分析基于TMS320C6416T的IP視頻電話(huà)加密引擎
蔣華 賈永興 楊亞濤 楊建喜 2010/09/19
當前,IP網(wǎng)絡(luò )百兆甚至千兆的速率已經(jīng)成為可能,帶寬的提升為、在IP網(wǎng)絡(luò )上傳輸語(yǔ)音、視頻提供了有力的前提條件。IP視頻電話(huà)越來(lái)越多地得到廣泛應用并將引領(lǐng)現代通信的潮流。但由于IP網(wǎng)絡(luò )的開(kāi)放性,敏感信息可能被輕易地竊取、篡改、非法復制和傳播,因此對IP視頻通信的保密性和可靠性提出了更高的要求。為了確保IP視頻電話(huà)端到端的通信安全,必須對SIP信令和RTP音視頻數據進(jìn)行加密處理。
全球最大IP電話(huà)提供商Skype在其軟件中內嵌了加密系統,安全專(zhuān)家Phil Zimmermann提出了ZRTP密鑰協(xié)商協(xié)議并開(kāi)發(fā)了IP電話(huà)安全軟件Zfone,這些均采用軟件方式實(shí)現加密,當處理器性能較低時(shí),這種方式必然會(huì )影響到通話(huà)質(zhì)量。為此本文設計了一種適合于IP視頻電話(huà)的高速硬件加密引擎。
IP視頻電話(huà)通信具有以下特點(diǎn):
(1) 占用帶寬大。目前常用音頻算法編碼速率約為10 Kb/s,視頻算法編碼速率約為1 Mb/s(視不同圖像質(zhì)量和算法而有不同)。
(2)實(shí)時(shí)性要求高。人的聽(tīng)覺(jué)對時(shí)延超過(guò)400 ms的語(yǔ)音信號比較敏感。
(3) SIP信令和RTP音視頻數據采用UDP方式傳輸,UDP協(xié)議是面向非連接的協(xié)議,數據包在網(wǎng)絡(luò )繁忙的情況下可能被丟棄。
針對這些特點(diǎn),設計加密引擎協(xié)助IP視頻電話(huà)終端完成各類(lèi)數據加密功能,密鑰協(xié)商和密鑰管理由IP視頻電話(huà)終端處理,兩者之間通過(guò)SPI總線(xiàn)通信。
1.硬件設計
1.1 處理器選擇
針對IP視頻電話(huà)通信的特點(diǎn)處理器可以選擇專(zhuān)用密碼算法芯片,但在使用上缺乏靈活性,如果需要更改密碼算法或者相關(guān)參數,需重新設計,因此本系統選用TI公司的DSP處理器TMS320C6416T。TMS320C6416T是基于VelociTI.2TM構架的32位定點(diǎn)高性能DSP處理器,主頻高達1GHz,處理能力可達8 000 MIPS[1]。它采用超長(cháng)指令字結構(VLIW),每個(gè)時(shí)鐘周期可以執行8條指令。TMS320C6416T內部集成大容量存儲器,采用兩級緩存結構,即一級緩存(L1)和二級緩存(L2)。
TMS320C6416T強大的計算、數據存儲能力大大縮短了實(shí)現各種算法的時(shí)間,迎合了IP視頻電話(huà)通信的實(shí)時(shí)性要求。它既可用于IP視頻電話(huà)終端加密,也可擴展用于其他大流量數據加密(如流媒體服務(wù)器)。在處理更改加密算法、系統參數和通信接口方面,相對于專(zhuān)用處理器,DSP更具靈活性和可擴展性。
1.2 硬件結構及注意事項
加密引擎以TMS320C6416T為核心,包括SDRAM、Flash、電源、JTAG接口、看門(mén)狗等。加密引擎和IP視頻電話(huà)終端通過(guò)SPI總線(xiàn)通信,硬件總體結構如圖1所示。
DSP作為系統的核心,在完成數據加解密運算的同時(shí),還要與IP視頻電話(huà)終端實(shí)時(shí)通信,交互SIP信令、音視頻數據、種子密鑰及控制命令等。
SDRAM采用HY57V283220T(4 M×32 bit),工作時(shí)鐘為133 MHz,用于數據存儲。Flash采用39VF800A(8 M×16 bit),存取速度為70 ns,100 000次可擦寫(xiě),用于程序存儲和DSP上電自舉。電源為整個(gè)系統供電,看門(mén)狗用于監視系統的正常運行,JTAG接口用于DSP仿真調試。
IP視頻電話(huà)終端除了向加密引擎發(fā)送待處理數據和命令外,還需具備密鑰協(xié)商和管理、用戶(hù)權限控制、網(wǎng)絡(luò )傳輸等多種功能。在設計過(guò)程中,應重點(diǎn)注意以下問(wèn)題:
(1) DSP、SDRAM等芯片的功耗較大,需根據具體功耗參數設置合理的電源和地線(xiàn)的布線(xiàn)寬度,注意電路板在物理空間的散熱問(wèn)題;考慮DSP為BGA封裝,PCB應采用多層板設計(8層或更多層),設置單獨的電源層和地層,以提高系統的可靠性。
(2) DSP工作在1 GHz主頻下、SDRAM工作在133 MHz時(shí)鐘頻率下,布局布線(xiàn)時(shí)要充分考慮信號的完整性。在實(shí)際設計中采用合適的總線(xiàn)拓撲結構、合理的疊層結構,對高速數字信號線(xiàn)在仿真的基礎上加入適當的端接消除信號反射,以解決高速信號完整性問(wèn)題。
2.軟件設計
2.1 算法選擇及加密方式
2.1.1 AES算法和工作模式
IP視頻電話(huà)數據流量大,SIP信令和音視頻數據采用UDP方式傳輸,不可避免地存在數據丟包問(wèn)題,因而使用分組密碼算法較為合適。考慮密碼算法的速度和安全性等因素,本系統采用AES分組密碼算法實(shí)現各種數據端到端加密。
AES算法作為迭代分組密碼算法其分組長(cháng)度和密鑰長(cháng)度均可改變,在使用上更加靈活安全。論證表明,它能夠抵抗所有目前技術(shù)水平下的已知和潛在的密碼攻擊,是更加安全可靠的加密算法。AES使用長(cháng)為32×Nk(Nk=4、6、8)的比特流作為密鑰,每次對長(cháng)為32×Nb(Nb=4、6、8)比特的明文組進(jìn)行加密,得到的密文組長(cháng)為32×Nb比特,迭代輪數Nr=Max(Nb,Nk)+6。
AES算法有5種基本工作模式:ECB、CBC、OFB、CFB、CTR。考慮到IP數據包丟失問(wèn)題,如采用反饋模式需考慮數據同步問(wèn)題,因而降低了數據處理效率。而ECB模式簡(jiǎn)單易操作,不存在數據丟失產(chǎn)生的通信同步問(wèn)題SIP信令中的會(huì )話(huà)描述符SDP和音視頻數據都沒(méi)有固定的格式,攻擊者也難以通過(guò)統計特性分析密文,因而采用ECB模式是安全易行的。
2.1.2 數據加密方式
在IP網(wǎng)絡(luò )中,視頻和音頻數據是分類(lèi)打包、分段傳輸的,因而對它們的加密處理也需單獨進(jìn)行。目前針對視頻數據主要有選擇性加密和完全加密2種方式[4]。選擇性加密利用視頻數據的數據結構,對視頻流中的部分數據(如I幀)加密,這有利于減小系統開(kāi)銷(xiāo),但安全性較差。而完全加密不考慮視頻數據結構,加密所有視頻碼流,雖然系統開(kāi)銷(xiāo)較大,但安全性較高。本系統對視頻、音頻數據、SIP信令均采用完全加密方式。
2.2 通信機制和數據格式
2.2.1 通信機制
DSP和IP視頻電話(huà)終端通過(guò)SPI總線(xiàn)通信,SPI作為一種串行同步通信方式,通信速率可達到4 Mb/s或者更高,適合音視頻數據傳輸。在本系統中,將DSP的多通道緩沖串行口McBSP[2]配置為SPI模式,IP視頻電話(huà)終端配置為主設備,DSP配置為從設備。
采用中斷方式接收或發(fā)送數據會(huì )增加CPU的負擔。將增強型存儲器直接訪(fǎng)問(wèn)EDMA[3]與McBSP結合使用,使得CPU加解密數據與EDMA數據接收或發(fā)送并行進(jìn)行,將大大提高DSP的運行效率。具體流程為:(1)DSP通過(guò)McBSP接收待處理數據,將數據保存在指定映射的存儲器中,隨后EDMA通道搬運數據至片內L2緩存以供CPU提取并處理;(2)CPU加解密處理完成后,通過(guò)相反的路徑發(fā)送給IP視頻電話(huà)終端。為確保CPU數據處理和EDMA數據傳輸同步,在L2緩存開(kāi)辟一對乒乓緩存(Ping-Pong Buffer),分別用于接收和發(fā)送數據。
2.2.2 數據格式
為了便于處理器之間的數據交互,定義通信數據格式如下:
數據頭標志:長(cháng)度為2 B,表示一個(gè)數據包的起始。
數據類(lèi)型:長(cháng)度為2 B,定義0x0001為IP視頻電話(huà)終端發(fā)送的待加密數據,0x0010表示IP視頻電話(huà)終端發(fā)送的待解密數據,0x0100表示DSP回送給IP視頻電話(huà)終端的已加密數據,0x1000表示DSP回送給IP視頻電話(huà)終端的已解密數據,0x0101表示IP視頻電話(huà)終端發(fā)送的種子密鑰,0x1010表示其他控制數據。
數據長(cháng)度:長(cháng)度為2 B,表示待處理數據的有效字節數。以太網(wǎng)幀的最大長(cháng)度是1 500 B,因此不能超過(guò)這個(gè)長(cháng)度。
數據頭校驗和:長(cháng)度為2 B,防止頭部因傳輸錯誤而執行誤操作。
RTP數據載荷:小于1 500 B,表示加/解密數據、種子密鑰、控制數據等。
2.3 軟件設計要點(diǎn)
根據DSP系統架構,考慮AES算法和通信數據的特點(diǎn),充分發(fā)揮DSP的數據處理能力是軟件設計的重點(diǎn)。
2.3.1 AES算法優(yōu)化設計
AES的輪函數由字節變換、行位移、列混合、密鑰加4個(gè)部件組成[5]。(1)字節變換是非線(xiàn)性變換,獨立地對狀態(tài)的每個(gè)字節進(jìn)行變換,可用代換表(S盒)的方式實(shí)現;(2)行移位是將狀態(tài)陣列的各行進(jìn)行循環(huán)移位;(3)列混合使用有限域上的矩陣乘法,可以用查表操作實(shí)現;(4)密鑰加可以通過(guò)執行一個(gè)32位“異或”運算來(lái)實(shí)現。通過(guò)算法優(yōu)化,可將有限域矩陣乘法和S盒簡(jiǎn)化為查表和“異或”兩種基本運算,并充分利用DSP處理器32位總線(xiàn)結構特點(diǎn),大大降低了算法復雜度。
2.3.2 使用軟件流水技術(shù)
AES是迭代分組密碼,共Nr輪迭代,一般采用C循環(huán)程序實(shí)現,循環(huán)是影響系統實(shí)時(shí)性的一個(gè)重要因素。軟件流水技術(shù)用于設置循環(huán)內指令的運行方式,使循環(huán)的多次迭代能夠并行執行。程序應該考慮合理的循環(huán)迭代次數,以保證軟件流水能夠順利進(jìn)行。將循環(huán)展開(kāi)可以增加及并行執行指令數,從而改進(jìn)流水編排,提升循環(huán)性能。同時(shí)應該正確使用pragma指示和-ms、-mh等編譯選項。
2.3.3 合理設置CCS編譯器選項
使用const關(guān)鍵字定義變量可提高代碼性能和穩定性;聯(lián)合使用-pm與-o3選項可進(jìn)行程序級優(yōu)化并有效地消除相關(guān)性;-mt選項有利于消除存儲器相關(guān)性;這些選項都能大大提升代碼的執行速度[6]。測試表明,選擇C代碼優(yōu)化選項,可使AES算法的執行速度提高近一倍。
系統關(guān)鍵代碼如下:
void main()
{ //初始化CSL
CSL_init();
//SPI配置
McBSP_config(&McBSPConfig);
//乒乓方式EDMA配置
EDMA_config(hEDMAPing, &EDMAConfigRcv);
EDMA_config(hEDMAPong, &EDMAConfigSnd);
//密鑰擴展
KeyExpansion(CipherKey,ExpandedKey);
while(1)
{ //EDMA傳輸完成后對數據加解密密處理
if(EDMAFlag)
DataProcessing();
}
}
3.測試結果
3.1 加密速率
表1是CCS軟件Profile對各函數指令開(kāi)銷(xiāo)的評估結果。
在該測試中,取Nb=Nk=4,Nr=10。經(jīng)過(guò)DataProcessing運算加密1 536字節數據,總指令開(kāi)銷(xiāo)128600。取DSP速率8 000 MIPS,則運行時(shí)間為128 600/8 000=16.075 μs,加密運算速率為1 536×8/16.075=765.41 Mb/s。該數據吞吐量完全滿(mǎn)足了IP視頻電話(huà)的實(shí)時(shí)性要求。
3.2 效率對比
參考文獻[5]在TMS320C54x DSP上實(shí)現了AES算法,表2給出兩種實(shí)現方式的對比。
兩種處理器的架構和處理速度是不同的,在軟件設計上會(huì )有不同的處理方法,若僅考慮DSP速率對算法速率的影響,本系統加密效率更高。另外,本測試僅考慮了AES加密算法代碼的指令開(kāi)銷(xiāo),實(shí)際中還要考慮DSP存取數據、中斷處理等其他任務(wù)。
系統首次采用DSP TMS320C6416T處理器,合理的硬件設計確保了系統的可靠性,EDMA與McBSP相結合的通信機制提高了通信效率,優(yōu)化的軟件設計提升了加解密速率。本系統已成功應用于IP視頻電話(huà)保密通信,經(jīng)擴展設計,也可以應用于多媒體服務(wù)器,實(shí)現多通道數據加密。本方案對VOIP、視頻監控、視頻會(huì )議等領(lǐng)域具有很高的參考價(jià)值。
電子技術(shù)應用
相關(guān)閱讀:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
崇文区|
营口市|
吉林省|
文登市|
历史|
枣庄市|
谢通门县|
通辽市|
奉贤区|
含山县|
罗田县|
文登市|
大庆市|
二连浩特市|
三江|
日土县|
潜江市|
北川|
休宁县|
永登县|
宁阳县|
抚宁县|
水富县|
库伦旗|
青浦区|
浙江省|
马尔康县|
黎城县|
灵宝市|
色达县|
巩留县|
南靖县|
仁化县|
宜宾县|
勐海县|
平罗县|
积石山|
麻栗坡县|
贵南县|
SHOW|
花莲市|
http://444
http://444
http://444
http://444
http://444
http://444