（计算机系统结构专业论文）实时数字安全处理器研究与设计.pdf

摘要 数据安全涉及存储安全、网络安全与视规图像安全三大领域。在每个安全领域都存 在若干种协议，例如针对网络安全的i p s e c 协议，针对j p e g 2 0 0 0 图像的j p s e c 等等； 而协议是以底层的算法为支撑的，例如无论i p s e c 还是j p s e c 部利用加密算法，认证算 法或者密码学中的其它算法束实现相关内容的安全性。由此可知，密码学中的算法是安 全协议的基石，而安全协议又是相关安全领域的基础。 安全算法建立在计算复杂度与单项处理函数理论基础之上，如果不能有效实现则很 可能成为系统的瓶颈。因此采用硬件加速的方式足非常有必要的。 实时的安全芯片的设计将面临许多需要同时满足的相互冲突的设计挑战与约束，例 如： 安全性，一种针对数字安全协议的处理器实现需要达到系统所要求的安全性； 实时性，安全性的实现不能降低系统的性能； 实现系统需满足环境旋加的物理约束( 尺、j ，重量与功耗) 。 总之，在进行安全芯片的设计时，我们不仅要考虑使用的协议满足安全性，更要考 虑这些算法的运算量和实现复杂度。 在目前的i c 工艺与条件下，使用f p g a 等v l s i 硬件实现安全协议，是最有可能满 足系统安全性，实时性的方案。因此，论文研究工作的动机和目标是：针对存储安全、 网络安全与视频，图像安全设计优化协议；其次足提出合理的s o c 结构，最大可能降低 所设计系统的资源使用星，从而最终实现性能均衡优化的安全芯片。 通过论文的工作，我们取得了一些相当有意义的结果，主要包括： 1 、提出了可以实现存储安全的一个整体方案； 2 、设计了一种称为直通转发的安全存储结构，理论分析和实际测试表明该结构可以 在不降低系统性能的前提下，达到存储系统的安全性要求； 3 、提出了一种称为f l o w - t h r o u g h 的网络安全实现结构，理论分析和实际测试表明 该结构相对于目前已有的安全实现结构在性能上有很大的提升。 4 、提出了一种用于j p e g 2 0 0 0 的选择性加密算法，可以在只对压缩码流的1 5 进行 加密的情况下达到j p e g 2 0 0 0 码流的安全性； 5 、设计和实现了数字电影中j p e g 2 0 0 0 数据码流数字版权保护的f 1 p g a 原型平台； 6 、提出了一种基于i p s e c 进行j p s e c 设计与实现的方案，并依据此方案提出了 i p s e c 的几项提议。 论文中这些结果的取得，首先对数字安全领域的相关协议制定，体系结构设计与相 应的实现有很大的促进作用；另外，论文使用的应用、协议、算法与体系结构结合优化 设计的专用信号处理器设计思想能给其它高性能专用处理器设计以参考和借鉴。 机群系铳o p e n m p 研究：摘要 关键词：数字安全；存储安全；网络安全；视频安全；安全协议；s o c 。 r e s e a r c ha n dd e s i g no i lr e a l - t i m ed i g i t a ls e c u r i t yc h i p m as h i c h a o ( c o m p u t e r a r c h i t e c t u r e ) d i r e c t e db yp r o f w a n gz h e n s o n g d a t as e c u r i t yi n c l u d e ss t o r a g es e c u r i t y n e t w o r ks e c u r i t ya n dv i d e o i m a g es e c u r i t y i n e v e r ys e c u r i t ya r e a , t h e r ee x i s tm a n yp r o t o c o l s ，s u c ha si p s e cp r o t o c o li nn e t w o r ks e c u r i t y ，a n d j p s e ci nj p e g 2 0 0 0 t h ep r o t o c o li sb a s e do i lc r y p t o g r a p h i ca l g o r i t h m , f o re x a m p l e , i p s e c a n dj p s e ca l lu t i l i z ee n c r y p t i o na l g o r i t h m ，a u t h e n t i c a t i o na l g o r i t h m ，a n do t h e ra l g o r i t h mt o i m p l e m e n ts e c u r i t yo fr e l a t e dc o n t e n t s e c u r i ya l g o r i t h mi sb a s e do nc o m p u t a t i o n a lc o m p l e xa n do n e - w a yf u n c t i o n , w h i c hi s m o r ec o m p u t e - i n t e n s i v ea n dw i l lb et h eb o t t l en e c ko ft h es y s t e mi fi tc a nn o tb ei m p l e m e n t e d e f f i c i e n t l y s oi ti sn e c e s s a r yt oi m p l e m e n tt h e mi nv l s i o rs o c r e a lt i m es e c u r i t yp r o c e s s o r , h o w e v e r , f a c e sm a n yc o n f l i c t i n gd e s i g nc h a l l e n g e sa n d c o n s t r a i n t st h a ta r eu s u a l l yd e m a n d e da tt h es a m et i m e f o re x a m p l e , s e v e r a lm a j o ro b j e c t i v e s a r e ： 一s e c u r i t y , 一r e a l t i m e , - t of i ti n t ot h er e q u i s i t ep h y s i c a lc o n s t r a i n t s ( s i z e ，w e i g h t , a n dp o w e r ) i tw a sf o u n dt h a tt h em o s ts u i t a b l es i g n a lp r o c e s s o rw h i c hs a t i s f i e st h e s er e q u i r e m e n t sa n d c o n s t r a i n t sw h i l ep r o v i d i n ge n o u g hf l e x m i l i t yw i t hc u r r e n ti ct e c h n o l o g yw o u l db ef p g a ( f i e l dp r o g r a m m a b l eg a t ea r r a y ) 一b a s e da r c h i t e c t u r e w i t ht h e s ew o r k , m a n yi n t e r e s t i n gr e s u l t sa r ea c q u i r e d ，t h e yi n c l u d e ： a c o m p l e t ea n du n i f i e dm e t h o d o l o g yf o rs t o r a g es e c u r i t y ； an o v e la r c h i t e c t u r ew h i c hw ec a l lc u t - t h r o u g ha r c h i t e c t u r ef o rs t o r a g es e c u r i t y ； - a n o v e la r c h i t e c t u r ew h i c hw ec a l lf l o w - t h r o u g h a r c h i t e c t u r ef o rn e t w o r ks e c u r i t y ； a n o v e ls e l e c t i v ee n c r y p t i o na l g o r i t h m f o r j p e g 2 0 0 0 , w h i c h e n c r y p t1 5 c o d e s t r e a m a n dr e a c ht h es e c u r i t yo f j p e g 2 0 0 0c o d e s t r e a m af p g ap r o t o t y p ep l a t f o r mh a sb e e nd e s i g n e dt oi m p l e m e n tt h ed i g i t a lr i g h t p r o t e c t i o ni nd i g i t a lc i n e m a t h e s er e s u l t sw i l lc o n t r i b u t et oe s t a b l i s h m e n to ft h er e l a t e ds e c u r i t yp r o t o c o l s ，t h e a r c h i t e c t u r ed e s i g na n di m p l e m e n t a t i o n a tt h es a m et i m e ，t h ei n t e g r a t e dd e s i g no p t i m i z a t i o no f a p p l i c a t i o n , p r o t o c o l ，a l g o r i t h ma n d a r c h i t e c t u r eb r i n gf o r t han e wd e s i g nm e t h o d o l o g y k e y w o r d s ：d i g i t a ls e c u r i t y , s t o r a g es e c u r i t y , n e t w o r ks e c u r i t y , s e c u r i t yp r o t o c o l ，s o c 1 1 1 ，耍时数字安伞芯片研兜v 2 ；t - ；缩略诃 缩略词 3 d e s ：t r i p l ed a t ae n c r y p t i o ns t a n d a r d a a c s ：a d v a n c e da c c e s sc o n t e n ts y s t e m ，高级访问内容系统，下一代高清晰光盘格式b d 与h d d v d 共用的版权保护技术 a e s ：a d v a n c e de n c r y p t i o ns t a n d a r d 。高级加密标准 a h ：a u t h e m i c a t i o nh e a d , 认证央 a t a ：a t - a t t a c h m e n t a t m ：a s y n c h r o n o u st r a n s f e rm o d e ，异步传输模式 a r p ：a d d r e s sr e s o l u t i o np r o t o c o l , 地址解析协议 a s i c ：a p p l i c a t i o ns p e c i f i ci n t e g r a t e dc k c u i t , 专用集成电路 b n l s ：b u i l ti nt h es t a c k b r 】n ：b u i l ti nt h e 、7 l h r c c a ：c e r t i f i c a t e a u t h o r i t y , 认证中心 c b c ：c i p h e rb l o c kc h a i n i n g ，密码分组链接 c u b ：c i p h e rf e e d b a c k , 密码反馈 c r c ：c y c l i cr e d u n d a n c yc h e c k 循环冗余校验码 a t kc e r t i f i c a r er e v o c a t i o nl i s t ，密钥吊销列表 c s s ：c o n t e n ts c r a m b l es y s t e m ，内容扰流系统，d v d 的版权保护技术 ( 卫p m ：c o n t e n tp r o t e c t i o nf o rp r e - r e c o r d e dm e d i a c p r m ：c o n t e n tp r o t e c t i o nf o rr e m o v a b l em e d i a d c ：d i g i t a lc i n e m a , 数字电影 d c i ：d i g i t a lc i n e m ai n i t i a t i v e s d c p ：d i g i t a lc i n e m ap a c k a g e 数字电影包 d c t ：d i s c r e t ec o s i n et r a n s f o r m ，离散余弦变换 d e s ：d a t ae n c r y p t i o ns t a n d a r d 。数据加密标准 d r m ：d i g i t a lr i g h tm a n a g e m e n t , 数字版权保护 d s a ：d i g i t a ls i 印a t u r ea l g o r i t h m , 数字签名算法 d s p ：d i g i t a ls i g n a lp r o c e s s o r , 数字信号处理 d t c p ：d j i g i t a lt r a n s m i s s i o nc o n t e n tp r o t e c t i o n ，数字传输内容保护 d v b ：d i g i t a lv i d e ob r o a d c a s t , 数字视频广播 d v d ：d i g i t a lv i d e od i s k ，数字视频光盘 d v i ：d i i g i t a lv i s u a li n t e r f a c e , 数字视频接口 d w t ：d i s c r e t ew a v e l e tt r a n s f o r m ，离散小波变换 e c b ：e l e c t r o n i cc o d eb l o c k , 电子密码本 e e p r o m ：e l e c t r i c a l l y - e r a s a b l ep r o g r a m m a b l er e a d - o n l ym e m o r y , 电子可擦除可编程只读 存储器 中圆 学院博卜学位论文唼时敌7 盘伞处理器研究j 设汁 e s p ：e n c a p s u l a t i n gs e c u r i t yp a y l o a d 封装安全载荷 e z w ：e m b e d d e dz e r o t r e ew a v e l e t , 嵌入式零树小波 f c ：f i b e rc h a n n e l ，光通道 f d d i ：f i b e r d i s t r i b u t e d d a t a i n t e r f a c e , 光纤分布数据接口 f p g a ：f i e l d p r o g r a m m a b l e g a t e a r r a y , 现场可编程门阵列 h d c p ：h i g h - b a n dd i g i t a lc o n t e n tp r o t e c t i o n , 高频数字内容保护 h d m i ：h i g h d e f m i t i o nm u l t i m e d i ai n t e r f a c e 高清多媒体接口 h d t v ： g h d e f i n i t i o n t e l e v i s i o n ，高清电视 h m a c ：h a s hm e s s a g ea u t h e n t i c a t i o nc o d e ，h a s h 消息认证码 唧：h y p e r t e x tt r a n s p o r tp r o t o c o l 超文本传输协议 1 2 c ：i n t e ri n t e g r a t e dc k c u i t i c m p ：i n t e r n e tc o n t r o lm e s s a g ep r o t o c o l ，i n t e r n e t 控制报文协议 i c v ：i n t e g r i t yc h e c kv a l u e ，完整性检验值 i d e ：i n t e g r a t e dd r i v ee l e c t r o n i c s i d e a ：i n t e r n a t i o n a ld a t ae n c r y p t i o na l g o r i t h m ，国际数据加密算法 i g m p ：i n t e m e tg r o u pm a n a g e m e n tp r o t o c o l , i n t e r a c t 组管理协议 i k e ：i n t e r n e tk e ye x h a l e ，i n t e m e t 密钥交换协议 i p ：h l t c m c tp r o t o c o l ，i n t e r n e t 协议 i p s e e ：h t e m c tp r o t o c o ls e c u r i t y , i p 安全协议 i s a k a m p ：i n t e m e ts e c u r i t y a s s o c i a t i o na n dk e y m a n a g e m e n tp r o t o c o l ，i n t e r n e t 安全关联与 密钥管理协议 i v ：i n i t i a l i z a t i o nv e c t o r i p v 4 ：i n t e r n e tp r o t o c o lv e r s i o n4 i p v 6 ：i n t e m e tp r o t o c o lv e r s i o n6 j p 3 d ：j p e g 2 0 0 0t h r e ed i m e n s i o n j p e g 2 0 0 0 ：j o i n tp h o t o g r a p h i ce x p e r t sg r o u p2 0 0 0 j p i p ：j p e g 2 0 0 0i n t e r a c t i v i t yp r o t o c o l j p s e c ：j p e g 2 0 0 0 s e c u r i t y j p w l ：j p e g 2 0 0 0w i r e i e s $ k d m ：k e yd e l i v e r ym e s s a g e ，密钥分发消息 k l ：k a r h u n e n - l o e v e 变换 k l v ：k e yi 上n g t hv a l u e i a n ：l o c a la r e an e t w o r k , 局域网 l b a ：l 0 9 t cb l o c k a d d r e s s ，逻辑块地址 l 2 f ：l a y e r2f o w a r d i n g , - 层转发协议 l 2 t p ：l a y e r2t u n n e l i n gp r o t o c o l ，二层隧道协议 l f s r ：li n e a rf e e d b a c ks h i f tr e # m r , 线性反馈移位寄存器 m a c ：m e s s a g e a u t h e n t i c a t i o nc o d e ，消息认证码 v 实时数友争芯片研究l j 垃汁；镭略词 m a c ：m e d i a a c c e s sc o n t r o l ，媒体访问控制 m a n ：m e t r o p o l i t a n a r e an e t w o r k , 城域网 m j p e g 2 0 0 0 ：m o t i o nj p e g 2 0 0 0 m t u ：m a x i m u mt r a n s m i s s i o nu n i t , 最大传输单元 n a t ：n e t w o r k a d d r e s st r a n s l a t i o n ，网络地址转换 n d i s ：n e t w o r kd r i v e ri n t e r f a c es p e c i f i c a t i o n n p u ：n e t w o r kp r o c e s s o ru n i t ，网络处理单元( 网络处理器) o f b ：o u t p u tf e e d b a c k , 输出反馈 o s ：o p e r a t i n gs y s t e m ，操作系统 o s i ：o p e ns y s t c mi n t e r c o n n e c t i o n , 开放系统互联 p a t ：p o r t a d d r e s st r a n s l a t i o n ，端口地址转换 p f 虹a ：p a r a l l e la t a p e m ：p r i v a c ye n h a n c em a i l s p l b ：p r o c e s s o rl o c a lb u s p k i ：p u b l i ck e yi n f i a s t m c t u r e ，公钥基础设施 p s k ：p r e s h a r e d - k e y , 预共享密钥 p g p ：p r e t t yg o o dp r i v a c y p p p ：p o i n t t o - p o i n tp r o t o c o l , 点对点协议 p p l 田：p o i n t t o - p o i n tt u n n e l i n gp r o t o c o l 点对点隧道协议 r j 蛆灌：r e v e r s e a d d r e s sr o s o l u t i o np r o t o c o l ，反向地址解析协议 g e e - r u nl e n g t he n c o d i n g ，行程编码 s a ：s e c u r i t y a s s o c i a t i o n ，安全关联 s a d ：s e c u r i t y a s s o c i a t i o nd a t a b a s e ，安全关联数据库 s a t a ：s e r i a l 蛆 a s c s i ：s m a l lc o m p u t e rs y s t e mi n t e r f a c e s d t v ：s t a n d a r d - d e f i n i t i o nt e l e v i s i o n ，标清电视 s ，7 m i m e ：s e c u r em i m e s t e l ：s e c u r i t yt e l n e t ，安全t e l n e t s i l s ：s t a n d a r d f o r i n t e r o p e r a b l e l a n 僵i a n s e c u r i t y s n i c ：s t o r a g en e t w o r k i n gi n d u s t r y a s s o c i a t i o n ，存储网络工业协会 s o d ：s p o r t - o n - d e m a n d s p d ：s e c u r i t yp o l i c yd a t a b a s e , 安全策略数据库 s s h ：s e c u r es h e l l s s l ：s e c u r es o c k e tl a y e r , 安全套接字 s o c ：s y s t e mo nc h i p ，片上系统 s p i ：s e c u r i t yp a r a m e t e ri n d e x ，安全参数索引 s v p ：s e c u r i t yv i d e op r o c e s s o r , 安全视频处理器 t c p ：t r a n s m i s s i o nc o n t r o lp r o t o c o l ，传输控制协议 v l 中国 学院搏t ：q - 付论之实时敌7 友令处珲器研究设计 t l s ：t r a n s p o r tl a y e rs e c u r i t y , 传输层安全 v o d ：v i d e oo nd e m a n d , 视频点播 v l s i ：v e r yl a r g es c a l ei n t e g r a t i o n , 超大规模集成电路 v p n ：v i r t u a lp f i v a t en e t w o r k , 虚拟专用网 w a p i ：中国无限局域网安全强制性标准 x m l ：e x t e n s i b l em a r k u pl a n g u a g e , 扩展标记语言 图目录 图1 1 应用、协议、算法与体系结构的层次关系 图2 1 对称密码系统的应用模型。 图2 2 公钥密码体制的加密模型 图2 3 公钥密码体制的认证模型 图2 4 a e s 算法的结构 图2 5 s h i f t r o w 变换 图2 6 m i x c o l u m 变换 图2 7a d d r o u n d k e y 变换 图2 8 线性移位寄存器( l f s r ) 图2 9 共享存储和存储安全模型的比较 图2 1 0 细化的存储安全模型。 图2 1 1l o o k a s i d es e c u r i t ya r c h i t e c t u r e 图2 1 2f i o w - t i l f o u g hs e c u r i t y a r c h i t e c t u r e 。 图2 1 3e n o v a 安全存储解决方案 图2 1 4m a t r o xm o r p h i s 图像采集卡上的j p e g 2 0 0 0 认证系统 图3 1 存储层次与安全协议及实现 图3 2e m e - 3 2 - a e s 加密操作 图3 3l r w - a e s 加密操作 图4 1 并行a t a 的体系结构 图4 2 应用层、操作系统层、存储协议与设备模型层以及物理层 图4 3 a e s 算法流程 图4 4 轮内流水周期图 图4 5 a e s 算法v e r i l o g 实现的s c h e m a t i c 图 x v 5 7 8 8 9 9 9 m n b b h h 巧 插 加 殂 砣 弭 m 笱 拍 刀 妾时敌宁宜令芯片研究卜j 设计；i ! f l 目录 图4 6 c f b 加密模式 图4 7 c f b 解密模式 图4 8 一般存储系统模型 图4 9 存储转发结构 图4 1 0 加解密处理的时间模型 图4 1 1 流水加密解密 图4 1 2 基于o f b 的加密模型 图4 1 3 直通转发结构图 图4 1 4 密钥吊销位图 图4 1 5i m p l e m e n t a t i o ns t r u c t u r eo f b l o c k l e v e ls t o r a g es e c u r i t y a r c h i t e c t u r e 图4 1 6 存储安全处理器的内部结构。 图4 1 7 a t a d b g 调试截图1 图4 1 8 a t a d b g 调试截图2 图4 1 9 w i n d o w 程序截图 图4 2 0 正确解密的视频 图4 2 1 未能正确解密的视频 图4 2 2 c r c 原理图 图4 2 3 1 2 c 读编码 图4 2 4 s a t a 的层次模型 图4 2 5 p i o 操作时序。 图4 2 6 d m a 操作时序 图4 2 7 实现框架 图4 2 8 i o m e t e r 测试模型 图4 2 9 存储转发结构与直通结构数据吞吐率比较，其中星型点为直通结构的测试结果， 方型点为存储转发结构的测试结果，横轴表示测试数据块的粒度，纵轴表示数据吞吐率， 凹 四 凹 孔 弱 弭 m 努 药 弘 拍 ” 勰 柏 n 唼时数7 霞争芯片研究l j 设汁；日录 单位是m b p s 图5 1 t c p i p 协议簇 图5 2 i p v 4 的口数据报格式 图5 3 i p v 6 的i p 数据报格式 图5 4 t c p 包头格式 图5 5i p s e c 协议总体结构框图 图5 6 a h 认证头格式 图5 7 i p v 4 下的a l l 数据报格式 图5 8 i p v 6 下的a h 数据报格式 图5 9 安全关联数据报格式 4 8 。5 6 。5 6 图5 1 0 i p v 6 下的e s p 数据报格式 图5 1 1 i p v 4 下的e s p 数据报格式 5 7 图6 1 i p s e c 的b i t s 实现示意图。 图6 3 基于n d i s 的i p s e c 实现 6 0 图6 4 基于虚网卡和注册协议机制的f r e e s w a n 的外出处理和进入处理。 图6 5k a m e 中的流出处理与流入处理流程图 图6 6n i 仃o xc n l o x x 系列i p s e c 实现的内部结构 图6 7m o t o r o l am p c i 9 0 功能框图 图6 8l o o k a s i d e 协议处理结构图 图6 9h o w - t h r o u g h 协议处理模型 图6 1 0 三种结构的比较 图6 1 1 c b c 模式 图6 1 2h m a c - s h a l 实现框图 图6 1 3 s h a l 处理器框图 图6 1 4i p s e c 协议处理器应用结构 斛 ：8 砸 酊 够 碣 加 饥 n 记 实时数字曩争芯h 研究j 设汁：蹦日录 图6 1 5i p s e c 封包处理器 图6 1 6 i p s e c 解包处理器 图6 1 7 p l b 总线结构 图6 1 8i p s e ct h r o u g h 协处理器验证平台。 图6 1 9e t h e r e a lc a p t u r e sp a c k e t sa n da l l o w sy o ut oe x a m i n et h e i rc o n t e n t 。 图7 1 图像视频压缩编码的时空域模型 图7 2 图像变换。 图7 3 m a l l a t 分解结构 图7 4 m a l l a t 重建结构 图7 55 3 提升小波的分解结构 图7 6 5 3 提升小波的重建结构 图7 7 小波分解结构图 图7 8 图像的二级小波分解与三级小波分解 图7 9 j p s e c 的系统结构图 图7 1 0 j p s e c 的应用场景 图7 1 1 安全服务于安全技术的关系 图7 1 2j p s e c 与i p s e c 的层次结构比较。 图7 1 3 编码、加密、认证、电子水印 图7 1 4l e n a 图像的比特平面加密 图7 1 5l e n a 图像的随机加密 图7 1 6 d u f 低频系数加密 图7 1 7d w t 低频系数加密 图7 1 8 子带、子区与代码块 图7 1 9 c c p 。 图7 2 0j p e g 2 0 0 0 的兼容性加密与解密 ；2 粥 镌 跖 踮 盯 盯 昭 鼹 眇 踮 虬 虬 s ： s ! 够 舛 舛 蝤 鲐 卯 粥 实时数7 安牟芯片研究l j 歧；t - ： h 求 图7 2 1 小波变换与码流的影射关系 图7 2 2 编码扫描分组处理的例子 图7 2 3 选择性加密结果与直方图 图7 2 4 复数图像的压缩与加密 图8 1 标清电视、高清电视弓数字电影 图& 2 数字电影的安全机制 1 0 0 1 0 1 1 0 1 1 0 3 图8 3 数字电影的制作与播放过程 图8 4 数字电影播放模型 图8 5 数字电影播放系统框图 图8 6 数字电影的内容加密 图8 74 k 数字电影格式 1 0 4 图8 84 k 图像。 图8 92 k 图像。 图8 1 0c p r l 渐进。 1 0 5 1 0 6 1 0 6 图8 1 1 a ，r l 中高分辨率加密。 图8 1 2 低分辨率图像 图9 1 三大安全领域的关系 图9 2i p s e c 与j p s e c 的类比分析 1 0 7 1 0 7 x 1 0 9 表2 1 杂凑函数安全性比较 表3 1 网络层次与安全协议 表目录 表4 1a e s 轮数与输入数据及密钥的关系 表4 2 f p g a 实现结果 表4 3 存储转发结构测试结果 表4 4 直通结构测试结果 表4 5 非加密情况测试结果 1 0 。：1 6 2 7 4 1 4 2 4 2表4 。6 直通结构的资源使用情况 表4 7 存储转发结构的资源使用情况 表5 1i p s e c 的认证方法 表5 2s s l 的认证方法。 表5 3 i p s e c 与s s l 认证算法与强度 表5 4 i p s e c 与s s l 的开销 表5 5 i p s e c 建立连接的开销 表5 6 s s l 建立连接的开销 5 2 衷5 7i p s e c 在启用和禁止压缩的性能 表5 8 s s l 在启用和禁止压缩的性能 表5 9 其它方面的比较 表7 1j p e g 2 0 0 0 的体系 表7 2 加密在压缩各环节的影响 表7 3 分辨率等级m 的层次 表7 4 分辨率等级m 层次零加密 5 3 5 3 5 3 表8 1 各种数字电影连接通道与安全方案。 9 4 9 9 1 0 0 1 0 8 声明 我声明本论文是我本人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢的地方外，本论文中不包含 其他人已经发表或撰写过的研究成果。与我一同工作的同志对本研究所做 的任何贡献均已在论文中作了明确的说明并表示了i 9 意。 作者签名：号手翅l 日期：沙彳石，形 论文版权使用授权书 本人授权中国科学院计算技术研究所可以保留并向国家有关部门或机 构送交本论文的复印件和电子文档，允许本论文被查阅和借阅，可以将本 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编本论文。 ( 保密论文在解密后适用本授权书。) 作者签名：弓l 超 导师签名：l - 虚松日期：沙。莎莎“ 第一章引言 数字技术的发展在促进人类社会的进步，文明的发展过程中具有不可磨灭的功绩， 但也使得数据存储安全、网络安全以及视豸员图像安全成为不可避免的重要问题。一方面 由于数字技术相对于模拟技术的优势使得数字时代的存储、网络传输以及视频应用取得 了突飞猛进的发展，存储设备的容量增加，存储的内容也增加，网络传输的带宽增加， 网络传输的内容也增加，自然使得安全问题日益突出：另一方面数字技术的诸多优势之 一足具有复制备份的便捷性，但这无疑足数字保密及版权保护者的梦魇。 例如在数字电影相关标准协议的制定过程中安全问题是一直困扰d c i , s m p t e 的一 个重要问题【1 1 。因为数字电影无论是在存储的环节上，还是在传输的环节上以及放映的 过程中产生的数据流失从而造成的盗版行为，对电影发行厂商来说都是致命的打击。 更为重要的是安全技术对于一个国家的经济建设，国防建设等都具有重要的意义。 1 1 本论文问题的提出 1 1 1 网络安全、存储安全以及视频安全的意义 在信息化社会金融活动、商业交易以及行政服务等越来越多的事务通过开放的计算 机以及通信网络来进行。虽然开放的环境给人们提供了诸多便利，但是安全已经越来越 为人们关心和重视。最近的调查显示制约w l a n 发展的主要因素足人们对于其安全性 的担心。 如何保障网络上的信息数据不会被未经授权的用户访问? 在网络上你如何能够确信 卢称自己是谁的人就是谁? 又如何避免一些实体否认说过的话或做过的事? 又如何保证 你接受到的信息不是伪造的、重放的、有害的? 网络安全就是解决上面这些人们普遍美山的问题的。与上面的问题相对应，网络安 全问题被粗略的分成4 个相互交织的领域：保密、签别、不可否认和完整性控制【2 1 。 认证服务提供了关于某个实体( 人或事物) 身份的保证。这意味着当某个实体声称具 有一个特定的身份时，认证服务将提供某种方法来证实这个声明足正确的。访问控制的 目标是防止对任何资源( 如计算资源、通信资源或信息资源) 进行末授权的访问。所谓未 授权访问包括未经授权的使用、泄露、修改、销毁以及颁发指令等。访问控制直接支持 机密性，完整性、可用性以及合法使用的安全目标。保密服务就是保护信息不泄漏或不 暴露给那些末授权掌握这一信息的实体( 例如人或组织) 。完整性服务就是对某种违反安 全策略改变数据价值和存在的威胁的一类防护措施。 v i n 足- - f 新兴的网络技术，它是利用公网曲日因特网或网络服务提供商的口骨干 中困科学院博1 学位论史峡时敬7 # 安争处理器研究改汁 网) 或专网( 局域网) 来构建的虚拟专用刚络，足通过特殊设计的硬件和软件，直接通过共 享的i p 网所建立的隧道来完成的。通过v p n 可以实现远程网络之间安全、点对点的连 接。 一提到安全人们想到的往往是网络安全，存储安全处在被忽视的地位，但足发生信 息安全事故最多的环节往往是存储安全这一个环节。 a n d r e w s t a n e n b a u m 在他的 c o m p u t e r n e t w o r k s ) ) 一书中这样写道：“警方的纪录 表明，大多数攻击事件并不是由外部人员通过搭接电话线而侵入的，而是内部人员因为 怀恨在心而实施的报复行为。因此，在设计安全系统时应该牢记这样的事实。”【2 1 而所 谓的“内部人员”的“报复行为”主要涉及到存储数据的安全，可见存储安全的重要性。 无论个人、组织还是政府都有大量的有价值的数据以电或者磁的方式存储着，在大 多数的情况下这些数据并不在网络上流动。这些数据可能包括个人隐私、企业的核心技 术以及国家的军事、外交机密，如果这些信息以明文的方式存在，一旦被盗其后果可想 而知。 举个简单的例子，网上银行被盗的事件屡有发生，而人们首先想到的是网络安全存 在问题，但足事实上如果银行的数据以密文的形式进行存储，即使攻击者穿越网络安全 的防线也只能得到一些无用的数据。 又如，以个人才能为基础创作的艺术表现( 作品) 相关的高质量图像必定会产生著作 权的问题。因此，必须始终把高质量视频闺像或者音频等媒体内容和知识产权保护作为 一体化来考虑问题。该知识产权以保护作者利益为目的，以便继续在社会上诞生出优秀 的艺术作品。 不注重知识产权的上述想法无论如何也不会直