基于HIPP的SRTP/SRTCP协议的设计与实现

摘要

随着网络技术的发展和标准的制定，实时音频、视频的应用越来越广泛，这些应用反过来又促进了相关协议标准的发展。1996年IETF在RFC1889中定义了传输实时数据的Internet标准协议RTP，并在2003年制定了升级版本RFC3550。由于网络安全问题日益突出，2004年3月IETF在RFC3711中定义了RTP的一个扩展协议SRTP来提高RTP应用的安全性，SRTP定义了对RTP与RTCP流进行加密、认证以及抗重播攻击检测等的实现框架。 HIPP是著名的网络安全公司Hifn研发的安全芯片系列，广泛应用于路由器、交换机以及VPN网关等中间设备以提高安全协议的处理性能。HIPP芯片支持目前最流行的块加密算法(DES/3DES，AES128/AES192/AES256)及加密模式(ECB，CBC，Counter)、流加密算法(ARC4)、压缩算法(LZS，MPPC)、认证算法(HMACMD5，HMACSHA-1)，其精心设计的流水体系结构能以非常低的延时并行完成对网络包的压缩、加密、认证、抗重播检测等安全处理。 HIPP以其优秀的可扩展性成功的实现了PPTP、IPSec与SSL等多种安全协议，对多协议的支持归功于其“算法处理”与“协议处理”相分离的体系结构：HIPP内部有一个专用的RISC处理器DPU用于“协议处理”，并控制其它安全引擎(如加密、压缩、认证、填充)完成“算法处理”。 与IPSec类似，HIPP可以支持SRTP的两种实现方式：Bump-in-the-stack(BITS)与Bump-in-the-wire(BITW)。BITS实现在RTP与UDP之间，BITW实现在IP与链路层之间，它们由不同的DPU代码分别实现。实现的难点是SRTP48位包索引的维护、各协议头的分析与处理、非标准认证标签长度的处理等。 本文首先介绍HIPP芯片的体系结构、数据处理模型和会话的概念，在此基础上重点介绍了DPU，包括其工作环境、代码、寄存器组、指令集、标记；然后对SRTP/SRTCP协议进行了分析与讨论；最后详细讨论了如何在HIPP上实现SRTP/SRTCP，并做了总结。

目录

文摘

英文文摘

1引言

2 HIPP介绍

2.1系统结构(Architecture)

2.2数据处理模型

2.3会话(Session)

2.3.1密钥/初始向量

2.3.2R16-R23

2.3.3认证上下文

2.3.4程序头

2.3.5会话号

2.4动态协议单元(DPU)

2.4.1 DPU环境

2.4.2 DPU代码

2.4.3 DPU寄存器组

2.4.4 DPU指令集

2.4.5标记(Token)

3 SRTP/SRTCP协议

3.1数据流加密

3.2认证和抗重播保护

3.3SRTP包的格式

3 4SRTCP包的格式

3 5SRTP包索引

3 6SRTCP包索引

3.7生成会话密钥

3.8生成加密初始计数器

4基THIPP的实现

4.1体系结构

4.2会话实现

4.2.1密钥生成会话

4.2.2SRTP会话

4.2.3SRTCP会话

4.2.4会话之间的关系

4.2.5 HIPP会话实现总结

4.3SRTP包索引维护算法

4.3.1算法1分析

4.3.2改进的算法2

4.3.3两算法在HIPP上的实现比较

4.4非标准认证标签长度

4.5协议头的分析处理

4.5.1RTP头

4.5.2RTCP头

4.5.3IPv4/UDP头

4.5.4IPv6/UDP头

4.5.5UDP伪头

5实现总结

6参考文献

致谢