多媒体通信业务是一种点对点或点对多点传送声音、图像、数据文件的同步交互式多业务。以往的多媒体通信业务主要基于电路交换网络,随着基础数据业务的快速稳定增长和网络规模的持续增长,多媒体通信业务的发展趋势将基于包交换网络,如IP网络。然而,IP网络的固有的安全缺陷使得多媒体通信业务面临着很大的安全风险。 现有的外置式加密设备,如外置会议电视加密系统,是基于专线组网的ITU-T H.320标准的设备,并不适合于基于包交换的的IP多媒体通信。应用于IP信道的H.323加密技术是目前实现多媒体通信过程中媒体流安全比较新的技术。目前,国外已经有多媒体通信厂商,如挪威泰得,已率先实现了内嵌加密技术,但只能在特定厂商、特定产品中添加密码功能,难以对现有的IP多媒体通信系统进行升级,从而引入密文传输功能。 本论文针对现有技术的缺点提出了一种外置式的密码设备来保证多媒体通信业务的安全性。这种透明的密码设备和多媒体终端间不存在协议交互,克服了内嵌式加密技术对特定设备的依赖性,从而可以实现不同组网中多厂商多产品下IP网中多媒体流的传输安全。 本文详细描述了这种设备的系统设计思想和基本结构。该系统按功能可分为明文口功能模块、密文口功能模块、密钥协商功能模块、系统控制功能模块。结合自己在系统设计和实现中所做的工作,本文重点阐述了密钥协商功能模块和系统控制功能模块的实现方法,其他几个模块的实现方法也作了分析。同时本文就系统在实现过程中应用到的关键技术作了详细分析。这些关键技术包括:媒体流数据包的识别、数据包的透明转发、如何判断IP多媒体通信终止、密码机私有协议包如何穿越防火墙、不同子网中二层设备间如何密钥协商、多媒体密码机RTP协议、多媒体密码机版本升级协议技术等。 目前,根据该设计思想实现的多媒体密码机设备已经在会议电视市场上获得商用,并反应良好。