EPON是一種融合了以太網(wǎng)和無(wú)源光網(wǎng)絡(luò)優(yōu)點(diǎn)的接入網(wǎng)技術(shù)，具有容量大、成本低、對(duì)IP業(yè)務(wù)支持好、技術(shù)成熟和維護(hù)簡(jiǎn)單等優(yōu)點(diǎn)，是未來(lái)實(shí)現(xiàn)FTTx的理想方案之一。由于EPON專(zhuān)門(mén)用于用戶(hù)接入網(wǎng)，且EPON為非合作的、私有的用戶(hù)服務(wù)；另一方面，EPON系統(tǒng)下行信道采用廣播方式，在混雜模式下，凡是有意接收的終端站點(diǎn)都能接收其下行傳輸信息。因此，安全問(wèn)題在EPON中將顯得尤為重要。EPON的安全問(wèn)題能否得到解決，在很大程度上影響著EPON應(yīng)用的進(jìn)展，特別是在軍事上的應(yīng)用。為此，研究確保EPON網(wǎng)絡(luò)信息安全的EPON加密系統(tǒng)是十分必要的。

一、EPON原理概述

EPON是一種應(yīng)用于接入網(wǎng)，局端設(shè)備（OLT）與多個(gè)用戶(hù)端設(shè)備（ONU//ONT）之間通過(guò)無(wú)源的光纜、光分//合路器等組成的光分配網(wǎng)（ODN）連接的網(wǎng)絡(luò)。EPON系統(tǒng)由光線(xiàn)路終端OLT（Optical Line Terminal）、光網(wǎng)絡(luò)單元ONU（OpticalNetwork Unit）、光網(wǎng)絡(luò)終端ONT（Optical NetworkTerminal），以及光分配網(wǎng)ODN（Optical DisNetwork）等組成。典型的EPON系統(tǒng)采用波分復(fù)用技術(shù)，在一根單模光纖中實(shí)現(xiàn)全雙工傳輸。下行方向采用廣播的方式，光線(xiàn)路終端（OLT）把以太網(wǎng)通過(guò)1:N的分路器用廣播的方式發(fā)送到各個(gè)光網(wǎng)絡(luò)單元（ONU），ONU根據(jù)自己分配到的邏輯鏈路標(biāo)示（LLID）決定是否提取該以太網(wǎng)幀，其原理如圖1所示。

上行方向通過(guò)時(shí)分復(fù)用（TDM）方式，ONU在OLT已經(jīng)分配好的時(shí)隙中發(fā)送自己的以太網(wǎng)包，其原理如圖2所示。

二、EPON的安全隱患及常用的安全技術(shù)

在EPON系統(tǒng)中，下行方向具有共享介質(zhì)的特點(diǎn)，對(duì)于下行廣播的數(shù)據(jù)，每個(gè)ONU僅僅依據(jù)分配到的LLID決定是否接受數(shù)據(jù)，這樣的機(jī)制從安全角度考慮明顯是不夠的。

如果攻擊者把ONU設(shè)置成混雜模式，不管LLID，從而提取所有下行以太網(wǎng)幀，則一方面可以竊聽(tīng)到其他用戶(hù)接收的通信內(nèi)容，另一方面可以截獲下行的控制幀和OAM幀，從而獲取授權(quán)以及網(wǎng)絡(luò)的管理信息。

此外，EPON系統(tǒng)具有自動(dòng)發(fā)現(xiàn)功能，對(duì)于新加入的ONU可以自動(dòng)完成注冊(cè)，從而接入系統(tǒng).該功能在給用戶(hù)帶來(lái)快捷方便的同時(shí)也給非法用戶(hù)提供了自由接入系統(tǒng)的機(jī)會(huì)。對(duì)于處于用戶(hù)端的設(shè)備ONU不采取任何鑒權(quán)措施，隨意接入到系統(tǒng)是不能令人接受的。同時(shí)，由于以太網(wǎng)幀結(jié)構(gòu)的透明性，非法用戶(hù)依據(jù)該結(jié)構(gòu)偽造控制幀和OAM幀并利用分配好的上行時(shí)隙發(fā)送，不僅可以使用控制幀騙取授權(quán)信息，而且可以利用控制網(wǎng)絡(luò)資源的OAM幀更改系統(tǒng)參數(shù)甚至搗毀系統(tǒng)。

針對(duì)EPON的安全性問(wèn)題，IEEE802．3工作組專(zhuān)門(mén)進(jìn)行了討論，提出了采用鑒權(quán)和加密技術(shù)來(lái)保證EPON系統(tǒng)的安全性。

1、鑒權(quán)策略

鑒權(quán)策略在初始時(shí)刻和數(shù)據(jù)通信兩個(gè)階段采用。在初始時(shí)刻，對(duì)于要求接入到系統(tǒng)的ONU，需要有鑒權(quán)機(jī)制來(lái)確認(rèn)它的身份，從而決定是否允許該ONU完成注冊(cè)過(guò)程。在數(shù)據(jù)通信過(guò)程中，為了確保通信的安全性，需要采取措施進(jìn)行用戶(hù)鑒權(quán)，確認(rèn)正在通信的對(duì)方是合法用戶(hù)。

2、加密技術(shù)

加密技術(shù)對(duì)數(shù)據(jù)文件加密，可保證非法用戶(hù)不能獲得有效的信息。無(wú)疑，加密是確保EPON網(wǎng)絡(luò)數(shù)據(jù)傳輸安全最直接有效的手段。

三、EPON加密系統(tǒng)的設(shè)計(jì)思路

1、加密位置

加密可以在數(shù)據(jù)鏈路層、物理層或者三層以上進(jìn)行。

MAC層以上的加密只加密凈負(fù)荷，而幀頭和MAC地址信息都保留，這就使得非法ONU仍然可以獲得任何其他ONU的MAC地址。MAC層以下的加密可以使OLT對(duì)整個(gè)MAC幀各個(gè)部分都加密嗎，給每個(gè)合法的ONU分配不同的密鑰，利用密鑰對(duì)MAC的地址字節(jié)、凈負(fù)荷、校驗(yàn)字節(jié)甚至整個(gè)MAC幀加密。

在物理層加密也是一種比較有效的方法，它能對(duì)整個(gè)比特流（包括幀頭和CRC）進(jìn)行加密。在接收端，物理層首先對(duì)數(shù)據(jù)進(jìn)行解密，然后將解密的數(shù)據(jù)傳送給MAC層驗(yàn)證。因?yàn)槊總€(gè)ONU采用不同的密鑰，即使收到別的ONU的數(shù)據(jù)幀，也不能夠?qū)⑵浣饷艹删哂姓_格式的幀，因而不會(huì)被MAC層接受。在這種方案中嗎，惡意的ONU不能獲得任何信息。文中采用在鏈路層對(duì)傳輸幀進(jìn)行加密的方式。

2、加密范圍

EPON基本的幀格式如圖3所示。

其中，前導(dǎo)碼除了可實(shí)現(xiàn)收發(fā)雙方時(shí)鐘同步外，還攜帶了LLID起始定界符（SLD），包括模式比特和邏輯鏈路標(biāo)識(shí)的LLID域，以及8比特循環(huán)冗余校驗(yàn)碼（CRC-8）。模式比特和邏輯鏈路標(biāo)識(shí)是接收方向用于鑒定這個(gè)幀應(yīng)該定向給哪個(gè)MAC的信息。因此，基于鏈路層的加密選擇除前導(dǎo)碼以外的字節(jié)進(jìn)行加密。FCS為幀校驗(yàn)序列，可用于解密后幀校驗(yàn)的依據(jù)，對(duì)其也不進(jìn)行加密。

綜上所述，EPON幀的加密范圍定位在前導(dǎo)碼與FCS之間的數(shù)據(jù)域。

3、加密方法

在加密方法上，在EPON網(wǎng)絡(luò)設(shè)備中常用的有兩種類(lèi)型加密方法，即三重?cái)噭?dòng)加密機(jī)制和AES加密機(jī)制。三重?cái)噭?dòng)加密機(jī)制是借鑒APON的加密機(jī)制，采用3個(gè)字節(jié)24位的密鑰攪動(dòng)機(jī)制；AES加密算法是2002年5月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)建立的新的高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)規(guī)范，是一個(gè)新的可用于保護(hù)電子數(shù)據(jù)的加密算法，是可變密鑰長(zhǎng)度的迭代塊密碼，其加密和解密使用相同的密鑰，可以使用128、192、256位密鑰，并且用128位分組加密和解密數(shù)據(jù)。AES較三重?cái)噭?dòng)在安全性、代價(jià)、算法和實(shí)現(xiàn)特性等各項(xiàng)測(cè)試指標(biāo)的綜合中最為優(yōu)秀。以上兩種算法均是公開(kāi)算法，對(duì)于一些專(zhuān)有的應(yīng)用領(lǐng)域，根據(jù)自身的需要選擇專(zhuān)用的算法。

4、密鑰的處理

在對(duì)稱(chēng)密鑰加密體制下，密鑰本身的保護(hù)和傳遞十分重要。同時(shí)，為了進(jìn)一步提高安全性，普遍采用密鑰周期性更新的原則。

在設(shè)計(jì)中，可通過(guò)自定義的EPON數(shù)據(jù)幀，或者一些空閑字節(jié)，傳輸加密系統(tǒng)中密鑰分發(fā)和協(xié)商等交互信息，確保密鑰的定期、同步更換。密鑰分發(fā)信息在傳遞時(shí)，用專(zhuān)用密鑰對(duì)其進(jìn)行加密保護(hù)。

四、集成式EPON加密系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)

集成式EPON加密系統(tǒng)是指集成在EPON網(wǎng)絡(luò)設(shè)備中，由EPON網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理，它是EPON網(wǎng)絡(luò)設(shè)備內(nèi)部的一個(gè)模塊，是目前EPON加密系統(tǒng)常見(jiàn)的設(shè)計(jì)和實(shí)現(xiàn)方式。文中就集成式EPON加密系統(tǒng)提出兩種設(shè)計(jì)和實(shí)現(xiàn)方案。

1、基于包含加密模塊的EPON專(zhuān)用物理層芯片的實(shí)現(xiàn)

目前，部分主流的EPON專(zhuān)用物理層芯片內(nèi)部，集成了加密模塊，這些加密模塊采用通用的三重?cái)噭?dòng)加密算法和AES加密算法，可對(duì)EPON幀進(jìn)行加密和解密處理。在設(shè)計(jì)OLT和ONU設(shè)備時(shí)，采用這類(lèi)芯片，既可以完成EPON協(xié)議的處理，又可實(shí)現(xiàn)對(duì)數(shù)據(jù)幀的加密保護(hù)。該原理框架如圖4所示。

由于光纖上傳輸?shù)男盘?hào)速率為1．25Gb//s，物理層芯片一般不直接處理頻率這么高的信號(hào)，因此，在物理層芯片之前加入一個(gè)串并變換模塊，此模塊通過(guò)一個(gè)SERDES芯片，實(shí)現(xiàn)1．25Gb//s串行數(shù)據(jù)與10位125Mb//s并行數(shù)據(jù)信號(hào)的轉(zhuǎn)換，再通過(guò)10位TBI與物理層芯片相連。加密模塊位于物理層芯片的EPON MAC模塊與Packet Processor模塊之間，對(duì)封裝后的數(shù)據(jù)幀進(jìn)行加密處理。由于EPON MPCP幀在EPONMAC模塊內(nèi)處理，所以加密模塊無(wú)法對(duì)EPON MPCP進(jìn)行加密保護(hù)?；谖锢韺有酒膶?shí)現(xiàn)方案在技術(shù)上較為簡(jiǎn)單，但是方案采用的是公開(kāi)的加密算法，大大降低了加密系統(tǒng)的安全性；另一方面，方案對(duì)MPCP幀無(wú)法進(jìn)行保護(hù)，EPON系統(tǒng)只能完全依靠鑒權(quán)機(jī)制，防止非法用戶(hù)的接入，在保護(hù)手段上比較單一。

2、基于現(xiàn)場(chǎng)可編程邏輯陣列（FPGA）的實(shí)現(xiàn)

圖5為基于FPGA的集成式EPON加密系統(tǒng)實(shí)現(xiàn)方案的原理框圖。

該方案在EPON物理層芯片和串并轉(zhuǎn)換芯片（SERDES）之間，增加了一個(gè)基于FPGA的加密模塊，該加密模塊由一個(gè)EPON幀解析FPGA、一個(gè)加密和解密FPGA和一個(gè)CPU組成，其中EPON幀解析FPGA位于EPON物理層芯片和串并轉(zhuǎn)換芯片（SERDES）之間，對(duì)進(jìn)出EPON設(shè)備的幀進(jìn)行分析，將需要加密和解密的幀送到加密和解密FPGA進(jìn)行加密和解密處理，并將加密和解密后的數(shù)據(jù)重新封裝到EPON幀中。在設(shè)計(jì)時(shí)，采用專(zhuān)用的FPGA來(lái)實(shí)現(xiàn)加密和解密算法，在加密和解密FPGA與幀解析FPGA之間定義出標(biāo)準(zhǔn)的接口提供給用戶(hù)，用戶(hù)可根據(jù)需要在此FPGA內(nèi)部使用自己的算法。

該方案中的加密模塊與EPON物理層芯片在功能上相對(duì)獨(dú)立，它不參與和影響EPON網(wǎng)絡(luò)自身運(yùn)行、管理、維護(hù)協(xié)議的處理，只對(duì)EPON幀進(jìn)行保護(hù)。由于加密模塊位于EPON物理層芯片的后端，因此，它可以對(duì)所有EPON幀，包括數(shù)據(jù)幀、MPCP幀、控制幀進(jìn)行加密保護(hù)。為了有效地實(shí)現(xiàn)邏輯鏈路之間用戶(hù)信息的隔離，OLT和ONU中的加密模塊在數(shù)據(jù)處理上有一定的差異。

在OLT側(cè)，對(duì)于廣播信道上傳輸?shù)腅PON幀，應(yīng)該被所有的ONU接收，因此，這種類(lèi)型的EPON幀采用公用的安全策略對(duì)其加密和解密，以便被所有合法的ONU獲取;對(duì)于單播信道上傳送的EPON幀，應(yīng)該只能被相應(yīng)信道對(duì)應(yīng)的ONU接收到，因此，分別采用各自信道特有的安全策略進(jìn)行加密和解密保護(hù)。在ONU側(cè)，與OLT側(cè)加密和解密模塊對(duì)應(yīng)，對(duì)于廣播信道上傳輸?shù)腅PON幀，采用公用的安全策略解密和加密；對(duì)于單播信道上傳送的EPON幀，只能用本條信道對(duì)應(yīng)的安全策略去解密和加密屬于本條信道的EPON幀，對(duì)于其他信道的EPON幀，無(wú)法處理。

綜上所述，基于FPGA的集成式EPON加密系統(tǒng)，采用了基于邏輯鏈路屬性的安全策略選擇機(jī)制，有效地加強(qiáng)了邏輯鏈路之間用戶(hù)信息的隔離，確保各條邏輯鏈路上傳輸信息的安全。此外，在加加密和解密FPGA內(nèi)可以根據(jù)EPON設(shè)備的應(yīng)用領(lǐng)域，選擇專(zhuān)用的加密和解密算法對(duì)EPON幀進(jìn)行加密和解密，從而進(jìn)一步提高系統(tǒng)的加密強(qiáng)度。另一方面，此方案實(shí)現(xiàn)了對(duì)MPCP幀的加密保護(hù)，進(jìn)一步加強(qiáng)了對(duì)非法用戶(hù)惡意接入的防范。

admin

收藏 海報(bào)分享