專利名稱:用在異步傳輸模式信元傳送信息的加密和解密器件的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用在異步傳輸模式(asynchronous transfer mode)信元傳送信息的加密和解密器件。能夠在電信網(wǎng)絡(luò)中用一點對多點方式從節(jié)點向網(wǎng)絡(luò)單元發(fā)送����,或節(jié)點向網(wǎng)絡(luò)單元播送信元提供加密服務(wù)。本發(fā)明特別適用在含有接到至少一個無源光學(xué)網(wǎng)絡(luò)的至少一個光學(xué)存取節(jié)點的電信網(wǎng)絡(luò)中��。
圖1表示這類電信網(wǎng)絡(luò)分支點的一個實施例的方框圖����。它包含一個光學(xué)存取節(jié)點OAN和無源光學(xué)網(wǎng)絡(luò)。圖1是以接到許多網(wǎng)絡(luò)單元ONU1���,ONU2���,ONU3�,ONU4和用戶終端ST1����、…、ST12的單個無源光學(xué)網(wǎng)絡(luò)APON為例的��。光學(xué)存取節(jié)點OAN用多路復(fù)用器IM1����、…、IMP�,例如2Mbit/s同步多路復(fù)用器,或?qū)拵Ф嗦窂?fù)用器接到電信網(wǎng)絡(luò)的其他節(jié)點����,發(fā)送異步傳輸模式信元。
節(jié)點OAN有一個含有光學(xué)線路終端功能和用光纖接到網(wǎng)絡(luò)APON的一個無源方向耦合器DC上的耦合器件TUAN��。同樣����,每個單元ONU1、…、ONU4用光纖接到耦合器DC上�。光纖和耦合器DC組成無源星形光學(xué)網(wǎng)絡(luò)APON。耦合器DC具有把節(jié)點OAN發(fā)出的光學(xué)信號同等地傳播到所有單元ONU1�����,ONU2��,ONU3����,ONU4的性能����。此外,由于耦合器DC的方向特性����,任何部件發(fā)出的光學(xué)信號都只能送到被它規(guī)定的節(jié)點OAN。
每個網(wǎng)絡(luò)單元ONU1��、…���、ONU4接到一個或更多個用戶終端��。例如單元ONU1用光纖�,寬帶電氣連接或一般的窄帶電氣連接,接到三個用戶終端ST1�,ST2,ST3��。在窄帶電氣連接的情況����,網(wǎng)絡(luò)單元有通常的異步/同步和同步/異步轉(zhuǎn)換器。
為了有效地利用異步傳輸模式網(wǎng)絡(luò)的資源�,設(shè)想使用復(fù)合信元,每個這樣的信元傳送幾個送往不同用戶終端的信息單元�,但是至少在一段路徑上用同一個信元傳送。
圖1表示規(guī)定復(fù)合信元CL1的例子���,它是從多路復(fù)用器IM1�����、…��、IMP收到的信息由耦合器TUAN合成的�。復(fù)合信元CL1由方向耦合器DC同等地傳播到每個單元ONU1�����、…、ONU4中�����。操作和維護的消息告知單元ONU1����,信元CL1含有送往用戶終端ST1的信息單元U1和送往用戶終端ST3的信息單元U3����,終端ST1和ST3就被連到單元ONU1上。同樣��,單元ONU3知道信元CL1含有送往被連到單元ONU3上用戶終端ST7的信息單元U2����。在這個例中,單元ONU1從信元CL1中抽取兩個信息單元�����,然后分別把它們轉(zhuǎn)發(fā)到連接單元ONU1到用戶終端ST1的光纖上的CL1和連接單元ONU1到用戶終端ST3的光纖上的CL3�����。單元ONU3從信元CL1中抽取信息單元U2并把它轉(zhuǎn)發(fā)到連接用戶終端ST7的光纖上。
在另一個例中�,一個單元以同步的幀的形式把信息單元轉(zhuǎn)發(fā)到將用戶終端連到單元的一對銅線上。
每個信息單元可以是通常同步電話線路的上八位位組�����,由它在信元中的位置識別哪些是常量���,或由數(shù)據(jù)微包(micropacket)中開頭的標(biāo)簽識別出數(shù)據(jù)微包��。
這類電信網(wǎng)絡(luò)分支點有某些優(yōu)點���,特別是可以很容易把傳播信息單元發(fā)送給所有的用戶,例如播送音像節(jié)目��。但是也有缺點����,每個網(wǎng)絡(luò)單元ONU1、…�、ONU4都收到從耦合器TUAN發(fā)送的所有信元,包括那些不合任何信息單元的信元也送到接在有關(guān)單元上的用戶終端��。一個有網(wǎng)絡(luò)單元的用戶就會收到從耦合器TUAN發(fā)送的所有信息。因此要設(shè)法保護那些不是送給所有用戶終端的信息單元的機密�����。
有許多加密的方法-塊加密法是把指定長度的一段數(shù)據(jù)塊執(zhí)行加密算法�,這就必需等待整個數(shù)據(jù)塊完備才能加密。數(shù)據(jù)塊帶著識別每塊的標(biāo)志發(fā)送����。因而容易加密和解密。另外�����,這種方法帶來正比于塊的規(guī)模的加密和解密時延�����。此外�����,最低發(fā)送誤差可以使整塊的解密被損害����。
-″逐位″(On the fly)加密法是用異或門對發(fā)送的二進制數(shù)據(jù)流每位連續(xù)地和偽隨機二進制序列每位相加得到加密的位流。解密是用異或門對加密的數(shù)位流每位連續(xù)地和加密用相同的偽隨機二進制序列每位相加����。用在加密和解密的偽隨機二進制序列必需是同步的。而且�,一旦偽隨機二進制序列的同步因發(fā)送出錯而丟失,就必需立即重建�����。
歐洲申請專利0374028敘述一個用在傳送復(fù)合信息包加密信息單元的加密器件���,信息包由一個光學(xué)存取節(jié)點播送到用戶裝置�����,每個用戶裝置被認(rèn)為由一個網(wǎng)絡(luò)單元和單個用戶終端組成�。每個復(fù)合信息包傳送許多信息單元�,每個信息單元被派送給不同用戶裝置。為了保密�����,每個信息單元都被加密�。每個用戶裝置接收到所有的信息單元���,但是只有信息單元要派送的用戶裝置才能解密。
為了對每個信息單元加密�����,節(jié)點有一個逐位加密器件為信息單元每一數(shù)位根據(jù)指定用戶裝置的偽隨機序列相應(yīng)的位計算加密數(shù)值����。這個數(shù)據(jù)流簡單地包含由該用戶發(fā)送并被節(jié)點無誤地接收的最后一個信息單元的數(shù)位。發(fā)送到節(jié)點的信息單元是明文的�,因為耦合器的方向特性阻止其他的用戶裝置接收它們。用戶裝置發(fā)送的信息單元可能是種種色色�����,所以因各用戶裝置而不同�����。節(jié)點收到每個錯誤的信息單元因此含有各用戶裝置特有的偽隨機序列����。每個用戶裝置如果收到表示發(fā)送無誤的認(rèn)可�,就把它發(fā)往節(jié)點最后的一個信息單元放入儲存器�。用戶的解密器件隨即用這個信息單元作為對節(jié)點發(fā)送的下一個信息包中的信息單元解密的偽隨機序列�����。
加密器件和解密器件用的偽隨機序列是同步的���,因為加密器件將它無誤地接收的最后一個信息單元系統(tǒng)地用作偽隨機序列�,解密器件將它發(fā)送而又無誤地被節(jié)點接收的最后一個信息單元�,系統(tǒng)地用作偽隨機序列。
這樣的加密器件和解密器件缺點是��,只有在兩個發(fā)送方的數(shù)據(jù)率相等�����,而且從節(jié)點和用戶裝置發(fā)送信息單元有一定的同步程度才能工作如果送往用戶裝置的信息單元的比特率大于該用戶裝置發(fā)送信息單元的比特率���,加密器件有時會缺乏信息用以構(gòu)成逐位加密需要的偽隨機序列����。如果發(fā)往節(jié)點的信息單元沒有插在兩個發(fā)往用戶裝置的信息單元之間�����,加密器件就會缺乏信息用以構(gòu)成對信息單元加密需要的偽隨機序列。
因此這些先有技術(shù)的器件在異步傳輸模式網(wǎng)絡(luò)中是不實用的����,因為這類網(wǎng)絡(luò)一個特性和一個優(yōu)點是精細(xì),允許比特率大幅改變和異步操作���。
本發(fā)明目的在提出沒有上述缺點的一個加密器件和解密器件�����。
在第一個方式中���,本發(fā)明由一個用來對異步傳輸模式傳送的信息單元加密的加密器件,可以用在含有一個光學(xué)存取節(jié)點�,一個定向無源光學(xué)網(wǎng)絡(luò)和許多網(wǎng)絡(luò)單元,它們以只有從網(wǎng)絡(luò)單元把任一信元送到光學(xué)存取節(jié)點的方式耦合����,信元從一個節(jié)點播送到網(wǎng)絡(luò)單元��,每個信元傳送至少一個信息單元�����,每個信息單元送往單個網(wǎng)絡(luò)單元;上述加密器件裝在上述光學(xué)存取節(jié)點內(nèi)����,包含-對要加密的每個信息單元的每位數(shù),根據(jù)第一個偽隨機序列相應(yīng)的位計算加密數(shù)值的裝置�;和-根據(jù)給信息單元要送往的網(wǎng)絡(luò)單元指定的密鑰數(shù),提供這樣的第一個偽隨機序列的裝置���;這里�����,提供這樣的第一個偽隨機序列的裝置包含-根據(jù)一個密鑰數(shù)用難以逆運算的算法計算這樣的第一個偽隨機序列的裝置��;和-從網(wǎng)絡(luò)單元里至少一個解密器件中以明文收到至少一個密鑰的裝置���。
在第二個方式中,本發(fā)明由一個用來對異步傳輸模式傳送的信息單元解密的解密器件��,可以用在含有一個光學(xué)存取節(jié)點��,一個定向無源光學(xué)網(wǎng)絡(luò)和許多網(wǎng)絡(luò)單元�,它們以只有從網(wǎng)絡(luò)單元把任一信元送到光學(xué)存取節(jié)點的方式耦合,信元從一個節(jié)點播送到網(wǎng)絡(luò)單元,每個信元傳送至少一個信息單元��,每個信息單元派送往單個網(wǎng)絡(luò)單元��;上述加密器件裝在上述光學(xué)存取節(jié)點內(nèi)�,包含-對要解密的每個信息單元的每位數(shù),根據(jù)第一個偽隨機序列相應(yīng)的位計算解密數(shù)值的裝置�����;和-根據(jù)給信息單元要送往的網(wǎng)絡(luò)單元指定的密鑰數(shù)�����,提供這樣的第一個偽隨機序列的裝置��;這里��,提供這樣的第一個偽隨機序列的裝置包含-根據(jù)一個密鑰數(shù)用難以逆運算的算法計算這樣的第一個偽隨機序列的裝置�����;和-從網(wǎng)絡(luò)單元里至少一個加密器件中以明文收到至少一個密鑰的裝置�。
上述器件可以把同樣的密鑰供給光學(xué)存取節(jié)點和一個網(wǎng)絡(luò)單元,密鑰的機密性用以下特征的組合來保護-由解密器件產(chǎn)生密鑰并把它供給加密器件�。
-以定向光學(xué)網(wǎng)絡(luò)形式鏈接,保護了光學(xué)網(wǎng)絡(luò)單元向光學(xué)存取節(jié)點方向發(fā)送的機密性�。
本發(fā)明另一個對象是復(fù)合信元的加密器件,這些信元傳送許多信息單元分別派送往許多分離的而又接到同一個網(wǎng)絡(luò)單元上的用戶終端��,其中第一個偽隨機序列也是在信元加密后傳送��,由該信息單元在信元中的位置規(guī)定��。
本發(fā)明另一個對象是復(fù)合信元的解密器件���,這些信元傳送許多信息單元分別派送往許多分離的而又接到同一個網(wǎng)絡(luò)單元上的用戶終端���,其中第一個偽隨機序列也是由該信息單元在送到解密器件的信元中的位置規(guī)定。
上述器件保證加強了機密性����,因為加密關(guān)系到一個附加的變量信息單元在傳送它的信元中的位置。
在一個推薦的實施例中�����,可用在定向無源光學(xué)網(wǎng)絡(luò)���,第一個偽隨機序列也是由包含同步序列的第二個偽隨機序列計算出的�����,然后供給第一個偽隨機序列的裝置包含供給第二個偽隨機二進制序列的同步設(shè)置���,以及為了使它同步向至少一個解密器件發(fā)送該序列的樣本����。
第一個偽隨機序列也是由包含同步序列的第二個偽隨機序列計算出的���,然后供給第一個偽隨機序列的裝置包含供給第二個偽隨機二進制序列的同步設(shè)置��,以及為了使這個序列在加密器件供給的該序列的樣本基礎(chǔ)上同步的設(shè)置����。
于是��,同步問題就用兩個獨立的偽隨機序列解決了�����;第一個序列是很難模仿的�,只有一個網(wǎng)絡(luò)單元知道因而加密具有阻力。第二個序列明白地播送到所有的網(wǎng)絡(luò)單元����,是用來作產(chǎn)生和復(fù)制第一個序列時的時間參考���,和在加密和解密器件中同步����。因為數(shù)據(jù)是逐位加密的,所以初始化和保持同步就沒有按塊級加密的缺點��。
在一個推薦的實施例中��,供給第二個偽隨機序列的裝置供應(yīng)獨立于創(chuàng)立在節(jié)點和網(wǎng)絡(luò)單元之間的虛擬電路的第二個序列�,并以相當(dāng)于有關(guān)虛擬電路上傳送信元的速率提供這個序列。
供給第二個偽隨機序列的裝置�����,供應(yīng)獨立于建立在節(jié)點和網(wǎng)絡(luò)單元之間的虛擬電路的第二個序列����,并以相當(dāng)于有關(guān)虛擬電路上傳送信元的速率提供這個序列。
上述器件產(chǎn)生一個獨立于各虛擬電路的同步偽隨機序列�,每個單元有至少創(chuàng)立一個通向節(jié)點的虛擬電路。這樣可以使每個虛擬電路獨自地同步���。因而虛擬電路之間的時差不會帶來任何問題�。
在一個推薦的實施例中,供給第二個偽隨機序列的裝置包含一個由執(zhí)行線性功能的邏輯電路環(huán)組成的移位寄存器���,和供應(yīng)含有至少放在該寄存器的一級中的數(shù)值的樣本�����。
供給第二個偽隨機序列的裝置�����,包含一個由執(zhí)行線性功能的邏輯電路環(huán)組成的移位寄存器��,和由加密器件供應(yīng)并裝載到該寄存器的至少一級中用來同步的樣本���。
上述器件的優(yōu)點是用很簡單的電路就能實現(xiàn)加密和解密的同步。
在一個推薦的實施例中�,加密器件還包含有如下的裝置-記存許多密鑰,-決定改變密鑰����,和-向各信元插入指出信元傳送的密鑰那些是用來對信息單元加密的信息,和解密器件還包含有-記存許多密鑰的存儲裝置���;-接收各加密信元傳送的信息并指出那些密鑰是用來對由該信元傳送的信息單元加密的裝置���;和-按照在信元中傳送的信息指示讀取在儲存器中的密鑰并送往提供第一個偽隨機序列的裝置中����。
通過下面的敘述和配圖��,將更清楚了解本發(fā)明和它其他特性����。
圖1表示含有上述一個無源光學(xué)網(wǎng)絡(luò)的一個電信網(wǎng)絡(luò)分支點方框圖�。
圖2表示本發(fā)明一個加密器件和一個解密器件的一個實施例方框圖。
圖3表示一個加密器件的本實施例的部份方框圖���。
圖4表示一個解密器件的本實施例的部份方框圖�����。
圖5和6表示在本發(fā)明中用來在加密器件和解密器件中實現(xiàn)非線性加密算法的邏輯電路的一個實施例的方框圖���。
圖2表示本發(fā)明一個加密器件CD的一個實施例和一個解密器件DD的一個實施例方框圖。器件CD裝在耦合器件TUAN中�,器件DD重復(fù)地裝在每個網(wǎng)絡(luò)單元ONU1�����、…��、ONU4中����。圖2只表示出這兩個器件間由無源光學(xué)網(wǎng)絡(luò)APON支持的邏輯連接而不是物理連接�。
這些連接是-從節(jié)點向所有單元傳送已加密信息單元的連接CT;-從節(jié)點向所有單元傳送同步偽隨機序列樣本的同步連接SYN����;-在兩個方向傳送傳遞密鑰和認(rèn)可這個傳遞的消息的雙向連接KT;和-為了把現(xiàn)用的密鑰換成已存在解密器件的儲存器中的密鑰指定從節(jié)點OAN到單元ONU1路徑傳送的高速連接KS�。
這些獨立的連接實際上都由同一個信元支持。建立起獨立的虛擬電路從節(jié)連接到各個單元�。在從節(jié)連接到各個單元的方向,每個信元包含有五個八位位組的信頭和48個八位位組的有效負(fù)載����,它的第一個八位位組用作序列號SN,隨在指定的虛擬電路上每發(fā)送一個信元而增加�����,第二個八位位組,或者控制八位位組�����,用作指明加密和解密操作的服務(wù)信息����。其余46個八位位組傳送信息單元,每個信息單元占有全部八位位組��。
加密器件用各自的密鑰對派送往網(wǎng)絡(luò)單元ONU1����、…�����、ONU4的信息單元加密��。它包含-一個輸入終端1接收要加密的二進制數(shù)據(jù)流����,定是由要發(fā)送的信元的信息單元的數(shù)位經(jīng)成的,短個信息單元是一個電話線路樣本的數(shù)值,或者是要送到任何一個單元ONU1���、…�、ONU4的一個數(shù)據(jù)微包�;信元傳送的信頭位和服務(wù)位不要加密;-一個輸入終端7接收虛擬電路識別符VCI和虛擬路徑識別符VPI����,這兩個識別符識別由被發(fā)送信元支持的虛擬電路,和把節(jié)點OAN連接到單元ONU1���;-一個輸入終端8接收支持該虛擬電路的信元序列中該信元的序列號SN����;-一個輸入終端9接收一個二進制字BP���,它指示其中一位正在發(fā)送和解密的八位位組在該信元中的位置�。
-一個輸出終端3向邏輯連接CT供應(yīng)已加密的位流��;-一個輸出終端4向同步邏輯連接SYN供應(yīng)同步偽隨機二進制序列的樣本�����;-一個輸入-輸出終端6接收和傳送邏輯連接KT上的傳遞和認(rèn)可密鑰的消息;
-一個輸出終端17接向輸送命令使用新密鑰的消息的高速連接KT�����;-一個異或門EXOR1����,有第一個輸入接到輸入終端1,第二個輸入接收一個非線性偽隨機二進制序列NLS1��,和一個輸出接到輸出終端3�����,這個門以on the fly方式�����,即以逐位方式對信息單元加密��。
-一個邏輯電路NFL1執(zhí)行非線性的邏輯功能因而難以逆運算��,這個電路NFL1有第一個輸入接收一個線性偽隨機二進制序列LS1�����,第二個輸入接收一個密鑰Ki���,第三個輸入接收二進制字BP�����,第四個輸入接收一個位KNL����,它起碼是一個密鑰數(shù)的標(biāo)出密鑰Ki的一個有意義位����,和向EXOR1逐位供應(yīng)非線性偽隨機序列的輸出;-一個密鑰儲存器KM���,可以為各單元ONU1�����、…�、ONU4儲存兩個密鑰數(shù)(一個正在用的密鑰和一個相反的密鑰)�,并有連到邏輯電路NFL1的第二個輸入的輸出;-一個控制器CDC控制整個加密器件的工作�����,并實施密鑰改變的約定,這個控制器有一個輸入-輸出端連接輸入-輸出終端6�,一個連接密鑰儲存器KM輸入的輸出端,用來向該儲存器寫入新的密鑰����,并命令讀出為各信息單元加密用的密鑰,一個連接邏輯電路NLF1第四個輸入�����,向它供應(yīng)KNL位的輸出端�����,和一個連到輸出終端17的輸出端�;和-一個同步器件SD1,它含有許多偽隨機二進制序列發(fā)生器��,分別用在各自的虛擬電路����,含有一個為虛擬電路提供和被加到輸入終端7的識別符VPI-VCI識別的序列LS1i的發(fā)生器SD1i���,這個器件SD1有一個接到輸入終端7的輸入端用來接收標(biāo)識符對VPI-VCI�,一個接到輸入終端8的輸入端用來接收序列號SN,一個第一輸出端向邏輯電路NFL1的第一輸入端供應(yīng)線性偽隨機二進制序列LS1�,和一個接到輸出終端4的第二輸出端,和為網(wǎng)絡(luò)單元中的解密器件同步周期地提供線性偽隨機二進制序列LS1的樣本��,現(xiàn)用的數(shù)據(jù)必須通過它來加密和發(fā)送�����。
EXOR門逐位處理要加密的數(shù)據(jù)�,因而沒有任何時延。每個信息單元含有全部八位位組的數(shù)�。因此至少對一個八位位組來說,密鑰Ki維持不變�����。邏輯電路NLF1因此逐個八位位組工作��,控制器CDC對每個八位位組合理地改變密鑰Ki��。邏輯電路NLF1一次地計算序列NLS1的一個八位位組�,但逐位地以加密的比特率輸出到EXOR1門的第二個輸入端。
如果打算用無源光學(xué)網(wǎng)絡(luò)APON只傳送通常的信元���,每個信元的內(nèi)容也只通過一個網(wǎng)絡(luò)單元�,電路NLF1自然能夠應(yīng)付信元的速率,也就是說����,能為46個八位位組的塊計算出線性偽隨機序列NLS1,因為標(biāo)準(zhǔn)的信元有效負(fù)載的長度是48個八位位組�����,另兩個八位位組用作服務(wù)信息���。
同步器件SD1有和在節(jié)點TUAN和網(wǎng)絡(luò)單元ONU1���、…、QNU4之間建立的虛擬電路數(shù)目相同的開動的發(fā)生器��。每個發(fā)生器以信元速率提供一個偽隨機序列支持和該發(fā)生器相應(yīng)的虛擬電路��。每當(dāng)序列數(shù)SN因虛擬電路的一個單元增加時就由VPI-VCI識別���,為該虛擬電路提供的序列為前移一位�����。它是由序列的25個連續(xù)的位組成一個字的形式并行地供應(yīng)的��。
每個發(fā)生器����,例如SD1i�����,以信元速率向同步連接SYN供應(yīng)各含一位數(shù)的兩個樣本�,支持和該發(fā)生器相應(yīng)的虛擬電路。
序列NLS1是一個非線性序列��,因為它是由一個執(zhí)行非線性邏輯函數(shù)的邏輯電路NLF1產(chǎn)生的��。由于這樣非線性�,即使知道這個非線性函數(shù)也很難從序列NLS1的部份確定密鑰Ki。
序列LS1i等是線性的�����,因為它們是由執(zhí)行全部線性函數(shù)的邏輯電路產(chǎn)生的��。這些函數(shù)使用例如由異或門建立的線性算子���。這一類線性函數(shù)對企圖欺詐地解密是沒有多大抵抗的����,但是比較容易同步兩個必須同時產(chǎn)生同樣序列的器件,一個在加密器件中和另一個在解密器件中�����。
本發(fā)明的解密器件DD的實施例包含-一個連到邏輯連接CT接收已加密位流的輸入端10��;-一個連接到同步邏輯連接SYN接收線性偽隨機序列NLS1的輸入端11���;-一個連到邏輯連接KT和加密器件CD交換密鑰傳遞消息的輸入-輸出端12�����;-一個連到連接KS接收密鑰命令的輸入端18��;-一個接收端14�����,接收虛擬電路識別符VCI和虛擬路徑識別符VPI���,識別現(xiàn)在發(fā)送和解密的信元支持的虛擬電路����;-一個接收該虛擬電路中該信元的序列號SN的輸入端15���;-一個接收端16,接收二進制字BP��,它指示其中一位正在發(fā)送和解密的八位位組在該信元中的位置���;
-一個提供解密位流的輸出端13���;-一個異或門EXOR2,它的第一個輸入接到輸入終端10接收加密數(shù)位流�����,第二個輸入接收一個非線性偽隨機二進制序列NLS2�,當(dāng)需要同步時,它和NLS1相同而且同步�,和一個接到輸出終端13的輸出端,這個門以逐個位方式對已加密的位解密���;-一個和邏輯電路NLF1相同并執(zhí)行同樣的非線性邏輯函數(shù)的邏輯電路NLF2��,它的第一個輸入當(dāng)需要同步時�����,接收和序列LS1i相同的線性偽隨機序列LS2i���,第二個輸入接收含有有關(guān)解密器件DD的網(wǎng)絡(luò)單元特有的密鑰Ki��,第三個輸入接到輸入終端16���,接收指示其中一位正在解密的八位位組在該信元中的位置的二進制字BP,第四個輸入接收KNL位��,它至少是一個密鑰數(shù)中有意義的位���,標(biāo)明密鑰Ki正在使用��,NFL2的輸出端逐位地向EXOR2門的第二個輸入供應(yīng)非線性偽隨機序列NLS2����;-一套各自含一個密鑰的雙寄存器KR�����,其中一個是有關(guān)解密器件正在用的密鑰Ki,這套寄存器在連接電路NLF2的第二個輸入的輸出端����,供應(yīng)儲存在KR中兩個密鑰之一個;-一個同步器件SD2���,它含有許多偽隨機二進制序列發(fā)生器��,分別用在各個建立在節(jié)點TUAN和包含該解密器件DD的網(wǎng)絡(luò)單元之間的的虛擬電路,特別是一個解密器件SD2i為VPI-VCI識別的虛擬電路供應(yīng)序列LS2i��。該裝置SD2有一個輸入連到輸入端11可以接收VPI-VCI這對識別符���,一個輸入連到端子15以接收當(dāng)前被解密的信元的序列號SN�,還有一個輸出向邏輯電路NLF2的第一輸入供給線性偽隨機二進制序列LS2i�����;以及-一個控制器DDC���,有一個輸入-輸出連接到輸入-輸出端子12以和控制器CDC交換密鑰改變記錄信息���,一個輸出連接到密鑰寄存器KR的控制輸入以在決定更新有關(guān)網(wǎng)絡(luò)單元的密鑰時向該寄存器提供一個新的密鑰值�����,還有一個向電路NLF2的第四輸入供給KNL位的輸出����。
在各個不同的網(wǎng)絡(luò)單元ONU1���、…����、ONU4的每個解密器件中����,每個時候的密鑰Ki都是不同的。即或一個單元專有的密鑰已經(jīng)泄漏了�,為了保密每個虛擬電路的加密密鑰還是周期性地改變,例如每15分鐘一次���。
每15分鐘控制器CDC向網(wǎng)絡(luò)單元ONU1�、…���、ONU4的所有解密器件DD送出一個信息��,要求它們每個提供一個新的密鑰���。該消息包含指示要建立的一套新密鑰的一個號碼����。同時����,控制器CDC開動一個重復(fù)定時器,時間長達(dá)回答所有網(wǎng)絡(luò)單元所需最長時間���。如果哪個單元在這時間內(nèi)未作回答,控制器便向那個單元重發(fā)消息��。
如果連續(xù)試三次都不成功����,控制器CDC便認(rèn)為該單元損壞而向它發(fā)出不認(rèn)可消息。
在正常情況下��,當(dāng)每個解密器件的控制器DDC收到這一消息�����,便隨機抽出一個新密鑰送給控制器CDC,同時指出新的一組密鑰的號碼并用一個誤差檢測碼保護密鑰����。這可以用明文發(fā)出,因為無源光學(xué)網(wǎng)絡(luò)APON的定向性能可以保證在網(wǎng)絡(luò)單元至節(jié)點方向傳遞的保密���。每個密鑰伴隨有一個循環(huán)冗余誤差檢測碼字���。
如果密鑰被無誤接收,控制器CDC便發(fā)出認(rèn)可消息并將新密鑰寫入密鑰存儲器KM中相應(yīng)于送出密鑰的網(wǎng)絡(luò)單元也相應(yīng)于該組密鑰的號碼的處所���。此時它還是一個預(yù)備密鑰��。
控制器DDC并不立即將新密鑰寫入一個寄存器KR����,因為它必需首先確信密鑰已被加密器件CD接收到�。當(dāng)控制器DDC送出一個新密鑰,它便要開動一個時間比重復(fù)定時器的更長的定時器�。如果沒有收到任何不認(rèn)可或任何邀請?zhí)峁┟荑€的新消息,它便認(rèn)為當(dāng)定時器走完時它送出的密鑰便已收到�。那時它便將密鑰存儲到KR組中兩個寄存器的相應(yīng)于新的一組密鑰號碼的一個中����。這期間正在用于解密的密鑰Ki是存儲在KR組的另一個寄存器中�。
在每個加密信元中,包含著加密和解密特有的服務(wù)信息的控制八位位組����,其中有兩位用于以一個號碼來指定加密器件正在使用的密鑰組、兩位分別用于兩個同步取樣�、四位用于一個誤差檢測碼字。此誤差檢測對于避免傳遞誤差最終引起解密器件中密鑰的變動是很重要的�����。
決定使用存在存儲器KM和集合KR中的新的一組密鑰的是加密器件中的控制器CDC����。包括用來將一個信元譯碼的密鑰的組號以明文在此信元中傳遞。此密鑰號為當(dāng)前正用于加密的密鑰組中的全部密鑰所共有���。換言之,為所有網(wǎng)絡(luò)單元ONU1���、…�、ONU4所共有。對于所有建立了的虛擬電路�,加密密鑰實際上是同時改變的。但所有虛擬電路解密用的密鑰則不是絕對同時改變的�,因為在每個網(wǎng)絡(luò)單元控制器DDC并不改變解密密鑰,直至它接收到包含有一個新密鑰號的信元為止��。
使用定期向解密器件DD傳遞同步取樣的控制八位位組有很大好處���。這樣不僅能快速取得同步�����,而且能快速檢測同步的變壞���,也能更新密鑰。
為節(jié)點OAN和任何網(wǎng)絡(luò)單元之間建立的每個虛擬電路都提供有單獨的發(fā)生器SD1i和SD2i��。此裝置的好處是每次不同步只影響一個虛擬電路���。例如����,每個耦合裝置TUAN包括一個加密器件CD,后者則含有44個SD1i這樣的發(fā)生器����,而每個網(wǎng)絡(luò)單元ONU1、…�、ONU4包括10個SD2i這樣的發(fā)生器,使得每個網(wǎng)絡(luò)單元能用耦合裝置TUAN建立十個左右的虛擬電路��。
給出識別符VCI和VPI���、序列號SN�、在耦合裝置TUAN和每個網(wǎng)絡(luò)單元ONU1�、…、ONU4中的位置BP的裝置是通常的信號傳輸裝置�����,其實現(xiàn)每個該種技術(shù)的熟練人員都是很清楚的�����。
圖3表示出發(fā)生器SD1i的一個實施例的方塊圖���。該發(fā)生器是同步裝置SD1的一部分并相應(yīng)于標(biāo)有VPI-VCI的一個虛擬電路。
此實施例包括-一個包括25級Q1��、…、Q25的移位寄存器����,每級有一個數(shù)據(jù)輸入、一個直接連到下一級的數(shù)據(jù)輸入的輸出��、和一個接收時鐘信號的控制輸入(圖中未畫)����;-一個輸出,并行供給一個25位的字���,這25位是線性序列LS1i的連續(xù)位���,取自相應(yīng)的25級Q1、…���、Q25的輸出�;-一個異或門EXOR3���,其一個輸入連到Q25級的輸出�����,一個輸入連到Q3級的輸出���,而一個輸出連到寄存器的第一級Q1的數(shù)據(jù)輸入���;以此方式連接,該門構(gòu)成一個發(fā)生器多項式1+X3+X25的一個線性反饋回路����;以及-一個控制寄存器Q1、…�、Q25和送出同步取樣的裝置SS,包括一個連接到門EXOR3的輸出以對序列LS1i的一個值S1進行取樣的第一輸入����、一個連接到第12級Q12的輸出以對序列LS1i的一個值S2進行取樣的第二輸入、一個連接到輸入端子8以接收序列號SN的第三輸入���、一個輸出(未畫)�����,當(dāng)每次序列號SN增加1個單位時同時向所有的級Q1�����、…��、Q25提供一個時鐘信號�、和一個輸出����,向連接到同步邏輯連接SYN的輸出端子4提供樣本對S1、S2的輸出��。
當(dāng)作好一個新的連接�����,即當(dāng)建立了一對新的識別符VPI-VCI��,一個新的同步裝置SD1i便從一個有線裝置規(guī)定的固定值進行初始化�����。實際上同時一個同步裝置SD2i被隨機初始化�。接著裝置SD2i從邏輯連接SYN傳送的取樣開始被同步。支持新連接的每個信元在其有用負(fù)數(shù)中包括兩個樣本S1和S2��,在控制8位位組中包括加密和解密操作特有的服務(wù)信息。
因為每個包含有一位的兩個取樣是這樣在支持有關(guān)的虛擬電路的每個信元中傳送的���,因此必需等待正好傳遞13個信元才可能在解密器件DD中重建一個25位的����、和同時由同步裝置SD1i產(chǎn)生的序列相同的序列��,并在以后能夠通過以信元來到的速率將它激活而使它自動工作�����。
圖4表示作為同步裝置SD2一部分的發(fā)生器SD2i的一個實施例的方塊圖����。這個實施例包括-一個包括25級Q1′、…�、Q25′的移位寄存器,每級有一個數(shù)據(jù)輸入���、一個控制輸入(未畫)���、和一個輸出;-一個異或門EXOR3′����,它有一個輸入端連接到Q25′級的輸出端���、一個輸入端連接到Q3′級的輸出端、和一個輸出端�;-一個邏輯電路SW1,它等效于一個開關(guān)����,有兩個輸入端a和b和一個輸出端���。輸入端a被連到門EXOR3′的輸出端而該輸出端被連到第一級Q1′的數(shù)據(jù)輸入端����;-一個邏輯電路SW2�����,它等效于一個開關(guān)�,有兩個輸入端a和b和一個輸出端。輸入端a被連到Q12′級的輸出端而該輸出端被連到Q13′級的輸入端�;-一個控制寄存器Q1′,…���,Q25′和同步的電路SS′�。它有一個輸入被連接到輸入端11以接收經(jīng)邏輯連接SYN傳遞的同步樣本S1和S2、一個輸入連接到輸入端14以接收每個信元的序列數(shù)SN����、一個輸入連到移位寄存器第12級Q12′的輸出端以對序列LS2i的樣品C2進行取樣、一個輸入端被連到門EXOR3′的輸出端以對序列LS2i的樣品C1進行取樣�、一個同時向寄存器所有各級Q1′、…��、Q25′提供一個時鐘信號���,每次使序列數(shù)SN增加1個單位的輸出端(未畫)����、一個輸出端連接到電路SW1的輸入端b以提供加密器件CD送來的樣品S1��、一個輸出端連接到電路SW2的輸入端b以提供加密器件CD送來的樣品S2�����、和兩個輸出端分別連接到電路SW1和SW2的控制輸入端�。
在同步相位中電路SS′控制開關(guān)電路SW1和SW2使得每個電路的輸出端都和輸入端b連到。這樣���,樣品S1供給第一級Q1′而樣品S2供給第13級Q13′����。在有關(guān)虛的擬電路收到13個連續(xù)的有效信元后,26個樣品被相繼存儲進了移位寄存器Q1′��、…�����、Q25′�。它包含的這個25位的序列便等同于加密器件CD中的同步裝置SD1i的移位寄存器Q1�����、…���、Q25中包含的序列�����。這樣便獲得了同步��。
這時電路SS′使得每個開關(guān)裝置SW1和SW2將其輸入端a和輸出端連到�����。而移位寄存器Q1′���,…���,Q25′和門EXOR3′則與同移位寄存器Q1����、…�、Q25和門EXOR3的情況完全一樣地構(gòu)成回路。這兩個移位寄存器按信元傳遞的速率對好時鐘��,因而���,如果在線路上沒有可能在序列數(shù)SN的傳遞中產(chǎn)生誤差的干擾的話便能繼續(xù)產(chǎn)生同樣的序列LS1i和LS2i�����。
收到的樣本S1和S2由電路SS′和在移位寄存器Q1′���、…、Q25′處取樣的值C1和C2系統(tǒng)地進行比較。如果電路SS′探測到若干誤差大于一個固定閾值便得出結(jié)論同步過程必需重新開始�,并令每個開關(guān)電路SW1和SW2將其輸入端b和其輸出端相連。
對于每個信元����,電路SS′將該信元的序列數(shù)SN和一個預(yù)期序列數(shù)SNe及一個預(yù)期序列數(shù)加1進行比較以探測信元的任何損失-如果SN=SNe,接收到的信元用移位寄存器Q1′�、…、Q25′的當(dāng)前態(tài)進行解密���。電路SS′通過檢查包含在控制八位位組中的誤差探測字的4位而檢查包含著加密和解密信息的控制八位位組的有效性--如果控制八位位組被接受�����,電路SS′將取樣S1和S2的值和取樣C1和C2的值相比并用一誤差計數(shù)器對任何不符進行計數(shù)����。
---如果在接收的最后13個控制八位位組中探測到S1�����、S2和C1����、C2之間的不符不多于一個,電路便輸出一個時鐘信號命令在移位寄存器Q1′����、…、Q25′中移動一步�。之后電路等待接收下一個信元。該信元將使用這移動產(chǎn)生的序列LS2i的新值進行解密�。
---如果在接收的最后13個控制八位位組中探測到S1、S2和C1�、C2之間的不符達(dá)兩個或兩個以上個,電路便重新開始同步過程�����。也就是它讓每個開關(guān)電路SW1和SW2將其輸入端b連到其輸出端�����。這樣��,取樣S1和S2的值可以輸入Q1′和Q13′兩級使移位寄存器在一段相應(yīng)于接收攜帶13對新取樣的13個信元的時間延遲后全部重新初始化����。
--如果控制八位位組由于檢查其4個誤差探測位給出否定結(jié)果而被否決,這時誤差計數(shù)器仍然不變�,因為樣本S1和S2不能使用。電路SS ′供給一個時鐘信號便能一步改變移位寄存器Q1′、…�����、Q25′的內(nèi)容��,然后等待接收下一個信元���。
-如果SN=SNe+1���,這便意味著信元數(shù)SN=SNe已丟失。電路SS′命令在移位寄存器Q1′���、…�、Q25′中移動一步����,之后信元使用移位寄存器的新狀態(tài)進行解密,其后控制八位位組象在SN=SNe的情況下一樣處理���。
-如果SN≠SNe且SN≠SNe+1,電路SS′通過輸入一個包含在接收到的信元中的數(shù)值提供一個預(yù)期序列數(shù)SNe使計數(shù)器重新初始化��;之后即重新開始同步過程。
圖5表示一個邏輯電路NLF1的一個實施例的方塊示意圖���。該實施例包括-6個子集SA0����、SA1��、SA2�、SA3、S4�����、SA5分別相應(yīng)于要使用的非線性函數(shù)的6個相繼的計算步驟��。其中三個偶數(shù)子集SA0�、SA2、SA4彼此相同而三個奇數(shù)子集SA1�����、SA3���、SA5彼此相同�;-一個壓縮裝置CD有兩個輸入端,每個接收一個32位字�����,有一個輸出端供給一個只有8位的�����、運用常規(guī)的循環(huán)冗余碼字的計算方法���、例如通過以多項式X8+X2+X+1作除法運算取其余數(shù)獲得的字����;-一個8位移位寄存器SR����,有一個輸入端連接到壓縮裝置CD的輸出端以獲得并行的8位;有一個輸出端串行輸出8位��,構(gòu)成非線性偽隨機序列NLS1����;以及一個控制單元CU輸出時鐘信號經(jīng)未畫出的聯(lián)線給所有子集SA0、…�����、SA5和移位寄存器SR�����。
對j=0至5���,每個子集SAj包括-一個輸入端�����,接收一個32位二進制字�。后者由三個二進制字并行連接組成KNL位��,這是鍵數(shù)的最不重要的位����;6位的二進制字BP,表示要加密的8位位組在包含此8位位組的信元中的位置�;和一個由線性偽隨機序列發(fā)生器電路SD1i提供的線性偽隨機序列LS1i的25個連續(xù)位組成的25位二進制字;-一個第二輸入端�,接收一個包含鍵Ki的32位二進制字;-一個第三輸入端�,接收一個32位二進制字���。后者由第(j-1)個子集(其中j≥1)的第一輸出端提供、由二進制字KNL���、BP���、LS1i為子集SA0而組成的;-一個第四輸入端���,接收一個32位二進制字���。后者由第(j-1)個子集(其中j≥1)的第二輸出端提供、由鍵Ki為子集SA0而組成�;以及-兩個輸出端,每個提供32位�����、且連到第(j+1)個子集(其中j=0至4)的第三和第四輸入端�。子集SA5的兩個輸出端連到壓縮裝置CD的兩個輸入端。
控制單元CU命令以8位并行和以要加密的8位位組的定時率輸入寄存器SR���,同時命令以要加密的位的定時率進行讀出����。
圖6表示兩個相鄰子集SAj和SAj+1(其j取偶數(shù)值)的方塊示意圖。子集SAj包括-一個向右旋轉(zhuǎn)裝置33����,移位為δj且一個輸入端連接到子集SAj的第四輸入端而輸出端輸出32位��;-一個32個或非門34的集合�����,每個門有一個輸入連接到裝置33的輸出端的一位�,一個輸入連接到子集SAj的第三輸入端,而一個輸出構(gòu)成集合34的一個輸出位�;-一個向右旋轉(zhuǎn)裝置35對于移位δj+1,有一個輸入端連到子集SAj的第一輸入端以接收由二進制字KNL��、BP���、LS1i連到而成的32位����,還有一個32位輸出��;-一個32個異或門36的集合,每個門有一個輸入連接到集合34的一個門的輸出���,一個輸入連接到右旋裝置35的輸出端處的一位�,還有一個輸出構(gòu)成子集SAj的第一輸出的一位�;-一個左旋轉(zhuǎn)裝置37對于移位為δj,有一個輸入連接到子集SAj的第三個輸入以接收由二進制字KNL���、BP��、LS1i連到而成的32位��,還有一個32位輸出��;-32個與非門的一個集合38�,每個門有一個輸入連接到左旋轉(zhuǎn)裝置37的輸出處的一位���,一個輸入連接到子集SAj的第四輸入處的一位����,還有一個輸出構(gòu)成集合38的一個輸出位�����;-一個移位δj+1的向右旋轉(zhuǎn)裝置39,有一個輸入構(gòu)成子
SAJ的第二個輸入且接收密鑰Ki的32位�����,還有一個32位輸出-32個異或門的一個集合40��,每個門有一個輸入連接到右旋轉(zhuǎn)裝置39的輸出處的一位�����,一個輸入連接到集合38的一個門的輸出��,還有一個輸出構(gòu)成子集SAj的第二個輸出的一位�����。
子集SAj+1包括-一個移位為δj+1的左旋轉(zhuǎn)裝置41�,有一個輸入連接到×*集SAj+1的第三個輸入以接收一個32位二進制字£*還有一個32位輸出����;-32個或非門的一個集合42,每個門有一個輸入連接到子集SAj+1的第三個輸入的一位�����,一個輸入連接到左旋轉(zhuǎn)裝置41的輸出處的一位,還有一個輸出構(gòu)成集合42的一個輸出位�����;-一個移位δj+1+1的向右旋轉(zhuǎn)裝置43�,有一個輸入聯(lián)連到子集SAj+1的第二個輸入以接收密鑰Ki的32位二進制字,并有一個32位輸出�;-32個異或門的一個集合44,每個門有一個輸入連接到集合42的輸出處的一位�,一個輸入連接到右旋轉(zhuǎn)裝置43的輸出處的一位,還有一個輸出構(gòu)成子集SAj+1的第一個輸出處的一位�;-一個移位為δj+1的左旋轉(zhuǎn)裝置45,有一個輸入連接到集SAj+1的第四個輸入以接收一個32位字���,還有一個32位輸出�����;-32個與非門的一個集合46���,每個門有一個輸入連接到子集SAj+1的第四個輸入處的一位,一個輸入連接到左旋轉(zhuǎn)裝置45的輸出處的一位�����,還有一個輸出構(gòu)成集合46的一個輸出位;-一個移位δj+1+1的向右旋轉(zhuǎn)裝置47��,有一個輸入連到子集SAj+1的第三個輸入處以接收由二進制字KNL���、BP�、和S1i連到而成的32位二進制字�����,還有一個32位輸出����;以及-32個異或門的一個集合48�����,每個門有一個輸入連接到集合46的一個輸出位�����,一個輸入連接到右旋轉(zhuǎn)裝置47的一個輸出位����,還有一個輸出構(gòu)成子集SAj+1的第二個輸出的一位����。
在此實施例中-δ0值等于零�����。
-對于j≥1���,δj值等于2j-1向右位移裝置35��、39�、43����、47,向左位移裝置33�、37、41���、45��,和壓縮裝置CD進行實際上不可逆的運算��。因此一個“盜版者”就是清楚知道一部分�����,甚至很大一部分��,也很難找到密鑰���。每個門��、每個向右或向左位移的邏輯電路����、和壓縮裝置CD的實現(xiàn)都是完全按常規(guī)的����。
權(quán)利要求
1.對異步傳輸方式信元傳送的信息單元加密的加密器件(CD)使用在一種光學(xué)分布網(wǎng)絡(luò)中���。該種網(wǎng)絡(luò)包括一個光學(xué)存取節(jié)點(OAN)�����、一個定向無源光學(xué)網(wǎng)絡(luò)(APON)和許多網(wǎng)絡(luò)單元(ONU1��、…�、ONU4)。耦合裝置(DC)只將一個網(wǎng)絡(luò)單元(ONU1�����、…�����、ONU4)發(fā)送的任何信元傳送到光學(xué)存取節(jié)點(OAN)�,信元從一個節(jié)點(OAN)向網(wǎng)絡(luò)單元(ONU1、…��、ONU4)傳播����,每個信元至少傳遞一個信息單元(U1、U2�、U3),每個信息單元被送往一個單獨的網(wǎng)絡(luò)單元(ONU1����、…、ONU4)����;上述加密器件(CD)位于所說的光學(xué)存取節(jié)點(OAN)中并包括-根據(jù)一個第一偽隨機序列(NLS1)的一個相應(yīng)位為每個要加密的信息單元的每一位計算一個加密值的裝置(EXOR1)��;以及-按照信息單元被送往的網(wǎng)絡(luò)單元所特有的一個密鑰值(Ki)供應(yīng)該第一偽隨機序列的裝置(NLF1���、SD1、CDC)�����;特征在于供應(yīng)該第一偽隨機序列(NLS1)的裝置(NLF1���、SD1���、CDC)包括-根據(jù)一個密鑰值(Ki)使用一種很難逆運算的算法對該此第一偽隨機序列(NLS1)進行計算的裝置(NLF1);以及-從網(wǎng)絡(luò)單元的至少一個解密器件(DD)以明文接收至少一個鍵(Ki)的裝置(KM����、CDC)。
2.根據(jù)權(quán)利要求1的加密器件�����,對于每個傳遞許多分別送往許多分立的��、但都連到同一個網(wǎng)絡(luò)單元(ONU1)的用戶終端(ST1���、ST3)的信息單元(U1����、U3)的復(fù)合信元來說��,其特征在于第一偽隨機序列(NLS1)也由本信息單元在加密后運送它的信元中的位置(BP)所決定���。
3.根據(jù)權(quán)利要求1的加密器件��,其特征在于第一偽隨機序列也是根據(jù)構(gòu)成同步序列的第二偽隨機序列(LS1i)計算的��,同時也在于供給第一偽隨機序列(NLS1)的裝置還包括供給第二偽隨機二進制序列(LS1i)和發(fā)送該序列的取樣到至少一個解密器件(DD)以使其同步的同步裝置���。
4.根據(jù)權(quán)利要求3的加密器件,其特征在于供給一個第二偽隨機序列(SD1i)的裝置(SD1)供給一個與在節(jié)點和一個網(wǎng)絡(luò)單元之間建立的每個虛擬電路無關(guān)的第二序列����,也在于供給此序列的定時率相應(yīng)于信元在有關(guān)虛擬電路上發(fā)送的速度。
5.根據(jù)權(quán)利要求3的加密器件�����,其特征在于供給一個第二偽隨機序列(LS1i)的裝置(SD1)包括一個移位寄存器(Q1、…�����、Q25)���,后者和一個運算一線性函數(shù)的邏輯電路構(gòu)成回路�����,也在于提供的取樣包含有在該移位寄存器的至少一級中含有的值(S1�、S2)����。
6.根據(jù)權(quán)利要求1的加密器件,其特征在于它還包括有裝置(KM����,CDC)用于-存儲許多密鑰、-決定改變密鑰���、和-在每個信元中插入信息���,指出用哪個密鑰對該信元中傳送的信息單元進行加密。
7.解密器件(DD)用于對異步傳輸方式的信元所傳送的信息單元進行解密����,可用在定向無源光學(xué)網(wǎng)絡(luò)(APON)中。后者包括一個光學(xué)存取接點(OAN)����、許多網(wǎng)絡(luò)單元(ONU1、…�、ONU4)和耦合裝置(DC),將每個由節(jié)點發(fā)送出來的任何信元從節(jié)點向網(wǎng)絡(luò)單元傳播���,而只將一個網(wǎng)絡(luò)單元發(fā)送的任何信元傳送給節(jié)點處��;每個信元至少傳遞一個信息單元(U1��、U3)�����,而每個信息單元只送往一個網(wǎng)絡(luò)單元����;上述解密器件(DD)位于一個網(wǎng)絡(luò)單元并包括-根據(jù)一個第一偽隨機序列(NLS2)的一個相應(yīng)位計算每個要解密的信息單元的每一位的一個解密值的裝置(EXOR2);以及-根據(jù)包括上述的解密器件的網(wǎng)絡(luò)單元供給此第一偽隨機序列的裝置(NLF2�����、SD2���、DDC)�;其特征在于供給此第一偽隨機序列(NLS2)的裝置(NLF2��、SD2��、DDC)包括-根據(jù)一個密鑰值(Ki)使用一種很難逆運算的算法對此第一偽隨機序列(NLS2)進行計算的裝置(NLF2)���;以及-供給此密鑰值(Ki)并將其用明文送至一個位于光學(xué)存取節(jié)點(OAN)處的一個加密器件的裝置(KR�����、DDC)�。
8.根據(jù)權(quán)利要求7的解密器件����,對于每個傳送分別送往許多分立的、但都連到同一個網(wǎng)絡(luò)單元(ONU1)的用戶終端(ST1����、ST3)的大量信息單元(U1��、U3)的復(fù)合信元來說�,其特征在于第一偽隨機序列(NLS2)和該信息單元在傳送它到解密器件的信元中的位置(BP)有關(guān)����。
9.根據(jù)權(quán)利要求7的解密器件�����,其特征在于第一偽隨機序列(NLS2)也是根據(jù)構(gòu)成一個同步序列的第二偽隨機序列(LS2i)計算的��,同時也在于供給第一偽隨機序列(NLS2)的裝置還包括供給此第二偽隨機二進制序列(LS2i)和使該序列在由一個加密裝置(CD)提供的該序列的取樣的基礎(chǔ)上成為同步的同步裝置(SD2)��。
10.根據(jù)權(quán)利要求9的解密器件�����,其特征在于供給一個第二偽隨機序列(SD2i)的裝置(SD2)供給與在節(jié)點和網(wǎng)絡(luò)單元之間建立的每個虛擬電路無關(guān)的一個第二序列��,也在于供給此序列的速度相應(yīng)于信元在有關(guān)虛擬電路上被接收的速度����。
11.根據(jù)權(quán)利要求9的解密器件����,其特征在于供給一個第二偽隨機序列(LS2i)的裝置(SD2)包括一個移位寄存器(Q1′�、…、Q25′)并由一個運算一線性函數(shù)的邏輯電路構(gòu)成回路���,也在于加密裝置(CD)提供的取樣裝入該移位寄存器的至少一級中以使之同步���。
12.根據(jù)權(quán)利要求7的解密器件,其特征在于它還包括有-存儲許多密鑰的裝置(KR)���;-接收在每個被加密信元中傳送的信息的裝置(DDC)���,該信息指出用哪個密鑰對該信元中傳送的信息單元進行加密;以及-在存儲裝置(KR)中閱讀由一個信元中傳遞的信息指出的密鑰和將其提供給裝置(NLF2)以供給第一偽隨機序列(NLS2)的裝置(DDC)���。
全文摘要
一種加密器件可以用來對由一個無源光學(xué)網(wǎng)絡(luò)從一個光學(xué)傳播節(jié)點到各網(wǎng)絡(luò)單元的信元傳遞的信息單元加密�����。每個信元至少傳遞一個信息單元而每個信息單元被分別送往一個用戶終端���。該裝置包括一個加密系統(tǒng)�,能用明文從至少一個位于網(wǎng)絡(luò)單元的解密器件處至少接收一個密鑰應(yīng)用�����。包括ATM電信網(wǎng)絡(luò)����。
文檔編號H04L9/08GK1159108SQ9612157
公開日1997年9月10日 申請日期1996年12月18日 優(yōu)先權(quán)日1995年12月18日
發(fā)明者胡伯特·米奧內(nèi)特, 皮埃爾·海爾梅特, 馬克·迪烏東尼 申請人:阿爾卡塔爾Cit有限公司