传统的加密算法不能很好地满足客户的需求。因此,我们在不改变现有芯片结构的基础上,创新设计了现有的加密算法和加密相关设备,并设计了基于多业务级别的EPON系统数据加密模块。
一、EPON分级加密技术理论分析。
虽然以太网技术和PON技术是两种成熟的技术,但两者的结合是一种新的尝试,一些需要通过行业努力逐步解决的关键问题。EPON的安全问题也是一个新课题。虽然IEE802.3ah没有形成EPON的安全标准,但学者们在制定标准的过程中就EPON安全措施的必要性达成了共识,一些学者提出了采取加密和认证措施来确保EPON的安全。加密和认证方法的提出直接导致了EPON系统中使用的各种加密算法。基于扰码的加密方法通过密钥更新提供了安全策略,但扰码加密的安全性不高,APON(ATMPON)被许多学者质疑。
采用高级加密标准(AES)加密下行数据流,但只涉及如何处理最后一组。为了解决EPON的安全问题,建议EPON标准802.3au采用高级加密标准算法在物理层加密用户信息。AES算法加密的用户数据有效降低了信息泄露的可能性。因为AES算法是一种对称的密钥方法,即加密钥和解密钥是一样的。通信双方应通过安全的密钥通道传输共享的密钥进行加密和解密。密钥泄露存在于密钥传输过程中。公共密钥加密算法采用公钥加密和私钥解密,在加密解密过程中无需通过网络传输密钥。
因此,考虑到对称加密算法的高效性和公钥算法在密钥管理方面的优势,可以考虑采用两者结合的加密方法。在加密领域,人们做了大量的研究和实践,许多研究成果被商业化,如端到端避孕套层、IPSEC和虚拟特殊网络。这些加密措施可以用于提高访问网络的安全性。然而,这些方法必然会在每个用户终端上配置额外的加密设备,这不仅会增加网络管理的复杂性,而且会增加网络管理的成本,而且还会增加用户的成本。因此,理想的解决方案应该从访问网络协议的数据链路层开始。
EPON系统的安全包括系统的信息安全,涉及信息的保密性、完整性、可用性和可控性。EPON的发展目标是整个业务聚集网络。随着EPON对多业务支持的不断成熟和完善,我们面临着多业务带来的相关问题:不同的业务对加密特性有不同的要求。
IP网络技术将各种业务有机结合,使网络成为集语音、图像、数据于一体的多业务平台。随着internet的快速发展,人们对多媒体信息的需求越来越大,实时音频/视频流业务的需求不断涌现。TDMoverEPON技术是通过EPON透明传输TDM业务,视频流业务与TDM业务有其相似之处。如果他们对延迟、延迟抖动和丢包率有很高的要求,他们的QOS要求必须得到保证。根据流媒体业务的特点,适当的带宽分配也可以保证其有效的传输。
对于EPON多业务的支持,许多技术人员通过不同的带宽分配方案提出了许多优秀的建议。需要注意的工作是进行业务识别和分类标记。流量分类通常与接受控制策略和流量监控一起使用。这些工作主要由边缘路由器或网关在网络边缘完成。传统的IP网络只能提供尽力而为的服务。所有公平的业务流量竞争网络资源难以保证各类业务的通信要求,这也是研究IPQOS的根本原因。PON网络作为IP上传输的PON网络,应考虑不同业务对安全的不同要求,如何区分不同业务,如何为不同业务使用不同的加密方案已成为一个非常实际的问题。
二、加密子层处理机制建模。
该方案的设计原则是加密数据链路层的帧数据。在实际应用中,尽量不要对上层产生太大影响,保持上层的独立性和完整性。基于此考虑,建议在MAC子层和RS子层之间实现透明的加密子层,使其相当于RS子层,而下RS子层相当于MAC子层。
在发送加密子层时,首先模拟RS从MAC层接收数据,然后根据加密指示域中的业务分类进行相应的加密,然后模拟MAC子层向RS子层发送数据,从而完成透明的发送过程。在接收过程中,首先模拟MAC子层从RS子层接收数据。然后根据加密指示域的业务分类进行相应的解密,然后模拟RS子层将解密数据发送到MAC子层,从而实现透明接收。在EPON系统中,多业务数据传输到OLT和ONU之间,每个业务对安全的要求不同。OLT/ONU之间的认证信息关系是整个网络的带宽配置、资源分配、工作状态、授权识别等重要信息,与整个系统的安全稳定有关,对安全要求高,数据流量小;语音视频等流媒体业务对安全要求低,数据流量大,但对延迟性相对较大:数据流量较低。针对上述数据的不同特点,提出了分级业务加密方案。
上述多业务加密机制最重要的是对不同的业务采用不同的算法,但考虑到实现的复杂性,加密范围包括源地址、目的地址:数据域和验证域作为业务加密指示域,加密子层通过上层数据业务指示标记进行相应的加密,上层数据加密到下层,接收端也根据下层数据中的业务指示标记进行相应的解密。
三、基于业务级EPON系统数据加密方案的设计。
为了解决EPON系统数据库中的各种安全风险,针对传统加密算法的一些不足,从以下两个方面进行了改进:对传统加密方案进行了一些改进。由于传统的加密方案对所有业务都采用相同的加密算法。部分加密算法的加密速度相对较慢,不能很好地满足语音视频等实时业务,或部分加密算法的安全性不够高,不能保证机密信息的绝对安全。因此,采用分级加密的理念,对不同客户的业务进行分级和需求。
该方案从数据链路层开始,将业务分为三个层次进行加密。
从上到下,等级由高到低排列:①ONU的注册认证信令具有最高的安全等级,对延迟没有要求。因此,应使用最安全的加密算法进行加密。在这里,基于椭圆的加密算法ECC具有较高的安全性和快速的加密速度;②一般数据业务等信息的安全等级也相对较高,对延迟没有要求。如果您想确保其安全,您也可以使用ECC进行加密;③语音视频等业务的安全等级最低,即安全要求不高,但对延迟和抖动的要求相对较高。因此,应使用快速加密算法进行加密,以减少延迟和抖动,以最好的方式满足客户的需求。因此,AES采用加密速度最快的对称加密算法。
OLT发送下行数据时,首先提取数据帧中的同步时间作为时间标记,并通过主控制模块根据不同的业务产生相应的时间加密函数。主控制模块控制加密或解密。加密控制模块通过调用相关加密函数对加密数据通道中的不同业务进行分级加密,加密数据通道通过相关接口通知加密控制模块。
ONU收到OLT发送的加密数据,只需提取自己的时间函数作为解密密钥。用它来解密数据。每个ONU只有自己的时间函数,所以它防止其他ONU窃取数据:每个ONU的时间函数会改变,即使窃取者窃听数据帧并分析密钥,也不能解密ONU的接收数据帧,以防止它非法的ONU通过伪装发送数据了。
在EPON系统中对安全机制的实验方案主要考虑通过建模的方法验证加密方案的可行性,主要分析各种加密算法对系统中的相关参数例如时延等的影响,然后通过软件程序设计语言进行加密实现。针对语音:图像、数据等多业务的传输中采用分级加密的机制。由于采用了分业务加密处理的思路,有效改善了ITU标准中单独采用搅动加密带来的安全系数低不足,同时也克服了完全采用高级加密算法加密带来的吞吐量瓶颈的缺陷,应用私钥密码进行公钥密码的密钥分配,进一步提高了系统的安全性。这一技术还可以使用在无线局域网中。
完成加密和解密功能的加密数据通道的具体结构,左边是输入模块,它通过接口和加密函数产生模块获取数据和密钥,并为加解密模块提供时钟信号,这里定义数据和密钥的长度都为128,即0—127。中间是加解密模块,当加解密模块中的ENC是“1”时,该模块执行加密操作,当ENC为“O”时,执行解密操作。其中,Clock代表时钟信号,Clear是清零操作,即把过去时间的加解密密钥进行清除,以免占用空间。右边是输出模块,为解密后数据的输出,Verifer是用来进行数字签名认证的,与输入模块的Cipher相连,完成签名操作。
综上所述,模块中包括提取时间标记模块、主控制模块、产生时间加密函数模块、加解密控制模块、加密数据通道以及与外围的接口。其中,提取时间标记模块是提取数据帧中同步时间作为时间标记。让OLT和ONU两端的时间同步,以便使不同时间的加密和解密密钥保持同步:主控制模块,通过它根据不同的业务产生相应的时间加密函数:产生时间加密函数模块,让加解密函数与时间对应起来,用f时刻加密的数据只能用f时刻的密钥进行解密:加解密控制模块,根据不同的业务等级调用相关的加密函数;加密数据通道,完成数据的加密和解密操作。