專利名稱:一種基于時間標(biāo)簽的epon加密方法
技術(shù)領(lǐng)域:
本發(fā)明涉及光通信技術(shù)及光接入網(wǎng)技術(shù)EPON (以太無源光網(wǎng)絡(luò))的安全通信領(lǐng)域, 尤其涉及用來對三網(wǎng)融合中的保密業(yè)務(wù)進(jìn)行加密和解密的基于時間函數(shù)的加密方案。
背景技術(shù):
近幾年,隨著電信網(wǎng)、廣播電視網(wǎng)和互聯(lián)網(wǎng)三網(wǎng)融合的快速推進(jìn),我國將在2013 年至2015年,全面實(shí)現(xiàn)三網(wǎng)融合業(yè)務(wù)。在三網(wǎng)融合業(yè)務(wù)中,PON (無源光網(wǎng)絡(luò))是解決FTTH (光纖到戶)的主要技術(shù),而基于以太網(wǎng)的EPON是目前應(yīng)用最成熟也是最理想的接入網(wǎng)方案。EPON是一種融合了以太網(wǎng)和無源光網(wǎng)絡(luò)優(yōu)點(diǎn)的接入網(wǎng)技術(shù),既能充分利用現(xiàn)有的以太網(wǎng)資源,又能有效地支持IP數(shù)據(jù)的傳輸。然而EPON是一個點(diǎn)到多點(diǎn)的系統(tǒng),下行信道以廣播方式發(fā)送給與之相連接的所有ONU (光網(wǎng)絡(luò)單元),每個ONU僅僅根據(jù)分配到的LLID (邏輯鏈路標(biāo)識)來決定是否接收數(shù)據(jù),一旦攻擊者把ONU設(shè)置成“混雜”模式,它將能接收到所有的下行傳輸信息。另一方面,EPON系統(tǒng)具有自動發(fā)現(xiàn)功能,對于新加入的ONU可以自動完成注冊,如果ONU不采取任何認(rèn)證措施,那么非法ONU將會隨意接入到系統(tǒng),對網(wǎng)絡(luò)構(gòu)成極大的安全威脅。同時,由于以太網(wǎng)幀結(jié)構(gòu)的透明性,非法用戶可以依據(jù)該結(jié)構(gòu)偽造MAC (媒質(zhì)接入控制)幀和OAM (運(yùn)行管理維護(hù))幀,并利用分配好的上行時隙發(fā)送,不僅可以使用控制幀騙取授權(quán)信息,而且可以利用OAM幀更改系統(tǒng)參數(shù)甚至搗毀系統(tǒng)。因此,MAC幀和OAM幀的安全保障在EPON中顯得尤為重要,目前沒有特別理想的安全措施來解決這一隱患?,F(xiàn)有的一些加密措施中,基本上采用AES (高級加密標(biāo)準(zhǔn))、DES (數(shù)據(jù)加密算法)、 3DES (三重攪動算法)對數(shù)據(jù)進(jìn)行加密,或者是將2種加密算法相結(jié)合,如AES和ECC (橢圓曲線密碼)算法相結(jié)合。當(dāng)然,也有對業(yè)務(wù)進(jìn)行分級的加密方法,根據(jù)業(yè)務(wù)對安全性和實(shí)時性的不同需求,對不同的業(yè)務(wù)采用不同的加密算法。這些方法對安全性要求不是很高的數(shù)據(jù)業(yè)務(wù),以及語音、視頻業(yè)務(wù)而言,是能夠滿足其安全需求的。但是,對于0AM、MAC幀和認(rèn)證信令業(yè)務(wù),它們對安全性要求非常高,現(xiàn)有的加密措施都不能保證其安全,故需要設(shè)計一種新的加密方法來保證它們的安全性。本發(fā)明為了保證密鑰的安全性和唯一性,讓AES 算法與時間標(biāo)簽相結(jié)合形成密鑰,而時間標(biāo)簽是在OLT對每個ONU測距的時候提取的,每個 ONU測距的時間標(biāo)簽都是不同的,且隨著時間變化,因此,每個ONU的密鑰也是隨著時間在變化,這樣既達(dá)到了密鑰的唯一性,也提高了密鑰的安全性。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種基于時間標(biāo)簽的EPON加密方法,該方法實(shí)現(xiàn)密鑰的動態(tài)更新,達(dá)到密鑰的唯一性,以確保密鑰的絕對安全。。本發(fā)明的技術(shù)方案為一種基于時間標(biāo)簽的EPON加密方法,其步驟包括a首先在EPON測距的控制幀中提取4個字節(jié)的時間標(biāo)簽;b將AES算法與時間標(biāo)簽相結(jié)合,形成時間函數(shù),將這個時間函數(shù)作為密鑰;c將輸入數(shù)據(jù)與密鑰一起進(jìn)入加/解密模塊;d在OLT局端,若是發(fā)送下行數(shù)據(jù),則OLT端完成加密功能,輸出密文發(fā)送出去給用戶端ONU ;若是上行發(fā)來的數(shù)據(jù),則OLT端完成解密功能,輸出明文;e在ONU用戶端,若是接受下行發(fā)來的數(shù)據(jù),則ONU端完成解密功能;若是發(fā)送上行數(shù)據(jù),則ONU端完成加密功能,并把密文發(fā)給 OLT。時間標(biāo)簽是在EPON系統(tǒng)測距的時候提取,在測距的GATE和REPORT幀結(jié)構(gòu)中,有專門的4個字節(jié)是用于放置時間標(biāo)簽的,每個ONU對應(yīng)一個時間標(biāo)簽,測距的同時可完成 OLT和ONU兩端時間標(biāo)簽的同步。每個ONU在測距過程中時間標(biāo)簽是不斷變化的,因此密鑰也隨著時間標(biāo)簽動態(tài)更新,發(fā)送端需要給出相應(yīng)的指示,接收端才能判斷接收到的數(shù)據(jù)是否經(jīng)過了加密處理,以及密鑰是否經(jīng)過了更新。在EPON的幀結(jié)構(gòu)中的前導(dǎo)碼八個字節(jié)里, 有三個字節(jié)是保留字節(jié),沒有填充任何信息。本發(fā)明設(shè)計在前導(dǎo)碼的第五個字節(jié)的頭兩個比特中引入指示信息,這兩個比特包括加密指示比特EIB和密鑰更新指示比特UIB,指示比特在0和1之間來回變換,用于密鑰的動態(tài)更新和同步。本發(fā)明的優(yōu)點(diǎn)在于在加密算法上引入了時間函數(shù),讓密鑰保持與時間的同步,實(shí)現(xiàn)密鑰的動態(tài)更新,保證密鑰的絕對安全;本發(fā)明在不改動現(xiàn)有芯片結(jié)構(gòu)和不增加硬件成本的基礎(chǔ)上,對加密方法做了創(chuàng)新性設(shè)計;本發(fā)明克服了傳統(tǒng)加密方法中存在的缺陷,充分保障了 EPON系統(tǒng)中的安全性。
圖1為本發(fā)明基于時間函數(shù)的加/解密流程圖2為本發(fā)明使用的AES算法和時間標(biāo)簽相結(jié)合的流程圖; 圖3為本發(fā)明的時間標(biāo)簽4個字節(jié)在測距控制幀中的位置示意圖; 圖4為本發(fā)明的時間標(biāo)簽的同步原理示意圖5為本發(fā)明加密指示比特(EIB)和更新指示比特(UIB)設(shè)計的示意圖。
具體實(shí)施例方式一種基于時間標(biāo)簽的EPON加密方法,具體實(shí)施方式
如下 A、列混合變換與時間標(biāo)簽的結(jié)合
AES是一個對稱密碼,它是由字節(jié)代換、行移位、列混合和加輪密鑰這四種代換進(jìn)行循環(huán)變換所形成的。分組長度為128bits,而密鑰的大小可以為128bits,192bits,256bits, 根據(jù)所選密鑰大小的不同,可以分別進(jìn)行10輪,12輪和14輪的變換,本發(fā)明選用最簡單的 AES-128算法,如圖2所示。在AES算法的四種變換中,由于字節(jié)代換、行移位和加輪密鑰這三種變換都是對數(shù)據(jù)本身的變換操作,不引入額外的參數(shù),故選擇在列混合變換中引入時間標(biāo)簽。AES-128 算法的密鑰是一個4X4 bytes的狀態(tài)矩陣,每一行和每一列都是由4個字節(jié)組成。列混合變換是把狀態(tài)矩陣中的每一列都與一個常數(shù)矩陣相乘,得到一個新的列,然后把變換后的新列重新組合成一個新的狀態(tài)矩陣。AES算法的常數(shù)矩陣是一個有逆元的多項(xiàng)式
a (χ) = OSx3 + O Ii-2 + 0 k+02(1)
設(shè)要進(jìn)行列混合變換的狀態(tài)矩陣多項(xiàng)式為
權(quán)利要求
1.一種基于時間標(biāo)簽的EPON加密方法,其步驟包括(a)首先在EPON測距的控制幀中提取4個字節(jié)的時間標(biāo)簽;(b)將AES算法與時間標(biāo)簽相結(jié)合,形成時間函數(shù),將這個時間函數(shù)作為密鑰;(c)將輸入數(shù)據(jù)與密鑰一起進(jìn)入加/解密模塊;(d)在OLT局端,若是發(fā)送下行數(shù)據(jù),則OLT端完成加密功能,輸出密文發(fā)送出去給用戶端ONU ;若是上行發(fā)來的數(shù)據(jù),則OLT端完成解密功能,輸出明文;(e)在ONU用戶端,若是接受下行發(fā)來的數(shù)據(jù),則ONU 端完成解密功能;若是發(fā)送上行數(shù)據(jù),則ONU端完成加密功能,并把密文發(fā)給0LT。
2.根據(jù)權(quán)利要求1所述基于時間標(biāo)簽的EPON加密方法,其特征在于時間標(biāo)簽是在 EPON系統(tǒng)測距的時候提取,在測距的GATE和REPORT幀結(jié)構(gòu)中,有專門的4個字節(jié)是用于放置時間標(biāo)簽的,每個ONU對應(yīng)一個時間標(biāo)簽,測距的同時可完成OLT和ONU兩端時間標(biāo)簽的同步。
3.根據(jù)權(quán)利要求1或2所述基于時間標(biāo)簽的EPON加密方法,其特征在于每個ONU在測距過程中時間標(biāo)簽是不斷變化的,因此密鑰也隨著時間標(biāo)簽動態(tài)更新,發(fā)送端需要給出相應(yīng)的指示,接收端才能判斷接收到的數(shù)據(jù)是否經(jīng)過了加密處理,以及密鑰是否經(jīng)過了更新。
4.根據(jù)權(quán)利要求1或2所述基于時間標(biāo)簽的EPON加密方法,其特征在于在EPON的幀結(jié)構(gòu)中的前導(dǎo)碼八個字節(jié)里,有三個字節(jié)是保留字節(jié),沒有填充任何信息;本發(fā)明設(shè)計在前導(dǎo)碼的第五個字節(jié)的頭兩個比特中引入指示信息,這兩個比特包括加密指示比特EIB和密鑰更新指示比特UIB,指示比特在0和1之間來回變換,用于密鑰的動態(tài)更新和同步。
全文摘要
本發(fā)明公開一種基于時間標(biāo)簽的EPON,針對EPON中安全性要求高的OAM、MAC幀和認(rèn)證信令業(yè)務(wù),提出了一種基于時間標(biāo)簽的加密方案。該方案是將AES算法與EPON系統(tǒng)測距過程提取的時間標(biāo)簽相結(jié)合,形成與每個ONU時間相關(guān)的密鑰,進(jìn)行加/解密。密鑰是隨著時間標(biāo)簽動態(tài)更新的,在保證密鑰安全的基礎(chǔ)上全面保障安全性要求高的業(yè)務(wù)。另外,為了保持密鑰的更新與同步,在數(shù)據(jù)幀的前導(dǎo)碼中引入兩個指示比特。密鑰的這種唯一性和安全性,充分保障了認(rèn)證信令和最高級別業(yè)務(wù)的安全。
文檔編號H04L9/00GK102264013SQ20111026336
公開日2011年11月30日 申請日期2011年9月7日 優(yōu)先權(quán)日2011年9月7日
發(fā)明者殷愛菡 申請人:殷愛菡