)网络化监控。通过计算机网络,真正做到任何时间、从任何地方、对任何现场都能实现监控。
(2)网络化存储。系统可以实现本地、远程的录像存储及录像查询和回放。
(3)高可靠性。系统所采用的视频编码器和网络摄像机均为整机嵌入式系统,是工业级设备,具备极高的可靠性,即插即用,无需专人管理。
(4)方便使用、操作管理简单。既可以安装客户端软件,也可以直接通过Web方式进行远程监控和远程管理,图形化界面。
(5)完整的监控管理功能。系统为用户提供了灵活的监控画面选择,电子地图使用、对云台和变焦的控制、预置位和镜头的轮巡,以及实现图像抓拍、录像和录像回放。
(6)有效利用带宽。根据网络带宽视频流可自动调节,实现多路CDMA复用。
(7)可扩展性。增加网络摄像机、视频编码器和监控工作站非常简单,能够持续平滑升级和扩展,降低对系统的整体投资成本,和其他管理控制兼容。
(8)功能强大的管理平台。分布分级式管理,用户可以不受时间、空间限制对监控管理目标进行实时监控、实时管理、实时查看以及实时指挥。
4 嵌入式平台安全方案
由于移动视频监控终端是移动网络终端,它同样不可避免地会遭受病毒攻击。在此提出采用可信计算模块与强制访问控制相结合的平台安全方案,保护移动视频监控终端平台免受病毒侵害。一般来说,强制类型控制(mandatory access control,MAC)可以提供较强的安全保护。如图3所示。MAC根据系统访问的主体,客体,以及访问类型在安全规则中进行查找和比对,以决定访问控制的决策。TPM是由TCG所提出的一种确保系统可信的模块,它通常由一个物理芯片实现。在TCG的标准中,TPM提供至少3种基本特性:保护功能、完整性测量、完整性报告。可以利用这几个特性,使其与MAC相结合,给平台提供更高的安全性。
TPM保证可信的基本原理是在一个实体可以执行之前首先检测它的完整性,这也就是所谓的信任链的传递。但是,在操作系统的运行过程中,由于应用层软件的多样性,根本无法对每一个在平台上运行的软件进行完整性校验。事实上,软件可以使多种多样的,但是可以进行的操作确实有限的,那么就可以通过对这有限的操作进行控制以达到控制绝大部分软件的目的。同时,操作系统的存在使得所有对系统资源的访问都在内核空间发生,这也就意味着,只要我们能保证操作系统内核是可信的,那么就可以利用内核来验证下一个实体是否是可信的。这实际是由于可信链传递的方式类似于MAC,所以它的实现框图如图4所示。
这种实现方式可以利用TPM芯片的安全性来给系统提供更好的安全性。还有2个需要注意到的方面:首先,移动通信终端一般都由运营商管理,所有的终端都与一个中心服务器相连;其次,TPM提供的密钥管理功能可以方便的认证远端服务器。结合这两点可以利用中心服务器定期的,安全的对移动通信终端的安全规则进行更新,以保证用户可以使用更多的软件,在不损坏安全性的同时,保证了系统的灵活性。
5.总结
移动通信是现在这个社会必不可少的工具,所以针对安全问题也做了很大的研究,这个系统的研发保证了客户的信息安全,提高了通信系统的可靠,为了客户带来安全通信,这就是这个系统设计的根本目的。