传统的加密算法不能很好的满足客户的需求,为此,我们在不改动现有芯片结构的基础上对现有的加密算法以及加密的相关设备作了创新性设计,设计了一个基于多业务等级的EPON系统数据加密模块,在不增加成本的情况下,全面地保障了EPON系统数据的安全,同时也满足了不同用户的需求。
一、EPON分级加密技术理论分析
以太网技术和PON技术虽然是两种成熟的技术,然而两者的结合是一次新的尝试,需要解决的一些关键问题通过业界努力已逐步解决。EPON的安全问题也是一个全新的课题,尽管IEEE 802.3ah没有形成EPON的安全标准,但在标准制定过程中,学者们对EPON安全措施的必要性达成了共识,有些学者提出了采用加密和认证的措施来保障EPON的安全。加密和认证方式的提出,直接导致了各种加密算法使用到EPON系统中。基于扰码的加密方式,借助于密钥更新来提供安全策略,但扰码加密的安全性不高,APON(ATM PON)选用该加密方式得到了诸多学者的置疑。
采用了高级加密标准(AES)对下行数据流进行加密,但只涉及到如何处理最后一个分组的方法,为了解决EPON的安全性问题,EPON标准802.3aU建议采用高级加密标准算法在物理层实现用户信息的加密。经过AES算法加密的用户数据有效地降低了信息泄露的可能性。由于AES算法是对称密钥方式,即加密密钥和解密密钥相同。通信双方要通过安全的密钥信道传送共享的密钥,进行加密和解密处理。在密钥的传送过程中存在密钥泄露的隐患。而公开密钥加密算法采用公钥加密,私钥解密,在加密解密过程中不需要通过网络传输密钥。
因此,鉴于对称加密算法的高效性和公钥算法在密钥管理方面的各自优势,可以考虑采用两者结合的加密方法。在加密领域里,人们已经做了大量的研究实践,有很多研究成果已经商用化,比如:用于端到端的安全套接层、IPSec和虚拟专用网等。在接入网中完全可以借用这些加密措施提高接入网的安全性。不过采用这些方法势必将在各用户终端配置额外的加密设备,这不但增加亍网络管理的复杂程度j使网络管理的成本上升,而且会导致用户的成本增加。因此,理想的解决方案应该是从接入网协议的数据链路层入手进行加密。
EPON系统的安全性包括系统的信息安全,它涉及到信息的保密性、完整性、可用性、可控性csi。EPON的发展目标是全业务汇聚网,随着EPON对多业务的支持的不断成熟完善,我们面临由多业务带来一个相关的问题:不同的业务对加密特性要求各不相同。
IP网络技术使得各种业务的有机结合,使网络成为集语音、图像、数据等一体化多业务平台。随着internet的迅猛发展,人们对多媒体信息需求的增加,实时音/视频流业务需求的不断涌现。TDM over EPON技术就是通过EPON透明的传送TDM业务,视频流业务和TDM业务有其相似之处。如它们对时延、时延抖动以及丢包率都要求比较高,必须保证它们的QoS要求。针对流媒体业务的特点进行适当的带宽分配,也可以保证其有效的传输。
针对EPON多业务的支持,已有不少技术工作者通过不同的带宽分配方案已提出了许多出色的建议。需要注意的工作就是进行业务识别及分类标记,流量分类经常和接纳控制策略、流量监控等配合使用,这些工作主要在网络边缘由边缘路由器或网关完成。传统IP网络只能提供“尽力而为”服务,所有业务流公平的竞争网络资源,很难保证每类业务的通信要求,这也是研究IP QoS的本质原因。作为在IP上传输的PON网络要考虑不同业务对安全的不同要求,如何实现对不同的业务进行区分,如何针对不同业务使用不同的加密方案就成为了一个很实际的问题。
二、加密子层处理机制建模
该方案的设计的原则是对数据链路层的帧数据进行加密。实际应用中尽可能地不对上层产生太多影响,保持上层的独立和完整性。基于这种考虑,提出在MAC子层和RS子层之间实现一个透明的加密子层,使之对上面的MAC层来说相当于一个RS子层,而对下面RS子层来说相当于一个MAC子层。
加密子层在发送时先模拟RS从MAC层接收数据,然后根据加密指示域中的业务分类进行相应的加密,再模拟MAC子层向RS子层发送数据,从而完成透明的发送过程。在接收时先模拟MAC子层从RS子层接受数据.然后根据加密指示域的业务分类进行相应的解密,再模拟RS子层将解密后的数据发送给MAC子层,从而实现了透明的接收。EPON系统中,在OLT和ONU之间传输的是多业务的数据,每一种业务对安全性的要求并不一样。OLT/ONU之间认证信息关系整个网络的带宽配置,资源分配,工作状态,授权鉴定等关系到整个系统安全稳定的重要信息,对安全要求极高,同时数据流量较小;语音视频等流媒体业务对安全要求较低,数据流量很大,但对时延性可以相对放宽:数据业务包含较大的流量,相对时延要求低。针对上述各种数据的不同特点,提出了分级业务加密方案。
上述多业务的加密机制最重要的是针对不同业务采用不同的算法,但在考虑实现的复杂性,所以在设计的加密方案中,加密的范围都包括了源地址、目的地址:数据域和校验域是通过在导引序列中划分一块作为业务加密指示域,加密子层通过上层数据的业务指示标记采取相应的加密方式,对上层数据进行加密后送给下层,在接收端同样根据下层数据中的业务指示标记采取相应的解密方式,再送给MAC层。
三、基于业务等级EPON系统数据加密方案的设计
为了解决EPON系统数据库中存在的各种安全隐患,针对传统加密算法中存在的一些不足,从以下两个方面入手:,对传统的加密方案做一些改进。由于传统的加密方案是对所有业务采用同一种加密算法。而有些加密算法的加解密速度比较慢,不能很好地满足语音视频等实时性较高的业务,或者有些加密算法的安全性不够高,不能保证机密信息的绝对安全。因此,这里采用分级加密的思想,将业务分等级,对不同客户的需求。
本方案是从数据链路层入手,将业务分为三个等级进行加密。
从上往下,等级由高到低排列:①ONU的注册认证信令,它的安全性等级最高,且对时延没什么要求,因此要采用最具有安全性的加密算法来对其进行加密,这里采用安全性高且加解密速度快的基于椭圆的加密算法ECC进行加密;②一般的数据业务等信息,它的安全性等级也比较高,且对时延也没什么要求,如果要保证其安全性,也可以采用ECC来加密;③语音视频等业务,它的安全等级最低,即对安全性要求不高,但是它对延时和抖动要求比较高,故要用一个加解密速度很快的加密算法来对其进行加密,这样可以减少延时和抖动,以最好的方式满足客户的需求.因此这里用加解密速度最快的对称加密算法AES对其进行加密。
OLT发送下行数据时,首先提取数据帧中同步时间作为时间标记,同时通过主控制模块根据不同的业务产生相应的时间加密函数。主控模块控制加密或者解密.加解密控制模块通过调用相关的加密函数对不同业务在加密数据通道进行分级加密,加解密完成后加密数据通道会通过相关接口通知加解密控制模块。
ONU收到从OLT发送过来的加密数据,只需要提取自己的时间函数作为解密的密钥.用它对数据进行解密。每一个ONU只拥有自己的时间函数,所以就防止了其它ONU窃取数据:而且每个ONU的时间函数会变化,即使有窃取者窃听了某数据帧,分析出密钥,也不能对该ONU的接收数据帧进行解密,这样就防止了非法的ONU通过伪装发送数据了。
在EPON系统中对安全机制的实验方案主要考虑通过建模的方法验证加密方案的可行性,主要分析各种加密算法对系统中的相关参数例如时延等的影响,然后通过软件程序设计语言进行加密实现。针对语音:图像、数据等多业务的传输中采用分级加密的机制。由于采用了分业务加密处理的思路,有效改善了ITU标准中单独采用搅动加密带来的安全系数低不足,同时也克服了完全采用高级加密算法加密带来的吞吐量瓶颈的缺陷,应用私钥密码进行公钥密码的密钥分配,进一步提高了系统的安全性。这一技术还可以使用在无线局域网中。
完成加密和解密功能的加密数据通道的具体结构,左边是输入模块,它通过接口和加密函数产生模块获取数据和密钥,并为加解密模块提供时钟信号,这里定义数据和密钥的长度都为128,即0—127。中间是加解密模块,当加解密模块中的ENC是“1”时,该模块执行加密操作,当ENC为“O”时,执行解密操作。其中,Clock代表时钟信号,Clear是清零操作,即把过去时间的加解密密钥进行清除,以免占用空间。右边是输出模块,为解密后数据的输出,Verifer是用来进行数字签名认证的,与输入模块的Cipher相连,完成签名操作。
综上所述,模块中包括提取时间标记模块、主控制模块、产生时间加密函数模块、加解密控制模块、加密数据通道以及与外围的接口。其中,提取时间标记模块是提取数据帧中同步时间作为时间标记。让OLT和ONU两端的时间同步,以便使不同时间的加密和解密密钥保持同步:主控制模块,通过它根据不同的业务产生相应的时间加密函数:产生时间加密函数模块,让加解密函数与时间对应起来,用f时刻加密的数据只能用f时刻的密钥进行解密:加解密控制模块,根据不同的业务等级调用相关的加密函数;加密数据通道,完成数据的加密和解密操作。
小知识之EPON
EPON顾名思义,是基于以太网的PON技术。它采用点到多点结构、无源光纤传输,在以太网之上提供多种业务。EPON技术由IEEE802.3 EFM工作组进行标准化。2004年6月,IEEE802.3EFM工作组发布了EPON标准——IEEE802.3ah (2005年并入IEEE802.3-2005标准)。在该标准中将以太网和PON技术结合,在物理层采用PON技术,在数据链路层使用以太网协议,利用PON的拓扑结构实现以太网接入。因此,它综合了PON技术和以太网技术的优点:低成本、高带宽、扩展性强、与现有以太网兼容、方便管理等。