作者：王斌、潘吉超、張正炎

移動視頻指揮系統(tǒng)現(xiàn)廣泛應用于部隊非涉密軍事行動，如搶險救災、反恐處突、重大地方活動保障等，具有機動靈活、快速便捷、直觀高效等特點。加裝量子保密機后，可傳輸更高密級信息，拓展了系統(tǒng)在部隊中的使用范圍，可為部隊機動、野戰(zhàn)開設、作戰(zhàn)行動提供有效視頻通信手段。

一、移動視頻指揮系統(tǒng)的構成

移動視頻指揮系統(tǒng)主要由終端系統(tǒng)、專用信道、入網(wǎng)認證管理系統(tǒng)、視音頻應用系統(tǒng)和量子加密系統(tǒng)五部分組成，其中終端系統(tǒng)和量子加密終端可配置于指揮車輛、單兵或固定指揮場所，入網(wǎng)認證管理系統(tǒng)、視音頻應用系統(tǒng)和量子加密系統(tǒng)可配置于坑道或高安全級別的機房。系統(tǒng)組織結構如下圖所示：

（一）終端系統(tǒng)

終端系統(tǒng)包括移動網(wǎng)關、音視頻設備、控制終端組成。移動網(wǎng)關集音視頻采集、解壓縮和無線網(wǎng)絡傳輸?shù)裙δ転橐惑w，可將采集后的音視頻信號，通過無線網(wǎng)絡傳輸至后臺的視音頻服務器。視音頻服務器進行音頻、視頻的管理交換，可實現(xiàn)各指揮所之間的音視頻交互通信�？刂平K端中安裝有控制軟件，可對音視頻信號進行相關參數(shù)設置，同時可對組網(wǎng)會議進行遠程管理控制。 （二）專用無線信道

專用無線信道可采用4G VPN、軍用寬帶電臺、wifi自組網(wǎng)等方式。在非軍事行動中，一般采用信號穩(wěn)定、覆蓋范圍更廣的4G VPN系統(tǒng)。該系統(tǒng)具備一定的安全措施，如身份驗證、空中加密傳輸、專線連接等。4G VPN專網(wǎng)業(yè)務流程圖如下所示：

4G VPN專網(wǎng)只提供網(wǎng)絡傳輸信道，用戶開機后與VPN專網(wǎng)建立空中加密信道，發(fā)送上網(wǎng)請求，SGSN通過HLR對用戶序列號和接入點域名做合法性檢驗，通過驗證后在DNS服務器查找接入點域名所對應的專用GGSN，以該GGSN作為一個代理，依托光纖專線與LNS網(wǎng)關路由器之間建立L2TP隧道，實現(xiàn)用戶PPP報文透傳。 （三）入網(wǎng)認證管理系統(tǒng)

入網(wǎng)認證管理系統(tǒng)主要包括LNS網(wǎng)關路由器、AAA認證服務器和IP－IP路由器等。LNS網(wǎng)關路由器主要用于實現(xiàn)與4G VPN專網(wǎng)中的GGSN連接并建立L2TP隧道，是L2TP隧道的邏輯終點。AAA服務器是驗證、授權和記費的簡稱，主要進行身份認證、授權以及用戶信息的存儲、策略管理等。L2TP隧道將用戶封裝的原始PPP數(shù)據(jù)包傳送到隧道終點后，LNS網(wǎng)關路由器解包還原為用戶發(fā)起的原始數(shù)據(jù)包，AAA認證服務器根據(jù)數(shù)據(jù)包中的用戶ID、密碼和設備識別碼及串號等對用戶進行認證，并設定用戶權限，通知LNS網(wǎng)關路由器為用戶分配固定軍網(wǎng)IP地址。 IP-IP路由器是實現(xiàn)IP-IP隧道協(xié)議的網(wǎng)絡設備，具有根據(jù)發(fā)送和接收IP數(shù)據(jù)包報頭自動添加IP-IP隧道功能，是專為移動網(wǎng)關設計的專用路由器。不同網(wǎng)段的車載或單兵終端發(fā)送的數(shù)據(jù)包經(jīng)過移動網(wǎng)關的路由模塊，按照預先設定的規(guī)則自動轉(zhuǎn)化為同一網(wǎng)段的IP地址，實現(xiàn)點對點跨網(wǎng)段互通。與固定側(cè)網(wǎng)絡互通時，經(jīng)IP-IP路由器按相反規(guī)則還原為原地址進行通信，實現(xiàn)系統(tǒng)路由免配置。 （四）視音頻應用系統(tǒng)

視音頻應用系統(tǒng)主要包括視頻服務器、視音頻編解碼服務器、視音頻矩陣、調(diào)音臺、音箱、話筒、大屏幕顯示系統(tǒng)以及視頻會議系統(tǒng)軟件等。視音頻應用系統(tǒng)工作流程如下圖所示：

由移動網(wǎng)關采集的音視頻信息，通過專用信道傳送至視頻服務器，視頻服務器根據(jù)會議要求，對音頻和視頻信號進行交換，實現(xiàn)多方視頻通信。本地音視頻需通過視頻編解碼服務器進行解碼或編碼，而后通過視頻矩陣和調(diào)音臺還原為模擬信號，收聽收看。 二、量子加密的實現(xiàn)原理

為確保4G移動通信具有更高的安全性，選擇在移動網(wǎng)關和音視頻服務器兩端加裝量子網(wǎng)絡加密機。量子網(wǎng)絡加密機是支持量子密鑰的網(wǎng)絡數(shù)據(jù)傳輸加密設備，通過IPSec VPN加密隧道實現(xiàn)IP層數(shù)據(jù)加解密、消息來源正確性驗證、密鑰管理等功能。秘鑰則通過量子真隨機數(shù)發(fā)生器獲取，并儲存于加密機內(nèi)置的秘鑰池中。 （一）IPSec VPN加密隧道

IPSec是IETF組織定義的一組協(xié)議，用于增強IP網(wǎng)絡的安全性，建立IPSec VPN連接需要三個步驟：步驟一，流量觸發(fā)IPSec。IPSec建立過程是由對等體之間發(fā)送的流量觸發(fā)的，一旦有VPN流量經(jīng)過加密設備，連接過程便開始建立了。步驟二，建立管理連接。加密機兩端根據(jù)D-H算法生成對稱秘鑰，協(xié)商和建立管理連接，并驗證遠程系統(tǒng)的標識。該管理連接是一個準備工作，不傳輸實際數(shù)據(jù)，只是就協(xié)議、加密算法和使用的密鑰進行協(xié)商。步驟三，建立數(shù)據(jù)連接。IPSec基于安全的管理連接，協(xié)商建立一個或多個用于IPSec通信的數(shù)據(jù)連接。一般為兩條：一條接受數(shù)據(jù)，一條發(fā)送數(shù)據(jù)。

IPSec對原來的IP數(shù)據(jù)進行了封裝和加密，加上了新的IP頭，如果封裝安全負荷ESP用在網(wǎng)關中，外層的未加密IP頭包含網(wǎng)關的IP地址，內(nèi)層加密的IP頭包含真實的源和目標地址，這樣可以防止偷聽者分析源頭和目標之間的通信量。

（二）量子真隨機數(shù)發(fā)生器 產(chǎn)生隨機數(shù)的方法有兩種：偽隨機數(shù)發(fā)生器和真隨機數(shù)發(fā)生器。偽隨機數(shù)是通過數(shù)學的方法由計算機產(chǎn)生，對于同樣的種子，產(chǎn)生的隨機序列是相同的。如果攻擊者擁有足夠的計算能力,則可以對偽隨機數(shù)加密進行破解。為了令攻擊者即使有無限的計算能力,在已知現(xiàn)有序列的情況下也無法成功預測下一位產(chǎn)生的隨機數(shù)，就需要使用真隨機數(shù)發(fā)生器。

根據(jù)量子力學的量子態(tài)疊加原理,量子系統(tǒng)可以處在對應一個力學量的本征態(tài)的疊加態(tài),對疊加態(tài)的測量將使系統(tǒng)按照一定的概率隨機地塌陷到某個本征態(tài),測量的結果是不確定的。這種不確定性完全是一種量子效應。通過測量某些量子系統(tǒng)的可觀察量來獲取隨機數(shù),它的隨機性是由量子力學理論保證的,是內(nèi)在的，不受外物控制的，具有真正的隨機性、不可預知性和不可重現(xiàn)性。

量子真隨機數(shù)發(fā)生器采用高速脈沖激光器作為光源，最大可以提供1000MHz的光脈沖頻率，采用Faraday-Michelson延時環(huán)結構，該結構通過BS將入射光分成兩路，兩路光的光程不同，一路走長臂，一路走短臂，通過長臂和短臂末端的法拉第鏡將兩路光分別反射回去，并在出口處形成相位干涉，經(jīng)PIN管進行采樣后形成隨機脈沖信號，最后通過ADC器件對隨機脈沖信號的幅度進行AD轉(zhuǎn)換，最后再經(jīng)過數(shù)據(jù)后處理操作得到真隨機數(shù)的0、1序列。

設備形態(tài)上采用PCIe接口，方便集成到計算機中，使用靈活方便，并且具有很好的擴展性和升級優(yōu)化空間。 三、系統(tǒng)應用 （一）部隊機動

部隊機動途中，4G移動視頻終端可配置在指揮車輛，在建設有4G基站的路段使用，作為衛(wèi)星機動通信的備份或補盲手段。指揮員可通過該系統(tǒng)對各下屬單位進行指揮管控，掌握部隊實時機動信息，發(fā)布指令，組織作戰(zhàn)籌劃。 （二）部隊宿營

部隊駐�；蛩逘I時，該系統(tǒng)可由車上轉(zhuǎn)入野戰(zhàn)帳篷，用于異地聯(lián)動指揮籌劃，也可由單兵攜帶前出預警，作為警戒防御手段之一。如宿營地無4G信號覆蓋的區(qū)域，可利用4G移動基站或?qū)拵ё越M網(wǎng)電臺作為備份或補盲手段，形成覆蓋宿營區(qū)域的專用網(wǎng)絡。 （三）部隊作戰(zhàn)

在渡海登島作戰(zhàn)行動中，可將全系統(tǒng)轉(zhuǎn)移至艦載指揮所，各艦載指揮所使用寬帶自組網(wǎng)電臺作為組網(wǎng)手段，使用移動視頻指揮終端組織視頻指揮協(xié)同，作為衛(wèi)星通信的備份手段之一。