在GPON系统下行过程中,从OLT到ONU的传输是以广播的方式进行传送的,用户从某种意义上说可以接收到局端发送给所有用户的消息,存在恶意用户根据接收到的信息,冒充其他用户窃听、盗取他人信息的可能性。因此下行数据的发送不安全,需要通过对发送数据的加密来保障其信息安全。

一、加密算法

1、 AES加密算法

AES加密算法是美国国家标准技术研究所NIST旨在取代DES的新一代的私钥加密标准。尽管人们对AES 还有不同的看法,但总体来说,AES作为新一代的数据加密标准汇聚了强安全性、高性能、高效率、易用和灵活等优点。AES 设计有三个密钥长度:128,192 ,256 比特,相对而言, AES 的128 比特密钥比DES的56比特密钥强10倍。GPON加密所采用的是AES加密算法的计数器模式,密钥长度128bit。

2、NTRU加密算法

NTRU(Number Theory Research Unit)加密算法是一种新的公钥密码体制,它是在1996年提出的。由于该加密算法只使用了简单的模乘法和模求逆运算,因而它具有密钥产生容易,加、解密速度快,低需求等特点。NTRU已被接受为IEEE P1363标准,被标准化在文档Working Group for Standards in Public Key Cryptography中。

就目前来说,NTRU的安全性和目前最有影响的RSA算法、椭圆曲线加密体制ECC等加密算法是一样安全的。在相同安全级的前提下,NTRU加密算法的速度要比其它公开密钥体制的算法快的多,用Tumbler(tm)软件工具包执行NTRU时的速度比RSA快100多倍。用NTRU加密算法产生密钥的速度也很快,NTRU密钥的bit数也较小。NTRU加密算法的优点意味着可以降低对带宽、处理器、存储器的性能要求,这也扩大了NTRU公开密钥体制的应用范围。

(1)密钥

要生成NTRU的公、私密钥,进行以下几步:

a、随机地从集合Rf中选择一个多项式f,使f在环R中模p模q的逆多项式存在,记为Fp和Fq,即f _Fq=1(mod q),f _Fp=1(mod p)。f和Fp称为私钥。

b、随机地从集合Rg中选择一个多项式g,并计算 h=pFq g(mod q),h称为公钥。为了安全,g和Fq 也要保密。

(2)加密过程

a、令m为集合Rm中的待加密的明文,随机地从集合Rr中选择一个小多项式r.通常被用来置乱密文,所以,NTRU是一种概率密码方法。

b、加密密文为:e=r ×h+m(mod q)。

(3) 解密过程

a、用私钥f,计算:a=f×e(mod q)。

b、将多项式 a的系数作模q处理,并调整于(-q/2,q/2)区间之内。

c、用私钥Fp,计算d=Fp× a(mod p),所得的结果d是解密的明文。

二、GPON系统加密及实现

GPON系统为避免G.983.1中的安全性问题(密钥过短,很容易被破解),选择高级加密标准AES作为下行信元的加密算法,其密钥由ONU产生,随上行信元送到OLT,OLT根据收到的密钥对下行信元加密,这样下行信元以密文的形式被送到 ONU。从前面的讨论我们知道采用AES可以极大地提高系统的安全性。但其在上行方向类似 G.983.1,信元包括密钥以明文传送到OLT,这同样存在前文提到的安全性问题,尤其是AES密钥极易被获取,因此GPON系统需要改进的安全机制以提高其安全性。

基于以上考虑,为解决GPON系统的信元安全性问题,提出改进方案,设计了一个基于AES的数据文件加密方案,如图所示:

GPON加密技术及实现

(1)该方案的基本原理

利用AES在传输汇聚层对上行信元净负荷部分加密,为避免恶意用户获取在上行信元PLOAM中传送的密钥,利用NTRU算法对密钥进行加密。具体是,ONU以一个随机生成密钥用AES算法对上行信元加密,再由OLT产生一个专用密钥和对应的公共密钥,其中公共密钥沿下行方向传送到ONU,该ONU利用NTRU公共密钥对AES密钥加密,然后将加密后的密钥和密文信息沿上行方向发送到OLT。只有用NTRU的专用密钥解密才能得到正确的AES密钥,而专用密钥只有OLT知道。这样即使上行信元被窃听也无法正确破解,保证了系统的安全性。

在GPON系统中利用非对称加密算法(NTRU)对AES密钥进行加密处理是否可行,密钥长度为128位。GPON系统上行帧长为125μs,密钥位于上行帧的PLOAM中,由于PLOAM的长度有限(有8个字节用于密钥传送),AES密钥需要分成两部分传送,而每个部分需要传送三次(为满足系统的冗余性要求),因此完整传送一个密钥需要6帧。考虑在极端情况下系统要求加密/解密的吞吐量为171kbit/s。

根据NTRU的试验数据,其加密/解密吞吐量完全满足GPON系统对加密/解密吞吐量的要求。因此认为在GPON系统中利用NTRU加密算法对AES密钥进行加密处理是完全可行的。

小知识之GPON

GPON(Gigabit-Capable PON) 技术是基于ITU-TG.984.x标准的最新一代宽带无源光综合接入标准,具有高带宽,高效率,大覆盖范围,用户接口丰富等众多优点,被大多数运营商视为实现接入网业务宽带化,综合化改造的理想技术。